Всем здравствуйте!
Я очень давно не писал в блог из-за отсутствия времени (в связи с переездом), однако, приехав в Казахстан домой, так сказать - на каникулы, обнаружил некоторые интересные моменты, связанные с безопасностью пользователей.
Многие знакомы с девайсом GPON Home Gateway.
Поковыряв устройство и поразмыслив о том, что можно сделать, пришел к выводу, что у нашего провайдера не все в порядке с безопасностью.
Как минимум об этом говорит статический IP для каждого девайса, который выдается путем привязки mac-IP (данный момент я и сам понял, и как-то при настройке специалист об этом обмолвился). Сам по себе факт наличия подобной связки не критичен, однако, если выдать девайсу "правильные" параметры (IP, MAC, например), то можно получить множество интересной информации и более широкий доступ. Как минимум можно просканировать трафик пользователей и получить необходимые данные в виде тех же cookie, логинов/паролей и еще кучи всего.
А, если учесть, что большинство людей не грамотны в вопросах компьютерной безопасности, что такое разграничение сетей и множество подобных моментов, этим можно воспользоваться. Как минимум в пределах одного дома (одной железки) к которой подключаются пользователи.
Дальше смотреть не стал ибо не было ни желания, ни времени. Просто призвываю сменить дефолтные логин/пароль на своих девайсах и позаботиться о домашней безопасности.
Отклоняясь от темы, могу заметить, что это далеко не первый подобный косяк. При желании можно найти и пользовательские данные, необходимые для дотупа в интернет, и еще кучу всего. Например, самый большой промах в данном случае - использование для привязки MAC-адреса девайса. Если вдруг у провайдера отсутствуют дополнительные блокировки-условия, то можно получить доступ через один аккаунт из нескольких мест. Этот момент я не проверял в силу отсутствия времени, но, что-то мне подсказывает, что дла именно так и обстоят.
P.S. В принципе пост не несет в себе особых побуждений к действию, не несет никакой секретной информации, однако показывает о том, что есть дырки, которые стоит предугадать, дабы защитить себя.