in

Un ataque web que revela tu ubicación

En la Conferencia de Seguridad Black Hat 2010 el hacker Kamkar Samy demostró cómo puede descubrir la ubicación de la casa de una persona. Esto lo logró mediante vulnerabilidades en la mayoría de los routers domésticos y el popular servicio de mapas en línea, Street View, de Google. En su demostración logró conocer la ubicación de un hogar con nueve metros de diferencia.

Hace unas semanas hablamos sobre la celebración de la Conferencia de Seguridad Black Hat 2010. Ahora que ya pasó, podemos hablar sobre quienes estuvieron allí, como el hacker Kamkar Samy. En su presentación títulada “Cómo conocí a tu novia”, presentó un exploit capaz de averiguar el domicilio de una persona utilizando servicios como Street View de Google. Ahora tiene un poco más de sentido por qué algunas personas lo rechazaban.

Según explicó en la conferencia el hacker, atrae a la víctima a un sitio web especial, que utiliza PHP y JavaScript para extraer la MAC Address del router. Una vez obtenida, se dirige al polémico servicio de Google que permite ver imágenes de ciertos puntos específicos de las ciudades. Una vez en Street View, busca dónde fue registrada la dirección obtenida y así puede averiguar las coordenadas donde está ubicado el router.

Kamkar Samy encontró vulnerabilidades en routers tradicionales y Street View.

Por supuesto el problema principal no es con Street View, sino con la mayoría de los routers, que no protegen correctamente los datos privados del usuario. Pero Google también es responsable en parte por las mismas razones. En la demostración, el hacker encontró la posición de un router a nueve metros de diferencia con su posición real. Kamkar finalizó: “Esto es la geolocacalización en su peor estado. La privacidad ha muerto, tíos. Lo lamento.

Y cómo bien dijimos antes, el servicio de Google Street View no ha pasado desapercibido en todos los países. Actualmente el gigante de Mountain View se enfrenta a 60 investigaciones legales y penales, cuya mayoría está relacionada a los coches que graban ciudades para ingresar a la base de datos. Todos los continentes del mundo (a excepción de la Antártida) han presentado demandas, con 14 en Europa y 11 en Estados Unidos. Habrá que ver si el exploit revelado por Kamkar tiene un impacto en estas investigaciones.

Reportar

¿Qué te pareció?

Escrito por Tomás Garcia

29 Comments

Leave a Reply
    • Aunque te conectes por proxy te detectan por que lo que estan viendo ahi es la MAC fisica de tu modem y no la ip que es lo que esconderia con un proxy.

    • por eso mismo, uno no puede saber la direccion exacta, ni a una cuadra ni nada. Supongo que esos casos en los que detectan la casa de donde vino tal o cual ataque o de deonde se envio tal correo es porque el ISP proporciona la ubicacion final. Si no ya hubieran descubierto quien hizo los ataques esos de china a google.

  1. No importa cuanta seguridad pongan, o cambien todo, los hackers siempre van un paso adelante, son capaces de hacer cualquier cosa que se propongan…

    • Noooo… algo peor!!!, secuestraran tu PlayStation y Wii con todos tus juegos preferidos y pedirán un rescate por ellos mientras como prueba te enviaran un video con el diario del día de fondo y la consola sufriendo con algún juego de que no de 8 bits superdenso… jajaja

  2. Me pregunto una vez aque usan ese exploit obtien la direccion MAC , luego como saber en donde esta registrada esa direccion MAC puesto estas solo las tiene el registro de tu operador de internet y se tendria que ingresar a la base de datos y saber quien es el usuario y la direccion exacta, por otro lado ingresando por ips publicos solo se sabe el pais, localidad y base del servidor isp mas cercano que te ofrece internet.

    • Cito: "Una vez obtenida, se dirige al polémico servicio de Google que permite ver imágenes de ciertos puntos específicos de las ciudades. Una vez en Street View, busca dónde fue registrada la dirección obtenida y así puede averiguar las coordenadas donde está ubicado el router."

  3. Esto de los Hackers es lo mismo que con los Crackers… como decimos por aca "….por mucho que la tiñosa vuela siempre el pitirre la pica…" , por lo que he podido ver la seguridad en informatica es una ficcion… y para mi esta claro quienes son los hackers y los crackers malos….: Son los cabrones que trabajan contra los otros hackers y crackers… pero no hay rencor, es como ir subiendo la varilla y luego llegan los Buenos y la brincan.

