Elég az IP címet összevetni egy IP-alapú földrajzi adatbázissal - mint amilyen például a MaxMind GeoIP -, és már meg is kapják a rosszindulatú kódok írói az általuk megfertőzöttek hozzávetőleges földrajzi helyzetét. Persze, a technika nem túl pontos, de az egyik legegyszerűbb és leghatékonyabb módszer a felhasználók tényleges fizikai helyzetének meghatározására a számítógépén található adatok alapján.
Azonban Xavier Mertens biztonsági szakértő blogjában már a múlt hónapban felhívta a figyelmet arra, hogy új malware-törzsre bukkant, amely az eddigieken felül a fertőzött user adatkapcsolati rétegen használt azonosítóját is alapul veszi, ezáltal még pontosabban képes "belőni" az áldozatul esett gép helyzetét.
A Basic Service Set Identifier (BSSID) tulajdonképpen a vezetéknélküli router vagy hozzáférési pont fizikai MAC címe, amelyen keresztül a user a Wi-Fi hálózaton keresztül csatlakozik, azaz meghatározza, hogy mely hozzáférési pont mely felhasználóhoz tartozik.
Windows esetében egyszerűen megnézhetjük a BSSID-t, a Parancssorban írjuk be a következőt: netsh wlan show interfaces | find "BSSID"
Mertens szerint az általa leleplezett malware ezeket a BSSID-ket gyűjti, majd veti össze az Alexander Mylnikov nevéhez fűződő, ingyenes BSSID-alapú földrajzi adatbázissal, amely nem más, mint az azonosított címek és az azokkap összekapcsolt, utoljára észlelt földrajzi helyek gyűjteménye.
Az ilyen típusú adatbázisok egyáltalán nem ritkák, a mobilalkalmazások üzemeltetői általában a felhasználók nyomon követésének alternatívájaként használják, amikor nem tudnak közvetlenül hozzáférni a telefon helyadataihoz. Ilyen publikus adatbázis a WiGLE is.
A BSSID és Mylnikov adatbázisának összevetése lehetővé teszi a rosszindulatú programírók számára, hogy meghatározzák annak a WiFi hozzáférési pontnak a fizikai földrajzi helyzetét, amelyet az áldozat az internet eléréséhez használt. A két módszer, azaz az IP-alapú a BSSID módszerrel kiegészítve pedig már igen hatékonnyá teszi a felderítő munkát.
Hogy ez miért fontos? Mert sokszor az kell, hogy a rosszindulatú kódok célpontjai például egy adott országon belül legyenek, vagy éppenséggel pont az a cél, hogy a saját országuk felhasználóit megkíméljék a támadásoktól, persze nem jóindulatból, hanem azért, hogy elkerüljék a szankciókat. Mindazonáltal, a BSSID-n alapuló dupla ellenőrzés alkalmazása még nem terjedt el, de mivel számos előnye van, szinte csak idő kérdése…
