Сотовая связь

В статьях о SS7 и Diameter улавливаются панические нотки: протоколы сотовой связи похожи на решето, от них нельзя взять и отказаться, их не исправить. И все же, телеком-апокалипсис до сих пор не случился. Сотовые сети работают, но каким образом?

Мы проверили, как и насколько эффективно сотовые операторы защищают сигнальные сети от хакеров. Один из мобильных операторов, работающих на территории СНГ, заказал две серии атак на свою сеть. Мы провели пентест до и после внедрения некой продвинутой защиты и готовы поделиться инсайдами.

Думаю, широкой публике будет интересно узнать, какие атаки возможны на практике, и что делать для защиты личных данных. Специалисты увидят в этом посте рассказ об одном из первых black-box тестов сигнальных сетей в СНГ.

Прошедший год наш проект "Лаборатория свободного интернета" провел, разбираясь в в различных, часто не очень приятных аспектах взаимодействия операторов мобильной связи и их пользователей. В процессе мы наткнулись на несколько интересных юридических моментов, о которых ни я, ни мои коллеги даже не подозревали. Обобщив этот опыт, решил поделиться.

Вы задавались вопросом, кому принадлежит ваш номер телефона? На номер завязано многое — доступы к соцсетям и мессенджерам, на него приходят СМС авторизации в банковских приложениях, телефонный номер привязан к сайту Госуслуг…

Пока мы работали над нашим расследованием про «пробив», мы обнаружили такую  нелегальную услугу, как перевыпуск чьей-либо сим-карты без ведома владельца телефонного номера. На самом деле, как нам кажется, поигрывать с этой опцией могут и сами операторы. Вспомним нашумевший кейс Романа Доброхотова (признан иноагентом в РФ), чей номер испарился из баз МТС; или даже внезапные ночные отключения сервисов на телефонных номерах у активистов. 

Пока абонент отдыхал…

Злоумышленники с чужой симкой могут натворить всякого. Например, нам попалось интересное судебное решение в деле с перевыпуском сим-карты.

Абонент МТС из Москвы поехала отдыхать в теплые края, где с ее сим-картой произошли неполадки, и она перестала работать. В это время некие злоумышленники в салоне сотовой связи получили дубликат этой сим-карты (что, вероятно, и явилось причиной прекращения работы основной сим-карты), а с его помощью — доступ к онлайн-банку. После чего аккуратными суммами, не вызывающими подозрений у банка, вывели со счета средства на общую сумму, явно имеющую значение для абонента.

Хабр, привет)

Сегодня расскажем про мобильную альтернативу базовой станции, ее типы и почему не всегда возможно ее построить. Инженер МегаФона написал «просто о не просто телекоме», поэтому статья будет интересна тем, кто интересуется работой сотовой сети и качеством связи смартфона.

Когда начинаешь изучать смарт карты, то все выглядит достаточно понятно и логично: команды APDU несложны и описаны в ISO 7816-4, интерфейс winscard описан в MSDN. В глубины PCSC погружаться особо и не приходится. Первые программы можно написать довольно быстро. Непонятные особенности вылезают чуть позже, и выясняется, что известные два протокола T=0 и T=1 на самом деле совсем разные протоколы, и они просто похожи друг на друга. Поначалу возникает соблазн работать с ними одинаково, а это может доставить много хлопот вплоть до сбоя коммуникации в самый неожиданный момент.

История о том, как Билайн пытается принудительно перевести клиента на более дорогой тариф (+20% к текущей цене). Законно ли это и почему Билайн нарушает действующий договор. Разбираемся, как абоненту защитить свои права перед оператором.

Материал размещен по согласованию с редакциейTelecomtimes.ru и является авторским.

Хабр, привет. Я, Сергей, отвечаю за стратегическое планирование инфраструктуры в МегаФоне. Продолжаю серию статей о «непросто телекоме», где сотрудники инфраструктуры рассказывают о связи и своей работе. Статья зайдет тем, кому нравится разбираться в технологиях работы телекома (уровень новичок) и понимать почему связь хорошо или плохо работает. В этой статье расскажу про свою работу в планировании сети. Развею мифы, что работа инженера, - «чинит железки и связь, устанавливает антенны, лазит по крышам и т.д.». В жизни все интереснее.

Сегодня существуют множество текстовых каналов связи (почта, месседжеры, социальные сети и др.), но  пользователь иногда отдает предпочтение обычному звонку для передачи большого количества информации. А что будет, если он не дозвониться? Как правило, он пытается позвонить еще раз. И если звонящему это не удается, то он может просто забыть передать необходимую информацию или передать ее со значительной задержкой.

И вот здесь  на помощь приходит голосовой ассистент, который не только может пообщаться с абонентом, но и перевести его сообщение в текст и выслать конечному абоненту.

Конечно, данный инструмент нужен не всем, но если у человека высокая голосовая нагрузка или него расписан день по минутам, что нет времени на ответ на звонок, то голосовой ассистент – отличный помощник.

Сейчас абоненту мобильной связи доступны следующие голосовые ассистенты:

Я хотел бы кратко рассказать о таких форматах данных, распространенных в ИТ-индустрии, в том числе в области инфраструктур открытых ключей (ИОК), смарт-картах, включая документы нового поколения на базе смарт-карт, в мобильной связи. Хотя рассматриваемые форматы и связаны с ASN.1, но некоторые из них ушли далеко за пределы этой области. О некоторых из них многие знают, но не все знают настолько, чтобы, допустим, уметь отличать BER от DER, а некоторые варианты типа PER вообще являются экзотикой.

Глубоко в тему погружаться не буду. Просто познакомлю с главными особенностями, чтобы понимать, что это такое и с чем это едят. Досконально и в полном объеме всё это описано в соответствующих стандартах ITU-T X.690 и ISO 7816.

Одна из моих мотивирующих задач — это уложить тему в своей голове по полочкам.

Правила абстрактной нотации (ASN.1) используются, когда надо специфицировать формат некой структуры данных. Сами правила описаны в стандартах ITU-T X.680–X.683. Пожалуй, что наиболее распространенный вариант применения — это форматы сертификатов X.509 и всего, что имеет к ним отношение. Пример текстовой нотации может выглядеть как-то так:

Мы в Postuf большие поклонники франшизы Watch Dogs - приключенческой видеоигры, в которой главный герой в лице Эйдена Пирса, имея доступ к вымышленной системе ctOS, способен проворачивать со своего смартфона разные хакерские трюки. Однажды нам стало интересно, возможно ли в реальной жизни повторить трюк звонка на телефоны находящихся рядом людей.

При регистрации пользователей многие онлайн-платформы требует идентификации с помощью SMS-кода. Код отправляется на указанный номер, а затем его нужно ввести для завершения регистрации. Считается, что это позволяет отфильтровать троллей, мошенников и преступников. Однако, как показало наше исследование SMS PVA: An Underground Service Enabling Threat Actors to Register Bulk Fake Accounts, такой способ идентификации уже не может считаться надёжным. В этом посте расскажем, почему наши эксперты пришли к такому выводу, и приведём рекомендации для повышения безопасности. 

Привет, я Никита, инженер в отделе интеграции в STM Labs.

Вообще STM Labs проектирует и внедряет высоконагруженные системы собственной разработки. Но есть проекты на базе стороннего ПО. Основная задача нашего отдела — заставить чужую систему работать так, как хочет заказчик. Головной офис компании находится в Нижнем Новгороде, а заказчики — по всему миру.

Очень люблю свой нижегородский офис, но самые яркие впечатления от работы я получил не здесь. В прошлом году я пять недель работал в командировке в Африке.
Да, эта статья не про hard skills, а просто про хардкор в Конго.

Вы создаете сервис, а в нем - регистрацию по номеру телефона? Вы создаете проблему себе и своим пользователям. Это не защитит ваш сервис от спамеров и нежелательных регистраций. Аккаунт ваших пользователей это тоже не защитит. Давайте разберемся почему.

В этой статье я расскажу о разных типах мостов-делителей-направленников на примере своих разработок. В статье приведу также несколько других схем и топологий, которые мне пока не приходилось использовать.

В статье вас ждут фотографии, схемы и немного формул.

Я так проникся «клиентоориентированным» отношением операторов связи к своим абонентам, что сделав 4 расследования по скрытым мобильным подпискам, решил пойти дальше и проверить: а как они относятся к персональным данным абонентов? 

Поэтому я решил проверить лично, можно ли получить персональные данные, хранящиеся у сотового оператора, и если да, то как сложно, сколько стоит и как это все выглядит.