  4. Creo que algunos no han entendido el concepto.
    Lo que ha hecho Kamkar Samy era previsible en cuanto se supo que los vehículos de Google Street View almacenaban en una base de datos, la información recabada de los router wifi activos que encontraban a su paso.
    Sin embargo la frase de Kamkar, “Esto es la geolocacalización en su peor estado. La privacidad ha muerto, tíos. Lo lamento.”, es tremendamente pretenciosa.
    Yo tengo un router wifi. Y le desafío a que me geolocalice. Lo va a tener un poco jodido, teniendo en cuenta que la wifi de mi router está desactivada y no hay emisiones de ningún tipo. Bla, bla, bla…. Sin embargo hay que admitir, que tiene su mérito, ya que cuando menos demuestra el por qué la actividad de los vehículos de Google, realizaban una actividad que pone en riesgo la intimidad de algunas personas. Un saludo.

      • ¿Entonces este metodo solo funciona si tenias el wifi activado justo cuando pasaba el cochecito "espia" de Google?

        No se, pero me da que este "Hacker" le ha echado mas cuento…

        Lo unico que ha hecho es un script que obtiene la MAC de tu router (mas antiguo que el hambre) y luego lo ha buscado en el Street View de Google. ¡Oh Dios Mio!

        (APLAUSOS)

    • quequeque?! osea que los hijueputas esos registran info de los routers que captan??! ta que si los veo le revbiento el coche a palos, bueno a fierrazos, bueno los insulto, en realidad les pondré mala cara. pero de esa ultima no se libran eh. sep!

  5. "Por supuesto el problema principal no es con Street View, sino con la mayoría de los routers, que no protegen correctamente los datos privados del usuario."

    Disculpa, pero aqui la unica responsabilidad la tiene Google, como bien explicaste en el segundo parrafo: "Según explicó en la conferencia el hacker, atrae a la víctima a un sitio web especial, que utiliza PHP y JavaScript para extraer la MAC Address del router."

    Tanto la direccion Mac como la IP son publicas, de no ser asi no seria posible la comunicacion, permite saber, direccionar e identificar con quien me estoy comunicando, además la mac que se usa en esta demostracion es la mac del router no del usuario final, ademas si street view se dedica a sacar fotos, que tiene que ver con la interceptacion y localizacion de router?

  6. Pero vamos a ver, el hacker obtubo acceso a la localizacion de la mac address del router por un xploit en google street o esa base de datos es publica?

    me gustaria probar con la mac address de mi router para comprobarlo personalmente.

    salu2

  7. Sobre este asunto me gustaria aportar algo de luz. Explicado de forma simple, si disponeis de un router sin wifi, no teneis porque preocuparos, en cambio google streetview si tiene registradas las mac de los reouters con wifi (bueno, matizo…de los routers con wifi, que estaban encendidos en el momento de registrarlos), es decir, no solo hace fotos de las calles sino que registran todas las mac de las wifi allí por donde pasan (scaneador de wifis, netstumbler por poner un ejemplo, aunque utilizaran muy probablemente herramientas de cosecha propia) es por esta razón que en streetview puedes determinar que una cierta mac se encuentra ubicada en unas cordenadas casi exactas. Si tu router no tiene Wifi nadie puede relacionar tu mac con una geolocalización precisa, como mucho solo hasta tu proveedor de servicios ISP. A quines os preocupe este tema, la forma de evitarlo es desactivar vuestra wifi por completo, con las incomodidades que esto supone claro esta, o compraros un router que solo permita conexion por cable de red UTP RJ45.En caso de que vuestra mac ya esté registrada en streetview lo unico que podeis hacer es cambiar el router, tendreis otra mac sin registrar si caeis en la trampa de una web con script que averigua tu mac, al menos no podran obtener la geolocalización. Espero haberos aclarado un poco el asunto. Saludos.

  8. Pues googleando hace un buen tiempo (no tenia nada mas que hacer + que acosar una chica) determine la ip de un chava y no recuerdo que paguina pones la ip y te da su direccion a ca en Mexico funciono y sin saber nada de programacio o hacking y conste que me gustaria aprender pero ahora no dispongo de tiempo. Saludos si esto no tiene nada que ver me disculpo ha exelente trabajo por NeoTeo.

  9. La unica "falla" que veo yo aqui es lo TOTALMENTE ILEGAL que ha hecho Google de registrar las direcciones MAC y otros datos personales de redes wifi.

    Si "corrigen este error" (borran de sus bases de datos dicha informacion), el problema queda de por si resuelto.

  10. Pero donde puedo yo colacar mi mac address del router para ver si me dice donde vivo??
    en google street view no me deja buscar una mac

    como se hace??

    salu2

  11. Quetal si me conecto con una antena de 1W a conecciones wifi de + o – 1 Km de distancia, tonces tambien el hacker se la pela jeje

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Controlando a Mario con los ojos (vídeo)

Castlevania: Harmony of Despair