Basta tenersi alla larga dai siti di social networking ed usare un po' di prudenza per garantirsi l'anonimato in rete? Due nuovi studi parrebbero dimostrare che non sia esattamente così.
Navigazione in incognito.. a viso aperto
La prima segnalazione arriva da BBC. Il network del Regno Unito cita i risultati di uno studio condotto da un gruppo di esperti presso l'Università di Stanford: il professor Dan Boneh ed il suo team hanno concluso che Internet Explorer, Firefox, Google Chrome e Safari non sono realmente in grado di garantire una modalità di navigazione completamente "privata".
Tale caratteristica, introdotta per la prima volta da Google Chrome con il nome di "Incognito", dovrebbe consentire, una volta attivata, di sfogliare la rete senza lasciare alcuna traccia sul calcolatore locale: cookie, cache, cronologia e quant'altro dovrebbero essere automaticamente eliminati alla chiusura del programma.
Gli studiosi hanno però tracciato alcune imperfezioni nell'impelementazione della caratteristica che, abbinate a plug-in ed estensioni non ancora pienamente in grado di rispettarla, possono "consentire ad un utente locale di annullare completamente i benefici della navigazione privata".
Il report completo è disponibile qui.
Localizzati con precisione estrema
Un problema ancora più intrigante è stato portato alla luce dallo smanettone Samy Kamkar nel corso di un intervento dall'eloquente titolo "Come ho incontrato la tua ragazza" tenutosi durante la manifestazione Black Hat USA 2010.
L'esperto ha mostrato come, in determinate condizioni, sia possibile identificare con una estrema precisione (9 metri circa) la posizione geografica di un utente indotto a visitare un indirizzo studiato ad hoc.
La trappola funziona in questo modo: il sito del cracker propone una pagina HTML contenente codice Javascript in grado di interrogare il router collegato al PC e recuperare il suo indirizzo MAC (Media Access Control, prefissato in fabbrica e, generalmente, immutabile e univoco per ogni interfaccia di rete).
Una volta in possesso di questo dato, il server inoltra una seconda richiesta a Google: le automobili del colosso delle ricerche salvano infatti gli indirizzi MAC dei router/access point Wi-Fi incontrati durante le scorribande fotografiche necessarie alla realizzazione di Street View, abbinandole alle coordinate geografiche alle quali il dispositivo è stato localizzato.
Una volta che il servizio ha risposto al server del cracker, ecco che l'operazione è conclusa e l'aggressore è riuscito a determinate l'esatta posizione dell'utente.
Benchè il problema possa sembrare estremamente serio, ci sono numerosi requisiti che devono essere soddisfatti affinché tutto funzioni, tali da mitigare notevolmente la reale portata del baco.
Innanzitutto, affinché la trappola possa scattare, è indispensabile che le Google-mobili abbiano attraversato la zona nella quale si trova la vittima, devono aver raccolto l'indirizzo MAC del router (la rete Wi-Fi doveva essere abilitata ed a portata proprio durante il transito) e, inoltre, l'utente non deve aver più sostituito l'apparecchio da allora.
È inoltre indispensabile che il router sia dotato di adattore wireless: quelli solo-cavo non sono interessati per evidenti motivi.
Inoltre, e questa è forse la limitazione più importante, è indispensabile che l'utente non abbia modificato la password di default per l'accesso al pannello di amministrazione del dispositivo, o che stia usando un modello che non la richiede, e che l'interfaccia web di controllo sia afflitta da un baco di sicurezza in grado di aprire le porte ad un attacco di tipo Cross-site scripting (XSS).
Gli utenti interessati possono testare il tutto a questo indirizzo: nel corso delle mie prove l'attacco non è mai riuscito ma, in caso contrario, la posizione dell'utente sarà mostrata nella mappa presente ai piedi della pagina.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati