L’aumento degli agenti AI capaci di utilizzare browser completi e interagire autonomamente con siti e applicazioni sta modificando anche le tecniche impiegate per proteggere i servizi Web. Molte attività svolte dai bot non sono di per sé malevole: possono riguardare indicizzazione, monitoraggio o automazione legittima. Altre, invece, vengono utilizzate per creare account in massa, aggirare limitazioni, effettuare credential stuffing (tentativi automatici di accesso con credenziali rubate), sottrarre dati tramite scraping, acquistare automaticamente prodotti molto richiesti o condurre campagne di frode.

Per limitare queste attività, i sistemi di protezione cercano di distinguere il traffico generato da persone da quello prodotto da software automatizzati. Molte soluzioni continuano a basarsi sull’analisi di singole richieste HTTP oppure su verifiche puntuali, come CAPTCHA e challenge, ma l’automazione più evoluta è ormai in grado di eseguire JavaScript, mantenere una sessione di navigazione e superare controlli che fino a pochi anni fa risultavano sufficienti per identificare un bot.

Per questo motivo l’attenzione si sta spostando dal singolo evento all’osservazione dell’intero comportamento durante la navigazione. Invece di chiedersi se una richiesta sia legittima, i sistemi di protezione cercano di stabilire se l’insieme delle azioni compiute nel corso di una sessione corrisponda a quelle di una persona oppure a quelle di un software automatizzato.

Cloudflare risponde a questa evoluzione con Precursor, una nuova tecnologia integrata nella piattaforma Enterprise Bot Management. Il sistema raccoglie continuamente segnali comportamentali dal browser dell’utente durante la sessione e li utilizza in tempo reale per aggiornare i meccanismi di rilevamento dei bot, estendendo l’analisi oltre i tradizionali punti di controllo come login, registrazione o pagamento.

Dal controllo puntuale all’analisi continua della navigazione

Ogni giorno la rete Cloudflare analizza oltre 1.000 miliardi di richieste HTTP, provenienti da più del 20% del traffico Web mondiale. Queste informazioni vengono utilizzate per costruire modelli di reputazione, individuare anomalie e migliorare continuamente i sistemi di rilevamento del traffico automatizzato.

Su questo patrimonio di dati si basa anche Turnstile, il sistema di verifica sviluppato come alternativa ai CAPTCHA tradizionali, che viene eseguito quasi 3 miliardi di volte al giorno nei principali punti di accesso delle applicazioni Web, come pagine di autenticazione, registrazione e pagamento. Nel tempo Turnstile si è evoluto da semplice sostituto dei CAPTCHA a sistema di challenge adattive, che modula automaticamente il livello di verifica richiesto in funzione del rischio stimato.

Queste verifiche, tuttavia, riguardano soltanto alcuni momenti della navigazione. Dopo avere superato il login o un’altra challenge, il resto della sessione rimane in larga parte invisibile ai meccanismi di rilevamento lato client. È proprio questo intervallo che, secondo Cloudflare, sta diventando sempre più interessante per le forme di automazione più evolute.

Framework di browser automation come Playwright o Puppeteer, quando utilizzati per realizzare sistemi automatizzati, così come gli agenti AI progettati per operare direttamente sul Web, sono ormai in grado di utilizzare browser completi, eseguire JavaScript, mantenere cookie e stato della sessione e interagire con le pagine in modo molto simile a un utente reale. Superare una singola challenge rappresenta quindi un ostacolo sempre meno efficace per distinguere una persona da un software automatizzato.

Precursor osserva ciò che avviene tra questi punti di controllo. Anziché basare la valutazione su eventi isolati, il sistema analizza l’evoluzione del comportamento durante l’intera sessione. In questo modo continua a raccogliere informazioni anche tra una richiesta HTTP e la successiva, una parte della navigazione che normalmente rimane fuori dal campo di osservazione dei sistemi di protezione tradizionali.

