Jak nabruździć przy IMEI?
Dłuższy czas temu, przez dość dziwny środek komunikacji, shoutbox na Last.fm, zwrócił się do mnie niejaki stefek99, z dość ciekawą kwestią.
Na ktos.info od jakiegoś czasu wisi strona, na której znajdują się nazwy i numery seryjne niektórych urządzeń, z jakich korzystam. M.in. znajduje się numer IMEI mojego telefonu komórkowego. W założeniu moim, gdyby ktoś bardzo okazyjnie kupił taki telefon, mógłby wrzucić jego numer seryjny do Google i natknąć się na informację, że on należy do mnie i został skradziony.
Dobrze, ale czy zatem nie można by tego numeru wykorzystać w złych celach?
Nie boisz się że ktoś poda IMEI Twojej komorki do operatora jako skradzione w celu zablokowania? Szkoda że nie opiszesz tego kejsu na blogu... :]
Kiedyś zgłosiłem kradzież telefonu, podałem w zeznaniu numer IMEI. Rok później skradziono mi rower, nie miałem numeru ramy, rozmawiałem z policjantem i jak się okazało Policja nie przekazuje do operatorów numerów IMEI w celu zablokowania - trzeba to zrobić samemu. (...)
Sięgnąłem zatem do regulaminu blokowania numerów IMEI dostępnego na stronie mojego operatora. Z tego dokumentu można wyczytać, że aby zablokować numer seryjny urządzenia potrzebne jest zaświadczenie o kradzieży z Policji, z wpisanym numerem, faktura VAT/paragon/karta gwarancyjna/umowa kupna-sprzedaży itp. z wpisanym numerem. Dodatkowo, należy przedstawić swój dokument tożsamości.
Podobne procedury wynikają z odpowiedniej ustawy (Art. 180, ust. 3 Ustawy z dnia 16 lipca 2004 - Prawo Telekomunikacyjne) i obowiązują także u innych operatorów. Więc z samym numerem nie możemy zrobić zbyt wiele... na pewno?
Istnieje możliwość zmiany numeru IMEI w istniejącym urządzeniu. Jest to oczywiście karalne (art. 306 Kodeksu Karnego względnie art. 270, par. 1 KK), ale istnieje prawdopodobieństwo, że "mój" numer IMEI zostanie przypisany do drugiego telefonu. Przedstawicielka brytyjskiego BT Cellnet stwierdziła nawet, że aż do 10% numerów IMEI może nie być unikalnych. Niestety, nie potrafię powiedzieć, co się stanie, gdy do sieci zalogują się jednocześnie dwa terminale z takim samym numerem identyfikacyjnym, ale wystarczy zrobić coś innego - narozrabiać telefonicznie na tyle, by Policja zainteresowała się numerem IMEI i poprosiła nas na komisariat na przesłuchanie. Słyszy się o znajdowaniu sprawców przestępstw po samym tylko numerze seryjnym telefonu, lokalizacji telefonów i tym podobnych sprawach.
Można pójść dalej. Wiedząc, że konkretna osoba powiązana jest z danym numerem IMEI można narobić nieprzyjemności konkretnej osobie. Są tacy ludzie, którzy potrafią wymyślić taki plan. Jednak, jeśli nie myślimy o patologicznym, wycelowanym ataku, to samo znalezienie numeru "do nabicia" nie jest większym problemem - wystarczy chwila z wyszukiwarką, względnie taki numer można sobie wygenerować, nawet z "legalnymi" danymi - algorytm wyliczania sumy kontrolnej oraz numery serii danych telefonów są dostępne w Sieci.
A co do problemu przedstawionego na początku - zasadniczo, chyba zdejmę tę konkretną stronę z mojej strony domowej przy okazji następnej przebudowy. Czy ktoś naprawdę wpadł na pomysł wpisania numeru seryjnego ledwo co zakupionego komputera do Google?
A propos numeru IMEI jeszcze jedna uwaga - zdarza się, że policjanci sprawdzają numer naszego telefonu w swojej bazie danych przy okazji jakiejś kontroli (mi np. zdarzyło się to przy jeździe rowerem, gdzie także mój rower został sprawdzony czy nie widnieje w bazie skradzionych). Numer ten jednak nie jest porównywany z tym pod baterią, więc nie da się w ten sposób wychwycić osoby, która zmieniła sobie numer seryjny telefonu. Jest to jednak metoda mało inwazyjna dla obywatela. A co do tego numeru pod baterią... jak to wygląda np. w iPhone? Bo jak wyglądało w Ericssonie T65, również telefonie z niewymienną baterią, nie pamiętam.
Włamują się do maili profesorów
Dziś rano na głównej stronie Gazeta.pl pojawiły się aż dwa teksty powiązane z bezpieczeństwem informatycznym. Jeden, o tytule jak powyżej i drugi o ściganiu "hakerów" z urzędu.
Odniosę się do tego pierwszego, bo jest dość ciekawy. Mamy sytuację, że ktoś, wykorzystując pocztę elektroniczną, podszywa się pod znane osoby i prosi o pieniądze. Ot, przekręt nigeryjski w wersji bardziej autentycznej.
Mimo, iż w dwóch przykładach podanych w artykule atakujący "złamali zabezpieczenia i podszywając się pod niego, wysłali list po angielsku do osób i instytucji z listy mailingowej z dramatyczną prośbą o pomoc", a potem zmienili hasła, to tak w rzeczywistości podszycie się pod znaną osobistość nie wymaga przecież włamania się do skrzynki pocztowej! Protokół SMTP jest na tyle uprzejmy, że w nagłówku "From" może znaleźć się cokolwiek. Bez większych problemów jestem w stanie wysłać wiadomość "pochodzącą" od np. Billa Gatesa.
Gorszym "problemem" dla oszustów może być zdobycie listy osób zaufanych, przyjaciół i znajomych, którym można by podesłać spreparowany list. Oczywiście, po włamaniu się na skrzynkę pocztową, zwłaszcza rozbudowanego webmaila, tak jak GMail w artykule, dostajemy listę osób, z którymi ofiara korespondowała. Ale... może i bez tego da się obejść? Oczywiście!
"Z pomocą" atakującemu mogą przyjść sieci społecznościowe. Patrzymy po znajomych danej osoby na Facebooku czy Naszej-Klasie (często znajomi są pokazywani bez problemów), wynajdujemy wśród nich osoby z pracy, czy rodzinę, potem zostaje nam tylko jakoś odnaleźć ich adresy e-mail, niekiedy w tych serwisach widoczne... i przekręt gotowy.
Teoretycznie, obroną przed podszyciem się przez inny serwer za nas mógłby być SPF. W praktyce - SPF nie zawsze działa. Owszem, zdarza się, że zostanie wykryte, że dany adres IP nie jest faktycznie serwerem nadawcy, ale są systemy pocztowe, które po prostu to ignorują. Aby zabezpieczyć się przed włamaniem na skrzynkę, to oczywiście są potrzebne rzeczy znane - silne hasło i silny mechanizm zabezpieczający przed użyciem generowania nowego hasła.
No i ewentualnie jeszcze jeden mechanizm - podpisywanie własnej poczty za pomocą podpisu cyfrowego. Czy to S/MIME, czy PGP, taki list bez podpisu byłby automatycznie uznawany za podejrzany. Problemem jest jednak skomplikowane dość użycie i nieznajomość tej technologii u innych użytkowników.
Na koniec jeszcze jedna uwaga dotycząca bezpieczeństwa poczty. Kilka lat temu został mi skradziony telefon. Telefon ten miał wbudowanego klienta e-mail, który przechowywał hasło w postaci czystego tekstu. Nowy posiadacz telefonu był w stanie zmienić moje hasło dostępowe do skrzynki, pytanie zabezpieczające i odpowiedź. A do tego na jeden z nadchodzących listów odpowiedział dość niekulturalnym komentarzem. Dzisiaj stracić telefon też jest łatwo - nie wiem czy łatwo jest uzyskać hasło do skrzynki, ale pobawić się czyimś telefonem z aktywnym odbieraniem poczty się da. Także zapewne wysłać wiadomość, jeśli skrzynka jest skonfigurowana. Na to też trzeba uważać.
Bezprzewodowo
Bezprzewodowość. Aktualna moda. Bezprzewodowe sieci, bezprzewodowe zasilanie, bezprzewodowe USB. Akurat to ostatnie było by dość fajne.
Cóż z tego, że mam dużo bezprzewodowych rzeczy, skoro z mojego komputera i tak wystają cztery "stacje odbiorcze"?
Odbiornik IR do pilota, odbiornik do myszki, odbiornik do pada, stacja nadawcza do bezprzewodowych słuchawek. I jak było zagracone, tak jest nadal.