Pull to refresh

Comments 121

А такой же сайт для других операторов можете сделать? Хочется проверить свои симкм и то, влияет ли глобальный прокси на это.
На данный момент, из браузера работает способ только с МТС. Два месяца назад еще работало на Билайн и Теле2, но увы.
UFO landed and left these words here
Не нужно ничего эмулировать, просто выполнить запросы к определенным хостам, как это делает старая версия приложения Билайна для Android.
Наконец-то годная статья на хабре.
*Побежал в магазин за симками*
loudnigra на Омском МТС пишет undefined (на двух разных симках, с айфона и андроида).
Баг был в конкретном регионе?
Питерский МТС, показал номер и регион.
Видимо, зависит от типа SIM-карты или каких-то настроек на ней.
Сайт эксплуатирует веб-уязвимость, а не уязвимость DPI. С DPI таких проблем нет, номер телефона всегда приходит.
У Yota скорее всего как у Мегафона, но я могу ошибаться)
Я понимаю, но тут хотя бы при заходе в личный кабинет пароль все равно спрашивают. Но у меня аккаунт не «телефонный».
UFO landed and left these words here

У йоты есть другой забавный баг, который позволяет пользоваться интернетом с отрицательным балансом.


Достаточно включить и включить режим "в самолёте". В первый десяток секунд после регистрации в сети интернет будет без ограничений.


Тоже особенность DPI, я полагаю

У Билайн и МТС иногда ломается NAT, и пакеты на сервер приходят с внутреннего IP-адреса из приватного диапазона (10.0.0.0/8). Естественно, сервер ответить на такой пакет не может.

Так, как я понимаю, денежное вознаграждение вы получили только от TELE2? Остальные компании просто частично закрыли уязвимости и проигнорировали Вас? Если так, то это печально, что такие крупные компании кладут большой болт на безопасность своих пользователей. И даже когда им приносят уязвимости на блюдечке — они на это забивают.


У меня проблема по приватности в Билайне была года 2 назад. Я купил симку для роутера и раздавал Wi-Fi небольшой группе лиц. Но при этом каждый подключившийся мог зайти на сайт beeline.ru, попасть в ЛК, отключать/подключать услуги, заказывать детализации и так далее — творить с SIM-кой всё что хочешь. Я писал им, мол "скажите как отключить этот автовход, чтобы можно было входить только по логину/паролю". В результате тогда никакой настройки не было, если ты входил с мобильного интернета этой симки — мог автоматически попадать в ЛК. И они это объясняли "Это создано для удобства пользователей". Тогда эта проблема так и не решилась, не знаю как сейчас. Может ввели отключение этого автоматического автовхода.

UFO landed and left these words here
Теле2 предложили мне денежное вознаграждение, но я отказался, и не сообщил им подробности уязвимости (но рассказал, в чем она заключается).
1337, самое главное забыл сказать, представителям МТС и Билайн, с которыми была встреча, неоднократно звонили по телефону в течение года, а они то в метро ехали, то с ребенком гуляли, то просто трубку не брали, и не перезванивали.
а почему отказались? Вы согласны на денежное вознаграждение только за раскрытие уязвимости, связанной с бесплатным интернетом?

Только это не обязательно DPI. Header enrichment существовал и до того, как операторы стали DPI ставить, и зачастую энричмент делается еще до того, как пакет попадает на DPI.

Он делается на TCP PEP? Или на обычном прокси?
Очевидно, что обогащение происходит на узле, который обладает информацией для подстановки нужных значений в каждой сессии.
Как вы считаете, «обычный прокси» такими данными обладает? ;-)

Инфу по стандарту для телекомов и разным вендорам можно искать по запросу «3gpp header enrichment».
Как вы считаете, «обычный прокси» такими данными обладает?
Вопрос заключался в том, что это за система, которая добавляет заголовки: она ближе к прокси-серверу, или к DPI? Мои тесты показывают, что эта система работает как DPI.
Вам уже дали наводку, что это за система. Что изменится от того, что вам скажут, что данный функционал включён в PGW/GGSN. Все равно это и не прокси, и не DPI в чистом виде.
Для простоты, в рассмотренных сценариях, ближе к «прокси-серверу».
Потому что нет D=«Deep».

