Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 57
В разработке это называется "костыль"
Да ничегосложного: алё, это не мошенники, мы проверяем принадлежность госуслуг, назовите код из смс
Конечно! В ФСБ есть запись, что гражданин покинул страну более 183 дней назад - а номер к Госуслугам привязан. И аккаунт в Госуслугах почему-то ещё есть. Тут ведь один сенатор из Госдумы ляпнул, что такие люди нам не друзья — вот пусть он без Госуслуг посидит! И профиль, и номер телефона в /dev/null, а недвижимость - на нужды фронта. Так будет справеподливо.
Заодно и на нарушение новой статьи о запрете поиска проверят. Ну так, чисто попутно. Чтоб два раза не беспокоить гражданина.
Что такое атака MitM
(теперь элементарно реализуемая, после того, как сломали всем https, т.е. дезактивировали TLS-шифрование)
знаем?
Так и будет сделан, при желании проверяющего, соответствующий нехороший запрос.
И опровергнуть будет не так просто.
Хоть и технически возможно.
Заодно и осудить получится на бОльший срок.
(теперь элементарно реализуемая, после того, как сломали всем https, т.е. дезактивировали TLS-шифрование)
Что...? Это кому это сломали https? Когда, как, кто? Звучит, как дичь.
Раньше у многих было по несколько симкарт, которые постоянно менялись, ради очередных акций и скидок, новых тарифов - следить за тем, какой у какого гражданина номер было сложно, к тому же сотовый оператор просто так мог и не дать информацию без официального запроса.
Частично проблему сняли, придумав "отмену мобильного рабства" - человек мог сохранить за собой старый номер - меньше проверять. Но мог и не сохранять.
Усложнили продажу симкарт, чтобы чётче фиксировать, кому какой номер принадлежит - для борьбы с мошейниками, конечно. Обязали операторов вызванивать и актуализировать данные.
Добавили функцию самопроверки - "зайдите и проверьте какие номера вам принадлежат".
Теперь вот делается автоматизированная система пробивки номера, уже без нудных запросов и ордеров - чтобы данные в личных делах были актуальными всегда.
Всё для защиты от мошенников, заботы ради, и пользы для.
Самоочевидную проверку включат лишь через год. До того отверстие в безопасности будет успешно продолжать работать.
планируют начать проверять на актуальность сотовые номера российских граждан
-- Здравствуйте, меня зовут Николай. Я представитель минцифры, звоню вам с целью актуализации вашего телефонного номера...
Здравствуйте, Николай.
Для начала - сообщите полные должность и имя своего начальника.
И его служебный телефон. Я позвоню ему сразу после завершения нашего разговора, уточню, что производится такой обзвон.
Я это всё запишу, а затем, так и быть, продолжим.
И его служебный телефон. Я позвоню ему сразу после завершения нашего разговора, уточню, что производится такой обзвон.
Незачет. Потому что назовут. И по этому номеру будет сидеть сообщник или действительно начальник. Только совсем не из Минцифры.
Я это всё запишу, а затем, так и быть, продолжим.
Так дадут телефон "начальника" от той же "конторы". Как его проверите?
Для начала - сообщите полные должность и имя своего начальника.
министр связи, цифрового развития и массовых коммуникаций Максуд Новиопович Шаддаев.
И его служебный телефон.
эта информация ДСП. могу сказть только телефон приемной. записыайте +7 ... (телефон с сайта)
Я позвоню ему сразу после завершения нашего разговора
это ваше право. а теперь продолжим.
В СМИ пояснили, что речь идёт о тех случаях, когда пользователи при помощи мобильного телефона регистрируются или авторизуются в информационных системах госорганов и организаций, оказывающих социально значимые цифровые услуги.
...
В этом случае, если будет зафиксировано, что номером владеет другой человек, то он будет автоматически будет отвязываться от госсервисов в аккаунте для предыдущего владельца и не даст оказывать социально значимые цифровые услуги до обновления информации.
<Вздыхая> А очевидное решение - вообще не использовать телефонные номера для этой самой регистрации и авторизации, заменив на что-то более вменяемое - так до сих пор никто и не рассматривает.
Ну если говорить именно о портале Госуслуги, то там можно использовать в качестве второго фактора приложение для генерации одноразовых кодов, место подтверждения по SMS…
Да можно, кто спорит. Там и токены с ЭП можно использовать. И биометрию.
Вопрос в том, почему можно телефонный номер, когда с ним так много проблем, что уже далеко не в первый раз их решить на государственном уровне пытаются.
Телефонный номер есть у каждого первого (ну или как минимум стремится к этому). И для массового пользователя - это самое простое и понятное.
С другой стороны в госуслугах есть и другие методы авторизации, не нравится номер телефона - перейди на email/инн и двуфакторку через ТОТР, а номер телефона отвяжи.
Телефонный номер есть у каждого первого (ну или как минимум стремится к этому).
Вместе с, собственно, SIM-ками. Уже не первый раз в подобных обсуждениях указываю - достаточно начать использовать не телефонный номер, а сам чип (он, очевидно, к другому абоненту не переходит) - и уже части проблем не будет.
Но нет, упорно используют именно номер телефона.
Расскажите как вы это себе видите?
Допустим я не очень молодой дед, у меня кнопочный бабушкофон и старенький ноутбук/планшет, который мне внук подогнал.
Я хочу зайти на госуслуги. Мои действия?
Например:
В SIM вливается приложение, написанное на SIM Tool Kit, и уникальный ключ. С этими приложениями работаю даже кнопочные звонилки.
Дальше - как с TOTP, но код вычисляет SIM-ка. Деду нужно будет немного потыкаться по менюшкам.
Или (чуть лучше)
Берется ридер для этих чипов-они дешевые (прошу прощения за русский Aliexpress). Так же в SIM вливается приложение - авторизатор. Госуслуги через разные плогины (точно так же как с токенами ЭП) этим всем пользуется.
Или(уже порядочный хак, который кажется возможным)
Берем тот же ридер, берем никак не модифицированную SIM, берется WebUSB. И сайт Госуслуг, пользуясь теми же самыми протоколами, что сотовые операторы пользуются, может пообщаться с чипом карточки и убедиться, что ключик у нее внутри - тот же самый, что к учетке привязывали.
Или (уже совсем-совсем хак)
Разрешаем (даже если исходный номер кому-то отдали) звонок на спец-номер (и больше никуда) оператора "Госуслуги" используя SIM-ку.
Сотовые операторы умеют порядочное количество данных передавать по своим сигнализациям, включая разные серийники используемого чипа (банки сейчас таким пользуются). Одновременно сайт всяко разно пиликает, телефон это слышит и через звуковой канал через телефон завершает авторизацию.
Или
Вспоминаем дикое количество стандартов, что для сотовых сетей придумали и находим, что именно надо использовать, чтобы оно нужное делало - наверняка там есть. Ну вроде такого. Там
4.2.1.6. Format of the Permanent Username The non-pseudonym permanent username SHOULD be derived from the IMSI. In this case, the permanent username MUST be of the format "1" | IMSI, where the character "|" denotes concatenation. In other words, the first character of the username is the digit one (ASCII value 31 hexadecimal), followed by the IMSI. The IMSI is encoded as an ASCII string that consists of not more than 15 decimal digits (ASCII values between 30 and 39 hexadecimal), one character per IMSI digit, in the order specified in [GSM-03.03]. For example, a permanent username derived from the IMSI 295023820005424 would be encoded as the ASCII string "1295023820005424" (byte values in hexadecimal notation: 31 32 39 35 30 32 33 38 32 30 30 30 35 34 32 34).
Конкретно этот, вроде бы, не совсем подходит(лень читать), но совершенно точно нужное, что можно доработать, среди всей кучи GSM стандартов найдется.
С точки зрения пользователя это будет выглядеть так, что на телефоне в который вставлена привязанная SIM-ка (не номер! ) будет выскакивать запрос на подтверждение входа.
С точки зрения сайта Госуслуг - он не работает с SMS (еще и заставляя их вводить), а стразу отсылает запросы на сервис авторизации, что у оператора, чтобы он с телефоном внутри которого нужная SIM стоит, пообщался и авторизацию у пользователя запросил.
А как отвязать номер? Я что-то такого не вижу. И поменять на зарубежный тоже не даёт. Приходится жить с аккаунтом с каким-то левым номером.
Вообще-то
Вообще-то
Изначальным, самым первым видом логина на госуслугах был СНИЛС.
И только СНИЛС.
Авторизация по телефонному номеру и по почте появилась очень не сразу.
Но авторизация по снилсу ещё хуже авторизации по телефону - все снилсы давно утекли, а сменить номер снилса гражданину нельзя, нет такой процедуры.
Интересно, а что делать, если симки родителей и некоторых прочих родственников зареганы на одного человека и все они их используют для госуслуг и "прочих госсервисов"?
Очень интересен этот кейс! Надеюсь, трогать не будут в таком случае...
Перевести на настоящего владельца. Про то что это надо сделать пишут уже несколько лет.
Есть такие категории граждан, которых теоретически можно доставить до офиса оператора, но на практике это очень-очень сложно. И я сейчас совсем не про маргиналов и хикканов.
Им и госуслуги не нужны и даже вредны. Оформить опеку и делать все самому.
А можно они сами будут решать что им нужно а что нет? Они вполне вменяемые дееспособные граждане. И возможность делать кучу всяких гос-штук через госуслуги для них очень серьезно помогает.
Вменяемый дееспособный человек с помощью родственника может добраться до салона сотовой связи за год. Он из дома хотя бы иногда ведь выходит? Вот заодно и зайдете.
Ой, а расскажите же мне, как "добраться до салона сотовой связи за год" человеку, ну например, без ног? Ползком? Коляска, например, тупо не пролезает в лифт (да, такой вот лифт, очень узкий).
Он из дома как-то выходит же? Как минимум в больницу съездить. Вот ровно так же. Можно и нужно совместить.
Кейс дееспособного человека который год не выходил из дома это что-то из разряда фантастики.
Оформить доверенность с помощью нотариуса, раз уж совсем никак не выходит на улицу? Вроде бы нотариуса можно домой пригласить.
Мы купили более узкую коляску, а потом купили тарахтелку, которая по лестнице коляску спускает. Трясло маленько, но это был единственный вариант доставлять маму хоть куда-то.
Пожилому человеку (дееспособному) сложно разбираться в условиях договоров, личных кабинетах и проч. Все этим МБит/с, 5G и пр. ему ничего не говорят. История которая затронула моих родственников. Оператор проводной телефонной сети (он же и интернет) обзванивал людей и предлагал перейти на тариф с более быстрым интернетом. Скорее всего честно называл условия (что повысится абон плата). Пожилые люди не особо понимали что, тут происходит, но основном соглашались. Их переводили на тариф 500 МБит/с (+200 р к абон плате). Хотя если оператор делал хотя бы минимальный анализ трафика, такого предложения никогда не поступило бы. В моем случае реальная скорость на предоставленном оператором же роутере с WiFi типа N с учетом нахождения клиентского устройства за бетонной стеной была 20Мбит/с максимум. И такая конфигурация была несколько лет. Тариф переключили назад на минимально возможной, по поводу уже списанных денег претензию родственник писать не стал. После того как это выявилось, родственник пообщался с соседями и оказалось что аналогичное происходило у многих пожилых людей.
То же самое касается и выдачи телефонов несовершеннолетним детям.
По всем технически сложным услугам такие люди должны иметь возможность быть чисто пользователями и не более того. А не стороной договора. Не должно быть возможности войти в личный кабинет оператора по паролю через СМС на такой телефон и т.п.
Сейчас это возможно по сути только на корпоративном тарифе.
У меня для дочки сим-карта оформлена на меня, оформить на дочь нельзя тк она слишком мала, тем не менее, детский аккаунт госуслуг уже есть. Такой кейс будет сложным, но, наверно, не так критично тк почти все действия нужно подтверждать родителю
Срок выполнения — четвёртый квартал 2026 года.
а все другое в РФ по щелчку пальца.
Лучше бы сделали чтобы телефонный номер невозможно было потерять и он был пожизненным на паспорт. А то сейчас оператор может его забрать и перепродать кому угодно
Сейчас налетят любители понабрать кредитов и сменить место жительства и телефон.
и ФИО тоже сменить. потом поехать в дикий регион и купить запись в книге ЗАГСа о своей смерти + свидетельство о смерти. звучит как план.
причин для смены телефона 100500 наберется, там и объявления на всяких авито, и смена работы и еще куча всего. а так иметь много номеров, менять некоторые, закрывать, открывать новые-вполне норм. ну в той вселенной, где телефон, это телефон, а не породия на на иин/инн/ssn. что может быть проще, чем использовать вещи по назначению, вместо создания дурных кейсов и несметного количества костылей для использования инструментов не по назначению
Ну как минимум номер привязанный к Госуслугам должен быть вечным
существует определенный метод сделать номер вечным без списания платы за необслуживание и блокировку. писать его, понятно, я не буду. но кто внимательно и интенсивно пользуется или следит за операторами, понимает, о чем. для тех, кто не следит, рекомендую думать в сторону "почему операторы перепродают номера"
Инструменты должны использоваться по-назначению, тогда и проблем не будет. Сначала решили зачем-то использовать смс (изначально не предназначенную технологию) как второй фактор. Сомнительно, но окай(с). Потом что-то окончательно пошло не так и решили сбрасывать пароль по смс. Это вообще не сомнительно и не окай. Сама двухфакторность исчезла.
При этом номер телефона как таковой к пользователю не относится. Да, некоторое количество пользователей в некоторый момент владеет доступом к некоторым номерам по некоторым основаниям. Но номер телефона не относится к пользователю, он не является его свойством, например, как биометрия, и не принадлежит монопольно ему, как запомненный пароль. В некоторых городах номера телефонов даже менялись массово (речь, конечно, про городские, но не суть). Основная идея в том, что ни в коем случае нельзя отождествлять номер и человека. При этом использовать только номер для выдачи кредитов, выпуска карт, оформления значимых госуслуг и прочего-сюр. Дело даже не в мошенниках, а банально в том, что обладание номером телефона не во власти человека. Есть немало вариантов, когда вполне законный владелец не может воспользоваться номером и обращение в офис оператора, мягко говоря, затруднительно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
СМИ: регуляторы планируют проверять на актуальность сотовые номера граждан, используемые для получения госуслуг онлайн