Cookie & Company: istruzioni per l’uso (II parte)
Osservazioni a margine delle Linee Guida in materia di Cookie e altri strumenti di tracciamento.
In questo secondo articolo ci occuperemo di individuare, da un punto di vista legale, in riferimento alle disposizioni di cui all’art. 32 del GDPR, relative alla sicurezza nel trattamento dei dati personali, le possibili conseguenze derivanti dalle varie tipologie di attacchi di cui può essere vittima un sistema informativo, e i suoi utenti, mediante azioni svolte da e per mezzo dei cookie.
Al fine di individuare la fattispecie concreta, per quanto digitalizzata, in relazione alla quale verificare l’applicazione delle norme in materia di sicurezza sopra richiamate, è indispensabile considerare, almeno per sommi capi, il funzionamento tecnologico a fondamento della operatività dei cookie.
In particolare, occorre considerare che, in ragione della struttura e delle necessità originarie della rete internet, il protocollo Http e di conseguenza il protocollo Https, che sono definiti stateless (poiché, la connessione tra client e server, viene chiusa esaudita la richiesta), non prevedono, senza altre applicazioni specifiche, la possibilità di tenere traccia, mediante identificativo univoco, delle diverse richieste formulate dal browser del client richiedente l’accesso alla risorsa.
Tale esigenza, si è invece manifestata sempre di più, man mano che l’utilizzo di internet si è esteso a settori diversi da quello accademico che ne ha caratterizzato la nascita, con l’aumento di richiesta di servizi specifici, quali per esempio quelli di e-commerce, o di digital advertising, che sono proprio basati sulla possibilità di identificazione o identificabilità della sessione dell’utente, e del suo eventuale successivo svolgersi nel tempo, che si realizza, come visto nel numero precedente, attraverso i vari tipi cookie conosciuti.
A questo punto è doveroso evidenziare, in particolare, la circostanza che, nell’ambito di una sessione di navigazione, mediante l’interazione telematica tra un sistema cliente – il device dell’utilizzatore – e un sistema server, destinatario della richiesta di connessione, si instaurano una serie di trasferimenti di informazioni, presenti appunto nei cookie, i cui contenuti ed effetti, l’utente subisce, o può subire, e della gestione dei quali egli non è sempre consapevole in modo adeguato.
Tipologie di attacchi cyber alle informazioni esposte
In questo ambito, sembra in effetti opportuno sottolineare, in primo luogo, come la tecnologia dei cookie sia ancora largamente utilizzata per lo svolgimento di operazioni di autenticazione, in secondo luogo, come, specialmente tra i meno esperti, anche in ragione della complessità della materia, non siano in uso misure tecniche di protezione delle informazioni, compresi i cookie, conservate nei dispositivi in dotazione, e infine che, analogamente a quanto avviene per ogni altro contenuto relativo al comportamento online di un utente, le informazioni contenute nei cookie presenti in un dispositivo bersaglio, possono essere assai rilevanti e carpite mediante malware collegati a botnet sovranazionali.
In particolare, con l’espressione cookie poisoning possiamo individuare quell’insieme di tecniche, realizzate da un attaccante, possibili in determinate circostanze, quali per esempio l’erronea configurazione di un’applicazione da parte dello sviluppatore del sito web, che consistono nel manipolare o falsificare un cookie allo scopo di aggirare misure di sicurezza o inviare false informazioni a un server.
Per esempio, gli attacchi di tipo session hijacking (dirottamento della sessione), chiamati anche cookie hijacking o sidejacking, che si basano sulla conoscenza da parte dell’attaccante del cookie di sessione corrente, sono attacchi in cui l’intera sessione utente è indebitamente utilizzata da un attaccante all’insaputa dell’utente connesso a un particolare sito. Similmente, l’attacco Cross-Site Request Forgery (CSRF) è un tipo di attacco che si verifica quando un sito web, un’e-mail, un blog, un messaggio istantaneo o un programma malevolo inducono il browser web di un utente a eseguire un’azione indesiderata su un sito affidabile quando l’utente è autenticato.
Dal punto di vista della sicurezza delle informazioni, come accade per molte altre vulnerabilità, il denominatore comune che caratterizza la maggior parte delle condotte criminali correlate all’utilizzo dei cookie è l’inadeguatezza o l’insufficienza di adeguate misure tecniche di convalida dell’input unitamente alla fiducia nei dati controllati dall’utente nelle richieste HTTP.
Best practice indispensabili
In questo contesto, si può constatare come, dal punto di vista dei controlli preventivi, una corretta manutenzione dei cookie, ma prima ancora un’adeguata formazione degli utenti sul loro utilizzo e sui rischi che essi implicano, siano best practice indispensabili, rilevanti ai sensi degli art. 24 e 32 del GDPR, nell’adozione di misure tecniche e organizzative di sicurezza delle applicazioni web.
Esistono tuttavia, accanto a queste ultime, una serie di specifiche misure tecniche di sicurezza, che possono ulteriormente contribuire a ridurre il rischio di attacchi di tipo cookie poisoning, per esempio, per rendere i cookie, e specialmente i cookie di sessione, meno accessibili agli attaccanti, è possibile impostare il flag httponly, che ha l’effetto di rendere un cookie inaccessibile agli script, ed è anche possibile impostare il flag secure per assicurare che il cookie sia inviato solo su HTTPS.
Alla luce delle osservazioni sin qui svolte, sembra infine, utile considerare, in relazione alle disposizioni di cui all’art. 28 del GDPR, che disciplina come è noto i rapporti tra il titolare e il responsabile del trattamento, le questioni legali correlate alle responsabilità, implicate dall’uso e dalla fornitura delle tecnologie che ci occupano. Quanto precede in considerazione del fatto che, la creazione e l’uso di cookie, nella maggior parte dei siti internet è demandata molto spesso a soggetti esterni all’organizzazione titolare del trattamento, dell’operato dei quali, quest’ultima tuttavia risponde.