Hirdetés
. Hirdetés

Ilyen könnyű céleresztbe fogni a kártevők áldozatait

|

Hogyan találják meg könnyen a webes bűnözők az áldozataik pontos helyét? Egy adatkapcsolati rétegen használt azonosító és a WiFi AP MAC cím (BSSID) révén könnyen lokalizálhatók a fertőzött gépek.

Hirdetés

Elég az IP címet összevetni egy IP-alapú földrajzi adatbázissal - mint amilyen például a MaxMind GeoIP -, és már meg is kapják a rosszindulatú kódok írói az általuk megfertőzöttek hozzávetőleges földrajzi helyzetét. Persze, a technika nem túl pontos, de az egyik legegyszerűbb és leghatékonyabb módszer a felhasználók tényleges fizikai helyzetének meghatározására a számítógépén található adatok alapján.

Azonban Xavier Mertens biztonsági szakértő blogjában már a múlt hónapban felhívta a figyelmet arra, hogy új malware-törzsre bukkant, amely az eddigieken felül a fertőzött user adatkapcsolati rétegen használt azonosítóját is alapul veszi, ezáltal még pontosabban képes "belőni" az áldozatul esett gép helyzetét.

Hirdetés

A Basic Service Set Identifier (BSSID) tulajdonképpen a vezetéknélküli router vagy hozzáférési pont fizikai MAC címe, amelyen keresztül a user a Wi-Fi hálózaton keresztül csatlakozik, azaz meghatározza, hogy mely hozzáférési pont mely felhasználóhoz tartozik.

Windows esetében egyszerűen megnézhetjük a BSSID-t, a Parancssorban írjuk be a következőt: netsh wlan show interfaces | find "BSSID"

Mertens szerint az általa leleplezett malware ezeket a BSSID-ket gyűjti, majd veti össze az Alexander Mylnikov nevéhez fűződő, ingyenes BSSID-alapú földrajzi adatbázissal, amely nem más, mint az azonosított címek és az azokkap összekapcsolt, utoljára észlelt földrajzi helyek gyűjteménye.

Az ilyen típusú adatbázisok egyáltalán nem ritkák, a mobilalkalmazások üzemeltetői általában a felhasználók nyomon követésének alternatívájaként használják, amikor nem tudnak közvetlenül hozzáférni a telefon helyadataihoz. Ilyen publikus adatbázis a WiGLE is.

A BSSID és Mylnikov adatbázisának összevetése lehetővé teszi a rosszindulatú programírók számára, hogy meghatározzák annak a WiFi hozzáférési pontnak a fizikai földrajzi helyzetét, amelyet az áldozat az internet eléréséhez használt. A két módszer, azaz az IP-alapú a BSSID módszerrel kiegészítve pedig már igen hatékonnyá teszi a felderítő munkát.

Hogy ez miért fontos? Mert sokszor az kell, hogy a rosszindulatú kódok célpontjai például egy adott országon belül legyenek, vagy éppenséggel pont az a cél, hogy a saját országuk felhasználóit megkíméljék a támadásoktól, persze nem jóindulatból, hanem azért, hogy elkerüljék a szankciókat. Mindazonáltal, a BSSID-n alapuló dupla ellenőrzés alkalmazása még nem terjedt el, de mivel számos előnye van, szinte csak idő kérdése…

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Próbáld ki az Xbox Game Passt 300+ játék csak
300 Ft 3 hónapra!
(x)

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.