Browser Fingerprinting: O que é e o que você deve fazer sobre isso?
Você já ouviu falar em impressões digitais no navegador? Tudo bem se você não ouviu, já que quase ninguém mais ouviu falar disso.
A impressão digital do navegador é um método incrivelmente preciso para identificar navegadores exclusivos e rastrear atividades online.
Felizmente, há algumas coisas que você pode fazer para limpar todas as suas impressões digitais da internet. Mas primeiro, vamos começar por explorar o que, exactamente, a impressão digital do browser é.
- Browser Fingerprinting: O que é?
- Métodos usados para rastreamento (impressão digital)
- Cookies &Tracking
- Canvas Fingerprinting
- Browser Fingerprinting vs. Your IP Address
- Teste a impressão digital do seu navegador
- Como se defender contra a impressão digital do navegador
- Utilizar métodos de navegação privada
- Utilizar Plugins
- Desabilitar JavaScript e Flash
- Install Anti-Malware Software
- Utilizar o Navegador Tor
- Utilizar uma VPN
- Os meus pensamentos finais
Browser Fingerprinting: O que é?
A impressão digital do browser é definida na Wikipedia da seguinte forma:
“Uma impressão digital do dispositivo, impressão digital da máquina ou impressão digital do browser é a informação recolhida sobre um dispositivo informático remoto para efeitos de identificação. As impressões digitais podem ser utilizadas para identificar total ou parcialmente utilizadores ou dispositivos individuais, mesmo quando os cookies estão desligados”
Isso significa que, quando se liga à Internet no seu computador portátil ou smartphone, o dispositivo irá entregar um monte de dados específicos ao servidor receptor sobre os sites que visitar.
As impressões digitais do navegador é um método poderoso que os sites usam para coletar informações sobre seu tipo e versão de navegador, bem como seu sistema operacional, plugins ativos, fuso horário, idioma, resolução de tela e várias outras configurações ativas.
Esses pontos de dados podem parecer genéricos no início e não necessariamente parecer adaptados para identificar uma pessoa específica. No entanto, há uma chance significativamente pequena de outro usuário ter 100% de informações do navegador correspondentes. Panopticlick descobriu que apenas 1 em 286.777 outros navegadores compartilharão a mesma impressão digital que outro usuário.
Websites usam as informações fornecidas pelos navegadores para identificar usuários únicos e rastrear seu comportamento online. Este processo é portanto chamado de “impressão digital do navegador”
A singularidade da informação do navegador está intimamente relacionada com o método de investigação das equipas policiais e forenses, que identificam suspeitos e criminosos com base nas impressões digitais no local do crime.
O Sistema Integrado de Identificação Automática de Impressões Digitais (IAFIS) é uma base de dados massiva que armazena impressões digitais de 70 milhões de indivíduos de casos criminais, bem como 31 milhões de impressões digitais de casos civis. Isso significa que um grande pedaço dessas impressões digitais foi coletado para fins de análise.
A impressão digital do navegador funciona assim também. Websites recolhem em massa um grande conjunto de dados dos visitantes, a fim de posteriormente os utilizar para comparar com as impressões digitais dos utilizadores conhecidos.
Todas estas informações não revelam necessariamente quem você é, o seu nome e/ou endereço de casa, mas são incrivelmente valiosas para fins publicitários, uma vez que as empresas podem utilizá-las para atingir determinados grupos. Estes grupos foram formados por pessoas correspondentes com base na impressão digital do navegador.
Agora, você pode se perguntar: por que isso está sendo feito, e por que seus dados são tão incrivelmente valiosos para essas empresas?
A indústria de publicidade internacional e as máquinas de marketing adoram seus dados. Eles farão qualquer coisa para deitar as mãos aos seus dados a fim de rastrear suas atividades online.
Métodos de rastreamento e coleta de dados são extremamente valiosos porque permitem às empresas de publicidade criar um perfil baseado em seus dados. Quanto mais dados esses negócios tiverem, mais precisamente eles podem direcioná-lo com anúncios, o que (indiretamente) significa maior receita para a empresa.
Felizmente, não é tudo ruim. A impressão digital do navegador também é usada para identificar as características das botnets, pois as conexões das botnets são estabelecidas por um dispositivo diferente a cada vez.
Tal análise pode levar à identificação de fraudadores e outras atividades suspeitas que requerem investigação.
Os bancos também usam este método para identificar potenciais casos de fraude.
Se uma conta estiver mostrando comportamento online questionável, por exemplo, o sistema de segurança de um banco seria capaz de identificar que a conta está sendo acessada de múltiplos locais diferentes durante um curto período de tempo, analisando a impressão digital única.
