Комментарии 242
Для всех, кто ещё по каким-либо причинам не включил двухфакторную авторизацию: https://telegram.org/blog/sessions-and-2-step-verification
Аутентификацию.
Ох уж эта секта свидетей Драматического Отличия Авторизации От Аутентификации И Их Обоих От Идентификации.
Но ведь это и правда очень разные вещи — авторизация происходит после аутентификации. Идентифицирует клиент сам себя, обычно, не спрашивая сервер ни о чём («Привет, я Вася/+79876543210»), аутентифицирует сервер клиента, запрашивая пароль/ключ/whatever («Чем докажешь, что Вася, тот самый Вася?»), а авторизует уже сам сервер, не спрашивая клиента («Так, вот васины письма, можешь брать»).
И двухфакторная авторизация тоже могла бы быть — например, предоставление двух типов прав (например, при первом логине получить сначала права на вход в личный кабинет, а потом и к услугам, связанным с ним, возможно даже оффлайновым).
Не могу себе представить ни одного реального жизненного примера, когда незнание разницы между определениями аутентификации и авторизации на что-то влияет. Ну разве что какой-то программист с синдромом Аспергера видит задачу «сделать двухфакторную авторизацию», смотрит в словарь, пожимает плечами и делает авторизацию вместо аутентификации.
Аутентификацию…
… пожимает плечами и делает аутентификацию…
… пожимает плечами и делает аутентификацию…
Люди, путающие «надеть» и «одеть» тоже, в общем, никому жить не мешают.
Но знать различие между аутентификацией (проверкой подлинности) и авторизацией (предоставлением или получением полномочий) таки не очень сложно. «Разница всё-таки есть».
Но знать различие между аутентификацией (проверкой подлинности) и авторизацией (предоставлением или получением полномочий) таки не очень сложно. «Разница всё-таки есть».
Я тоже с трудом различаю эти понятия, попытаюсь переложить своим языком.
Вот мой отпечаток пальца, он может подтвердить, что запрос исходит оит меня, голос, радужка глаза, но и предоставление секретного пароля также подтверждает подлинную принадлежность запроса мне.
Предоставив системе подтверждение подлинности источника запроса «кто там? это я»
совсем не значит, что я получу полономчия. Система может не дать мне разрешение на действие. Например потому, что я за последний час три раза неверно вводил пароль и нахожусь под подозрением. Пустить пустит но делать ничего не даст.
Установление личности и проверка подлинности значит тоже две разные вещи. Тут посложнее. Обратимся к фольклору.
Волк и семеро козлят: голос козлята слышат мамин и фраза верная (аутентификация пройдена), но установление личности мамы козы они не открыв двери провести не могут.
Т.е. в моем понимании, если система проводит идентификацию, это очень суровая система. Если знать пароль или иметь палец или глаз от тела не достаточно, а нужно быть опознаным системой как пользователь.
Значит даже намеренно желая поделиться данными учетной записи с другом, (ну в играх например, довольно частое явление) система с идентификацией даст доступ только одному из пользователей, а именно искючительно истинному владельцу.
Т.е. в таком случая вероятна фраза типа: «Я бы тебе дал свой аккаунт, но система тебя не опознает. Мне придется каждый раз ехать к тебе в Рязань и проходить идентификацию на твоей машине ;) „
Вот мой отпечаток пальца, он может подтвердить, что запрос исходит оит меня, голос, радужка глаза, но и предоставление секретного пароля также подтверждает подлинную принадлежность запроса мне.
Предоставив системе подтверждение подлинности источника запроса «кто там? это я»
совсем не значит, что я получу полономчия. Система может не дать мне разрешение на действие. Например потому, что я за последний час три раза неверно вводил пароль и нахожусь под подозрением. Пустить пустит но делать ничего не даст.
Установление личности и проверка подлинности значит тоже две разные вещи. Тут посложнее. Обратимся к фольклору.
Волк и семеро козлят: голос козлята слышат мамин и фраза верная (аутентификация пройдена), но установление личности мамы козы они не открыв двери провести не могут.
Т.е. в моем понимании, если система проводит идентификацию, это очень суровая система. Если знать пароль или иметь палец или глаз от тела не достаточно, а нужно быть опознаным системой как пользователь.
Значит даже намеренно желая поделиться данными учетной записи с другом, (ну в играх например, довольно частое явление) система с идентификацией даст доступ только одному из пользователей, а именно искючительно истинному владельцу.
Т.е. в таком случая вероятна фраза типа: «Я бы тебе дал свой аккаунт, но система тебя не опознает. Мне придется каждый раз ехать к тебе в Рязань и проходить идентификацию на твоей машине ;) „
Попытаюсь переложить своим языком:
идентификация — указание (обычно своего) логина.
аутентификация — указание пароля для доказательства права так идентифицироваться, доказательство аутентичности идентификации.
авторизация — предоставление системой прав в системе согласно аутентифицированной идентификации.
В некоторых случаях схема может меняться в более хитрую или более простую форму для повышения параноидальности, либо для комфорта пользователя.
Двухфакторная именно аутентификация, так как доказывать право на идентификатор пользователь должен двумя слагаемыми — к паролю ещё и доказать, что указанный ранее сотовый находится в минутной доступности, то есть, условно сотовый «свой».
P.S. В разговорной речи для пользователя, не вникающего в тонкости безопасности, слова почти синонимичны. Поэтому пользователь выберет наиболее лёгкое для произношения, наименее ломающее мышцу языка. Это, лично для меня — «авторизоваться».
идентификация — указание (обычно своего) логина.
аутентификация — указание пароля для доказательства права так идентифицироваться, доказательство аутентичности идентификации.
авторизация — предоставление системой прав в системе согласно аутентифицированной идентификации.
В некоторых случаях схема может меняться в более хитрую или более простую форму для повышения параноидальности, либо для комфорта пользователя.
Двухфакторная именно аутентификация, так как доказывать право на идентификатор пользователь должен двумя слагаемыми — к паролю ещё и доказать, что указанный ранее сотовый находится в минутной доступности, то есть, условно сотовый «свой».
P.S. В разговорной речи для пользователя, не вникающего в тонкости безопасности, слова почти синонимичны. Поэтому пользователь выберет наиболее лёгкое для произношения, наименее ломающее мышцу языка. Это, лично для меня — «авторизоваться».
Было бы проще понять разницу интуитивно / из контекста, если бы их так массово не путали :)
Не могу себе представить ни одного реального жизненного примера, когда незнание разницы между определениями аутентификации и авторизации на что-то влияет.Серьёзно? Ну, вот вам пример: при входе на ваш сайт через соцсети эти самые сети берут на себя функции как раз идентификации (установления личности) и аутентификации (проверки подлинности, аутентичности), а на долю сайта остаётся только авторизация (предоставление прав в соответствии с ACL и прочим). Соответственно, ничего «двухфакторного» сайт при этом сделать не может (ну, разве что впилить костыль и делать аутентификацию ещё раз). Именно поэтому гугловский сервис называется Google Authenticator, и именно поэтому всю эту двойную аутентификацию и можно выделить в отдельный сервис — потому что это отдельная от авторизации часть.
На результат Cisco экзаменов для сертификации (не помню какой) CCNA или CCNP влияет. Там кроме Аутентификации и Авторизации еще и Акаунтинг есть :)
1. Идентификация — установление личности. Используется что бы показать вашу аватарку при логине на гуглы, фэйсбуки как пример. Так же для аналитики, выбора сценария аутентификации.
2. Аутентификация — подтверждение идентификации. При помощи различных факторов, которыми вы владеете, знаете вы доказываете системе что вы — это вы. Вот тут всплывают факторы: пароль, сетчатка глаза, доверенный компьютер.
3. Авторизация — подтверждение права выполнить то или иное действие. Наличие аутентификации может являться основанием для авторизации. А может и нет. Авторизация то же может быть многофакторной. Например подтверждение операции в интернет банке. Вы вроде бы и зашли уже, и права есть, но не помешает еще разочек подтвердить.
Эти понятия нельзя путать, так как это приводит к феерическому пиз**у при разработке мало-мальски сложных систем.
К слову User и UserAccount — то же разные вещи.
2. Аутентификация — подтверждение идентификации. При помощи различных факторов, которыми вы владеете, знаете вы доказываете системе что вы — это вы. Вот тут всплывают факторы: пароль, сетчатка глаза, доверенный компьютер.
3. Авторизация — подтверждение права выполнить то или иное действие. Наличие аутентификации может являться основанием для авторизации. А может и нет. Авторизация то же может быть многофакторной. Например подтверждение операции в интернет банке. Вы вроде бы и зашли уже, и права есть, но не помешает еще разочек подтвердить.
Эти понятия нельзя путать, так как это приводит к феерическому пиз**у при разработке мало-мальски сложных систем.
К слову User и UserAccount — то же разные вещи.
Ой, а расскажите пару примеров, как кто-то перепутал и это привело к феерическому пиз***у.
Непонимание зон ответственности этих процессов ведет к тому, что компоненты системы начинают отвечать не за те функции а связи между ними некорректны.
Самое простое — непонимание того, что OAuth2 — протокол делегированной авторизации, а не аутентификации. Их этого начинают вытекать нездоровые требования у ПМов, если никто не может их осадить, дальше начинаются костыли на ResourceOwnership и тд.
Так же ведет к банальным дырам, необоснованным привилегиям у пользователя.
