Cerca nel blog

2010/08/06

Una visita Web e so esattamente dove sei

Falla nei router permette di localizzare gli utenti via Web


Lo smanettone ed esperto di sicurezza Samy Kamkar ha documentato una vulnerabilità nel modo in cui i router gestiscono le richieste di identificazione, che può essere sfruttata per localizzare con estrema precisione un visitatore di un sito Web. Per "estrema precisione" s'intende nove metri, in uno dei casi dimostrati da Kamkar alla conferenza Black Hat a Las Vegas pochi giorni fa. La sua presentazione era intitolata, in modo piuttosto inquietante, "Come ho incontrato la tua ragazza".

La vulnerabilità funziona così. Di solito ci si connette a Internet tramite un router (magari Wifi) e di norma solo i computer connessi direttamente al router possono interrogarlo per ottenerne l'identificativo univoco, il MAC address. Ma Kamkar ha trovato il modo di confezionare una pagina Web in modo da attivare un'interrogazione che sembra provenire dal computer localmente connesso e passarla alla geolocalizzazione di Google. Le auto di Google che hanno mappato le città per il servizio Street View hanno infatti associato alle coordinate GPS i MAC address dei router incontrati durante le loro esplorazioni.

In questo modo il ficcanaso di turno può ottenere l'ubicazione geografica precisa del router e quindi localizzare e identificare il visitatore. Questa localizzazione non si basa sull'indirizzo IP, come altre funzioni già disponibili in Rete. La dimostrazione online di Kamkar funziona con qualunque browser.

Kamkar è famoso (o famigerato) perché nel 2005 creò un worm che sfruttava le falle dei browser e gli permise di raccogliere oltre un milione di "amici" su Myspace in un solo giorno. La bravata gli costò una condanna in tribunale, con tre anni di libertà vigilata, tre mesi di servizio civile e un'ammenda.

Il rischio riguarda solo gli utenti di router Wifi che siano stati catalogati da Google, ma è un'altra dimostrazione di come l'anonimato su Internet sia sempre più un mito. Chi pensa di poter approfittare della Rete per fare lo stupido senza farsi beccare stia quindi attento.

Nessun commento: