The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В NetworkManager появится защита от отслеживания пользователя в беспроводных сетях

18.01.2016 23:14

В состав готовящейся к выпуску ветки сетевого конфигуратора NetworkManager 1.2 добавлен механизм для борьбы c отслеживанием перемещения пользователя через мониторинг его нахождения в зоне видимости различных беспроводных сетей. Основной проблемой является то, что MAC-адрес, привязанный к беспроводному адаптеру, отправляется в эфир даже если устройство не подключается к точке доступа. Все находящиеся в зоне досягаемости беспроводные сети видят отправляемый при сканировании сетей неизменный MAC-адрес, отождествлённый с одним и тем же устройством, что позволяет скрыто отслеживать перемещение пользователя.

Суть представленного в NetworkManager метода противодействия отслеживанию в использовании случайно сгенерированного MAC-адреса при выполнении операции сканирования сетей. Перед подключением и при привязке к точке доступа MAC-адрес изменяется на постоянный, который указан в прошивке беспроводного адаптера, что позволяет избежать проблем с привязкой параметров клиента. В качестве опции предусмотрена возможность рандомизации постоянного MAC-адреса, но её использование сопряжено с риском возникновения проблем с фильтрами на точке доступа.

  1. Главная ссылка к новости (https://blogs.gnome.org/lkundr...)
  2. OpenNews: Релиз сетевого конфигуратора NetworkManager 1.0
  3. OpenNews: В Android выявлена утечка сведений о ранее используемых точках доступа
  4. OpenNews: Беспроводная технология ZigBee оказалась незащищенной от простейших атак
  5. OpenNews: Техника канальной MITM-атаки через наводнение эфира беспроводной сети
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/43691-networkmanager
Ключевые слова: networkmanager
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (94) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ZiNk (ok), 23:22, 18/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +25 +/
    Фильтрация по MAC на точке доступа - такая же защита, как занавешивание шторкой с запиской "не входить" входа в квартиру. Помогает или от очень вежливых людей или от очень тупых.

    А вот нововведение - отличное.

     
     
  • 2.10, Аноним (-), 00:13, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Что на ваш взгляд является лучшей защитой? Я для себя, кроме шуток.
     
     
  • 3.11, Аноним (-), 00:16, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    дверь открывающаяся ключом, на данный wpa2, когда его скомпроментируют,будет wpa3
     
     
  • 4.26, Roo2AT7d (ok), 08:06, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    выломать дверь, обязательно со взрывом
     
  • 4.59, Адекват (ok), 12:11, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > дверь открывающаяся ключом, на данный wpa2, когда его скомпроментируют,будет wpa3

    скомпроментируют ?
    wpa2 ?
    этот тот, который шифруется 8192 раза ?

    Да и потом - как перевести уже все выпущенные железки на использование wpa3 :) ?

     
     
  • 5.72, alex (??), 18:53, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > как перевести уже все выпущенные железки на использование wpa3 :) ?

    а вот поэтому и предлагают умные люди использовать железки со свободной прошивкой.
    дабы обновление можно было сделать парой команд, а не ждать милости от производителя.

     
  • 3.15, Аноним (-), 00:31, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Разумеется отключение вайфая.
     
  • 3.34, ZiNk (ok), 10:23, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В домашней сети хватает сейчас за глаза WPA2, если отключены всяческие WPS и прочие "упростители авторизации".
     
     
  • 4.71, Аноним (-), 18:16, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вот так вот просто? :( Я ожидал услышать пару дельных советов. Ну ок. Все равно спасибо.
     
     
  • 5.98, Аноним (-), 22:08, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    IBM в своё время предложила следующие рекомендации:

    1. Беспарольный WiFi (для уменьшения оверхеда)
    2. Отсутствие возможности прямой связи между клиентами точки доступа
    3. Весь трафик внутри VPN с хорошим шифрованием

    После повсеместного распространения WPA2 рекомендации были признаны устаревшими.

     
  • 2.22, _KUL (ok), 04:51, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как самодостаточный способ защиты - ужасен, а в комплексе очень даже можно юзать как дополнительную ступеньку от дураков. Лочим трафик по маку + аутентификация по паролю.

    p.s. живой пример - все знают что ssh имеет порт 22, если железка сморит в инет, то китай-боты закакают все логи и лишняя нагрузка на обработку запросов. Ставим 11022, вроде и не защита, всё тоже самое, но при этом никакой нагрузки на мусорные запросы.

     
     
  • 3.24, Аноним (-), 05:48, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • –13 +/
    Какой замечательный непуганый дурачёк :) На 11022 вешает sshd :)

    Не дадите мне совершенно непривилегированный шелл на вашем сервере? Ну пожалуйста!

     
     
  • 4.25, Аноним (-), 07:34, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +13 +/
    > Какой замечательный непуганый дурачёк :) На 11022 вешает sshd :)
    > Не дадите мне совершенно непривилегированный шелл на вашем сервере? Ну пожалуйста!

    Дубина, это у него защита от забивания логов ботами, а не от взлома ssh.

     
  • 4.82, Michael Shigorin (ok), 22:49, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не дадите мне совершенно непривилегированный шелл на вашем сервере? Ну пожалуйста!

    ---
    Ситуация 3. Регистрация новых пользователей

    Маньяк. "Если ты настолько глуп, что не можешь взломать машину и самостоятельно зарегистрироваться, тебе нечего делать в моей системе. В этом ящике и так слишком много придурков".
    ---

    Вспомнилось к чему-то...

     
  • 3.41, Khariton (ok), 11:25, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    как все просто...
    а то что боты шлют запросы по всем портам но запросы согласно SHH протокола, то это ничего...))) он обнаружит порт который ответит по запросу и будет его долбить...
    Да от ручного подсоединения кулхацкером - это защитит, но от бота отложит только на несколько минут...))) потом весь пул бота будет знать что на таком IP - 11022 порт...)))
     
     
  • 4.46, RomanCh (ok), 11:43, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Админ локалхоста, или есть реальный опыт долбления случайных ботов в рандомный порт? Что-то мне подсказывает что первое. Т.к. опыт говорит о том что боты на случайные номера не приходят практически никогда (а может просто - никогда). Если же кто-то таки долбится, то очевидно что этот "кто-то" уже вовсе не случайный бот.
     
     
  • 5.48, Аноним (-), 11:49, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ходят еще как.
    Периодически пролетают сканы целиком /24 (а может и больше):1-65535, при чем сканят с разных адресов - явно хорошо скоординированный распределенный ботнет.
     
     
  • 6.55, RomanCh (ok), 12:00, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ходят еще как.
    > Периодически пролетают сканы целиком /24 (а может и больше):1-65535, при чем сканят
    > с разных адресов - явно хорошо скоординированный распределенный ботнет.

    Так может просто ваша сетка где-то засветилась и кто-то преднамеренно копает?

    Потому что альтернативный порт обычно спасает от подобного очень сильно.

     
  • 5.54, Khariton (ok), 12:00, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Админ локалхоста, или есть реальный опыт долбления случайных ботов в рандомный порт?
    > Что-то мне подсказывает что первое. Т.к. опыт говорит о том что
    > боты на случайные номера не приходят практически никогда (а может просто
    > - никогда). Если же кто-то таки долбится, то очевидно что этот
    > "кто-то" уже вовсе не случайный бот.

    Ой на не. Давно статистику запросов с внешнего интерфейса снимали?

     
     
  • 6.57, RomanCh (ok), 12:03, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ой на не. Давно статистику запросов с внешнего интерфейса снимали?

    Интерфейса? А у вас статистика интерфейса пишет попытки неудачного логина на уровне приложения? Дела!..

    У меня обычно это в системных логах. И да, там ничего подобного не встречается, специально перед тем как писать предыдущий пост погрепал все доступные логи авторизаций.

     
  • 4.62, Аноним (-), 13:24, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ишь бы высраться в камментах. Хочешь сказать, что если поставить неродной порт, то запросов на него будет не меньше чем на дефолтный?
     
     
  • 5.73, славян (?), 18:55, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    проблемы большой не вижу. почему фаерволлу не закрывать все порты от подключения)) правда только на терминале сработает, а н серваке не проскочит, хотя... если распределенная сеть серваков внутри компании и нет необходимости пускать всех то настроить не проблема на определенные ip. была еще прога , которая открывала доступ по спец обращениям. типа  тук тук и входим. вот только забыл название.
     
     
  • 6.74, ZiNk (ok), 19:01, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > проблемы большой не вижу. почему фаерволлу не закрывать все порты от подключения))
    > правда только на терминале сработает, а н серваке не проскочит, хотя...
    > если распределенная сеть серваков внутри компании и нет необходимости пускать всех
    > то настроить не проблема на определенные ip. была еще прога ,
    > которая открывала доступ по спец обращениям. типа  тук тук и
    > входим. вот только забыл название.

    Технология так и называется - port knocking, поддержка в стандартной поставке openssh и клиента и сервера ЕМНИП.

     
     
  • 7.78, славян (?), 19:45, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    ну я же пользователь локалхоста мне можно)))
     
  • 5.89, fi (ok), 13:53, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    подтверждаю - попытки взлома ботами ssh на других портах отсутствуют.
     
     
  • 6.91, Аноним (-), 19:47, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > подтверждаю - попытки взлома ботами ssh на других портах отсутствуют.

    Большое дело, ёпт. Отключаешь парольную аутентификацию - как класс - делаешь вход по ключу 4096, ставишь сайфер-мак-DH по максимуму, остальное гасишь - и можешь спокойно наблюдать как полудырки раз в сутки отсасывают. Что, проблема?

     
     
  • 7.97, Michael Shigorin (ok), 20:00, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Отключаешь парольную аутентификацию - как класс

    Хозяйке на заметку:[CODE]# control | grep sshd
    sshd-allow-groups enabled         (enabled disabled)
    sshd-password-auth disabled        (enabled disabled default)[/CODE]Ну и да, http://altlinux.org/changes насчёт openssh 7.x.

     
  • 4.42, Khariton (ok), 11:29, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    gt оверквотинг удален ну с таким подходом пароль из 12 символов тоже как бы не... большой текст свёрнут, показать
     
     
  • 5.53, ZiNk (ok), 11:59, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    gt оверквотинг удален Пароль - защита если передаётся по защищённому каналу и ... большой текст свёрнут, показать
     
  • 4.58, Шкурка_от_головки (ok), 12:03, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > достаточно один раз увидеть в сети клиента которому разрешено

    Для того, чтобы получить доступ к точке доступа нужно... иметь доступ к точке доступа, гениально!

    Любитель тире, ты в своем первом сообщении говорил что-то про доступ в квартиру (аналогия к точке доступа), а сейчас все переводишь на подмену клиенту аналогичной точки доступа с таким же SSID'ом и клиентским маком в ACL. Вообще речь не об этом шла. Если есть для тебя неизвестная AP с одним маком в ACL и ты никогда к ней не подключался, то "ты со своей аналогией идёшь лесом".

     
     
  • 5.60, ZiNk (ok), 12:13, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я смотрю, у тебя с чтением проблемы Чтобы подключиться к точке доступа достаточ... большой текст свёрнут, показать
     
     
  • 6.68, Шкурка_от_головки (ok), 17:08, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как предложение "фильтры бывают ещё и в другом направлении" заставило тебя переключиться от защиты точки доступа к подмене AP для клиента? Имелись ввиду режимы блокировки ACL.

    Еще вопрос, от теории к практике, так сказать. Чем ты поймаешь мой MAC при поиске точки доступа и как ты узнаешь, что я подключился?

     
     
  • 7.69, ZiNk (ok), 17:21, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Как предложение "фильтры бывают ещё и в другом направлении" заставило тебя переключиться
    > от защиты точки доступа к подмене AP для клиента? Имелись ввиду
    > режимы блокировки ACL.

    Ты или фильтруешь на клиенте или на точке доступа. Изначально говорили о фильтровании на точке доступа, ты начал что-то бормотать про "в другом направлении" - логично предположить, что про фильтрование на клиенте. Учись ясно выражать свои мысли.

    > Еще вопрос, от теории к практике, так сказать. Чем ты поймаешь мой
    > MAC при поиске точки доступа и как ты узнаешь, что я
    > подключился?
    >> Чем ты поймаешь мой MAC?

    Любым сниффером на вафлекарточке, которая умеет в promiscuos mode.
    >> и как ты узнаешь, что я подключился?

    Да хотя бы по активному обмену шифроваными пакетами с точкой доступа.

     
     
  • 8.77, Шкурка_от_головки (ok), 19:30, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С чтением здесь, по-моему, у тебя проблемы Следующие два предложения читал Теб... текст свёрнут, показать
     
     
  • 9.80, ZiNk (ok), 21:39, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    На следующие 2 предложения тебе отдельно ответили Значит у тебя вафлекарточка ... большой текст свёрнут, показать
     
  • 4.63, Аноним (-), 13:27, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Значит можно юзать, если "не летает в открытом виде", т е чтобы дать больше доступа эзернетовцам.


     
  • 3.36, llirik (ok), 10:33, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    пора твой ник переименовывать в "пустое ведерко"
     
  • 3.99, Аноним (-), 22:08, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Как самодостаточный способ защиты - ужасен, а в комплексе очень даже можно
    > юзать как дополнительную ступеньку от дураков. Лочим трафик по маку +
    > аутентификация по паролю.
    > p.s. живой пример - все знают что ssh имеет порт 22, если
    > железка сморит в инет, то китай-боты закакают все логи и лишняя
    > нагрузка на обработку запросов. Ставим 11022, вроде и не защита, всё
    > тоже самое, но при этом никакой нагрузки на мусорные запросы.

    * добавил в бота 11022. Спасибо!

     
     
  • 4.101, Michael Shigorin (ok), 22:49, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > * добавил в бота 11022. Спасибо!

    Просел бы по трафику/времени вдвое, получив ничтожный прирост попаданий, кабы не был балаболкой.

     
  • 2.85, Аноним (-), 01:44, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Фильтрация по белому списку mac адресов вполне себе норм.
     
     
  • 3.92, Аноним (-), 19:48, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Фильтрация по белому списку mac адресов вполне себе норм.

    Да ну? И сильно помогло?

     

  • 1.2, Djam1 (?), 23:31, 18/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    лучше бы сделали наконец параллельную работу нескольких pptp сессий... Фича конечно хорошая, но насколько она критична...
     
     
  • 2.3, ZiNk (ok), 23:32, 18/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > лучше бы сделали наконец параллельную работу нескольких pptp сессий... Фича конечно хорошая,
    > но насколько она критична...

    Это уже в 1.2 впилили.

     
     
  • 3.19, крокодилы (?), 02:08, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    пингвин еще не готов для декстопов/воркстейшенов?
     
     
  • 4.20, Аноним (-), 03:18, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы просто не умеете его готовить. :)
     
  • 4.35, ZiNk (ok), 10:26, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > пингвин еще не готов для декстопов/воркстейшенов?

    На пингвине можно создавать столько тоннелей, сколько душе угодно, главное чтобы руки были прямыми.

    А для простых пользователей NM позволял одним кликом подцепляться к нескольким тоннелям (но разного типа, например: один OpenVPN, один PPP). В 1.2 и это ограничение убирают и можно подсоединяться к любому количеству VPNов. Для большинства пользователей, впрочем, это далеко не типичная проблема, куда более остро встаёт вопрос если адресное пространство внутренних сеток перекрывается.

     
  • 4.67, iPony (?), 16:36, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да кому оно надо. Я когда-то давным давно купил хомячковый роутер после полдня долбежки с настройкой вындовс на это дело.
    Со спец коробочкой проще.
     
  • 2.4, Аноним (-), 23:40, 18/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для переносимых устройств - очень!
     

  • 1.5, Аноним (-), 00:01, 19/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    Ничего не понял. Вот стоит материнка. Вставляю в неё PCI Wi-Fi и LiveUSB - какой-нибудь Debian 7. Пишу/копирую и интернета конфиг hostapd - строк на 10. Запускаю. Я заимел точку доступа, в которой ну стопудово нет бэкдоров, в отличие от роутера D-Link.

    И что, hostapd отправляет куда-то мои данные? А куда и зачем?

    Ну допустим, я беру смартфон, цепляюсь к своей точке доступа и открываю Яндекс. Вот они - данные, которые отправляются на сервер! Яндекс пуляет свою страницу прямиком через три NAT-а на смартфон. То есть, MAC-адрес вполне возможно что отправляется. Поправьте, если я не прав: для меня NAT - тёмный лес.

    Но КАААК моя точка доступа отправит КУДА-ТО MAC-адрес моего смартфона, если я просто пронесу его над точкой доступа, не соединяясь с интернетом, с Яндексом и опеннетом?

     
     
  • 2.6, Аноним (-), 00:03, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А что если я буду раздавать с помощью hostapd не интернет, а локалку? На 10 соседних компов отправится информация о том, что в зоне действия Wi-Fi есть неподключенный смартфон?
     
  • 2.14, dimqua (ok), 00:28, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Вроде бы ясно сказано: "MAC-адрес, привязанный к беспроводному адаптеру, отправляется в эфир даже если устройство не подключается к точке доступа". Ходишь ты со смартфоном, сканируешь эфир на наличие Wi-Fi точек доступа, и всем найденным точкам становится известен твой MAC-адрес. Даже и без подключения к ним.
     
     
  • 3.75, славян (?), 19:02, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    кто то мешает заранее поменять мак-адрес?
     
     
  • 4.83, dimqua (ok), 23:05, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    От отслеживания это не спасает.
     
     
  • 5.84, славян (?), 01:37, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    спасет, но не сам мак адрес фальшивку. а всего навсего аппаратуру адаптера вайфай. и как следствие пользователя от проблем если он правда че натворит. хотя если накосячит на чем серьезном все равно запалят. а реальный мак спасет.
     
     
  • 6.86, dimqua (ok), 06:09, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Наблюдателю известно, что отсылаемый пользователем MAC-адрес может быть поддельным, ведь это позволяет делать ОС. И ему не нужно знать реальный адрес (достаточно, чтобы он не менялся), чтобы он мог отследить пользователя, а это уже само по себе неприятно. Может я и не сделал ничего плохого, но я не хочу, чтобы кто-то знал маршрут и график моего перемещения. Понятно, что кому нужно - узнает. Но речь не о том, что кто-то сделал что-то наказуемое и желает скрыться. Эта возможность мешает массовой слежке.
     
     
  • 7.87, славян (?), 07:15, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    вот поэтому  если сменить мак на фальшивку и отключать вафлю при перемещении вариант наиболее действенный.
     
     
  • 8.88, ZiNk (ok), 11:37, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Весь смысл именно в периодической и частой смене мака, чтобы нельзя было понять ... текст свёрнут, показать
     
     
  • 9.90, славян (?), 19:24, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    а я о чем нефиг вафлю держать включенной надо включил просмотрел и отрубил н... текст свёрнут, показать
     
  • 9.94, Аноним (-), 19:50, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А macshif что, еще не изобрели Или так - большое дело написать по крону скрипт,... текст свёрнут, показать
     
     
  • 10.102, ZiNk (ok), 10:47, 21/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Если менять по крону - то у тебя может мак сменить в разгар подключения с обрыво... текст свёрнут, показать
     

  • 1.9, Водородный Ким (?), 00:12, 19/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Защиту они поставят, ну-ну. Забодяжат еще и пару багдоров от анб и все будет хорошо.
    Расслабляйтесь.
     
     
  • 2.21, Аноним (-), 03:21, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Багдор - дверь в баги? :)
     
     
  • 3.79, славян (?), 19:46, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это такая дверь в мир виндовс))
     

  • 1.12, Сергей (??), 00:23, 19/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    При чем тут ваша точка, которая светит в пространство со своим MAC-адресом, вот ваш смарт при сканировании светит собственным MAC-ом, который
     
  • 1.13, Сергей (??), 00:23, 19/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    который виден всем кто рядом...
     
  • 1.16, Аноним (-), 00:49, 19/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    http://geektimes.ru/post/243599/
     
  • 1.17, Аноним (-), 00:49, 19/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Но КАААК моя точка доступа отправит КУДА-ТО MAC-адрес моего смартфона

    Она и не отправляет. Отправляет твой смартфон сам уже хотя бы потому, что он подключён к твоей точке доступа.
    А у злоумышленника https://ru.wikipedia.org/wiki/Promiscuous_mode на вайвае и он элементарно собирает весь эфир.

     
  • 1.18, cmp (??), 01:02, 19/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А если клиент уже висит на AP, то его мак тоже радомизируется перед сканированием?
    Помнится на стареньких чипах atheros можно было создать дополнительный интерфейс связаный с физическим и прицепится к 2 точкам, пакеты конечно терялись, но сканировать эфир вполне можно.
     
  • 1.23, Серёга (?), 05:32, 19/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может имело бы смысл всегда посылать случайно сгенерированный MAC, за исключением тех сетей, где DHCP должен прописывать один и тот же IP адрес, для QoS, например.
     
     
  • 2.28, ACCA (ok), 08:33, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Он и там не нужен, для этого существует DHCP Client Identifier.
     

  • 1.29, Аноним (-), 08:51, 19/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > сопряжено с риском возникновения проблем с фильтрами на точке доступа

    Ох тыж матерь божья! Дали водяной пистолет пользователям! Что теперь будут делать беззащитные админы? :-D

     
     
  • 2.64, 10й Брейтовский переулок (?), 15:22, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Обсыхать!
     

  • 1.30, Меломан1 (?), 09:20, 19/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В смысле мои соседи знают когда я прихожу домой? Безобразие какой жуткое!
     
     
  • 2.33, ZiNk (ok), 10:09, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > В смысле мои соседи знают когда я прихожу домой? Безобразие какой жуткое!

    Если ты только дома используешь свою технику - тебе не интересно. Зато интересно всем тем, кто часто работает вне дома.

     
     
  • 3.37, Меломан1 (?), 10:38, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> В смысле мои соседи знают когда я прихожу домой? Безобразие какой жуткое!
    > Если ты только дома используешь свою технику - тебе не интересно. Зато
    > интересно всем тем, кто часто работает вне дома.

    Допустим операторы Wi-Fi на остановке, автобусе или метро будут знать, что ты тут бываешь, тебе то что от этого? Или ты приехал в Таиланд и включил свой Галакси с6, что от этого? Или ты боишься, что тебя на работе начальство заругает за то что ты пользуешься Wi-Fi ? Объясните в чем фишка этой мульки?


     
     
  • 4.38, iPony (?), 11:04, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если это сделали apple в iOS, значит это нужно.
     
  • 4.39, ZiNk (ok), 11:07, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>> В смысле мои соседи знают когда я прихожу домой? Безобразие какой жуткое!
    >> Если ты только дома используешь свою технику - тебе не интересно. Зато
    >> интересно всем тем, кто часто работает вне дома.
    > Допустим операторы Wi-Fi на остановке, автобусе или метро будут знать, что ты
    > тут бываешь, тебе то что от этого? Или ты приехал в
    > Таиланд и включил свой Галакси с6, что от этого? Или ты
    > боишься, что тебя на работе начальство заругает за то что ты
    > пользуешься Wi-Fi ? Объясните в чем фишка этой мульки?

    Не интересно - не включай. И знать будут не только операторы вафли, но и вообще все, кто умеет снифать траффик летающий в открытом виде.

     
     
  • 5.40, Меломан1 (?), 11:19, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что они будут знать? Откуда они знают, что это мой MAC? И при чем тут открытый трафик и эта фича? Херня какая-то бесполезная по-моему или я чего то не догоняю.
     
