Immaginate di stare tranquilli nella vostra workstation, con un terminale aperto, un progetto su Blender che renderizza in background e magari un vecchio emulator di Commodore 64 che gira in un angolo. Vi sentite al sicuro, protetti dai vostri script e dai vostri firewall. E invece, mentre state solo navigando su un sito qualunque per cercare un driver o un modello 3D, il vostro disco rigido sta sussurrando i vostri segreti al mondo intero.
La notizia, che arriva dritta da Ars Technica, è una di quelle che ti fa venire voglia di buttare tutto nel tritacarte (o, meglio, di riciclarlo con la vostra macchina in PLA). È stato scoperto che i siti web possono monitorare l’attività del tuo SSD usando semplice, purissimo, e terribilmente inquietante JavaScript. Sì, avete letto bene. Non serve un malware che installi un rootkit profondo nel kernel; basta un pezzetto di codice che gira nel browser per misurare i micro-ritardi nelle operazioni di lettura e scrittura del disco.
Il meccanismo è un classico attacco side-channel. Poiché il browser condivide risorse con il sistema operativo, le operazioni intense sul disco creano dei pattern di latenza rilevabili. Analizzando questi picchi di attività, un malintenzionato può creare un’impronta digitale (fingerprinting) quasi unica del tuo sistema. È un metodo di tracking che bypassa gran parte dei classici blocchi basati sui cookie, perché non sta guardando *cosa* stai facendo, ma *come* il tuo hardware sta reagendo.
Dal punto di vista di chi ama smanettare con l’hardware, la cosa è tecnicamente affascinante ma eticamente da brividi. È la dimostrazione definitiva che l’astrazione che ci permette di far girare codice web sicuro è un’illusione. Il confine tra il sandbox del browser e l’hardware fisico è molto più poroso di quanto vorremmo ammettere. Se un semplice script può leggere l’andamento delle prestazioni del tuo SSD, cosa impedisce di inferire pattern di utilizzo di altre risorse?
Cosa significa per noi, che viviamo tra script Python, automazioni CNC e server domestici? Significa che la superficie di attacco si è spostata su un livello che non controlliamo quasi mai direttamente. Non puoi ‘patchare’ la fisica della latenza del disco. La soluzione non è solo un altro plugin per Chrome (che tanto spesso è solo un altro modo per raccogliere dati), ma una revisione profonda di come i browser gestiscono l’accesso alle metriche di performance del sistema.
In un mondo dove il corporate-speak ci vende la ‘privacy totale’ mentre le big tech erigono muri di sorveglianza sempre più sottili, l’unica risposta sensata è continuare a capire come funzionano le cose sotto il cofano. Restate curiosi, restate paranoid e, se potete, isolate i processi critici. Il vostro SSD non è un testimone fedele, è un informatore non pagato.
Source: Websites have a new way to spy on visitors: analyzing their SSD activity