Jak można (było) pozbawić internetu kilkanaście tysięcy abonentów Neostrady

April 28, 2007 5:19 pm aleksander bezpieczeństwo, wszystko

 

Parę lat temu miałem potrzebę przekonfigurowania czyjegoś routera do Neostrady, niestety nie znałem hasła. Szybkie zapytanie do Google i okazało się, że defaultowym hasłem dla konta admin jest “epicrouter”. Hasło to jest stosowane w wielu modelach różnych producentów routerów.

Od razu zadałem sobie pytanie: “Ile osób nie zmieniło tego hasła ?”.

W parę minut napisałem prosty skrypt w bashu który skanował całe pule adresów IP Neostrady. Odpaliłem go i poszedłem na uczelnie. Jakie było moje zdziwienie gdy okazało się że skrypt znalazl kilkanaście tysięcy routerów z defaultowym hasłem.

Wystarczyłaby prosta modyfikacja skryptu i w parę godzin owe kilkanaście tysięcy ludzi straciłoby dostęp do internetu,

co w większości musiałoby się skończyć na wezwaniu serwisu z TPSA. Oczywiście drugiej części nie wcieliłem w życie ;)

Nasuwa się pytanie: Kto jest winny ? Ludzie ? TPSA ? Kto musiałby za to wszystko zapłacić ?

To było chyba trzy lata temu (nie pamiętam już) parę serwisów nawet napisało o tym problemie. Wydawałoby się że informacja dotarła do TPSA i klienci otrzymają pouczenie o konieczności zmiany standardowego hasła.

Okazuje się, że nie do końca - problem jest (w zdecydowanie mniejszym stopniu) ale dalej aktualny

Napisałem skrypt.Znowu:


wget --http-user=admin --http-passwd=epicrouter http://$a.$b.$c.$d/commitedcfg.cfg

Podczas pisania tego tekstu skrypt znalazł ponad 20 podatnych routerów.

Średnio jeden na 256 hostów miał ustawione standardowe hasło. Dużo ? Mało ? nie wiem, w każdym razie o niebo lepiej niż parę lat temu.

Liczba ta pewnie jest większa ponieważ powyższy test został wykonany tylko dla routera ASMAX AR-904u

Jeśli masz taki router możesz sprawdzić czy jesteś łatwym celem

Oczywiście oprócz popsucia komuś internetu, przy specyficznych okolicznościach, grzebiąc przy przekierowaniu portów lub DNS (o zmianie firmware już nie mowie), można uzyskać zdalny dostęp do komputera stojącego za routerem.

PS: Jeśli już wspomniałem o firmware routera to polecam ciekawą prezentacje exploiting embedded systems

PS2: Znowu podczas pisania bloga odwiedzili mnie jehowi ;)

PS3:

Podobne wpisy:

  1. Stara dziura w BIOS’ie i jej wpływ na aplikacje szyfrujące
  2. PHP w więzieniu czyli separacja serwisów na home.pl
  3. Ile można stracić oszczędzając na hostingu + dlaczego dreamhost ssie
  4. Ruszył AdMatch - prawie jak AdSense
  5. OCR + syntezator mowy w roku 1910
4 Responses

  1. chlitto :

    Date: April 28, 2007 @ 17:39 pm

    a “Jesli po kliknieciu TUTAJ” bede mial 404:P?

  2. chlitto :

    Date: April 28, 2007 @ 17:44 pm

    k, zobaczylem link pod “tutaj” i cofam pytanie:)

  3. Jajcuś :

    Date: April 30, 2007 @ 7:33 am

    “klienci otrzymają pouczenie”

    To by nie było rozwiązanie. Przeciętny użytkownik Neostrady ma w d… bezpieczeństwo, jeżeli wymaga ono jakiegokolwiek działania z jego strony. Lepszym rozwiązaniem byłoby generowanie i przekazanie użytkownikowi losowego hasła z każdym nowym routerem (trudne do zrealizowania ze względów “logistycznych”), albo domyślne zablokowanie dostępu do routera z zewnątrz (może być niewspierane przez soft routera, albo utrudniać zdalną obsługę przez TPSA (jeżeli coś takiego istnieje)).

  4. aleksander :

    Date: May 1, 2007 @ 1:58 am

    Mysle ze jesli na ulotce znalazlyby sie slowa kluczowe : utrata danych, brak internetu i 200zl
    to mogloby zadzialac. Haslo losowe jest ale tylko na ppp (patrz czarna tabelka z czerwonym mazem ;)

    Zdalna obsluga jest ale tylko na DSL’ach i z tego powodu hasla sa zmienione i niedostepne dla userow (prawie :)

Leave a Comment

Your comment

You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Please note: Comment moderation is enabled and may delay your comment. There is no need to resubmit your comment.