     
  • 6.43, Khariton (ok), 11:35, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что они будут знать? Откуда они знают, что это мой MAC? И
    > при чем тут открытый трафик и эта фича? Херня какая-то бесполезная
    > по-моему или я чего то не догоняю.

    Производитель ОС, если телефон подключен к Сети знает номер телефона и маки с ним связанные, знает е-мейл и пр вайберы на этой ОС.
    Собрав в кучу эту инфу и запросив ответственные за эти услуги компании, можно узнать кто это был.

    Вопрос в другом: будут ли про Вас это узнавать? Пока думаю, что нет. Но технологии развиваются так стремительно, что если в 2000-м о контекстной рекламе никто не мечтал(ибо затратно по ресурсам), то теперь с ней борются на стороне пользователя во всю.

     
  • 6.47, ZiNk (ok), 11:48, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Что они будут знать? Откуда они знают, что это мой MAC?

    Если будет слежка лично за тобой - прокорреллируют, если рекламодатели - то один раз в открытой точке отметят и начнут собирать на тебя профиль. Им плевать кто ты конкретно, для них ты будешь профиль №ХХХХХХ, который любит зелёные кактусы, мягкое порно с бабушками, столовое серебро, видеокарты НВидия и что ещё ты умудришься поискать, находясь в их сети. А потом они будут узнавать что ты находишься где-то, даже если ты не подсоединился к их точке, а просто оказался рядом и просканировал эфир чтобы посмотреть какие сетки есть.

    >> И при чем тут открытый трафик и эта фича?

    При том что MAC адреса летают в открытом виде и их слушать не составляет вообще никакой проблемы, нужна только вафлекарточка и пол-извилины.

    >> Херня какая-то бесполезная по-моему или я чего то не догоняю.

    Второе.

     
  • 4.45, Gannet (ok), 11:36, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это нужно чтобы Борна не идентифицировали.
     
  • 4.50, Аноним (-), 11:55, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Городской оператор знает все твои перемещения: где ты скупаешься, где работаешь, где отдыхаешь.
    Если ты из тех эксгибиционистов, которым "скрывать нечего", то ходи голый. А я не считаю нужным делиться своей жизнью с рекламодателями и прочими чертями.
     
  • 4.100, Аноним (-), 22:14, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>> В смысле мои соседи знают когда я прихожу домой? Безобразие какой жуткое!
    >> Если ты только дома используешь свою технику - тебе не интересно. Зато
    >> интересно всем тем, кто часто работает вне дома.
    > Допустим операторы Wi-Fi на остановке, автобусе или метро будут знать, что ты
    > тут бываешь, тебе то что от этого? Или ты приехал в
    > Таиланд и включил свой Галакси с6, что от этого? Или ты
    > боишься, что тебя на работе начальство заругает за то что ты
    > пользуешься Wi-Fi ? Объясните в чем фишка этой мульки?

    Для тебя лично это совершенно бесполезное нововведение. Можешь не обновляться.

     

  • 1.31, Аноним (-), 09:44, 19/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    ip link set wlan0 down от этого не спасает? Тогда нужен ноут с хардварной кнопкой отключения wireless, а nm как был ненужным так и остался.
     
     
  • 2.44, Khariton (ok), 11:36, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > ip link set wlan0 down от этого не спасает? Тогда нужен ноут
    > с хардварной кнопкой отключения wireless, а nm как был ненужным так
    > и остался.

    спасибо. удовлетворили...)))

     
  • 2.51, Аноним (-), 11:56, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А еще о тебе знают все операторы точек, рядом с которыми ты рядом ходил. Не важно, коннектился ты к точкам или нет.
     
     
     
    Часть нити удалена модератором

  • 4.61, xm (ok), 12:56, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос не во взломе, вопрос в отслеживании. На это и направлена новая фича.
     
  • 4.65, Аноним (-), 16:09, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не понимаешь, в чем суть проблемы?
    Или у тебя нет восприятия градаций? Нет разницы, кто, сколько и чего о тебе знает? Тебе плевать на собственную приватность?

    Если да, то извини, я с эксгибиционистами не дружу.

