Лайк, если читаешь логи!: запускаем Hotspot 2.0 на сети Wi-Fi в метро

[wild_one]

В руках злоумышленников функционал может привести к негативным последствиям для пользователей, вплоть до полного блокирования устройства или управления им третьими лицами. В частности, через профиль могут быть добавлены ограничения по установке/удалению приложений, злоумышленник может управлять установкой приложений, может направить трафик пользователя через свой прокси и т.д. Поэтому процесс установки профиля требует повышенного внимания пользователя — необходимо убедиться, что профиль выпустила доверенная компания.

Следует читать, как:

В руках кого надо функционал может привести к негативным последствиям для пользователей, вплоть до полного блокирования устройства или управления им третьими лицами. В частности, через профиль могут быть добавлены ограничения по установке/удалению приложений, "кто надо" может управлять установкой приложений, может направить трафик пользователя через свой прокси и т.д. Поэтому процесс установки профиля требует повышенного внимания пользователя — необходимо убедиться, что он не пользуется троянскими профилями, выпущенными компанией, лояльной к "кому надо".

[svakhotin]

Специально на случай таких опасений в статье описано, как отличить профиль с зловредными намерениями от безопасного.

[Sklott]

(deleted)

[Gurturok]

не проще было обычную WPA-PSK авторизацию делать, всеравно потом на сайт с рекламой отправите

[Gurturok]

Прокомментировал поспешив и не подумал)

Это я про себя если что

[svakhotin]

В случае WPA-PSK нет никакого идентификатора пользователя, кроме как MAC адреса. И в случае развития тренда на рандомизацию только решение с учетными данными — логин/пароль или сертификат позволит решить проблему идентификации пользователя по сущности отличной от MAC адреса.

Ну и вопрос безопасности, который раскрыт в комменте выше.

[aamonster]

Э… Я правильно понял, что для того, чтобы ваш функционал работал, вам нужно поставить на устройство пользователя сертификат, дающий вам полные возможности быть MiTM? 8-O

[wild_one]

Вот тут не совсем понятно, ну неужели для подключения к Hotspot 2.0 необходимо подключать полноценный MDM сертификат?

А если потом вас поломают и в СМИ появится новость с кричащим заголовком "стерты данные с 31337 мобильных устройств"? Кто и перед кем будет отвечать?

[svakhotin]

Необходимо установить профиль, который содержит настройки сетей Wi-Fi. Это общепринятый в отрасли стандарт и способ провиженинга iOS устройств.
И это не “MDM сертификат”, т.к. в предлагаемом профиле нет ничего, что управляло бы устройством или передавало куда-то данные, только настройки необходимые для подключения к сетям Wi-Fi. В этом можете убедиться изучив предлагаемый к установке профиль и приведенную в статье ссылку на документацию.

[svakhotin]

Для работы функционала необходимо установить профиль с настройками сетей Wi-Fi, которые содержат учетные данные логин/пароль, а также открытую часть сертификата сервера доступа, который используется только для аутентификации сервера доступа и шифрованной передачи учетных данных. В частности это позволяет решить проблему подключения к фишинговым точкам доступа. Более того использование сертификата возможно только для этих целей, это ограничение на уровне ОС и технологии.

Можете с технической точки зрения пояснить, каким образом, предлагаемый нами к установке профиль может быть использован как MiTM, как это работает?

[aamonster]

Если бы я понял из статьи, что за сертификат ставится – я бы не спрашивал.
А так – в статье почти полный набор страшилок про установку сертификатов, плюс процесс установки, предельно напоминающий добавление в хранилище корневого сертификата. Вопрос закономерен.

[aamonster]

Усугублю. Прецедент именно установки сертификата для MiTM у вас, если я правильно понял твит, уже был: https://twitter.com/artem_i_baranov/status/1127595805559480321
Я так понимаю, это для того, чтобы неавторизованным устройствам показывать диалог входа на https-страницах, но всё же это делает подозрения обоснованными :-)

[andrewz13]

1. Именно осуществить установку корневого или промежуточного сертификата при посещении сайта — сильно совневаюсь — это просто технически довольно сложно (читай невозможно) сделать при посещении сайта через браузер :) В противном случае давно бы уже работал Казахский MITM :)
2. Как минимум у человека, который это написал это, на странице написано Security Researcher а не Security Expert :) И, честно говоря, этот пост не добавляет ему авторитета…
3. Что было на самом деле: устройство идет на какой-то хост по протоколу HTTPS, в момент когда оно не авторизовано (другими словами пользователь ещё не смотрел рекламу) контроллер WiFi перехватывает этот запрос и пытается на него ответить — естественно подсунув какой-то свой «левый» сертификат (обычно самоподписанный). В этот момент у пользователя и появляется предупреждение о том, что ему пытаются «впарить» сертификат сайта, у которого как минимум: a) не соответствует CN запрашиваемому (имени сайта), b) подписан он неизвестным издателем. Контроллер перехватывает этот трафик только для того, чтобы вставить туда редирект портал Максимы или сайт с рекламой. После жалоб Максима скорее всего изменила настройки контроллера — этот трафик просто стал дропаться и эта проблема ушла :)
4. Что касается совсем параноиков и людей, которые только «краем уха» слышали что такое PKI стоит почитать про certificate OID — это (грубо говоря) такие метки в сертификате, которые указывают для каких целей данный сертификат может применяться :) Т.е. не всякий сертификат можно использовать в качестве корневого или промежуточного, в качестве сертификата, удостоверяющего подлинность сайта и т.д. Начать можно здесть www.sysadmins.lv/blog-ru/chto-v-oide-tebe-moem.aspx :)

[Alexsey]

Запуск закрытой сети с использованием учетных данных, уникально идентифицирующих устройство или пользователя, обсуждался нами неоднократно. Драйверами запуска являются, в первую очередь, вопросы безопасности. Необходимо исключить возможность подключения к фишинговым точкам с нашим SSID и делать это прозрачно, чтобы от пользователя не требовалось никаких дополнительных действий. Хотя практически весь чувствительный трафик в интернете зашифрован с помощью TLS, абоненты считают сети Wi-Fi без шифрования менее надежными.

Серьезно? Компания, которая использует свои точки доступа и сканеры wifi среды чтобы строить профиль всех людей в городе и следить за их перемещениями заботится о вопросах безопасности пользовательских данных?

Я все жду когда у нас хоть одна профильная служба проснется и настучит вам по голове за такое, но судя по их бездействию вы там уже между собой обо всем договорились.

[AnastasiiaSam]

Максима использует накопленную с разрешения абонентов дату для рекламного таргетирования. При этом мы используем обезличенные данные, по которым нельзя определить конкретного человека.

Вопрос шифрования сетевого соединения беспокоит часть пользователей, для нее и запущен новый сервис. Кроме непосредственно шифрования соединения, подключение через профиль упрощает часть рутинных задач оператора связи. Поэтому проект представляет интерес и для Максимы.

[andrewz13]

Т.е. другими словами Максима запрещает Вам выключать WiFi когда Вы им не пользуетесь — чтобы Ваш телефон не сканировал WiFi вокруг себя и не сажал зря батарею? :) Пойду жаловаться в «профильную службу»! :)

[justmonika]

Это делают все подряд. Супермаркеты, даже мэрия Москвы — имеют свои снифферы. Отключайте Wi-Fi, когда выходите на улицу.

[MonkeyD]

Максима, вас мало кто любит. Вы бы не светились тут. Тем более, с вашими рассказами о том, как вы эффективнее пихаете нам рекламу. Эти мощности и возможности бы, в полезное русло, а не в обогащение нескольких бесполезных свиней. Вы расскажите КАК вы выйграли тендер на размещение, кому и сколько вы заплатили, и по какому праву вы сливаете персональные данные которые вы «не собираете» третьим лицам и фирмам.

[symbix]

Если бы не они, тендер бы выиграли солдаты НАТО!

[AnastasiiaSam]

MonkeyD, условия конкурса на создание сети Wi-Fi в метро открыты. Как вы, наверное, знаете, в 2013 году ни один из операторов связи не хотел вкладывать значительные средства в создание инфраструктуры в метрополитене, потому что не знал, как эти средства окупить. МаксимаТелеком вложила в сеть более 2 млрд рублей и предложила модель монетизации по рекламной модели. И в итоге реализовала ее.

Что касается упоминания персональных данных — у компании их попросту нет, МаксимаТелеком не является оператором ПД. Если вам что-то известно о передаче наших данных третьим лицам, просим сообщить нам об этом, чтобы мы смогли разобраться в ситуации. Писать можно на press@maximatelecom.ru.

[shifttstas]

Интересно, а какой кейс использования WiFi в метро, если уже LTE там хорошо работает?

[Alexsey]

Максима уже давно больше b2b, чем b2c. Да и с LTE в метро во времена когда максима только разворачивала свою сеть было сильно хуже.

* МТС (а может и не только они) работу своей сети в вагонах обеспечивает сотами, которые в интернет выходят через максиму.
* Рекламные экраны в вагонах работают через сеть максимы
* Максима строит профили всех людей в зоне действия своих точек и сканеров wifi и продает эти данные всем желающим.
* Не удивлюсь если максима уже под себя подмяла вообще все что связано с ЛВС и выходом в интернет в пределах московского метрополитена.

[AnastasiiaSam]

Alexsey, Максима не продает данные, накопленные в своей сети. Мы занимаемся рекламным таргетированием самостоятельно, не передавая ни конкретные идентификаторы, ни профили кому-либо. Если у вас есть доказательства обратного, пожалуйста, сообщите об этом нам на press@maximatelecom.ru. Обязательно разберемся.

[aamonster]

Не скажу за московское, а в питерском кейс простой: включить, убедиться, что тормозит и глючит, переключиться на 3g-4g. Не осилили, да ещё реклама мешает.

[ne_kotin]

в питерском кейс простой: включить, убедиться, что тормозит и глючит

А куда обращаться по гарантии, если не тормозит и не глючит?
Даже за деньги.

[aamonster]

"Работает – не трогай".

[vikarti]

Недавно вот получилось протестировать в Питере.

• 150 мбит/с (LTE тормознутнее)
• при попытке купить подписку сначала подсовываются опция с полной подпиской на месяц а потом уже более оптимальные в моем случае варианты(Промо "в метро СПб"/"SmartFi"/"В метро СПб " на неделю) :(
• следов сети MT не обнаружено :(

[pishchin]

В Спб стал пропадать интернет на перегонах у Мегафона после появления wi-fi MT_FREE. Похоже используется общий ресурс.

[MegaFon_Help]

Чтобы проверить работу сети напишите, пожалуйста, нам в личные сообщения официальных сообществ в VK, OK, Tw или Fb.

[SergioPredatore]

Метро большое. Не знаю где ездите Вы, но там где езжу я, мобильный интернет (хоть какой-то, не говоря уже об LTE) есть в основном только на остановках и то не на всех.
P.S. Оператор — полосатый.

[Xambey]

Ох ноу, как можно жить без возможности подменить мак адрес одного своего устройства на другое, чтобы не платить дополнительные 1200 рублей за автоподключение… Желания просматривать рекламу пару станций вообще нет

[Disasm]

Вот вам лайфхак: обычно на первой же странице есть баннер, переход по которому включает интернет. Иногда нужно ткнуть не куда угодно, а на кнопку внутри баннера.

[symbix]

Вот это правильный подход. В Казахстане MITM провалился из-за жёсткого навязывания, а тут желающие халявы сами все поставят, добровольно и с песней! :-)

[GDragon]

Подключение к сети — автоматическое

Спасибо, но нет — перестал пользоваться WiFi в метро вообще, после переименования сетей наземного транспорта в то же название.
В результате ходьба по улице или нахождение в офисе с проходящим неподалёку маршрутом общественного транспорта превращается в сплошное теребоньканье с подключением на 1-2 секунды к WiFi, его пропаже, подключению к мобильному интернету обратно.

Ставить приложение сборщик личных данных ради игнора части сетей — ещё более сомнительное решение чем устанавливать сертификат для HS 2.0

[roland_andrey]

В личном кабинете можно выбрать к сети какого типа общественного транспорта подключаться автоматически. Сам страдал от описанного в вашем сообщении, а потом обнаружил такую опцию и теперь автоподключение только в метро.

[Vovanys]

Сейчас там такое

Как убрать автобусы? Снять все галки?

[roland_andrey]

Скорее всего да. Когда я настраивал, там еще был пункт и с метро. Я тогда оставил галочку только на метро, а остальное убрал. Специально следил, проверял — проблема устранилась.

[zikasak]

Эх. Если бы это ещё работало корректно. У меня накрылось. Теперь приходится мучаться. И запоминать, когда были попытки: максима отказывается исправлять без этих данных

[atatarn]

1. Берём контору, использующую MDM для BYOD (ну там, в корпоративный exchange ходить с айфончика, который парень на день рождения подарил).
2. Ставим в ближайшей кафешке сканер HS-платформы
3. Таргетируем на сотрудников, досягаемых через HS-платформу, фишинг с раздачей собственного SCEP профиля
4. ????
5. PROFIT

Ручная модерация кампаний в диджитал маркетинге — это хорошо, но очень сильно дорого, когда кампании не свои, а партнёрские, и выручка от канала пропорциональна объему партнёрской базы и их кампаний. ИИ не панацея — примеров промахов существующих вендоров хватает.
Уповать на то, что если контора практикует BYOD, то конторский профиль запрещает установку сторонних — возможно. Но ровно до момента, пока сотрудникам массово очень сильно не захочется себе ещё профилей. То есть, пока предложения партнёров HS-платформы недостаточно щедры или всеобъемлющи.

