Παρασκευή 6 Δεκεμβρίου 2013
Τέσσερα πρόσωπα υπό κράτηση για κλοπή και ναρκωτικά στην Πάφο
Ίδρωσε λιγάκι στο 3ο σετ (Αποέλ-ΟΜΟΝΟΙΑ 0-3 σετ)
Νίκες για Ομόνοια και Ανόρθωση στην πετόσφαιρα
Διαδήλωση κατά της οικονομικής πολιτικής στα κατεχόμενα
Ρίγος Συγκίνησης! Δείτε τι έκανε ο Vin Diesel για τον Paul Walker…
ΑΕΛ: Εκτός ο Οχένε
"Πανέτοιμη για να διεκδικήσει ακόμη ένα τρίποντο είναι η ομάδα μας.
Fitch: Σε αρνητική παρακολούθηση τα καλυμμένα ομόλογα της BoC με αξιολόγηση «Β»
Νέες αυστηρές οδηγίες για τι χορήγηση δάνειων! - Διαβάστε την επίσημη οδηγία
EKT: Οικονομική ανάπτυξη στην Ευρωζώνη πλην της Κύπρου! Αν δεν είχαμε αέριο θα είμασταν μια χαρά μάλλον! Σωστά;
Και δεύτερο κρούσμα της γρίπης των πτηνών σε άνθρωπο στην Κίνα
Πρωτοποριακή ιστοσελίδα αποκαλύπτει εάν τα προσωπικά δεδομένα σου έχουν «κλαπεί»!
Δεκάδες νεκροί στην πρωτεύουσα της Κεντροαφρικανικής Δημοκρατίας
Tην έκοψαν στο «Feel fantastic» στην Κύπρο και προκρίθηκε στο διεθνή διαγωνισμό ομορφιάς «Top Model Worldwide»
Το troktikocyp καλεί το κοινό να μην εφησυχάσει σε σχέση με το κλείσιμο λογαριασμών «πολιτικά εκτεθειμένων προσώπων» από την Τρ. Κύπρου Η.Β.
Απόλλωνας: Υποψήφιος πρόεδρος ο Μ. Ευστρατίου
2000 Έλληνες χρήστες υπηρεσιών DSL ευάλωτοι σε διαρροή δεδομένων από Huawei Router!
Σύμφωνα με το άρθρο, ένας default “ξεχασμένος” κωδικός μπορούσε υπ' ορισμένες συνθήκες να προσδώσει επαυξημένη πρόσβαση στην κονσόλα διαχείρισης του modem. Μάλιστα όπως σημείωναν και άλλοι ερευνητές ασφάλειας στο Forum στα σχόλια του άρθρου, η χρήση της εν λόγω αδυναμίας ήταν εφικτή μόνο εντός του εσωτερικού δικτύου, υπό ορισμένες προυποθέσεις κλπ.
Η ερευνητική ομάδα του SecNews σε συνεργασία με εθελοντές ειδικούς ασφάλειας, προχώρησε σε βαθύτερη διερεύνηση των αναφερομένων στο άρθρο, ώστε να α) εξακριβώσει τον βαθμό που τα ανωτέρω ανταποκρίνονταν στην πραγματικότητα β) διαπιστώσει πως επηρεάζονταν οι χρήστες της συγκεκριμένης συσκευής του οίκου Huawei γ) να προσδίορίσει αριθμητικά πόσοι πιθανόν χρήστες είναι ευάλωτοι και τέλος δ) επισημάνει τι δυνατότητες μπορεί να αποκτήσει ενας εξωτερικός επιτιθέμενος με χρήση της συγκεκριμένης αδυναμίας και με τι βαθμό δυσκολίας.
Τα συμπεράσματα που προέκυψαν από την έρευνα του SecNews είναι άκρως ενδιαφέροντα και απαιτούν άμεση ενημέρωση των χρηστών. Για λόγους προστασίας των ευάλωτων χρηστών από την υφιστάμενη αδυναμία αλλά και των τηλεπικοινωνιακών παρόχων, η ερευνητική ομάδα αποφάσισε να μην δημοσιοποιήσει ΠΛΗΡΩΣ τα στοιχεία ή ακριβή δεδομένα που μπορούν να χρησιμοποιηθούν για διάπραξη επιθέσεων, διαρροών usernames ή passwords και λοιπών στοιχείων.
Μεθοδολογία Έρευνας:
Η εθελοντική ερευνητική ομάδα υπό την εποπτεία του SecNews, δημιούργησε αρχικά μια πλήρη λίστα με το σύνολο των Ελληνικών IP διευθύνσεων (Country IP Block) με χρήση της παρακάτω ΕΠΙΣΗΜΗΣ ιστοσελίδας
https://www.countryipblocks.net/country_selection.php
Στη συνέχεια μέσω διαθέσιμης στο κοινό υπηρεσίας μέσω διαδίκτυου με δυνατότητα banner grabbing, εντοπίστηκαν οι IP διευθύνσεις που έχουν εκτεθειμένη την υπηρεσία telnet (port 23). Η εν λόγω ελεύθερη υπηρεσία “σαρώνει” μια προς μία τις IP διευθύνσεις από μια λίστα (εν προκειμένω την λίστα των Ελληνικών IP διεθύνσεων) και εντοπίζει τα “banners” δηλαδή τα χαρακτηριστικά εκείνα μηνύματα (όπως version, όνομα υπηρεσίας, έκδοση κλπ) που εκθέτονται στο διαδίκτυο, προσβάσιμα απο τον καθένα ώς απόδειξη της ενεργής υπηρεσίας του εκάστοτε εξυπηρετητή ή modem. Το banner grabbing εν προκειμένω πραγματοποιήθηκε αποκλειστικά για την υπηρεσία telnet (port 23), μιας και όπως αναφέρει το άρθρο του P0wnbox οι άλλες πόρτες δεν ήταν προσβάσιμες (πχ η πόρτα 22)
Αξίζει να σημειώσουμε οτι εθελοντής που συνεισέφερε κατά την έρευνα, διέθετε το ίδιο ακριβώς modem και κατα συνέπεια την στιγμή της σάρωσης εντοπίστηκε (Πλέον των άλλων εκτεθειμένων IP διευθύνσεων) και το banner της IP διεύθυνσης του εθελοντή μας.
Το αρχικο τμήμα της έρευνας είχε ολοκληρωθεί. Οι ερευνητές διέθεταν μια λίστα με όλα τα ένεργα telnet banners από ένα μεγάλο εύρος IP διευθύνσεων.
Στην συνέχεια οι ερευνητές ξεχώρισαν μόνο τα banners εκείνα που περιείχαν την λέξη “—–Welcome to ATP Cli——”, μιας και όπως φαίνεται στο άρθρο του P0wnbox , αυτό είναι το χαρακτηριστικό μήνυμα εισαγωγής της εν λόγω συσκευής κατά την διαδικασία της σύνδεσης.
Αποτελέσματα Έρευνας:
Τα αποτελέσματα της έρευνας κατά την σάρωση banner grabbing έδειξαν ότι:
- 2100 περίπου Έλληνες χρήστες ADSL υπηρεσιών (μη ακριβής εκτίμηση/μέτρηση), έχουν στην κτήση τους την συγκεκριμένη συσκευή και άρα είναι ευάλωτοι στην συγκεκριμένη αδυναμία την στιγμή της αποτύπωσης.
- Υπάρχει διασπορά στα ενεργά ευάλωτα modems σε όλους τους γνωστούς τηλεπικοινωνιακούς παρόχους. Λανθασμένα το P0wnbox αναφέρει ότι η αδυναμία αφορούσε μόνο την υπηρεσία Conn-X. Η έρευνα διαπίστωσε ότι η αδυναμία εμφανίζεται σε όλους τους γνωστούς Ελληνικούς παρόχους συμπεριλαμβανομένου ΚΑΙ του DSL που παρέχει το ΕΔΕΤ/GrNet (για το δίκτυο των Πανεπιστημίων – φοιτητών κλπ)
- Αναφερόταν στο άρθρο ότι η πόρτα telnet (23) ήταν προσβάσιμη ΜΟΝΟ από το εσωτερικό δίκτυο. Κάτι τέτοιο διαπιστώσαμε οτι ΔΕΝ ισχύει. Στους ευάλωτους στόχους που εντοπίστηκαν κατά την έρευνα, η υπηρεσία ήταν προσβάσιμη από το Internet με ιδιαίτερη ευκολία χρησιμοποιώντας ενα απλό telnet client ,τον οποιό διαθέτει ο καθένας στον υπολογιστή του. Το μόνο που χρειαζόταν να γνωρίζει ενας κακόβουλος χρήστης είναι την IP διεύθυνση του στόχου την δεδομένη χρονική στιγμή. Συνεπώς ο τρόπος κακόβουλης χρήσης της εν λόγω αδυναμίας ήταν κάτι παραπάνω απο εύκολος μιας και μπορεί να πραγματοποιηθεί δυνητικά από τον καθένα, με ελάχιστη γνώση!.
