Серьёзная уязвимость в маяке

Обратная связь с нашими клиентами. Пишите нам, и Вы получите ответ из первых рук!

Серьёзная уязвимость в маяке

Сообщение andro » 29 май 2013, 08:03

Есть предложение исключить из посылки SMS пароля для маяка в открытом виде. Посылка пароля в таком виде очень не безопасна. Сегодня мне продемонстрировали это. Оператор связи может запросто посмотреть все отправленные SMS в том числе и sms с паролем для автофона.
Предлагаю для передачи пароля сделать что-то типа "одноразового блокнота" (по аналогии с e-num) чтобы передавать по каналам связи только ХЭШ
andro
 
Сообщения: 18
Зарегистрирован: 29 май 2013, 07:52

Re: Серьёзная уязвимость в маяке

Сообщение АвтоФон /root/ » 30 май 2013, 21:15

Мы считаем, что в передаче пароля в смс уязвимости практически нет. Даже в детализации, которую можно запросить по своему номеру текстов смс нет! Тексты смс доступны только спецслужбам по официальному запросу оператору. Даже самому владельцу номеру оператор их не даст. Конечно, некоторые сотрудники самого оператора имеют доступ к этой БД, но это ведь еще надо сам номер симкарты и оператора ее выяснить, которая стоит в маяке, который установлен в нужном авто.
Передача вместо пароля его одноразового хеша это будет адски неудобно, пользователи сейчас часто забывают свой статический пароль, а так придется с собой еще табличку одноразовых паролей носить. Это практически уже диалоговый код получается, только вручную :)

Все-таки маяк в личном автомобиле это не управление пуском ядерных ракет, надо соотносить ценность и важность доступа к этой информации с теми усилиями которые потребуется приложить, что бы ее получить...
______
Удачи!
АвтоФон /root/
Администратор
 
Сообщения: 1927
Зарегистрирован: 05 фев 2010, 19:18
Откуда: Москва

Re: Серьёзная уязвимость в маяке

Сообщение andro » 31 май 2013, 17:46

Тексты смс доступны только спецслужбам по официальному запросу оператору. Даже самому владельцу номеру оператор их не даст.

Вы даже не представляете что может сделать бутылка дорогого коньяка и коробка конфет. :) Мы же в России ... :)

Передача вместо пароля его одноразового хеша это будет адски неудобно, пользователи сейчас часто забывают свой статический пароль, а так придется с собой еще табличку одноразовых паролей носить.


Вы знаете, технология от таблички с паролями уже шагнула далеко вперед. Сейчас на телефон абонента скачивается программка которая заменяет табличку паролей. Там это дело реализовано в виде алгоритма уникального для каждого пользователя. ТОчнее программка то общая а так называемая "соль" для каждого абонента своя... Благодаря этой "соли" генерится алгоритм "вопрос-ответ".

И кстати, благодаря моему предложению пароли вообще запоминать не надо будит ... Из будит генерить прога и каждый раз уникальные...

но это ведь еще надо сам номер симкарты и оператора ее выяснить, которая стоит в маяке, который установлен в нужном авто.

Достаточно знать номер телефона владельца с которого отправляются команды.
andro
 
Сообщения: 18
Зарегистрирован: 29 май 2013, 07:52

Re: Серьёзная уязвимость в маяке

Сообщение Murmansk » 31 май 2013, 18:10

Многие люди пользуются телефонами, которые не могут вообще выполнять какие-то программы ;) но тем не менее с лёгкостю отправляют и принимают смски.
Murmansk
 
Сообщения: 27
Зарегистрирован: 29 июл 2012, 00:58

Re: Серьёзная уязвимость в маяке

Сообщение АвтоФон /root/ » 31 май 2013, 18:24

andro писал(а):Вы даже не представляете что может сделать бутылка дорогого коньяка и коробка конфет. Мы же в России ...

Поскольку мы варимся в этой кухне, то я примерно представляю что получение такой информации всё-таки более сложная задача чем подарить бутылку коньяка или коробку конфет. Причем что бы это сработало надо что бы номер был оформлен непосредственно на владельца, что сейчас часто не выполняется. Корпоративные номера, родственники и тд. Плюс еще операторов у нас больше одного...

andro писал(а): Сейчас на телефон абонента скачивается программка которая заменяет табличку паролей.

