И еще раз: не пользуйтесь публичным WiFi

    image

    Мысль, изложенная в данном посте кому-то может показаться очевидной и банальной, но, как показал разговор в курилке с коллегами, многие, даже имеющие отношение к IT об этом даже не задумывались, не говоря уже о более далеких от техники людей.

    Когда заходит речь «Чем плох публичный вайфай в транспорте/кафе/гостиницах/etc.?» чаще всего в первую очередь отвечают, что основная проблема — либо полное отсутствите шифрования, либо использование одинакового ключа шифрования для всех пользователей. Многие на это справедливо возразят, мол, сейчас практически все сайты и сервисы используют HTTPS, поэтому ваши пароли и персональные данные злоумышленник, слушающий трафик, перехватить не сможет.

    Те, кто технически подкован или обладает здоровой паранойей, используют шифрованные VPN при работе через публичные сети, таким образом создавая дополнительный слой защиты.

    Но сегодня речь пойдет не о том.

    Согласно действующему законодательству РФ, главным условием бесплатного доступа к wi-fi является авторизация пользователей. При подключении к публичной сети пользователь в обязательном порядке должен пройти идентификацию личности и своего устройства.

    Список законодательных актов
    • ФЗ №126 «О связи», который вступил в силу 7 июля 2003 года;
    • постановление Правительства №801 «О внесении изменений в некоторые акты правительства Российской Федерации»;
    • Федеральный закон Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
    • Приказ Минкомсвязи России № 83 от 16.04.2014г.;
    • Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» с изменениями и дополнениями;
    • Правила оказания услуг связи по передаче данных, утвержденные постановлением Правительства Российской Федерации от 23 января 2006 г.N 32;
    • Правила оказания телематических услуг связи, утвержденные постановлением Правительства Российской Федерации от 10 сентября 2007 г. N 575;
    • Правила оказания универсальных услуг связи, утвержденные постановлением Правительства Российской Федерации от 21 апреля 2005 г. N 241;
    • Постановление Правительства Российской Федерации от 31 июля 2014 г. N 758.


    Когда вы подключаетесь к бесплатному WiFi впервые, вас автоматически переадресовывает на страницу авторизации, которая может выглядеть, например, как-то так:

    image

    Авторизация обычно возможна одним или несколькими способами:

    • Вводом номера мобильного телефона, и получением на него кода посредством SMS или звонка. Согласно принятым поправкам к закону «О связи», SIM-карты могут продаваться только в специализированных точках и при наличии документов, удостоверяющих личность покупателя. Более того, соответствующие гос. структуры вынашивают планы о борьбе с «серыми» и «левыми» симками.
    • Авторизацией через ЕСИА («Госуслуги»), создание учетной записи в которой аналогично требует предъявления документов, удостоверяющих личность
    • Некоторые интернет-провайдеры позволяют своим абонентам подключаться к своему же публичному вайфаю по связке логин-пароль от своего домашнего интернета, договор на который, опять же, заключается с указанием паспортных данных.

    Практически всегда, после прохождения процедуры авторизации, в базе данных поставщика услуг сохраняется запись вида 'MAC-адрес вашего устройства' / 'некий идентификатор, четко указывающий на вашу личность' (номер телефона, логин на госуслугах, номер договора, и т.д.). Это необходимо для того, чтобы когда вы в следущий раз подключитесь к этой же сети, вам не пришлось проходить всю процедуру заново — маршрутизатор поставщика услуг опознает ваш телефон, планшет или ноутбук по MAC-адресу и автоматически применит нужные правила доступа. В большинстве случаев, MAC-адрес — это единственное, по чему провайдер определяет вас как пользователя.

    А теперь рассмотрим вполне реальную ситуацию.

    Вы, как законопослушный человек, пришли в какое-то общественное место, например, в кафе или вагон метро, авторизовались в публичной WiFi-сети по своему номеру телефона или любым другим предусмотренным способом, попользовались ресурсами Всемирной паутины, после чего отключились от сети и ушли из этого места.

    Одновременно с вами в этом месте находится некий не совсем законопослушный гражданин, имеющий при себе самый обычный ноутбук, на котором стоит самый обычный WiFi-адаптер, способный работать в monitor-режиме и утилиты из пакета aircrack-ng. С помощью всего этого нехороший человек тихо и незаметно слушает эфир, отмечая, устройства с какими MAC-адресами появились в сети, обменивались трафиком с точкой доступа, а после этого отключились от нее. Выглядит это все примерно так:

    image

    После того, как вы покинули место с этой WiFi-сетью, нехороший человек меняет MAC-адрес WiFi-адаптера на своем устройстве на MAC-адрес вашего устройства, подключается к сети, оборудование опознает его как «старого знакомого» (то есть вас) и пускает в Интернет безо всякой авторизации.

    Стоит отметить, что делать все это может не обязательно со злыми намерениями. Некоторые люди (все личности и события вымышлены, совпадения случайны) делают так для доступа к WiFi-сети в метро без просмотра рекламы (найдя MAC-адрес устройства человека, оплатившего премиум-аккаунт без баннеров).

    Успешно авторизовавшись в сети, нехороший человек может сделать что-то, что идет в разрез с действующим законодательством — написать какое-нибудь сообщение в соцсетях, лайкнуть чужой пост или скриншот из художественного фильма, короче говоря, сделать что-либо, что в наше время считается нарушением статей 280 и 282, а в добавок еще 242 или 272 УК РФ.

    И вот тут начнется все самое интересное.

    По действующему законодательству, операторы связи должны хранить данные авторизации сроком не менее 6 месяцев. При активизации прокуратуры и следователей и запросу поставщику услуг, из Сети которого и было совершено «правонарушение», логи укажут не на «нехорошего человека», а на вас, как на законного владельца устройства с MAC-адресом, с которого и производился доступ.

    В идеальном случае все развалится еще на этапе доследственной проверки.
    В хорошем случае вам придется потратить время и силы чтобы доказать, что вы тут ни при чем — привлечь экспертов, которые обоснуют, что MAC-адрес не может является однозначным идентификатором конкретного устройства и конкретного пользователя, собрать показания свидетелей и записи с камер видеонаблюдения (если их не удалят за сроком давности) о том, что в момент события вас уже не было в том месте, и молиться, чтобы судья не отклонил ваши ходатайства о приобщении всего этого к материалам дела как «несущественные».

    За примерами ходить далеко не нужно — дело Дмитрия Богатова, администратора TOR-ноды, с чьего IP-адреса неизвестный призывал устроить массовые беспорядки. Не смотря на записи с камер видеонаблюдения, явно подтверждающих то, что Дмитрий в момент совершения правонарушения находился в фитнес-клубе, а не у себя дома за компьютером, и заключения экспертов о том, что IP-адрес не может являться идентификатором личности, Богатов был арестован, позже под давлением общественности был переведен под домашний арест, и в итоге уголовное дело против него было прекращено только спустя год. Если бы эта история не получила широкое освещение в СМИ, и за Дмитрия бы не вступились правозащитные организации со всего мира, все могло закончиться гораздо хуже.

    В плохом же случае… давайте не будем о плохих случаях, тут и так все понятно.

    Как можно избежать подобного? Увы, никак. Все упирается в несовершенство самих методов авторизации и аутентификации у операторов связи, а также в особенности работы нашей правоохранительной и судебной системы. Технических методов исключить вероятность подобных ситуаций со стороны обычных пользователей я в данный момент не вижу (вариант с использованием сим-карт офомленных на посторонних лиц не рассматриваем по расписанным выше причинам). Вывод напрашивается один: не пользоваться публичными WiFi-сетями.