-
Διαρροή κωδικού σύνδεσης χρήστη στον πάροχο:
Όπως αναφέραμε και παραπάνω εντός της ευρεθείσας λίστας των εν λόγω Modems Huawei, εντοπιστηκε και το modem ενός εκ των ερευνητών μας. Αποφασίσαμε να προχωρήσουμε ενα βήμα πιο πέρα. Ο ερευνητής με ΑΠΛΟΤΑΤΕΣ εντολές κατόρθωσε να αντλήσει σε μορφή απλού κειμένου (όχι κρυπτογραφημένου) τα ενεργά στοιχεία της σύνδεσής του, όπως αυτά έχουν δοθεί από τον τηλεπικοινωνιακό πάροχο. Δείτε step-by-step πώς αντλήσε τα στοιχεία σύνδεσής του σε μορφή απλού κειμένου:
Καταρχήν ο ερευνητής συνδέθηκε στην IP διεύθυνση που είχε εντοπιστεί από το banner grabbing. Με στοιχεία admin/admin αποκτά πρόσβαση στον Modem. Τονίζουμε οτι η πρόσβαση ΕΙΝΑΙ ΑΠΟ ΤΟ INTERNET και όχι από το εσωτερικό δίκτυο δηλαδή μπορεί να το κάνει ο ΟΠΟΙΟΣΔΗΠΟΤΕ!
Στην συνέχεια και αφού έχει πληκτρολογήσει την εντολή “shell” στο prompt για να αποκτήσει πρόσβαση στην κονσόλα του Modem, δίνει την εντολή “cd /var/wan/ppp256″ ώστε να αποκτήσει πρόσβαση στον εν λόγω υποφάκελο. Στον φάκελο αυτό ιδιαίτερα ενδιαφέρον παρουσιάζει το αρχείο “config”
Διαβάζοντας το αρχείο config (cat config) διαπιστώνουμε ότι το username και ο κωδικός πρόσβασης στον πάροχο είναι εκεί σε πλήρως αναγνώσιμη μορφή. Συνεπώς πλέον μπορεί να το χρησιμοποιήσει ο κακόβουλος εισβολέας για να αποκτήσει πρόσβαση στην αλληλογραφία μας (e-mail) εφόσον είναι το ίδιο username/pass που χρησιμοποιούμε για την πρόσβαση στο mailbox που μας παρέχει ο εκάστοτε πάροχος.
Επιπρόσθετα και επειδή το λειτουργικό που χρησιμοποιεί η συσκευή είναι βασισμένο σε linux για embedded devices (Busybox) μπορεί να τοποθετηθούν πολλαπλά είδη backdoors. Παραδείγματος χάρη, μια backdoor που θα καταγράφει το σύνολο των δικτυακών κινήσεων του χρήστη (sniffer), θα εντοπίζει τις ιστοσελίδες που επισκέπτετε και κάτω απο ορισμένες προυποθέσεις θα μπορεί να καταγράψει πλήρως τους κωδικούς πρόσβασης που εισάγει στις ιστοσελίδες κατά την καθημερινή του περιήγηση. Υπό τις ίδιες συνθήκες μπορεί να χρησιμοποιήσει ενας κακόβουλος χρήστης την συσκευή για να πραγματοποιήση κακόβουλη δικτυακή κίνηση (χρήση ως jumpoint για επίθεση σε άλλα δίκτυα) ακόμα και για διάπραξη κυβερνοεγκλημάτων και απόκρυψη ιχνών! Δυνατότητες δηλαδή να μετατρέψει ένας κακόβουλος χρήστης το Modem σε μια υπερσυσκευή παρακολούθησης και επίθεσης εν αγνοία του χρήστη!
