PDA

Դիտել ողջ տարբերակը : Nokia 1100 միֆ թե իրականություն



Արամ
14.03.2015, 17:31
Վերջերս մեր հասարակության մեջ բուռն կերպով օդի մեջ Nokia 1100-ի առք/վաճառք էր կազմակերպված։
Խիստ կասկածում եմ, որ էդ եռուզերռի մեջ ինչ որ բան առել կամ ծախել են։ Ենթադրում եմ, որ էս ամնինչը սկսվել է մի հատ քյալոի կողմից, ով պատահաբար նյութ է կարդացել ու մոռացել է այդ նյութի ամսաթիվը նայի։

Ուրեմն ինչի՞ց սկսվեց։
2009 թվական։ Հոլանդական ոստիկանությունը հայտանաբերեց բավականին հետաքրքիր դեպք՝ վերը նշված հեռախոսը վաճառվել էր 25000 եվրո-ով։
Պարզաբանելու համար թե ինչ էր այդ գործարքի հետևում թաքնված, ոստիկանությունը հետաքննություն սկսեց, որի արդյունքում պարզ դարձավ, որ Գերմայնյաում կոնկրետ գործարանում արտադրված հեռախոսները, թույլ են տալիս բռնել ուրիշ համարին ուղարկված mTAN հաղորդագրությունները։

mTAN - mobile Transaction authentication number, իրենց ներկայացնում է ընդամենը SMS - որը իր մեջ պարունակում է մեկանգամյան աութենթիքեյշնի կոդ։
2 factor Authorization-ի նման։ Այսինքն եթե բանկի հաճախորդը ուզում է ինչ որ փոխանցում անել, պետք է փոխանցումը անելուց իր Password-ը գրի, հետո բանկը իր հեռախոսի համարի կուղղարկի TAN-ը, ու վերջնական փոխանցումը հաստատելու համար, պետք է այդ թիվը մուտք անի։

Ո՞նց ես սա հնարավոր։
Այսինքն խակերին հարկավոր է mobile ցանցում ներկայանալ, որպես հաճախորդ, այսինքն հաճախորդի համարով գրանցվի օպերատորի ցանցում։ Ինչպես են սա անում։ Փաստորեն Nokia 1100-ի ROM-ը(Read Only Memmory) էդքան էլ Read Only չի։ Խակերները հեռախոսի ծրագիրը բեռնում են համակարգչի մեջ disassembly անում, փոխում են IMEI (International Mobile Equipment Identity) և IMSI (International Mobile Subscriber Identity), վերջինը հենց օպերատորի ցանցում գրանցվելու համարն է, մի քիչ կոպիտ ասած հենց հեռախոսահամարը, որից հետո փոփոխված ծրագիրը հետ գրում հեռախոսի մեջ։
Հիմա հարց կառաջանա, ո՞նց կարող է նույն ցանցում 2 նույն հեռախոսահամարներ լինի։ Փաստորեն օպերատորի համար 2 նույն համարով չկան, կա մի համար և օպերատորը ընդունելու է այդ համարով վերջին գործողություն արած սարքին։

Այսինքն խակերների քայլերը հետևյալն են։
1․ Ջարդում են հաճախորդի օնլայն բանքինգի usrname/password—ը։
2․ Այդեղից իմանում են հաճախորդի հեռախոսահամարը։
3․ Նույն հեռախոսահամարով "պռաշիվկա" անում Nokia 1100-ն։
4․ Օնլայն բանքինգով բանկային գործողություն անում, որի հետևանքով բռնում են հաճախորդի համարին ուղղարկած TAN-ը։
5․ Եվ վուալյա փոխանցում հաջողությամբ ավարտվել է։

Այսինքն իրականում ստեղ մեծ բան չկա։ Սա ընդամնեը authorization-ի 2 factor-ը ջարդելու համար է։ Իսկ 1-ին factor-ը, որը հենց հաճախորդի passsword-ն է ներկայիս բանկային համակարգերում ջարդելը, գրեթե անհնար է։