Comments 49
до разрешения всех вопросов, касающихся безопасности
Похоже, слишком безопасные, у ФСБ могут быть сложности.
Реакция ФСБ:
Шеф, все пропало, всё пропало! Гипс снимают, клиент уезжает!
UFO just landed and posted this here
ФСБ не успевает за прогрессом и просит его остановить?
Когда то подобное уже было, вот только сейчас сожжения на костре запретили, и ФСБ наверное грустно…
Ну а если серьёзно, то о какой безопасности речь? О моей? — Я о ней сам позабочусь. О безопасности государства (так это все мы, о чём власть всегда забывает) — но договориться о противоправных действиях злоумышленники могут по телефону бомжа или по украденному, да просто в личном разговоре. Какая то уж очень общая отмазка у ФСБ, впрочем как всегда- Творим что нам надо, но исключительно в ваших интересах.
Ну а если серьёзно, то о какой безопасности речь? О моей? — Я о ней сам позабочусь. О безопасности государства (так это все мы, о чём власть всегда забывает) — но договориться о противоправных действиях злоумышленники могут по телефону бомжа или по украденному, да просто в личном разговоре. Какая то уж очень общая отмазка у ФСБ, впрочем как всегда- Творим что нам надо, но исключительно в ваших интересах.
Эти ребята считают, что государство это они, и страна принадлежит им. Отсюда фраза «не нравится — уезжайте». О*уевшие, мля.
Судя по тому, что вы пишите, вы разобрались в вопросе. Насколько тяжело такую сим клонировать?
На порядок сложней, чем обычную.
Обычные я клонировал обычным программатором для симок и проблем не было — вставил старую сим, считал, вставил болванку, записал. Готовченко. Тут же понадобится доступ к устройству и не факт что без рута и джейлбрейка его будет достаточно.
Обычные я клонировал обычным программатором для симок и проблем не было — вставил старую сим, считал, вставил болванку, записал. Готовченко. Тут же понадобится доступ к устройству и не факт что без рута и джейлбрейка его будет достаточно.
Обычные аппаратные симки последних поколений не поддаются клонированию, насколько я знаю. Вопрос был про клонирование недобросовестным сотрудником оператора. Ему зачем доступ к телефону?
UFO just landed and posted this here
Тут скорее вопрос передачи номера. Достаточно просто отсканировать код и тем самым передать номер, нет привязки к физическому носителю который затруднит гуляние номера по стране (когда за 5 минут номер прыгнул из Москвы в солнечный Магадан).
UFO just landed and posted this here
Я вас наверное очень сильно удивлю, но есть тарифы без регионлока. Проще говоря, тариф действует по всей территории РФ, за исключением пары регионов. Единственное ограничение данного тарифа — раз в некоторое время бывать в домашнем регионе (это при условии, что мы не берем типа «не публичные тарифы»). Например Мегафон Включайся! Общайся. с безлимитом по интернету и 1000 минут за 190 рублей/месяц ограничений по региону не имеет, так же он вроде как не имеет требования бывать в домашнем регионе (но это не точно), за ним народ из Москвы в Тульсткую область катали. Но в данном случае я говорю о сценарии добровольной передачи номера третьему лицу.
UFO just landed and posted this here
но цены-то того региона.
Ага, того региона где покупался тариф.
с привязкой к личности и телефону через его имей.
Вы знаете, я вот сейчас задумчиво смотрю на свой модем, у которого прямо в вебинтерфейсе можно установить любой IMEI и мне любопытно, как будет выглядеть подобная привязка.
UFO just landed and posted this here
Вопрос реализации. В данный момент мне ничего не мешает достать из стола свой подубитый смарт на 5 андроиде и (посредством некоторого шаманизма) прописать на нем нужный imei. Что мне помешает сделать это на смартфоне поддерживающем есим (боксы сейчас есть в свободной продаже)?
UFO just landed and posted this here
Лягушка ещё не настолько сварилась, чтобы вводить белые списки IMEI (пусть даже только для eSIM) с привязкой к физлицу.
UFO just landed and posted this here
Допустим кто-то купил телефон с рук (или в магазине — есть разница?). Он не сообщает об этом государству, а просто «за 5 секунд без всяких салонов» получает новый номер. Без идентификации и документов.
UFO just landed and posted this here
Госуслуги не имеют двухфакторной аутентификации, значит через ботнет можно собрать большую базу логин-паролей и привязывать eSIM-ы к любым скомпрометированным профилям.
UFO just landed and posted this here
Через госуслуги? Есть там такая услуга?
UFO just landed and posted this here
полис ОМС и военный билет. Причём это всё еще и сверено на правдивость.Как ОМС и военный билет относятся к получению кредита?
Ещё вопросы по поводу того, что с привязкой к госуслугам никто есимками раскидываться в здравом уме не будет?Госуслуги уже уязвимы перед ботнетами, независимо от того, сделают через них оформление eSIM, или нет. Я о таком сценарии: хакеры получают чужие акки на гос. услугах и регают там е-симки, затем используют их в своих чёрных делишках. С чего бы им дорожить чужими аккаунтами?
UFO just landed and posted this here
Вы же специально пропустили полные данные паспорта, инн и снилса?А вы специально добавили несущественные данные в список?
Нах… фига им страдать мелочью, когда проще будет оформлять кредиты на полные данные пациента?Это где оформляют кредит только по паспортным данным? Сканов паспортов в сети и так вагон, что, можно уже бежать за кредитами?
сразу можно будет сажать по нескольким статьямФормально — нет. За что сажать человека (по текущему УК), который на подпольном форуме купил/скачал приложение «услуга смены номера». Это как купить прокси-сервер на ботнете.
UFO just landed and posted this here
За что сажать купившего краденное, зная что оно краденное? Спасибо, взоржалА формально, за что?
Более того, в условно описанной мной схеме: на телефоне ты должен будешь залогиниться в а-ля госуслугах по-сути и только после этого тебе позволят номер к есим прицепить.Номер меняет нелегальное приложение, которое в гос. услуги не просит логинится.
Да и так с поддельными паспортами берут кредиты или снимают средства с сберкнижекСоздать физический поддельный документ и пойти с ним на дело это совсем не то же самое, что просто увидеть паспортные данные.
UFO just landed and posted this here
>> А формально, за что?Кража (УК 158) не применима к угону аккаунта.
Я даже описал за что.
Меня радует, как вы отстаиваете свою позицию, раз уж её заняли, игнорируя логикуНаверное, я слишком увлёкся )))
Тем не менее, правила, как вы их видите, сейчас не существуют. Нет нормативной базы, на госуслугах нет работы с телефонами. Если сейчас разрешить eSIM, оно само как-то сложится так, что не будет достаточно контролируемо. А потом фиг что изменишь. Поэтому запрещают, вместо того, чтобы работать над хорошим безопасным решением.
UFO just landed and posted this here
В принципе, понятны опасения. Пока эта технология у google/apple, они могут защищать ключи аппаратно. Когда же появится масса дешёвых китайфонов, там могут сделать обработку ключей программно, и тогда хакеры смогут эксплойтить прошивки и воровать ключи, клонировать симки.
Эксплоитить eSIM также "легко", как эксплоитить обычную USIM. До момента коммерческой реализации функциональности карты в SoC (чипсете) этот вектор не очень перспективный, да и потом тоже не факт. А "левые" хакерские eSIM легко будет отсеять при отсутствии у них сертификата, заверенного CA GSMA.
По сравнению с USIM добавляется возможность загрузки новых ключей. А есть ли в этом процессе защита от replay attack, например?
В SIM физическая защита хранилища ключа никак не специфицирована, но выпуском SIM занимаются фирмы с определённой репутацией. Можно купить китайфон из подвала, но SIM из подвала, сделанную на тяп-ляп, оператор не будет покупать (а именно оператор выбирает поставщиков SIM). Развязка производителя криптомодуля и основного девайса — хорошо: можно экономить на телефоне без ущерба безопасности SIM.
Когда любой абонент приходит со своей eSIM, неизвестно какого качества, оператор обязан залить туда ключи, не может отказать на основании того, что «телефон твой дырявый».
В SIM физическая защита хранилища ключа никак не специфицирована, но выпуском SIM занимаются фирмы с определённой репутацией. Можно купить китайфон из подвала, но SIM из подвала, сделанную на тяп-ляп, оператор не будет покупать (а именно оператор выбирает поставщиков SIM). Развязка производителя криптомодуля и основного девайса — хорошо: можно экономить на телефоне без ущерба безопасности SIM.
Когда любой абонент приходит со своей eSIM, неизвестно какого качества, оператор обязан залить туда ключи, не может отказать на основании того, что «телефон твой дырявый».
UFO just landed and posted this here
Ограничат определенными моделями устройств с сертификатом нужным
Именно. В стандарте указано, что к управлению принимаются только eSIM с определенными сертификатами. И eSIM не позволит собой управлять несертифицированной платформе. Очевидно, что кража ключей из недоверенной eSIM возможна, поэтому все учтено.
Обязанности оператора не должны будут заходить настолько далеко, чтобы управлять модулями с левыми сертификатами.
Полагаю, что даже если eSIM будет, в будущем, реализована на чипсете, ее OS все равно будет сделана венграми карт, обладающими необходимой экспертизой. Это, конечно, мое предположение, но глупо было бы изобретать велик, пренебрегая экспертизой гигантов отрасли смарт-карт.
Почему не может? Ограничат определенными моделями устройств с сертификатом нужным, имей их будет известен для ввезеных в белуюДело не в белизне. Есть такой российский бренд — DEXP, который производит мониторы, смартфоны, планшеты, клавиатуры и ещё чёрт знает что, клея свою этикетку на самый дешёвый китайский подвал. И вот как такому откажешь, на каких основаниях? Почему американский Apple пустили, а российский DEXP не пускают? Небезопасно? А какие ваши доказательства?
Я так понимаю, если раньше нас без разрешения подписывали на погоду за 35р в сутки, то теперь будут также подключать к новому оператору с абоненткой 1000р в день, или это как-то по-другому работает?
Запретить и нипущать, бо кругом враги…
Sign up to leave a comment.
Tele2 запретили выдавать eSIM: власти ссылаются на «проблемы безопасности»