    Также стоит отметить, что бдительность стоит сохранять не только при использовании публичного WiFi. На сегодняшний день, подавляющее большинство домашних пользователей использует на своих WiFi-роутерах протокол шифрования WPA2-PSK, который также подвержен возможности подбора ключа шифрования перебором, что при использовании простых паролей (а при дальнейшем развитии вычислительных мощностей — не только простых) влечет за собой возможность подключения посторонних лиц к домашней WiFi-сети и выхода в Интернет от имени владельца роутера. Эта проблема решается техническими методами (например, можно сконфигурировать оборудование так, чтобы при подключении к WiFi сети доступ был только до VPN-сервера, через который уже осуществляется выход во внешний мир, либо WPA-802.1X — но в обоих случаях необходима поддержка со стороны железа), но мало кто из обычных людей с этим будет заморачиваться, увы.
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 235
      –8
      Баг то оформили?
      Не знаю, написали владельцу бесплатного WiFi, что хочется возможность «не запоминать», чтобы никто вас не подставил?
        +15
        Кому его репортить? Такое на каждом шагу буквально, в кафе, гостиницах, метро.
        «Запоминать» он в любом случае должен хотя бы на время жизни сессии. Как вариант, пригодился бы функционал вида «Явно забыть» — чтобы при нажатии на определенную кнопку/ссылку MAC-адрес отвязывался от ваших личных данных и при повторном подключении было необходимо снова проходить авторизацию.
        Но для обычных пользователей это будет неудобно (часть из них перестанет пользоваться услугами, в итоге операторы, зарабатывающие на рекламе, типа той же Максимы Телеком, потеряют деньги), поэтому, лично мне кажется маловероятным, что кто-то займется реализацией подобного.
          0
          Как делают все форумы? При авторизации галочка — не запоминать меня.
          Сессия пусть живёт, а след. раз — вводи заново.
            +2
            Не вникал глубоко в низкоуровневое устройство работы WiFi, но подозреваю, что при уходе из зоны действия сети клиента (без явного отключения от нее) есть теоретическая возможность «сесть на хвост» существующей сессии без нового хендшейка, хотя, понятное дело, это уже гораздо более сложный случай. Буду рад, если знающие люди прокомментируют, как оно обстоит на самом деле.
              0
              ключ тоже уйдет вместе с клиентом.
                0

                Ключ в открытой сети?

                  +1
                  Почему бы и нет? Вначале соединение строится нешифрованным на L2, потом точка и вайфай-клиент строят PFS из пары нонсов. Поверх этого, уже шифрованного L2-канала, посылается всё остальное
              0
              а если брать в расчет (за всех не скажу Dom.ru точно) дисконектит каждый час а то и 30 минут, тоесть после каждого обрыва сессии мне надо ждать смс и вводить его каждый раз?
                0
                Так я не зря упомянул форумы. У них такая галочка дает только опцию, нажимать её или нет — уже ваше дело.
            +6
            А как это исправлять? Это же не проблема с конкретной точкой, это проблема сочетания протоколов/законов. И кнопку «не запоминать» реализовать не получится. Равно как и открытие страницы для выхода из системы (если не оставлять её постоянно открытой у пользователя).
              +3
              Баг то оформили?
              К сожалению, Госдума не принимает отчеты о багах в законодательстве РФ. Другие баги в тексте не описаны.
                0
                Можно подумать, реализация — госдумой сделана.
                  +1
                  Госдумой, фактически, сделана юридическая привязка мак-адреса к конкретному человеку.
                  Закон принят без изучения существующих стандартов связи. Без выработки единого технического решения, позволяющего владельцам открытых Wifi-сетей установить личность пользователя. Без конкурса «5M рублей первому взломавшему это техническое решение».

                  Я как-то думаю, что законы должны учитывать реальность, а не пытаться подстроить ее под себя.
                    0
                    Госдумой, фактически, сделана юридическая привязка мак-адреса к конкретному человеку.
                    Это где вы такой закон нашли. Процитировать можете?
                      +1
                      Список законодательных актов перечислен в статье.
                        +3
                        Ладно, я разверну свою мысль.

                        Способ, которым эти законы привязывают мак-адрес к человеку, тоже описан в статье. Хотя ни в одном из этих законов нет ни строчки про мак-адрес, они влияют на действия граждан и организаций таким образом, что именно с мак-адресом придется разбираться, когда дело дойдет до суда.
                        Во время законотворчества следует понимать, что закон, сформулированный способом X, будет исполняться способом Y. Владельцы всяких кафе исполняют закон как могут, а могут они так, как и было сказано.
                        Я надеюсь, вы понимаете, что бессмысленно предлагать «а давайте каждый владелец публичного вай-фая ради пущей защищенности пользователей внедрит определенное техническое решение»? Массово этим заниматься не будут… без чего? Без еще одного закона. Следовательно, проблема именно в законах.
                          –1
                          Владельцы точек просто не выполняют закон полностью.

                          От них требуется всегда идентифицировать абонентов, а они их идентифицируют в 99% случаев, т.е. если не было смены MAC-адреса. Им невыгодно заморачиваться из-за 1% (тем более, что неавторизованное использование WiFi приведёт к проблемам у владельца точки в одном случае из 100000. Перемножая вероятности, получаем — почти никогда).

                          А главное, ответственности никакой. Штраф, или постановят WiFi выключить. Невыгодно выполнять закон полностью.
                +15
                Как можно избежать подобного? Увы, никак.

                Ну как-же никак, сами-же и написали как: использовать «чужие» MAC-и ;)
                  +1

                  Если мне не изменяет память, iPhone/iPad/iPod по умолчанию в публичные сети каждый раз заходит с новым MAC. Надо почитать, что на эту тему есть для андроида.
                  UPD: Не по умолчанию — "Чтобы активировать эту функцию, нужно отключить сервис определения местоположения в настройках телефона".

                    +1
                    Windows 10 -> Random hardware address. В настройках WiFi
                      +7
                      А разницы нету — Вы зашли в сеть с новым MAC-ом, авторизовались по паспорту/номеру телефона, вышли, а на Ваше место зашел другой человек под этим МАС-ом. Сам МАС роли не играет, главное что себя Вы идентифицировали, а МАС пусть хоть из FF-ок состоит.
                      Под «чужими» имелись в виду «краденные» чужие маки, под которыми авторизовался кто-то другой до Вас на конкретной точке доступа.
                        +1
                        Тут есть один нюанс. Вы можете апеллировать к тому, что из того что система автоматически меняет MAC при каждем Вашем подключении, то использвание вашего MAC во второй раз это явный признак злоупотребления вашими правами. Другой вопрос как к этому отнется суд.
                          +2
                          Смотря какой и чей суд, но что-то мне подсказывает что некоторые могут просто сказать «докажи что не верблюд».
                            0
                            использвание вашего MAC во второй раз это явный признак злоупотребления вашими правами
                            некоторые могут просто сказать «докажи что не верблюд».
                            Точнее, они могут сказать: «докажи, что это второй раз».
                            0
                            Какое злоупотребление правами? Вы прав на MAC-адрес не имеете.
                              0
                              Не имею. Я просто попытался описать своими словами способ, который возможно сможет хоть как-то защитить вас. Насчет правильных формулировок для суда надо общаться со своим адвокатом. Ну и логи — в Windows вы их можете найти в Computer Management->Event Viewer/Applications and Services logs/Microsoft/Windows/WLAN-Autoconfig
                          +1
                          Если мне не изменяет память, iPhone/iPad/iPod по умолчанию в публичные сети каждый раз заходит с новым MAC
                          Если разобраться, рандомный MAC используется только в режиме определения сетей. Ходишь ты по всяким магазинам, а телефон сканирует сети вокруг, чтобы передать приложениям и Эпплу твоё местоположение (find my iphone). Как только ты хочешь подключиться в точке, рандомный MAC отменяется и обмен трафиком идёт с настоящим MAC.

