На эту тему уже было несколько статей - Как обойти СМС-идентификацию при подключении к общедоступным сетям Wi-Fi? И И еще раз: не пользуйтесь общедоступным Wi-Fi. , но появляются новые способы авторизации, так что пришло время поговорить об этом еще раз.
Недавно в московском кафе я наткнулся на незнакомый способ входа в Интернет. Мне сразу захотелось проверить, можно ли обойти эту авторизацию и какая угроза будет для простых людей.
Проверка личности при подключении к общедоступным сетям Wi-Fi в России является требованием законодательства.
Существует несколько способов, самые популярные из которых – ввод кода из СМС или ввод последних цифр номера телефона, с которого поступил звонок.
Однако в этом кафе использовалась авторизация, предоставляемая сервисом wifi-way.ru, который работает немного по-другому.
Пользователю предлагается указать свой номер телефона, а затем совершить с него звонок на номер данной услуги.
После установления соединения вызов будет сброшен и пользователь авторизован.
Кажется, это удобный способ: компания не тратит деньги на отправку СМС, достаточно купить номер телефона и отслеживать входящие звонки.
Однако есть как минимум один серьезный подводный камень – принципиальная возможность совершения звонков с поддельного номера.
Существующая реализация мобильных сетей позволяет начать вызов с произвольным Caller ID (номером телефона вызывающего абонента), после чего вызываемому абоненту поступит звонок с поддельным номером вызывающего абонента.
Это потому, что мобильные сети построены на доверии.
Подробности немного выходят за рамки данной статьи, но здесь достаточно упомянуть, что для совершения таких звонков можно либо долго копаться в настройках АТС, либо просто воспользоваться каким-нибудь сервисом для звонков с подменой номера и немного «волшебство» для звонков на российские номера.
Крайне сложный обход авторизации выглядит так:
- Подключение к сети
- Указание номера телефона
- Вызов с заменой Caller ID на номер из предыдущего пункта
Но главное не сам доступ в Интернет, а доступ по чужому номеру телефона.
В двух предыдущих статьях были описаны способы доступа к существующим «сессиям» подключения, чтобы вы могли просто избегать использования общедоступного Wi-Fi и жить спокойно.
При этом злоумышленник может указать любой номер телефона, опубликовать где-нибудь призыв к экстремизму или работы японских художников, а дальше все зависит от удачи.
Если использовался зарубежный, несуществующий или «элитный» номер, то никто не пострадает, хотя в компанию может поступать много интересных вопросов о том, почему в их базе данных записан именно этот номер.
Но если они воспользуются этим методом авторизации и продадут его, то они явно к этому готовы.
А вот если официальный владелец номера живет в этом городе, то все гораздо интереснее.
Не исключено, что единственный шанс — попытаться убедить следователей и суд проверить по журналам мобильного оператора, действительно ли этот звонок был совершен с SIM-карты абонента.
Но это уже может заставить вас потратить много времени и сил.
Дополнительным интересным моментом является то, что владелец номера не может узнать, что его номер использовался для авторизации: ему не приходит ни подозрительное сообщение с кодом, ни звонок с неизвестного номера.
В худшем случае об этом вам расскажет следователь.
Написал на wifi-way.ru, чтобы узнать, что они об этом думают. Ответ был вполне ожидаемым: мы знаем о возможности замены номера, система сохранит номер, пришедший из мобильной сети.
К этому сложно что-либо добавить, могу только пожелать всем удачи и счастливых номеров телефонов, которые не будут использованы злоумышленниками при авторизации.
Глубоко личное мнение об ответственности компаний за безопасность людей (не пользователей) Необходимо четко разграничить компании в зависимости от того, работают ли они только со своими пользователями или с неограниченным количеством людей.
Если услуга предлагается только тем, кто зарегистрировался и принял соглашение типа «Мы не занимаемся безопасностью, мы используем дырявые технологии, возможен взлом, добро пожаловать в клуб любителей унижений», то компания имеет полное право не для устранения уязвимостей и потенциальных проблем.
Хотя в некоторых случаях они могут быть наказаны по закону, это уже другая история.
Однако есть и другие компании: если уязвимости в таких сервисах будут эксплуатироваться, пострадать может любой, даже если сам не пользовался таким сервисом.
Сюда входят и госуслуги, и ругаемые многими платные подписки, и системы авторизации в публичных сетях.
Хотя я не слышал о наказании тех, от имени кого через публичные сети писались призывы к экстремизму, совершались атаки на какие-то системы или, что хуже всего, публиковались работы японских художников, я абсолютно не могу гарантировать, что это не произойдет, и у жертвы будет возможность оправдаться.
Поэтому я убежден, что компании, чьи действия или бездействие могут нанести вред тому, кто не заключил с ними договор, должны либо по возможности использовать безопасные технологии, либо понести наказание со стороны общества.
К сожалению, не следует забывать об инертности людей и готовности игнорировать все проблемы безопасности до тех пор, пока они не коснутся их самих.
Это показывает компаниям, что они могут забыть об общей безопасности; люди съедят это и забудут через пару дней.
Но это тема для отдельной грустной статьи.
Теги: #информационная безопасность #ИТ-законодательство #законодательство #wi-fi
-
Mobius 2016: Мобильная Разработка По-Новому
19 Oct, 24 -
Призрак В Туманности Вуаль
19 Oct, 24 -
Опрос С Использованием Облака Тегов
19 Oct, 24 -
Google «Связывает» Webmoney С Adsense
19 Oct, 24