Ao fazer isso, um hacker que entrou na conta usando um dispositivo que nunca tinha acessado a conta antes pode potencialmente ser identificado.
Todos esses sinais sugerem uma possível fraude, e geralmente acionam uma investigação adicional ou o congelamento preventivo de uma conta.
Métodos usados para rastreamento (impressão digital)
Websites usam vários métodos diferentes para rastrear usuários na Internet. Ao fazer isso, eles podem coletar informações e impressões digitais do seu navegador – e você nem saberia ou veria que sites estão fazendo isso!
Agora, a questão é: como eles fazem isso?
A tecnologia permite que sites interajam com o seu navegador e recuperem informações. Nas secções seguintes, vou fornecer-lhe informações sobre como os websites interagem com o seu browser e como obtêm informação.
Cookies &Tracking
Uma forma comum de os websites obterem os seus dados é através da utilização de cookies. Cookies são pequenos pacotes de arquivos de texto que são armazenados em seu computador, que contêm certos dados que podem dar informações a websites para melhorar a experiência do usuário.
Websites lembram e rastreiam computadores e dispositivos individuais carregando os cookies (pequenos pacotes de dados) em seu computador.
A cada vez que você visita um website, seu navegador irá baixar os cookies. Quando você visitar o mesmo website posteriormente, o website avaliará os pacotes de dados e lhe fornecerá uma experiência de usuário personalizada.
Pense no tamanho da fonte ou na resolução da tela que você visualiza em um website. Se um site sabe que você está sempre usando um iPhone 8, ele lhe fornecerá as melhores configurações para o seu iPhone. Além disso, desta forma, o site sabe se você é um visitante único ou um visitante retornando. Os cookies também armazenam dados sobre a atividade de navegação, hábitos, interesses e muito mais.
Outras vezes, os sites utilizam Javascript, que irá interagir com os visitantes a fim de realizar determinadas tarefas, como a reprodução de um vídeo. Estas interações também provocam uma resposta, e como tal, eles recebem informações sobre você.
Canvas Fingerprinting
O mais novo método para obter informações do navegador é chamado “Canvas Fingerprinting”. Simplificando, os sites são escritos em código HTML5, e dentro desse código, há um pequeno pedaço de código que tira a impressão digital do seu navegador.
Então, como é que os sites fazem isso, exactamente? Deixe-me explicar.
Este novo método de rastreamento que os websites empregam para obter a impressão digital do seu navegador é ativado por novos recursos de codificação em HTML5.
HTML5 é a linguagem de codificação utilizada para construir websites. É o núcleo fundamental de todos os websites. Dentro da linguagem de codificação HTML5, existe um elemento que se chama “canvas”
Originalmente, o elemento HTML <canvas> foi usado para desenhar gráficos numa página web.
Wikipedia fornece a seguinte explicação sobre como a exploração do elemento HTML5 canvas gera impressões digitais do navegador:
“Quando um usuário visita uma página, o script de impressão digital primeiro desenha o texto com a fonte e o tamanho de sua escolha e adiciona cores de fundo. Em seguida, o script chama o método ToDataURL da Canvas API para obter os dados de pixels da tela no formato dataURL, que é basicamente uma representação codificada Base64 dos dados de pixels binários. Finalmente, o script pega o hash dos dados de pixel codificados em texto, que serve como impressão digital”
Em inglês simples, o que isto significa é que o elemento HTML5 canvas gera certos dados, tais como o tamanho da fonte e as configurações ativas de cor de fundo do navegador do visitante, em um website. Esta informação serve como a impressão digital única de cada visitante.
Em contraste com a forma como os cookies funcionam, a impressão digital canvas não carrega nada no seu computador, pelo que não poderá apagar quaisquer dados, uma vez que estes não estão armazenados no seu computador ou dispositivo, mas em qualquer outro lugar.
Browser Fingerprinting vs. Your IP Address
Eu acredito que muitas pessoas que pensam em privacidade online, como eu, estão cientes do fato de que encobrir seu endereço IP é um método importante para usar para esconder sua identidade online.
O protocolo de endereço IP é projetado para enviar um pedido a um servidor web receptor toda vez que um usuário interage com um site ou serviço, porque o servidor receptor precisa de um endereço IP para enviar uma resposta.
Isso significa que seu endereço IP é uma seqüência única de números que aponta diretamente para o seu dispositivo. Os donos de websites com conhecimentos técnicos são até capazes de rastrear que outros websites você visita, a conta em que você está logado e às vezes até mesmo a sua localização geográfica.
É claro, isso exigiria um pouco mais de esforço, mas é meio assustador que seja possível.
