Come anticipato nello scorso numero ci occuperemo ora di individuare, da un punto di vista legale, in riferimento alle disposizioni di cui all’art. 32 del GDPR, relative alla sicurezza nel trattamento dei dati personali, le possibili conseguenze derivanti dalle varie tipologie di attacchi di cui può essere vittima un sistema informativo, ed i suoi utenti, mediante azioni svolte da e per mezzo dei cookie.
Al fine di individuare la fattispecie concreta, per quanto digitalizzata, in relazione alla quale verificare l’applicazione delle norme in materia di sicurezza sopra richiamate, è indispensabile considerare, almeno per sommi capi, il funzionamento tecnologico a fondamento della operatività dei cookie.
In particolare, occorre considerare che, in ragione della struttura e delle necessità originarie della rete internet, il protocollo Http e di conseguenza il protocollo Https, che sono definiti stateless (poiché, la connessione tra client e server, viene chiusa esaudita la richiesta), non prevedono, senza altre applicazioni specifiche, la possibilità di tenere traccia, mediante identificativo univoco, delle diverse richieste formulate dal browser del client richiedente l’accesso alla risorsa.
Tale esigenza, si è invece manifestata sempre di più, man mano che l’utilizzo di internet si è esteso a settori diversi da quello accademico che ne ha caratterizzato la nascita, con l’aumento di richiesta di servizi specifici, quali ad esempio quelli di e-commerce, o di digital advertising, che sono proprio basati sulla possibilità di identificazione o identificabilità della sessione dell’utente, e del suo eventuale successivo svolgersi nel tempo, che si realizza, come visto nel numero precedente, attraverso i vari tipi cookie conosciuti.
Ciò che ci pare che a questo punto debba essere evidenziato, è, in particolare, la circostanza che, nell’ambito di una sessione di navigazione, mediante l’interazione telematica tra un sistema cliente – il device dell’utilizzatore – ed un sistema server, destinatario della richiesta di connessione, si instaurano una serie di trasferimenti di informazioni, presenti appunto nei cookie, i cui contenuti ed effetti, l’utente subisce, o può subire, e della gestione dei quali egli non è sempre consapevole in modo adeguato.
In questo ambito, sembra in effetto opportuno sottolineare, in primo luogo, come la tecnologia dei cookie sia ancora largamente utilizzata per lo svolgimento di operazioni di autenticazione, in secondo luogo, come, specialmente tra i meno esperti, anche in ragione della complessità della materia, non siano in uso misure tecniche di protezione delle informazioni, compresi i cookie, conservate nei dispositivi in dotazione, ed infine che, analogamente a quanto avviene per ogni altro contenuto relativo al comportamento online di un utente, le informazioni contenute nei cookie presenti in un dispositivo bersaglio, possono essere assai rilevanti e carpite mediante malware collegati a botnet sovranazionali.
In altre parole, l’impiego della tecnologia dei cookie, espone il suo utilizzatore ad almeno due tipologie di minacce: la prima, che deriva dal contenuto del cookie in se, che potrebbe incorporare codice malevolo per effettuare esfiltrazione dei dati, per utilizzare indebitamente la potenza di calcolo della vittima, ovvero attuare profilazione senza il consenso dell’interessato, la seconda, che deriva invece, dalla mancata applicazione di procedure di cancellazione nel processo di gestione dei cookie stessi, una volta memorizzati sul dispositivo.
Ciò chiarito, riservando al prosieguo un breve approfondimento di alcune delle metodologie di attacco più pericolose, da un punto di vista strettamente legale, possiamo constatare che le tipologie maggiormente note di crimini perpetrati mediante cookie ovvero aventi i cookie quale oggetto del reato, alcune delle quali sono conosciute con l’espressione cookie poisoning, sono le seguenti: Cross-site Request Forgery (CSRF), Session Hijacking, Session Spoofing, session fixation, Site-to-site Scripting, Cookie Tossing Attack, Cookie Overflow Attack.
In particolare, con l’espressione cookie poisoning possiamo individuare quell’insieme di tecniche, realizzate da un attaccante, possibili in determinate circostanze, quali ad esempio l’erronea configurazione di una applicazione da parte dello sviluppatore del sito web, che consistono nel manipolare o falsificare un cookie allo scopo di aggirare misure di sicurezza o inviare false informazioni ad un server.
Ad esempio, gli attacchi di tipo session hijacking (dirottamento della sessione), chiamati anche cookie hijacking o sidejacking, che si basano sulla conoscenza da parte dell’attaccante del cookie di sessione corrente, sono attacchi in cui l’intera sessione utente è indebitamente utilizzata da un attaccante all’insaputa dell’utente connesso ad un particolare sito.
Similmente, l’attacco Cross-Site Request Forgery (CSRF) è un tipo di attacco che si verifica quando un sito web, un’e-mail, un blog, un messaggio istantaneo o un programma malevolo inducono il browser web di un utente ad eseguire un’azione indesiderata su un sito affidabile quando l’utente è autenticato. Dal punto di vista della sicurezza delle informazioni, come accade per molte altre vulnerabilità, il denominatore comune che caratterizza la maggior parte delle condotte criminali correlate all’utilizzo dei cookie è l’inadeguatezza o l’insufficienza di adeguate misure tecniche di convalida dell’input unitamente alla fiducia nei dati controllati dall’utente nelle richieste HTTP. In questo contesto, si può constatare come, dal punto di vista dei controlli preventivi, una corretta manutenzione dei cookie, ma prima ancora una adeguata formazione degli utenti sul loro utilizzo e sui rischi che esso implica, siano best practices indispensabili, rilevanti ai sensi degli art. 24 e 32 del GDPR, nell’adozione di misure tecniche ed organizzative di sicurezza delle applicazioni web.
Esistono tuttavia, accanto a queste ultime, una serie di specifiche misure tecniche di sicurezza, che possono ulteriormente contribuire a ridurre il rischio di attacchi di tipo cookie poisoning, ad esempio, per rendere i cookie, e specialmente i cookie di sessione, meno accessibili agli attaccanti, è possibile impostare il flag httpOnly, che ha l’effetto di rendere un cookie inaccessibile agli script, ed è anche possibile impostare il flag secure per assicurare che il cookie sia inviato solo su HTTPS.
Alla luce delle osservazioni sin qui svolte, sembra infine, utile considerare, in relazione alle disposizioni di cui all’art. 28 del GDPR, che disciplina come è noto i rapporti tra il titolare ed il responsabile del trattamento, le questioni legali correlate alle responsabilità, implicate dall’uso e dalla fornitura delle tecnologie che ci occupano. Quanto precede in considerazione del fatto che, la creazione e l’uso di cookie, nella maggior parte dei siti internet è demandata molto spesso a soggetti esterni all’organizzazione titolare del trattamento, dell’operato dei quali, quest’ultima tuttavia risponde.
Nel prossimo numero a conclusione di questo breve approfondimento sui cookie, e sulle altre tecnologie di tracciamento, approfondiremo le questioni da ultimo richiamate, nonché le tematiche relative alla forma di manifestazione del consenso al trattamento per l’uso di cookie ed alla relativa conservazione.
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
