doc Dammi il MAC Address e ti dirò dove sei
_ scritto il 06.08.2010 alle ore 12:16 _ 10776 letture
img

Forse non tutti sanno che la famosa macchina che scandaglia le strade delle nostre città per offrirne un'accurata raffigurazione all'interno del noto servizio Google Street View non si limita a memorizzare solo la foto a 360 gradi. Oltre ad un utile aggiornamento delle mappe di Google Maps, con l'aggiunta di eventuali punti d'interesse, e la scansione 3D di alcuni edifici tramite laser a bassa frequenza, BigG si premura di raccogliere e salvare il MAC Address di tutti i router e Access Point WiFi che trova lungo la strada. I motivi di questa raccolta dati, che il sottoscritto non vede troppo di buon occhio sotto il profilo della privacy, esulano dall'argomento di questo post, ma se ne potrebbe discutere a lungo.

L'esperto di sicurezza Samy Kamkar ha scoperto e documentato una vulnerabilità nei router che permetterebbe ad una pagina web opportunamente predisposta di raccogliere l'indirizzo MAC di eventuali apparati WiFi utilizzati dall'utente collegato e, tramite interrogazione dei database di Google, scoprirne l'esatta ubicazione, con precisione molto elevata.

Sulla pagina web predisposta da Samy per illustrare il procedimento si legge infatti:



[...]
Il metodo funziona così:

1- L'utente visita un sito web maligno (perché la gente è così mediocre?).

2- Il sito web integra un XSS diretto al suo router (in questo esempio ho usato una vulnerabilità che ho scoperto nel router Verizon FiOS).

3- L'XSS ottiene l'indirizzo MAC del router attraverso AJAX.

4- L'indirizzo MAC viene poi inviato al gestore del sito maligno. Nell'esempio qui sotto viene inviato a me (non che io sia maligno!).

5- Io prendo l'indirizzo MAC e lo invio ai servizi di localizzazione di Google. Si tratta di servizi basati su HTTP tramite i quali gli indirizzi MAC vengono mappati per approssimare le coordinate GPS provenienti da altre sorgenti di dati. Il procedimento NON necessita di requisiti speciali del browser e l'utente non ha bisogno di esserne informato. Io ho impostato questo protocollo usando il Firefox's Location-Aware Browsing.

6- Infine prendo le coordinate e le mostro nella bella mappa che potete vedere qui sotto.
[...]



Chiaramente con questo metodo è possibile individuare solo i dispositivi WiFi che sono stati catalogati da Google Street View e che ricadono all'interno di un paese il cui organo garante per la privacy non ne ha chiesto l'esplicita cancellazione (come ha fatto invece la Federal Data Protection Commissioner tedesca, per fare un esempio). Vale la pena però riflettere su questo concetto espresso da Paolo Attivissimo all'interno dell'articolo da cui ho saputo la notizia:


tratto da un articolo su Il Disinformatico

[...] è un'altra dimostrazione di come l'anonimato su Internet sia sempre più un mito. Chi pensa di poter approfittare della Rete per fare lo stupido senza farsi beccare stia quindi attento.

Darsch
_ chiavi di lettura:internet, tecnologia, sicurezza, privacy, reti

_ potrebbero interessarti


_ Commento di jasmines _ profilo
_ scritto il 07.08.2010 alle ore 08:24
Poteva concludere anche dicendo che "chiunque può approfittare della rete (facendo lo stupido o meno) con alte probabilità di non essere beccato..." capisciamme'...:)
_ Commento di Gianfranco _
_ scritto il 18.11.2013 alle ore 07:37
E se io volessi localizzare il Mac di una Sony playstation 3 che mi è stata rubata a seguito ad una rapina in casa mia potrei localizzarla? Premetto di essere in possesso del mac che è restato memorizzato nel mio router
_ Commento di Darsch _ profilo
_ scritto il 18.11.2013 alle ore 10:40
@Gianfranco - Mi dispiace per la rapina che hai subito, ma risalire su Internet ad una periferica di rete tramite il suo MAC Address non è possibile, semplicemente perché il MAC Address non è tra le informazioni che un qualsiasi gateway fa uscire su Internet, ma rimane utilizzata solo a livello di rete locale.
Riguardo il caso specifico di Google trattato nell'articolo, sono stati catalogati solo i MAC Address dei router e degli Access Point, non quelli delle singole periferiche collegate.
_ Commento di jasmines _ profilo
_ scritto il 18.11.2013 alle ore 16:37
Spetta, spetta...
WakeOnLan utilizza il MAC address ... quindi in qualche modo deve essere raggiungibile, se è in rete...!

Vedi: http://gwakeonlan.muflone.com/italian/index.html
_ Commento di Darsch _ profilo
_ scritto il 18.11.2013 alle ore 17:06
Se hai una rete locale, ogni membro della rete locale può vedere il MAC Address degli altri membri della rete locale (quindi funzionalità come wake on LAN e filtri tramite mac Address funzionano), ma fuori dalla rete locale non sono visibili. Al massimo fuori vedi solo il MAC Address del gateway (che è appunto quello che da Google quando legge i MAC dei router wifi e degli Access Point).

Il software che hai indicato, per funzionare via internet, credo che debba mandare il pacchetto a un intermediario che poi lo smista alla macchina corretta, magari un router con configurate delle regole UDP che indirizzano il pacchetto di "sveglia" alla macchina giusta.
_ Commento di jasmines _ profilo
_ scritto il 18.11.2013 alle ore 17:19
Sì, certo. Ipotizzavo che se puoi andare in un senso, in qualche modo (tunneling?) puoi fare qualche sorta di reverse MAC ... ;D
boh, qualche hacker ci riesce sicuro:)
_ Commento di gianfranco _
_ scritto il 18.11.2013 alle ore 23:06
Quindi se è impossibile come mai la polizia postale mi ha detto di fare un'integrazione di denuncia per aggiungere il mac della mia playstation? Mi stanno prendendo in giro oppure loro possono riuscire davvero a localizzare la mia play e quindi risalire ad i ladi che hanno messo a segno il furto?
_ Commento di Darsch _ profilo
_ scritto il 18.11.2013 alle ore 23:33
@gianfranco - Non saprei, probabilmente te l'hanno chiesto perché è un modo per identificare la tua console nel caso venisse ritrovata fisicamente. "Cercarla" su Internet tramite MAC Address la vedo una cosa improbabile, francamente.
_ Commento di gianfranco _
_ scritto il 19.11.2013 alle ore 19:25
A sto punto allora basta il codice seriale che gia ho inserito nella denuncia, e la comunicazione alla sony di bloccare il prodotto in assistenza qualora fosse portato per ripararlo.
Praticamente mi hanno preso per i fondelli.
Basterebbe dire: "Non si puo fare, ci spiace, ma non ci frega un fico secco se ti hanno svaligiato la casa, anzi se ci contatti la prossima volta non potremmo fare manco la denuncia visto l'emendamento a favore dei senza dimora rom che annulla ogni possibile denuncia a loro carico se il bottino rubato non supera le 200€".
Nel mio caso le supera di gran lunga, ma vorrei capire come andranno a valutarle queste 200€. Magari fanno 20 furti da 200€ e non gli si puo dire nulla a sti strxxxx. E se scrivo anche il perchè di questo emendamento (che spero caldamente sia una bufala), rischerei di vomitarmi sulla tastiera, quindi ingoio sputo e mi organizzo per cambiare nazione, quella nella quale vivo è del caxxx. Ma in che razza di stato viviamo? Grazie mille per le dritte Darsch...fortunatamente parte degli italiani è ancora in gamba come te.
_ Commento di Darsch _ profilo
_ scritto il 19.11.2013 alle ore 20:04
Sì era tutta una bufala. ;)

commenta

_ Puoi inviare un commento libero oppure accedere o registrarti per avere un tuo profilo e sfruttare appieno le funzionalità del sito.

Inserisci le due parole nell'apposito spazio:
(registrandoti al sito non dovrai più inserirle)

Accedi al sito o registrati

TOP
Utenti online: 39 ospiti
Ultimi utenti registrati: Lucapietro, andinar, Damiano, Susi, Aftaelle
Visite univoche ai post da dic. 2007: 4.454.988
Post totali: 1276
Commenti totali: 6868
© darsch.it [2007-2017] _ Powered by Tribe Studio _ Cookie policy

Questo blog viene aggiornato senza alcuna periodicità e la frequenza degli articoli non è prestabilita, non può pertanto considerarsi un prodotto editoriale o una testata giornalistica ai sensi della legge n. 62 del 07/03/2001.

I contenuti di questo blog sono rilasciati sotto Licenza Creative Commons Attribuzione-Non commerciale-Non opere derivate 2.5 Italia, ad eccezione dei box 'citazione' o dove diversamente specificato. I commenti degli utenti sono di loro esclusiva proprietà e responsabilità.
Creative Commons License RSS 2.0 Valid XHTML 1.0