Existem várias ferramentas disponíveis que tornam possível testar a identidade do seu navegador. Você pode usar “Am I Unique,” “PANOPTICLICK” ou “Unique Machine” para testar a identidade do seu dispositivo.
Nota: no momento desta escrita, a ferramenta de teste da Unique Machine ainda está sendo desenvolvida, mas deve ser lançada em breve.
Ainda destas ferramentas irá rever a impressão digital do seu navegador e avaliar o quão únicos são realmente os seus dados.
Am I Unique usa uma lista abrangente de 19 atributos (pontos de dados). Os atributos mais significativos incluem se os cookies estão activados, que plataforma está a utilizar, que tipo de browser (bem como a sua versão) e computador está a utilizar, e se os cookies de rastreio estão bloqueados.
No website da Am I Unique, basta clicar em “View my browser fingerprint” para executar o teste.
Quando clicar em “View more details”, poderá ver todas as informações específicas que o seu browser está a fornecer ao servidor. O meu navegador é único entre todas as amostras de teste que eles coletaram até agora (quase 700.000)!
Você também pode executar um teste com o Panopticlick. É um projeto de pesquisa da Electronic Frontier Foundation (EFF).
No site do Panopticlick, clique em “TEST ME” para executar o teste e ver como seu navegador é seguro contra rastreamento.
Panopticlick também executa vários testes para avaliar a identidade do seu navegador. Eu publiquei os resultados dos meus testes abaixo.
Panopticlick testa se o seu navegador:
- Anúncios de rastreamento de bloqueios
- Blocks rastreadores invisíveis
- Blocks rastreadores “Lista branca”
- Desbloquear sites que prometem honrar “Não rastrear”
- Is, em geral, protegidos contra a impressão digital do navegador
Como mostrado na análise, os resultados são misturados. Eu tenho “alguma proteção” contra o rastreamento da web, mas claramente não é bom o suficiente. Meu navegador está bloqueando parcialmente certos itens enquanto não bloqueia outras coisas.
Este rastreador conclui que a impressão digital do meu navegador é única. O Panopticlick recomenda instalar o seu Privacy Badger – mais sobre isso mais tarde na seção “Como se defender contra a impressão digital do navegador”.
Provavelmente não é possível se proteger completamente contra a impressão digital. Talvez novos softwares ou outras formas de combater suficientemente a impressão digital do navegador serão desenvolvidos num futuro próximo.
No entanto, existem bastantes ferramentas e métodos disponíveis para melhorar a sua privacidade online e minimizar a possibilidade de identificação.
Encontre abaixo os métodos mais eficazes para se proteger.
Vários navegadores como Chrome, Safari e FireFox permitem aos utilizadores navegar em modo de navegação anónima.
O modo de navegação anónima torna a sua navegação privada ao definir o seu “perfil” para certos pontos de dados padrão. Estes pontos de dados fazem parte da sua impressão digital, portanto, como muitas pessoas utilizam as mesmas definições de “perfil”, as impressões digitais têm um aspecto semelhante.
Isto irá reduzir consideravelmente as suas hipóteses de ter uma impressão digital única.
Utilizar Plugins
Pode também optar por instalar plugins que desactivam os rastreadores, que são utilizados por certos websites, de correr no seu browser.
Plugins como AdBlock Plus, Privacy Badger, Disconnect e NoScript são projetados para bloquear scripts que potencialmente permitem que anúncios espiões e rastreadores invisíveis sejam executados no seu navegador.
Para alguns websites, isso significa que a experiência do usuário pode ser um pouco menos satisfatória. Mas também é possível desabilitar os plugins de rodar em sites em que você confia, fazendo uma lista branca.
Panopticlick recomenda o uso do Privacy Badger, que é uma extensão do navegador que bloqueia anunciantes e outros softwares de rastreamento de terceiros de rastrear suas atividades online.
NoScript requer mais tempo para configurar e usar efetivamente, pois o plugin bloqueia o JavaScript em todos os sites por padrão. Isso significa que você terá de ativar o JavaScript manualmente em todos os sites confiáveis.
Desabilitar JavaScript e Flash
Um dos métodos mais eficazes que você pode usar para se proteger contra a impressão digital do navegador é desabilitar o JavaScript e o Flash.
Quando o JavaScript está desactivado, os websites não serão capazes de detectar a lista de plugins e fontes activas que utiliza, e também não serão capazes de instalar determinados cookies no seu browser.
A desvantagem de desactivar o JavaScript é que os websites nem sempre funcionam correctamente, porque também é utilizado para fazer com que os websites funcionem sem problemas no seu dispositivo. Isto terá impacto na sua experiência de navegação.
Por outro lado, o Flash pode ser desactivado sem um impacto negativo na experiência do utilizador. Geralmente, o Flash só tem impacto na experiência de navegação quando você visita websites muito antigos.
Install Anti-Malware Software
Anti-malware software é sempre útil, independentemente de você estar procurando por proteção de privacidade online ou apenas deseja proteção geral para o seu dispositivo e arquivos/dados pessoais.
Malwarebytes e HitmanPro são ambos excelentes ferramentas de software anti-malware que funcionam perfeitamente ao lado do seu software antivírus e servem como uma segunda camada de protecção.
Na maioria dos casos, o anti-malware bloqueia anúncios, barras de ferramentas nocivas ou irritantes e software spyware que pode estar a ser executado em segundo plano no seu sistema.
Estas ferramentas e scripts de software estão directamente ligados à impressão digital do seu browser. Portanto, é melhor ter um navegador limpo e excluir essas ameaças com uma ferramenta anti-malware.
Quando instalar uma ferramenta anti-malware, seja inteligente e vá para as configurações a fim de habilitar varreduras automáticas semanais ou (pelo menos) mensais completas do sistema.
Se você é extremamente sério sobre navegação segura e prevenção de impressões digitais do navegador, você deve considerar a instalação do Navegador Tor (The Onion Router).
O melhor caminho a seguir seria rodar o Navegador Tor em combinação com uma VPN apropriada. Devido ao fato do Tor usar certas configurações padrão, que são idênticas para cada usuário, é mais difícil identificar impressões digitais exclusivas do navegador.
Adicionalmente, o Tor Browser bloqueia agressivamente o código JavaScript em websites.
A maior desvantagem de usar o Tor Browser é a lenta velocidade de navegação, e o facto de apenas proteger o tráfego de Internet enviado através do Tor Browser e não outros, como Firefox ou Chrome.
Utilizar uma VPN
Um dos métodos mais populares para esconder um endereço IP é instalar uma Rede Privada Virtual (VPN).
Como mostrado na imagem abaixo, uma VPN é como um homem do meio. Ao invés de se conectar diretamente a um servidor web, você se conecta primeiro ao servidor da VPN, e a VPN o conectará a um website. Ao fazer isso, seu endereço IP será desconhecido para o servidor web.
Usar uma VPN é um método muito eficaz para esconder seu endereço IP, porque o servidor web só pode ver o IP da VPN (que provavelmente é usado por muitos outros usuários).
Mas, o seu endereço IP é apenas um aspecto da sua identidade online.
Independentemente do IP que o servidor web possa ver, as definições do seu browser, versão e assim por diante, que geram dados únicos de impressões digitais do browser, não podem ser bloqueadas por uma VPN.
Isso significa que os dados do seu navegador ainda permitem que o servidor web o identifique como um visitante exclusivo, independentemente de você estar usando uma VPN, já que o seu endereço IP é apenas um aspecto do perfil de impressão digital do seu navegador.
Uma VPN é excelente para esconder o seu endereço IP real, mas não é o método mais eficaz para protegê-lo contra a impressão digital do navegador, pois muitos outros atributos também fazem parte da sua impressão digital. Usado em conjunto com outros métodos, porém, uma VPN pode ser uma grande vantagem.
Lê o meu post sobre VPNs para mais informações.
Os meus pensamentos finais
A impressão digital do navegador é uma séria ameaça à privacidade online, e vai muito mais além do que simplesmente verificar um endereço IP.
A impressão digital do navegador utiliza uma extensa lista de pontos de dados que, no conjunto, criam a impressão digital do seu navegador. A impressão digital do seu navegador é provavelmente extremamente exclusiva.
Os sites da Web podem utilizar a sua impressão digital exclusiva para recolher e gerar um ficheiro pessoal aprofundado de sites da Web que visitou ou que lhe foram destinados com anúncios muito personalizados.
Existem vários métodos que pode utilizar para encobrir as suas impressões digitais na Internet. Vamos rever rapidamente os métodos mais eficazes.
- Utilizar o modo incógnito
- Implementar plugins de segurança
- Desabilitar JavaScript e Flash
- Instalar ferramentas anti-malware
- Utilizar uma VPN
- Utilizar o Tor Browser
Como mostrado na secção “Test Your Browser’s Fingerprinting”, o meu navegador acabou por ter uma impressão digital única. No entanto, depois de colocar em prática os métodos listados acima, meu navegador ficou significativamente mais protegido contra a impressão digital.
Como você pode ver abaixo, eu consegui reduzir o nível de exclusividade de 1 em 286.777 para 1 em 93,25, o que é uma enorme diferença.