Es gab bereits mehrere Artikel zu diesem Thema -
Wie kann die SMS-Identifizierung beim Herstellen einer Verbindung zu öffentlichen Wi-Fi-Netzwerken umgangen werden? Und noch
einmal: Verwenden Sie kein öffentliches WLAN , aber es werden neue Autorisierungsmethoden angezeigt. Es ist also an der Zeit, erneut darüber zu sprechen. Kürzlich bin ich in einem Moskauer Café auf eine ungewohnte Art gestoßen, mich in das Netzwerk einzuloggen. Es bestand sofort der Wunsch zu prüfen, ob diese Genehmigung umgangen werden kann und wie sie normale Menschen bedroht.
Die Überprüfung der Identität bei der Verbindung mit öffentlichen Wi-Fi-Netzwerken in Russland ist gesetzlich vorgeschrieben. Es gibt verschiedene Möglichkeiten, die beliebtesten: Eingabe eines Codes per SMS oder Eingabe der letzten Ziffern der Telefonnummer, von der der Anruf empfangen wurde. In diesem Café wurde jedoch die vom Dienst wifi-way.ru erteilte Genehmigung verwendet, die etwas anders funktioniert. Der Benutzer wird aufgefordert, seine Telefonnummer anzugeben und dann die Nummer dieses Dienstes anzurufen. Nachdem die Verbindung hergestellt wurde, wird der Anruf abgebrochen und der Benutzer wird autorisiert.
Dies scheint ein bequemer Weg zu sein: Das Unternehmen gibt kein Geld für das Versenden von SMS aus, kauft einfach eine Telefonnummer und verfolgt eingehende Anrufe. Es gibt jedoch mindestens eine schwerwiegende Gefahr - die grundsätzliche Möglichkeit, Anrufe mit einer Nummernänderung zu tätigen.
Die vorhandene Implementierung von Mobilfunknetzen ermöglicht es Ihnen, einen Anruf mit einer beliebigen Anrufer-ID (Telefonnummer des Anrufers) zu starten. Danach erhält der angerufene Teilnehmer einen Anruf, bei dem die Nummer des Anrufers ersetzt wird. Dies liegt an der Tatsache, dass Mobilfunknetze auf Vertrauen basieren. Die Details gehen etwas über den Rahmen dieses Artikels hinaus. Hier genügt es zu erwähnen, dass Sie zum Tätigen solcher Anrufe entweder lange in die PBX-Einstellungen eintauchen oder einfach einen Dienst für Anrufe mit einer Nummernänderung und ein wenig „Magie“ verwenden können, um Russisch anzurufen Zahlen.
Ein äußerst komplizierter Autorisierungs-Bypass sieht folgendermaßen aus:
- Netzwerkverbindung
- Anzeige der Telefonnummer
- Rufen Sie an, indem Sie die Nummer des vorherigen Absatzes durch die Anrufer-ID ersetzen
Es scheint, dass dies ein ziemlich komplizierter Weg ist, um auf das Internet zuzugreifen. Es ist einfacher, eine SIM-Karte ohne Reisepass zu kaufen, wenn Sie solchen Unternehmen die Telefonnummer nicht geben möchten (und sie verkaufen sie auch an die Eigentümer von Einrichtungen, willkommen in der Welt des potenziellen Spam). Die Hauptsache ist jedoch nicht der Zugang zum Internet selbst, sondern der Zugang über die Telefonnummer eines anderen. In den beiden vorherigen Artikeln wurde beschrieben, wie Sie auf vorhandene "Sitzungs" -Verbindungen zugreifen können, sodass Sie einfach kein öffentliches WLAN verwenden und in Ruhe leben können. In diesem Fall kann der Angreifer eine beliebige Telefonnummer angeben, irgendwo einen Appell für Extremismus oder die Arbeit japanischer Künstler veröffentlichen, und dann hängt alles vom Glück ab.
