В состав готовящейся к выпуску ветки сетевого конфигуратора NetworkManager 1.2 добавлен (https://blogs.gnome.org/lkundrak/2016/01/18/networkmanger-an.../) механизм для борьбы c отслеживанием перемещения пользователя через мониторинг его нахождения в зоне видимости различных беспроводных сетей. Основной проблемой является то, что MAC-адрес, привязанный к беспроводному адаптеру, отправляется в эфир даже если устройство не подключается к точке доступа. Все находящиеся в зоне досягаемости беспроводные сети видят отправляемый при сканировании сетей неизменный MAC-адрес, отождествлённый с одним и тем же устройством, что позволяет скрыто отслеживать перемещение пользователя.
Суть представленного в NetworkManager метода противодействия отслеживанию в использовании случайно сгенерированного MAC-адреса при выполнении операции сканирования сетей. Перед подключением и при привязке к точке доступа MAC-адрес изменяется на постоянный, который указан в прошивке беспроводного адаптера, что позволяет избежать проблем с привязкой параметров клиента. В качестве опции предусмотрена возможность рандомизации постоянного MAC-адреса, но её использование сопряжено с риском возникновения проблем с фильтрами на точке доступа.URL: https://blogs.gnome.org/lkundrak/2016/01/18/networkmanger-an.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43691
Фильтрация по MAC на точке доступа - такая же защита, как занавешивание шторкой с запиской "не входить" входа в квартиру. Помогает или от очень вежливых людей или от очень тупых.А вот нововведение - отличное.
Что на ваш взгляд является лучшей защитой? Я для себя, кроме шуток.
дверь открывающаяся ключом, на данный wpa2, когда его скомпроментируют,будет wpa3
выломать дверь, обязательно со взрывом
> дверь открывающаяся ключом, на данный wpa2, когда его скомпроментируют,будет wpa3скомпроментируют ?
wpa2 ?
этот тот, который шифруется 8192 раза ?Да и потом - как перевести уже все выпущенные железки на использование wpa3 :) ?
> как перевести уже все выпущенные железки на использование wpa3 :) ?а вот поэтому и предлагают умные люди использовать железки со свободной прошивкой.
дабы обновление можно было сделать парой команд, а не ждать милости от производителя.
Разумеется отключение вайфая.
В домашней сети хватает сейчас за глаза WPA2, если отключены всяческие WPS и прочие "упростители авторизации".
Вот так вот просто? :( Я ожидал услышать пару дельных советов. Ну ок. Все равно спасибо.
IBM в своё время предложила следующие рекомендации:1. Беспарольный WiFi (для уменьшения оверхеда)
2. Отсутствие возможности прямой связи между клиентами точки доступа
3. Весь трафик внутри VPN с хорошим шифрованиемПосле повсеместного распространения WPA2 рекомендации были признаны устаревшими.
Как самодостаточный способ защиты - ужасен, а в комплексе очень даже можно юзать как дополнительную ступеньку от дураков. Лочим трафик по маку + аутентификация по паролю.p.s. живой пример - все знают что ssh имеет порт 22, если железка сморит в инет, то китай-боты закакают все логи и лишняя нагрузка на обработку запросов. Ставим 11022, вроде и не защита, всё тоже самое, но при этом никакой нагрузки на мусорные запросы.
Какой замечательный непуганый дурачёк :) На 11022 вешает sshd :)Не дадите мне совершенно непривилегированный шелл на вашем сервере? Ну пожалуйста!
> Какой замечательный непуганый дурачёк :) На 11022 вешает sshd :)
> Не дадите мне совершенно непривилегированный шелл на вашем сервере? Ну пожалуйста!Дубина, это у него защита от забивания логов ботами, а не от взлома ssh.
> Не дадите мне совершенно непривилегированный шелл на вашем сервере? Ну пожалуйста!---
Ситуация 3. Регистрация новых пользователейМаньяк. "Если ты настолько глуп, что не можешь взломать машину и самостоятельно зарегистрироваться, тебе нечего делать в моей системе. В этом ящике и так слишком много придурков".
---Вспомнилось к чему-то...
как все просто...