С другой стороны, в свое время все тоже самое было с email каналом. И на сей раз приспособимся.

[OnelaW]

Выражаю огромную благодарность Товарищу Майору за сообразительность. Доступ к публичной сети по идентификатору пользователя это 5 баллов.

[satiruss]

А я думал тут напишут про быстрый wi-fi, такой каким он был на этапе тестирования, когда от него действительно был толк. А не такой как сейчас, когда скорость пропадает сразу после просмотра рекламы. Или ещё фишка — посмотрел, ошибка, все заново, и так по кругу.
А эта замечательная тема, когда опция "везде как дома" сама продлевается и списывает деньги, и отключить ее можно где-то в глубинах личного кабинета, о котором и не подозревал.
В общем, в пекло такую услугу, да и вайфай

[danyanya]

1. А как будете рекламу показывать и монетизировать сеть? Или после подключения даже на iPhone придется открывать руками gowifi.ru и смотреть рекламу?

2. Также сертификат намного проще распространить (установив на множество устройств), чем подделать MAC. Тренд на рандомизацию работает только до момента ассоциации с сетью.

3. А как вообще потестировать ваш HS 2.0? Указывал 2 разных телефона, ни на один ссылка не пришла.

[svakhotin]

1. Монетизация закрытой сети аналогична монетизации в открытой MT_FREE, т.е. и кептив и приложение будут работать.
2. Если распространяете профиль между своими устройствами, то ничего критичного в этом нет. Но я не думаю что будете делиться своим профилем с посторонними людьми. Наверное не распространяете посторонним учетные данные от домашнего Интернета или Wi-Fi?
3. Ссылку пришлем позже, после обработки всех заявок.

[zikasak]

>Google официально сообщил о внедрении подобной технологии в ОС Android с целью предотвращения трекинга абонентов. Это создает препятствия для полноценного использования публичного Wi-Fi в России, так как при каждом входе потребуется повторная идентификация устройства (в соответствии с постановлениями Правительства 758 и 801).

Вы уверены? После запоминания сети MAC не меняется. Так что все равно один раз. Непонятно, какую проблему вы решаете

[svakhotin]

Да, уверены. Наблюдали устройства, которые меняют MAC адрес при каждой ассоциации.

[zikasak]

Ну тогда Гугл тут ни причем. В его-то реализации все правильно. Так что первое предложение лишнее: вместо него должно было быть про вот такие устройства.

Печально, что есть документация, а производители пилят костыли, а не бекпортируют (или хотя бы не эмулируют) изменения

[vvzvlad]

Слушайте, я вот поставил сертификат и пошёл в метро тестироваться. Я правильно понимаю, что вы предлагаете пользователям тестировать технологию и писать баг-репорты, но за это даже не отключаете рекламу при работе с сертификатом, не говоря уже о всяких плюшках типа "один подтверждённый баг-репорт — один месяц интернета бесплатно", которые обычно предлагаются бесплатным бета-тестерам?

[ElleSolomina]

«Это же Россия», я нигде в области мобильной связи, ни разу, не видел никаких бонусов, один лохотрон, ах да, а ещё сказки на тему того что «ваш звонок очень важен», мы обязательно улучшим связь, а года через два — три так ничего и не поменялось :D У нас очень плохо понимают, что оперативной связи от пользователей не будет и вообще никакой не будет если пользователя не мотивировать этим заниматься.

[Schalker]

Огромное спасибо автору. Статья лишь подтвердила мое твёрдое убеждение, что будущего у « открытых « wifi сетей нет

Все уважаемые Безопасники уже несколько лет кричат о « сетевой гигиене «. Не слышат пользователи. Халява же.

Я в 2012 году запустил WiFi. Реально пользоваться сетью стали лишь после отмены обязательной регистрации в Германии. В 2019 году количество подключений пошло на убыль. Дошло до немцев

Думаю следовать примеру МТ и немецкой Unitymedia.

[boolkinator]

Фразу «Лайк, если читаешь логи!» написал будучи уверенным, что никогда никто этого не увидит ) Приятно, что логи таки читают!

[Schalker]

вопрос автору:

Так как у нас RADIUS-сервер полностью собственной разработки, нам пришлось реализовывать поддержку EAP и внутреннего метода аутентификации.

могли бы в общих чертах рассказать о нагрузке на RADIUS-сервер?
у вас постоянное движение пользователей, внутренний роуминг. Как и у нас на стадионах. За час — другой до игры десятки тысяч в WiFi «ломятся».
Как я знаю от коллег из Бундеслиги — у всех проблемы с RADIUS-ами.
пс. RADIUS-на анаболиках из дома Cisco, не предлагать :)