skip to main | skip to sidebar
40 commenti

Una visita Web e so esattamente dove sei

Falla nei router permette di localizzare gli utenti via Web


Lo smanettone ed esperto di sicurezza Samy Kamkar ha documentato una vulnerabilità nel modo in cui i router gestiscono le richieste di identificazione, che può essere sfruttata per localizzare con estrema precisione un visitatore di un sito Web. Per "estrema precisione" s'intende nove metri, in uno dei casi dimostrati da Kamkar alla conferenza Black Hat a Las Vegas pochi giorni fa. La sua presentazione era intitolata, in modo piuttosto inquietante, "Come ho incontrato la tua ragazza".

La vulnerabilità funziona così. Di solito ci si connette a Internet tramite un router (magari Wifi) e di norma solo i computer connessi direttamente al router possono interrogarlo per ottenerne l'identificativo univoco, il MAC address. Ma Kamkar ha trovato il modo di confezionare una pagina Web in modo da attivare un'interrogazione che sembra provenire dal computer localmente connesso e passarla alla geolocalizzazione di Google. Le auto di Google che hanno mappato le città per il servizio Street View hanno infatti associato alle coordinate GPS i MAC address dei router incontrati durante le loro esplorazioni.

In questo modo il ficcanaso di turno può ottenere l'ubicazione geografica precisa del router e quindi localizzare e identificare il visitatore. Questa localizzazione non si basa sull'indirizzo IP, come altre funzioni già disponibili in Rete. La dimostrazione online di Kamkar funziona con qualunque browser.

Kamkar è famoso (o famigerato) perché nel 2005 creò un worm che sfruttava le falle dei browser e gli permise di raccogliere oltre un milione di "amici" su Myspace in un solo giorno. La bravata gli costò una condanna in tribunale, con tre anni di libertà vigilata, tre mesi di servizio civile e un'ammenda.

Il rischio riguarda solo gli utenti di router Wifi che siano stati catalogati da Google, ma è un'altra dimostrazione di come l'anonimato su Internet sia sempre più un mito. Chi pensa di poter approfittare della Rete per fare lo stupido senza farsi beccare stia quindi attento.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (40)
Terrificante... Ma non mi stupisce.
io credo che il rischio riguardi solo i router che montano software buggato, quello citato nel post. Poi c'è da dire che visitando una pagina malevola con un browser più o meno recente, questa non può automaticamente inoltrare richieste al router per le politiche di sicurezza dei browser che impediscono richieste js fuori dal dominio della pagina che si sta visitando. Bisogna quindi cliccare su un link, insomma un utente attento può ancora navigare sicuro
La bravata gli costò una condanna in tribunale, con tre anni di libertà vigilata, tre mesi di servizio civile e un'ammenda.

A sentirla così mi sembra un po' eccessivo...

Chi pensa di poter approfittare della Rete per fare lo stupido senza farsi beccare stia quindi attento.

Speriamo...
X potacchine

Poi c'è da dire che visitando una pagina malevola con un browser più o meno recente, questa non può automaticamente inoltrare richieste al router per le politiche di sicurezza dei browser che impediscono richieste js fuori dal dominio della pagina che si sta visitando.

Vero se stai utilizzando l'oggetto XMLHttpRequest, ma esistono altre tecniche ben conosciute, come per esempio l'iniezione di tag script.

Riguardo questo caso particolare mi pare di capire che fuznzioni con determinati modelli di router dei quali è noto l'IP nella intranet e nei quali l'utente si è loggato nella stessa sessione del browser oppure ha mantenutola password amminsitrativa di default. Difficile, ma non impossibile. Poi c'è da considerare che la geolocalizzazione tramite MAC non è così esatta, a casa mia a volte mi piazza in Olanda, altre volte in Germania, altre volte in provincia di Bergamo, altre ancora ci azzecca meglio di un GPS. La situazione sarà ancora più rischiosa quand Google potrà contare sulla mole di dati che arrivano dai suoi servizi mobile, in particolare da quelli sui cellulari Android.
Salve a tutti, ho provato con il mio router e mi ha localizzato con una precisione estrema, quasi preoccupante!
Poichè tutto il sistema si basa sull'associazione tra posizione geografica e MAC address dei router raccolti da Google durante le campagne di rilievo per Google street view, è possibile far cancellare tali dati da Google oppure il nostro MAC address è ormai schedato per sempre?
Qualcuno può illuminarci sugli aspetti normativi o legali della questione?
Con me ha sbagliato di una trentina di Km, ma dubito che sia passato dalle mie parti una macchina di Google.