                          Android сканирует сети ради определения расположения, даже если WiFi якобы выключен, но просто OS не цепляется к найденным сетям.
                            0
                            для определения сетей вовсе не надо никакого мака, достаточно слушать эфир, точка свой SSID регулярно транслирует в эфир.
                            андроид по умолчанию начиная с какой-то версии (скорее всего с 6й) меняет мак при каждом подключении (что напрягало меня когда я этого не знал — привязывал по DHCP адреса домашнему железу и постоянно появлялись новые маки)
                              +3
                              для определения сетей вовсе не надо никакого мака, достаточно слушать эфир, точка свой SSID регулярно транслирует в эфир.
                              В теории — да. Практически же, мобильные устройства посылают в эфир probe request, раскрывая свой MAC.

                              Сейчас очень модно отслеживать устройства посетителей магазинов и проходящих мимо точки доступа граждан. Знаю сеть, которая купила лицензии Cisco Connected Mobile Experiences, админы собрали данные, выгрузили в 100500-мегабайтный csv-файл, отдали заказчику из «маркетинга», а те почесали репу «ну и нафиг нам нужна эта непонятная масса».
                                +1
                                Правильно, поэтому к этому в добавок покупают у МосМетро таблицу соответствий MAC-пользователей, вернее даже не покупают, а передают файл им и далее делают анонимные выборки на их стороне. И даже само МосМетро ставит по заказу магазинов свои точки доступа в ТЦ именно для тартетинга пользователей, вида «этот пользователь проходил мимо магазина Zara, или даже заходил в него, давайте теперь догоним его ретаргетингом через рекламу в метро».
                                  0
                                  на самом деле этим занимается не МосМетро (в лице Максима Телеком), а другая «дружественная» им компания ;) и вроде неплохие деньги с этого имеют
                        +5

                        Всё это насколько чисто технически правильно (за исключением отчасти последнего абзаца), настолько же практически бесполезно. И, если что, среди преступников идея выдавать себя за другого человека появилась несколько раньше, чем публичный вайфай, и ничего, живем как-то.

                          +5
                          Вопрос в том, насколько трудозатратно в каждом из случаев выдать себя за другого человека. В данном случае все делается буквально за минуту, и не требует каких-либо вложений или специальных знаний, да и практически неотслеживаемо/недоказуемо.
                            +3

                            Не за минуту, и таки требует специальных знаний. "За минуту" — это разве только для того, кто специальные знания, во-первых, уже имеет, во-вторых, заранее подготовился. А чтобы это стало еще и неотслеживаемо и недоказуемо, надо еще и о сокрытии следов позаботиться (что опять-таки требует специальных знаний).

                              +5
                              Выпустит добрый человек скрипт под линукс, инсталлятор под windows и apk под андроид. Много знаний для этого не нужно, не больше чем зверь-CD собрать.
                                0
                                Под windows раньше было не так-то уж и просто MAC сменить, в некоторых случаях невозможно вообще.

                                Со времён семёрки что-то изменилось?
                                  0
                                  Зависит от драйвера. Я помню ещё на XP на ThinkPad'е штатными средствами MAC менял.

                                  А на DELL'е у моего друга опции не было.
                                    0
                                    Я так думаю от железки тоже зависит, не?
                                      0
                                      Ну драйвер, как бы, зависит от железки, да.
                                    +4
                                    Можно всегда:
                                    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}
                                    Из списка (0000, 0001,...) найти нужный адаптер
                                    Добавить NetworkAddress свойство (String) с новым значением MAC (без разделителей. Например ABF72958F294)
                                    Перезапистить адаптер

                                      0
                                      Хм… Попробовал. И правда работает.

                                      Я думал, что это влияет исключительно на то, как оно в свойствах соединения отображается, а адрес в пакеты сама карточка прописывает.
                                        +1
                                        фреймы же!
                                          0
                                          Я очень давно не имею дела с сетями и тонкости ISO\OSI давно позабыл, к своему стыду. Не кидайте камнями.
                                      0
                                      macchanger, да и в хрюшке через свойство интерфейса всё прекрасно меняется.
                                    +6
                                    Я сделал специальную прошивку для LTE-маршрутизатора Huawei E5770, где, среди всего прочего (например, автоматической смены IMEI), есть и возможность смены MAC-адреса Wi-Fi в режиме клиента. Автоматическое получение подключенных MAC пока не реализовано (в силу ущербности стека, используются старые Wireless Extensions, а не mac80211), но скоро будет.
                                    Помогает использовать Wi-Fi в метро с блокировкой рекламы и обходом заблокированных веб-сайтов, с устройств без root/jailbreak.
                                    Рекомендую этот маршрутизатор, у него и LTE, и Wi-Fi, и USB, и Ethernet, и еще и ёмкая батарея.
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        0
                                        В Ситилинке стоил 8500₽, сейчас нет в наличии. На ebay.co.uk можно купить за 4000-5000₽, заблокированный на оператора o2, и разблокировать моей прошивкой.
                                +1
                                протокол шифрования WPA2, который также содержит уязвимости и может быть взломан

                                Поправьте меня, пожалуйста, если я в чем-то не прав, но указана уязвимость позволяет читать пролетающий трафик, а не подключаться к точке. Для подключения все еще надо брутить пароли…
                                  +1
                                  Да, вы правы. Но, насколько я знаю, брут на видеокарточках сейчас можно провести за довольно приемлемое время (если сочетать перебор плюс радужные таблицы).
                                  Поправил абзац, спасибо.
                                    0
                                    Да, но не все так плохо, к примеру, пароль типа «RaDuGAnaNEBE#-+» непобедим.

                                    По сути в зоне риска: цифры, ранее скомпрометированные пароли (словари из сети и т.д.), банальные пароли(фамилия, фамилия+цифра, слово+цифра и т.д.) Поэтому считаю, что высказывания о ненадежности WPA2 раздуты(в плане подбора и подключения).
                                      0
                                      вы удивитесь, но у вашего пароля стойкость меньше чем у «privetyaraduzhniypony»
                                        +1

                                        Зануда mode on. Подбор по маске слово1+слово2… Суть комментария, что мой, что ваш пример пароля подобрать практически невозможно(очень долго).

                                        +2
                                        Ожидал увидеть это здесь
                                        image
                                          0
                                            0

                                            Для, спасибо давно забытому знакомому, который много лет назад научил меня создавать пароли вида РезвыйЛошадьПочесалось. И всем рекомендую!

                                              0
                                              Убираем гласные, пишем «заборчиком», добавляем мешанину из цифр и спец. символов и готово
                                                0
                                                И кто всё это будет запоминать? (Как того «трубадура» с картинки xkcd)
                                            0
                                            Ставьте хоть 64 знака пароли, пока WPS и торчащая морда в интернет не отключены, вы в зоне риска. Да и банальный EvilTwin может прокатить.
                                              0
                                              Про «торчащий» web интерфейс и EvilTwin конечно перебор, сегодня тяжело найти роутер, у которого в дефолте отсутствует DROP ALL на input (даже микротик начал делать дефолт конфиг), и, если интерфейс все же виден, то это ошибка администрирования конкретного пользователя. Кроме того, если Вы нашли такую точку, зашли на нее по дефолт пассам и увидели Wi-Fi пароль, то как Вы его используете? В смысле, как Вы определите ее физическое местоположение? А если все же определите (были в сети дампы гугла с Wi-Fi MACами точек), то практический смысл опять не понятен… А в части EvilTwin, при отсутствии реального пароля, максимальный профит — получить хэш пароля, что можно сделать более простыми способами (отключение-подключение клиента). По WPS не спорю — зло…
                                                0
                                                В смысле, как Вы определите ее физическое местоположение?

                                                Ну за это можно сказать спасибо гуглофонам(и яндексу) которые собирают информацию о ближайших доступных точках доступа.

                                                Вот немножко статей.
                                                habr.com/post/253335
                                                habr.com/post/250267
                                                habr.com/post/256321

                                        +8
                                        Жить становится лучше, жить становится веселее. Как писал Башлачев, «на своем поле как подпольщики».