а то что боты шлют запросы по всем портам но запросы согласно SHH протокола, то это ничего...))) он обнаружит порт который ответит по запросу и будет его долбить...
Да от ручного подсоединения кулхацкером - это защитит, но от бота отложит только на несколько минут...))) потом весь пул бота будет знать что на таком IP - 11022 порт...)))
Админ локалхоста, или есть реальный опыт долбления случайных ботов в рандомный порт? Что-то мне подсказывает что первое. Т.к. опыт говорит о том что боты на случайные номера не приходят практически никогда (а может просто - никогда). Если же кто-то таки долбится, то очевидно что этот "кто-то" уже вовсе не случайный бот.
Ходят еще как.
Периодически пролетают сканы целиком /24 (а может и больше):1-65535, при чем сканят с разных адресов - явно хорошо скоординированный распределенный ботнет.
> Ходят еще как.
> Периодически пролетают сканы целиком /24 (а может и больше):1-65535, при чем сканят
> с разных адресов - явно хорошо скоординированный распределенный ботнет.Так может просто ваша сетка где-то засветилась и кто-то преднамеренно копает?
Потому что альтернативный порт обычно спасает от подобного очень сильно.
> Админ локалхоста, или есть реальный опыт долбления случайных ботов в рандомный порт?
> Что-то мне подсказывает что первое. Т.к. опыт говорит о том что
> боты на случайные номера не приходят практически никогда (а может просто
> - никогда). Если же кто-то таки долбится, то очевидно что этот
> "кто-то" уже вовсе не случайный бот.Ой на не. Давно статистику запросов с внешнего интерфейса снимали?
> Ой на не. Давно статистику запросов с внешнего интерфейса снимали?Интерфейса? А у вас статистика интерфейса пишет попытки неудачного логина на уровне приложения? Дела!..
У меня обычно это в системных логах. И да, там ничего подобного не встречается, специально перед тем как писать предыдущий пост погрепал все доступные логи авторизаций.
ишь бы высраться в камментах. Хочешь сказать, что если поставить неродной порт, то запросов на него будет не меньше чем на дефолтный?
проблемы большой не вижу. почему фаерволлу не закрывать все порты от подключения)) правда только на терминале сработает, а н серваке не проскочит, хотя... если распределенная сеть серваков внутри компании и нет необходимости пускать всех то настроить не проблема на определенные ip. была еще прога , которая открывала доступ по спец обращениям. типа тук тук и входим. вот только забыл название.
> проблемы большой не вижу. почему фаерволлу не закрывать все порты от подключения))
> правда только на терминале сработает, а н серваке не проскочит, хотя...
> если распределенная сеть серваков внутри компании и нет необходимости пускать всех
> то настроить не проблема на определенные ip. была еще прога ,
> которая открывала доступ по спец обращениям. типа тук тук и
> входим. вот только забыл название.Технология так и называется - port knocking, поддержка в стандартной поставке openssh и клиента и сервера ЕМНИП.
ну я же пользователь локалхоста мне можно)))
подтверждаю - попытки взлома ботами ssh на других портах отсутствуют.
> подтверждаю - попытки взлома ботами ssh на других портах отсутствуют.Большое дело, ёпт. Отключаешь парольную аутентификацию - как класс - делаешь вход по ключу 4096, ставишь сайфер-мак-DH по максимуму, остальное гасишь - и можешь спокойно наблюдать как полудырки раз в сутки отсасывают. Что, проблема?
> Отключаешь парольную аутентификацию - как классХозяйке на заметку:
# control | grep sshdНу и да, http://altlinux.org/changes насчёт openssh 7.x.
sshd-allow-groups enabled (enabled disabled)
sshd-password-auth disabled (enabled disabled default)
>[оверквотинг удален]
> Дурачок тут - только ты.
> MAC - сущность легко сменяемая, как на точке, так и на клиенте,
> если ты подсоединяешь автоматом к какой-то точке - сделать точно такую
> же и с таким же MAC - вообще никакой проблемы не
> представляет, так что фильтры эти - вообще ни о чём и
> ни о какой безопасности или ACL тут говорить не приходится.
