Является ли MAC-адрес уникальным идентификатором?

На пятой конференции Positive Hack Days аспирант лаборатории безопасности информационных систем факультета ВМиК МГУ Георгий Носеевич прочитал доклад о проблемах идентификации пользователей при беспроводном подключении. Он утверждал, что регуляторы в области связи требуют реализовать следующую схему: первичная идентификация – по номеру мобильного телефона с подтверждением одноразовым паролем по SMS, а потом – идентификация по MAC-адресу оконечного оборудования. Однако MAC-адрес устройства легко подделать, что позволяет злоумышленникам обходить требования закона об обязательной идентификации пользователей. В качестве примера в докладе упоминалась сеть MosMetro, в которой MAC-адрес указывается прямо в URL стартовой страницы, и его легко подменить. Впрочем, исследование было проведено в феврале 2015 г., а с тех пор система аутентификации сильно поменялась.

В Постановлении Правительства № 758-ПП, которое вносит изменения в правила оказания услуг связи, указано, что операторы должны идентифицировать пользователя по фамилии, имени, отчеству и данным паспорта, а его оконечное оборудование – по «уникальному идентификатору оборудования сетей передачи данных». Собственно, при передаче данных предполагается использование двух идентификаторов оборудования – IP-адреса, который выдаётся динамически, и MAC-адреса, определяемого производителем.

Вот как описывает особенности сетевого использования MAC-адреса Елена Элиадзе, специалист по решению нестандартных ситуаций: «MAC-адрес (Media Access Control address) изначально устанавливается производителем устройства, присоединённого к сетевой среде. Он необходим для системы управления доступом к ней, т.е. после инсталляции сетевой карты (NIC) её МАС-адрес становится уникальным идентификатором компьютера в сети. MAC-адрес состоит из шести наборов буквенно-цифровых значений, разделённых двоеточием, и имеет вид типа 00:0с:86:9d:45:26. В первых трех октетах адреса скрыта информация о производителе оборудования. Теоретически, при работе в сети MAC-адрес, в отличие от его IP-собрата, остаётся неизменным, поэтому для определения отправителя и получателя данных он имеет более важное значение, чем динамический IP. В беспроводных сетях правильно настроенная в роутере фильтрация MAC-адресов выполняет функцию отсева нежелательных компьютеров, предотвращая незаконное подключение к сети. А при смене MAC-адреса у потенциального взломщика могут возникнуть проблемы уже на этапе подключения к текущему провайдеру».

Максим Ващенко, руководитель направления перспективных разработок «МФИ Софт», говорит о том же: «Уникальность MAC-адреса не зависит от сети. Обеспечение его уникальности – задача производителя оборудования. Иногда MAC-адрес можно поменять, но, как правило, это – не стандартная функциональность устройства, а недокументированная возможность. MAC-адрес достаточно хорош, поскольку без вмешательства в настройки оборудования он, как правило, уникален. К тому же с ним достаточно просто работать, и он используется на всех без исключения устройствах, подключаемых к Wi-Fi».

В то же время MAC-адрес – неотъемлемая часть технологии Ethernet, т.е. устройство не может скрыть его при сетевом взаимодействии. Это означает, что собрать набор валидных MAC-адресов достаточно легко. Например, можно создать базовую станцию с именем MosMetro_Free или Beeline_WiFi_FREE и просто записывать MAC-адреса устройств, которые пытаются подключаться к такой базовой станции. К каждому MAC-адресу привязан номер мобильного телефона, валидность которого подтверждена SMS – это требование 758-ПП. Если процедура аутентификации организована неправильно, по базе MAC-адресов можно собрать валидные номера мобильных телефонов, которыми можно воспользоваться, например, для рассылки мобильного спама. Таким образом, ориентация на имеющийся сетевой идентификатор может привести к получению спама на телефон.

Пикантность ситуации состоит в том, что Apple в последних версиях ее мобильной iOS использует процедуру случайного выбора MAC-адреса. Сотрудники компании объясняют это необходимостью обеспечения приватности пользователей: государственные структуры (читай – АНБ) не смогут отслеживать по MAC-адресам устройства граждан. Аналогичные расширения предусмотрены и в протоколе IPv6: имеется вариант случайного выбора устройством локального IPv6-адреса (ранее была привязка к MAC-адресу). Со временем привязка MAC-адреса к устройству станет недоступна.

Некоторые компании применяют собственные синтетические индексы для идентификации устройств. Например, Experian собирает репутационную базу устройств, в которой каждое из них имеет синтетический индекс, зависящий от разных параметров. Он, конечно, также может меняться, но, скорее всего, для идентификации устройств правильнее использовать именно такой идентификатор, а не простой MAC-адрес.

Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.