Ignorant отношение вроде вашего не делает вам чести, просто говорит о том, что вы никогда серьезно не работали в этой области. Хотя кто-то и uuid считает за безопасный сессионный токен в распределенной системе и самоподписанные сертификаты на бою держит. Зачем разбираться то…
Самое простое — непонимание того, что OAuth2 — протокол делегированной авторизации, а не аутентификации. Их этого начинают вытекать нездоровые требования у ПМов, если никто не может их осадить, дальше начинаются костыли на ResourceOwnership и тд.
Так же ведет к банальным дырам, необоснованным привилегиям у пользователя.
Ignorant отношение вроде вашего не делает вам чести, просто говорит о том, что вы никогда серьезно не работали в этой области. Хотя кто-то и uuid считает за безопасный сессионный токен в распределенной системе и самоподписанные сертификаты на бою держит. Зачем разбираться то…
Вот вам пример:
Одна фирма продала довольно сложный проект, в котором не в меру дотошный архитектор определил в условиях, что поддерживается сингл-сайн-он типа Negotiate или Kerberos. Ну бывают такие многословные писаки, т. е. а вдруг я чего-то не напишу, а потом придет пушной зверек (то что это работает и в обратную сторону, оне при этом не думают).
Проект базируется на системе с довольно сложной собственной security-системой (т.е. собственными группами, ролями, правами и привилегиями).
При этом он забыл (или не знал), что оба упомянутых — чистой воды авторизационные механизмы — т.е. грубо говоря позволяют (или запрещают) доступ к ресурсу. Иначе говоря, в отличии от тех же NTLM-ов, вы не получите не имени пользователя, не какого-либо другого идентификатора (только ответ да — авторизован, нет — идешь лесом).
А это в свою очередь значит, что про собственный ролевой механизм можно забыть — т.к. тупо не удастся проверить какими правами и привилегиями в проекте он владеет (в каких группах находится и какие роли ему отвели).
В данном конкретном случае это значит либо перетаскивать собственную ролевую систему чуть не полностью под винду (повторяю — система привилегий очень сложна), что есть геморрой на многие-многие человеко-дни.
Либо как-то уговорить заказчика использовать другой сингл-сайн-он (например NTLM), который еще и аутентификационный, ибо позволяет получить имя пользователя с доменом, т.е. однозначно идентифицировать его в системе прав и привилегий проекта.
Ну или как-то костылить, чтобы все таки каким-то образом сообщить серверу имя или идентификатор пользователя, как-то привязав его к токену соединения Negotiate или Kerberos...
Достаточно феерически? И это на вскидку, из того что сразу вспомнил, а если подумать…
Вообще вроде с WindServer 2012 в в тикете катаются клэймы юзера ЕМНИП.
Ну-ну…
Во первых, совсем не обязательно.
Во вторых, емнип, там "катаются" только SAML-клеймы… Выдернуть из него или привязать как-то реального пользователя представляется мне довольно затратным делом.
Ну и в третьих, на уровне того же SSPI это все для вас — blackbox, еще и с зашифрованным диалогом в довесок, — каким образом вы собираетесь оттуда чего-то там достать, не пользуя SSPI-API? Используя же последнее, вам не удастся получить информацию кто это только что завершил рукопожатие.
Те же sharepoint-ы и иже с ними, требующие claims-auth, работают только потому, что управление группами там прямое, т.е. можно тупо спросить принадлежит ли connection-токен этого юзера такой-то "системной" группе (другими словами обладает ли некоторыми "системными" permissions).
С чего тяжело то? Катаются те, что настроите. Можно получить AccountName, PrimarySid, сиды групп. Проверить сиды групп на системные вообще не проблема.
Enable Claims Support in Windows Server 2012 Active Directory
Вы представляете или делали?
Кейс — WCF + IntegratedAuth — Получаете готового принципала. Там есть ряд условий что бы Kerberos сагрился, но проблем нет. С вебом так же. Только есть пара нюансов и гемор в настройке.
В принципе конечное приложение не должно с мучаться с этим. Настраиваете все для своего IdP, а приложение
Ws-Fed или OIDC.
Enable Claims Support in Windows Server 2012 Active Directory
Вы представляете или делали?
Кейс — WCF + IntegratedAuth — Получаете готового принципала. Там есть ряд условий что бы Kerberos сагрился, но проблем нет. С вебом так же. Только есть пара нюансов и гемор в настройке.
В принципе конечное приложение не должно с мучаться с этим. Настраиваете все для своего IdP, а приложение
Ws-Fed или OIDC.
Детали не надо… т.к. я вам как бы не совсем про то...
Гладко было на бумаге… Я не буду вам чего-либо доказывать, ибо вы читаете через строчку, да и это никоим образом не относится к теме ветки и уж тем более к теме поста.
Кейс — WCF + IntegratedAuth — Получаете готового принципала.
Вы правда понимаете о чем речь: сервер — не IIS, сервером юзается SSPI, имперсонификация запрещена от слова совсем (т.е. тупо нельзя ImpersonateSecurityContext и иже с ними, тем более запрещено имперсонировать поток/процесс, т.к. они обслуживает асинхронно кучу других соединений, других юзверей)...
Ув. forgotten просил пример… Пример думаю как-таковой понятен? Не нравится вам Kerberos (как быть с Negotiate или если клиент не имеет AD, а юзает самбу с винбиндом или чего еще более экзотическое) — вычеркните или замените Kerberos на Auth-No-Way-To-Get-SID. Сам смысл остается.
Надо не забывать ещё про вторизацию, которая, очевидно, противоречит авторизации.
Данный пост подтверждает, что телефон не является аутентификационным сервисом.
Так код же в SMS придет. Все равно можно прочитать.
Или я чего-то не понимаю?
Или я чего-то не понимаю?
подробнее о самих атаках мы писали ранееЧто-то не могу скачать pdf-ник по Вашей ссылке.
UPD: отбой тревоги. Разобрался уже: скачивается, если в URL https заменить на http.
ЧТД.
Вообще-то, нет. Продемонстрированная атака отличается от той, что была использована.
Вообще-то, да. Атака отличается, тут Вы правы. И товарищи из PT на фоне массового интереса к новости о взломе представителей какой-то оппозиции какими-то спецслужбами решили
ну и еще разок упомянуть про свои ресерчи на эту тему, да себя показать. :)
PT, вроде как не спецслужба (предлагаю не разводить демагогию сотрудничают ли сесурити-компании с правительством или нет, это не так важно), досуп получен? Получен! ЧТД — спецслужбой быть совсем необязательно :)
И да, я понимаю, что получить доступ к SS7, это не за хлебушком сходить.
З.Ы. И я наверно всё-таки оптимист, потому что считаю, что располагая возможностями специальных служб можно все это сделать не так чопорно. Элегантнее чтоль, если хотите. Хотя, быть может я ошибаюсь.
З.Ы.Ы. Что же касается самой истории с МТС и Телеграмом, то какой-либо технической информации в сети крайне мало. Ну да, скорее всего без участия оператора не обошлось. Вся остальная инфа — политота. А это уже неинтересно.
проверить, действительно ли нужно быть спецслужбой, чтобы получить доступ к чужому аккаунту Telegram.
ну и еще разок упомянуть про свои ресерчи на эту тему, да себя показать. :)
PT, вроде как не спецслужба (предлагаю не разводить демагогию сотрудничают ли сесурити-компании с правительством или нет, это не так важно), досуп получен? Получен! ЧТД — спецслужбой быть совсем необязательно :)
И да, я понимаю, что получить доступ к SS7, это не за хлебушком сходить.
З.Ы. И я наверно всё-таки оптимист, потому что считаю, что располагая возможностями специальных служб можно все это сделать не так чопорно. Элегантнее чтоль, если хотите. Хотя, быть может я ошибаюсь.
З.Ы.Ы. Что же касается самой истории с МТС и Телеграмом, то какой-либо технической информации в сети крайне мало. Ну да, скорее всего без участия оператора не обошлось. Вся остальная инфа — политота. А это уже неинтересно.
WhatsApp в последних версиях предупреждает о смене ключа шифрования на противоположной стороне — «Код безопасности пользователя * * * изменился.».
Для некоторых, эта фраза напротив придаст уверенности в безопасности переписки, т.к. они могут ассоциировать ее с правилом «регулярной смены паролей, для увеличения уровни безопасности».
Что тут говорить, если многие (из моего окружения), не задумываясь игнорируют предупреждения ошибки подлинности сертификата на порталах с денежными операциями.
Что тут говорить, если многие (из моего окружения), не задумываясь игнорируют предупреждения ошибки подлинности сертификата на порталах с денежными операциями.
А про банк-клиенты что скажете? Там тоже всякие sms-подтверждения используются.
Вы видели банковские приложения без многофакторной авторизации?
У сбера можно получить новые логин с паролем на тот же номер телефона, куда приходят одноразовые коды.
Я не знаю, как у Сбера, а по-правильному, смена пароля — это операция точно так же, как и финансовая требует подтверждения одноразовым кодом либо из таблицы, либо по СМС и возможна только из самого приложения.
Если забыл пароль, то тогда только визит в офис банка, либо звонок в поддержку с подтверждением.
Рассылка связки логин: пароль, даже не думал что такое кто-то практикует.
Если забыл пароль, то тогда только визит в офис банка, либо звонок в поддержку с подтверждением.