Ciao
VB
il mio mac non cè, forse troppo debole il segnale alla strada o forse era spento il wireless, cmq la cosa non va bene davvero
qui sbaglia di parecchio, ma per ovvi motivi non è colpa sua ;)

ma non è tanto cosa fa questa demo adesso, è come al solito la possibilità che ci sia modo... oggi funziona solo con... e domani magari uno trova un metodo ancora più ampio. e via così...

ecco perchè tra l'altro ho una lan cablata :P
Suppongo riguardi solo chi non ha applicato alcuna crittografia al proprio router wireless, e che lo avesse acceso durante il passaggio della google car.
Inoltre la precisione della localizzazione dipende dalla posizione del router rispetto alla strada.
Considerato poi che in Italia non si può "offrire" libero accesso alla rete con router wireless non protetti, mi vien da dire chi è causa del suo mal....
Questo commento è stato eliminato dall'autore.
X ubik15

Suppongo riguardi solo chi non ha applicato alcuna crittografia al proprio router wireless

No, il MAC address si legge in chiaro anche se hai impostato la crittografia.
ehm scusate l'ignoranza,ma dove trovo il mio numero da inserire nella pagina sgama-posizioni?
ah,e comunque la ritengo una porcheria.
a chi può servire una tecnologia di questo tipo(come se ce ne fosse bisogno)?a sbirri,militari e impiccioni.come se non bastassero le centinaia di telecamer in città,allo spam,a googl street view..eh si,proprio utile..
@ubik15:
> e che lo avesse acceso durante il passaggio della google car.

E chi lo sapeva che sarebbe passata la GoogleCar (azione che potrebbe fare, volendolo, qualunque altra "car")?
Questo commento è stato eliminato dall'autore.
Ho approfittato della pausa pranzo per fare qualche prova perchè lo sbirciare nei router dei navigatori tramite siti web è comunque una sfida interessante, e mi devo correggere:

Vero se stai utilizzando l'oggetto XMLHttpRequest, ma esistono altre tecniche ben conosciute, come per esempio l'iniezione di tag script.

nel caso in questione l'iniezione del tag script non funziona perchè la pagina del router non è codice javascript valido, penso allora che si potrebbe usare la tecnica degli iframe, ma se non ricordo male IE le blocca. Magari con uno dei domini in https, ma qui non sono ferrato.
Sarei proprio curioso di sapere che tecnica ha utilizzato Samy Kamkar (che dichiara essere compatibile con tutti i browser).
O sono io che non ho capito il funzionamento o qualcosa mi sfugge... Se la rilevazione è legata a streetview di googlemaps come sono possibili questi due fenomeni:

1. a seconda che provi il servizio dal mio pc o dal portatile (in LAN con stesso router solo in 2 stanze differenti) in un caso mi indica la posizione giusta, nell'altro sbaglia di 500 metri.
2. stando all'immagine di streetview la macchina di google è passata davanti a casa mia quando ancora non vi abitavo e quindi quando ancora il mio router non era nepure stato acquistato.

Come è possibile?
Non credo che sia legato a streetview, abito parecchio lontano da dove è passata la macchina di gogle, è una zona abbastanza isolata.
Il segnale wifi poi non arriva neanche alla strada.
La localizzazione però è parecchio precisa, come funziona?
Un attimo, forse si sta facendo un po' di confusione.
Sulla pagina di dimostrazione linkata ci sono almeno tre strumenti diversi.

Il primo (test this XSS), è il test dell'attacco vero e proprio, che però funziona solo sul router di cui è stata scoperta la vulnerabilità (Verizon FiOS).
E' un attacco XSS (tramite inizione di tag script) che cliccando sul link porta il router a comunicare il proprio MAC ad una pagina esterna, senza avvisare l'utente.
Non è escludibile che altri router abbiano vulnerabilità simili, ma per ora funziona solo su quel determinato router.

Il secondo è un test del servizio di geolocalizzazione di html5, che funziona sulle versioni moderne di Firefox, Chrome e altri browser. E' un servizio perfettamente lecito che consente di trasmettere dati sulla propria posizione dietro conferma all'utente. Non ha niente a che fare col precedente.

