6 видов космической связи людей
Каждый человек, появляющийся в нашей жизни, выполняет определенную миссию. Он может провести с нами только час или задержаться на долгие годы. Но встреча эта не случайна. Она может оказать влияние на нашу судьбу.
Каждая наша встреча или просто случайное знакомство выполняют определенную роль Все на свете происходит не просто так, само по себе, и случайных встреч не бывает. Не надо об этом забывать. Встречи с определенными людьми несут свой смысл независимо от того, что мы чувствуем, и приводят нас туда, где нам следует оказаться на данном этапе жизни. Кто-то назовет происходящее знаковыми совпадениями. Ведь, если задуматься, эти люди своим появлением в нашей жизни запускают невидимую глазом цепную реакцию изменений. И неважно, появились они дать нам что-то или забрать…
Каждый, приходящий в нашу жизнь, обязан научить нас чему-то. Одни являются в нашу жизнь, чтобы разбить нас на тысячи осколков, а другие возникают рядом, чтобы снова собрать нас в одно целое.
Существует 6 видов космической связи:
1. Люди, приходящие, чтобы напомнить.
Те, кто приходят, чтобы напомнить нам о важном (о котором мы могли забыть). Они будоражат воспоминания и дают нам понять то, что мы в свое время упустили. И даже исправить то, что мы когда-то испортили. Такие люди живут у нас в душе всегда, и не важно, присутствуют ли они в нашей жизни физически. Их может и не быть рядом.
2. Люди, приходящие, чтобы заставить нас расти над собой.
Они — учителя наших душ. Их появление в нашей жизни помогает нам стать лучше (мудрее, терпимее, сильнее, сдержаннее). Они возникают тогда, когда для нас подходит момент выполнить свое предназначение.
3. Люди, приходящие, чтобы остаться.
Они становятся важной частью нашей жизни до самого конца. Они дают силы преодолевать все трудности и поддерживают в трудную минуту.
4. Люди, приходящие, чтобы разбудить.
Эти люди возникают в нашей жизни, чтобы дать толчок новой реальности. Быть может, мы хотели бы никогда с ними не встречаться, но они нас многому научили. Не все встречи в жизни позитивны и радостны. Никому не избежать конфликтов, выяснения отношений и даже предательства. Но проблемы в отношениях учат нас на практике и заставляют делать полезные выводы.
5. Люди, приходящие на мгновение.
Они появляются в нашей жизни на мгновение, мелькают как комета. И все же могут оказать мимолетную поддержку. Пусть это будет несколько слов или даже обмен взглядами. Но даже такая краткая встреча оставляет след в нашей памяти.
6. Люди, приходящие, чтобы уйти.
Эти люди не останутся с нами навсегда, как бы нам этого ни хотелось. Они посланы с целью научить нас чему-то. Даже, возможно, через отрицательный опыт.
Это люди, в которых мы влюбляемся, ходят, чтобы разбить наше сердце. Но благодаря им мы становимся сильнее. В определенный период жизни нам встречается какой-то один тип из шести названных. Это значит, что уроки жизни продолжаются. И надо делать выводы и учиться на собственных ошибках.
Подписывайтесь на «Гродно 24» в Дзен Новости и на наш канал в Дзен
Бывают ли случайные встречи? Случайных встреч не бывает
Консультации психолога
мастера НЛП Зобнина О.В.
+7(987) 955-49-56
WhatApp
Skype
- Информация о материале
Часто меня спрашивают о судьбе и предназначении.
И самый часто задаваемый вопрос: «бывают ли случайные встречи?». И если они не случайны, то означает ли это, что мы не владельцы своей судьбы? Я могу ошибаться и считаю, случайных встреч не бывает.
Люди встречаются, и любая встреча ведёт к решению самого насущного вопроса в данный момент в жизни. Вселенная, высшие силы, Бог – называйте, как вам ближе – даёт вам урок.
Ваша задача – понять его и принять результат встречи.
Раздумывая, бывают ли случайные встречи, вспомните самые важные из них. Самые поворотные. Те что сильно повлияли на вас и после которых вы стали совершенно другим человеком. Включая встречи, после которых вы до сих пор «икаете» при одном воспоминании об этом человеке.
Это и есть уроки жизни, вселенной, бога. Направленные, чтобы вы стали другим. Не лучше, не хуже, другим. Для того, чтобы вы перешли на новый уровень этого мира. Для того, чтобы вы видели, слышали, ощущали, понимали окружающий вас мир по другому. Чтобы увидели другую грань этой вселенной.
И включили её в своё мировоззрение, мировосприятие.
Каким бы вы были человеком, если бы они не произошли? Где бы вы были сегодня? Кого бы вы еще не встретили, если бы одна встреча прошла мимо?
Некоторые встречи оставляют едва заметный след в душе. Вычеркнув другие, вы станете совсем другим человеком.
Вы слышали об эффекте бабочки? Случайно убитая бабочка в прошлом может привести к глобальным изменениям в будущем. Так и встречи – вычеркни одну, незначительную, и в будущем не произойдёт что-то важное, определяющее дальнейшее направление.
То, что случайных встреч не бывает, не означает, что от вас ничего не зависит. Мне довелось посмотреть фильм «Облачный Атлас», он оказался очень любопытным. Там были слова, которые нашли отклик в моей душе: «В каждой точке пересечения любая встреча предлагает потенциально новое направление». И вашим решением будет принятие или непринятие этого направления.
Самое главное, это отслеживать, что сейчас происходит в собственной жизни и сопоставлять с теми людьми, которые встречаются на жизненном пути.
Каждый из них – это зеркало, одна из сторон вашей личности.
Бывают ли случайные встречи. Зеркало.
Случайных встреч не бывает
Каждый раз, раздумывая, бывают ли случайные встречи, постарайтесь понять, зачем этот человек встретился на пути, что он может дать вам, а вы – ему. Чему вы можете научиться через этого человека?! Так вы сможете глубже заглянуть в себя, познать свои внутренние качества.
Считаю, что человек встречает на своём пути тех людей, с такими качествами характера, которые именно сейчас требуют проработки=изменения, в его внутреннем мире. Здесь очень ярко проявляется богатство на ресурсы и настойчивость нашего мира. И человек будет встречать «таких» людей, до тех пор пока не проработает эти качества у себя.
Согласитесь, поговорки «все бабы дуры» и «все мужики козлы» в данном контексте выглядят совершенно по другому.
Случайных встреч не бывает – они нужны, чтобы измениться.
Уровень, на котором вы сейчас находитесь – это в большей мере ваших рук дело.
Научитесь не просить Вселенную, а спрашивать=задавать вопросы – и она начнёт давать решение. Из соединения насущного и встреченного человека, рождается ответ-решение ситуации(обстоятельств), для достижения желаемого результата.
Бывают ли случайные встречи? – уверен нет. Остановитесь и задумайтесь, если эта встреча пробудила чувства в душе. Доступ к чему в себе вы получаете через встреченного человека?! И этот доступ нужно получить напрямую, не через человека, именно это нужно исправить, чтобы перейти на новый уровень.
Встреченный человек, это ваш мост к самому себе. Вы можете всю жизнь пользоваться этими мостами, а можете, проторить дорогу к себе напрямую. И поблагодарить встреченного человека, за то что он появился в вашей жизни и указал направление. Больше доверяйте своим чувствам, своей интуиции, своим порывам. Снаружи великое множество ресурсов для воссоединения с собой.
Начните принимать ответственность за себя и свою жизнь. Случайных встреч не бывает. Важно признаться, что это Ваша жизнь и проживаете ее Вы.
Не нужно винить других, постарайтесь понять, почему это происходит. Каждый момент мы проживаем именно так, а не иначе. И это самый лучший выбор из всех, которые были на момент принятия решения.
То, где вы находитесь сегодня и то, с чем вы придёте в конце жизненного пути, зависит только от вас. Кто знает, кем бы я был сегодня, если бы не все встречи в моей жизни?!
У Вас проблемы?
Вам нужен психолог?
Звоните, пишите прямо сейчас!