Рассылка связки логин: пароль, даже не думал что такое кто-то практикует.
Не совсем правильно написал. Не логин и пароль пришлют, а пришлют код подтверждения для создания новых л и п. Но, сути это не меняет.
НЛО прилетело и опубликовало эту надпись здесь
Я не очень в курсе, как работает атака из поста, но сбер или тинькофф, например, детектят смену сим-карты. Возможно, конечно, с такой атакой можно номер симки тоже сэмулировать.
У сбера можно получить новые логин с паролем на тот же номер телефона, куда приходят одноразовые коды.
А кто-нибудь пробовал им сказать что это плохо? :)
Точнее не то, что именно это плохо, а то, что плохо что нужно лишь только это.
Насколько я помню, крупнейший негосударственный банк Украины (Приватбанк) для восстановления пароля требует указания номера, срока действия и PIN-кода любой из действующих карточек клиента. То есть даже если украсть у клиента сумочку с карточками и телефоном, чтобы получить доступ к управлению финансами, потребуется дополнительно как-то узнать ещё и либо пароль в онлайн сервис, либо PIN-код карточки. Без этого — максимум можно будет совершать покупки в онлайн магазинах, при условии что для карточки (-чек) была разблокирована ранее такая возможность (лимит установлен не нулевой) и с телефона можно считать 3D-secure код…
Государственный банк на мой взгляд как бы обязан иметь безопасность такого же уровня.
Что бы сбросить пароль у Tinkoff достаточно знать номер карты клиента и номер привязанного телефона.
Ага, поэтому в нормальных банках твердят что нельзя указывать кому бы то ни было свой полный номер карты.
Номер карты видит любой кассир и может запомнить, некоторые магазины раньше страдали тем, что печатали номер карты на чеке, как сейчас, не знаю. Если «банк» позволяет сбросить пароль, зная номер карты и номер телефона, это не банк, это анекдот.
Это пример, когда баланс между безопасностью и удобством сдвинули не в ту сторону.
Хотя у ТКС нет особого выбора с одним офисом на всю страну, они не могут посылать клиента в отделение с паспортом для получения логина к ЛК, как делает Альфа.
Хотя у ТКС нет особого выбора с одним офисом на всю страну, они не могут посылать клиента в отделение с паспортом для получения логина к ЛК, как делает Альфа.
Человека можно обязать позвонить по телефону в банк и спросить у него данные, которые трудно получить злоумышленнику, хоть набившее оскомину секретное слово.
Конечно, на 100% это не защитит, но от пионера, который подсмотрел номер карты/подобрал чек и потом стрельнул телефончик у девушки, легко.
Конечно, на 100% это не защитит, но от пионера, который подсмотрел номер карты/подобрал чек и потом стрельнул телефончик у девушки, легко.
Ну они могли бы поступать как Яндекс, проверять людей через каких-то партнеров у которых есть отделения по всей стране (системы денежных переводов, кассы, службы доставки).
А что скажете про банк из Top 5, у которого в интернет-банке пароль:
a) должен быть цифровым
б) состоять из не более чем 6 (шести) символов
a) должен быть цифровым
б) состоять из не более чем 6 (шести) символов
НЛО прилетело и опубликовало эту надпись здесь
В онлайн-банках они совместно с паролем используются, что даёт двухфакторность.
Как мне кажется, общественность взбудоражил не сам факт взлома некоего приложения, а тот факт, что конкретный оператор сотовой связи по чьей-то прихоти (возможно, одного конкретного сотрудника, возможно, по просьбе извне) без уведомления отключил на длительное время службы SMS и мобильного интернета, а затем включил их обратно, что пришлось как раз на момент взлома. If it looks like a duck, swims like a duck and quacks like a duck, then it probably is a duck.
Ох уж эта общественность. Куча объявлений, где предлагают детализацию разговоров за деньги, вы думаете откуда они ее берут? от ФСБ? Такие же кроты внутри операторов, их СБ щучит, но они есть всегда. И это общественность не волнует… Сайтов не создают, обращения в прокуратуру не пишут.
Хотите анонимности и прайвита — купите десяток симкарт у метро, они все на ООО «Василек» и меняйте раз в 3 дня. Но если возьмутся органы, а не как эти пионЭры, то еще надо будет не бывать в одних и тех же местах.
Хотите анонимности и прайвита — купите десяток симкарт у метро, они все на ООО «Василек» и меняйте раз в 3 дня. Но если возьмутся органы, а не как эти пионЭры, то еще надо будет не бывать в одних и тех же местах.
Вот я тоже не понимаю этого шума ах взломали то, ах взломали это. При необходимости власть всегда сможет надавить на бизнес и вынудить компанию выполнить необходимые требования. Пустая болтовня большинства граждан власть не интересует, а если уж органы и власть заинтересовались, они всегда могут доставить человека в удобное им место для разговора.
Если же вы ведете какую-то противозаконную деятельность, то безопасность какого-то вацапа это вообще второстепенный ворос.Вся эта шумиха о безопасности и приватности не более, чем страх своих комплексов.
Если же вы ведете какую-то противозаконную деятельность, то безопасность какого-то вацапа это вообще второстепенный ворос.Вся эта шумиха о безопасности и приватности не более, чем страх своих комплексов.
Мне когда-то пришлось восстанавливать потерянную сим карту в Украине (lifecell). Меня спросили дату одного из последних пополнений счета и 3 номера, на которые я часто звонил. Не так уж и сложно увести чей-то номер телефона (пополняешь человеку счет и узнаешь с кем общается). Следует отметить, что это не сработает, если у вас контракт.
Вероятно вы правы, что не нужно быть спецслужбой. Но в упомянутом вами случае МТС отключил доставку СМС абонентам.
Так что ерничание в духе «все непонятные вещи объясняют происками спецслужб» абсолютно неуместно. Или вы знаете другую организацию, которая может заставить МТС совершить подобную операцию, а потом ещё заставить представителей компании врать?
Пруф с печатью самого МТС
Так что ерничание в духе «все непонятные вещи объясняют происками спецслужб» абсолютно неуместно. Или вы знаете другую организацию, которая может заставить МТС совершить подобную операцию, а потом ещё заставить представителей компании врать?
Странно, то что по описанному варианту это получается проще. Да и врать потом не надо будет.
Все ошибаются.
Кстати, интересно было бы, если бы ptsecurity описал бы необходимые условия для осуществления атаки. Если я правильно понимаю, нужно как-то подключиться к сети или собрать специальный девайс, который нужно ещё физически привезти близко к абоненту, это отдельная спецоперация. Вероятно, проще прийти к оператору и попросить отключить на пять минут.
Никто же не ожидал того, что это заметят. Но, очевидно, подготовились очень плохо. Благодаря этому мы теперь знаем. Ну и заодно нам напомнили, насколько ненадежен канал SMS.
Кстати, интересно было бы, если бы ptsecurity описал бы необходимые условия для осуществления атаки. Если я правильно понимаю, нужно как-то подключиться к сети или собрать специальный девайс, который нужно ещё физически привезти близко к абоненту, это отдельная спецоперация. Вероятно, проще прийти к оператору и попросить отключить на пять минут.
Никто же не ожидал того, что это заметят. Но, очевидно, подготовились очень плохо. Благодаря этому мы теперь знаем. Ну и заодно нам напомнили, насколько ненадежен канал SMS.
Говорят, что и девайс не нужен, достаточно лишь подключения к пиратскому хабу.
blog.kaspersky.ru/hacking-cellular-networks/9862
blog.kaspersky.ru/hacking-cellular-networks/9862
Необходимо подключение к сети SS7, собрать девайс можно на коленке из ПО свободно распространяемого в интернете, к абоненту возить его не нужно, наоборот, можно находиться на другом конце земного шара.
Ну вот раскрыли махинацию МТС и что? Им что-то будет? Нет. Будет что-то спецслужбам? Нет. Зачем парится?
Эм… я не прав? Я действительно готов пересмотреть свою точку зрения, если укажите где ошибка в моей логике.
1. МТС торгуется на международной бирже. Сейчас хотят инициировать судебный процесс по поводу вот этого действия в юрисдикции неподвластной нашему правительству. Это может уронить акции и МТС и отвадить его от совершения подобного в будущем.
2. Скорее всего минусуют за «тся».
2. Скорее всего минусуют за «тся».
А разве МТС может отказать в предоставлении данных при каком-либо расследовании? Если есть бумага свыше?
PS: про тся я заметил при нажатии на кнопку «отправить», но кнопки редактирования нет, к сожалению.
PS: про тся я заметил при нажатии на кнопку «отправить», но кнопки редактирования нет, к сожалению.
Предоставлять данные — нет. Насчёт отключения услуг — может быть прописано в договоре что может, но цена акций строится больше из общественного мнения, презентаций и инсайдов. Щёлкнуть тигра по носу — старая народная забава. Особенно если щёлкают другие, а ты сидишь с попкорном.
Думаю, что про «тся» — это была шутка. А минусуют Вас за сам посыл — мол, вот вы фигнёй страдаете, вместо того, чтобы делом заниматься. Наверное Вы не в курсе, что людям нравятся подобные детективы. Они с удовольствием их читают и не считают, что люди, исследовавшие дыру и опубликовавшие информацию о ней, потратили время впустую. Короче, не согласны с Вами. Вот и минусуют.
