Sicurezza

WikiLeaks svela ELSA, un software della CIA che geolocalizza i nostri spostamenti

Per poter funzionare correttamente e geolocalizzare un obiettivo, il target deve avere il Wi-Fi abilitato e deve essere circondato da access point così da tracciarne in seguito gli spostamenti

WikiLeaks svela i documenti relativi a ELSA un tool progettato dalla CIA. E’ un geo-location malware, ovvero un malware in grado di geolocalizzare persone in possesso di un device con il wifi abilitato, in particolare laptop con sistema operativo Windows.

Che cos’è ELSA

E’ un tool che può essere utilizzato soltanto su sistemi Windows. Questo software è installabile sul sistema della vittima attraverso una tecnica chiamata dll injection. Nel docuemnto non è specificato come avviene l’installazione ma certamente WikiLeaks in questi mesi ha dato prova che la CIA e l’NSA non sono a corto di armi informatiche in grado di impossesarsi di un computer e di prenderne il controllo.
Dunque si può immaginare che ELSA venga installato utilizzando uno dei tanti software a disposizione delle agenzie governative.

Come funziona

Per poter funzionare correttamente e geo-localizzare un obiettivo, il target deve avere il Wi-Fi abilitato e deve essere circondato da access point così da tracciarne in seguito gli spostamenti. In breve è possibile descrivere un caso d’uso di questo impianto con pochi passaggi:


Fase1: Un operatore configura un impianto ELSA che verrà successivamente installato

Fase 2: Un operatore installa l’impianto in un host Windows ed inizia a raccogliere informazioni

Fase 3: In base alla configurazione fatta dall’operatore, l’impianto inizia a raccogliere informazioni sugli Access Point nell’ambiente.

Fase 4: Se configurato per farlo, quando il computer vittima si connette a Internet, l’impianto risolverà i dati raccolti per geo-localizzare il device utilizzando database pubblici di terze parti per la risoluzione della posizione espressa in latitudine e longitudine.

Fase 5: L’operatore si connette al computer vittima e scarica il log criptato in AES 128 bit

Fase 6: L’operatore decripta il log ed analizza i dati salvati


 

Per comprendere meglio quale sia il risultato di questa operazione, ecco un esempio del file di log XML decriptato:

 

E’ possibile notare come sotto il tag “wifi-ap-entry” vi siano tutte le informazioni relative agli access point scansionati in un preciso istante, nell’esempio le reti wifi “viste” dal computer vittima sono quattro:

  • linksys
  • Free Public Wifi
  • madeup
  • TIPICOS GLORIA.

Oltre al SSID nonché il nome della rete WiFi si possono notare il MAC address (l’identificativo del device) e l’RSSI cioè la potenza del segnale. Nel tag “geo-entry” sono invece presenti i tre valori davvero significativi di questo file, ovvero “accuracy” cioè la precisione e l’accuratezza della posizone, “provider” chi fornisce il servizio di risoluzione della posizione e possono essere due Microsoft o Google e “location” espressa in latitudine e longitudine

@andreadubaldo

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Anche i ragazzi dell’Apple Academy dentro il dream team di Giffoni

Grazie a un’intesa siglata dall’università Federico II e il Giffoni Innovation Hub, gli allievi del polo di San Giovanni a Teduccio potranno integrarsi nel gruppo di innovazione che sviluppa idee imprenditoriali creative connesse al festival del cinema per ragazzi