Skype OlegVZobnin
Телефон +7(987) 955–49–56
WhatsApp +7(987) 955-49-56
Viber +7(987) 955-49-56
Материалы текущей Рубрики
Психолог по отношениям онлайн
Понимание и принятие
Любовь мужчины и проявление любви
Твоя мечта, мечта человека и жизнь
Что такое отношения, современные отношения, виды, суть
Настоящие чувства, про сильное чувство
Родовая память пробуждение
Отношения с мужчиной и женщиной, правила отношений
Мир сильной любви
Тема любовь, перевод с мужского
Отношения к любви, про это
Отношения полов, полгода половым отношениям людей
Мужчина и женщина, психология, отношения
Любовь и женщина, языки любви и смысл
Что нужно любящему мужчине
Мир женщины, психология, радость женщины
Проблемы в отношениях, что делать
Одобрение и взаимное согласие
Серьёзные и семейные отношения
Мужская логика, понятие логики
Целый день благодарности
Совесть человека это набор правил
Нужность, ты нужна что это такое
Определённость и предсказуемость
Счастье по запросу
Тронь суть свою
Жизнь вне зависимости
Мужчина становится Отцом, как это
Кто ты
Простые слова
Слабый и Сильный
Ты меня не любишь
Мужчина и Женщина, Девушка и Девочка
Ресурсы Мужчины и Женщины
Добропринятие
Что посеешь то и пожнёшь
Ты самая красивая
Нагота духовная
Самодостаточность человека, личности.
Достигая внутреннего себя
Счастье это не жизнь
Партизан и создатель
Выживать в любой негативной ситуации
Человеческая смерть
Олег и проповедники
Полезное закрытое сердце
Любимое дело, как найти
Я могу всё!
Символ верности, или почему происходят измены
Ценность самого человека
Жизнь человека — это открытие разнообразия мира
Строитель собственного счастья
Чувственность — это объятия
Сила желания и работа слова
Терпение — добродетель или социальный барьер?
Что такое искренность и честность, в чем разница?
Впечатлительность — это зарядка энергией
Эмоциональность — это радуга чувств
Счастливые отношения, критерии счастья
Человеческие отношения мужчины и женщины
Что такое нежность? Это проявление ласки!
Как сделать лучший выбор
Доброта, критерии доброты: как дарить людям добро и быть счастливым
Управление вниманием человека
Честность — это отношения с самим собой
Твори и делай добро
Бывают ли случайные встречи? Случайных встреч не бывает!
Как привлечь внимание мужчины, совет психолога
Обесценивание жизни, себя, желаний
- Назад
- Вперед
определение случайной встречи | Словарь определений английского языка
adj
1 отсутствие какого-либо определенного плана или заранее установленного порядка; случайный
случайный выбор
2 (Статистика)
a имеющий значение, которое не может быть определено, а только описано вероятностно
случайная величина
b равные шансы быть выбранными
случайная выборка
n
3 ♦ наугад бесцельно; не следуя какому-либо заранее установленному порядку
(C14: от старофранцузского randon, от randir до галопа, германского происхождения; сравните древневерхненемецкое rinnan с бегом)
♦ случайно adv
♦ случайность n
произвольный доступ
n другое имя для →
прямой доступ
случайные числа
pl n последовательность чисел, не образующих никакой прогрессии, используемая для облегчения беспристрастной выборки генеральной совокупности.
