Sicurezza

WikiLeaks svela ELSA, un software della CIA che geolocalizza i nostri spostamenti

Per poter funzionare correttamente e geolocalizzare un obiettivo, il target deve avere il Wi-Fi abilitato e deve essere circondato da access point così da tracciarne in seguito gli spostamenti

WikiLeaks svela i documenti relativi a ELSA un tool progettato dalla CIA. E’ un geo-location malware, ovvero un malware in grado di geolocalizzare persone in possesso di un device con il wifi abilitato, in particolare laptop con sistema operativo Windows.

Che cos’è ELSA

E’ un tool che può essere utilizzato soltanto su sistemi Windows. Questo software è installabile sul sistema della vittima attraverso una tecnica chiamata dll injection. Nel docuemnto non è specificato come avviene l’installazione ma certamente WikiLeaks in questi mesi ha dato prova che la CIA e l’NSA non sono a corto di armi informatiche in grado di impossesarsi di un computer e di prenderne il controllo.
Dunque si può immaginare che ELSA venga installato utilizzando uno dei tanti software a disposizione delle agenzie governative.

Come funziona

Per poter funzionare correttamente e geo-localizzare un obiettivo, il target deve avere il Wi-Fi abilitato e deve essere circondato da access point così da tracciarne in seguito gli spostamenti. In breve è possibile descrivere un caso d’uso di questo impianto con pochi passaggi:


Fase1: Un operatore configura un impianto ELSA che verrà successivamente installato

Fase 2: Un operatore installa l’impianto in un host Windows ed inizia a raccogliere informazioni

Fase 3: In base alla configurazione fatta dall’operatore, l’impianto inizia a raccogliere informazioni sugli Access Point nell’ambiente.

Fase 4: Se configurato per farlo, quando il computer vittima si connette a Internet, l’impianto risolverà i dati raccolti per geo-localizzare il device utilizzando database pubblici di terze parti per la risoluzione della posizione espressa in latitudine e longitudine.

Fase 5: L’operatore si connette al computer vittima e scarica il log criptato in AES 128 bit

Fase 6: L’operatore decripta il log ed analizza i dati salvati


 

Per comprendere meglio quale sia il risultato di questa operazione, ecco un esempio del file di log XML decriptato:

 

E’ possibile notare come sotto il tag “wifi-ap-entry” vi siano tutte le informazioni relative agli access point scansionati in un preciso istante, nell’esempio le reti wifi “viste” dal computer vittima sono quattro:

  • linksys
  • Free Public Wifi
  • madeup
  • TIPICOS GLORIA.

Oltre al SSID nonché il nome della rete WiFi si possono notare il MAC address (l’identificativo del device) e l’RSSI cioè la potenza del segnale. Nel tag “geo-entry” sono invece presenti i tre valori davvero significativi di questo file, ovvero “accuracy” cioè la precisione e l’accuratezza della posizone, “provider” chi fornisce il servizio di risoluzione della posizione e possono essere due Microsoft o Google e “location” espressa in latitudine e longitudine

@andreadubaldo

Tecnologia solidale, le iniziative di crowdfunding per i terremotati del Centro Italia

Un aiuto subito, Marchecraft, Adesso pedala. Sono alcune delle iniziative pensate per sostenere le popolazioni colpite dal terremoto del 24 agosto 2016 e che hanno già permesso i primi interventi di ricostruzione ad Amatrice e Norcia

In auto per 30mila chilometri per accompagnare la figlia al college

Huang Haitao aveva promesso a sua figlia che avrebbe attraversato 26 nazioni se fosse stata accettata in un’università americana. Quando la lettera di ammissione è arrivata da Seattle, non ha potuto far altro che partire con lei dalla Cina verso gli Stati Uniti

Le finaliste di .itCup2017: con EasyTax Assistant affrontare le tasse non fa più paura

Un’applicazione mobile che segue il contribuente nella gestione della propria fiscalità. Il segreto: informazioni e strumenti semplici da utilizzare. Dopo soli 2 mesi gli utenti sono già 1700 e ora la statup è in finale nella competizione di Registro.it