تجاوز مصادقة أخرى في شبكات Wi-Fi العامة

كان هناك بالفعل العديد من المقالات حول هذا الموضوع - كيفية تجاوز تعريف الرسائل القصيرة عند الاتصال بشبكات Wi-Fi العامة؟ ومرة أخرى: لا تستخدم شبكة WiFi العامة ، ولكن تظهر أساليب ترخيص جديدة ، لذلك حان الوقت للتحدث عنها مرة أخرى. في الآونة الأخيرة ، في مقهى موسكو ، صادفت طريقة غير مألوفة لتسجيل الدخول إلى الشبكة. على الفور ، كانت هناك رغبة في التحقق مما إذا كان هذا التفويض يمكن التحايل عليه ، وكيف يهدد الأشخاص العاديين.



يعد التحقق من الهوية عند الاتصال بشبكات Wi-Fi العامة في روسيا مطلبًا قانونيًا. هناك عدة طرق ، الأكثر شيوعًا منها - إدخال رمز من SMS أو إدخال الأرقام الأخيرة من رقم الهاتف الذي تم استلام المكالمة منه. ومع ذلك ، تم استخدام التفويض الذي توفره خدمة wifi-way.ru ، والتي تعمل بشكل مختلف قليلاً ، في هذا المقهى. يُطلب من المستخدم الإشارة إلى رقم هاتفه ، ثم إجراء مكالمة منه إلى رقم هذه الخدمة. بعد إنشاء الاتصال ، سيتم إسقاط المكالمة ، وسيتم تخويل المستخدم.

يبدو أن هذه طريقة مريحة: لا تنفق الشركة الأموال على إرسال الرسائل القصيرة ، فقط قم بشراء رقم هاتف وتتبع المكالمات الواردة. ومع ذلك ، هناك واحد على الأقل خطير خطير - إمكانية أساسية لإجراء مكالمات مع تغيير الرقم.

يتيح لك تطبيق شبكات المحمول الحالي بدء مكالمة بمعرف هوية تعسفي (رقم هاتف المتصل) ، وبعد ذلك سيتلقى المشترك المتصل مكالمة مع رقم المتصل الذي تم تغييره. هذا يرجع إلى حقيقة أن شبكات المحمول مبنية على الثقة. التفاصيل خارج نطاق هذه المقالة ؛ هنا يكفي أن نذكر أنه لإجراء مثل هذه المكالمات ، يمكنك إما الدخول في إعدادات PBX لفترة طويلة ، أو مجرد استخدام نوع من الخدمات للمكالمات مع تغيير الرقم وقليلًا من "السحر" للاتصال بالروسية أرقام.

يبدو تجاوز التفويض المعقد للغاية مثل هذا:

  1. اتصال الشبكة
  2. إشارة رقم الهاتف
  3. استدعاء مع استبدال معرف المتصل للرقم من الفقرة السابقة

يبدو أن هذه طريقة معقدة إلى حد ما للوصول إلى الإنترنت ، فمن الأسهل شراء بطاقة SIM بدون جواز سفر إذا كنت لا ترغب في إعطاء رقم الهاتف لمثل هذه الشركات (كما أنها تبيعها لأصحاب المؤسسات ، ومرحبا بكم في عالم الرسائل الاقتحامية المحتملة). ولكن الشيء الرئيسي هو عدم الوصول إلى الإنترنت نفسه ، ولكن الوصول باستخدام رقم هاتف شخص آخر. وصفت المادتان السابقتان الطرق التي يمكنك من خلالها الوصول إلى اتصالات "الجلسة" الحالية ، بحيث لا يمكنك ببساطة استخدام Wi-Fi العام والعيش في سلام. في هذه الحالة ، يمكن للمهاجم تحديد أي رقم هاتف ، ونشر دعوة إلى التطرف أو عمل الفنانين اليابانيين في مكان ما ، ثم يعتمد كل شيء على الحظ.