Αν αυτό φαντάζει επιστημονική φαντασία, ίσως θα πρέπει να το ξανασκεφτούμε. Αξίζει να αναφερθεί ότι σε αντίστοιχο κινέζικο modem της εταιρείας Tenda εντοπίστηκε από ερευνητή ασφάλειας “backdoor” πριν μερικές εβδομάδες που έδινε πλήρη πρόσβαση εν αγνοία του χρήστη (δείτε σχετικό άρθρο εδώ)
Συμπεράσματα – Υποδείξεις
To SecNews σε συνεργασια με την ερευνητική ομάδα των εθελοντών προχώρησε ένα βήμα παραπάνω το ζήτημα που ανέδειξε πρώτο το P0wnbox αναφορικά με την λανθασμένη παραμετροποίηση του Huawei HG-530 Router που χρησιμοποιεί μεγάλος αριθμός Ελλήνων χρηστών DSL υπηρεσιών. Η έρευνά μας κατέληξε στα εξής συμπεράσματα:
- Πάνω από 2000 Ελληνες χρήστες είναι ευάλωτοι στην αδυναμία και ανα πάσα στιγμή μπορεί να διαρρεύσει ο κωδικός σύνδεσής τους στο διαδίκτυο!
- Αν αυτός ο κωδικός χρησιμοποιείται παράλληλα και για την λήψη e-mail ή άλλων υπηρεσιών (ιδιαίτερα σύνηθες) τότε ο επιτιθέμενος μπορεί να αντλήσει ευαίσθητα και προσωπικά δεδομένα!
- Η πρόσβαση δεν είναι εφικτύ ΜΟΝΟ απο εσωτερικό δίκτυο του πελάτη αλλά και απο όλο τοInternet όπως διαπιστώσαμε με την έρευνα/μελέτη μας
- Η αδυναμία δεν επηρεάζει μόνο home users αλλά διαπιστώσαμε οτι πολλές μικρομεσαίες επιχειρήσεις αλλά και υπηρεσίες διαθέτουν το εν λόγω modem/router με ότι αυτό μπορεί να σημαίνει για την ασφάλεια των δεδομένων και της απρόσκοπτης πρόσβασης στο διαδίκτυο. Φανταστείτε λόγου χάρη εταιρεία να χρησιμοποιεί το συγκεκριμένο modem για την διαχείριση των καμερών ασφάλειας. Μια παύση της λειτουργίας της σύνδεσης μπορεί να δημιουργήσει σοβαρότατα προβλήματα, ακόμα και φυσικής ασφάλειας!
- Η χρήση της συγκεκριμένης αδυναμίας δεν απαιτεί εξειδικευμένη γνώση και μπορεί να τύχει εκμετάλλευσης από τον οποιονδήποτε, ακόμα και απο κάποιον με ιδιαίτερα χαμηλή τεχνογνωσία
- Πιο έμπειροι-advanced χρήστες μπορούν να χρησιμοποιήσουν την αδυναμία για απόκρυψη των ιχνών τους / κυβερνοαπάτες-κυβερνοεγκλήματα αλλά και πλήρη παρακολούθηση της δικτυακής συμπεριφοράς του χρήστη (ιστοσελίδες, κωδικούς κλπ)
- Από την αδυναμία/λανθασμένη παραμετροποίηση επηρεάζονται όλοι σχεδόν οι τηλεπικοινωνιακοί πάροχοι αναλογικά με τον αριθμό των πελατών τους που διαθέτουν την συγκεκριμένη συσκευή
Είναι σαφές ότι οι πάροχοι δεν διαθέτουν ευθύνη για την ύπαρξη της default ρύθμισης των modems που διαθέτουν στους πελάτες τους, μιας και μπορεί κάποιος εξ αυτών να το έχει προμηθευτεί και απο μόνος του ασχέτως παρόχου.