Генератор случайных чисел является частью программного обеспечения большинства компьютеров и многих калькуляторов
случайный щебень
n каменная кладка, в которую необработанные камни укладываются без прохождения
случайная величина
n (Статистика) количество, которое может принимать любое из диапазона значений, непрерывных или дискретных, которые не могут быть предсказаны с уверенностью, а описаны только вероятностно, (Сокращение) rv
случайное блуждание
n
1 математическая модель, используемая для описания физических процессов, таких как диффузия, при которых частица движется прямолинейными шагами постоянной длины, но случайным образом
2 (Статистика) маршрут, состоящий из последовательных и связанных шагов, в котором каждый шаг выбирается случайным механизмом, не зависящим от любого предыдущего шага
теория случайных блужданий
n будущее движение цен на акции не отражает движение в прошлом и, следовательно, не будет следовать определенной схеме
Английский словарь Коллинза — определение английского языка и тезаурус  
Смотрите также:
наугад, произвольный доступ, случайные числа, случайный мусор
Collaborative Dictionary Определение английского языка
| ||||||||||||||
Вы хотите отклонить эту запись: дайте нам свои комментарии (неправильный перевод/определение, повторяющиеся записи. ..) |
Чтобы добавлять слова в свой словарь, станьте участником сообщества Reverso или войдите в систему, если вы уже являетесь его участником. Это просто и занимает всего несколько секунд:
Или зарегистрируйтесь традиционным способом
GoogleMeetRoulette: Присоединение к случайным встречам — Мартин Виго
Недавно я был в гостях у друга, и он упомянул, что должен присоединиться к рабочей встрече. Он использовал Google Meet, чтобы присоединиться. Wi-Fi работал странно, и он не мог следить за обсуждением. Кто-то предположил, что он может «дозвониться», сделав обычный телефонный звонок. Я услышал это и сразу же задумался, есть ли способ присоединиться к собраниям, на которые меня не приглашали.
В современном мире и на глобальном рынке принято иметь команды, разбросанные по всему миру. Корпорации имеют офисы повсюду, клиенты могут находиться в других странах, поставщики работают за границей, и в целом у нас есть потребность общаться с людьми, которые не находятся в том же месте, что и мы.
Ежедневные встречи — это то, к чему могут относиться многие в технологической отрасли. А когда команды, клиенты и поставщики находятся в разных физических местах, обычно используются видеозвонки. Много раз обсуждались острые темы. Безопасность, архитектуры, все руки, финансовые результаты, планы развития, новые функции… Это лишь некоторые из конфиденциальных тем, обсуждаемых в видеозвонках.
Google Meet
Google Meet — это новое изобретение Google Hangouts с функциями, предназначенными для бизнеса. Это часть G-Suite, набора облачных сервисов. Глядя на их веб-сайт, он используется многими компаниями, включая Fortune 500. Я могу только предположить, что эти компании будут использовать Google Meet для проведения конфиденциальных встреч. Посмотрим, сможем ли мы присоединиться к ним!
Я не сосредоточился на обычном способе присоединения к собранию с помощью браузера и нажатия ссылки Google Meet для присоединения после входа в систему. Вместо этого мне было интересно понять, как работает функция «звонок», поскольку это обычный телефон.
вызов, и я хотел знать, как обрабатывается аутентификация.
Звонки на встречи
Если ваша компания использует G-Suite и оплачивает лицензию Enterprise, в дополнение к ссылке вам будет предоставлен номер телефона и четырехзначный PIN-код при создании новой встречи в Календаре Google. Любой может набрать номер + PIN-код, чтобы присоединиться к собранию в режиме «только голос». Это очень удобно, так как позволяет участникам присоединиться, даже если у них нет Интернета или они не хотят его активно использовать (например, если вы путешествуете по миру).
Информация Google Meet
Поскольку это обычный телефонный звонок, мы можем рассматривать комбинацию номера телефона и PIN-кода в качестве секрета для аутентификации на собрании. На самом деле мы можем думать о номере телефона как об имени пользователя, а о PIN-коде — как о пароле (общий пароль для всех участников). Другими словами, Если вы знаете номер телефона и 4-значный PIN-код, вы сможете присоединиться к этой встрече .
У нас есть две цели: найти номера телефонов и PIN-коды.
Поиск телефонных номеров
Телефонные номера, вероятно, не должны быть секретом, но нам необходимо знать номер, связанный с собранием, чтобы иметь возможность присоединиться к нему. Поэтому первая цель — найти способ найти действительные номера телефонов Google Meet.
Oldskool wardialing
Когда-то первое поколение хакеров использовало wardialing для поиска мейнфреймов или любых других машин, подключенных к телефонной линии. Надежный набор номера — это метод, при котором злоумышленник массово набирает телефонные номера в поисках ответной машины, а не человека. Вы можете вспомнить тот случай, когда вы набрали номер и начали слышать странные звуковые сигналы, потому что вы набрали номер факса на этой визитной карточке, а не на самом мобильном телефоне.
