Comments 18
Баян, кстати. Где-то года три назад проходила инфа по поводу идентификации в метро и обнаружению «golden» MAC-адресов, т.е. тех, которые подключили услугу «как дома». habrahabr.ru/post/304222
То, что MAC адрес пока единственный способ авторизации это понятно, покуда не появится передача IMEI и прочих ID браузером. Но, что меня напрягает, это подсовывание левого сертификата для HTTPS соединений.
Очевидно, что данный метод может быть легко использован в противоправных целях практически кем угодно. Простота использования метода в совокупности с получаемым в результате анонимным доступом к сети Интернет может создать угрозу как безопасности отдельной личности, безопасности общества и государства, поэтому, при самом худшем стечении обстоятельств речь может пойти об акте кибертерроризма со всеми вытекающими из этого последствиями.
Что-то регулировками запахло.
я яростный противник регулировок, но если уже делать систему авторизации, то не надо делать нежизнеспособную профонацию.
Ваш поступок напоминает мне историю про хакера и уязвимости в солонке. Все системные администраторы, даже самые хреновые, понимают, как это работает, Ваше же исследование только наведет ненужной шумихи и приведет к ужесточению регулировок. Так что яростным противником регулировок я б Вас не назвал, уж извините.
Я даже больше скажу, мне изначально показалось, что статья как раз для того и предназначена, чтобы донести проблему до «компетентных органов».
Я даже больше скажу, мне изначально показалось, что статья как раз для того и предназначена, чтобы донести проблему до «компетентных органов».
откровением исследование не стало
Организаторам таких гостевых сетей достаточно по минимуму исполнить 97-й ФЗ в части постановления №801. т.е. предусмотреть авторизацию по СМС чтоб не налететь на 300тр штрафа. т.е. угроза в таких случаях исходит больше от разного рода роскомнадзоров, а не от призрачных хакеров.
Вообще я решаю сейчас похожую задачу: организацию гостевого доступа с СМС авторизацией. И не особо понятно как на недорогих точках можно навернуть нечто большее чем авторизацию по маку
может кто подскажет?
У меня схема такая:
AP спрашивает контроллер что мне с новым маком делать?
контроллер редиректит пользователя на external captive portal попутно обогащая HTTP GET запрос параметрами user_mac и ip_mac (а других параметров точка и не сообщает).
captive запрашивает номер телефона, генерирует и высылает пин, запрашивает пин и авторизует на контроллере на определенное время. котнтроллер, соответственно дает команду точке AP и пользователь вываливается в интернет.
ну и как тут можно предусмотреть подмену мак адреса?
Организаторам таких гостевых сетей достаточно по минимуму исполнить 97-й ФЗ в части постановления №801. т.е. предусмотреть авторизацию по СМС чтоб не налететь на 300тр штрафа. т.е. угроза в таких случаях исходит больше от разного рода роскомнадзоров, а не от призрачных хакеров.
Вообще я решаю сейчас похожую задачу: организацию гостевого доступа с СМС авторизацией. И не особо понятно как на недорогих точках можно навернуть нечто большее чем авторизацию по маку
может кто подскажет?
У меня схема такая:
AP спрашивает контроллер что мне с новым маком делать?
контроллер редиректит пользователя на external captive portal попутно обогащая HTTP GET запрос параметрами user_mac и ip_mac (а других параметров точка и не сообщает).
captive запрашивает номер телефона, генерирует и высылает пин, запрашивает пин и авторизует на контроллере на определенное время. котнтроллер, соответственно дает команду точке AP и пользователь вываливается в интернет.
ну и как тут можно предусмотреть подмену мак адреса?
UFO just landed and posted this here
ВО МГЛУ!
Пару лет назад в nightly сборках Cyanogen Mod под мою Соньку у всех пользователей долгое время был один и тот же MAC-адрес у вайфая. Видимо, как-то поломали скрипт, который его должен получать из чипа.
Так я катался в метро всегда без авторизации. Видимо, кто-то тоже пользовался такой прошивкой, и оплатил услугу.
Так я катался в метро всегда без авторизации. Видимо, кто-то тоже пользовался такой прошивкой, и оплатил услугу.
До первого ЧП с участием всей этой системы никто с этим заморачиваться не будет. Формально закон соблюдён, а смена MAC перекладывает ответственность на на пользователя.
Тем более провайдеру гораздо интереснее воевать с теми, кто пытается получить сервис, не посмотрев рекламу — вот тут реальные риски недополучить выручку.
Вместо изоляции критических сегментов и подсетей усложняют жизнь обычных законопослушных граждан.
Ждем авторизации по ДНК.
Ждем авторизации по ДНК.
Вывод, кстати, весьма неприятный — не пользоваться бесплатным wi-fi Московского метрополитена. А ещё лучше — отключать wifi на устройствах, спускаясь в метро.
«Если у вас паранойя, это не значит что за вами не следят!» (с) :)
«Если у вас паранойя, это не значит что за вами не следят!» (с) :)
Sign up to leave a comment.
Уязвимость технологии системы идентификации пользователей в публичных wi-fi сетях