Как обойти SMS-идентификацию при подключении к публичным Wi-Fi сетям?
В 2014 году начали свое действие постановления правительства РФ №758 №801, обязывающие владельцев публичных WiFi сетей настроить на роутерах идентификацию пользователей через паспортные данные, sms или портал гос. услуг. Нежелание владельцев кафе тратиться за Captive portal’ы поспособствовало некоторым провайдерам в распространении своих точек доступа с платной sms-авторизацией. У меня возникло желание проверить, можно ли подобную sms-авторизацию обойти.
Дисклеймер
Данная статья написана в ознакомительных целях. Автор ни в коем случае не призывает читателей к нарушению законодательства РФ. Пожалуйста, не повторяйте действия, описанные в данной статье, предварительно не ознакомившись с главой 28 УК РФ. Все торговые марки и названия Wi-Fi сетей в данной статье являются выдуманными, а все совпадения — случайными.
К делу.
Для поиска подходящей жертвы я взял ноутбук с Debian’ом на борту и направился в ближайшую пиццерию. Рядом было пара торговых центров, и еще несколько забегаловок, что гарантировало мне найти подходящую «жертву». Я подключился к одной из доступных мне сетей, затем открыл браузер, чтобы зайти на заветный порнхаб habr.com и вот что я увидел:
Эта точка доступа оказалась подконтрольна одному из российских провайдеров. Мне предлагалось воспользоваться данной сетью в качестве гостя на минимальной скорости, получить премиум за 99 рублей или (если я являюсь клиентом данного провайдера) войти через личный кабинет. И, конечно же, я пошел путем, не входящим в этот список (иначе зачем бы я начал писать эту статью).
На своем опыте я знал, если пройти идентификацию на одной точке доступа этого провайдера, то при подключении того-же устройства к другой точке идентификацию проходить не требовалось (потом оказалось, что так у всех провайдеров, предоставляющих sms-авторизацию). Идентификация не требовалась даже когда использовался другой браузер. Значит, провайдер как-то запоминает наше «железо». Самое первое что мне пришло в голову — провайдер запоминает mac-адрес нашего устройства. А это значит, что если поставить себе mac-адрес того, кто уже прошел идентификацию, то мы сможем спокойно пользоваться сетью. И, как мы увидим дальше, интуиция меня не подвела.
Для атаки я решил воспользоваться утилитами из пакета aircrack-ng и WiFi-адаптером TL-WN722N с внешней антенной для большего охвата. Для начала я подключил адаптер и с помощью airodump-ng перевел его в режим монитора. Я описал этот процесс кратко, более подробно вы можете прочитать тут.
sudo -s # работать будем с правами супер пользователя ifconfig # смотрим имя адаптера, который мы хотим использовать . wlx60e32719503f: flags=4099 mtu 1500 ether 2a:36:62:d5:ec:63 txqueuelen 1000 (Ethernet) RX packets 0 bytes 0 (0.0 B) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 0 bytes 0 (0.0 B) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 . wlx60e32719503f — это наш адаптер
Убиваем процессы, которые используют адаптер, и переводим его в режим монитора.
airmon-ng check kill airmon-ng start wlx60e32719503f 
Мы видим, что появился новый сетевой интерфейс — wlan0mon. Запускаем его
airodump-ng wlan0mon Ждем пару минут, и получаем такую табличку
Нас интересуют поля BSSID (mac-адрес точки доступа), CH (канал) и ESSID (название сети). По полю ESSID я нашел интересующую сеть (она шестая по счету). Берем из таблицы mac-адрес точки доступа (CC:B2:**:**:**:FC), канал (4 канал), на котором она работает и передаем их в airodump-ng:
airodump-ng wlan0mon -c 4 --bssid CC:B2:**:**:**:FC Ждем некоторое время, и теперь получаем такой вывод:
В первой таблице всего одна строка. Это наша атакуемая сеть. Во второй таблице мы видим список клиентов этой сети. Нас интересует поле STATION. Это mac-адреса клиентов, сохраняем их в текстовый файл. Нам необходимо заменить свой mac-адрес на один из них. Я выбрал mac предпоследнего клиента (1C:CD:**:**:**:43), так как этот клиент самый активный в сети, а следовательно, он наверняка прошел идентификацию.
Как всем известно (а я надеюсь, что вам известно), двум устройствам с одинаковыми mac-адресами будет трудно ужиться в одной сети. И сейчас у нас 2 варианта.
Можно воспользоваться утилитой aireplay-ng, чтобы провести деаутентификацию нашего клиента от сети
aireplay-ng -0 1000 -a CC:B2:**:**:**:FC -c 1C:CD:**:**:**:43 wlan0mon - «-a CC:B2:**:**:**:FC» — это атакуемая точка доступа
- «-c 1C:CD:**:**:**:43» — это клиент, которого мы будем отключать
- «-0 1000» — тут мы указываем тип атаки (ноль это деаутентификация) и количество пакетов деаутентификации, чтобы отключить клиента, если он опять подключится.
Но я решил не вредить человеку, а пойти более гуманным способом — подождать, пока клиент сам уйдет (как раз есть время поесть пиццу).
К счастью, этот клиент быстро ушел. Теперь нам осталось поставить его mac-адрес себе. Есть много способов поменять mac-адрес на linux. Самый простой — указать нужный mac-адрес непосредственно в сетевых настройках.
Mac-адрес указан, теперь мы можем подключиться к точке, и проверить доступ к интернету командой ping.
Попробовал зайти в гугл, и еще на несколько сайтов — успешно.
Заключение
Таким образом удалось выяснить, что SMS-авторизацию легко обойти заменив свой mac-адрес на mac-адрес клиента, который уже прошел идентификацию. В заключении хочу еще раз сказать: «Данная статья написана в ознакомительных целях, автор ни в коем случае не призывает читателей к нарушению законодательства РФ».
- Информационная безопасность
- Сетевые технологии
- Беспроводные технологии
- Сетевое оборудование
Чем отличается идентификация, авторизация и аутентификация?
За несколько лет нашей работы мы не раз замечали, что многие клиенты не совсем различают понятия идентификации, аутентификации и авторизации. Раскроем суть данных определений и обозначим различия между ними.
Wi-Fi Идентификация
Согласно требованиям законодательства (постановление Правительства №758 от 31 июля 2014 г.), «в случае заключения срочного договора об оказании разовых услуг по передаче данных в пунктах коллективного доступа оператор связи осуществляет идентификацию пользователей и используемого ими оконечного оборудования».
В конце 2021 года данное постановление утратило силу, об изменениях читайте в этой статье.
Таким образом, идентификация – это единое определение, которое подразумевает предоставление услуг, позволяющих идентифицировать гостей заведения по каким-либо данным каждый раз, когда посетители подключается к общественной сети.
Wi-Fi Аутентификация
В свою очередь аутентификация – этап, на котором гость подтверждает информацию о себе (с помощью паспортных данных либо по номеру телефона). Повторная аутентификация (перезаказ смс с паролем либо звонка с целью подтверждения клиентского номера) происходит не чаще раза в 90 дней (при условии, что клиент на авторизационной странице введет другой телефонный номер). Это положение подкреплено законодательством, пункт 26.1 Постановления Правительства РФ от 23 января 2006 г. N 32 «Об утверждении Правил оказания услуг связи по передаче данных».
В договоре с абонентом — юридическим лицом либо индивидуальным предпринимателем, помимо данных, указанных в пункте 26 настоящих Правил, предусматривается обязанность предоставления оператору связи юридическим лицом либо индивидуальным предпринимателем списка лиц, использующих его пользовательское (оконечное) оборудование, и устанавливается срок предоставления указанного списка, а также устанавливается, что указанный список должен быть заверен уполномоченным представителем юридического лица либо индивидуальным предпринимателем, содержать сведения о лицах, использующих его пользовательское (оконечное) оборудование (фамилия, имя, отчество (при наличии), место жительства, реквизиты документа, удостоверяющего личность), и обновляться не реже одного раза в квартал.
Wi-Fi Авторизация
После прохождения первичной аутентификации система запоминает связку номер телефона + mac-адрес устройства, и начинается пользовательская сессия. По умолчанию время авторизации 16 часов (при использовании в роли хотспот-контроллера оборудования Mikrotik этот параметр можно уменьшить либо увеличить). Это время, на которое пользователь может уйти из сети, вернуться и без повторной авторизации снова выйти в интернет.
Пример 1. Время сессии – 12 часов. Гость 4 часа использовал интернет в отеле. После этого он отключился от гостевого wi-fi и ушел гулять. Вечером, спустя 11 часов после отключения, посетитель вернулся в отель, подключился к той же сети и продолжил пользоваться интернетом без повторной авторизации.
Пример 2. Время сессии – 20 часов. Посетитель кафе использовал гостевой wi-fi 5 минут, после чего покинул заведение. Спустя ровно сутки клиент снова подключился к wi-fi кафе – в таком случае потребуется повторная авторизация.
При повторной авторизации на авторизационной странице у клиента уже будет введен номер телефона. Достаточно нажать «войти», и система пустит клиента в сеть. Каждая новая сессия — это отдельная авторизация.
Для того, чтобы изменить параметр времени сессии на микротике, укажите нужные вам значения в двух меню.
IP — DHCP Server — Lease time
IP — Hotspot — User profiles — Keepalive timeout
Параметры должны между собой совпадать.
Закон об авторизации в публичных Wi-Fi сетях — какие требования необходимо выполнять
Согласно действующему законодательству, при подключении пользователя к публичным Wi-Fi сетям необходимо провести идентификацию его личности и устройства, с которого он заходит в сеть. Для идентификации личности нужно пройти обязательную авторизацию — данные о пользователе могут быть получены из документов, удостоверяющих личность, по номеру его мобильного телефона или из учетной записи на портале Госуслуг. А mac-адрес устройства идентифицируется при подключении к сети. Архивы с данными о времени подключения, mac–адресе устройства, номере сотового телефона пользователя, а также перечень интернет-ресурсов, которые он посещал, необходимо хранить на протяжении шести месяцев.
Цель идентификация пользователей публичных Wi-Fi сетей — предотвращение анонимного входа в интернет, чем могут воспользоваться злоумышленники или террористы. Она проводится в соответствии с положениями Федерального закона № 97-ФЗ от 5 мая 2014 г., а также Постановлений Правительства РФ № 758 от 31 июля 2014 г. и № 801 от 12 августа 2014 г. Эти нормативно-правовые акты требуют от организаторов публичного доступа в интернет через сеть Wi-Fi обязательной идентификации пользователей. Для этого каждый из них должен пройти процедуру авторизации.
Какие штрафы полагаются за отсутствие авторизации?
В соответствии со статьей 13.30 КоАП РФ, предоставление пользователю публичной Wi–Fi сети доступа к интернет без его идентификации влечет наложение административного штрафа:
- на граждан — в размере от 2 тыс. до 5 тыс. рублей;
- на должностных лиц — от 5 тыс. до 50 тыс. рублей;
- на юридических лиц — от 100 тыс. до 200 тыс. рублей.
Повторное нарушение повлечет за собой более суровое административное наказание: штраф от 10 тыс. до 100 тыс. рублей для ИП и от 200 тыс. до 300 тыс. руб. для юридических лиц.
Кроме того, на владельцев заведений могут быть наложены штрафы в размере от 50 тыс. до 300 тыс. рублей за нарушение федеральных законов «О противодействии экстремистской деятельности» от 25 июля 2002 г. № 114-ФЗ и «О защите детей и информации, причиняющей вред их развитию и здоровью» от 29 декабря 2010 г. № 436-ФЗ.
В соответствии со статьей 13.31 КоАП РФ, несоблюдение обязанности хранить и предоставлять уполномоченным органам информацию о пользователях и их действиях в интернете влечет наложение административного штрафа: на граждан — в размере от 3 тыс. до 5 тыс. рублей; на должностных лиц — от 30 тыс. до 50 тыс. рублей; на юридических лиц — от 800 тыс. до 1 млн рублей.
Как избежать проблем с законом?
Чтобы соблюсти требования законодательства, владельцам публичных Wi-Fi сетей необходимо проводить идентификацию личности посетителей и клиентов. Для этого они должны пройти процедуру авторизации.
Специалисты офиса Wi-Fi+AutoID компании «Первый Бит» помогут подобрать решение, оптимально подходящее для конкретного заведения и организовать авторизацию в Wi-Fi сети, учитывая предпочтения его владельца.
Для авторизации и подключения к беспроводной сети нужен настроенный роутер с порталом авторизации (хот-спот). Подключаясь к сети, пользователи попадают на страницу авторизации, подтверждают свою личность (номер телефона) и получают доступ в интернет.
Wi-Fi авторизация
При подсоединении к общественной Wi-Fi-сети пользователь будет переадресован на страницу, где должен будет ввести номер своего мобильного. На телефон будет отправлена СМС с проверочным кодом. Введя его в указанное поле, человек завершит идентификацию.
При попытке отрыть любую страницу в браузере пользователь увидит сообщение с просьбой позвонить на указанный номер для прохождения авторизации. Во время звонка система автоматически определит номер входящего вызова. После чего человек сразу же сможет пользоваться всеми возможностями сети.
Чтобы получить доступ к бесплатной точке Wi-Fi, пользователь предъявляет администратору заведения свой паспорт. Тот фиксирует полученные данные в книге учета и выдает ему логин и пароль для входа в сеть.
Тарифы и расценки
По РФ –от 1,50 руб/шт.
Международные – 7 руб./шт.
Финальная стоимость зависит от специфики зоны подключения. Влияние оказывает многое: начиная от площади помещения и количества этажей и заканчивая числом хот спотов (точек доступа wi — fi ) и их мощности, необходимых для организации стабильного сигнала. Не малую роль играет и скорость подключения канала в интернет. Так, для обеспечения стабильной работы сети рекомендуется подключать интернет не ниже 10 Мбит/с . Узнать все подробности вы можете у нашего менеджера. Он же оформит вам персональное предложение.
Став клиентом ИНТЕРАКТИВ, вы получаете целый ряд маркетинговых возможностей:
- Рекламируйте услуги
На странице авторизации достаточно места, чтобы разместить там ваши рекламные баннеры или ваших рекламодателей.
- Повышайте узнаваемость своего заведения
Отличный способ увеличить клиентопоток – это повышение узнаваемости вашего заведения в интернете. Для этого мы предлагаем следующую схему: клиент, чтобы получить бесплатный вай-фай должен будет не только пройти авторизацию, но и разместить ваш репост на своей стене в одной из социальных сетей, тем самым рассказав о вашей организации всем своим виртуальным друзьям.
- Фильтруйте контент
Настройте информационные фильтры, и ваши посетители будут надежно защищены от спама и нежелательного контента. Заблокируйте доступ к сайтам конкурентов, и конверсия вашего ресурса возрастет в разы.
- Формируйте клиентскую базу
Данные по авторизации хранятся в памяти системы до 6 месяцев. Подключившись к ней, вы получите регулярно пополняемую телефонную базу для СМС-рассылки и продвижения собственных услуг.
- Выстраивайте обратную связь с посетителями
Проводите анкетирование, собирайте статистику посещений заведения, анализируйте потребности пользователей, изучая характер запросов.
Хотите знать больше? Звоните, наш менеджер подробно ответит на все имеющиеся у вас вопросы.
Перспективы сотрудничества с ИНТЕРАКТИВ
Для подключения мы используем оборудование Avaya, Mikrotik Ruckus и других проверенных производителей. Поэтому за качество и стабильность связи можете не переживать.
После первой авторизации система запоминает клиента на 30 дней. Отсутствие же необходимости запрашивать подтверждение при каждом входе в сеть повышает лояльность тех, кто ею пользуется.
Какой бы крупной ваша организация ни была, мы без труда охватим ее Wi-Fi-сетью со стабильным сигналом. Расширили или сократили масштабы бизнеса? Без проблем подстроим хот спот под новые реалии.
Хотите обеспечить стабильным Wi-Fi подключением посетителей заведения или предоставить доступ к высокоскоростному интернету лишь сотрудникам компании? С «ИНТЕРАКТИВ» любой из этих сценариев возможен для реализации.
По желанию заказчика страница авторизации будет отображаться не только на русском языке, но также на английском, китайском, французском или любом другом.
Как оформить заказ
Планируете подключить для организации общественную Wi-Fi зону с авторизацией? Заполните заявку, нажав кнопку «оформить заказ» , или позвоните по номеру: +7(812)4085153 . Наш менеджер изучит специфику вашего объекта, подберет для него оптимальное решение. Установка и настройка оборудования будет выполнена в срок – до 5 дней, после чего вы и ваши клиенты сможете пользоваться Wi-Fi-сетью без каких-либо ограничений, не боясь ни проверок, ни штрафов.