Ya se han publicado varios artículos sobre este tema:
¿cómo evitar la identificación por SMS cuando se conecta a redes wifi públicas? Y una
vez más: no use WiFi público , pero aparecen nuevos métodos de autorización, por lo que es hora de hablar de nuevo. Recientemente, en un café de Moscú, me encontré con una forma desconocida de iniciar sesión en la red. Inmediatamente hubo un deseo de verificar si esta autorización se puede eludir y cómo amenaza a la gente común.
La verificación de identidad al conectarse a redes públicas de Wi-Fi en Rusia es un requisito legal. Hay varias formas, la más popular de ellas: ingresar un código de SMS o ingresar los últimos dígitos del número de teléfono desde el que se recibió la llamada. Sin embargo, la autorización proporcionada por el servicio wifi-way.ru, que funciona de manera un poco diferente, se utilizó en este café. Se le pide al usuario que indique su número de teléfono y luego haga una llamada de él al número de este servicio. Una vez establecida la conexión, se cortará la llamada y se autorizará al usuario.
Parece que esta es una manera conveniente: la compañía no gasta dinero en enviar SMS, solo compra un número de teléfono y rastrea las llamadas entrantes. Sin embargo, hay al menos una trampa grave: la posibilidad fundamental de realizar llamadas con un cambio de número.
La implementación existente de redes móviles le permite iniciar una llamada con un identificador de llamadas arbitrario (número de teléfono de la persona que llama), después de lo cual el suscriptor llamado recibirá una llamada con el número de la persona que ha cambiado. Esto se debe al hecho de que las redes móviles se basan en la confianza. Los detalles están un poco más allá del alcance de este artículo; aquí es suficiente mencionar que para hacer tales llamadas, puede profundizar en la configuración de PBX durante mucho tiempo, o simplemente usar algún tipo de servicio para llamadas con un cambio de número y un poco de "magia" para llamar a Rusia números
Un bypass de autorización extremadamente complicado se ve así:
- Conexión de red
- Indicación de número de teléfono
- Llame con sustitución del identificador de llamadas por el número del párrafo anterior
Parece que esta es una forma bastante complicada de acceder a Internet, es más fácil comprar una tarjeta SIM sin pasaporte si no desea dar el número de teléfono a dichas empresas (y también las venden a los propietarios de los establecimientos, bienvenidos al mundo de posibles correos no deseados). Pero lo principal no es el acceso a Internet en sí, sino el acceso a través del número de teléfono de otra persona. Los dos artículos anteriores describieron las formas en que puede acceder a las conexiones existentes de "sesión", por lo que simplemente no puede usar el Wi-Fi público y vivir en paz. En este caso, el atacante puede especificar cualquier número de teléfono, publicar en algún lugar un llamado al extremismo o el trabajo de artistas japoneses, y todo depende de la suerte.
Si se utilizó un número extranjero, inexistente o "elite", entonces nadie sufrirá, aunque la compañía puede recibir muchas preguntas interesantes sobre por qué tienen este número en su base de datos. Pero si usan este método de autorización y lo venden, entonces están claramente listos para ello.
Pero si el dueño oficial del número vive en esta ciudad, entonces todo es mucho más interesante. Es posible que la única oportunidad sea tratar de convencer a los investigadores y al tribunal de que verifiquen mediante los registros del operador móvil si esta llamada se realizó realmente utilizando la tarjeta SIM del suscriptor. Pero esto ya puede hacerte gastar mucho tiempo y esfuerzo.
Un punto interesante adicional es que el propietario del número no puede descubrir que su número se usó para autorización: no recibe un mensaje sospechoso con un código o una llamada de un número desconocido. En el peor de los casos, el investigador dirá esto.
Escribí al correo wifi-way.ru para averiguar qué piensan al respecto. La respuesta era bastante esperada: sabemos sobre la posibilidad de un cambio de número, el sistema guardará el número que vino de la red móvil.
Es difícil agregar algo a esto, solo puedo desearles a todos buena suerte y números de teléfono felices que los atacantes no usarán durante la autorización.
Una opinión profundamente personal sobre la responsabilidad de las empresas por la seguridad de las personas (no de los usuarios)Es necesario separar claramente las empresas dependiendo de si trabajan solo con sus usuarios o con un círculo ilimitado de personas. Si el servicio se ofrece solo a aquellos que se han registrado y aceptado un acuerdo como "No hacemos seguridad, usamos tecnologías con fugas, es posible hackear, bienvenido al club de los amantes de la humillación", entonces la compañía tiene todo el derecho de no reparar vulnerabilidades y problemas potenciales. Aunque en algunos casos pueden ser castigados por ley, pero esta es otra historia.
Sin embargo, hay otras compañías: si se utilizan vulnerabilidades en dichos servicios, cualquiera puede sufrir, incluso si él mismo no utilizó dicho servicio. Esto incluye servicios gubernamentales, maldecidos por muchas suscripciones pagas, y sistemas de autorización en redes públicas. Aunque no he escuchado sobre el castigo de aquellos en cuyo nombre se hicieron llamamientos al extremismo a través de redes públicas, se llevaron a cabo ataques en algunos sistemas o, lo peor de todo, se publicaron las obras de artistas japoneses, no puedo garantizar que esto no suceda. , y la víctima tendrá la oportunidad de poner excusas.
Por lo tanto, estoy convencido de que las empresas cuyas acciones u omisiones pueden afectar a aquellos que no concluyeron un acuerdo con ellas deberían usar tecnologías seguras tanto como sea posible o ser castigadas por la sociedad. Desafortunadamente, uno no debe olvidarse de la inercia de las personas y su disposición a ignorar todos los problemas de seguridad hasta que los toquen ellos mismos. Esto muestra a las empresas que es posible obtener un puntaje en la seguridad de todos, que la gente se caiga y olvide en un par de días. Pero este es un tema para un artículo triste por separado.