Il terzo invece consente di cercare il MAC del proprio router per vedere se è stato tracciato da streetview o affini (ovviamente solo nel caso di router wifi). Presumibilmente è la stessa operazione che fa l'attacco del primo esempio dopo essere riuscito a ottenere il MAC.
@TerrorSwing:
1. a seconda che provi il servizio dal mio pc o dal portatile (in LAN con stesso router solo in 2 stanze differenti) in un caso mi indica la posizione giusta, nell'altro sbaglia di 500 metri.

Presumo che tu stia utilizzando la geolocalizzazione (secondo esempio), e non l'attacco (primo esempio), visto che non credo che in Italia quel router sia tanto diffuso.

In questo caso, non viene trasmesso solo il MAC del tuo router (che probabilmente non è stato tracciato), ma anche quelli dei router o access point che la tua antenna wifi riesce a vedere.
Probabilmente il tuo desktop e il tuo portatile vedono access point diversi, o più semplicemente il portatile ha il wifi e il desktop no.

2. stando all'immagine di streetview la macchina di google è passata davanti a casa mia quando ancora non vi abitavo e quindi quando ancora il mio router non era nepure stato acquistato.

Le immagini di streetview non sono sempre le ultime disponibili, ma ci vuole un po' di tempo per elaborarle. Magari la macchina è ripassata nel frattempo. Tra l'altro non è solo Google a effettuare mappature dei MAC wifi, ma ci sono anche altri servizi che lo fanno.

In ogni caso, credo che l'ipotesi più semplice sia che è stato mappato un MAC di una qualche antenna che il tuo portatile riesce a vedere, non necessariamente quello del tuo router.
Ma “smanettone” è una qualifica che posso mettere nel curriculum vitae?
"Sorry, didn't find anything for **-**-**-**-**-**"

..il vantaggio di stare in una strada secondaria e per di più di recente costruzione :-)
Ancora non ho capito perchè inserendo il MAC address mi localizza così bene (è giusto anche il numero civico) dato che sono molto distante da dove son passate le macchine di google e il segnale wifi fino in strada non arriva
@Rottweiler Faust:
Evidentemente qualche servizio di quelli che tracciano i mac wifi è passato. Non è solo Google, ripeto, ci sono diverse aziende che lo fanno.
Non c'è bisogno che il segnale in strada sia perfetto, basta che si prenda un minimo. Devono solo leggere essid e mac, mica connettersi.
E poi usano antenne potenti e direzionali, non l'antennina del telefono con cui magari stai facendo le prove.
Beccato al primo colpo (e da qui non ho mai visto passare le auto di streetview) ...
No, io sono immune... A Trieste non ci, ahem, cura, nemmeno Google Street View :-(
Confermo che a Trieste siamo ancora un isola (felice) dove non siamo tracciati !! Meglio...
Confermo che a Trieste siamo ancora un isola (felice) dove non siamo tracciati !! Meglio...

Non è detto che perché non vi traccia Google non vi tracci nessuno. Magari vi traccia Skyhook. O magari basta che passi sottocasa uno che stia utilizzando un qualsiasi software di geolocalizzazione, che nel 99% dei casi prendono tutti i dati raccolti.

Ma non credo che ci sia niente di preoccupante se qualcuno sa che un router con un certo MAC si trova a casa mia.
Il problema è che qualcuno via Internet possa sapere il MAC del router da cui mi sto connettendo senza che io lo voglia, e quindi identificarmi, è di quello che bisogna preoccuparsi.
@ Tukler
Non conosco le antenne che usano, perciò non posso dire che è impossibile, ma mi sembra improbabile che avessero un raggio d'azione di centinaia di metri e che fossero passati in una zona abbastanza isola (senza poi caricare niente per diversi km).
Son curioso di sapere se non esiste una spiegazione più semplice legata ad esempio all'applicazione gmap sul telefono.

ps: il telefono è offeso dalla parola "antennina" :-)
@Rottweiler Faust:
Son curioso di sapere se non esiste una spiegazione più semplice legata ad esempio all'applicazione gmap sul telefono.

Beh sicuramente, se hai usato la funzione di geolocalizzazione di google maps allora gli hai regalato tutto tu!;)
Tanto per prevenire, lo fanno pure gli iphone:P

ps: il telefono è offeso dalla parola "antennina":-)
Digli che ha sbagliato thread per offendersi;)
ci sono pure io... ho paura :-)
io l'ho provato e a me non funziona ne' con ffox ne con chrome
Uhm. Da me non trova nulla, dice:

Sorry, didn't find anything for ******

Eppure quando tento la geolocalizzazione tramite google maps, trova casa mia con l'errore di zero metri. Se faccio lo zoom più spinto, la classica crocetta è perfettamente in linea con il router di Fastweb. Abito troppo lontano dalla strada o da qualsiasi accesso "pubblico", oltre che abitare al quinto piano (che a livello pubblico diventano sei) per poter essere localizzato con una qualsiasi antenna, inoltre l'SSID della mia wireless è nascosto ed ho una antenna direzionale (tipo quelle fatte con i tubi delle patatine). Già due piani sotto al mio, il portatile perde completamente la connessione, pensare di dover scenderne altri tre, poi uscire dal palazzo e fare altri trenta metri almeno, mi mette "abbastanza" al sicuro dalle Google Car (tra l'altro, ironia della sorte, tutta la cittadina dove abito è stato mappato con le foto, ad esclusione della strada dove abito io!).

Ancora mi chiedo come sia possibile la localizzazione così perfetta con il router di Fastweb, cosa che accade sia con me che con tutti gli altri possessori di connessione Faswteb che conosco (sia concittadini che parenti in altre città)
@ubik15
Considerato poi che in Italia non si può "offrire" libero accesso alla rete con router wireless non protetti, mi vien da dire chi è causa del suo mal....

Hai un riferimento normativo per questo? Perché se non sbaglio la normativa parla di accesso commerciale.
Ho un client particolare che non supporta la crittografia, né wep né wpa. Devo buttarlo via?
La sicurezza della mia rete sta nei miei pc, non nella rete in sé...
No, il MAC address si legge in chiaro anche se hai impostato la crittografia.
Sì, ma se non sbaglio l'intenzione di Google è quella di mappare i router di libero accesso e "pubblici", e quindi scartare tutti quelli "privati" e protetti (da questo lo "scandalo" del traffico in chiaro sniffato per sbaglio).
In caso avessero fatto altrimenti, la cosa mi darebbe assai fastidio.

E chi lo sapeva che sarebbe passata la GoogleCar (azione che potrebbe fare, volendolo, qualunque altra "car")?
Ovviamente, mi riferivo alla possibilità che il proprio router fosse acceso e a tiro di strada esattamente al passaggio dell'auto sniffatrice.

Hai un riferimento normativo per questo?
Sinceramente no, mi riferivo esattamente a quello che intendevi tu, e, a memoria, mi pareva riguardasse anche i privati.

Bisogna che provi anche il mio MAC a questo punto... :S
Ciao Paolo,volevo segnalarti che non è solo google ad aver "violato" questi dati.C'è stato già chi ha fatto "un censimento digitale" ANCHE dei dati wi-fi (oltre che dati di ripetitori,HOT-SPOT, e reti gsm,gps).Lo dico da diretto interessato in quanto ho partecipato alla raccolta.. L'azienda in questione è SKYHOOK WIRELESS (ha creato un sistema di "triangolazione" dei dati gps, riducento il tempo e il margine di errore della localizzazione proprio grazie alle reti wireless)che ha praticamente censito tutte le maggiori città del mondo (o almeno quelle delle nazioni a cui ha avuto libero accesso..).Qui maggiori info: http://www.skyhookwireless.com/howitworks/coverage.php
Se vuoi maggiori info o doc in merito contattami pure,sono a tua gratuita e completa disposizione. Quindi in merito al tuo post mi viene di aggiungere che "google street wiew" è solo una parte dei dati utilizzati da eventuali malfattori o "smanettoni"..
Con stima, un lettore affezionato
1)Non ho capito: posso mandare una query a Google chiedendo i MAC address dei router di una determinata area geografica?!
2)Se devo fare lo spiritoso, lo faccio connettendomi dalla rete di un altro! :p XD
@Camicius: che io sappia il decreto Pisanu vieta tra le altre cose di offrire accesso se non si e` identificato chi accede tramite documento (o cellulare), non e` limitato all'accesso commerciale.

Per essere in regola con la legge con dispositivi che non supportano crittografia credo che si possa far si` che il ruouter accetti connessioni solo da mac predefiniti; non e` un modo sicuro al 100% per non farsi usare la rete (come del resto non lo e` la crittografia), ma spero che basti per poter dire di non aver offerto il servizio.
Qualcuno ha idea di come faccia samy a sottoporre il MAC address interessato a Google Location Services?