إذا تم استخدام رقم أجنبي أو غير موجود أو "النخبة" ، فلن يعاني أحد ، على الرغم من أن الشركة قد تحصل على العديد من الأسئلة المثيرة للاهتمام حول سبب وجود هذا الرقم في قاعدة البيانات الخاصة بهم. لكن إذا استخدموا طريقة الترخيص هذه وبيعوها ، فسيكونون جاهزين لذلك بشكل واضح.

ولكن إذا كان المالك الرسمي للأرقام يعيش في هذه المدينة ، فسيكون كل شيء أكثر إثارة للاهتمام. من المحتمل أن تكون الفرصة الوحيدة هي محاولة إقناع المحققين والمحكمة بالتحقق من سجلات مشغل الهاتف المحمول لمعرفة ما إذا كانت هذه المكالمة قد تمت بالفعل باستخدام بطاقة SIM للمشترك. ولكن هذا بالفعل قد يجعلك تقضي الكثير من الوقت والجهد.

هناك نقطة أخرى مثيرة للاهتمام وهي أن صاحب الرقم لا يمكنه معرفة أن رقمه قد استخدم للترخيص: إنه لا يتلقى رسالة مشبوهة مع رمز أو مكالمة من رقم غير معروف. في أسوأ الحالات ، سيقول المحقق هذا.

كتبت إلى البريد wifi-way.ru لمعرفة ما يفكرون فيه. كان الجواب متوقعًا تمامًا: نحن على دراية بإمكانية تغيير الرقم ، حيث يقوم النظام بحفظ الرقم الذي جاء من شبكة الجوال.

من الصعب إضافة شيء ما إلى هذا ، لا يمكنني إلا أن أتمنى للجميع حظًا سعيدًا وأرقام هواتف سعيدة لن يستخدمها المهاجمون أثناء التفويض.

رأي شخصي عميق حول مسؤولية الشركات عن سلامة الأشخاص (وليس المستخدمين)
من الضروري فصل الشركات بشكل واضح حسب ما إذا كانت تعمل فقط مع مستخدميها أو مع دائرة غير محدودة من الأشخاص. إذا تم تقديم الخدمة فقط لأولئك الذين قاموا بالتسجيل وقبول اتفاقية مثل "لا نقوم بالأمان ، نستخدم التقنيات المتسربة ، القرصنة ممكنة ، مرحبا بكم في نادي محبي الإذلال" ، فإن الشركة لديها كل الحق في عدم إصلاح الثغرات والمشاكل المحتملة. رغم أنه في بعض الحالات يمكن معاقبتهم بموجب القانون ، ولكن هذه قصة أخرى.

ومع ذلك ، هناك شركات أخرى: إذا تم استخدام الثغرات الأمنية في مثل هذه الخدمات ، يمكن لأي شخص أن يعاني ، حتى لو كان هو نفسه لم يستخدم مثل هذه الخدمة. يتضمن ذلك الخدمات الحكومية ، التي يتم لعنها بواسطة العديد من الاشتراكات المدفوعة ، وأنظمة الترخيص في الشبكات العامة. على الرغم من أنني لم أسمع عن معاقبة أولئك الذين كُتبت نداءات التطرف لصالحهم من خلال شبكات عامة ، ونُفذت هجمات على بعض النظم ، أو الأسوأ من ذلك كله ، أن أعمال الفنانين اليابانيين قد نُشرت ، لا يمكنني على الإطلاق ضمان أن هذا لن يحدث ، وستتاح للضحية الفرصة لتقديم الأعذار.

لذلك ، أنا مقتنع بأن الشركات التي قد تؤثر أفعالها أو إهمالها على من لم يبرم اتفاقًا معها ، إما أن تستخدم تقنيات آمنة قدر الإمكان أو أن يعاقبها المجتمع. لسوء الحظ ، يجب ألا ينسى المرء جمود الناس واستعدادهم لتجاهل جميع المشاكل الأمنية حتى يلمسوها بأنفسهم. هذا يوضح للشركات أنه من الممكن أن يسجل على سلامة الجميع والناس يحطمون وينسون في غضون يومين. لكن هذا موضوع لمقال حزين منفصل.

Source: https://habr.com/ru/post/ar459348/


All Articles