    Если нет, то просто так рассказывать всем подряд, где я нахожусь в каждый момент времени, я не хочу и ты должен понимать, почему.

     
     
  • 5.66, клоун (?), 16:26, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Построй модель угроз и расскажи:
    1. кто пытается следить за тобой (= отслеживать твоё местоположение по MAC?
    2. по какой причине он следит за тобой?
    3. почему ты не хочешь, чтобы он тебя нашёл?

    Большинство людей - это неуловимые Джо. Все, кому это будет нужно (коллекторы, ФСБ) их без труда найдут. И MAC им для этого не нужен.

    То, что какой-то клоун в кафэшке настроит ПО чтобы сохранять MAC адреса телефонов клиентов - да и болт с ним.

    Мне не наплевать на приватность, но свой MAC адрес я к информации, которую нужно скрывать, не отношу.

     
     
  • 6.70, ZiNk (ok), 17:35, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Построй модель угроз и расскажи:
    > 1. кто пытается следить за тобой (= отслеживать твоё местоположение по MAC?
    > 2. по какой причине он следит за тобой?
    > 3. почему ты не хочешь, чтобы он тебя нашёл?

    Вы не хотите повесить своё расписание дня на своей входной двери? Если нет, то ответьте на свои 3 вопроса.

    > Большинство людей - это неуловимые Джо. Все, кому это будет нужно (коллекторы,
    > ФСБ) их без труда найдут. И MAC им для этого не
    > нужен.

    Адресный поиск возможен, но он сложен и требует затрат усилий. Массовое автоматизированое отслеживание резко снижает порог вхождение в слежку до уровня гопоты и почти готового сервиса "дома ли хозяева".

    > То, что какой-то клоун в кафэшке настроит ПО чтобы сохранять MAC адреса
    > телефонов клиентов - да и болт с ним.

    Вот только клоун настроит не в одной кафешке, а сразу в сети кафешек. И клоун этот будет какой-нибудь билайн. А потом по задумке гениальных маркетологов начнёт эти данные активно сохранять, подвязывать к ним всю собранную информацию если только "посчастливится" воспользоваться какой-нибудь бесплатной точкой доступа и будет продавать данные о перемещении маркетолухам оптом и в розницу. "Мы заметили, что вы перестали заходить в л
    ликёро-рюмочную Н и начали посещать городскую поликлинику и хотим предложить вам скидку на лекарство от цироза печени".

    > Мне не наплевать на приватность, но свой MAC адрес я к информации,
    > которую нужно скрывать, не отношу.

    Я не отношу своё имя к информации, которую нужно скрывать, но и ходя по улице его не кричу каждые 2 минуты.

     
  • 6.81, Аноним (-), 22:28, 19/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1 Любой, способный раскинуть несколько сотен слушающих точек по городу 2 Бабл... большой текст свёрнут, показать
     
  • 2.95, Аноним (-), 19:52, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > ip link set wlan0 down от этого не спасает? Тогда нужен ноут
    > с хардварной кнопкой отключения wireless,

    Ты не поверишь, чувак... таких валом. Но они все проприетарные :)

     

  • 1.76, Аноним (-), 19:07, 19/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Искал нечто подобное в Андройде. Вообще, было бы неплохо ещё и mac ap и ssid менять псевдорандомным способом. Да и mac клиента также неплохо менять именно псевдорандомным способом, дабы фильтр на точке мог адаптивно подстраиваться под клиента. Вот это будет жесть. =)
     
     
  • 2.96, Аноним (-), 19:53, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Искал нечто подобное в Андройде. Вообще, было бы неплохо ещё и mac
    > ap и ssid менять псевдорандомным способом. Да и mac клиента также
    > неплохо менять именно псевдорандомным способом, дабы фильтр на точке мог адаптивно
    > подстраиваться под клиента. Вот это будет жесть. =)

    А напиши сам. Тебе полтора гика памятник поставят. Из золота. В натуральную величину. Твоего большого пальца ноги. :) Ты ж в СПО. Тут либо жди вечность - либо сам, всё сам. :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру