Formação
Help Desk
Impressão digital de navegadores da web: o que é e o que você deveria fazer a respeito?
Conteúdo publicado originalmente em inglês no PixelPrivacy. Autor: Bill Hess
Você já ouviu falar de captura de impressão digital de navegadores? Tudo bem se não tiver, já que quase ninguém ouviu falar disso alguma vez.
A captura da impressão digital de navegadores é um método incrivelmente preciso de identificar navegadores únicos e rastrear atividade online.
Felizmente, há algumas coisas que você pode fazer para limpar todas as suas impressões digitais da internet. Mas antes, vamos começar explicando o que, exatamente, é o registro de impressão digital de navegadores.
Impressão digital de navegadores: o que é?
É definido na Wikipédia assim:
“Uma impressão digital de dispositivo ou impressão digital de navegador são informações coletadas sobre um dispositivo remoto de computação para fins de identificação. As impressões digitais podem ser utilizadas totalmente ou parcialmente para identificar usuários individuais ou dispositivos, mesmo quando os cookies estiverem desativados.”
Isso significa que, quando você se conecta à internet em seu laptop ou smartphone, seu aparelho passa alguns dados específicos para o servidor sobre os sites que você visita.
A extração de impressões digitais é um método poderoso que sites usam para coletar informações sobre seu tipo e versão de navegador, assim como seu sistema operacional, plugins ativos, fuso horário, idioma, resolução de tela e muitas outras configurações ativas.
Esses dados podem parecer genéricos à primeira vista e não necessariamente parecem feitos para identificar uma pessoa específica. Mas a chance de outro usuário ter informações de navegador 100% iguais a outro é significativamente pequena. O Panopticlick mostra que somente 1 entre outros 286.777 navegadores terão a mesma impressão digital de outro usuário.
Sites usam a informação fornecida pelos navegadores para identificar usuários únicos e rastrear seu comportamento online. Esse processo é chamado de "registro de impressão digital".
A particularidade da informação de navegadores é bem próxima aos métodos de investigação da polícia e de equipes forenses, que identificam suspeitos e criminosos com base nas impressões digitais na cena do crime.
O Sistema Integrado Automatizado de Identificação por Impressão Digital (IAFIS, na sigla em inglês) é uma base de dados massiva que armazena impressões digitais de 70 milhões de pessoas envolvidas em casos criminais, assim como 31 milhões de impressões de casos civis. Isso significa que uma boa parte desse material foi coletado para fazer análises.
A impressão digital de navegadores funciona assim também. Sites coletam em massa um grande conjunto de dados de visitantes para depois combiná-los a impressões de usuários conhecidos.
Toda essa informação não necessariamente revela exatamente quem é você, seu nome e/ou endereço de casa, mas é incrivelmente valioso para fins de propaganda, já que empresas podem usá-la para direcionar anúncios a certos grupos. Esses grupos foram criados a partir da combinação de pessoas com impressões digitais de navegadores.
Agora, você deve estar se perguntando: por que isso é feito, e por que seus dados são tão incrivelmente valiosos para essas empresas?
Os gruposinternacionais de propaganda e marketing amam seus dados. Eles farão de tudo para pôr a mão neles e rastrear suas atividades online.
Métodos de rastreamento e coleta de dados são extremamente valiosos porque permitem que empresas de publicidade criem um perfil baseado em seus dados. Quanto mais eles têm, mais precisamente eles conseguem direcionar anúncios a você, o que (indiretamente) significa maior lucro para a empresa.
Felizmente, nem tudo é ruim. A coleta de impressões digitais de navegadores também é usada para identificar as características de redes de bots (robôs), porque as conexões dessas redes são estabelecidas por um equipamento diferente a cada vez.
Essa análise pode levar à identificação de fraudes e outras atividades suspeitas que precisam ser investigadas.
Bancos usam esse método para identificar casos potenciais de fraude.
Se uma conta mostra um comportamento online questionável, por exemplo, o sistema de segurança de um banco seria capaz de identificar que a conta está sendo acessada de locais diferentes durante um curto período de tempo ao analisar as impressões digitais.
Ao fazer isso, um hacker que tenha logado na conta usando um aparelho que nunca acessou a conta antes pode ser identificado.