Популярные инструменты, такие как ToneLoc, обнаружат эти машины и зарегистрируют номера для последующей проверки. В настоящее время опеку можно сделать более эффективно и дешевле, используя услуги VOIP.
Мы можем использовать переадресацию, чтобы найти телефонные номера Google Meet, так как он всегда будет отвечать одинаково, начиная с короткого 2-секундного звука. Тем не менее, это было бы очень шумно, так как мы буквально набирали бы все номера в США. Мы должны работать лучше.
Угадывание
Мы можем попытаться узнать, есть ли способ угадать телефонные номера, назначенные Google Meet. Я начал с написания сценария создания совещаний, чтобы создать сотни из них, и скопировал сгенерированный номер телефона. Есть ряд вещей, которые я хотел выяснить:
Используются ли телефонные номера повторно?
Да, есть. Было бы сложно иметь уникальные номера телефонов для каждой созданной встречи, учитывая, что количество телефонов ограничено.
Уникальны ли телефонные номера для каждой встречи?
Я обнаружил, что повторяющиеся встречи (например, ваши еженедельные встречи 1:1 с вашим менеджером) всегда имеют одну и ту же комбинацию номера телефона и PIN-кода.
Телефонные номера случайны?
Среди всех собранных номеров телефонов мне не удалось найти ни одного полезного шаблона. Продолжайте читать 🙂
Самая ценная информация, которую я получил на этом шаге, это то, что повторяющихся встреч всегда имеют одну и ту же комбинацию номера телефона и PIN-кода. Это проблематично, поскольку сотрудник, покидающий компанию, будет знать эту комбинацию. Он сможет присоединиться ко всем повторяющимся собраниям навсегда, если собрание не будет удалено и создано снова.
Регистры HLR
Регистры HLR хранятся в глобальных базах данных и содержат информацию об абонентах GSM. Регистры HLR запрашиваются в рамках атак SS7 для отслеживания жертв, поскольку они предоставляют, среди прочего, информацию о вышке, к которой подключен мобильный телефон. В Интернете есть несколько сервисов, которые позволяют запрашивать эту базу данных, но это стоит денег. Нам не нужна информация о башнях или другие конфиденциальные данные, которые предоставляют регистры HLR, я просто хочу знать, принадлежит ли номер телефона Google Meet.
Оказывается, Twilio предлагает ограниченный API, который позволяет вам видеть часть информации, связанной с номером телефона. Среди прочих можно увидеть оператора, которому принадлежит номер телефона. Это ценная информация, которая поможет найти номера телефонов Google Meet. Я создал несколько встреч и проверил сгенерированные телефонные номера с помощью Twilio API. Носителем телефонных номеров, назначенных Google Meet, является «Google (Grand Central) BWI — Bandwidth.com — SVR».
Отлично! У нас есть API для запроса любого номера телефона и проверки того, является ли оператор «Google (Grand Central) BWI — Bandwith.com — SVR». Но мы можем сделать еще лучше…
Поиск в Google
Оказывается, один из самых простых способов найти номера телефонов Google Meet — это… использовать Google. Поскольку мы знаем оператора, все, что нам нужно сделать, это найти его в Google. Существует множество веб-сайтов, которые содержат информацию о конкретных телефонных номерах для различных целей, таких как отслеживание звонящих по спаму, предоставление информации о владельце и т.
д. Лучше всего то, что эти страницы индексируются Google и другими поисковыми системами. Мы можем воспользоваться этим и использовать его для поиска существующих телефонных номеров, принадлежащих оператору «Google (Grand Central) BWI — Bandwidth.com — SVR». Не все из них будут сопоставлены с Google Meet, поскольку Google Voice использует одного и того же оператора, но это даст нам отличную отправную точку. Тем не менее, цель состоит в том, чтобы стремиться к совершенству. Нам нужно работать лучше.
Злоупотребление международными настройками
Если есть что-то, что меня удивляет в сообществе исследователей безопасности, так это желание «стараться больше». Я снова и снова вижу это на конференциях, где исследователи пробиваются к совершенству. 100 % надежный эксплойт, реинжиниринг аппаратного обеспечения, чтобы сделать его на несколько долларов дешевле, заставить XSS работать в каждом отдельном браузере и т. д. . Я сел и начал думать о том, что еще я мог бы попробовать. Если вы обратили пристальное внимание на изображение выше, вы, возможно, заметили метку внизу, которая гласит: « Этот номер телефона был выбран на основе настроек страны создателя конференции «.
Интересно. Это означает, что должны быть международные номера, по которым я могу звонить, чтобы присоединиться к собраниям. Действительно, это так. Итак, давайте начнем с проверки того, является ли перевозчик одним и тем же. Я изменил настройки своей страны в Календаре Google на Австралию, создал встречу и получил австралийский номер для набора. Затем я проверил это с помощью API Twilio и понял, что оператор связи — «Symbio Networks».
Тут-то и случилось счастливое стечение обстоятельств. Я не знал, был ли это обычный оператор или, как bandwith.com, специальный оператор для услуг VOIP. Поэтому я подумал, что мне следует использовать API Twilio, чтобы проверить следующий номер телефона, думая, что я найду другого оператора только для сравнения. Вместо того, чтобы проверить номер встречи Google Meet +6129051730 9 , я проверил +612905173 10. Оператор связи снова оказался Symbio Networks. Как насчет +612905173 11 ? «Симбио Сети».
+612905173 20 ? Опять тот же оператор.
Посмотрим… Я создал встречу, получил номер телефона Google Meet, и все последующие номера телефонов также принадлежат тому же оператору. Позвольте мне позвонить и узнать, получу ли я приветствие Google Meet для подтверждения. Бинго! В таких странах, как Австралия и Испания, номера телефонов Google Meet назначаются последовательными пакетами. Я могу создать встречу самостоятельно и просто проверить последующие номера телефонов, чтобы получить больше номеров Google Meet. Вы можете использовать их для присоединения/поиска встреч в США, поскольку номера телефонов из других стран не относятся к встречам в этой стране, они глобальны.
Поиск PIN-кодов
Теперь, когда у нас есть эффективные способы поиска телефонных номеров, нам нужен способ узнать соответствующий PIN-код. Четырехзначный PIN-код дает нам 10 000 возможных комбинаций. Вручную пробовать все возможные PIN-коды было бы слишком медленно, и Google Meet позволяет нам попробовать только 3 разных PIN-кода за вызов .
Вы, безусловно, можете позвонить еще раз, но это отнимает много времени.
Поскольку ручной брутфорс невозможен, можем ли мы его автоматизировать? В настоящее время существует ряд онлайн-сервисов для управления звонками программно и в масштабе. Такие компании, как Twilio или Bandwidth, предлагают недорогие API-интерфейсы, которые позволяют, среди прочего, выполнять несколько вызовов и программно взаимодействовать с ними. Звучит именно то, что нам нужно! Если мы знаем номер телефона и можем делать сотни звонков одновременно, пробуя разные PIN-коды, перебор всех 10 000 вариантов не займет много времени.
Кое-что интересное, что я обнаружил, когда копался в API, это то, что существует глобальный телефонный номер для каждой страны, который является одинаковым для всех собраний Google Meet. Разница в том, что PIN-код состоит из 13 цифр вместо 4, чтобы добавить энтропии. Интересно, сколько параллельных вызовов может поддерживать этот номер и насколько легко будет выполнить DoS.
Я не пробовал, поскольку DoS-тестирование обычно не рекомендуется для производственных сервисов.
Еще одно интересное поведение, которое я обнаружил, заключалось в том, что в зависимости от страны, в которой вы находитесь, длина PIN-кода варьируется . Это странно, поскольку вся безопасность зависит от энтропии ПИН-кода. По сути, некоторые страны более безопасны, чем другие, а США являются наименее безопасными, где только 4-значные PIN-коды.
Длина PIN-кода в США
Длина PIN-кода в Австралии
GoogleMeetRoulette.py
Я создал учетную запись в Twilio, добавил 20 долларов США и написал скрипт Python, который будет использовать их API для инициирования нескольких вызовов и пробовать 3 разных PIN-кода одновременно. . К моему преимуществу, я понял, что мне не нужно ждать записи, чтобы сказать мне, что первый PIN-код был неправильным, чтобы попробовать второй и третий . Я могу ввести 3 PIN-кода одновременно, и Google примет правильный.
Это значительно увеличивает скорость брутфорса. Звонок и попытка ввести 3 PIN-кода в ожидании окончания записи занимает около 25 секунд. Пробуя 3 ПИН-кода одновременно, я могу сделать это всего за 10.
10 секунд на вызов, 3 ПИН-кода за раз, 10 000 ПИН-кодов на попытку. Чтобы охватить все комбинации PIN-кода при одном звонке за раз, потребуется около 9 часов. Поскольку Twilio предназначен для масштабных вызовов, мы можем выполнять сотни вызовов одновременно, что значительно ускоряет процесс. Сценарий запускает так много вызовов, что линия иногда бывает занята. Не проблема! Сценарий обнаружит неудачные вызовы и просто повторит попытку. На самом деле, Twilio немедленно уведомляет о неудачных вызовах с помощью веб-перехватчиков, что делает скрипт очень эффективной обработкой непрошедших вызовов.
Если вам интересно, как сценарий узнает, правильный ли PIN-код или нет, я воспользуюсь длительностью звонка, чтобы выяснить это. Вместо того, чтобы выполнять какую-то причудливую обработку звука, я решил, что Google Meet завершит вызов, если я неправильно введу 3 PIN-кода.
С другой стороны, вызов будет продолжен, если один из этих 3 PIN-кодов правильный. Поэтому я даю Twilio указание молча подождать 10 секунд на линии, прежде чем повесить трубку. Это позволяет мне посмотреть продолжительность звонка и выяснить, смог ли я присоединиться к собранию или нет. Если вызов длится ~ 17 секунд, я знаю, что Google завершил вызов, поэтому угадывание PIN-кода не сработало. Если звонок длится примерно на 10 секунд дольше, я знаю, что присоединился к собранию, и один из трех PIN-кодов действителен.
Я выполнил несколько тестов и в среднем требуется 25 минут, чтобы попробовать все 10 000 PIN-кодов и найти 15 разных действительных PIN-кодов для 15 разных встреч за 16 долларов США. Неплохо!
Демонстрация
Чтобы сделать демонстрацию короче, я использую только 100 PIN-кодов в этой демонстрации, достаточно, чтобы показать, как это работает.
Эта работа фактически легла в основу исследования, которое я недавно представил на DEF CON.
Проблемы
На этом этапе мы можем найти номера телефонов, связанные с собраниями Google Meet, и мы можем эффективно и экономично подобрать PIN-код. Этого достаточно, чтобы считать это угрозой, но есть некоторые недостатки (с точки зрения злоумышленника), о которых вы можете подумать. Давайте обсудим их:
Встречи короткие и в определенный момент времени
Вы можете подумать, что для брутфорса встречи нужно запустить атаку во время встречи. Это не относится к делу. С того момента, как собрание запланировано, к нему привязывается номер телефона, и любой может присоединиться в любое время, даже до начала собрания . Это означает, что если вы попытаетесь провести брутфорс встречи, запланированной на следующую неделю, вам не нужно ждать до тех пор, чтобы начать атаку, вы можете начать прямо сейчас и вычислить PIN-код. Это важно, потому что в противном случае нам пришлось бы выяснять не только номер телефона и PIN-код, но и время, когда состоится встреча.
Google Meet показывает, кто участвует в собрании
Я бы сказал, что никто не обращает внимания и не проверяет, нет ли неожиданных участников перед началом собрания, особенно если оно длится дольше. Тем не менее, мы хотим быть как можно более скрытными, и я нашел интересное поведение, которое можно использовать.
Пользовательский интерфейс отображает лишь небольшое количество участников
Пользовательский интерфейс Google Meet на 15,4-дюймовом MacBook Pro
В зависимости от вашего разрешения пользовательский интерфейс отображает только около 5 профилей участников. Вам нужно будет специально щелкнуть по списку, чтобы увидеть других участников.
Пользовательский интерфейс отображает имя и изображение профиля при присоединении в браузере
Олицетворение Google Meet
Хотя это не относится к нашему случаю (мы нацелены на «звонок»), интересно отметить, что, хотя вы можете видеть участников, то, что вы смотрите на полные имена и фотографии профиля. Звучит достоверно? Подумайте об этом, полные имена и фотографии профиля, никакой электронной почты. Электронная почта — это единственная часть информации, которая уникальна для пользователя в Google. Тем не менее, Google отображает только полные имена и фотографии профиля. Чтобы создать учетную запись Gmail и установить полное имя и изображение профиля человека, которого мы хотим выдать себя, требуется одна минута. Если бы Google Meet отображал адрес электронной почты, было бы невозможно выдавать себя за участников.
Внешние участники должны быть одобрены перед присоединением к собранию, что в определенной степени смягчает эту проблему, продолжайте читать.
Внешние участники должны быть специально одобрены перед присоединением к совещанию
Если вы попытаетесь присоединиться к совещанию с помощью браузера, вам необходимо будет получить одобрение, если вы не вошли в учетную запись, назначенную домену компании. Например, если вы вошли в Gmail и пытаетесь присоединиться к собранию ACME Inc. , участники получат всплывающее предупреждение о том, что кто-то внешний (это учетная запись gmail.com, а не acme.com) пытается присоединиться к собранию.
Всплывающее окно подтверждения Google Meet
Это не относится к звонящим посетителям. Поскольку телефонные звонки не могут быть аутентифицированы, любой может присоединиться по телефону без предварительного одобрения . Это очень важно, потому что панель безопасности была значительно понижена для посетителей, звонящих в VS, присоединяющихся с помощью браузера.
Номера телефонов замаскированы
Это интересно. По какой-то причине Google решил замаскировать номера телефонов звонящих посетителей.
Замаскированный номер телефона
Как видите, пользовательский интерфейс отображает телефонные номера, например 555-XXXX-XX55. Я не знаю причины этого решения, но оно позволяет мне идеально изображать участников. Я использовал API bandwith.com для поиска доступных телефонных номеров с помощью регулярных выражений. Я купил номер телефона, который выглядит точно так же, как мой, если его замаскировать, как это делает Google Meet. Выдавать себя за меня стоило 35 центов.
Рекомендации
Для вас
Если вы используете G-Suite, вы можете сделать несколько вещей. Во-первых, администратор может отключить возможность звонить на собрания. Я не уверен, что вы можете отключить его для определенных собраний, но это следует учитывать для собраний, на которых будет обсуждаться конфиденциальная информация.
Если вам необходимо оставить доступной функцию звонка, вы можете отправить «пароль» каждому участнику по электронной почте или включить его в описание собрания. Перед началом встречи участники должны произнести секретное слово, и каждый может его проверить. Вы должны были бы быть в поиске новых людей, присоединяющихся.
Для Google
- Увеличьте размер PIN-кода, чтобы сделать подбор невозможным или слишком дорогим . Учитывая, что вы можете настроить вызов для автоматического набора PIN-кода для вас, не должно возникнуть проблем с увеличением размера PIN-кода до 8+ цифр.
Особенно, когда в некоторых странах уже есть более длинные PIN-коды, чем в США. Также имейте в виду, что номера можно легко угадать, поскольку в некоторых странах они присваиваются последовательно. Стоит отметить, что такие конкуренты, как GoToMeeting, GoToWebinar и ZOOM, уже делают это. - Поддерживайте одинаковую планку безопасности в разных странах. Если в Испании и Австралии есть 5-значные PIN-коды, то и в США тоже. Злоумышленники будут использовать самое слабое звено, чтобы присоединиться к собранию.
- Не маскируйте номер телефона посетителей, которые звонят, и не показывайте адреса электронной почты тех, кто присоединился через браузер. Это предотвратит олицетворение.
- Участники, которые звонят, должны быть одобрены перед присоединением. Если Google соглашается с тем, что внешние посетители должны быть одобрены перед присоединением к собранию, вызывающие посетители должны считаться внешними по умолчанию, а не доверенными.