Если вам не хочется «париться», то зачем вы это читаете?
Я тут, не из за МТС, у меня другие оператор и страна, но мне интересно знать о подобных махинациях, а также интересны подробности выполнения подобных атак.
Лично я тут потому что:
1. в целом интересуют безопасностью, 0-day и т.д.
2. хочу знать о уязвимостях в софте, протоколах и вообще всём с чем я работаю или имею в использовании
3. хочу знать о подобных прецедентах, сделали в одной стране/компании, сделают и в другой
Я тут, не из за МТС, у меня другие оператор и страна, но мне интересно знать о подобных махинациях, а также интересны подробности выполнения подобных атак.
Лично я тут потому что:
1. в целом интересуют безопасностью, 0-day и т.д.
2. хочу знать о уязвимостях в софте, протоколах и вообще всём с чем я работаю или имею в использовании
3. хочу знать о подобных прецедентах, сделали в одной стране/компании, сделают и в другой
Где вы в моих словах увидели хоть какой-то намек на то что статья не нужна?! Статья интересная и нужная, и я лишь указал на то, что спецслужбы будут думать о репутации оператора в последнюю очередь. Их совершенно не волнует обвалившиеся акции или мнение людей, у них есть задание. Любые официальные претензии к оператору будут перенаправлены в сторону спецслужб. Любые претензии к спецслужбам, скорее всего, будут замяты. Никакой претензии к статье у меня нет, я ответил на комментарий.
Вам вводная:
— У МТС, Мегафона, Йопты и т.д. стоит СОРМ, который собирает все СМС.
— Блокировка приема СМС — это один бит в профиле абона на HLR(HSS) и не надо никакие услуги подключать\отключать, ни в одном счете этого никогда не будет. Есть ли на него доступ у органов — предположите сами.
Вот имея такую вводную, ответьте — зачем ФСБ отключать услуги через биллинг?
Поэтому да, ерничание в духе «все непонятные вещи объясняют происками спецслужб» абсолютно уместно.
Произошедшее объясняется ИМХО проще — эти олени имели доступ к сетям оператора на более высоком уровне — СРМ или Удаленный дилер, возможно к межсистемной шине. Народа с этим доступом тысячи 3-4 человек. Никому не охота признаваться, что твоя система безопасности пропустила крота.
— У МТС, Мегафона, Йопты и т.д. стоит СОРМ, который собирает все СМС.
— Блокировка приема СМС — это один бит в профиле абона на HLR(HSS) и не надо никакие услуги подключать\отключать, ни в одном счете этого никогда не будет. Есть ли на него доступ у органов — предположите сами.
Вот имея такую вводную, ответьте — зачем ФСБ отключать услуги через биллинг?
Поэтому да, ерничание в духе «все непонятные вещи объясняют происками спецслужб» абсолютно уместно.
Произошедшее объясняется ИМХО проще — эти олени имели доступ к сетям оператора на более высоком уровне — СРМ или Удаленный дилер, возможно к межсистемной шине. Народа с этим доступом тысячи 3-4 человек. Никому не охота признаваться, что твоя система безопасности пропустила крота.
Что касается вводной, операции планируют люди. Возможно это была такая проходящая история, которую получили лояльному хакеру на аутсорсинге. Он сказал, «сделаю, но отключите смс».
Дальше звонок в МТС, возможно какое-то недопонимание. Не стоит идеализировать спецслужбы, там не полубоги какие-то работают.
Что касается «не охота признаваться», с какого-то момента ясно, что с точки зрения имиджа лучше рассказать правду, если это был взлом. Да, нас взломали. Внутреннее расследование, независимый аудит, уголовное дело, предоставим всю необходимую информацию суду и пострадавшим, ущерб компенсируем, мы улучшили систему, ввели дополнительную аутентификацию и вообще молодцы.
За исключением ситуации, когда компания просто по закону не имеет права сообщить правду.
Дальше звонок в МТС, возможно какое-то недопонимание. Не стоит идеализировать спецслужбы, там не полубоги какие-то работают.
Что касается «не охота признаваться», с какого-то момента ясно, что с точки зрения имиджа лучше рассказать правду, если это был взлом. Да, нас взломали. Внутреннее расследование, независимый аудит, уголовное дело, предоставим всю необходимую информацию суду и пострадавшим, ущерб компенсируем, мы улучшили систему, ввели дополнительную аутентификацию и вообще молодцы.
За исключением ситуации, когда компания просто по закону не имеет права сообщить правду.
с точки зрения имиджа лучше рассказать правдуКак показывает практика, с точки зрения имиджа тут надо просто молчать и в лучшем случае идти в органы и суд. У нас люди очень быстро все забывают, если не напоминать.
Не стоит идеализировать спецслужбы, там не полубоги какие-то работают.вы думаете что откл услуг — это для них такая редкая, единичная операция?
Источник не очень достоверный, я вам таких 100 напечатаю)
НЛО прилетело и опубликовало эту надпись здесь
Каким образом мониторите GSM запросы в wireshark? Какая аппаратная часть?
Скорей всего HackRF.
Но мне тоже интересно, с какой железки брали данные.
Но мне тоже интересно, с какой железки брали данные.
Полковник Иван Петрович то же интересуется.
Мне кажется они не с радио слушали а с A-интерфейса, так как в скринах видим что MAP протокол слушают, а он от коры до контроллера. То есть, конечно, спецслужбы-то не нужны для того чтоб конкретного юзера смс-ки посмотреть, но неавторизованный доступ извне в операторский IPBB или что там у них, был бы серьезным про… махом со стороны оператора, а ежели авторизованный — то это сотрудник, а надо ли оно сотруднику, в наше нелёгкое время — вопрос.
НЛО прилетело и опубликовало эту надпись здесь
Да действительно, всего-то нужно иметь доступ в SS7 сеть и быть мобильным оператором.
формально — да. но вот вопрос, является ли, ну например, ptsecurity лицензированным мобильным оператором?
Ок. Вы подключились к SS7. Клиент у которого вы угнали Telegram обращается с официальной жалобой к оператору. Сколько времени понадобиться оператору, чтобы понять что и как произошло и кого за это притягивать по уголовке?
ключевой вопрос — как вы подключились к SS7?
То есть статья не полна: нужно к ней ещё писать дополнение: как подключиться по SS7 и чтоб тебя не поймали ни разу.
И всё тогда становится более интересно и гораздо менее очевидно. И менее соответствует пафосу статьи: «смотрите, можно же просто без отключения SMS...»
И всё тогда становится более интересно и гораздо менее очевидно. И менее соответствует пафосу статьи: «смотрите, можно же просто без отключения SMS...»
Вы сами с собой сейчас общаетесь?
Ну конечно. Давайте еще в открытом доступе выложим инструкции, как выращивать грибы и делать оружие.
Никто не станет рассказывать таких подробностей из соображений здравого смысла.
Никто не станет рассказывать таких подробностей из соображений здравого смысла.
Понимаю, конечно. Я это к «смотрите, можно же просто без отключения SMS...». Выясняется, что не так уж просто.
Кстати, сомневаюсь, что могут существовать какие-то универсальные инструкции, все будет очень индивидуально не только для конкретного оператора, но даже и внутри его сети тоже. Строго говоря, если абонент, СМС которого злодей хочет перехватить, зарегистрирован в GSM сети — это одно, если в 3G — другое, в LTE — уже совсем иной подход нужен. И есть еще такой ньюанс — допустим, некий злодей извне получил доступ к сети оператора, но к какой? Грубо, как минимум для всех нод в мобильных сетях существуют две сетки — это O&M (управление) и собственно жирный транспорт для пользовательского трафика плюс сигнализация. Так вот, имея доступ к O&M, сниффить пользовательский трафик нетривиальная задача, скажем, в данном примере мы ищем СМС в A-interface, то есть у нас есть BSC к примеру, ок, зашли на него — и все, через O&M просто так не получить пакетов из A, A-bis etc. Тут все будет очень vendor specific, да к тому же есть очень вероятная возможность наследить (вплоть до рестарта ноды) если неаккуратно действовать. Конечно, если есть возможность физически подключиться к отзеркалированному порту какого-нибудь пакетного коммутатора (через который интересующий нас интерфейс проходит), то дело нехитрое, но ведь это уже совсем другая история…
Вы можете поставить фемтосоту, подхачить немного ее, подключиться с нее к оператору. У вас появится доступ к сети SS7
НЛО прилетело и опубликовало эту надпись здесь
Далеко не каждый, сможет самостоятельно реализовать такое решение. Да и между данными, которые совершенно не требуют особых мер безопасности при передаче и сверхкритичными, про которые вы написали, существуют и промежуточные, когда защита требуется, а реализация отдельного решения — нерентабельна.
НЛО прилетело и опубликовало эту надпись здесь
Вам не кажется, что далеко не все — программисты, а написать не дырявый продукт могут далеко не 99% из них?
НЛО прилетело и опубликовало эту надпись здесь
Вы машину самостоятельно чините? Если в сервис отдаете, проверяете ли потом ее на предмет неоговоренных модификаций?
«Можно конечно кричать «аяяяй, я ничего не умею», но тогда и результат будет немного предсказуем.», установят вам какую-нибудь закладку незаметно, которая тормоза в один прекрасный момент отключит.
«Можно конечно кричать «аяяяй, я ничего не умею», но тогда и результат будет немного предсказуем.», установят вам какую-нибудь закладку незаметно, которая тормоза в один прекрасный момент отключит.
Проблема в том, что даже профессиональные разработчики редко выпускают безупречно безопасный продукт, везде находят дыры.
При отсутствии опыта разработки таких приложений вероятность сделать какую-нибудь глупость, используя OpenSSL напрямую, значительно выше.
А потом такие велосипеды взламывают за день (а то и быстрее) те, кто этим занимается каждый день.
Поэтому обычно надёжнее использовать проверенные решения, в которых многие проблемы безопасности уже исправлены.
При отсутствии опыта разработки таких приложений вероятность сделать какую-нибудь глупость, используя OpenSSL напрямую, значительно выше.
А потом такие велосипеды взламывают за день (а то и быстрее) те, кто этим занимается каждый день.
Поэтому обычно надёжнее использовать проверенные решения, в которых многие проблемы безопасности уже исправлены.
Эти все «end-to-end» шифрования всего лишь дают ложное чувство безопасности, и всё. Пока нет открытого кода, пока не было публичного аудита безопасности, всё это шифрование = буллшит.
Хотя, справедливости ради, у Telegram было и то, и другое. Тут надо обращать внимание на то, можно ли поставить свой сервер (вместе с авторизацией на нём). В этом плане лучшие — tox и jabber.
Хотя, справедливости ради, у Telegram было и то, и другое. Тут надо обращать внимание на то, можно ли поставить свой сервер (вместе с авторизацией на нём). В этом плане лучшие — tox и jabber.
Как открытый исходный код и аудит безопасности помог бы от указанной в статье атаки?
Возможно, программы были бы безопаснее, если бы не использовали СМС.
Но тогда бы они не были бы такими популярными и в статье упоминался бы не Telegram, а OtherBrandName.
Проблема в том, что настоящая безопасность, очень дорогая, непонятная и неудобная для обывателя.
Многие ли оппозиционеры прочитают данную статью? Вряд ли, ведь они не являются специалистами по безопасности или айтишниками. Они не знают, что можно кого-то нанять, кто настроит им собственный защищённый сервер. И даже если знают, то клиентские программы ещё нужно настроить. Представьте, что агент Freedom связывается с агентом Solomon и говорит: «установите себе программу Х, подключитесь к серверу Y и войдите с логином Z». А агент Solomon отвечает: «Нет Алексей, это вы установите себе программу Х', подключитесь к серверу Y' и войдите с логином Z' ». Слишком много сложностей.
Зато про Дурова знают всё. Тем более, что он выступает против российской власти, значит свой. А Telegram популярный и проверенный миллионами пользователей, значит не исчезнет в одночасье, а самое главное в нём есть все нужные люди.
Я даже не уверен, что оппозиционеры в курсе, что Дуров объявлял награду за удачную попытку взлома Telegram. Более того, пострадавшие даже не знали, что можно было включить двухфакторную аутентификацию в Telegram.
Возможно, программы были бы безопаснее, если бы не использовали СМС.
Но тогда бы они не были бы такими популярными и в статье упоминался бы не Telegram, а OtherBrandName.
Проблема в том, что настоящая безопасность, очень дорогая, непонятная и неудобная для обывателя.
Многие ли оппозиционеры прочитают данную статью? Вряд ли, ведь они не являются специалистами по безопасности или айтишниками. Они не знают, что можно кого-то нанять, кто настроит им собственный защищённый сервер. И даже если знают, то клиентские программы ещё нужно настроить. Представьте, что агент Freedom связывается с агентом Solomon и говорит: «установите себе программу Х, подключитесь к серверу Y и войдите с логином Z». А агент Solomon отвечает: «Нет Алексей, это вы установите себе программу Х', подключитесь к серверу Y' и войдите с логином Z' ». Слишком много сложностей.
Зато про Дурова знают всё. Тем более, что он выступает против российской власти, значит свой. А Telegram популярный и проверенный миллионами пользователей, значит не исчезнет в одночасье, а самое главное в нём есть все нужные люди.
Я даже не уверен, что оппозиционеры в курсе, что Дуров объявлял награду за удачную попытку взлома Telegram. Более того, пострадавшие даже не знали, что можно было включить двухфакторную аутентификацию в Telegram.
Все эти ваши алгоритмы ассиметричного шифрования — маркетинговый буллшит, пока не доказано P != NP все ваши RSA, elliptic-curves, etc — буллшит. [/sarcasm]
Скорее открытый код дает ложное чувство безопасности.
У Telegram _не было_ публичного аудита безопасности. Была лишь премия за взлом на невнятных, по мнению множества комментаторов, условиях.
Информацию брал из EFF Secure Messaging Scorecard. Напритив Telegram в колонке про аудит стоит галочка.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Зачем тогда Apple зарубились в ФБР по поводу раскрытия данных, а Facebook с правительством Бразилии? Эти рынки точно не уступают российскому. Вполне возможно, что Google/Apple просто не хотят ложиться под правительство. Учитывая размеры этих компаний, в это не сложно поверить.
>Вы знали например, что на айфонах могут скапливаться болезнетворные микробы?
Во-первых, не только болезнетворные, но и полезные. Во-вторых, что более интересно — микробное сообщество на ваших пальцах / клавишах идентифицирует вашу личность не хуже, чем отпечаток пальца. А может даже и лучше: отпечатки можно подделать куском мармелада, а вот персональный набор кожных микробов подделать практически невозможно.
Но Онищенко об этом пока не знает. Да и мы не будем пока палить тему. Об этом все начнут писать в 2019-м году, ну тогда и мы напишем. А пока тссссс.
Во-первых, не только болезнетворные, но и полезные. Во-вторых, что более интересно — микробное сообщество на ваших пальцах / клавишах идентифицирует вашу личность не хуже, чем отпечаток пальца. А может даже и лучше: отпечатки можно подделать куском мармелада, а вот персональный набор кожных микробов подделать практически невозможно.
Но Онищенко об этом пока не знает. Да и мы не будем пока палить тему. Об этом все начнут писать в 2019-м году, ну тогда и мы напишем. А пока тссссс.
Мише и Пете нужна «безопасная коммуникация». Миша делает свой «безопасный» мессенджер, Петя свой. Чьим они пользуются?
НЛО прилетело и опубликовало эту надпись здесь
Всем привет. Как один из взломанных, хочу сказать следующее:
Во-первых, почитайте наш сайтик http://mts-slil.info/ и посмотрите там документы/скриншоты/аудио. В них всё-всё-всё.
Во-вторых, описанный метод совершенно не наш. Одновременно были взломаны 3 телефона, которые находились в разных частях Москвы. Я так понимаю, для этой атаки надо быть в непосредственной близости к телефону (ну или глушить его). Если не прав — поправьте. И самое главное, при такой атаке МТС не стал бы затирать логи (раньше техподдержка видела отключение услуг, а теперь нет) и публично адски врать.
Во-первых, почитайте наш сайтик http://mts-slil.info/ и посмотрите там документы/скриншоты/аудио. В них всё-всё-всё.
Во-вторых, описанный метод совершенно не наш. Одновременно были взломаны 3 телефона, которые находились в разных частях Москвы. Я так понимаю, для этой атаки надо быть в непосредственной близости к телефону (ну или глушить его). Если не прав — поправьте. И самое главное, при такой атаке МТС не стал бы затирать логи (раньше техподдержка видела отключение услуг, а теперь нет) и публично адски врать.
Никто ж не против что вас взломали способом как описано у вас. Автор немного громко выразился, а на самом деле показал еще один вариант взлома через SMS
Автор Выразился таким образом, что между строк сквозит недоверие к самому механизму взлома Албурова и Козловского, это тянет за собой дальнейшие выводы о том, а так ли вообще был взломан телеграмм или как-то иначе? Читается этот скепсис в первых строчках статьи
Цитата: «На протяжении своего существования человечество пыталось объяснить всё необъяснимое с помощью высших сил – Богов. В наше время все непонятные вещи объясняют происками спецслужб»
И автор статьи прав, и Козловский, Албуров тоже, но по факту получается безобразие ))
Цитата: «На протяжении своего существования человечество пыталось объяснить всё необъяснимое с помощью высших сил – Богов. В наше время все непонятные вещи объясняют происками спецслужб»
И автор статьи прав, и Козловский, Албуров тоже, но по факту получается безобразие ))
А где взломанную переписку-то почитать?
Я до сих пор не увидел внятного объяснения, как и куда злоумышленники получили SMS с кодами, если сервис на номере был отключен, а сообщения имеют статус «недоставлено»? Получается, что хакеры должны были перехватить SMS на этапе доставки, то есть иметь доступ к инфраструктуре МТС. Я предположу, что взломали первым делом МТС, а молчат они, потому что это еще больший позор, чем сливать что-то спецслужбам.
Не думаю, что ради наших скромных персон стали бы взламывать МТС
СОРМ умеет читать SMS.
А госслужбы, как оперативно могут пользоваться тем, что аппаратура СОРМ записала?
Может быть там волынка с получением «ордера», потом время на доставание данных из сырого бэкапа… Как выглядит оперативная работа с этими данными?
Может быть там волынка с получением «ордера», потом время на доставание данных из сырого бэкапа… Как выглядит оперативная работа с этими данными?