Todos esses sinais sugerem fraude potencial, e geralmente provocam investigações mais profundas ou o congelamento preventivo de uma conta.
Métodos usados para rastreamento por meio de coleta de impressão digital
Sites usam vários métodos diferentes para rastrear usuários na internet. Ao fazê-lo, podem coletar informações e coletar as impressões de seu navegador - e você nem saberia ou veria que eles estão fazendo isso!
Agora, a pergunta é: como eles fazem?
A tecnologia permite que sites interajam com seu navegador e coletem informações. Nas seções seguintes, vou falar sobre como os sites interagem com seu navegador e como eles obtêm informações.
1. Cookies e rastreamento
Uma forma comum de sites obterem seus dados é usar cookies. Eles são pequenos pacotes de arquivos de texto que são armazenados em seu computador. Contêm certos dados que podem dar a sites informações para melhorar a experiência de uso.
Sites lembram e rastreiam computadores particulares e dispositivos carregando os cookies (pequenos pacotes de dados) em seu computador.
Toda vez que você visita um site, seu navegador fará o download de cookies. Quando você visita o mesmo site algum tempo depois, ele avaliará os pacotes de dados e te fornecerá uma experiência de uso personalizada.
Pense sobre o tamanho da fonte ou a resolução de tela que você visualiza em um site. Se ele sabe que você sempre usa um iPhone 8, dará a você as melhores configurações para seu iPhone. Desta forma, o site também sabe se você é um visitante único ou alguém que está retornando ao site. Os cookies também armazenam dados sobre atividade de navegação, hábitos, interesses e muito mais.
Além disso, sites usam Javascript, que interage com visitantes para realizar certas tarefas, como rodar um vídeo. Essas interações também iniciam uma resposta, e, desta forma, recebem informação sobre você.
2. Registro de impressão digital com “canvas”
O mais novo método de obter informações de navegadores se chama “Registro de Impressão Digital por ‘Canvas’”. Resumindo, sites são feitos em código HTML5, e dentro desse código há um pedacinho que captura a impressão digital do seu navegador.
Então, como os sites fazem isso, exatamente? Deixe-me explicar.
Este novo método de rastreamento que os sites usam para obter a impressão digital do seu navegador é ativado por novas funções do HTML5.
HTML5 é a linguagem de código usado para construir sites. É a pedra fundamental de todo site. Dentro da linguagem, há um elemento chamado “canvas” (“tela”, em inglês).
Originalmente, o elemento <canvas> era usado para colocar gráficos em uma página web.
A Wikipedia fornece a seguinte explicação para como o uso do elemento “canvas” coleta impressão digital de navegadores:
“Quando um usuário visita a página, o código que registra a impressão digital do navegador primeiro exibe o texto com a fonte e o tamanho de sua escolha e acrescenta cores de fundo. Depois, o código aciona a função ToDataURL para capturar o dado de pixel da tela no formato dataURL, que é basicamente uma representação codificada dos dados binários. Finalmente, o código pega a função 'hash' do dado codificado, que serve como impressão digital”
Em bom Português, isso significa que o elemento "canvas" gera certos dados, como o tamanho da fonte e configurações de cor de plano de fundo do navegador do visitante, em um site. Essa informação serve como a impressão digital única de cada visitante.
Ao contrário de como os cookies funcionam, a extração de impressões digitais por meio do canva não carrega nada para dentro de seu computador, então você não conseguirá deletar nenhum dado, pois não está armazenado no equipamento, e sim em outro lugar.
3. Registro de impressão digital x seu endereço IP
Creio que muitas pessoas preocupadas com privacidade online, como eu, estão cientes do fato de que esconder seu endereço IP é um método importante para esconder sua identidade online.
O protocolo de endereço IP é desenhado para enviar uma solicitação a um servidor cada vez que um usuário interage com um site ou serviço, porque o servidor precisa de um endereço IP para enviar uma resposta.
Isso significa que seu endereço IP é uma composição única de números que aponta diretamente para seu aparelho. Donos de sites mais afeitos à tecnologia conseguem até mesmo rastrear que outros sites você visita, a conta com a qual você está logado e às vezes sua localização geográfica.
Claro que isso exigiria um pouco mais de esforço, mas é meio assustador que seja possível.