Wenn eine ausländische, nicht existierende oder "Elite" -Nummer verwendet wurde, wird niemand darunter leiden, obwohl das Unternehmen möglicherweise viele interessante Fragen dazu erhält, warum diese Nummer in seiner Datenbank enthalten ist. Wenn sie diese Autorisierungsmethode jedoch anwenden und verkaufen, sind sie eindeutig bereit dafür.
Aber wenn der offizielle Besitzer der Nummer in dieser Stadt lebt, ist alles viel interessanter. Möglicherweise besteht die einzige Möglichkeit darin, die Ermittler und das Gericht davon zu überzeugen, anhand der Protokolle des Mobilfunkbetreibers zu überprüfen, ob dieser Anruf tatsächlich mit der SIM-Karte des Teilnehmers getätigt wurde. Aber schon dadurch können Sie viel Zeit und Mühe aufwenden.
Ein weiterer interessanter Punkt ist, dass der Eigentümer der Nummer nicht herausfinden kann, dass seine Nummer für die Autorisierung verwendet wurde: Er erhält keine verdächtige Nachricht mit einem Code oder einem Anruf von einer unbekannten Nummer. Im schlimmsten Fall wird der Ermittler dies sagen.
Ich schrieb an wifi-way.ru mail, um herauszufinden, was sie darüber denken. Die Antwort wurde durchaus erwartet: Wir wissen um die Möglichkeit einer Nummernänderung, das System speichert die Nummer, die aus dem Mobilfunknetz stammt.
Es ist schwierig, etwas hinzuzufügen, ich kann nur allen viel Glück und glückliche Telefonnummern wünschen, die von Angreifern während der Autorisierung nicht verwendet werden.
Eine zutiefst persönliche Meinung über die Verantwortung von Unternehmen für die Sicherheit von Menschen (nicht Benutzern)Es ist notwendig, Unternehmen klar voneinander zu trennen, je nachdem, ob sie nur mit ihren Benutzern oder mit einem unbegrenzten Personenkreis arbeiten. Wenn der Service nur für diejenigen angeboten wird, die eine Vereinbarung wie "Wir tun keine Sicherheit, verwenden undichte Technologien, Hacking ist möglich, willkommen im Club der Demütigungsliebhaber" registriert und akzeptiert haben, hat das Unternehmen das Recht, Schwachstellen und potenzielle Probleme nicht zu beheben. In einigen Fällen können sie zwar gesetzlich bestraft werden, aber das ist eine andere Geschichte.
Es gibt jedoch auch andere Unternehmen: Wenn in solchen Diensten Schwachstellen verwendet werden, kann jeder darunter leiden, selbst wenn er selbst einen solchen Dienst nicht genutzt hat. Dies umfasst staatliche Dienste, die von vielen bezahlten Abonnements verflucht werden, und Systeme zur Autorisierung in öffentlichen Netzwerken. Obwohl ich nicht von der Bestrafung derer gehört habe, in deren Namen Appelle an den Extremismus über öffentliche Netzwerke verfasst wurden, Angriffe auf einige Systeme durchgeführt wurden oder, was am schlimmsten ist, die Werke japanischer Künstler veröffentlicht wurden, kann ich absolut nicht garantieren, dass dies nicht geschehen wird und das Opfer wird die Möglichkeit haben, sich zu entschuldigen.
Daher bin ich davon überzeugt, dass Unternehmen, deren Handlungen oder Unterlassungen diejenigen betreffen können, die keine Vereinbarung mit ihnen geschlossen haben, entweder so weit wie möglich sichere Technologien einsetzen oder von der Gesellschaft bestraft werden sollten. Leider sollte man die Trägheit der Menschen und ihre Bereitschaft, alle Sicherheitsprobleme zu ignorieren, nicht vergessen, bis sie sie selbst berühren. Dies zeigt Unternehmen, dass es möglich ist, in ein paar Tagen auf die Sicherheit aller zu punkten, Menschen zu bescheißen und zu vergessen. Dies ist jedoch ein Thema für einen separaten traurigen Artikel.