В России сотрудник ФСБ или МВД должен только получить ордер, но показывать его оператору он не должен. Более того, оператору запрещено требовать этот ордер, так как у него нет допуска к гостайне. Соответственно, в России системы прослушки сделаны как дистанционные системы, когда сотрудник ФСБ сидит в своем кабинете у ПУ СОРМ (пункт управления СОРМ) и вбивает команды, которые дистанционно передаются в систему оператора, а тот об этом ничего не знает.
Тут подробно написано:
https://roem.ru/02-05-2016/223498/anyone-mts-but-me/
Еще предположите, что они на перфокарты пишут, потом фельдегерем шлют :).
Кто знает как чего там устроено, тут не напишет.
Кто знает как чего там устроено, тут не напишет.
Проще было бы заглушить сотовую связь в районе расположения жертв, сославшись на сбой, и получить смс тихо и без следов. Я б так сделал.
В нашем тесте мы получали SMS в Wireshark, при этом, для того чтобы сообщение считалось доставленным мы должны были отправить подтверждение о получении, мы такого не отправляли, поэтому на скриншоте видно второе сообщение с тем же SMS (сеть пытается доставить его посылая снова и снова, до тех пор пока не получит подтверждение). Мы могли отправить подтверждение, что сообщение получено, тогда реальный абонент никогда его не увидит, а могли оставить так как есть, тогда абонент получит это SMS через некоторое время когда у него пройдет периодический Location Uppdate.
Про ваш метод более-менее ясно. Я про другой спросил.
У меня одно не вяжется. Есть (со слов пострадавших) ответ контент-агрегатора, о том, что злополучная СМС не была доставлена, и именно по причине отключенного сервиса, а не по тайм-ауту умерла. Я был уверен, что в начале проверяется доступность сервиса, а потом пойдет тело мессаги.
для этой атаки надо быть в непосредственной близости к телефону (ну или глушить его). Если не прав — поправьте.
Вы не правы, поправляю. Описанная выше в статье атака делается из любой точки мира, хоть из Вашингтона, хоть из Зимбабве, надо только иметь доступ к сигнальной сети (SS7 в статье ) — а это любой GSM оператор.
Я выше описал как бы услугу отключали спецы, у вас явно какие то пионЭры работали. Думайте кому еще кроме ФСБ нужны ваши переписки, возможно внутренние терки, возможно кто то просто хотел прославиться.
у вас явно какие то пионЭры работали.
ФСБ это не NSA, а судя по тому как делается всё остальное — они самые там и работают.
Вообще странно, что в SS7 нет никакого механизма авторизации, ведь роуминг работает только при договоре между операторами.
Смешивать интеллект тех кто работает в телекоме и «силовиков»… Получите 36,6 как по больнице.
Вообще странно, что в SS7 нет никакого механизма авторизациидобро пожаловать в новый дивный мир. Протоколу 35 лет, есть оборудование на сигнальной сети операторов против махинаций с сигнальным трафиком, но тут классика «щит-меч». Меняются алгоритмы, меняются сигнатуры обнаружения.
Протоколу 35 лет, есть оборудование на сигнальной сети операторов против махинаций с сигнальным трафиком, но тут классика «щит-меч». Меняются алгоритмы, меняются сигнатуры обнаружения.
Наверняка можно фильтровать запросы по ACL, но этого почему-то не делают.
Я выше описал как бы услугу отключали спецы, у вас явно какие то пионЭры работали.
Вы слишком хорошего мнения о спецах ФСБ. На деле там всё не так радужно с кадрами, а учитывая, что у их спецов полная безнаказаность, то зачем заморачиваться и заметать следы? Скажут в очередной раз «ихтамнет» (с) и всё. Ну или как с тем же полонием наследили по всей Европе, и что? Жертва сама нализалась полония, а спецу — депутатская неприкосновенность.
Для осуществления атаки нужен доступ к SS7 в любой точке мира, местонахождение абонентов не имеет никакого значения. Затирать логи можно по разным причинам. Подключать и отключать услуги можно через ту же SS7, например посредством USSD.
А какой USSD-код надо набрать, чтобы заставить сотрудника МТС сказать клиенту «Услугу коротких сообщений вам отключил наш отдел тех. безопасности»?
Да, еще есть ussd-код, который в офисе печатает документ с логом отключения услуг и ставит печать.
Извините, мы не отвечаем за отдел безопасности МТС. Цель статьи — показать возможность атаки без лишней «теории заговора».
Но кстати, если уж вы любите конспирологию, то должны понимать, что при недостатке информации можно всегда сочинить контр-теорию.
Например: отдел безопасности телекома мог отключить SMS именно для того, чтобы *предотвратить* развитие атаки. Мы ведь не знаем, когда и на каком уровне их ломанули, и сколько абонентов были атакованы. Возможно, что они обнаружили подозрительные транзакции и на всякий случай заблокировали ряд сервисов (но было уже поздно).
И это далеко не единственный возможный вариант. Но ещё раз: здесь статья об одном реальном варианте атаки. А не о всех гипотетических вариантах.
Но кстати, если уж вы любите конспирологию, то должны понимать, что при недостатке информации можно всегда сочинить контр-теорию.
Например: отдел безопасности телекома мог отключить SMS именно для того, чтобы *предотвратить* развитие атаки. Мы ведь не знаем, когда и на каком уровне их ломанули, и сколько абонентов были атакованы. Возможно, что они обнаружили подозрительные транзакции и на всякий случай заблокировали ряд сервисов (но было уже поздно).
И это далеко не единственный возможный вариант. Но ещё раз: здесь статья об одном реальном варианте атаки. А не о всех гипотетических вариантах.
Плюс, описанная вами атака вроде как позволяет взломать абонента любого оператора? Почему же это произошло только с абонентами МТС (Албуров, Козловский, Ярмыш, Кац)? У злоумышленников какой-то фетиш на МТС?
>Почему же это произошло только
А почему вы решили, что «только»? Атаки, о которых сразу же становится известно и жертве, и прессе — это лишь небольшая часть успешных атак. Согласно исследованию FireEye (M-Trends 2015) сейчас среднее время нахождения хакера во взломанной сети до обнаружения составляет более 200 дней. Так что советуем подождать — может быть, всплывёт и более интересная переписка.
А почему вы решили, что «только»? Атаки, о которых сразу же становится известно и жертве, и прессе — это лишь небольшая часть успешных атак. Согласно исследованию FireEye (M-Trends 2015) сейчас среднее время нахождения хакера во взломанной сети до обнаружения составляет более 200 дней. Так что советуем подождать — может быть, всплывёт и более интересная переписка.
alburov, вы уже включили двухфакторную авторизацию?
Вы уже начали пользоваться секретными чатами?
Вы уже начали пользоваться секретными чатами?
Кстати, десктопный клиент Telegram, если мне не изменяет память, до сих пор не умеет секретные чаты, что делает их довольно бессмысленными, если среди устройств есть десктоп.
И вот этот момент очень не вписывается в картину «Telegram — безопасный мессенджер».
И вот этот момент очень не вписывается в картину «Telegram — безопасный мессенджер».
При этом, плагин к Pidgin поддерживает секретные чаты.
НЛО прилетело и опубликовало эту надпись здесь
Дайте угадаю, вы говорите не про «дефолтный» десктопный клиент Telegram Desktop, который продвигается через сайт Telegram, а через «сторонний» клиент Cutegram?
Или быть может, тикет в репозитории — бред и я просто не нашёл где создать секретный чат и по случайности не вижу секретные чаты?
Или быть может, тикет в репозитории — бред и я просто не нашёл где создать секретный чат и по случайности не вижу секретные чаты?
в десктопной версии нет секретного чата — только обычные.
НЛО прилетело и опубликовало эту надпись здесь
Внебрачные скриншоты моего Telegram Desktop 0.9.48 из пакета net-im/telegram-desktop-bin из оверлея jorgicio в Gentoo Linux
Очевидно, вы пользуетесь не кроссплатформенной версией Telegram Desktop, а специальной версией под Mac OS X, которая является совсем другим проектом. Можно порадоваться за пользователей Mac OS X, но это не меняет ситуации с основным клиентом.
до этого пользовался официальным линуксовым клиентом, и там тоже секретный чат присутствовал
Вы всё ещё можете показать скриншоты Telegram Desktop для Windows/Linux с секретными чатами. Я же ещё раз оставлю эту ссылку здесь.
НЛО прилетело и опубликовало эту надпись здесь
Возможно, у вас был Cutegram. Либо начали общение вы в секретном чате с телефона, но потом с компьютера продолжили уже в обычном, т.к. секретные чаты не отображаются (и не отображались на моей памяти) в Telegram Desktop.
UPD: К слову, речь не в «выходе при желании». Телеграм заявляют как очень безопасный мессенджер. Но то самое, предлагаемое по умолчанию большинству пользователей решение не является настолько безопасным, насколько сказано в этих заявлениях. Понятно, что гики всегда что-нибудь придумают. В конце концов, могут даже OTR прикрутить в качестве костыля. Но это не отменяет того, что подавляющее большинство end-user'ов не защищено ничем, кроме обычного TLS на транспортном уровне.
UPD: К слову, речь не в «выходе при желании». Телеграм заявляют как очень безопасный мессенджер. Но то самое, предлагаемое по умолчанию большинству пользователей решение не является настолько безопасным, насколько сказано в этих заявлениях. Понятно, что гики всегда что-нибудь придумают. В конце концов, могут даже OTR прикрутить в качестве костыля. Но это не отменяет того, что подавляющее большинство end-user'ов не защищено ничем, кроме обычного TLS на транспортном уровне.
Пожалуй, всё-таки вступлюсь за МТС: если их «склонили к сотрудничеству» о обязали молчать — они будут молчать, какие бы сайты не создавались и сколько бы абонентов от них не уходило. Более того, в этой ситуации находятся вообще все Российские операторы.
В упомянутом документе с описаниями сценариев было сказано, что для осуществления всех этих атак нужна одна малость — подключение к сети оператора. Причем не такое, какое можно получить легально (будучи, к примеру, контент-провайдером). Оно прямо у вас было на этом тесте? Если да, то получено легально, по договоренности с оператором? В моем понимании это основополагающий момент для всей публикации.
От этого можно защититься, если проверять IMSI и MSC/VLR по белому списку перед отправкой?
После прочтения Вашей статьи вот эта новость life.ru/406279 заиграла новыми красками, хотя она (новость) и выглядит как фейк.
Опять кто-то кого-то «изнасиловал»:
"""
При этом собственно электронную подпись россиянину теперь будут выдавать при личной явке после получения от него ответа на запрос по номеру мобильного, указанного гражданином.
"""
Как выглядит «электронная подпись», которую можно выдать?!!!
"""
При этом собственно электронную подпись россиянину теперь будут выдавать при личной явке после получения от него ответа на запрос по номеру мобильного, указанного гражданином.
"""
Как выглядит «электронная подпись», которую можно выдать?!!!
Она на носителе, УЭК.
Там не про УЭК и не про средства ЭЦП на токене.
Вы статью читали? Она небольшая:
«Сегодня для получения многих госуслуг, связанных с денежными операциями или персональными данными, россиянину требуется электронная подпись. Минкомсвязи предложило добавить в постановление правительства „Об использовании простой электронной подписи при оказании государственных и муниципальных услуг“ (№ 33 от 25 января 2013 г.) новые подпункты. При использовании сотовой связи подтверждением волеизъявления россиянина на использование простой электронной подписи для получения государственной или муниципальной услуги или передачи её результата третьим лицам смогут служить его ответы на запросы сайта госуслуг. Для этого будет использоваться номер мобильного телефона, который сам россиянин ввёл в своём личном кабинете на сайте госуслуг.»
Речь об использовании моб. связи в качестве простой ЭП. И в конце, да, после того как услугу уже оказали по этой простой ЭП, «настоящую ЭП» выдадут уже лично.
Вы статью читали? Она небольшая:
«Сегодня для получения многих госуслуг, связанных с денежными операциями или персональными данными, россиянину требуется электронная подпись. Минкомсвязи предложило добавить в постановление правительства „Об использовании простой электронной подписи при оказании государственных и муниципальных услуг“ (№ 33 от 25 января 2013 г.) новые подпункты. При использовании сотовой связи подтверждением волеизъявления россиянина на использование простой электронной подписи для получения государственной или муниципальной услуги или передачи её результата третьим лицам смогут служить его ответы на запросы сайта госуслуг. Для этого будет использоваться номер мобильного телефона, который сам россиянин ввёл в своём личном кабинете на сайте госуслуг.»
Речь об использовании моб. связи в качестве простой ЭП. И в конце, да, после того как услугу уже оказали по этой простой ЭП, «настоящую ЭП» выдадут уже лично.
Ну вопрос не про статью был (:
>Как выглядит «электронная подпись», которую можно выдать?!!!
Я и написал про УЭК.
Если исходить из статьи, то мне кажется что «простая электронная подпись в виде СМС» появится после прохождения семи кругов ада с получением УЭКа. Либо мы все равно должны будем заверить свою личность в отделении каком-либо, для привязки номера.
>Как выглядит «электронная подпись», которую можно выдать?!!!
Я и написал про УЭК.
Если исходить из статьи, то мне кажется что «простая электронная подпись в виде СМС» появится после прохождения семи кругов ада с получением УЭКа. Либо мы все равно должны будем заверить свою личность в отделении каком-либо, для привязки номера.
Это все очень интересно, но никак не объясняет отключение сервиса смс для абонентов со стороны мтс.
НЛО прилетело и опубликовало эту надпись здесь
Можно подробнее про регистрацию в сети без симки, только зная MSISDN и IMSI? Пока не очень согласуется вот с этим, например: pro-gsm.info/gsm-auth.html
Подробнее есть здесь https://www.ptsecurity.ru/upload/ptcom/SS7_WP_A4.ENG.0036.01.DEC.28.2014.pdf
или на русском- http://www.ptsecurity.ru/download/PT_SS7_security_2014_rus.pdf
Если коротко, регистрации никакой нет, это воздействие на роутинг — мы просто сообщаем железкам оператора о том, что этот абонент теперь зарегистрировался у нас, и все служебные сообщения, предназначенные этому абоненту, адресуются нам.
или на русском- http://www.ptsecurity.ru/download/PT_SS7_security_2014_rus.pdf
Если коротко, регистрации никакой нет, это воздействие на роутинг — мы просто сообщаем железкам оператора о том, что этот абонент теперь зарегистрировался у нас, и все служебные сообщения, предназначенные этому абоненту, адресуются нам.
del
Так «регистрации никакой нет» или «сообщаем, что этот абонент теперь зарегистрировался у нас»?
Я не силен в МАР и допускаю, что у него нет стейт-машины, и в HLR без предварительной аутентификации абонента в гостевой сети может прийти updateLocation «оппа, я уже в Намибии, шлите все сюда» (кстати, не вижу ответа на updateLocation среди скриншотов). Тогда что будет, если в промежутке между ложным updateLocation и входящим SMS придет настоящий updateLocation?
Я не силен в МАР и допускаю, что у него нет стейт-машины, и в HLR без предварительной аутентификации абонента в гостевой сети может прийти updateLocation «оппа, я уже в Намибии, шлите все сюда» (кстати, не вижу ответа на updateLocation среди скриншотов). Тогда что будет, если в промежутке между ложным updateLocation и входящим SMS придет настоящий updateLocation?
— сообщаем, что этот абонент теперь зарегистрировался у нас» -именно;
— «оппа, я уже в Намибии, шлите все сюда» -именно так;
— «кстати, не вижу ответа на updateLocation среди скриншотов» -пакет номер 8;
— «если в промежутке между ложным updateLocation и входящим SMS придет настоящий updateLocation?» — периодические updateLocation происходят раз в 6 часов, чтобы совершить атаку нужно несколько десятков секунд. Есть еще вариант что абонент переместится и сменит LAC, но это происходит тоже достаточно редко, на всю Москву десяток LAC. Но если вдруг допустить такое событие, то просто нужно будет отправить еще один updateLocation.
— «оппа, я уже в Намибии, шлите все сюда» -именно так;
— «кстати, не вижу ответа на updateLocation среди скриншотов» -пакет номер 8;
— «если в промежутке между ложным updateLocation и входящим SMS придет настоящий updateLocation?» — периодические updateLocation происходят раз в 6 часов, чтобы совершить атаку нужно несколько десятков секунд. Есть еще вариант что абонент переместится и сменит LAC, но это происходит тоже достаточно редко, на всю Москву десяток LAC. Но если вдруг допустить такое событие, то просто нужно будет отправить еще один updateLocation.
В клиенте Телеграма на мобиле есть пункт в настройках — «Активные сессии» — штука хорошая, показывает все мои используемые клиенты и браузеры на других компах. Допустим меня взломали методом в статье, то я увижу активную сессию злоумышленника? А там и IP указан, что при невнимательном подходе с той стороны у них могут сразу возникнуть проблемы.
А можно перевод pdf документа?
Можно :) Вот он
Скажите, а перед взломом вы закрыли сессию на первом устройстве? Ведь Телеграм не присылает смс на номер, а пишет сообщение с кодом в самом чате от своего бота, если хотя бы на одном устройстве есть активная сессия пользователя. Как можно в реальности применить этот способ без прямого доступа к устройству жертвы, чтобы разлогиниться на его устройстве? Если я не прав, поправьте, пожалуйста.
Выбор куда отправлять код появляется только при запущенном приложении на одном из устройств. В iOS процесс закрывается через какое-то время после сворачивания.
Вырубить устройству передачу данных, вот и не будет активной сессии.
Да, Telegram присылает код на девайс с открытой сессией, но при попытке авторизации на другом устройстве можно нажать «не получил код», и тогда он придет в виде SMS. Кроме того, после перерегистрации абонент теряет доступ к GPRS/3G/LTE, и если у него нет подключения к WiFi в текущий момент, то и активной сессии тоже нет. Мы не закрывали сессию специально, доступа к аппарату жертвы не нужно.
Красивая теория, но выглядит она мягко говоря сомнительно, если учесть что взломанные «товарищи» взяли официальную бумагу — биллинг из которой следует что сервис СМС сообщений отключался технической поддержкой МТС именно в момент осуществления взлома.
Извините, но я верю бумагам с печатью, а не каким то красивым теориям перехвата СМС сообщений хакерами.
Извините, но я верю бумагам с печатью, а не каким то красивым теориям перехвата СМС сообщений хакерами.
Корреляция двух событий не означает, что первое событие стало причиной второго. Это даже в средней школе объясняют.
А нужна ли корреляция в данном случае?
Тому, кто верит бумагам с печатью — наверное, не нужна.
Хотя до сих пор непонятно, почему из этой бумаги следует такое уверенное «участие спецслужб». Отключить абоненту SMS можно по разным причинам. Например, чтобы остановить уже идущую атаку. Представьте, что система безопасности оператора фиксирует массовую утечку, а затем — массовую рассылку SMS с запросами на авторизацию. Вы бы что сделали в этом случае? Подождали бы до завтра, пока у всех ваших абонентов уведут аккаунты?
Хотя до сих пор непонятно, почему из этой бумаги следует такое уверенное «участие спецслужб». Отключить абоненту SMS можно по разным причинам. Например, чтобы остановить уже идущую атаку. Представьте, что система безопасности оператора фиксирует массовую утечку, а затем — массовую рассылку SMS с запросами на авторизацию. Вы бы что сделали в этом случае? Подождали бы до завтра, пока у всех ваших абонентов уведут аккаунты?
Вот мне интересно, а как простой смертный может подключиться к сети SS7 и снифать в нем трафик? Без подколов, я не понимаю.
А вот сервис — https://smsc.ru/testhlr/ — который по номеру телефона выдаёт IMSI и статус абонента в сети.
И сейчас все эти атаки становятся доступны не только спецслужбам, но и многим другим.
Спецслужбы давно уже следят за тем, кем надо. В Думе прорабатывается законодательство о шифрованном трафике и шифровании, в соответствии с котороым, все мессенджеры должны будут предоставлять ключи (или по требованию). Эпл сумело нагнуть телеграмм, а государству, при желании, это сделать будет на много проще. Европа сумела нагнуть Гугль и Фейсбук, и кажется наше правительство сейчас пытаются нагнуть фейсбук, чтоб профили наших пользователей хранились на территории нашего государства. Так что, я не удивлюсь, если скоро в США появится новый Сноуден, перебежчик из РФ.
USSD-сообщения так же уязвимы? Альфа-банк давно использует отправку одноразовых кодов через USSD вместо SMS. Хотелось бы понять, насколько это безопаснее.
Если я верно понимаю, не безопаснее: habrahabr.ru/company/pt/blog/283052/#comment_8883362
НЛО прилетело и опубликовало эту надпись здесь
Кто-нибудь может подсказать механизм противодействия такой атаке
1. есть пожилой родственник с простым кнопочным телефоном без доступа в интернет
2. на этот телефон был подключен мобильный банк сбербанка для информировании о движении средств на карте
3. однажды при поступлении очередной смс с номера 900 (сбербанк) была обнаружена пропажа 5000руб (при сравнении с предыдущей смс)
4. при проверке истории операций в личном кабинете мобильного оператора (билайн) видно что в один из дней зафиксированы две исходящии смс bee900 — скорее всего это и был запрос на перевод денег, информации о снятии средств в этот день на телефон от номера 900 не приходило
От сбербанка получен стандартный ответ — «ваш телефон был заражен». Это для телефона Just5 CP10.
От полиции после заявления информации пока не поступало.
На что это больше похоже — на получение дубликата sim карты или на описанную в статье атаку через SS7?
Есть ли возможность предотвратить подобное в дальнейшем пока без ухода из сбербанка?
Мобильный банк сейчас отключен, но это лишает возможности получать смс о движении средств на карте.
1. есть пожилой родственник с простым кнопочным телефоном без доступа в интернет
2. на этот телефон был подключен мобильный банк сбербанка для информировании о движении средств на карте
3. однажды при поступлении очередной смс с номера 900 (сбербанк) была обнаружена пропажа 5000руб (при сравнении с предыдущей смс)
4. при проверке истории операций в личном кабинете мобильного оператора (билайн) видно что в один из дней зафиксированы две исходящии смс bee900 — скорее всего это и был запрос на перевод денег, информации о снятии средств в этот день на телефон от номера 900 не приходило
От сбербанка получен стандартный ответ — «ваш телефон был заражен». Это для телефона Just5 CP10.
От полиции после заявления информации пока не поступало.
На что это больше похоже — на получение дубликата sim карты или на описанную в статье атаку через SS7?
Есть ли возможность предотвратить подобное в дальнейшем пока без ухода из сбербанка?
Мобильный банк сейчас отключен, но это лишает возможности получать смс о движении средств на карте.
Отчёт от Сбера смотреть надо и баланс телефона. Ни на то, ни на это это не похоже. Возможно случайно СМС отправил и пополнил свой телефон. А вообще можно отключить возможность перевода денег по СМС.
В отчете сбера на время отправки этих смс указана информация о двух переводах по 2500р. Место перевода указан мобильный банк, Москва. Сам телефон находится в Челябинской области. В истории смс телефона никаких исходящих и входящих смс на это время нет. Баланс телефона не изменялся. Подписок никаких не было. Все остальные смс в истории остались
Дубликат симки, схема довольно старая и известная. Кажется даже на ГТ была статья где человек описывал свою схожую проблему.
Если дубликат, то исходная должна была протухнуть, а такого в комментарии нет.
Могли ли дубликат активировать на время отправки а затем отключить?
Билайн пока не желает предоставлять информацию содержании смс и был ли выдан дубликат.
Ждем ответа от полиции
Билайн пока не желает предоставлять информацию содержании смс и был ли выдан дубликат.
Ждем ответа от полиции
Без помощи технарей от опсоса — очень вряд ли.
Так а в банке не говорят на чей счёт переведено?
Так а в банке не говорят на чей счёт переведено?
Всплыла еще одна деталь
Симкарта оказалась оформлена на внучку
На ее симкарте (тоже билайн) за полгода до этого была подобная ситуация — вывели несколько тысяч, тоже без уведомления.
Но тогда ее в банке послали обвинив в запуске неизвестного вредоноса на ее андроид-смартфоне — она больше никому и не рассказывала.
Вообщем тогда ограничилось заявлением в сбербанк с тем же ответом про вирус и перевыпуском карты
После последнего случая с телефоном на котором маловероятно что-то запустить, склоняюсь к версии с дубликатом сим-карт.
Симкарта оказалась оформлена на внучку
На ее симкарте (тоже билайн) за полгода до этого была подобная ситуация — вывели несколько тысяч, тоже без уведомления.
Но тогда ее в банке послали обвинив в запуске неизвестного вредоноса на ее андроид-смартфоне — она больше никому и не рассказывала.
Вообщем тогда ограничилось заявлением в сбербанк с тем же ответом про вирус и перевыпуском карты
После последнего случая с телефоном на котором маловероятно что-то запустить, склоняюсь к версии с дубликатом сим-карт.
Ни на что из перечисленных.
1. При получении дубликата: а) оригинальная сим-карта будет заблокирована, б) сменится IMSI, с большой вероятностью банк отклонит управляющие СМС.
2. Цена атак с использованием SS7 все еще несколько выше.
1. При получении дубликата: а) оригинальная сим-карта будет заблокирована, б) сменится IMSI, с большой вероятностью банк отклонит управляющие СМС.
2. Цена атак с использованием SS7 все еще несколько выше.
Есть ли какая-то информация по тому, контролирует сбербанк IMSI при смене симкарты или нет?
Возможно ли включить обратно оригинальную карту после деактивации дубликата?
Возможно ли включить обратно оригинальную карту после деактивации дубликата?
В разных регионах в разное время по-разному. К примеру, комментарии по Северо-Западному банку иногда уверяют что такой контроль есть, но я ни разу не столкнулся, хотя симку менял за последние пять лет раза три уже.
> Возможно ли включить обратно оригинальную карту после деактивации дубликата?
Технически, сотрудники оператора это сделать могут. Но так, что бы следы операции не бросились в глаза сразу же — нужен сговор нескольких сотрудников.
Технически, сотрудники оператора это сделать могут. Но так, что бы следы операции не бросились в глаза сразу же — нужен сговор нескольких сотрудников.
Двухфакторная авторизация (так её назвал сам Дуров в переписке с Венедиктовым) в Telegram не защищает от угона аккаунта:
https://geektimes.ru/post/276238/
Разница между «с двухфакторной» и «без двухфакторной» лишь такая:
— с двухфакторной атакующий, угнав ваш аккаунт, не получит вашу историю переписок из несекретных чатов (из секретных и так и так не получит) — но сможет войти под вашим номером телефона и писать сообщения от вашего имени
— без двухфакторной авторизации атакующий, угнав ваш аккаунт, получит вашу историю переписок из несекретных чатов.
То есть двухфакторная в Telegram не совсем работает.
https://geektimes.ru/post/276238/
Разница между «с двухфакторной» и «без двухфакторной» лишь такая:
— с двухфакторной атакующий, угнав ваш аккаунт, не получит вашу историю переписок из несекретных чатов (из секретных и так и так не получит) — но сможет войти под вашим номером телефона и писать сообщения от вашего имени
— без двухфакторной авторизации атакующий, угнав ваш аккаунт, получит вашу историю переписок из несекретных чатов.
То есть двухфакторная в Telegram не совсем работает.
Telegram позиционирует себя как мессенжер с высокой степенью конфиденциальности, но при этом хранит сообщения пользователей на своём сервере.
Включите секретный чат и получите end-to-end шифрование — сервер ничего не узнает.
А зачем что-то там включать, если у конкурентов оно и так включено по умолчанию для всех сообщений?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как взломать Telegram и WhatsApp: спецслужбы не нужны