Anche quando un software riesce a simulare singole azioni credibili, riprodurre in modo coerente il comportamento umano durante un’intera sessione rimane molto più complesso. Precursor sfrutta proprio questa differenza, costruendo progressivamente una visione dell’intera sessione anziché limitarsi a valutare eventi isolati.

L’analisi dell’intera sessione aggiunge quindi nuovi elementi al bot score, il punteggio utilizzato dalla piattaforma per stimare la probabilità che il traffico provenga da un utente reale oppure da un sistema automatizzato. Una valutazione più accurata consente di ridurre il numero di challenge richieste agli utenti legittimi e, allo stesso tempo, aumenta la complessità delle automazioni, che non devono più simulare soltanto un clic o un login, ma un’intera sequenza di comportamenti plausibili.

Precursor raccoglie segnali comportamentali durante tutta la sessione

Precursor è una funzionalità opzionale della piattaforma Cloudflare Enterprise Bot Management e non sostituisce Turnstile, ma ne estende le capacità di rilevamento. Quando viene attivato, Cloudflare inserisce automaticamente nelle pagine HTML distribuite dalla propria rete un piccolo script JavaScript assemblato dinamicamente per ogni risposta. Lo script è progettato per essere leggero, viene offuscato, non richiede modifiche al codice dell’applicazione, non apre connessioni aggiuntive verso servizi esterni e non utilizza componenti di terze parti, così da integrarsi nel funzionamento del sito senza interferire con la logica dell’applicazione.

Lo script rimane attivo durante la navigazione e registra una serie di segnali comportamentali (behavioral signals) che descrivono il modo in cui l’utente interagisce con il sito. Tra questi rientrano i movimenti del puntatore, l’attività della tastiera, i cambi di focus tra gli elementi della pagina e gli eventi che indicano se la scheda del browser è visibile o è passata in secondo piano.

Le informazioni raccolte vengono serializzate in un formato compatto, mantenute temporaneamente in memoria e inviate periodicamente ai sistemi di analisi di Cloudflare. L’elaborazione avviene sull’edge, cioè nei server distribuiti della rete Cloudflare più vicini all’utente. Qui un dispatcher distribuisce i dati a una serie di moduli di analisi specializzati (evaluator), ciascuno dedicato a specifiche categorie di eventi, che producono i segnali utilizzati dai sistemi di rilevamento.

Gli evaluator non analizzano i dati in modo indipendente, ma li correlano tra loro. Possono, ad esempio, verificare che i movimenti del puntatore siano compatibili con il tempo durante il quale la pagina è rimasta realmente visibile oppure che gli eventi della tastiera avvengano solo quando un campo di testo è effettivamente selezionato. I risultati delle diverse verifiche vengono consolidati e contribuiscono progressivamente alla valutazione complessiva della sessione.

Il comportamento umano è più difficile da simulare di una singola azione

Il movimento del mouse offre un esempio efficace del tipo di segnali analizzati da Precursor. Molte librerie di automazione cercano di rendere più credibili gli spostamenti del puntatore aggiungendo rumore casuale o ritardi generati matematicamente. Il comportamento umano, tuttavia, non è semplicemente casuale, ma riflette caratteristiche fisiologiche e cognitive difficili da riprodurre in modo coerente.

Un primo elemento riguarda il movimento del polso e dell’avambraccio. Lo spostamento del mouse tende a seguire traiettorie leggermente arcuate, determinate dalla biomeccanica della mano, mentre molte automazioni producono linee perfettamente rette oppure curve di Bézier matematicamente regolari.

Precursor non valuta un singolo movimento del mouse, ma il comportamento osservato durante l’intera sessione. La differenza tra traiettorie generate da una libreria di automazione (sopra) e da un utente reale (sotto) emerge dalla regolarità dei movimenti, dai tempi di reazione e dalle continue microcorrezioni tipiche dell’interazione umana.

Anche i tempi di reazione costituiscono un indicatore. Tra il momento in cui una persona individua un pulsante o una casella di controllo e quello in cui effettua il clic esiste un ritardo naturale legato all’elaborazione cognitiva. Un software, invece, tende a reagire con tempi estremamente regolari o troppo rapidi.

