Sono sempre più shoccanti le rivelazioni che di tanto in tanto Wikileaks fa uscire.
Pare infatti che la CIA, il servizio segreto americano, è in grado geolocalizzare
un proprio bersaglio tramite Wi-Fi, anche senza una connessione a Internet in tempo reale.
Da quando trapela dai documenti, il tool si chiama Elsa e si basa su un file (libreria .dll) malevolo da installare su un computer Windows.
A quel punto Elsa raccoglierà i dati identificativi delle reti Wi-Fi vicine al computer (indirizzo MAC, SSID, forza del segnale radio, etc) e incrocerà questi dati con le API di geolocalizzazione fornite da Microsoft, Google o altre aziende.
Il malware codifica i dati di localizzazione con una chiave crittografica AES a 128 bit e poi li spedisce alla CIA quando il PC della vittima si connetterà a Internet per la prima volta.
Tramite ciò si ha una localizzazione abbastanza precisa del target monitorato.
Ovviamente questo tipo di tecnica funziona anche se il target non è connesso ad internet.
Invece è completamente inutile se viene spento il Wi-Fi.
Tra le altre scoperte recenti, in Vault 7, c’è anche CherryBlossom, tool con cui la CIA controlla router e access point.
Cherry-Blossom è un componente firmware compatibile con decine di modelli di router delle principali marche, tra cui Asus, Linksys, D-Link, 3Com e US Robotics.
La CIA può installare il tutto sfruttando gli upgrade del firmware da remoto.
A cosa serve? Ovviamente per sniffare il traffico dati: password, indirizzi mail, nickname utilizzati
in servizi di chat, indirizzi MAC, numeri VoIP.
Il traffico dati sniffato in seguito può essere dirottato su pagine o server appositamente manipolati tramite la tecnica del doppio iframe.
In pratica, la risposta HTTP viene sostituita da due iframe: il primo contiene la URL della richiesta originale; il secondo, nascosto, restituisce il contenuto desiderato.
Il reindirizzamento può avvenire anche tramite HTTP redirect (la risposta HTTP viene sostituita
con un redirect al contenuto desiderato; il browser viene poi ulteriormente reindirizzato alla URL originale in modo da trarre in inganno l’utente).
Nessun commento:
Posta un commento