Los operadores de redes móviles (también: compañías telefónicas, empresas de telecomunicaciones, proveedores) a veces ofrecen paquetes de datos de bajo costo que solo se pueden usar en el teléfono. O eso dicen.
¿Cómo pueden distinguir entre un usuario que navega por la web con un navegador en su teléfono Android y un usuario que usa un navegador en una computadora portátil atado a un teléfono Android?
A principios de 2012 estaba en París y estaba usando un paquete de datos móviles de Orange con un Nokia E51 (Symbian S60). De hecho, solo podía acceder a Internet usando el navegador del teléfono, no desde mi computadora portátil conectada al teléfono. Ahora tengo un teléfono Android 2.3 y estoy pensando en suscribirme a un paquete de datos similar en España (operador Más Móvil).
fuente
deep packet inspection
. Puedes defenderte con TOR, túneles y vpn's rodeados de Stacheldraht.Respuestas:
La forma en que detectan que alguien está conectando un dispositivo no es algo de lo que los proveedores de la red a menudo quieran hablar, por la razón obvia de que mientras más consumidores sepan cómo se detecta esto, más fácil será para ellos encontrar formas de ocultar el dispositivo. hecho de que lo están haciendo, y evite los cargos adicionales asociados (1) . Sin embargo, hay ciertas técnicas conocidas que revelarán el hecho de que actualmente está conectando, si su proveedor de servicios ejecuta la herramienta adecuada para verificar estos indicadores:
Su teléfono le pregunta a su red si está permitido el anclaje
El primer método y el más sencillo es que algunos teléfonos consultarán la red para verificar si el contrato actual permite la vinculación, y luego deshabilitarán por completo las opciones de vinculación en el dispositivo en el software si no es así. Esto generalmente solo sucede si está ejecutando una versión del sistema operativo que ha sido personalizada por su proveedor, ejemplo 1, ejemplo 2 .
Su teléfono le dice a su red que está conectando
También se rumorea que algunos teléfonos tienen un segundo conjunto de detalles APN guardados en ellos por la red telefónica, cuando habilita la conexión, cambian a usar este segundo APN para todo el tráfico atado, mientras usan el APN normal para el tráfico que se origina en el teléfono. Sin embargo, no he encontrado ninguna evidencia concreta de esto, aparte de las personas que encuentran APN extraños y se preguntan para qué son (tenga en cuenta que un teléfono desbloqueado comprado sin contrato puede tener cientos o miles de APN almacenados en él, listos para usar en cualquier red en cualquier país, el eventual propietario decide usarla).
Inspeccionar los paquetes de red para su TTL (tiempo de vida)
Cada paquete de red que viaja a través de una red TCP / IP , como Internet, tiene un tiempo de vida ( TTL ) incorporado , por lo que en caso de que haya un problema con ese paquete llegando a su destino, esto lo detendrá viajando por la red para siempre obstruyendo todo.
La forma en que esto funciona es que el paquete comienza con un número TTL (digamos 128) cuando sale del dispositivo emisor (su teléfono o computadora portátil), y luego cada vez que ese paquete viaja a través de un enrutador de cualquier tipo (como su enrutador de banda ancha doméstico, o un enrutador en su ISP o compañía telefónica) ese enrutador resta uno del TTL (lo que disminuiría el TTL a 127 en este ejemplo), el siguiente enrutador por el que viaja a su vez disminuirá el TTL nuevamente, y así activado, si el TTL llega a cero, el enrutador en el que se encuentra descarta el paquete y no lo transmite nuevamente.
Cuando su teléfono está conectado, actúa como un enrutador, por lo que, a medida que el paquete pasa de su computadora portátil a través de su teléfono a la red telefónica, su teléfono restará "1" del TTL para mostrar que el paquete ha pasado a través de su primer enrutador . Las redes telefónicas saben cuáles son los TTL esperados de los dispositivos comunes (por ejemplo, los paquetes de un iPhone siempre comienzan en un TTL de 64), por lo que pueden detectar cuándo son uno menos (o totalmente diferente) de lo que esperan.
Inspección de la dirección MAC
Los dispositivos en una red TCP / IP, como Internet, tienen un ID MAC único establecido en sus interfaces de red. Está formado por dos mitades, una mitad que identifica al fabricante de la interfaz y la otra mitad que es un identificador único asignado por el fabricante (como un número de serie). Cada paquete de red que se envíe habrá sido "sellado" con la dirección MAC del puerto de red del dispositivo de origen. La dirección MAC de la tarjeta wifi de su computadora portátil tendrá un fabricante y un código de serie muy diferentes a la dirección MAC de la interfaz 3G de su teléfono.
Huellas digitales de pila TCP / IP
Los diferentes sistemas operativos de la computadora (por ejemplo, Android, iOS, Windows, Mac OSX, Linux, etc.) configuran sus pilas TCP / IP con diferentes valores y configuraciones predeterminadas (por ejemplo, el tamaño inicial del paquete, TTL inicial, tamaño de la ventana ...). La combinación de estos valores puede dar una "huella digital" que puede usarse para identificar qué sistema operativo se está ejecutando en el dispositivo de origen. Un efecto secundario de esto puede significar que si está utilizando un sistema operativo poco común o un sistema operativo similar al de su teléfono en su otro dispositivo, es posible que no se detecte la conexión .
Mirando la IP / URL de destino
Puedes aprender mucho con lo que un dispositivo se comunica regularmente.
Por ejemplo, muchos sistemas operativos en estos días realizan la Detección de portal cautivo cuando se conectan por primera vez a una red wifi (como su conexión de conexión wifi), lo hacen intentando conectarse a un servidor web conocido a través de Internet y verificando si obtener la respuesta que esperan. Si no se recibe la respuesta esperada, es probable que la conexión wifi en la que se encuentre sea un "portal cautivo" y que necesite que inicie sesión o pague para conectarse. Como los sistemas operativos de Microsoft (como Windows Vista y Windows 7 comprueban con un servidor de Microsoft de forma predeterminada y otros sistemas operativos como Android, MacOS, etc., todos se conectan a los servidores de su empresa matriz para realizar estas comprobaciones, puede usarse como una buena indicación del funcionamiento sistema justo después de realizar la conexión inicial.
Además, si un dispositivo contacta regularmente con los servidores de Windows Update, es muy probable que ese dispositivo sea una PC o computadora portátil con Windows, mientras que si verifica regularmente con los servidores de actualización de Android de Google, entonces es probable que sea un teléfono. O si pueden ver que te estás conectando a la tienda de aplicaciones de Apple, pero el IMEI del dispositivo en el que está tu tarjeta SIM indica que no es un dispositivo de Apple, ¿tal vez estás conectando un iPad a un teléfono Android?
Los sistemas más sofisticados pueden ver una amplia gama de datos para ver con quién se está comunicando (por ejemplo, si se está conectando a los servidores API de la aplicación de Facebook, que es más probable desde un teléfono, o a los servidores web de Facebook, que es más probable desde una PC) y agregue una carga completa de estos indicadores para crear una huella digital que indique qué tipo de dispositivo es probable que esté utilizando. Algunas de estas huellas digitales pueden detectarse cuando aparecen nuevos tipos de dispositivos y servicios, por ejemplo, hay informes de que justo después de que salieron las tabletas con 3G incorporado, algunos propietarios de estos en la red de AT&T recibieron correos electrónicos advirtiéndoles que He estado atado cuando no lo habían hecho, ya que la huella digital de este nuevo estilo de dispositivo no se parecía a un teléfono típico.
(1) Obviamente, antes de intentar cualquier método para evitar la detección de anclaje, recuerde revisar su contrato telefónico y las políticas de su compañía telefónica sobre anclaje. Pueden tener cláusulas de penalización ocultas en su contrato, Política de uso justo o Política de uso aceptable para las personas que intentan eludir sus restricciones y límites.
fuente
En realidad, los proveedores de Internet de redes móviles utilizan predominantemente la inspección profunda de paquetes con huellas digitales de URI para detectar la inmovilización. Es el único método que es factible de usar para operaciones a gran escala. Pueden usar sitios conocidos, por ejemplo, el servidor de actualización de Windows, para detectar que está accediendo a un dispositivo que no es un teléfono. O para HTTP, lea el agente de usuario del navegador web para detectar que el navegador es para una plataforma no telefónica.
Dicho esto, estos métodos tienen algunas limitaciones significativas.
Entonces, la realidad es que la detección de anclaje es un acto de equilibrio desde la perspectiva del operador. Por lo general, solo se implementan lo suficiente como para poder bloquear a los usuarios habituales que no son geek (que constituyen la mayor parte de los usuarios móviles). Desplegar una detección más estricta para bloquear a los usuarios expertos en tecnología no suele valer la pena, y puede ser contraproducente al generar demasiados eventos falsos positivos. Mientras se les pague por los datos usados, mirarán para otro lado.
Prefieren concentrar su esfuerzo en los piratas informáticos y bloquear la pérdida de ingresos debido a las vulnerabilidades de la red.
fuente
El método más simple es la inspección TTL. Si enruta su conexión al segundo dispositivo (a través de un punto de acceso wifi móvil o de cualquier otra manera posible), los enrutadores de la compañía telefónica detectarán que algunos valores TTL son diferentes de los demás cuando los paquetes los pasan. Dado que hay tablas de valores TTL iniciales esperados disponibles para muchos dispositivos (sus sistemas operativos, más específicamente), la compañía telefónica detectará de inmediato que algo anda mal, ya que pueden calcular fácilmente "qué tan lejos" está la fuente del paquete. NO requiere una inspección profunda de paquetes, ya que los valores TTL están disponibles para que todos los vean, en cualquier tipo de paquete IP, y en realidad son MODIFICADOS por enrutadores (disminuidos en 1 en cada pasada) a medida que el paquete se pasa al destino. La solución es, por lo tanto, bastante simple.
fuente