                                        Я уже давно пришел к мысли, что проще и спокойней не пользоваться средствами связи, оформленными на себя.
                                          +1
                                          А как по-другому?
                                          Авторизация только через телефон.
                                          Левые симки не предлагать.
                                          +27
                                          Статью следует переименовать в «И еще раз: не пользуйтесь публичным WiFi в РФ».
                                            +7
                                            Точнее, «там, где пытаются привязать оборудование к личности», так как данная схема сработает не только в РФ.
                                              +1
                                              При условии наличия столь же старательно сформулированных и исполняемых законов, как в РФ
                                                –12
                                                данная схема сработает не только в РФ
                                                Согласен. Практически во всём мире (США, Китай, Сингапур, почти весь ЕС) просят ввести номер телефона (и чаще всего местный), чтобы получить доступ к услугам. Назовёте ли вы законодательство Сингапура не современным?
                                                  +4
                                                  Вантаа и Схипхол (аэропорты Хельсинки и Амстердама соответственно) — просят ввести только номер рейса. Даже место не нужно.
                                                    +5
                                                    Сколько ездил по ЕС (Финляндия, Швеция, Нидерланды, Чехия, Испания) — практически везде публичный WiFi работает без авторизации по номеру телефона, просто предлагают поставить галочку на пользовательском соглашении, максимум — спросят e-mail или фейсбук-аккаунт, чтобы потом рекламные новости присылать.
                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                        0
                                                        фейсбук-аккаунт

                                                        Это довольно много, особенно если из фейсбука удастся стянуть что-то помимо ФИО и публичного профиля. Кстати, а они верифицируют аккаунт? Если нет, то можно предоставить чужой и сказать "так и было", и ищи-свищи.

                                                          +1
                                                          Фейсбук-аккаунт можно создать по сути дела анонимно, т.к. для регистрации там не нужен реальный номер телефона или паспортные данные.
                                                          Верифицируется аккаунт через Facebook API / OAuth, то есть чужой (если вы не знаете его пароля) подсунуть не получится.
                                                            +1
                                                            в какой-то момент пейсбучик потребовал скан паспорта для подтверждения, что меня зовут lennonenko, угрожали баном
                                                            отправил им паспорт из «papers,please», робот меня разблокировал, и пока люди рассматривали мой забавный документ, удалил аккаунт
                                                            да, я знаю, что полностью он всё равно не удалился, а только заблокировался, но там всё равно почти ничего нет и это был демарш
                                                          +4

                                                          Такие безапелляционные утверждения хорошо бы подкреплять пруфами.

                                                            +1
                                                            Информация неверная, но данные по отписавшимся на это сообщение, собрал, товарищ младший лейтенант.
                                                              +3

                                                              В США нет такой фигни. Почти всегда просят принять условия пользования, но телефон — никогда.

                                                                0
                                                                xfinitywifi — пример доступа к публичному wi-fi с логином/паролем провайдера.
                                                                  +1
                                                                  Так это не публичный wi-fi по определению, если для доступа к нему нужно быть клиентом провайдера и оплачивать услуги.
                                                                  Enjoy XFINITY WiFi at no additional cost — it's included with your XFINITY Internet service

                                                                  То что сеть по всему городу и видна всем прохожим не делает её публичной.
                                                                  Time Warner Cable (now Spectrum) в Лос-Анджелесе тоже даёт courtesy Wi-Fi если ты платишь за домашний интернет.
                                                                    0
                                                                    Это пример «публичного wi-fi» из статьи:

                                                                    Некоторые интернет-провайдеры позволяют своим абонентам подключаться к своему же публичному вайфаю по связке логин-пароль от своего домашнего интернета...
                                                                      +2
                                                                      Комментарий на который я отвечал утверждал что в США любой выход в интернет привязан к личности, также как в РФ.
                                                                      Я объяснил что это не так, потому что ни Starbucks ни McDonalds, ни Target, ни Home Depo, ни кто либо другой вообще ничего кроме галочки не спрашивают.
                                                                      Это не имеет ни какого отношения к тому, что в США есть избранные платные сети доступ к которым идентифицирован (косвенно), потому что эти сети платные и не могут без идентификации, иначе как брать оплату.
                                                          0
                                                          Вопрос знатокам. Я немножко попараноил и настроил доступ к домашнему Wi-Fi только устройствам с разрешёнными в роутере MAC-адресами (Mikrotik, Default Authenticate отключен, нужные MAC внесены в Acces List). На домашнем сервере поднят RADIUS-сервер, заведены пользователи со «страшными» логинами-паролями, на микротике настроен тип авторизации WPA2 EAP, прописан RADIUS, через который устройства (а точней, юзеры) авторизуются при подключении к Wi-Fi. Достаточно ли этих мер для гарантированного неподключения к моей беспроводной сети левых личностей с непонятными намерениями?
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                              0
                                                              это бесполезная защита в точке доступа.

                                                              В общем и целом согласен. Это больше от пионэров и сетевых устройств: когда ещё не было мак-фильтрации, обнаружил в логах радиуса бесконечные попытки подключиться к моей ТД с цифровым логином (одним и тем же) и пустым паролем какое-то устройство, которое, ЕМНИП было чьим-то то ли телевизором, то ли чем-то другим бытовым.
                                                              Сам тоже WPA2-E использую, но с локальными пользователями на контроллере вайфая, а то вдруг Радиус взломают.

                                                              У меня радиус в докер-контейнере крутится, учётки для авторизации используются только в нём. Но всё равно как-то неуютненько себя чувствую. А вырубать Wi-Fi — не вариант. Мож ещё какие-то меры защиты упускаю.
                                                                +1
                                                                От пиэнеров помогает скрыть SSID. Это куда действенней, как мне кажется.
                                                                  +2
                                                                  Скрытый SSID у пионэров открывается за несколько секунд. Неудобство из-за скрытого SSID добавляется, безопасности — нет.
                                                                    +1
                                                                    У пионэров — не открывается. Если открывается — значит они уже не совсем пионэры.
                                                                    Ну или хотя бы чужие телевизоры не будут ломиться.
                                                              0
                                                              По-моему, это все избыточно. White list MAC-адресов практически бесполезен с точки зрения безопасности. Обычный WPA2-PSK достаточно безопасен.

                                                              Я бы даже сказал, что WPA2-EAP чем-то даже более опасен. На устройствах бывает сложно нормально поставить сертификаты, и это может закончиться «ну похер, подключусь без проверки». А такой сетап хуже, чем PSK, потому что атакующий может поднять свою точку доступа с таким же именем и EAP, и клиент спокойно к ней подключится. EAP можно так настроить, чтобы сервер принимал любой пароль (что невозможно в PSK из-за свойств 4-way handshake, который аутентифицирует как точку доступа перед станцией, так и наоборот). Это не даст атакующему возможности подключиться к самой сети, впрочем, но всё же.

                                                              Пожалуй, основное преимущество EAP — возможность заводить кучу юзеров, и менять пароли/лочить аккаунты независимо. Но полезность этого дома сомнительна. Для гостевого Wi-Fi лучше поднять ещё одну точку доступа, тоже с PSK, но другим паролем. Даже непродвинутые SOHO-роутеры это часто поддерживают, ну а Mikrotik — вы и сами знаете :)
                                                                0
                                                                А, ну ещё в EAP есть плюс, что там клиенты не могут сниффать друг друга. Но дома тоже не особо нужно.
                                                                  0

                                                                  В WPA-PSK клиенты тоже друг друга снифать не могут.

