Sudah ada beberapa artikel tentang topik ini -
Bagaimana cara memotong identifikasi SMS saat menghubungkan ke jaringan Wi-Fi publik? Dan
Dan lagi: jangan gunakan WiFi publik , tetapi metode otorisasi baru muncul, jadi sekarang saatnya untuk membicarakannya lagi. Baru-baru ini, di sebuah kafe Moskow, saya menemukan cara asing untuk masuk ke jaringan. Segera ada keinginan untuk memeriksa apakah otorisasi ini dapat dielakkan, dan bagaimana hal itu mengancam orang-orang biasa.
Verifikasi identitas saat menghubungkan ke jaringan Wi-Fi publik di Rusia adalah persyaratan hukum. Ada beberapa cara, yang paling populer di antaranya - memasukkan kode dari SMS atau memasukkan digit terakhir nomor telepon dari mana panggilan diterima. Namun, otorisasi yang diberikan oleh layanan wifi-way.ru, yang bekerja sedikit berbeda, digunakan di kafe ini. Pengguna diminta untuk menunjukkan nomor teleponnya, dan kemudian melakukan panggilan darinya ke nomor layanan ini. Setelah koneksi dibuat, panggilan akan terputus, dan pengguna akan diotorisasi.
Tampaknya ini cara yang mudah: perusahaan tidak mengeluarkan uang untuk mengirim SMS, cukup membeli nomor telepon dan melacak panggilan masuk. Namun, setidaknya ada satu jebakan serius - kemungkinan mendasar untuk melakukan panggilan dengan perubahan nomor.
Implementasi jaringan seluler yang ada memungkinkan Anda untuk memulai panggilan dengan Caller ID yang sewenang-wenang (nomor telepon penelepon), setelah itu pelanggan yang dipanggil akan menerima panggilan dengan nomor penelepon diganti. Ini disebabkan oleh fakta bahwa jaringan seluler dibangun berdasarkan kepercayaan. Detailnya sedikit di luar ruang lingkup artikel ini, ini cukup untuk menyebutkan bahwa untuk membuat panggilan seperti itu Anda dapat menggali pengaturan PBX untuk waktu yang lama, atau hanya menggunakan beberapa jenis layanan untuk panggilan dengan perubahan nomor dan sedikit "sihir" untuk memanggil bahasa Rusia angka.
Bypass otorisasi yang sangat rumit terlihat seperti ini:
- Koneksi jaringan
- Indikasi Nomor Telepon
- Panggil dengan substitusi ID Pemanggil untuk nomor dari paragraf sebelumnya
Tampaknya ini adalah cara yang agak rumit untuk mengakses Internet, lebih mudah untuk membeli kartu SIM tanpa paspor jika Anda tidak ingin memberikan nomor telepon kepada perusahaan tersebut (dan mereka juga menjualnya kepada pemilik perusahaan, selamat datang di dunia spam potensial). Tetapi yang utama bukanlah akses ke Internet itu sendiri, tetapi akses menggunakan nomor telepon orang lain. Dua artikel sebelumnya menjelaskan cara-cara di mana Anda dapat mengakses koneksi "sesi" yang ada, sehingga Anda tidak bisa menggunakan Wi-Fi publik dan hidup dalam damai. Dalam hal ini, penyerang dapat menentukan nomor telepon apa saja, menerbitkan suatu tempat permohonan ekstremisme atau karya seniman Jepang, dan kemudian semuanya tergantung pada keberuntungan.
Jika nomor asing, tidak ada, atau "elit" digunakan, maka tidak ada yang akan menderita, meskipun perusahaan mungkin mendapatkan banyak pertanyaan menarik tentang mengapa mereka memiliki nomor ini dalam database mereka. Tetapi jika mereka menggunakan metode otorisasi dan menjualnya, maka mereka jelas siap untuk itu.
Tetapi jika pemilik resmi nomor tinggal di kota ini, maka semuanya jauh lebih menarik. Mungkin saja satu-satunya kesempatan adalah mencoba meyakinkan penyelidik dan pengadilan untuk memeriksa log dari operator seluler apakah panggilan ini benar-benar dilakukan menggunakan kartu SIM pelanggan. Tapi ini sudah bisa membuat Anda menghabiskan banyak waktu dan tenaga.
Poin menarik tambahan adalah bahwa pemilik nomor tidak dapat menemukan bahwa nomornya digunakan untuk otorisasi: ia tidak menerima pesan yang mencurigakan dengan kode atau panggilan dari nomor yang tidak dikenal. Dalam kasus terburuk, penyelidik akan mengatakan ini.
Saya menulis surat ke wifi-way.ru untuk mencari tahu apa yang mereka pikirkan tentang itu. Jawabannya cukup diharapkan: kita tahu tentang kemungkinan perubahan nomor, sistem akan menyimpan nomor yang berasal dari jaringan seluler.
Sulit untuk menambahkan sesuatu ke ini, saya hanya bisa berharap semua orang selamat dan selamat nomor telepon yang tidak akan digunakan oleh penyerang selama otorisasi.
Pendapat yang sangat pribadi tentang tanggung jawab perusahaan untuk keselamatan orang (bukan pengguna)Penting untuk memisahkan perusahaan secara jelas tergantung pada apakah mereka bekerja hanya dengan pengguna mereka atau dengan lingkaran orang yang tidak terbatas. Jika layanan ini ditawarkan hanya kepada mereka yang telah mendaftar dan menerima perjanjian seperti "Kami tidak melakukan keamanan, menggunakan teknologi bocor, meretas adalah mungkin, selamat datang di klub pecinta penghinaan", maka perusahaan berhak untuk tidak memperbaiki kerentanan dan potensi masalah. Meskipun dalam beberapa kasus mereka dapat dihukum oleh hukum, tetapi ini adalah cerita lain.
Namun, ada perusahaan lain: jika kerentanan digunakan dalam layanan seperti itu, siapa pun dapat menderita, bahkan jika dia sendiri tidak menggunakan layanan seperti itu. Ini termasuk layanan pemerintah, dikutuk oleh banyak langganan berbayar, dan sistem otorisasi dalam jaringan publik. Meskipun saya belum pernah mendengar tentang hukuman mereka yang mengatasnamakan seruan ekstremisme ditulis melalui jaringan publik, serangan dilakukan pada beberapa sistem, atau, yang paling buruk, karya-karya seniman Jepang diterbitkan, saya sama sekali tidak dapat menjamin bahwa ini tidak akan terjadi , dan korban akan memiliki kesempatan untuk membuat alasan.
Oleh karena itu, saya yakin bahwa perusahaan yang tindakan atau kelalaiannya dapat memengaruhi mereka yang tidak membuat perjanjian dengan mereka harus menggunakan teknologi yang aman sebanyak mungkin atau dihukum oleh masyarakat. Sayangnya, kita tidak boleh lupa tentang kelambanan orang dan kesiapan mereka untuk mengabaikan semua masalah keamanan sampai mereka menyentuh mereka sendiri. Ini menunjukkan kepada perusahaan-perusahaan bahwa memungkinkan untuk menilai keselamatan semua orang, orang-orang hancur dan lupa dalam beberapa hari. Tapi ini adalah topik untuk artikel sedih yang terpisah.