set 29 2010

Mi hanno beccato!


Anche questa volta parliamo di sicurezza, ma è sempre colpa nostra la mancanza di sicurezza? Nell’ultima settimana di luglio, si è tenuta a Las Vegas (Nevada, USA), la convention del “”. Tra le tante sessione c’è stata quella tenuta da dal titolo “Come ho incontrato la tua ragazza”. Cosa ha fatto ? Ha messo insieme alcune cose abbastanza semplici ed è quindi riuscito a sapere con una estrema precisione dove si trovasse un determinato utente del suo sito.

Vi spiego brevemente come ha fatto. Tutti saprete e avrete visto le macchine di Google andare in giro per l’Italia e per tutto il mondo. Queste vetture, viaggiando, oltre a videoriprendere le strade, acquisivano informazioni sugli AccessPoint Wifi che incontravano. Non catturavano il vostro traffico ma il nome del vostro router, il mac-address (ossia l’indirizzo fisico univoco per ogni oggetto che si collega ad internet), e la sua posizione geografica. Queste informazioni sono ora disponibili su internet. Il mac-address è un’informazione che “gira” solamente all’interno della rete locale, quindi tecnicamente, da fuori del mio router, un esterno non può venirne a conoscienza.

Kamkar non ha fatto altro che scrivere una pagina web, con dentro, ben nascosto un XSS (cross side scripting, ossia una parte di codice che viene eseguita lato utente e non lato server). Questo XSS ha chiesto al nostro router il suo mac-address, ed essendo noi connessi dentro la nostra rete locale, il router ci ha dato tale informazione. Fatto questo l’XSS ha spedito questa informazione sul server di Kamkar. Il quale con una semplice interrogazione su Google Location Services ottiene informazioni del tipo:

  • coordinate geografiche
  • nazione
  • citta
  • via
  • livello di precisione
  • codice avviamento posta
  • cartina geolocalizzata

Lascio a voi ogni commento.

Related Posts with Thumbnails

By sicurezza 1 • Tags: ,