[Ninux-Wireless] Una visita Web e so esattamente dove sei

LuX lux a autistici.org
Mar 10 Ago 2010 16:34:19 CEST 

Copio-incollo per chi è in semi-off-line-mode (in vacanza) 
e non ha tempo/modo di navigare sul web.. 
..ma scarica comunque la posta nei modi più disparati :)

L'articolo originale è qui:
 http://attivissimo.blogspot.com/2010/08/una-visita-web-e-so-esattamente-dove.html


Falla nei router permette di localizzare gli utenti via Web

Lo smanettone ed esperto di sicurezza Samy Kamkar[0] ha documentato una vulnerabilità nel modo in cui i router gestiscono le richieste di identificazione, che può essere sfruttata per localizzare con estrema precisione un visitatore di un sito Web. Per "estrema precisione" s'intende nove metri, in uno dei casi dimostrati da Kamkar alla conferenza Black Hat[1] a Las Vegas pochi giorni fa. La sua presentazione era intitolata, in modo piuttosto inquietante, "Come ho incontrato la tua ragazza".

La vulnerabilità funziona così. Di solito ci si connette a Internet tramite un router (magari Wifi) e di norma solo i computer connessi direttamente al router possono interrogarlo per ottenerne l'identificativo univoco, il MAC address. Ma Kamkar ha trovato il modo di confezionare una pagina Web in modo da attivare un'interrogazione che sembra provenire dal computer localmente connesso e passarla alla geolocalizzazione di Google. Le auto di Google che hanno mappato le città per il servizio Street View hanno infatti associato alle coordinate GPS i MAC address dei router incontrati durante le loro esplorazioni.

In questo modo il ficcanaso di turno può ottenere l'ubicazione geografica precisa del router e quindi localizzare e identificare il visitatore. Questa localizzazione non si basa sull'indirizzo IP, come altre funzioni già disponibili in Rete. La dimostrazione online[2] di Kamkar funziona con qualunque browser.

Kamkar è famoso (o famigerato) perché nel 2005 creò un worm che sfruttava le falle dei browser e gli permise di raccogliere oltre un milione di "amici" su Myspace in un solo giorno. La bravata gli costò una condanna in tribunale, con tre anni di libertà vigilata, tre mesi di servizio civile e un'ammenda.

Il rischio riguarda solo gli utenti di router Wifi che siano stati catalogati da Google, ma è un'altra dimostrazione di come l'anonimato su Internet sia sempre più un mito. Chi pensa di poter approfittare della Rete per fare lo stupido senza farsi beccare stia quindi attento.

[0]= http://search.intelius.com/i/f71HNEgtB/Samy-Kamkar.jpg
[1]= http://www.blackhat.com/html/bh-us-10/bh-us-10-briefings.html
[2]= http://samy.pl/mapxss/


P.S. L'ho provato con un paio di MAC address di access point a me noti 
     luogo correttamente indicato (con approssimazione max di 112m).

--
LuX

-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        PGP.sig
Tipo:        application/pgp-signature
Dimensione:  203 bytes
Descrizione: Questa è un messaggio firmato elettronicamente
URL:         <http://ml.ninux.org/pipermail/wireless/attachments/20100810/cdc5596f/attachment-0001.sig>

Maggiori informazioni sulla lista Wireless