Добавляемые данные могут быть использованы в модуле DPI для облегчения каких-то задач. Но обычно они применяются для работы обычных массовых сервисов, типа «самообслуживания».

Возможность получения этих данных во внешней сети — безусловно ошибка настройки. Ошибка для абонента неприятная, потому что допускает разные векторы эксплуатации и абонентом не контролируется.

И вот еще мысль: может стоит еще раз связаться с представителями операторов, не упоминая «DPI» в материалах? Пусть сами маршрутизируют. Может так заявка попадет «по адресу» и ошибку быстрее исправят.
Ошибка для абонента неприятная, потому что допускает разные векторы эксплуатации и абонентом не контролируется.

По идее, проброс всего через VPN позволит обойти эту уязвимость, как и множество других.
> может стоит еще раз связаться с представителями операторов, не упоминая «DPI» в материалах?

Не думаю что это правильный подход. С тем же успехом можно предложить автору устраивать одиночные пикеты с плакатом описывающим уязвимость возле офисов опсосов. Автор обращался к представителям опсосов, чья функция как раз и состоит в обслуживании подобных обращений, а то что им было важней покормить кошку и сходить на рыбалку — не его проблема. Пусть об этом болит голова у их нанимателя.
UFO landed and left these words here
Да, я находил эту тему на 4pda, кто-то обнаружил этот же способ, кроме меня, но чуть позже.
На Yota тоже есть способ получения бесплатного интернета, но не такой простой.

Что же будет, если это решит кто-то использовать в международном роуминге?
МТС заблокировал мое устройство по IMEI при такой попытке.
UFO landed and left these words here
Нисколько, сразу заблокировали. Это было чисто из интереса. Я почти не пользовался бесплатным интернетом в течение года, скачал определенно меньше 10 ГБ за все время. Меня больше интересовало исследование, а не то, что с этого можно поиметь, в отличие тех ребят на 4pda.
UFO landed and left these words here
UFO landed and left these words here
Учитывая, насколько легко можно сменить IMEI на некоторых телефонах, прям целое поле для блокировки телефонов недругов открывается. Учитывая, что можно узнать IMEI абонентов МТС и Мегафон дистанционно…
Для этого придётся прокатится заграницу.

Можно около границы поймать вышку с той стороны. Или телефон с управлением по интернету.

или привезти микросоту иностраного оператора
Уточню, что блокировка была только у одного оператора, а не у всех.
UFO landed and left these words here
Учитывая дату, думаю, рядовые админы опсосов хотят крепко пожать вам шею)
У них есть мой телефон, пусть звонят, я их поздравлю.
Если кто пропустил обновление, loudnigra.xyz при заходе с МТС позвонит и накричит на вас!
Нигра отключен на ночь, будет звонить с утра.
UFO landed and left these words here
Я говорил представителям МТС и Билайна про «обход биллинга», но конкретно про бесплатный интернет не говорил. Как по мне, раскрытие данных куда более должно волновать операторов, нежели бесплатный интернет.
Я также записывал видео с демонстрацией, но и на это не получил ответа.
Вы правы, оператор должен переживать за личные данные абонентов, а вот информацию о трафике не учтенном, они смогут вынуть из CDR файлов (все хранят их по разному долго, примерно до 3-х месяцев, если захотят).
Удивлен что операторы не прискакали и не попытались получить информацию о такой дыре, у них есть fraud отделы, которые должны кричать «аларма, аларма». Наверное пытаются наехать на вендоров, что за фигня.
Любой нормальный руководитель тут собрал бы такой аврал, что гайки затянули бы в 24 часа. Но что они сделали?
На самом деле не так. Крупные организации работают немного по-другому: т.к. организация большая, то у них список дел расписан на каждого человека на годы вперед(условно). Отвлекаться на докручивание гаек — стоит денег (рабочего времени, как ни странно).

Собственно, скорее всего был такой диалог:
-Внимание, подчинённые! Один очень прошаренный чел нашел хитрую лазейку. Давайте посчитаем, сколько примерно людей этой дырой пользуются?
-Сэр, мы всё подсчитали — пользуется менее 0.01% абонентов, и потери около 1 млн.руб в месяц, и то говорить однозначно сложно, т.к. у нас подсчёт трафика идёт на поддомены. Мы смотрели лишь подозрительно большие объёмы, поэтому судить точно не можем.
-Окей. Сколько нам будет стоить времени и денег донастроить все DPI по всем регионам, да так, чтобы ничего не отвалилось (проверка баланса, пополнение счета при нулевом балансе)?
-N миллионов, сэр. И то есть большой шанс поломать личные кабинеты в некоторых регионах, потому-что DPI штука тонкая…
-Значит, на 0.01% всего 1 млн. рублей в месяц. Когда эта цифра станет = N миллионов на фикс, тогда и займемся. Пока займитесь другими более важными делами.

— Я повторюсь, что в больших организациях всё работает по-другому. Там нет «один большой оператор». Там есть отделы, бизнес-направления, итд. Есть бизнес-направления: физики, юрики, итд. Вот этот конкретно относится к потерям физиков. Вы можете подумать, что ваш вопрос относится к безопасникам, так вот нет — этот вопрос относится к бизнес-подразделению, потому-что фикс должны будут оплачивать они, а не безопасность. И бизнес-подразделение уже решает — тратить ли на эту «мелочь» ресурсы, или нет.
Только вот вы (и бизнес-отделы) не учли ещё один большой риск — наличие вот такого поста, который очень быстро разошёлся по всему рунету и который явно говорит, на какого оператора нужно переходить

Ну, бизнес-отделы такое часто не учитывают. Если надо будет — надавят на оператора "на которого надо переходить" административными методами, что б долю рынка сохранить. Это и проще и привычнее, чем за имиджем и данными клиента следить.

не учли ещё один большой риск — наличие вот такого поста, который очень быстро разошёлся по всему рунету
А им и не надо это учитывать. Я же писал:
Когда эта цифра станет = N миллионов на фикс, тогда и займемся
Т.е. когда эта проблема станет проблемой — ей и займутся. А до тех пор, пока она никому особо не вредит, ею и нет смысла заниматься (нерационально тратить ресурсы).
Вы очень переоцениваете влияние наличия вот такого поста на конечную прибыль опсоса. Ну да, полтора гика, прочитав всё это, страшно возмутятся и уйдут к кому-нибудь еще, но подавляющее большинство клиентов никогда не прочитает этого поста, а если и прочитает, то не поймет в чем его суть.

Это технический ресурс. Новостные ресурсы переработают этот пост в стиле "Учёный изнасиловал жарналиста".

Всем плевать. Нет, правда. Это не первый и даже не десятый случай, когда опсос, провайдер или кто-то подобный делает нечто непотребное. Ну вот тот же МТС с год назад эпичнейше обгадился, когда через них телеграммы кого-то из оппозиционных деятелей взломали. Воплей было значительно больше. Чем закончилось для МТС? Ничем. Вообще.
> реально в наше время стоит мобильный анлим (для юрлиц 1000р+ в месяц

*существенно* дешевле
UFO landed and left these words here
но из общедоступных
Мы же говорим про юрлиц? 'общедоступные тарифы' легко и непринужденно прогибаются в процессе общения с менеджером оператора.
Размер скидки зависит от вашего дара убеждения и заинтересованности оператора в вашей компании (это не всегда размер и/или средний счет).
В 2006 у Менафона можно было набрать секретную комбинацию и номер телефона, потом идет звонок по тому номеру, когда поднимают трубку, то поступает звонок тебе и можно было говорить бесплатно. Так же, когда многие узнали про это, тему прикрыли, возможно комбинацию просто поменяли
Не секрет, что у каждого крупного оператора несколько филиалов. В каждом филиале стоит свой DPI (PCEF/PCRF) со своей логикой и в каждом филиале свой биллинг. То, что работает в одном филиале (а может и вообще субъекте федерации), может совершенно отлично работать в другом.
Кроме того пилят DPI сторонние организации, а это допиливание стоит вполне серьезных денег. Уж так сложилось, что выделение этих денег для крупной организации процесс весьма небыстрый.
Подозреваю, что у теле2 в вашем регионе сейчас идет период тестирования и приеемки софта, и найденные вами баги просто были внесены в техническое задание поставщику.
Конечно я понимаю, что ковбоев не волнуют проблемы индейцев, но в данном случае операторам надо просто дать время.
В принципе верно, с той лишь разницей, что «PCEF/PCRF» — не DPI.
В статье описаны проблемы обогащения заголовков. Это тоже не DPI и применяется для совершенно других целей.
Если не ошибаюсь, на Android это реализовано как ssh через http туннель, в таких приложениях, как http injector, e-proxy, KPN Tunnel.
Интересная идея. Может кто подскажет VPN клиент сервер(Android Win) через HTTP тунель?)
хм. а SOCKS не будет работать, интересно.
HTTP-запросы на любой IP-адрес и порт 80 с заголовком Host, указывающим на служебный домен, не расходуют трафик из пакета и работают даже при отрицательном балансе.
Скажите, и в магазине можно так же стенку приподнять? (с)
Специалист службы информационной безопасности МТС вышел на связь, сказал, что разберется.
UFO landed and left these words here
Видимо уже начали. В Москве нигра показывает undefined.
У меня на домашнем сервере еще остались некоторые домены операторские. Пока в армии был качал файлы через баг с хедерами когда трафик заканчивался. Знаю о баге с заголовками уже года 3-4. Иногда юзал когда очень надо было выйти с чего то в интернет. Когда мне кинули инфу о дырах на 4пда был очень огорчен. Но последние 2 года сижу на yota. Не требуется.
В принципе не понятно:
1. На основании какого права оператор вообще лезет в трафик абонента?
2. Что в связи с этим будет запротоколировано по «закону Яровой»?
3. Существует вероятность (ИМХО, очень большая вероятность), что ТС выявил далеко не все «нюансы» работы операторов связи. Возможно операторы балуются гораздо сильнее (скажем, дорабатывают не только заголовок). Ссылка на описанный факт возможно кому-то поможет при его уголовном преследовании, скажем за экстримизм в высказываниях. Ведь в настоящий момент возникло сомнение в добропорядочности операторов сотовой связи, а сомнения в Уголовном праве трактуются в пользу обвиняемого.
Вроде какой-то оператор вставлял свой HTML. Причем криво, вешая события через window.onload, из-за чего ломались некоторые сайты. Но те, кто не перевел свой сайт на HTTPS, должны страдать.
PGW не является DPI? Для меня DPI — все то, что анализирует пакеты на Level 7. Неправильно называть PGW системой DPI?

Правильно я понимаю, что воспользоваться этой уязвимостью можно только установив приложение, которое не запрашивало доступ к геолокации/READ_PHONE_STATE, но получило доступ к таким данным? Произвольны вебсайт через браузер не получит же доступ к манипуляции заголовками запроса.

заголовки устанавливаются опсосом, а не телефоном.

заголовки, про которые идёт речь в статье, ставит опсос при запросе к сайтам из некоторого списка. На это можно повлиять, если подпихнуть правильный заголовок Host. Что страшного в том, что сайт опсоса будет знать мой номер?

Приложение может эмулировать запросы к сайтам из списка, подключаясь к IP-адресу, подконтрольному владельцу приложения, а DPI оператора будет думать, что запрашивается адрес из списка.
Веб-сайт, в случае МТС, тоже может эмулировать такой запрос.
Если у кого есть только шаред-хостинг, можно для посмотреть использовать простой php скрипт
код
<?php
if (!function_exists('getallheaders'))  {
  function getallheaders()
  {
    if (!is_array($_SERVER)) {
      return array();
    }
    $headers = array();
    foreach ($_SERVER as $name => $value) {
      if (substr($name, 0, 5) == 'HTTP_') {
        $headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value;
      }
    }
    return $headers;
  }
}
$headers = getallheaders();
print_r($headers);


тычем в него курлом, как описано.
Вы его точно не модифицировали? Лишнего ничего не зацепили при копировании? Или, наоборот, ничего не выпало?
Даже не знаю, что там может не работать, попробуйте предельно упрощенный вариант.
код
<?php
$headers = array();
foreach ($_SERVER as $name => $value) {
  if (substr($name, 0, 5) == 'HTTP_') {
    $headers[$name] = $value;
  }
}
print_r($headers);

<?php echo "<pre>",print_r($_SERVER,1),"</pre>";

Специалисты компании анализируют информацию и работают над устранением уязвимости. Мы проводим работу по поиску и устранению уязвимостей постоянно.

Ещё ваши специалисты бросают абонентов на мины типа kavkazwp.megafon.ru или lp.megafon.tv с кривыми скриптами, которые не работают без установленного «рекомендуемого приложения» и огромной кнопкой, покупающей трафик при честно подключенном за деньги безлимите. Только звонок в поддержку с просьбой связаться с технарями принёс результат:
технари обещали больше не издеваться.
Слово, кстати, сдержали. Прислали таинственный
null
, и меня избавили от ежедневных «лохотронов» — «перейти к обзору интернета» при работающем телефонном соединении.

Вы очень переоцениваете влияние наличия вот такого поста на конечную прибыль опсоса

Так что всё правильно на мой взгляд: дырочка (уязвимость) у мегафона куда меньше, чем общая огромная дыра в кармане «обутых в лапти» клиентов. Чего там затыкать…
Подскажите, как настроить сервер, чтобы получалось возвращать заголовки с измененным хостом? У меня просто происходит выдача сервером «Not Found» при такой попытке.
Или, что можно было встретить лет 5 назад, простой заход на подозрительный веб-сайт или клик по рекламному баннеру из Android-игры оборачивался автоматической подпиской на платную услугу, о чем можно было узнать из СМС-сообщения.

Ха, три месяца назад (в сентябре 2017) зашёл через мобильный интернет от мегафона посмотреть картинку на радикале (де факто стандартный фотохостинг). Открываю радикал, приходит СМС, что я подписался на услугу доступа к радикал фото, 30 рублей в день.

Интересно, радикал об этом знает?..

Он на этом зарабатывает, так как без его ведома сложно впихнуть в него айфрейм с платным сайтом.
Думаете, сложно? Сидя на первой букве в слове MITM?
(это просто вопрос, я в деталях не ориентируюсь)

Не вижу смысла им атаковать только радикал. И разве он не по https?
И разве он не по https?

Вот уж не знаю, радикальной помойкой не пользуюсь со времен IT-младенчества.
А я и адреса не знаю, вот и спросил. Но сейчас даже мелкий бложик ставит себе https.
Кстати, вспомнилось. С полгода назад мне мегафон пытался впарить подписку на либ.ру. Я еще домен, помнится, по хуиз гялнул — мама дорогая, ну ни разу не палятся! В одном из полей чего-то-там-org так и написано — Megafon тряляля.
Хотел было выставить их где-нибудь на доску позора, да махнул рукой. Толку-то…
Не факт, так как подписка идёт от имени некоего fotosstock.ru. А на самом радикале ничего подобного не упоминается.
Возможно, это платные партнёры, и их iframe размещается на радикале.
Это, кстати, теоретически можно отключить в частном порядке по звонку опсосу. По крайней мере, МегаФон года 4 назад мне выключил и вернул деньги; вот современный Билайн в этом плане похуже — в саппорт сидел какой-то умник, который начал мне рассказывать про вирусы в моем телефоне и всё такое.
Проверял loudnigra.xyz с СЗ МТС — выдал undefined. Вот интересно, МТС вставил затычку именно на негра и что-то сделал глобальное…
Да, исправили.
Нужно всего 24 часа, чтобы исправить такую уязвимость, если о ней сообщено публично, а не 365 дней, если об уязвимости сообщать напрямую.
Разделение заголовков все еще работает, переделаю, как будет время.
МТС отключил номер, с которого звонил нигра. Чем-то он им не понравился.

Это оголтелый расизм, друг мой, соловей!

Судя по всему — гораздо проще отключить отдельный номер / забанить IMEI, чем решить глобальную проблему.
Разделение заголовков все еще работает, переделаю, как будет время.

Сколько ни пытался — не работает из браузера. DPI буферизирует запрос и всегда делит заголовки таким образом, чтобы имя заголовка не разделялось на несколько пакетов.
Может, сработает, если подстраивать размер самого заголовка, а не значения.
И вас с наступающим! Уважаю таких, как вы — даже в праздники занимаетесь любимым делом!

Уже часть пофиксили, остальное сегодня залатаем. Спасибо!

Это заслуживает уважения, учитывая дату и день недели. Если бы так все реагировали, мы бы жили в мире без уязвимостей.
Немного отвлекаясь от халявных интернетов: для личного кабинета с телефона без пароля, совершенно не нужно никаких DPI. Достаточно зароутить трафик на сервер ЛК минуя NAT.
К сожалению, всё не так просто. У операторов десятки миллионов абонентов. Просто выдать каждому абоненту уникальный внутренний IP-адрес не получится. Кроме того, адреса придётся как-то сегментировать по регионам, что ещё больше усложнит ситуацию.

Поэтому NAT в каждом региональном подразделении необходим, от него не уйти.

Вспомнил, что года 3-4 назад у МТСа был баг, позволявший получить доступ в интернет при нулевом балансе. Для этого нужно было раз 10-15 попытаться загрузить страницу через Opera Mini, и после этого на какое-то время интернет начинал работать. Уж не знаю, работает ли это сейчас — не проверял. Но уязвимость очень странная...

У МТС есть услуга-акция: раз в три дня можно бесплатно подключить пакет на 10 МБ через Оперу-мини.
UFO landed and left these words here
Сначала я писал в поддержку, просил почту службы безопасности, мне не давали. Затем я присылал все подробности прямо технической поддержке, а они пересылали (или не пересылали) сообщения службе безопасности. Через месяц я начал писать на все почты, которые находил, в каждом письме подробно писал, почему я пишу конкретным людям, что я не могу никак добиться, чтобы письмо переслали службе безопасности, и я получил какой-либо ответ. Писал в твиттер еще, и в онлайн-чаты на сайтах.

Если это не Теле2, рекомендую не связываться с операторами, а сразу делать full disclosure публично. Контакты службы безопасности скрывают так, будто это что-то сверхсекретное.
Вот как раз Теле2 не исключение, года два назад вынес весь мозг поддержке по поводу извлечения номера тела посторонним сайтом и оформлении платной подписки, единственное что сделали (после двухдневной ругани) вернули деньги на счет. С МТС история еще веселее была, оформили подписку на симку модема, дважды, причем в первый раз было жестко указанно — ни каких подписок!, тоже деньги возвращали.
Пытаюсь достучаться до безопасников операторов по поводу других уязвимостей. Вообще, несмотря на то, что прошло много времени, ситуация не изменилась. Контакты скрывают, соединять не хотят. А Теле2 просто игнорирует письма. Вероятно, кто-то может словить full disclosure довольно скоро)
UFO landed and left these words here
Никто не делал страницу для проверки всех операторов на host запросы?
Нельзя подменить заголовок Host из браузеров, это сделано для безопасности.
такие ограничения, на «раздачу» вообще едва ли юридически корректны.
Only those users with full accounts are able to leave comments. Log in, please.