Tra gli esempi riportati figura anche il tremore fisiologico, le piccole oscillazioni involontarie della mano presenti anche nei movimenti più precisi. Si tratta di variazioni minime che, considerate singolarmente, hanno un valore limitato ma che, osservate nel corso di una sessione, contribuiscono a delineare un comportamento tipicamente umano.

Nessuno di questi elementi sarebbe sufficiente, da solo, per classificare una sessione. La differenza emerge dall’osservazione dell’insieme delle interazioni: piccoli aggiustamenti del puntatore, correzioni di traiettoria, variazioni nella velocità dei movimenti, tempi di risposta e relazioni tra eventi costruiscono nel tempo un profilo comportamentale molto più difficile da imitare rispetto al superamento di una singola challenge.

Analisi progressiva e valutazione dell’intera sessione

I dati raccolti da Precursor non vengono valutati pagina per pagina, ma rimangono associati all’intera sessione di navigazione. Questo significa che il sistema continua ad accumulare informazioni man mano che l’utente visita nuove pagine o interagisce con l’applicazione, senza che sia possibile azzerare il profilo comportamentale semplicemente aggiornando la pagina o avviando una nuova challenge.

La valutazione continua quindi a evolversi durante tutta la sessione. I metadati raccolti alimentano ulteriori livelli di analisi che confrontano l’evoluzione prevista della navigazione con quella effettivamente osservata, ricercano anomalie e schemi riconducibili a processi automatizzati e contribuiscono ad affinare progressivamente il bot score associato alla sessione.

Le informazioni prodotte da Precursor confluiscono direttamente nei meccanismi già presenti nella piattaforma Cloudflare, contribuendo ad aggiornare il bot score, le decisioni relative alle challenge e le regole di sicurezza applicate al traffico. I sistemi di rilevamento possono così utilizzare un insieme di segnali più ricco rispetto a quello disponibile analizzando esclusivamente le richieste HTTP.

Privacy e nuove analisi basate sulle sessioni

La raccolta continua di dati comportamentali potrebbe sollevare interrogativi sul piano della privacy, un aspetto affrontato esplicitamente nella progettazione di Precursor. Il sistema acquisisce soltanto le informazioni strettamente necessarie per distinguere il comportamento umano da quello automatizzato.

Nel caso della tastiera, ad esempio, vengono analizzati il ritmo e la temporizzazione della digitazione, ma non i tasti premuti. I segnali vengono inoltre valutati come pattern aggregati e utilizzati esclusivamente dai sistemi interni di rilevamento dei bot. Cloudflare precisa che non vengono associati ad account utente, identità di accesso o profili persistenti.

L’introduzione di Precursor porta anche una novità negli strumenti di Security Analytics della piattaforma. Accanto alle tradizionali analisi basate sulle singole richieste HTTP, gli amministratori possono visualizzare informazioni riferite all’intera sessione di navigazione, osservando il percorso seguito dai visitatori, i punti nei quali il comportamento si discosta da quello previsto e le sessioni che mostrano caratteristiche riconducibili a processi automatizzati. Questa vista consente anche di analizzare ciò che avviene tra una richiesta HTTP e la successiva, una parte della navigazione che normalmente non compare nelle analisi tradizionali ma che può fornire indicazioni utili per individuare forme di automazione.

Precursor è attualmente in fase di distribuzione e può essere attivato dal pannello di controllo Cloudflare per gli utenti di Enterprise Bot Management. Fino al rilascio della versione GA (General Availability), previsto entro la fine dell’anno, sarà disponibile senza costi aggiuntivi. Gli amministratori possono utilizzarlo in modalità di osservazione, raccogliendo segnali comportamentali senza modificare l’esperienza dell’utente, oppure richiedere una sessione verificata applicando challenge quando il sistema non dispone ancora di elementi sufficienti per valutarne l’affidabilità. I segnali raccolti vengono integrati direttamente nel calcolo del bot score, nelle decisioni relative alle challenge e nelle regole di sicurezza già applicate dalla piattaforma.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome