(Pildi krediit: Casezy idee / Shutterstock)
LAS VEGAS – teie kodune juhtmeta ruuter võib Internetis kõigile täpselt öelda, kus te elate.
Selle põhjuseks on asjaolu, et miljonid koduvärava ruuterid, eriti need, mida nende Interneti-teenuse pakkujad (ISP-d) klientidele rentivad, lekitavad oma unikaalseid riistvara ID-numbreid oma Interneti-protokolli (IP) aadresside kaudu – ja neid riistvara ID-numbreid saab ühendada avalikult kättesaadavate kaartidega, mis näidata WiFi-võrkude tänavate asukohti.
- Teie ruuteri turvalisus haiseb: selle parandamiseks tehke järgmist
- Kuidas pääseda juurde oma ruuteri seadetele
- Musta reede pakkumised: vaadake kõiki parimaid pakkumisi kohe!
- Modemid vs. ruuterid: kuidas need erinevad ja mida nad teevad
- Kuidas Wi-Fi võrku kustutada Androidis ja iOS-is Tänapäeva parimad ruuterite pakkumisedMusta reede allahindlus lõpeb02päevadel08tundi30min53kuivVähendatud hind NETGEAR WiFi 6 võrgusilma ulatus... Amazon Prime 129,99 dollarit 73,53 dollarit Vaade Vähendatud hind 4-pordiline NETGEAR EAX20 – WiFi... Dell 129,99 dollarit 79,99 dollarit Vaade Vähendatud hind NETGEAR – EAX20 AX1800 WiFi 6... Walmart 149,99 dollarit 95,58 dollarit Vaade Vaata lähemalt Musta reede allahindlus tehingud aadressil Amazon Walmart Parim ost Dell Kontrollime iga päev üle 250 miljoni toote parimate hindadega
'Suur hulk metsikult kasutatavaid ruuteriid kasutavad pärand IPv6 aadressi, mis võimaldab adressaadil ruuteri füüsiliselt väga täpselt leida,' selgitasid teadlased Rob Beverly ja Erik Rye, kes tutvustasid oma tulemusi Black Hati teabeturbe konverentsil siin eelmisel nädalal.
Nii et nüüd võiks see vihane tüüp, kellega te eelmisel päeval selles tulises veebiarutelus vaidlesite, teada, kus te täpselt elate, isegi kui ta teie nime ei tea. See ei tohiks olla võimalik.
See olukord on tingitud tehnoloogilisest kiirparandusest, mida rakendati ja seejärel kiiresti asendati kaks aastakümmet tagasi. Kahjuks on selle otsuse pärand tänaseni.
Beverly ja Rye, mõlemad Californias Montereys asuva mereväe kraadiõppe kooli võrguandmete mõõtmise ja analüüsi keskusest (CMAND), on välja töötanud tööriista nimega IPvSeeYou, mis otsib Internetist IP-aadresse, mis võivad paljastada lüüsiruuterite unikaalseid ID-numbreid. , mida nimetatakse ka MAC-aadressideks.
sony wh 1000xm4 must reede
Seejärel proovib tööriist sobitada neid ID-numbreid avalikes andmebaasides oleva 450 miljoni geograafilise asukohaga WiFi-võrguga.
'Leidsime rohkem kui 60 miljonit ruuterit, mis avaldavad oma riistvara MAC-aadresse,' ütlesid Rye ja Beverly. 'Me suutsime täpselt geograafiliselt määrata umbes 12 miljonit elamuruuterit.'
Lisaks leidsid Beverly ja Rye, et analüüsides nendesse ruuteritesse suunduvat ja nendest ruuteritest väljuvat võrguliiklust, suutsid umbkaudselt leida ka teised koduruuterid, mis lihtsalt kasutasid samu Interneti-teenuse pakkujaid kui ruuterid, mille riistvara ID-d avaldati võrgus.
'Lihtsalt [nende avatud] ruuterite läheduses elamine on privaatsusoht,' ütlesid teadlased.
Mida saate selle vastu teha
On raske ülehinnata, kui hirmutav see olukord on, isegi kui see hõlmab tingimusi ja protokolle, millest enamik inimesi pole kunagi kuulnud. Õnneks on seda üsna lihtne vältida. Siin on, mida saate teha.
Kontrollige ruuteri ja modemi seadistust. Kas ruuter, mis saadab Wi-Fi signaali, on modemist eraldi seade, millega kaabel või telefoniliin ühendub? Kui näete kahte erinevat seadet, ei pea te selle pärast muretsema.
Kas ruuter ja modem on üks seade, mida mõnikord nimetatakse koduväravaks? Teisisõnu, kas kaabel või telefoniliin ühendatakse sama seadmega, mis saadab Wi-Fi signaali? Kui jah, toimige järgmiselt.
Kas ostsite koduvärava ise? Seejärel vaadake selle kasutusjuhendit ja mõelge välja, kuidas IPv6 keelata.
Kas teie Interneti-teenuse pakkuja andis teile koduvärava kasutamiseks? Seejärel võtke ühendust oma Interneti-teenuse pakkujaga ja küsige, kas ja kuidas saab IPv6 (hääldatakse 'eye-pee-vee-six') keelata. Kui klienditeenindajal pole aimugi, millest räägite, paluge end tehnikuga ühendada.
Kui ükski ülaltoodud lahendustest ei tööta, võite seda teha kaaluge oma ruuteri ostmist. Teie Interneti-teenuse pakkuja pakutavat lüüsi saab tõenäoliselt muuta ainult modemi režiimis töötama, kuid peate selle kohta oma Interneti-teenuse pakkujalt küsima.
Võite osta ka oma modemi, kuid soovite oma Interneti-teenuse pakkujalt küsida, millised mudelid selle teenusega ühilduvad.
Mis siin tegelikult toimub
Selle kõige toimimise õigeks selgitamiseks peame lisama mõned tehnilised terminid.
IP-aadressid: Need on marsruutimisnumbrid, mida arvutid ja kõik muu Internetis üksteisega ühenduse loomiseks kasutavad. Enamik IP-aadresse on ajutised, määratakse juhuslikult ja neid saab muuta.
IP-aadresse on kahte levinud tüüpi. Vanem, tuttavam formaat põhineb Interneti-protokolli versioonil 4 (IPv4) aastast 1981. IPv4-aadressid kasutavad nelja numbriklastrit vahemikus 0 kuni 255 ja näevad välja umbes sellised: 151.101.26.114.
Uuem vorming põhineb 1998. aasta Interneti-protokolli versioonil 6 (IPv6). Selle IP-aadressid kasutavad kaheksat numbrite ja tähtede klastrit (tegelikult ka numbreid), et välja näha järgmine: 2001:0000:8e52:d45a:77fb:9069: 3bd2:0c65.
IPv6-aadressid pidid aastaid tagasi IPv4-aadressid täielikult asendama, kuid seda pole juhtunud. Selle asemel toetab enamik Interneti-valmidusega seadmeid, mis on valmistatud alates 2005. aastast või umbes sellest, mõlemat protokolli ja paljudel on nii IPv4 kui ka IPv6 vaikimisi sisse lülitatud. Teie kodune traadita lüüs võib olla üks neist.
MAC-aadressid: Need on püsivad kordumatud ID-numbrid iga võrguliidese jaoks kõigis võrguseadmetes üle maailma. Teie sülearvutil on üks MAC-aadress Wi-Fi jaoks, teine Bluetoothi jaoks ja võib-olla kolmas Etherneti jaoks.
Tuntuim MAC-aadressi tüüp on 48-bitine ja näeb välja selline: 00:6b:c7:55:4e:21. Esimesed kolm tähtede ja numbrite paari näitavad riistvaratootjat, kolm viimast on aga konkreetse seadme jaoks ainulaadsed.
MAC-aadresside jaoks on olemas ka uuem vorming EUI-64, mis lisab veel kaks paari tähemärke. 48-bitise MAC-aadressi EUI-64 aadressiks teisendamiseks lisage 48-bitise MAC-aadressi keskele 'ff:fe' ja vasakult seitsmenda kahendmärgi bitti keerake nii, et null ( 0000) muutub 2-ks (0010). Nii et meie ülalt toodud 48-bitine MAC-aadress on EUI-64 aadress 02:6b:c7:ff:fe:55:4e:21.
Oluline on teada, et kui näete EUI-64 aadressi keskel märke 'ff:fe', siis teate, et see tuletati MAC-aadressist, mida on lihtne välja selgitada.
SSID: See on Wi-Fi võrgu nimi. See kuvatakse, kui teie nutitelefon või sülearvuti otsib saadaolevaid võrke. Teie koduruuter edastab oma SSID-d igale levialas olevale ühilduvale seadmele. SSID-sid saab hõlpsasti muuta.
BSSID: See on number, mis identifitseerib konkreetse Wi-Fi pääsupunkti. Kodustes WiFi-võrkudes on pääsupunkt ja ruuter samad, kuid suuremad WiFi-võrgud kasutavad sageli rohkem kui ühte pääsupunkti. Nagu SSID, edastatakse ka BSSID kõigile kohalikele seadmetele, olenemata sellest, kas need on WiFi-võrguga ühendatud või mitte.
Siiski on BSSID-de kohta teada kaks olulist asja. Enamikul juhtudel on pääsupunkti või ruuteri BSSID sama, mis selle Wi-Fi liidese MAC-aadress. Ja erinevalt SSID-st ei muutu BSSID üldiselt.
SSID/BSSID vastendus: Maailmas on leitud ja logitud sadu miljoneid WiFi-võrke ning nende SSID-sid, BSSID-sid ja füüsilisi asukohti saab otsida võrgus või hankides arendaja juurdepääsu Apple'i või Google'i Wi-Fi-võrkude andmebaasidele. Kui teie kodusest WiFi-võrgust saab signaali vastu võtta mööduvas autos olev sülearvuti, siis on teie võrgu nimi, BSSID ja asukoht tõenäoliselt vähemalt ühes neist andmebaasidest.
Kodune Interneti-lüüs, elamulüüs või lüüsiseade: Üks seade, mis ühendab kaabel- või DSL-lairibamodemi ja Wi-Fi-ruuteri. Sageli liisib selle kliendile Interneti-teenuse pakkuja.
Tohutu turvaauk üle 20 aasta
See keeruline süsteem on üsna privaatne ja turvaline ning tavaliselt ei saa kuidagi siduda koduse Interneti-lüüsi Interneti-poolset IPv4- või IPv6-aadressi ruuteri BSSID-ga. Teie IP-aadress ei tohiks piirata teie asukohta millekski konkreetsemaks kui osariik või linn.
Samuti näevad teie naabrid teie WiFi-võrgu nime ja koduse Wi-Fi-ruuteri BSSID-d, kuid nad ei saa seda teavet kasutada teie Interneti-poolse IP-aadressi väljaselgitamiseks.
Kuid selles süsteemis on lünk, mis on piisavalt suur, et veokiga läbi sõita.
1990. aastate lõpus, kui IPv6 protokolli arendati, selgitasid Beverly ja Rye, et keegi otsustas sisestada seadme MAC-aadressid IPv6-aadressidesse, kasutades ülalmainitud EUI-64 algoritmi.
See on lihtne ja mugav, eriti kui seadmel on piiratud töötlemisvõimsus ja see soovib lihtsalt IPv6-aadressi, mida saaks kasutada koos oma IPv4 aadressiga. Ja kuna MAC-aadressid on kordumatud, tähendab see, et IPv6-aadressi dubleerimise oht on väike või puudub üldse.
Kuid pidage meeles, et EUI-64 põhineb 48-bitisel MAC-aadressil, ainulaadsel riistvaraidentifikaatoril, mida keegi Internetis nägema ei peaks.
Nagu Beverly ja Rye selgitasid, mõistsid eksperdid kiiresti, et seadmed manustasid oma MAC-aadressid otse nende IPv6-aadressidele, mis tekitab tohutu privaatsusriski. Uuem, rohkem randomiseeritud meetod IPv6-aadresside loomiseks tehti kättesaadavaks 2001. aastal.
'Seda tunnistati probleemiks 20 aastat tagasi ja IPv6-aadresside privaatsuslaiendusena võeti kasutusele lühiajaline randomiseerimisprotsess', selgitas Beverly. 'Kuid paljud seadmed kasutavad endiselt vanemat vormingut.'
Interneti-probleem füüsiliste tagajärgedega
Nagu Beverly ütles, on probleem selles, et paljud võrguseadmete tootjad ei saanud memot aru. Nende uuringud näitasid, et vähemalt 60 miljonit Interneti-ühendusega seadet, sealhulgas vähemalt 12 miljonit koduväravat 147 erinevas riigis üle maailma, kasutavad endiselt oma IPv6-aadresside osana EUI-64 MAC-aadresse.
Kui kasutate koduväravat, on see sama, nagu lisate iga saadetud meili juurde foto oma juhiloast.
Lisaks, kuna MAC-aadress on püsiv, ei pruugi teie IPv6-aadressi teine pool kunagi muutuda, mis tähendab, et teid saab veebis jälgida.
parima hinnaga 55-tolline teler
Veelgi hullem, kui kasutate lüüsi, pigem eraldi modemit ja ruuterit, on teie ruuteri Interneti-ühenduse MAC-aadress tõenäoliselt väga sarnane Wi-Fi MAC-aadressiga, mis on osa teie võrgu BSSID-st.
Põhjus on selles, et sama seadme erinevad MAC-aadressid on sageli üksteisele väga lähedal. (Minu nutitelefonis erinevad Bluetoothi ja Wi-Fi MAC-aadressid väärtusega 1.)
Seega on teie koduvärava ruuteri Interneti-liidese MAC-aadress, mida võidakse IPv6-aadressi osana kogu Internetti edastada, tõenäoliselt väga sarnane teie koduse traadita võrgu BSSID-s kasutatava Wi-Fi MAC-aadressiga. . See on sama BSSID, mille täpne geograafiline asukoht võib olla avaliku registri küsimus.
Kõik, mida keegi peab tegema, on punktid ühendama, pannes tähele, et kaks MAC-aadressi aadressi on väga sarnased. Näiteks Interneti MAC-aadress võib olla 00:6b:c7:55:4e:21, samas kui Wi-Fi MAC-aadress ja BSSID võivad olla 00:6b:c7:55:4e:20.
Nüüd saab ründaja tavaliste tarkvaratööriistade abil hankida teie IPv6-aadressi, tuletada teie kodulüüsi ruuteri Interneti 48-bitise MAC-aadressi, skannida Interneti-Wi-Fi-kaarte BSSID-de jaoks, mis on Interneti-MAC-aadressile väga lähedal, ja seejärel tulla kohale. ja ütle tere väga agressiivselt.
Öelge naabritele tere
Mitte ainult, vaid kui teie naabrid kasutavad sama Interneti-teenuse pakkujat (nagu see on tavaline USA-s, kus kaabelleviettevõtetel on sageli kohalikud monopolid), on nad tõenäoliselt ühendatud sama lähedal asuva ruuteriga Interneti-teenuse pakkuja otsas, nagu teiegi.
'Kui me suudame teenusepakkuja ruuteri geograafilist asukohta määrata,' ütlesid teadlased, 'saame geograafiliselt määrata selle ruuteriga seotud mitte-EUI-64 aadressid.'
See Interneti-teenuse pakkuja ruuter kuvatakse nii teie enda kui ka naabrite ruuterite võrgu jälgimisel viimase hüppena. Ja kui keegi arvab teie IPv6-aadressi põhjal teie aadressi, teavad nad, et kõik, kes jagavad seda viimase hüppe Interneti-teenuse pakkuja linki, elavad teie asukohast mõne miili raadiuses.
Et tõestada oma meetodite paikapidavust, hankisid Beverly ja Rye viis vabatahtlikku, kellel olid koduvärava ruuterid, mis kasutasid EUI-64-st tuletatud IPv6-aadresse.
Nende IPvSeeYou tööriist tuvastas neli neist ruuteritest täpselt umbes 50 meetri või 150 jala täpsusega. Viiendat seadet ei õnnestunud leida ning selgus, et selle interneti ja Wi-Fi MAC-id ei olnud väga sarnased.
Sama asi toimis palju suuremas mastaabis. Umbes 12 miljonist IPvSeeYou poolt geograafiliselt määratud kodulüüsi ruuterist oli üle 1 miljoni USA-s asuvad Comcast Xfinity lüüsiruuterid.
Rye ja Beverly kaardistasid nende ruuterite oletatud geograafilised asukohad USA mandriosa kaardil ja leidsid, et see vastab peaaegu täpselt FCC enda Comcasti lairibateenuse kaardile.
Piirangud ja leevendused
IPvSeeYou geograafilise asukoha määramise protsess ei tööta alati. Beverly ja Rye selgitasid, et mõned Interneti-teenuse pakkujate väljastatud koduvärava ruuterid kasutavad IPv6-aadresside loomiseks paremaid ja turvalisemaid viise, mis ei hõlma MAC-aadressi.
Teised lüüsiruuterid võivad olla avalikust tänavast liiga kaugel, et neid geograafilise asukohaga WiFi-võrkude loendites kuvada. Ja mõnikord ei sarnane ühe seadme MAC-aadressid üksteisega, nagu ülaltoodud näites.
Teadlaste sõnul on selle probleemi tegelik lahendus see, et seadmete tootjad lõpetavad EUI-64 kasutamise IPv6-aadresside loomiseks. See ei aita aga miljoneid seadmeid, mida püsivara värskendusega uuendada ei saa või mida ei saa uuendada.
Beverly ja Rye ütlesid, et pöördusid selle probleemiga seoses mitme seadmemüüja poole, kuid tulemused olid erinevad.
TemplateStudio küsimusele, millistel müüjatel on kõige haavatavamad seadmed, vastasid teadlased, et nad kiidavad pigem Saksa ruuteritootjat Fritz!Boxi, millel on suur osa Saksamaa koduvärava turust ja mis reageeris nende päringutele ülimalt.
Beverly ja Rye'i IPvSeeYou tööriist on veebis tasuta saadaval ja saate selle alla laadida aadressilt github.com/6int/IPvSeeYou .
