Сенсация! Настолько грубого нарушения законов свободы личности и передаваемой информации я еще не видел!
Представьте ситуацию - вы хотите поменять пароль на WIFI в своём роутере. Вполне законное желание, не правда ли? Любой роутер позволяет это сделать, достаточно лишь попасть в веб интерфейс управления, набрав в браузере что-то вроде 192.168.1.1. Или более экзотическим способом, например через telnet. Но так или иначе, это ВАШЕ оборудование, и вы вправе делать с ним что хотите. Но компания Ростелеком решила иначе.
Еще когда они только начали поставлять свои новые роутеры "Элтекс" (ELTEX) - или терминалы оптоволоконной связи - это неважно в данном аспекте - так вот, уже тогда в них нельзя было поменять пароль беспроводной сети. При смене пароля он менялся - но только до перезагрузки роутера. Меня это несколько насторожило, но несильно. При этом любой пользователь мог зайти в интерфейс роутера через браузер по адресу 192.168.1.1 , используя дефолтные логин/пароль user/user. А на днях Ростелеком запретил вход в свои терминалы/роутеры вообще всем. По крайней мере мне так сказали сегодня по телефону сотрудники техподдержки.
Теперь о техподдержке. В ней произошли неприятные изменения. Если раньше, дозвонившись, достаточно было лишь назвать номер договора, паспортные данные и фамилию третьей будущей жены - и можно было поменять пароль для PPPOE - если забыли старый. Или получить уточнение - есть привязка к мак адресу или нет. То теперь, когда вы продиктуете свои данные очередному мальчику или девочке - услышите загадочное - соединяю со специалистом (а до этого я с кем разговаривал, блеать?!?!) - и потом музычку. Бодрую музычку минут 15-20. Я пару раз послушал эти однообразные треки по 20 минут - конечно, без ответа - и составил 2 претензии. Кстати, у меня есть аудиозапись, где сотрудник Ростелекома прямой речью подтверждает, что отныне рядовые пользователи не вправе менять пароли wifi и вообще заходить в настройки роутера.
А теперь по порядку о безопасности такого подхода.. Как я писал некоторое время назад, в Сургуте сотрудниками Ростелекома устанавливались пароли на wifi вида 7786ХХХХХХХ, которые можно было взломать менее чем за десять минут. Взлом пароля - уголовное преступление, но разве хакеров это остановит? Я по роду деятельности уже лет с десять изучаю в том числе вопросы информационной безопасности, поэтому вынужден знать и "тёмную сторону силы". Хотя бы поверхностно.
Немного математики. Как узнать, сколько вариантов надо подобрать для взлома пароля? Если кратко - ничего сложного. Надо возвести количество ИСПОЛЬЗУЕМЫХ в пароле символов в степень КОЛИЧЕСТВА этих символов.
Пара примеров.
1. Если в пароле только цифры от 0 до 9. Семь полей ввода. Результат - десять в седьмой степени = 10.000.000 вариантов
2. Если в пароле цифры (10) и латинские ЗАГЛАВНЫЕ буквы (26). Пять полей ввода. Результат - 36 в пятой степени = 60.466.176 вариантов.
Я неслучайно привёл в качестве примеров именно эти цифры - сотрудники Ростелекома наверное уже поняли, почему.
Лет десять назад даже первый вариант был вполне надежен. Скорость подбора пароля упирается в вычислительную мощность компьютера. Вот статья на эту тему из Википедии , обратите внимание на фразу "100.000 паролей в секунду" Так вот, десять лет назад скорость подбора составляла (условно) 1000 паролей в секунду. Сейчас она в 100 раз выше - даже на обычных ноутбуках. Теперь посмотрите на таблицу из этой статьи - графа 5.
Это как раз то, что мы имеем в настоящий момент в Ростелекоме на роутерах "Элтекс". Любой пароль на них можно взломать за 10 минут.
Сравним с другими провайдерами. Скажем, нелюбимый мной Югрател ставит в качестве пароля 8 полей из 62-х символов. Легко проверить, что при скорости перебора 100.000 в секунду на взлом такого пароля уйдёт около 70 лет!! Сравните - 10 минут и 70 лет.
При этом злодею-хакеру даже не надо стоять у ваших дверей эти десять минут. Он просто за полминуты получит нужную для взлома информацию со всего вашего дома, а потом в тихой спокойной обстановке всё взломает.
И вот представьте моё состояние - у меня в квартире стоит роутер от Ростелекома, который взламывается на раз-два. А я даже не могу зайти в его настройки, чтобы совсем ОТКЛЮЧИТЬ wifi!! Компьютерная грамотность технических специалистов Ростелекома вызывает серьёзные сомнения, если только эта плохая криптостойкость их паролей (на протяжении многих лет) не вызвана другими причинами, о которых даже писать не хочется..
И любой нехороший человек может стать у моей двери с буком, а если я живу на первом этаже - даже не выходя из машины - залезть в мою сеть за 10 минут. Я ничуть не преувеличиваю опасность. Я её даже несколько преуменьшил. Как я уже писал, безопасностью компьютеров и сетей я занимаюсь по роду деятельности (правда, косвенно - я мастер по ремонту пк). Поэтому меня крайне возмущает запрет Ростелекома по доступу в роутеры и настораживает возможность легкого взлома этих самых роутеров злоумышленниками.
Давайте подытожим печальное положение дел у абонентов Ростелекома:
1. Вы не сможете изменить название сети и пароль на wifi по своему усмотрению. Совсем отключить wifi тоже не получится. Хотя в этом случае можно было бы что-нибудь придумать. Скажем, отключаем Wifi на Eltex-e , рядом ставим какой-нибудь длинк или тплинк или асус, подключаем через RJ-45 - и там настраиваем беспроводную сеть удобным нам образом. Но увы.. Это не тот случай.
2. Пароль на wifi по умолчанию может быть взломан менее чем за 10 минут.
3. Через вашу сеть нехорошие люди могут делать плохие дела; а когда к вам вломятся маски-шоу, вы будете долго доказывать, что не верблюд.
В связи со всем вышесказанным к Ростелекому возникает пара вопросов:
1. Терминалы, которые вы устанавливаете, являются собственностью клиента или вашей собственностью?
2. Если они таки ваша собственность, имеет ли право пользователь купить своё оборудование, установить вместо вашего и настраивать как ему надо, а не по вашим меркам? Или скажем выкупить у вас терминал?
Если в ближайшее время ситуация кардинально не изменится, я буду категорически всем советовать не пользоваться услугами данного провайдера.
Представьте ситуацию - вы хотите поменять пароль на WIFI в своём роутере. Вполне законное желание, не правда ли? Любой роутер позволяет это сделать, достаточно лишь попасть в веб интерфейс управления, набрав в браузере что-то вроде 192.168.1.1. Или более экзотическим способом, например через telnet. Но так или иначе, это ВАШЕ оборудование, и вы вправе делать с ним что хотите. Но компания Ростелеком решила иначе.
Еще когда они только начали поставлять свои новые роутеры "Элтекс" (ELTEX) - или терминалы оптоволоконной связи - это неважно в данном аспекте - так вот, уже тогда в них нельзя было поменять пароль беспроводной сети. При смене пароля он менялся - но только до перезагрузки роутера. Меня это несколько насторожило, но несильно. При этом любой пользователь мог зайти в интерфейс роутера через браузер по адресу 192.168.1.1 , используя дефолтные логин/пароль user/user. А на днях Ростелеком запретил вход в свои терминалы/роутеры вообще всем. По крайней мере мне так сказали сегодня по телефону сотрудники техподдержки.
Теперь о техподдержке. В ней произошли неприятные изменения. Если раньше, дозвонившись, достаточно было лишь назвать номер договора, паспортные данные и фамилию третьей будущей жены - и можно было поменять пароль для PPPOE - если забыли старый. Или получить уточнение - есть привязка к мак адресу или нет. То теперь, когда вы продиктуете свои данные очередному мальчику или девочке - услышите загадочное - соединяю со специалистом (а до этого я с кем разговаривал, блеать?!?!) - и потом музычку. Бодрую музычку минут 15-20. Я пару раз послушал эти однообразные треки по 20 минут - конечно, без ответа - и составил 2 претензии. Кстати, у меня есть аудиозапись, где сотрудник Ростелекома прямой речью подтверждает, что отныне рядовые пользователи не вправе менять пароли wifi и вообще заходить в настройки роутера.
А теперь по порядку о безопасности такого подхода.. Как я писал некоторое время назад, в Сургуте сотрудниками Ростелекома устанавливались пароли на wifi вида 7786ХХХХХХХ, которые можно было взломать менее чем за десять минут. Взлом пароля - уголовное преступление, но разве хакеров это остановит? Я по роду деятельности уже лет с десять изучаю в том числе вопросы информационной безопасности, поэтому вынужден знать и "тёмную сторону силы". Хотя бы поверхностно.
Немного математики. Как узнать, сколько вариантов надо подобрать для взлома пароля? Если кратко - ничего сложного. Надо возвести количество ИСПОЛЬЗУЕМЫХ в пароле символов в степень КОЛИЧЕСТВА этих символов.
Пара примеров.
1. Если в пароле только цифры от 0 до 9. Семь полей ввода. Результат - десять в седьмой степени = 10.000.000 вариантов
2. Если в пароле цифры (10) и латинские ЗАГЛАВНЫЕ буквы (26). Пять полей ввода. Результат - 36 в пятой степени = 60.466.176 вариантов.
Я неслучайно привёл в качестве примеров именно эти цифры - сотрудники Ростелекома наверное уже поняли, почему.
Лет десять назад даже первый вариант был вполне надежен. Скорость подбора пароля упирается в вычислительную мощность компьютера. Вот статья на эту тему из Википедии , обратите внимание на фразу "100.000 паролей в секунду" Так вот, десять лет назад скорость подбора составляла (условно) 1000 паролей в секунду. Сейчас она в 100 раз выше - даже на обычных ноутбуках. Теперь посмотрите на таблицу из этой статьи - графа 5.
Это как раз то, что мы имеем в настоящий момент в Ростелекоме на роутерах "Элтекс". Любой пароль на них можно взломать за 10 минут.
Сравним с другими провайдерами. Скажем, нелюбимый мной Югрател ставит в качестве пароля 8 полей из 62-х символов. Легко проверить, что при скорости перебора 100.000 в секунду на взлом такого пароля уйдёт около 70 лет!! Сравните - 10 минут и 70 лет.
При этом злодею-хакеру даже не надо стоять у ваших дверей эти десять минут. Он просто за полминуты получит нужную для взлома информацию со всего вашего дома, а потом в тихой спокойной обстановке всё взломает.
И вот представьте моё состояние - у меня в квартире стоит роутер от Ростелекома, который взламывается на раз-два. А я даже не могу зайти в его настройки, чтобы совсем ОТКЛЮЧИТЬ wifi!! Компьютерная грамотность технических специалистов Ростелекома вызывает серьёзные сомнения, если только эта плохая криптостойкость их паролей (на протяжении многих лет) не вызвана другими причинами, о которых даже писать не хочется..
И любой нехороший человек может стать у моей двери с буком, а если я живу на первом этаже - даже не выходя из машины - залезть в мою сеть за 10 минут. Я ничуть не преувеличиваю опасность. Я её даже несколько преуменьшил. Как я уже писал, безопасностью компьютеров и сетей я занимаюсь по роду деятельности (правда, косвенно - я мастер по ремонту пк). Поэтому меня крайне возмущает запрет Ростелекома по доступу в роутеры и настораживает возможность легкого взлома этих самых роутеров злоумышленниками.
Давайте подытожим печальное положение дел у абонентов Ростелекома:
1. Вы не сможете изменить название сети и пароль на wifi по своему усмотрению. Совсем отключить wifi тоже не получится. Хотя в этом случае можно было бы что-нибудь придумать. Скажем, отключаем Wifi на Eltex-e , рядом ставим какой-нибудь длинк или тплинк или асус, подключаем через RJ-45 - и там настраиваем беспроводную сеть удобным нам образом. Но увы.. Это не тот случай.
2. Пароль на wifi по умолчанию может быть взломан менее чем за 10 минут.
3. Через вашу сеть нехорошие люди могут делать плохие дела; а когда к вам вломятся маски-шоу, вы будете долго доказывать, что не верблюд.
В связи со всем вышесказанным к Ростелекому возникает пара вопросов:
1. Терминалы, которые вы устанавливаете, являются собственностью клиента или вашей собственностью?
2. Если они таки ваша собственность, имеет ли право пользователь купить своё оборудование, установить вместо вашего и настраивать как ему надо, а не по вашим меркам? Или скажем выкупить у вас терминал?
Если в ближайшее время ситуация кардинально не изменится, я буду категорически всем советовать не пользоваться услугами данного провайдера.
Комментариев нет:
Отправить комментарий