Sårbara modem

[sodjan]

> 1. Tillåts script i en webbläsare att skicka trafik lokalt?

Är det inte det som t.ex Ajax och liknande tekniker gör (även i lokala nät, så klart)?
Även ActionScript i Flash har väl sådana möjligheter?
Eller Silverlight?

[MiaM]

Hm... kanske är det så, men jag har en känsla av att många routers skickar vidare även till privata nät. Får testa med min AirPort när jag är hemma.

Fast det är ju inte ovanligt att ISP'er har svartadresser även ut mot kund. Alla minns väl 10.0.0.6 eller vad den hette som man fick köra LFConnectionKeeper mot i ComHem/Telias barndom? (LF stod väl för Lennart Franzén eller nåt sånt tror jag). D.v.s. jag håller med, routers borde skicka vidare till privata nät. Givetvis blir det ju stopp för de adresser som just ens egna privata nät har.

Om man vill hindra att en specifik dator ska kunna nå ett visst nät "på utsidan" så kan man manuellt lägga in en felaktig route till det nätet, t.ex. peka på en annan gateway som inte existerar. Om man kan konfigurera sin router tillräckligt mycket så kan man med fördel göra konfigurationen där istället.


Sidospår eller nåt kring privata nät på "utsidan":

Jag minns att jag confade så att jag både körde DHCP och fast IP-adress samtidigt på externa interfacet på linuxburken som agerade router förut, och fick dela 10.0.0.x i två halvor (nätmask 255.255.255.128) för att dels kunna nå 10.0.0.6 med den DHCP-tilldelade adressen som min avsändar-IP och dels kunna nå modemets webbinterface på 10.0.0.129 eller vad det nu var.

Egentligen inte direkt nödvändigt men man kunde se data över DSL-länken o.s.v.

Fast det var kanske inte 10.0.0.6 som var aktuell när jag tänker efter, men något "av betydelse" hade Telia på 10.0.0.x-adresser då det begav sig, kanske DNS-server eller vad det nu kan ha varit.


P.S. de här händelserna är nog en ögonöppnare för många. Just cross-site-grejen är det nog många som inte tänkt på. Fast man lär väl troligtvis klara sig hyggligt väl med ytterst enkla motmedel. Det är väl troligt att de flesta hackförsök bara testar mot den ip som är default för adsl-modem/routers.

Det här visar ju också värdet av att faktiskt sätta/byta lösenord på saker, även om man har en "password.txt" väl synlig på skrivbordet på datorn...

[ronnylov]

http://www.sweclockers.com/nyhet/19611- ... t-portbyte

Vilken miss. Vi byter bara nätverksport så märker nog inget något...

[qx5]

Det är väl rätt "standard operating procedure" för större företag?

[netrunner]

Man kan anta att alla ISP:er har en "hackad" firmware så att dom kan centralstyra alla routrar för att konfigurerar dom (hur ska man annars hantera 200k modem med inställningar). Så ringer dom till Kina för att få en ny version nu och kinesen som fixade första versionen har slutat så det blir lite extra jobb nu ... kan ta en vecka eller så.

Att på riktigt faktiskt tjäna några direkta pengar på detta säkerhetshål är ju svårt. Att ta över DNS:en på routern räcker inte långt.

En hängiven och riktad attack tjänar mycket mer pengar på något annat än slumpmässiga privatpersoner.

[ronnylov]

Fast de borde ju kunna köra ett separat VLAN för konfiguration av modemen så att det är separerat från internet.
Alternativt ssh så blir det krypterat.

[Nerre]

Hjälper väl inte med ssh om problemet är att alla vet lösenordet?

Sen är det faktiskt så att många leverantörer idag har routrar som vid boot läser inställningarna från leverantörens server. Som kund kan man alltså inte ändra inställningar även om man har lösenord. Mjukvaran är gjord så den rensar inställningarna vid varje boot och läser dem från servern. (En del prylar hämtar t.o.m. mjukvaran med BOOTP eller liknande.)

[Glenn]

Ja, så var det när jag hade combort, om man startade modemet utan att koppla in kabeltvkabeln så fick man ett snyggt gränssnitt med en massa options att skruva på, bootade mand et med kabeln i så byttes firmwaren ut direkt och man fick ett väldigt spartanskt gui där allt var spärrat.

[ronnylov]

De skulle kunna använda lösenord som alla inte vet och unikt lösenord till varje enhet som de sparar i någon lokal databas hos ISP. Med ssh kan man också ha krypterade key pairs och andra säkerhetsinställningar som gör det ganska svårknäckt. Finns väl ingen anledning att de måste köra med webb-gränssnitt när de fjärrkonfigurerar. Borde väl gå att överföra någon sorts konfigurationsfil istället.

Sedan att man låter användaren kunna konfigurera sina inställning med ett webbgränssnitt på det lokala nätverket är väl bra, men man behöver inte öppna upp detta ut mot internet.

[netrunner]

Det skulle i så fall betyda att varje modem måste "handknackas" av en tekniker som sätter det unika lösenordet och sparar det i databasen. Något man nog vill undvika.

Lösenordet blev troligen känt från en tidigare anställd eller från någon som tankat ur firmware och sökt efter lösenordet. Även där har SSH problem.

Inställningen var inte öppen mot internet, bara mot lokalt nät.

---

Jag tycker att det är ganska talande att DN inte kan visa när "vem som helst" genom "några musklick" kapar ett bankkonto i en svensk bank.

Om det i texten är ett så extremt säkerhetsproblem som är så lätt att använda ... varför kan dom då inte visa när tex ett konto på handelsbanken bli kapat?

Det skulle ge en enorm sensations-effekt ... och tar ju bara några minuter att göra. Även om det tar ett par timmar? Även om det tar ett par dagar? Ändå gör dom det inte.

[Nerre]

Problemet är väl att om de gör det så dokumenterar de att de har begått ett brott, och det slutar med fängelse.

Vi har ju exemplet med reportern som ville visa hur lätt det var att få tag på vapen.

[netrunner]

Han kan ju hacka sitt eget konto.

[Nerre]

Det blir nog ändå ett brott mot banken...

[Glenn]

Avtalsbrott möjligen, vilket har betydligt mindre straffvärde.

[Mr Andersson]

De skulle kunna använda lösenord som alla inte vet och unikt lösenord till varje enhet som de sparar i någon lokal databas hos ISP. Med ssh kan man också ha krypterade key pairs och andra säkerhetsinställningar som gör det ganska svårknäckt. Finns väl ingen anledning att de måste köra med webb-gränssnitt när de fjärrkonfigurerar. Borde väl gå att överföra någon sorts konfigurationsfil istället.

Sedan att man låter användaren kunna konfigurera sina inställning med ett webbgränssnitt på det lokala nätverket är väl bra, men man behöver inte öppna upp detta ut mot internet.

Det behöver inte vara öppet mot internet. Om ip, användarnamn och lösenord är känt och man kan få användaren att gå in på en webbsida man har kontroll över kan man komma åt routern/modemet via javascript.
Visst, det är väldigt långsökt och jag tror inte någon skulle lägga tid på försöka "hacka" de få personer som har detta modem, annat än kanske som ett proof of concept. Men det går om man absolut vill.