Teste a impressão digital de seu navegador
Há várias ferramentas disponíveis que possibilitam testar a identidade de seu navegador. Você pode usar “Am I Unique”, “PANOPTICLICK” ou “Unique Machine” para testar a identidade de seu aparelho.
Nota: à época em que este artigo foi escrito, o Unique Machine ainda estava em desenvolvimento, mas deve ser lançado em breve.
Qualquer uma dessas ferramentas avaliará a impressão digital do seu navegador e medirá quão únicos seus dados realmente são.
Am I Unique usa uma lista extensa de 19 atributos (pontos de dados). Os atributos mais significativos incluem se os cookies estão habilitados, que plataforma você usa, que tipo de navegador (e sua versão) e computador você usa, e se cookies de rastreamento estão bloqueados.
No site do Am I Unique, simplesmente clique em “View my browser fingerprint” (Veja a impressão digital do meu navegador, em inglês):
Quando você clica em “View more details” (Veja mais detalhes, em inglês), pode ver todas as informações específicas que o navegador está fornecendo ao servidor. Meu navegador é único entre todas as amostras que eles reuniram até agora (quase 700 mil)!
Você também pode fazer o teste com o Panopticlick. É um projeto de pesquisa da Electronic Frontier Foundation (EFF)
No site do Panopticlick, clique em “TEST ME” para verificar quão protegido seu navegador está contra rastreamento.
O Panopticlick também faz outros testes para avaliar a identidade de seu navegador. Publiquei meus resultados abaixo.
O Panopticlick testa se seu navegador:
1. Bloqueia anúncios que fazem rastreamento
2. Bloqueia rastreadores invisíveis
3. Bloqueia rastreadores visíveis
3. Desbloqueia sites que prometem cumprir a promessa de “Não Rastrear”
4. Está, no geral, protegido contra extração de impressão digital de navegador
Como a análise mostra, os resultados são mistos. Tenho "alguma proteção" contra rastreamento na web, mas claramente não é boa o suficiente. Meu navegador bloqueia certos itens parcialmente, mas não bloqueia outros de forma alguma.
Esta análise conclui que a impressão digital do meu navegador é única. O Panopticlick recomenda instalar a extensão Privacy Badger ("Texugo da Privacidade", em tradução livre). Mais sobre isso na parte "Como se defender do registro de impressão digital de navegadores".
Como se defender do registro de impressão digital de navegadores
Provavelmente é impossível se proteger completamente contra o registro de impressões digitais. Talvez novos softwares ou outras formas de combater a prática suficientemente sejam desenvolvidas em um futuro próximo.
Apesar disso, há algumas ferramentas e métodos disponíveis para melhorar sua privacidade online e minimizar a possibilidade de identificação.
Veja os métodos mais efetivos:
1. Use métodos de navegação anônima
Vários navegadores como Chrom, Safari e Firefox permitem que os usuários naveguem em modo anônimo.
O modo anônimo torna sua navegação privada padronizando seu "perfil" com certos pontos de dado genéricos. Esses pontos são parte de sua impressão digital, então, como muitas pessoas usam as mesmas configurações de "perfil", as impressões parecem similares.
Isso reduz bastante as chances de ter uma impressão única.
2. Use plugins
Você também pode instalar plugins para impedir rastreadores, que são usados por certos sites, de rodarem em seu navegador.
Plugins como AdBlock Plus, Privacy Badger, Disconnect e NoScript são feitos para bloquear códigos que potencialmente ativam anúncios espiões e rastreadores invisíveis.
Em alguns sites, isso vai significar uma experiência de uso menos satisfatória. Mas é possível desativar os plugins para alguns sites nos quais você confia, incluindo-os em uma lista de isenção.
O Panopticlick recomenda o uso de seu Privacy Badger, uma extensão para navegadores que impede anúncios e outros rastradores de terceiros de rastrear sua atividade online.
O NoScript requer mais tempo para ser configurado e usado com eficácia, pois bloqueia JavaScript em todos os sites por padrão. Isso significa que você terá de liberar o JavaScript manualmente em cada site confiável.
3. Desative JavaScript e Flash
Um dos métodos mais eficazes que você pode usar para se proteger da coleta de impressão digital de navegadores é desabilitar o JavaScript e o Flash.
Quando o JavaScript é desativado, sites não conseguem detectar a lista de plugins ativos e fontes que você usa, então eles também não conseguem instalar certos cookies em seu navegador.
A desvantagem de desabilitar o JavaScript é que os sites nem sempre funcionarão direito, porque ele também é usado para fazer os sites rodarem bem em seu aparelho. Isso terá impacto em sua experiência de navegação.
Por outro lado, o Flash pode ser desativado sem impacto negativo no uso dos sites. Geralmente, o Flash só interfere na experiência de navegação quando você visita sites antigos.
4. Instale programas anti-malware
Programas anti-malware são sempre úteis, independentemente de se você quer privacidade online ou só proteção geral para seu dispositivo e arquivos/dados pessoais.
O Malwarebytes e o HitmanPro são ambos excelentes programas anti-malware que rodam perfeitamente bem junto com antivírus e servem como uma segunda camada de proteção.
Na maior parte dos casos, anti-malwares bloqueiam anúncios, barras de ferramentas irritantes ou perigosas, e programas espiões que podem estar rodando em segundo plano no seu sistema.
Esses programas e códigos estão diretamente ligados à impressão digital do seu navegador. Então, é melhor ter um navegador limpo e deletar essas ameaças com uma ferramenta anti-malware.
Quando você instalar uma, seja esperto e ative, nas configurações, verificações automáticas completas a cada semana ou, pelo menos, a cada mês.
5. Use o navegador Tor
Se você é extremamente sério sobre navegação segura e proteção contra registro de impressões digitais de navegadores, deve considerar instalar o navegador Tor.
A melhor forma seria usar o Tor combinado com uma VPN confiável. Devido ao fato de que o Tor usa certas configurações padrão, que são idênticas para todo usuário, é mais difícil identificar impressões digitais únicas de navegadores.
Além disso, o Tor bloqueia agressivamente JavaScript em sites.
O maior problema de usar o Tor é a velocidade mais baixa de navegação, e o fato de que só protege o tráfego de internet enviado por meio dele próprio e não de outros navegadores, como Firefox ou Chrome.
6. Use uma VPN
Um dos métodos mais populares de esconder um endereço IP é instalar uma Rede Privada Virtual (VPN, na sigla em inglês).
Como a imagem abaixo mostra, uma VPN é como um meio-campo. Ao invés de conectar diretamente a um servidor, você se conecta ao servidor da VPN antes, e ele conecta você ao site. Ao fazer isso, seu endereço IP fica oculto do servidor do site.
Usar uma VPN é uma forma bem eficaz de esconder seu endereço IP, porque o servidor só consegue ver o endereço da VPN (que provavelmente é usado por vários outros usuários).
Mas seu endereço IP é só um dos aspectos da sua identidade online.
Independentemente do IP que o servidor do site vê, as configurações do seu navegador, versão e etc., que geram uma impressão digital única, não podem ser bloqueados por uma VPN.
Isso significa que os dados do seu navegador ainda permitem que o servidor te identifique como um usuário único, não importa se você usa uma VPN. Usada em conjunto com outros métodos, porém, a VPN pode ser uma ótima ferramenta.
Leia meu post sobre VPNs para mais informações.
Ideias finais
A coleta de impressões digitais de navegadores é uma séria ameaça à privacidade online, e vai bem além de simplesmente checar um endereço IP.
Ela usa uma extensa lista de pontos de dados que, juntos, criam a impressão digital de seu navegador. Essa impressão tende a ser extremamente particular.
Sites podem usar essa impressão para coletar e gerar um arquivo pessoal detalhado dos sites que você visitou ou direcionar anúncios super personalizados para você.
Há vários métodos que você pode usar para cobrir suas pegadas na internet. Vamos revisar os métodos mais eficazes:
1. Usar o modo anônimo
2. Instalar plugins de segurança
3. Desabilitar JavaScript e Flash
4. Instalar programas anti-malware
5. Usar uma VPN
6. Usar o navegador Tor
Como mostrado em "Teste a impressão digital do seu navegador", meu navegador tem uma impressão digital única. Mas depois de eu usar os métodos listados acima, ele ficou significativamente mais protegido contra a coleta de impressões digitais.
Como se vê abaixo, consegui reduzir a particularidade do meu navegador de 1 em 286.777 para 1 em 93.25, o que é uma grande diferença.