Já houve vários artigos sobre esse tópico -
Como ignorar a identificação de SMS ao conectar-se a redes Wi-Fi públicas? E
novamente: não use Wi-Fi público , mas novos métodos de autorização aparecem, então é hora de falar sobre isso novamente. Recentemente, em um café de Moscou, me deparei com uma maneira desconhecida de fazer login na rede. Imediatamente, houve um desejo de verificar se essa autorização pode ser contornada e como ela ameaça as pessoas comuns.
A verificação da identidade ao conectar-se a redes Wi-Fi públicas na Rússia é um requisito legal. Existem várias maneiras, a mais popular delas - digitar um código do SMS ou digitar os últimos dígitos do número de telefone do qual a chamada foi recebida. No entanto, a autorização fornecida pelo serviço wifi-way.ru, que funciona um pouco diferente, foi usada neste café. Solicita-se ao usuário que indique seu número de telefone e faça uma ligação dele para o número deste serviço. Depois que a conexão for estabelecida, a chamada será interrompida e o usuário será autorizado.
Parece que é uma maneira conveniente: a empresa não gasta dinheiro enviando SMS, apenas compra um número de telefone e rastreia as chamadas recebidas. No entanto, há pelo menos uma armadilha séria - a possibilidade fundamental de fazer chamadas com uma alteração de número.
A implementação existente de redes móveis permite iniciar uma chamada com um identificador de chamadas arbitrário (número de telefone do chamador), após o qual o assinante chamado receberá uma chamada com o número do chamador substituído. Isso se deve ao fato de as redes móveis serem construídas com base na confiança. Os detalhes estão um pouco além do escopo deste artigo; aqui é suficiente mencionar que, para fazer essas chamadas, você pode acessar as configurações do PBX por um longo tempo ou apenas usar algum tipo de serviço para chamadas com uma alteração de número e um pouco de "mágica" para chamar de russo. números.
Um desvio de autorização extremamente complicado é assim:
- Conexão de rede
- Indicação de número de telefone
- Ligue com a substituição do número de identificação de chamadas do parágrafo anterior
Parece que essa é uma maneira bastante complicada de acessar a Internet; é mais fácil comprar um cartão SIM sem passaporte, se você não quiser fornecer o número de telefone para essas empresas (e elas também são vendidas para os proprietários de estabelecimentos, bem-vindo ao mundo do possível spam). Mas o principal não é o acesso à Internet, mas o acesso usando o número de telefone de outra pessoa. Os dois artigos anteriores descreveram as maneiras pelas quais você pode acessar as conexões de "sessão" existentes, para que você simplesmente não possa usar o Wi-Fi público e viver em paz. Nesse caso, o invasor pode especificar qualquer número de telefone, publicar em algum lugar um apelo ao extremismo ou ao trabalho de artistas japoneses, e então tudo depende da sorte.
Se um número estrangeiro, inexistente ou "elite" for usado, ninguém sofrerá, embora a empresa possa ter muitas perguntas interessantes sobre o porquê desse número em seu banco de dados. Mas se eles usam esse método de autorização e o vendem, estão claramente prontos para isso.
Mas se o proprietário oficial do número mora nesta cidade, tudo é muito mais interessante. É possível que a única chance seja tentar convencer os investigadores e o tribunal a verificar pelos registros da operadora móvel se essa chamada foi realmente feita usando o cartão SIM do assinante. Mas isso já pode fazer você gastar muito tempo e esforço.
Um ponto adicional interessante é que o proprietário do número não pode descobrir que seu número foi usado para autorização: ele não recebe uma mensagem suspeita com um código ou uma chamada de um número desconhecido. Na pior das hipóteses, o investigador dirá isso.
Escrevi para o e-mail wifi-way.ru para descobrir o que eles pensam sobre isso. A resposta era bastante esperada: sabemos da possibilidade de alteração de número, o sistema salvará o número que veio da rede móvel.
É difícil acrescentar algo a isso. Só posso desejar a todos boa sorte e números de telefone felizes que não serão usados pelos invasores durante a autorização.
Uma opinião profundamente pessoal sobre a responsabilidade das empresas pela segurança das pessoas (não dos usuários)É necessário separar claramente as empresas, dependendo se elas trabalham apenas com seus usuários ou com um círculo ilimitado de pessoas. Se o serviço for oferecido apenas àqueles que registraram e aceitaram um contrato como "Não fazemos segurança, usamos tecnologias com vazamentos, hackers são possíveis, bem-vindos ao clube dos amantes da humilhação", a empresa tem todo o direito de não corrigir vulnerabilidades e problemas em potencial. Embora em alguns casos possam ser punidos por lei, essa é outra história.
No entanto, existem outras empresas: se forem usadas vulnerabilidades em tais serviços, qualquer pessoa poderá sofrer, mesmo que ele próprio não tenha usado esse serviço. Isso inclui serviços governamentais, amaldiçoados por muitas assinaturas pagas, e sistemas para autorização em redes públicas. Embora eu não tenha ouvido falar sobre a punição daqueles em nome de quem apelações ao extremismo foram escritas em redes públicas, ataques foram realizados em alguns sistemas ou, o pior de tudo, as obras de artistas japoneses foram publicadas, absolutamente não posso garantir que isso não aconteça , e a vítima terá a oportunidade de dar desculpas.
Portanto, estou convencido de que as empresas cujas ações ou omissões podem afetar aqueles que não concluíram um acordo com elas devem usar tecnologias seguras o máximo possível ou serem punidas pela sociedade. Infelizmente, não se deve esquecer a inércia das pessoas e sua prontidão para ignorar todos os problemas de segurança até que eles mesmos os afetem. Isso mostra às empresas que é possível marcar a segurança de todos, as pessoas cagam e esquecem em alguns dias. Mas este é um tópico para um triste artigo separado.