> Без разницы сколько МАСов имеет доступ к этой точке - достаточно один
> раз увидеть в сети клиента которому разрешено (а МАСи летают в
> открытом виде) и всё - недокакер может спокойно подключаться к сети.
> Аналогия точно так же действует.ну с таким подходом пароль из 12 символов тоже как бы не защита.))) Давайте откажемся от паролей...
но 12 символов логина + 12 символов пароля + 12 символов мака(грубо) = 36 символов аутентификации. Значительно сложнее, но если подсмотреть мак снифером, то проще...
>[оверквотинг удален]
>> если ты подсоединяешь автоматом к какой-то точке - сделать точно такую
>> же и с таким же MAC - вообще никакой проблемы не
>> представляет, так что фильтры эти - вообще ни о чём и
>> ни о какой безопасности или ACL тут говорить не приходится.
>> Без разницы сколько МАСов имеет доступ к этой точке - достаточно один
>> раз увидеть в сети клиента которому разрешено (а МАСи летают в
>> открытом виде) и всё - недокакер может спокойно подключаться к сети.
>> Аналогия точно так же действует.
> ну с таким подходом пароль из 12 символов тоже как бы не
> защита.))) Давайте откажемся от паролей...Пароль - защита если передаётся по защищённому каналу и с правильной процедурой handshake'а чтобы не было уязвимо к MITM и replay-attack. Если ты гоняешь пароль открытым текстом по беспроводной сети, то ты прав - это не защита.
> но 12 символов логина + 12 символов пароля + 12 символов мака(грубо)
> = 36 символов аутентификации. Значительно сложнее, но если подсмотреть мак снифером,
> то проще...
>>но если подсмотреть мак снифером, то прощеИменно поэтому и не считаются эти 48 битов MACа в общем зачёте от слова "вообще", никто их подбирать не будет, если можно элементарно подслушать.
> достаточно один раз увидеть в сети клиента которому разрешеноДля того, чтобы получить доступ к точке доступа нужно... иметь доступ к точке доступа, гениально!
Любитель тире, ты в своем первом сообщении говорил что-то про доступ в квартиру (аналогия к точке доступа), а сейчас все переводишь на подмену клиенту аналогичной точки доступа с таким же SSID'ом и клиентским маком в ACL. Вообще речь не об этом шла. Если есть для тебя неизвестная AP с одним маком в ACL и ты никогда к ней не подключался, то "ты со своей аналогией идёшь лесом".
>> достаточно один раз увидеть в сети клиента которому разрешено
> Для того, чтобы получить доступ к точке доступа нужно... иметь доступ к
> точке доступа, гениально!Я смотрю, у тебя с чтением проблемы. Чтобы подключиться к точке доступа достаточно пассивно слушать и как-то только кто-то к ней успешно подключается - записываешь MAC и используешь для подключения.
> Любитель тире, ты в своем первом сообщении говорил что-то про доступ в
> квартиру (аналогия к точке доступа), а сейчас все переводишь на подмену
> клиенту аналогичной точки доступа с таким же SSID'ом и клиентским маком
> в ACL.Читай тред выше, я отвечал на:
>>фильтры бывают ещё и в другом направлении.И напомнил, что фильтры в любом направлении обходятся на раз-да.
> Вообще речь не об этом шла. Если есть для
> тебя неизвестная AP с одним маком в ACL и ты никогда
> к ней не подключался, то "ты со своей аналогией идёшь лесом".
>>Если есть для тебя неизвестная AP с одним маком в ACL и ты никогда к ней не подключался, то "ты со своей аналогией идёшь лесом".Если есть неизвестная AP с одним MACом в ACL - то как только это устройство подключается к этой сетке - все, кто слушал сразу узнают какой MAC белый. Так что в лесу ты один и, похоже, заблудился.
Как предложение "фильтры бывают ещё и в другом направлении" заставило тебя переключиться от защиты точки доступа к подмене AP для клиента? Имелись ввиду режимы блокировки ACL.Еще вопрос, от теории к практике, так сказать. Чем ты поймаешь мой MAC при поиске точки доступа и как ты узнаешь, что я подключился?