                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                  0
                                                                  Даже если и можно сделать EAP без сертификата сервера (сомневаюсь, но не буду врать), то он же все равно будет хуже PSK, именно по той причине, что я выше описал: станция (клиент) не сможет проверить точку доступа.
                                                                  0
                                                                  EAP это, в первую очередь, EAP-TLS с серверным/клиентским сертификатом.
                                                                  0
                                                                  Страшные пароли — это хорошо. Если они действительно с высокой энтропией. Но параноик во мне подсказывает, что аутентификация по сертификатам — еще лучше. Проблема в том что не все устройства умеют такое. Если смартфоны-ноутбуки поддерживают ее, то всякие принтеры, телевизоры, контроллеры умного дома и прочие приставки — вряд ли.

                                                                  А вот фильтрация по MAC-адресам практически бессмысленна. Только лишние неудобства при добавлении нового устройства в сеть.

                                                                    0
                                                                    Могу предложить усилить параноидальный вариант — добавить на роутер и на клиенты дополнительную софтину, которая бы по своему собственному протоколу провверяла клиентов — из серии — каждые N секунд клиент обязан отправить на роутер сообщение, подтверждающее его легитимность, в противном случае нужно банить клиента и включать сирену. Протокол при этом можно взять какой-нибудь не самый распространённый, или даже собственноручно сотворить…
                                                                      +1
                                                                      Port knocking.
                                                                        +1

                                                                        Банальнее — на WiFi доступен только интерфейс IPsec VPN-сервера (нужна нормальная молотилка ESP, в некоторых массовых роутерах есть на уровне 200-300 мбит/с), клиенты IPsec есть штатно на популярных платформах.

                                                                      +2
                                                                      Как показывает практика, публичным вайфаем можно пользоваться и без авторизации. То udp на 53 порт забудут прикрыть, то ICMP, то еще что-нить.
                                                                        0
                                                                        Ну и не забываем про старый и любимый Iodine, DNS-то не все подменяют :)
                                                                        0
                                                                        есть ещё две причины:
                                                                        — чем дальше, тем меньше смысла в публичных вайфаях. в эпоху GPRS смысл был, а сейчас LTE обычно работает быстрее большинства публичных вайфаев. и не нужна возня со всеми этими авторизациями.
                                                                        — номер телефона нельзя доверять организациям. если номер стал известен организации — он стал известен всем. за примерами далеко ходить не надо.

                                                                        кстати, в метровайфае авторизация через ЕСИА не работает — говорит, у вас в госуслугах телефон не указан, всё равно укажите телефон и всё тут…
                                                                          +1
                                                                          в питерском метро, например, никто кроме Мегафона не работает, так что LTE тут не поможет, увы.
                                                                            0
                                                                            В загранице всё ещё имеет смысл, даже при наличии LTE и прочего.
                                                                              0
                                                                              да, согласен
                                                                            0
                                                                            Мысль, изложенная в данном посте кому-то может показаться очевидной
                                                                            … страшная мысль как то не раскрыта…
                                                                              +6
                                                                              А ещё «нехороший человек» может пырнуть тебя ножом в печень даже в общественном и людном месте. И это гораздо хуже чем кража MAC-адреса. Так что же, совсем «не выходи из комнаты, не совершай ошибку»?

                                                                              С технической точки зрения автор всё верно излагает. Но вывод настолько радикален, что звучит абсурдно. Достаточно просто знать и понимать потенциальные риски и угрозы. И это касается не только подключения к бесплатному Wi-Fi. По лестнице ходить — тоже ногу можно сломать, но это не повод просить окружающих носить тебя на руках.

                                                                              P.S. Кстати, не так давно пользовался бесплатным вай-фаем в Германии, в поезде и ещё местами. Номер телефона потребовался лишь в одном месте. В остальных местах достаточно было согласиться с агриментом, поставив галочку или же даже просто нажав кнопку «Войти».
                                                                                +4
                                                                                Для безлюдного места действуют вполне определенные правила безопасности вида «не стоит гулять ночью одному по неблагополучным районам освещая себе дорогу новым айфоном», поэтому подход «не выходи из комнаты» в чем-то правилен.
                                                                                В людном и общественном месте пыряющий ножом будет запомнен большим количеством свидетелей, попадется в поле зрения камер наблюдения, и т.д. Следственные действия после такого инцидента начнутся почти сразу по горячим следам. Поэтому таким заниматься будут или совсем упоротые (типа террористов/религиозных фанатиков), или лица в состоянии аффекта.
                                                                                В случае с вайфаем же внешне все практически никак не проявляется, а о том, что кто-то сделал что-то, из-за чего у вас могут возникнуть проблемы, вы можете узнать вообще спустя пару месяцев.
                                                                                  +3
                                                                                  На самом деле вопрос тут стоит скорее в правовой сфере, чем в технической. А именно, какова вероятность присесть за другого плохого человека из-за совпадающего MAC-адреса и времени его активности в некотором месте (если нет алиби на нахождение в другом месте в тоже время)?
                                                                                  Т.е. принимается ли MAC как улика. А вот тут мне кажется (с технической точки зрения как раз), что не очень-то он на улику тянет. А вот как суд решит?
                                                                                    +1
                                                                                    Да, проблема именно в суде. В упомянутом деле Богатова пришлось довольно долго доказывать, что «отправлено с его IP-адреса» не означает «лично он пользовался устройством и писал этот комментарий». В случае с MAC-адресами, я надеюсь, аналогично обосновать получится, вопрос только, ценой каких усилий.

                                                                                    Кстати говоря, «совпадающий MAC-адрес» — не такой уж и нереальный случай, даже без злоумышленников. У некоторых китайских смартфонов такое, насколько я помню, бывает (не знаю уж, из-за ошибки, или какая-то сознательная хитрость производителя), а бывают и еще более веселые глюки.
                                                                                      +2
                                                                                      Подобный глюк (одинаковый MAC-адрес на всех) еще был у сетевых карточек на чипе SiS900 из-за бага в Windows-драйвере, так что да, в теории от подобного никто не застрахован.
                                                                                        0
                                                                                        Пространство мак-адресов не такое уж и большое и коллизии возможны.

                                                                                        Manufacturers re-use MAC Addresses and they ship cards with duplicate addresses to different parts of the United States or the world so that there is only a very small chance two computers with network cards with the same MAC Address will end up on the same network.
                                                                                          0
                                                                                          Это у китайцев не ошибка, а вполне себе умное использование условий договора с регулятором.
                                                                                          Производитель имеет свой пул MAC-адресов, который стоит немалых денег. Он их прошил в MAC и BT на конвейере, прошла пара лет, он использует тот же самый пул для своих новых устройств. Вероятность, что два ноунейм-устройства разных поколений одного производителя где-то встретятся в одной вайфайной подсетке — довольно мала (хотя, конечно, использование MAC для авторизации в метро… мда). А производитель экономит приличную сумму. Даже если и встретятся — пользователь скажет «ну китайский планшет, что от него ждать...»
                                                                                            0

                                                                                            Вероятность мала, но не нулевая. Когда-то так народ возвращал новый ПК. Купили в магазине, подключили и позвонили провайдеру, что бы мак поменял на интернете (без роутера подключение) на что провайдер заявил, что такой мак уже у них в сети есть, а значить их ком не новый. Комп здавали в криками в магазин, мол продали б/у как новое оборудование.

                                                                                            0
                                                                                            хм. со генерацией случайного мака — вероятность ещё выше :)
                                                                                            но, с другой стороны, если мак генерится для сессии — какой считать моим?
                                                                                            +6
                                                                                            А именно, какова вероятность присесть за другого плохого человека из-за совпадающего MAC-адреса и времени его активности в некотором месте

                                                                                            Думается мне, что после дела Дмитрия Богатова, эта вероятность значительно отлична от нуля.
                                                                                              0
                                                                                              ПОСЛЕ уже кажется безопаснее, чем до. (хоть у нас и не прецедентное право)
                                                                                                +5
                                                                                                Как уже говорилось, не вступись бы за Богатова куча СМИ, активистов и правозащитников, результат мог бы быть совсем другим.
                                                                                                Этим делом наши госорганы показали, что мало что понимают в технической стороне проблемы (или делают вид), вполне могут начинать давить даже по такому спорному делу, и от этого не застрахован никто.
                                                                                                  +2
                                                                                                  То, что они мало понимают и судят в ИТ по понятиям и желаниям я увидел уже давно. Хотя бы то же закрытие пиратского сервера Рагнарёк Онлайн, когда ребят с собственной реализацией сервера и родным клиентом успешно обвиняли во взломе официального (сервера или клиента уже не помню, «взлом» клиента был в изменении адреса сервера в конфиге).
                                                                                                  А вот то, как закрылось дело Богатова даёт шанс в будущем обойтись меньшим шумом в СМИ для того же результата.
                                                                                                    0
                                                                                                    Мотр жил-жил и его накрыли?
                                                                                                      0
                                                                                                      Имеется ввиду старая история с RusRO, видимо.
                                                                                                +1
                                                                                                tor ассоциирутеся с даркнетом. Думаю это тоже оказало влияние на следователей.
                                                                                            +2
                                                                                            На самом деле, что бы со 100% вероятностью идентифицировать пользователя — достаточно было бы держать две сети:
                                                                                            Wi-Fi Free — Login (Open)
                                                                                            Wi-Fi Free — WPA2-Enterprise (Close)

                                                                                            При подключении к первой сети — открывается captive портал с той самой регистраций, после завершения подтверждения личности в SMS приходят логин\пароль для доступа ко второй сети и вуаля — трафик зашифрован, подмена МАC невозможна (не имеет смысла).
                                                                                              0
                                                                                              Звучит здраво. Вопрос, будет ли кто из операторов заморачиваться подобным, и как объяснить конечным пользователям, что это для их же блага.
                                                                                                0
                                                                                                Есть еще более крутой и нативный стандарт:
                                                                                                авторизация по SIM карте (передача хэша от идентификатора)

                                                                                                Но опять же — надо захотеть что бы это сделать + договорится с операторами, но это именно 100% вариант привязать к симке.
                                                                                                  0
                                                                                                  А можно подробнее про стандарт, что за хэш и от какого идентификатора? Пока что звучит как-то ненадёжно, либо в сторону безопасности авторизации, либо в сторону небезопасности уже сети GSM…
                                                                                                    0
                                                                                                    Телефон может считывать из модема ID SIM и отправлять его для авторизации в качестве пароля. Стандарт wi-fi sim eap geektimes.com/post/142795
                                                                                                      0
                                                                                                      Как быть с устройствами, не оснащенными SIM?
                                                                                                        0
                                                                                                        Отправка логина и пароля в SMS так же как и сейчас проходит авторизация
                                                                                                          0
                                                                                                          Это понятно, к чему пару «логин-пароль» вязать? Какой уникальный ID может быть у ноута, окромя мак-адреса?
                                                                                                            0
                                                                                                            А не надо вязать — это указывается при подключении к точке доступа а не на странице авторизации, любое подключение —> Передача этого логина и пароля который так же автоматом сохранится в настройках телефона как и пароль от обычной сети
                                                                                                              0
                                                                                                              Это опять-таки понятно, но, если мне не изменяет мой склероз, владельцам публичных вайфаев вменяют в обязанность идентификацию пользователей, не? Или я туплю?
                                                                                                                0
                                                                                                                да, а где тут это правило нарушается?
                                                                                                                  0
                                                                                                                  Я все-таки туплю. Ну вот допустим, хочу я публичного вайфая. Зашел на каптив портал, вбил там свой телефон, пришла мне смс с котом, кот я вбил опять-таки на портале. И, когда я начну серфить, система будет знать, что устройство с таким-то маком сидит в сети, пользуясь таким-то авторизационным котом. Который отсылали на номер такой-то. Соответственно, если кто-то хайджекнет мой мак, и начнет в сети творить мракобесие, придут ко мне, как к владельцу номера. Я не прав?
                                                                                                                    +1
                                                                                                                    Не правы =)

                                                                                                                    1. Вы подключаетесь к сети A
                                                                                                                    2. В кэптив портале нажимаете регистрация и вбиваете свой номер телефона
                                                                                                                    3. Вам на номер телефона приходят учетные данные для доступа к сети B
                                                                                                                    4. Вы подключаетесь к сети B с полученными данными
                                                                                                                      0
                                                                                                                      Мммм… то есть в вайфай светят две сети — типа одна для авторизации, другая для серфинга. То есть, если даже злоумышленник украл мой мак, он не знает ни логина, ни пароля во вторую сеть?
                                                                                                                        0
                                                                                                                        именно так, первая сеть нужна только для открытия формы ввода номера и отправки логина-пароля
                                                                                                                          0
                                                                                                                          Это вот крайне удобная модель, доложу я вам. Но это же надо заморачиваться, две сети поднимать, итд. Им проще тупо собирать мобильные номера, и авторизовывать через них. Грустно все это.
                                                                                                                            0
                                                                                                                            С другой стороны — нынешний вариант технически не грамотный => в суде можно доказать что это были не вы а кто-то другой
                                                                                                                              +2
                                                                                                                              Шансы на такое доказательство шатки весьма… надейся на то, что видеозапись схоронилась и там тебя на ней будет видно…
                                                                                                                        0
                                                                                                                        Неудобная схема для пользователя. Если только будет какое-то единое приложение для всех таких провайдеров, которое само будет автоматически подключаться, само вводить номер телефона, само отслеживать смс и само вводить его, тогда будет удобно.
                                                                                                                          0
                                                                                                                          google/apple не дадут доступа к управлению сетями на таком уровне приложению, и это правильно — тк это будет жуткая дыра в безопасности и фактически MITM
                                                                                                                            0
                                                                                                                            Номер телефона они не дадут, его пользователь сам введёт один раз.

                                                                                                                            Всё остальное уже было: перехват кодов подтверждений из SMS у приложения qiwi (при этом сама SMS скрывается из области нотификаций, как просмотренная), подключение к определённой wifi-точке при переходе в нужную локацию (приложения автоматизации типа Tasker, root ему не нужен)
                                                                                                                              0
                                                                                                                              У Apple запрещен любой доступ к SMS + запрещено управление сетевым стэком (за исключением VPN)
                                                                                                                                0
                                                                                                                                Интересно. Я привык, что android-приложения сами читают все авторизационные SMS. Как только пользователи яблок терпят это — читать sms, запоминать код, самостоятельно вводить его в приложения.
                                                                                                                                  0
                                                                                                                                  гм, мне намного комфортнее что никакое приложение не имеет доступа к SMS. а зачем код запоминать если есть копи-паст? да и большинство приложений требует не SMS коды а 2FA
                                                                                                –2
                                                                                                Боримся с подобным подобным ))
                                                                                                # ifconfig eth1 down

                                                                                                Изменяем mac-адрес:
                                                                                                # ifconfig eth0 hw ether 01:a2:33:04:d0:f1

                                                                                                Включаем интерфейс eth1:
                                                                                                # ifconfig eth1 up

                                                                                                Чтобы конфигурация сохранилась после перезагрузки, прописываем нужную строчку в /etc/network/interfaces:
                                                                                                hwaddress ether 01:a2:33:04:d0:f1

                                                                                                Выполняем рестарт сети:
                                                                                                # /etc/init.d/networking restart
                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                  0
                                                                                                  Кстати, а Wifi адаптер когда начинает в эфир свой МАС адрес передавать? Вот, допустим, ситуация — беру выключеный ноут с всроенной WIFI картой. На ноуте установлен Tails или Porteus. Включаю его. Нахожусь в меню boot/ Как ведет себя мой Wifi — уже шлет в эфир «я, МАС адрес такой-то»? Если сейчас не шлет, то когда начинает? Когда я запускаю штатный просмотр списка сетей? Или только когда выбираю в меню connect к выбранной?
                                                                                                    0
                                                                                                    при сканировании эфира когда он это будет делать — зависит от OS, у Apple например — при сканировании эфира (фактически всегда кроме момента подключения) каждый раз используется случайный новый MAC адрес, для невозможности пассивного трекинга
                                                                                                  0
                                                                                                  Легко бороться техническими методами — не использовать технические адреса для идентификации.
                                                                                                    +3
                                                                                                    А давайте я историю одну расскажу вам.
                                                                                                    Года три назад ехал я через Москву транзитом. И так уж случилось, что российской сим-карты у меня не было от слова совсем, а на местную то ли не приходили смс с подтверждениями, то ли вовсе номер нельзя было ввести отличный от +7… — в общем, не помню за давностью лет уже.

                                                                                                    А Интернета на нетбуке хотелось, тем более московское метро большое — больше получаса ехать надо было.
                                                                                                    airodump-ng, первый попавшийся мак, ifconfig hw ether…

                                                                                                    Работает до сих пор.
                                                                                                      0

                                                                                                      И что, три года не единого разрыва?

                                                                                                      0
                                                                                                      По-идее с появлением 5G необходимость в вайфае отпадет вовобще
                                                                                                        +1
                                                                                                        У нас в стране еще 4G далеко не везде есть, а вы на 5G замахиветесь…
                                                                                                        А можно еще вспомнить любовь операторов лимитировать трафик на «безлимитных тарифах», и, самое главное, конские цены на роуминг в других странах…
                                                                                                          0
                                                                                                          У нас в стране ещё 3G сильно не везде, да если говорить за страну-думаю, сотовое покрытие по территории % 30, а по населённым пунктам — думаю % 80, по населению.
                                                                                                          Говорю так, потому, что у родителей в деревне вообще отсутствует сотовая связь, только на внешней антенне и репитере, а во всех окрестных деревнях только погода-зависимая голосовая связь, и при удачном стечении EPGP может подняться. И это не сибирь, а центральная полоса России в 50км от Брянска.
                                                                                                            0
                                                                                                            Сибирь прекрасно себя чувствует, в Омске покрытие Lte отличное.
                                                                                                              0
                                                                                                              Омск — это все-таки город-миллионник и областной центр. А если отъехать в небольшие городки и поселки подальше от мегаполисов, все станет не так радостно, подорзреваю.
                                                                                                              0
                                                                                                              Видел еще ближе к Москве. Там в деревне огромной популярностью пользуется стационарный телефон.
                                                                                                              АТСка (скорее всего) — координатная.
                                                                                                              Кому нужен интернет — имеют VSAT, но таких мало.
                                                                                                          –2
                                                                                                          А можно добавить в цепочку авторизации google authenticator?
                                                                                                            0

                                                                                                            Вы собираетесь каждый сетевой пакет авторизовывать через google authenticator?

                                                                                                            0
                                                                                                            А небыло бы вот этих статей в УК. РФ. и небыло бы никаких проблем
                                                                                                            подумаеш кто-то там что-то от моево лица написал
                                                                                                              –2
                                                                                                              А не было бы правил ПДД — насколько проще было бы по улицам ездить, у светофоров не надо останавливаться :)
                                                                                                              +1

                                                                                                              Ехал как-то в московском метро..
                                                                                                              https://ibb.co/eoi41T
                                                                                                              https://ibb.co/jwaHMT

                                                                                                                0
                                                                                                                Чтобы собрать маки — в метро можно не спускаться.
                                                                                                                Микротик на аккумуляторной батарее, в значении ssid — MT_FREE, и скриптик, который с некоторой периодичностью сохраняет маки всех, кто пожелал зацепиться.
                                                                                                                +7
                                                                                                                Можно не пользоваться Wi-Fi, не иметь телефона и просто рядом с метро проходить.

                                                                                                                На вас с таким же успехом и таким же шансом заведут дело, просто подбросив в карман пакет травы, как обычно и происходит: посмотрите на график распределения количества наркотиков, с которым обычно задерживают людей: www.rbc.ru/society/28/09/2017/59ccbc489a79473ad83cd991. Самым популярным оказался вес наркотиков, которого как раз хватает для возбуждения дела, причем перекос очень большой.
                                                                                                                Данные официальные, ФСИН.

                                                                                                                Вы поймите, что проблема не в публичном Wi-Fi. Нет здесь никакого бага или причины его не использовать.
                                                                                                                  +1
                                                                                                                  Так не совсем честно: трактовать всю статистику минимальных доз как «подброс». Не менее обоснованным видится ситуация, когда донаказуемых доз еще больше, чем минимально наказуемых, просто их не регистрируют — проще забрать себе в карман и никакой бумажной волокиты. А вечерком пыхнуть: )
                                                                                                                    0

                                                                                                                    Не срабатывает для "всплеска" на границе существенного и крупного объемов. Скорее это можно объяснить тем, что забирают "лишнее".

                                                                                                                  +2
                                                                                                                  Придумалось простое решение.
                                                                                                                  На портале, куда нужно вводить код из SMS, ставить куку в браузер пользователя.
                                                                                                                  Если кука в браузере уже стоит, то просто пускать без кода.
                                                                                                                  Злоумышленник к этой метке не имеет доступа, а обычным пользователям не придётся логиниться каждый раз.
                                                                                                                    0
                                                                                                                    А как быть с софтом, который не имеет функционала кук, но хочет в интернет после авторизации в браузере? Всякие мессенджеры, почта, etc
                                                                                                                    Можно сделать некий тайм-аут на работу такого софта после проверки куки в браузере, но значительная часть пользователей браузер не открывают вообще, им нужен только инстраграмчик/вотсапчик/вконтактик.
                                                                                                                      0
                                                                                                                      Вообще не проблема. Как только устройство подключается к WiFi, оно автоматически открывает логин-страницу (см. Captive Portal), эта страница проверяет сохранённую куку и выдаёт HTTP-код 204, если кука верная (страница сразу закроется, пользователь даже не заметит, а все прочие приложения получат доступ к интернету), либо другой код, и тогда надо будет аутентифицироваться.
                                                                                                                        0
                                                                                                                        Насколько понимаю, при этом проблематично сделать полноценный https (будет ошибка сертификата при входе, что напугает людей). А кука по http прекрасно отслеживается сниффером.
                                                                                                                          0
                                                                                                                          при этом проблематично сделать полноценный https (будет ошибка сертификата при входе, что напугает людей).

                                                                                                                          Ха, напугает. Большинство просто привыкнет к тому, что надо лишний раз ОК ткнуть. В московском метро труженики Максимы-телеком дефолтные самоподписанные сертификаты Cisco подставляют клиентам, и ничего, никого не пугает.

                                                                                                                            0
                                                                                                                            Да, тут придётся использовать WiFi не открытый, а WPA2 с общедоступным паролем. Написать в имени точки «password is 123». Тогда куки не проснифают.
                                                                                                                              +1
                                                                                                                              Еще как проснифают. WPA2 имеет уязвимости, делающий перехват трафика очень даже реальным.
                                                                                                                            +1
                                                                                                                            https и куки это не про каптив портал
                                                                                                                              0
                                                                                                                              Почему эта схема не будет работать?
                                                                                                                                +1
                                                                                                                                1. Куки в минибраузерах всплывающих не запоминаются.
                                                                                                                                2. Редирект https-это всегда ошибка сертификта, каким бы он валидным не был. Потому что для устройства это MITM атака.
                                                                                                                                  0
                                                                                                                                  Понятно, про п.1 не знал.
                                                                                                                        +1
                                                                                                                        У себя в МФТИ сделали гостевую сеть с шифрованием.
                                                                                                                        Для авторизации надо однократно подключиться к сети без шифрования, после авторизации в смс приходит ключ от второй сети с WPA2-PSK.
                                                                                                                        В биллинге соответственно запоминается с какого мака вызывали отправку смс и какой пароль сгенерирован, при каждом подключении к шифрованной сети радиус отдает этот пароль контроллеру.
                                                                                                                          0
                                                                                                                          делать все это может не обязательно со злыми намерениями. Некоторые люди делают так для доступа <...> без просмотра рекламы
                                                                                                                          А уклонение от просмотра рекламы пока ещё не считается злым намерением?
                                                                                                                            0
                                                                                                                            А какая статья УК РФ у нас предусмотрена за уклонение от просмотра рекламы?
                                                                                                                              0

                                                                                                                              Тссс… Не подсказывайте!

                                                                                                                            0
                                                                                                                            Есть у кого MAC любого устройства А.Жарова? Очень нннада.
                                                                                                                              0
                                                                                                                              Как вариант, левая симка, не привязанная к своим паспортным данным и сменить мак)
                                                                                                                                0
                                                                                                                                Коллеги, скажите: Aircrack-ng работает только на компьютерах с Windows / Linux? Да ещё и «requires you to develop your own DLLs to link aircrack-ng to your wireless card»?

                                                                                                                                Спрашиваю в том плане, что в общем человек, отслеживающий чужие МАКи, с высокой вероятностью, будет сидеть с ноутбуком?
                                                                                                                                Или есть аналоги/версии для более миниатюрных устройств?
                                                                                                                                  0
                                                                                                                                  Можно запустить на почти любом телефоне на Android с root.
                                                                                                                                    +5
                                                                                                                                    И, кроме того, не всегда нужен airodump для получения MAC-адресов. Он необходим только в тех случаях, когда в публичных точках доступа запрещены соединения между клиентами. Если они разрешены, то MAC-адреса можно получить другими способами: сканированием через ARP, через IPv6 ICMP на адрес ff02::1, через IPv6 MLD. Для части этих способов не требуется root.
                                                                                                                                      0
                                                                                                                                      это как пойдет, далеко не все дрова на андроидах умеют режим монитора и далеко не все ядра поддерживают модули.
                                                                                                                                    +2
                                                                                                                                    Мне кажется, что решать нужно немного другую проблему, а именно проблему тотального контроля за интернетом. Искать способ как бы так стоя раком не дай бог не нарушить оригинальные законы не лучший путь. Следуя такой логике лучше вообще не пользоваться интернетом, мало ли кто вломает твое устройство и через него что-то там лайкнет или напишет в комментарии. То есть имхо это не то, что надо делать в первую очередь :)
                                                                                                                                      0
                                                                                                                                      Все упирается в несовершенство самих методов авторизации и аутентификации у операторов связи

                                                                                                                                      Все упирается в несовершенство изобретенной лет 20 назад технологии, в которой идентификацию можно произвести только через привязку к МАС адресу, который, увы, можно сменить.
                                                                                                                                      А вообще решение есть-использовать wi-fi оборудование, умеющее Hotspot 2.0, eap-sim и соотвествующий софт на стороне провайдера. Вот только микротики (а их процентов 80 среди хотспотов) такого не могут, нормального софта для реализации этой схемы не существуют, а провайдеры в РФ ленятся.
                                                                                                                                        0
                                                                                                                                        В этой технологии вообще идентификация не предусмотрена и сделать её просто нельзя на этом уровне. MAC — это адрес устройства, а не идентификатор пользователя. По одному и тому же адресу могут «проживать» и «проживают» разные пользователи.
                                                                                                                                        0
                                                                                                                                        а если я пересел в другой вагон, а злоумышленник взял мой мак: то теперь в сети будет два одинаковых мак?
                                                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                            0
                                                                                                                                            нет, я каждый раз заново прохожу «войти в сеть». Точнее, в пределах одного состава я не помню, но вот например в следующем поезде или тем более на другой ветке нужно заново проходить рекламный блок.
                                                                                                                                              0
                                                                                                                                              С учетом скрина выше в теме — нет, L3-роутер скорее всего по штуке на вагон (больно мал DHCP-диапазон). Разве что скрин от не полностью настроенного роутера.
                                                                                                                                            0
                                                                                                                                            Успешно авторизовавшись в сети, нехороший человек может сделать что-то, что идет в разрез с действующим законодательством — написать какое-нибудь сообщение в соцсетях, лайкнуть чужой пост или скриншот из художественного фильма, короче говоря, сделать что-либо, что в наше время считается нарушением статей 280 и 282, а в добавок еще 242 или 272 УК РФ.

                                                                                                                                            Только с чьего аккаунта будут совершаться идущие в разрез с законодательством действия в соцсетях?
                                                                                                                                            Другое дело, если авторизация в сети WiFi через Госуслуги даёт возможность «облегчённой» авторизации в тех же Госуслугах или других сервисах, что не есть хорошо.
                                                                                                                                            Перехват логина и пароля от домашнего интернета — возможно ли?
                                                                                                                                              +3
                                                                                                                                              А будут разбираться с чьего аккаунта? Или вдобавок повесят взлом аккаунта. Или вообще «группой лиц по предварительному сговору» назовут «владельца» и адреса, и аккаунта.
                                                                                                                                                0
                                                                                                                                                Будут, конечно. Потому что в первую очередь спросят с владельца аккаунта.
                                                                                                                                                  +1
                                                                                                                                                  Владелец аккаунта — Василий Алибабаевич Пупкин (согласно введенным данным), аккаунт не верифицирован никак, создан точно так же с левого публичного WiFi, или же вообще за 5 минут до самого сомнительного происшествия.
                                                                                                                                                  Ну что, с кого спрашивать будем?
                                                                                                                                                0
                                                                                                                                                С точки зрения оператора связи, действия будут совершаться со стороны законопослушного пользователя, который изначально авторизовался по своему реальному телефонному номеру.
                                                                                                                                                А с чьего аккаунта на конкретном ресурсе будут производиться действия — не так важно, особенно учитывая, что есть множество формуов, соцсетей, и ресурсов с комментариями, которые пока что не требуют верификацию личности.
                                                                                                                                                  0
                                                                                                                                                  Точку зрения оператора необходимо подтвердить другими фактами.
                                                                                                                                                  Чей аккаунт — не важно? Т.е. кто-то с одной учётной записи, скажем, призывает к беспорядкам, IP каждый раз разный, но привлекут условного Дмитрия Богатова?
                                                                                                                                                    0
                                                                                                                                                    Аккаунт на фейсбуке не имеет никакой юридической привязки, хоть сейчас регистрируйтесь под именем Филиппа Киркорова и постите с него любую дичь.

                                                                                                                                                    Другое дело — IP адрес, который провайдер выдаёт по договору, верифицировав абонента по паспорту.

                                                                                                                                                    Очевидно, для суда приоритетнее заключённый по паспорту договор, чем аккаунт с именем, которое можно выставить любым.
                                                                                                                                                      0
                                                                                                                                                      А если
                                                                                                                                                      IP каждый раз разный
                                                                                                                                                      , кого ловить?
                                                                                                                                                        0
                                                                                                                                                        На каждый IP открывать новое дело )))
                                                                                                                                                        0

                                                                                                                                                        Провайдер в подавляющем большинстве случаев по договору выдает логин-пароль, а не IP.

                                                                                                                                                          0
                                                                                                                                                          В логах биллинга будет запись: на логин/пароль, в некоторый интервал времени, был выдан некоторый IP-адрес.
                                                                                                                                                            0

                                                                                                                                                            Тем не менее, это внутренняя кухня провайдера, не имеющая прямого отношения к договору с клиентом. Т.е. строгой "юридической привязки" здесь тоже нет, а есть техническая, со всеми сопутствующими моментами.

                                                                                                                                                              0