На все ли модели телефонов и смартфонов она будет скачиваться и правильно работать? :) Согласен что для iPhone и Андроидов такую программу можно легко сделать, а вот как быть если у владельца самый простой телефон который ничего не умеет закачивать в себя? :) Кстати в случае со смартфонами Вам даже сейчас ничто не мешает скачать наши бесплатные мобильные приложения АвтоФон Коммандер и отправлять смс-команды через них используя наш альтернативный и к тому же бесплатный смс-шлюз, при этом оператор вашей симкарты этой смски вообще не увидет у себя. Но я считаю это уже сильная перестраховка, но если эта проблема беспокоит, то решение есть у нас уже сейчас. Это лучше чем заставить пользователей с обычными телефонами таскать с собой таблицы Брадиса :).
______
Удачи!
АвтоФон /root/
Администратор
 
Сообщения: 1927
Зарегистрирован: 05 фев 2010, 19:18
Откуда: Москва

Re: Серьёзная уязвимость в маяке

Сообщение andro » 31 май 2013, 21:01

На все ли модели телефонов и смартфонов она будет скачиваться и правильно работать? :) Согласен что для iPhone и Андроидов такую программу можно легко сделать, а вот как быть если у владельца самый простой телефон который ничего не умеет закачивать в себя? :)

Да что вы ..какие Андроиды... Я пользуюсь подобной услугой у сервиса www.enum.ru там явовская программа в 100килобайт ставится на самый "деревянный"
телефон на котором есть возможность загрузить ява приложения через дата кабель (или скачать через интернет). Кроме того найти сейчас телефон который "ничего не умеет закачивать в себя" довольно проблематично. Наверно несколько моделей еще осталось в музее :D


Кстати в случае со смартфонами Вам даже сейчас ничто не мешает скачать наши бесплатные мобильные приложения АвтоФон Коммандер и отправлять смс-команды через них используя наш альтернативный и к тому же бесплатный смс-шлюз, при этом оператор вашей симкарты этой смски вообще не увидет у себя.

Пользовался я вашим шлюзом и КСА пользовался. Не надежно и не стабильно. Много раз звонил в тех.поддержку разговаривал с девушкой тех. специалистом. И восклицания "ой я тоже не могу попасть ... у нас сервер завис" как-то уверенности не вселяли. Кроме того через шлюз постоянно теряются команды (я эту проблему тоже озвучил техподдержке) и она подтвердила сей факт. В конце концов надоело ...

Это лучше чем заставить пользователей с обычными телефонами таскать с собой таблицы Брадиса :).

Там не нужны таблицы Брадиса. Там полином :)
andro
 
Сообщения: 18
Зарегистрирован: 29 май 2013, 07:52

Re: Серьёзная уязвимость в маяке

Сообщение Discoverer » 12 июн 2013, 12:47

Оператор связи может запросто посмотреть все отправленные SMS в том числе и sms с паролем для автофона.

и я не уверен что у криминала нет своего "крота" у оператора связи.
Discoverer
 
Сообщения: 10
Зарегистрирован: 05 апр 2013, 10:32

Re: Серьёзная уязвимость в маяке

Сообщение Discoverer » 12 июн 2013, 12:55

Причем что бы это сработало надо что бы номер был оформлен непосредственно на владельца, что сейчас часто не выполняется. Корпоративные номера, родственники и тд.

Гы. Запрос к базе ( а к базе могут иметь доступ и другие подразделения оператора ) все вытащит наружу.
и не факт что безопасность следит за тем кто и какой запрос настрочил ( из числа имеющих доступ )
Журналы могут чистить раз в неделю а то и чаще, и откуда делался запрос - вычислить будет потом крайне проблематично ибо поднимать инстанс с ленты - дело не простое и затратное.
Discoverer
 
Сообщения: 10
Зарегистрирован: 05 апр 2013, 10:32

Re: Серьёзная уязвимость в маяке

Сообщение andro » 17 июн 2013, 04:48

Вот и я о том же. Мне обычный сотрудник (не админ и не безопасник) показал все мои СМС. Сотовый оператор - представитель "большой тройки" .
В любом случае, как говаривал старина Мюллер "что знают двое - знает и свинья" ... Странно, что люди которые не первый год на рынке торгуют маяками не понимают таких элементарных вещей.
andro
 
Сообщения: 18
Зарегистрирован: 29 май 2013, 07:52

Re: Серьёзная уязвимость в маяке

Сообщение JuK » 30 июн 2013, 23:56

andro писал(а):Мне обычный сотрудник (не админ и не безопасник) показал все мои СМС.
+1 !!!
Даже сотрудник не необходим...

НО! Если настолько уж беспокоит - что мешает завести отдельный тел-н (SIM-ку) исключительно для общения с Маяком, и знать его номер по-Мюллеровски, в одиночку? Это во-первых. Во-вторых: ну ладно, нашёлся Мальчиш-Плохиш, и узнал Главный Буржуин страшную тайну Золотого Ключика, дальше что? Возможно, я чо-та не догоняю, но Маяк-то свои СМСки ВАМ шлёт. Как о событиях, так и о запросе на смену № владельца (не помню, есть-ли уведомления о поступлении команды с чужого №?) Читайте СМСки, да по мере надобности поглядывайте в окошко.
Последний раз редактировалось JuK 20 июл 2013, 20:26, всего редактировалось 1 раз.
JuK
 
Сообщения: 46
Зарегистрирован: 19 фев 2013, 11:25

След.

Вернуться в Книга отзывов и предложений

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 11

cron