> Как предложение "фильтры бывают ещё и в другом направлении" заставило тебя переключиться
> от защиты точки доступа к подмене AP для клиента? Имелись ввиду
> режимы блокировки ACL.Ты или фильтруешь на клиенте или на точке доступа. Изначально говорили о фильтровании на точке доступа, ты начал что-то бормотать про "в другом направлении" - логично предположить, что про фильтрование на клиенте. Учись ясно выражать свои мысли.
> Еще вопрос, от теории к практике, так сказать. Чем ты поймаешь мой
> MAC при поиске точки доступа и как ты узнаешь, что я
> подключился?
>> Чем ты поймаешь мой MAC?Любым сниффером на вафлекарточке, которая умеет в promiscuos mode.
>> и как ты узнаешь, что я подключился?Да хотя бы по активному обмену шифроваными пакетами с точкой доступа.
>Учись ясно выражать свои мысли.С чтением здесь, по-моему, у тебя проблемы. Следующие два предложения читал? Тебе было сказано предельно ясно, чтобы не начать нести какую-то про подмену AP клиенту.
>Любым сниффером на вафлекарточке, которая умеет в promiscuos mode.
И да, мною было проверено последней версией Wireshark + promiscuos mode на интерфейсе. Ни одного MAC'а клиента не было замечено, тем более обмена шифрованными пакетами (должно быть они широковещательные, но я их не поймал почему-то).
Расскажи и покажи на практике, как такое сделать. Можешь даже дамп своего "любого сниффера" выслать на почту. Для тебя же это, как шторку отодвинуть в доме, не правда ли?
>>Учись ясно выражать свои мысли.
> С чтением здесь, по-моему, у тебя проблемы. Следующие два предложения читал? Тебе
> было сказано предельно ясно, чтобы не начать нести какую-то про подмену
> AP клиенту.На следующие 2 предложения тебе отдельно ответили.
>>Любым сниффером на вафлекарточке, которая умеет в promiscuos mode.
> И да, мною было проверено последней версией Wireshark + promiscuos mode на
> интерфейсе. Ни одного MAC'а клиента не было замечено, тем более обмена
> шифрованными пакетами (должно быть они широковещательные, но я их не поймал
> почему-то).Значит у тебя вафлекарточка не работает в этом режиме или не туда смотришь. MAC-и в
> Расскажи и покажи на практике, как такое сделать. Можешь даже дамп своего
> "любого сниффера" выслать на почту. Для тебя же это, как шторку
> отодвинуть в доме, не правда ли?Может мне тебе ещё чаю заварить? Или ты принципиально ставишь под вопрос то что MAC-и в сетке передаются в открытом виде?
Значит можно юзать, если "не летает в открытом виде", т е чтобы дать больше доступа эзернетовцам.
пора твой ник переименовывать в "пустое ведерко"
> Как самодостаточный способ защиты - ужасен, а в комплексе очень даже можно
> юзать как дополнительную ступеньку от дураков. Лочим трафик по маку +
> аутентификация по паролю.
> p.s. живой пример - все знают что ssh имеет порт 22, если
> железка сморит в инет, то китай-боты закакают все логи и лишняя
> нагрузка на обработку запросов. Ставим 11022, вроде и не защита, всё
> тоже самое, но при этом никакой нагрузки на мусорные запросы.* добавил в бота 11022. Спасибо!
> * добавил в бота 11022. Спасибо!Просел бы по трафику/времени вдвое, получив ничтожный прирост попаданий, кабы не был балаболкой.
Фильтрация по белому списку mac адресов вполне себе норм.
> Фильтрация по белому списку mac адресов вполне себе норм.Да ну? И сильно помогло?
лучше бы сделали наконец параллельную работу нескольких pptp сессий... Фича конечно хорошая, но насколько она критична...
> лучше бы сделали наконец параллельную работу нескольких pptp сессий... Фича конечно хорошая,
> но насколько она критична...Это уже в 1.2 впилили.
пингвин еще не готов для декстопов/воркстейшенов?
Вы просто не умеете его готовить. :)
> пингвин еще не готов для декстопов/воркстейшенов?На пингвине можно создавать столько тоннелей, сколько душе угодно, главное чтобы руки были прямыми.
А для простых пользователей NM позволял одним кликом подцепляться к нескольким тоннелям (но разного типа, например: один OpenVPN, один PPP). В 1.2 и это ограничение убирают и можно подсоединяться к любому количеству VPNов. Для большинства пользователей, впрочем, это далеко не типичная проблема, куда более остро встаёт вопрос если адресное пространство внутренних сеток перекрывается.
Да кому оно надо. Я когда-то давным давно купил хомячковый роутер после полдня долбежки с настройкой вындовс на это дело.
Со спец коробочкой проще.
Для переносимых устройств - очень!
Ничего не понял. Вот стоит материнка. Вставляю в неё PCI Wi-Fi и LiveUSB - какой-нибудь Debian 7. Пишу/копирую и интернета конфиг hostapd - строк на 10. Запускаю. Я заимел точку доступа, в которой ну стопудово нет бэкдоров, в отличие от роутера D-Link.И что, hostapd отправляет куда-то мои данные? А куда и зачем?
Ну допустим, я беру смартфон, цепляюсь к своей точке доступа и открываю Яндекс. Вот они - данные, которые отправляются на сервер! Яндекс пуляет свою страницу прямиком через три NAT-а на смартфон. То есть, MAC-адрес вполне возможно что отправляется. Поправьте, если я не прав: для меня NAT - тёмный лес.
Но КАААК моя точка доступа отправит КУДА-ТО MAC-адрес моего смартфона, если я просто пронесу его над точкой доступа, не соединяясь с интернетом, с Яндексом и опеннетом?
А что если я буду раздавать с помощью hostapd не интернет, а локалку? На 10 соседних компов отправится информация о том, что в зоне действия Wi-Fi есть неподключенный смартфон?
Вроде бы ясно сказано: "MAC-адрес, привязанный к беспроводному адаптеру, отправляется в эфир даже если устройство не подключается к точке доступа". Ходишь ты со смартфоном, сканируешь эфир на наличие Wi-Fi точек доступа, и всем найденным точкам становится известен твой MAC-адрес. Даже и без подключения к ним.
кто то мешает заранее поменять мак-адрес?
От отслеживания это не спасает.
спасет, но не сам мак адрес фальшивку. а всего навсего аппаратуру адаптера вайфай. и как следствие пользователя от проблем если он правда че натворит. хотя если накосячит на чем серьезном все равно запалят. а реальный мак спасет.
Наблюдателю известно, что отсылаемый пользователем MAC-адрес может быть поддельным, ведь это позволяет делать ОС. И ему не нужно знать реальный адрес (достаточно, чтобы он не менялся), чтобы он мог отследить пользователя, а это уже само по себе неприятно. Может я и не сделал ничего плохого, но я не хочу, чтобы кто-то знал маршрут и график моего перемещения. Понятно, что кому нужно - узнает. Но речь не о том, что кто-то сделал что-то наказуемое и желает скрыться. Эта возможность мешает массовой слежке.
вот поэтому если сменить мак на фальшивку и отключать вафлю при перемещении вариант наиболее действенный.
> вот поэтому если сменить мак на фальшивку и отключать вафлю при
> перемещении вариант наиболее действенный.Весь смысл именно в периодической и частой смене мака, чтобы нельзя было понять когда и где появляется один и тот же человек. Одноразовая смена ничем тут не помогает. Как только ты включаешь вайфай - становится понятно что ты - тут.
а я о чем. нефиг вафлю держать включенной. надо включил просмотрел и отрубил. ну для мобильных карт это не вариант. но если захотят отследить , то отследят. тогда и сеть gsm рубить надо. а для сотовых это не вариант, да и для наличия безлимитного интернета тоже.
>> вот поэтому если сменить мак на фальшивку и отключать вафлю при
>> перемещении вариант наиболее действенный.
> Весь смысл именно в периодической и частой смене мака, чтобы нельзя было
> понять когда и где появляется один и тот же человек. Одноразовая
> смена ничем тут не помогает. Как только ты включаешь вайфай -
> становится понятно что ты - тут.А macshif что, еще не изобрели? Или так - большое дело написать по крону скрипт, меняющий маки произвольным образом?
>>> вот поэтому если сменить мак на фальшивку и отключать вафлю при
>>> перемещении вариант наиболее действенный.
>> Весь смысл именно в периодической и частой смене мака, чтобы нельзя было
>> понять когда и где появляется один и тот же человек. Одноразовая
>> смена ничем тут не помогает. Как только ты включаешь вайфай -
>> становится понятно что ты - тут.
> А macshif что, еще не изобрели? Или так - большое дело написать
> по крону скрипт, меняющий маки произвольным образом?Если менять по крону - то у тебя может мак сменить в разгар подключения с обрывом всех существующих соединений.
Защиту они поставят, ну-ну. Забодяжат еще и пару багдоров от анб и все будет хорошо.
Расслабляйтесь.
Багдор - дверь в баги? :)
это такая дверь в мир виндовс))
При чем тут ваша точка, которая светит в пространство со своим MAC-адресом, вот ваш смарт при сканировании светит собственным MAC-ом, который
который виден всем кто рядом...
http://geektimes.ru/post/243599/
>Но КАААК моя точка доступа отправит КУДА-ТО MAC-адрес моего смартфонаОна и не отправляет. Отправляет твой смартфон сам уже хотя бы потому, что он подключён к твоей точке доступа.
А у злоумышленника https://ru.wikipedia.org/wiki/Promiscuous_mode на вайвае и он элементарно собирает весь эфир.
А если клиент уже висит на AP, то его мак тоже радомизируется перед сканированием?
Помнится на стареньких чипах atheros можно было создать дополнительный интерфейс связаный с физическим и прицепится к 2 точкам, пакеты конечно терялись, но сканировать эфир вполне можно.
Может имело бы смысл всегда посылать случайно сгенерированный MAC, за исключением тех сетей, где DHCP должен прописывать один и тот же IP адрес, для QoS, например.
Он и там не нужен, для этого существует DHCP Client Identifier.
> сопряжено с риском возникновения проблем с фильтрами на точке доступаОх тыж матерь божья! Дали водяной пистолет пользователям! Что теперь будут делать беззащитные админы? :-D
Обсыхать!
В смысле мои соседи знают когда я прихожу домой? Безобразие какой жуткое!
> В смысле мои соседи знают когда я прихожу домой? Безобразие какой жуткое!Если ты только дома используешь свою технику - тебе не интересно. Зато интересно всем тем, кто часто работает вне дома.
>> В смысле мои соседи знают когда я прихожу домой? Безобразие какой жуткое!
> Если ты только дома используешь свою технику - тебе не интересно. Зато
> интересно всем тем, кто часто работает вне дома.Допустим операторы Wi-Fi на остановке, автобусе или метро будут знать, что ты тут бываешь, тебе то что от этого? Или ты приехал в Таиланд и включил свой Галакси с6, что от этого? Или ты боишься, что тебя на работе начальство заругает за то что ты пользуешься Wi-Fi ? Объясните в чем фишка этой мульки?
Если это сделали apple в iOS, значит это нужно.
>>> В смысле мои соседи знают когда я прихожу домой? Безобразие какой жуткое!
>> Если ты только дома используешь свою технику - тебе не интересно. Зато
>> интересно всем тем, кто часто работает вне дома.
> Допустим операторы Wi-Fi на остановке, автобусе или метро будут знать, что ты
> тут бываешь, тебе то что от этого? Или ты приехал в
> Таиланд и включил свой Галакси с6, что от этого? Или ты
> боишься, что тебя на работе начальство заругает за то что ты
> пользуешься Wi-Fi ? Объясните в чем фишка этой мульки?Не интересно - не включай. И знать будут не только операторы вафли, но и вообще все, кто умеет снифать траффик летающий в открытом виде.
Что они будут знать? Откуда они знают, что это мой MAC? И при чем тут открытый трафик и эта фича? Херня какая-то бесполезная по-моему или я чего то не догоняю.
> Что они будут знать? Откуда они знают, что это мой MAC? И
> при чем тут открытый трафик и эта фича? Херня какая-то бесполезная
> по-моему или я чего то не догоняю.Производитель ОС, если телефон подключен к Сети знает номер телефона и маки с ним связанные, знает е-мейл и пр вайберы на этой ОС.
Собрав в кучу эту инфу и запросив ответственные за эти услуги компании, можно узнать кто это был.Вопрос в другом: будут ли про Вас это узнавать? Пока думаю, что нет. Но технологии развиваются так стремительно, что если в 2000-м о контекстной рекламе никто не мечтал(ибо затратно по ресурсам), то теперь с ней борются на стороне пользователя во всю.
>> Что они будут знать? Откуда они знают, что это мой MAC?Если будет слежка лично за тобой - прокорреллируют, если рекламодатели - то один раз в открытой точке отметят и начнут собирать на тебя профиль. Им плевать кто ты конкретно, для них ты будешь профиль №ХХХХХХ, который любит зелёные кактусы, мягкое порно с бабушками, столовое серебро, видеокарты НВидия и что ещё ты умудришься поискать, находясь в их сети. А потом они будут узнавать что ты находишься где-то, даже если ты не подсоединился к их точке, а просто оказался рядом и просканировал эфир чтобы посмотреть какие сетки есть.
>> И при чем тут открытый трафик и эта фича?
При том что MAC адреса летают в открытом виде и их слушать не составляет вообще никакой проблемы, нужна только вафлекарточка и пол-извилины.
>> Херня какая-то бесполезная по-моему или я чего то не догоняю.
Второе.
Это нужно чтобы Борна не идентифицировали.
Городской оператор знает все твои перемещения: где ты скупаешься, где работаешь, где отдыхаешь.
Если ты из тех эксгибиционистов, которым "скрывать нечего", то ходи голый. А я не считаю нужным делиться своей жизнью с рекламодателями и прочими чертями.
>>> В смысле мои соседи знают когда я прихожу домой? Безобразие какой жуткое!
>> Если ты только дома используешь свою технику - тебе не интересно. Зато
>> интересно всем тем, кто часто работает вне дома.
> Допустим операторы Wi-Fi на остановке, автобусе или метро будут знать, что ты
> тут бываешь, тебе то что от этого? Или ты приехал в
> Таиланд и включил свой Галакси с6, что от этого? Или ты
> боишься, что тебя на работе начальство заругает за то что ты
> пользуешься Wi-Fi ? Объясните в чем фишка этой мульки?Для тебя лично это совершенно бесполезное нововведение. Можешь не обновляться.
ip link set wlan0 down от этого не спасает? Тогда нужен ноут с хардварной кнопкой отключения wireless, а nm как был ненужным так и остался.
> ip link set wlan0 down от этого не спасает? Тогда нужен ноут
> с хардварной кнопкой отключения wireless, а nm как был ненужным так
> и остался.спасибо. удовлетворили...)))
А еще о тебе знают все операторы точек, рядом с которыми ты рядом ходил. Не важно, коннектился ты к точкам или нет.
Вопрос не во взломе, вопрос в отслеживании. На это и направлена новая фича.
Ты не понимаешь, в чем суть проблемы?
Или у тебя нет восприятия градаций? Нет разницы, кто, сколько и чего о тебе знает? Тебе плевать на собственную приватность?Если да, то извини, я с эксгибиционистами не дружу.
Если нет, то просто так рассказывать всем подряд, где я нахожусь в каждый момент времени, я не хочу и ты должен понимать, почему.
Построй модель угроз и расскажи:
1. кто пытается следить за тобой (= отслеживать твоё местоположение по MAC?
2. по какой причине он следит за тобой?
3. почему ты не хочешь, чтобы он тебя нашёл?Большинство людей - это неуловимые Джо. Все, кому это будет нужно (коллекторы, ФСБ) их без труда найдут. И MAC им для этого не нужен.
То, что какой-то клоун в кафэшке настроит ПО чтобы сохранять MAC адреса телефонов клиентов - да и болт с ним.
Мне не наплевать на приватность, но свой MAC адрес я к информации, которую нужно скрывать, не отношу.
> Построй модель угроз и расскажи:
> 1. кто пытается следить за тобой (= отслеживать твоё местоположение по MAC?
> 2. по какой причине он следит за тобой?
> 3. почему ты не хочешь, чтобы он тебя нашёл?Вы не хотите повесить своё расписание дня на своей входной двери? Если нет, то ответьте на свои 3 вопроса.
> Большинство людей - это неуловимые Джо. Все, кому это будет нужно (коллекторы,
> ФСБ) их без труда найдут. И MAC им для этого не
> нужен.Адресный поиск возможен, но он сложен и требует затрат усилий. Массовое автоматизированое отслеживание резко снижает порог вхождение в слежку до уровня гопоты и почти готового сервиса "дома ли хозяева".
> То, что какой-то клоун в кафэшке настроит ПО чтобы сохранять MAC адреса
> телефонов клиентов - да и болт с ним.Вот только клоун настроит не в одной кафешке, а сразу в сети кафешек. И клоун этот будет какой-нибудь билайн. А потом по задумке гениальных маркетологов начнёт эти данные активно сохранять, подвязывать к ним всю собранную информацию если только "посчастливится" воспользоваться какой-нибудь бесплатной точкой доступа и будет продавать данные о перемещении маркетолухам оптом и в розницу. "Мы заметили, что вы перестали заходить в л
ликёро-рюмочную Н и начали посещать городскую поликлинику и хотим предложить вам скидку на лекарство от цироза печени".> Мне не наплевать на приватность, но свой MAC адрес я к информации,
> которую нужно скрывать, не отношу.Я не отношу своё имя к информации, которую нужно скрывать, но и ходя по улице его не кричу каждые 2 минуты.
1. Любой, способный раскинуть несколько сотен слушающих точек по городу.
2. Бабло. Потом можно продавать "обезличенные" данные всем, кому они интересны. Только потом окажется, что юзер d08761fb-b0a6-4653-85f2-d697ca8a60e2 живет на улице Герцена, скупается в гастрономе №22, по пятницам зависает в баре "Кукушка", пополняет интернет и телефон в терминале на перекрестке Герцена и проспекта Федоровича, снимает деньги в банкомате № 4 на улице Ельцына 10го и 25 числа каждого месяца. Но больше всего времени в супермаркетах (Ашан на улице Долговязова и Промторг на улице Герцена) проводит в выходных после 17-18 числа. Рабочее время проводит в офисе бизнес-центра "Хрущевка", обедает в забегаловке "Чертова кухня" рядом, владеет телефоном производителя Самсунг, имеет сохраненные вай-фай сети, соответствующие развлекательным центрам "Дельфин", "Падариз" и "Кумпол", где регистрировался под номером телефона +7ххххххх51
3. Потому, что мне не нравится, когда вся моя жизнь записывается кем угодно, продается опять же кому угодно, и в принципе доступна любому за совсем скромные деньги.Ты у нас любишь голыми телесами на публике светить? Любишь, когда весь интернт смотрит твое видео из спальни? Рассказываешь всем подряд в интернетах рассказывать, где был, с кем спал и что ел? Что за странный вопрос вообще? Мне твой Большой Брат нафиг не нужен. Этого достаточно.
> ip link set wlan0 down от этого не спасает? Тогда нужен ноут
> с хардварной кнопкой отключения wireless,Ты не поверишь, чувак... таких валом. Но они все проприетарные :)
Искал нечто подобное в Андройде. Вообще, было бы неплохо ещё и mac ap и ssid менять псевдорандомным способом. Да и mac клиента также неплохо менять именно псевдорандомным способом, дабы фильтр на точке мог адаптивно подстраиваться под клиента. Вот это будет жесть. =)
> Искал нечто подобное в Андройде. Вообще, было бы неплохо ещё и mac
> ap и ssid менять псевдорандомным способом. Да и mac клиента также
> неплохо менять именно псевдорандомным способом, дабы фильтр на точке мог адаптивно
> подстраиваться под клиента. Вот это будет жесть. =)А напиши сам. Тебе полтора гика памятник поставят. Из золота. В натуральную величину. Твоего большого пальца ноги. :) Ты ж в СПО. Тут либо жди вечность - либо сам, всё сам. :)