Εκτιμούμε ότι ΑΜΕΣΑ θα πρέπει:
Οι χρήστες των ευάλωτων συσκευών:
Να αλλάξουν άμεσα των κωδικό πρόσβασης από admin/admin σε έναν πολύπλοκο της επιλογής τους. Οδηγίες μπορούν να βρούν [εδώ] στην σελίδα Change Admin Password
Να ελέγξουν το modem τους από το Web Interface για ύπαρξη ενεργών χρηστών την ύπαρξη των οποίων δεν γνωρίζουν
Να αλλάξουν άμεσα πιθανα WPA/WPAv2 keys που χρησιμοποιούν για τις ασύρματες συσκευές
Οι πάροχοι που παρέχουν τους Routers Huawei HG-530 για τους πελάτες τους:
Οφείλουν άμεσα να ενημερώσουν τους χρήστες με δελτίο τύπου ή με ηλεκτρονικό μήνυμα ώστε να προβούν σε ΑΜΕΣΗ αλλαγή του κωδικού admin
Να παρέχουν μέσω της ιστοσελίδας τους σε εμφανές σημείο (banner) ή μέσω του τηλεφωνικού τους κέντρου ενημέρωση και δυνατότητα υποστήριξης για αλλαγή του κωδικού πρόσβασης σε περίπτωση που ο χρήστης δεν διαθέτει την σχετική τεχνογνωσία
Να ενημερώσουν την εταιρεία-πάροχο Huawei για προσθήκη patch στο επόμενο Firmware ώστε να επιβάλει την αλλαγή του default κωδικού πρόσβασης ή να τον καθιστά ανενεργό από την πλευρά του Internet ώστε να μην μπορεί να χρησιμοποιηθεί από εξωτερικό επιτιθέμενο.
Η ερευνητική ομάδα του SecNews σε συνεργασία με εθελοντές ειδικούς ασφάλειας, προχώρησε σε βαθύτερη διερεύνηση των αναφερομένων στο άρθρο, ώστε να α) εξακριβώσει τον βαθμό που τα ανωτέρω ανταποκρίνονταν στην πραγματικότητα β) διαπιστώσει πως επηρεάζονταν οι χρήστες της συγκεκριμένης συσκευής του οίκου Huawei γ) να προσδίορίσει αριθμητικά πόσοι πιθανόν χρήστες είναι ευάλωτοι και τέλος δ) επισημάνει τι δυνατότητες μπορεί να αποκτήσει ενας εξωτερικός επιτιθέμενος με χρήση της συγκεκριμένης αδυναμίας και με τι βαθμό δυσκολίας.
Τα συμπεράσματα που προέκυψαν από την έρευνα του SecNews είναι άκρως ενδιαφέροντα και απαιτούν άμεση ενημέρωση των χρηστών. Για λόγους προστασίας των ευάλωτων χρηστών από την υφιστάμενη αδυναμία αλλά και των τηλεπικοινωνιακών παρόχων, η ερευνητική ομάδα αποφάσισε να μην δημοσιοποιήσει ΠΛΗΡΩΣ τα στοιχεία ή ακριβή δεδομένα που μπορούν να χρησιμοποιηθούν για διάπραξη επιθέσεων, διαρροών usernames ή passwords και λοιπών στοιχείων.
Μεθοδολογία Έρευνας:
Η εθελοντική ερευνητική ομάδα υπό την εποπτεία του SecNews, δημιούργησε αρχικά μια πλήρη λίστα με το σύνολο των Ελληνικών IP διευθύνσεων (Country IP Block) με χρήση της παρακάτω ΕΠΙΣΗΜΗΣ ιστοσελίδας
https://www.countryipblocks.net/country_selection.php
Στη συνέχεια μέσω διαθέσιμης στο κοινό υπηρεσίας μέσω διαδίκτυου με δυνατότητα banner grabbing, εντοπίστηκαν οι IP διευθύνσεις που έχουν εκτεθειμένη την υπηρεσία telnet (port 23). Η εν λόγω ελεύθερη υπηρεσία “σαρώνει” μια προς μία τις IP διευθύνσεις από μια λίστα (εν προκειμένω την λίστα των Ελληνικών IP διεθύνσεων) και εντοπίζει τα “banners” δηλαδή τα χαρακτηριστικά εκείνα μηνύματα (όπως version, όνομα υπηρεσίας, έκδοση κλπ) που εκθέτονται στο διαδίκτυο, προσβάσιμα απο τον καθένα ώς απόδειξη της ενεργής υπηρεσίας του εκάστοτε εξυπηρετητή ή modem. Το banner grabbing εν προκειμένω πραγματοποιήθηκε αποκλειστικά για την υπηρεσία telnet (port 23), μιας και όπως αναφέρει το άρθρο του P0wnbox οι άλλες πόρτες δεν ήταν προσβάσιμες (πχ η πόρτα 22)
Αξίζει να σημειώσουμε οτι εθελοντής που συνεισέφερε κατά την έρευνα, διέθετε το ίδιο ακριβώς modem και κατα συνέπεια την στιγμή της σάρωσης εντοπίστηκε (Πλέον των άλλων εκτεθειμένων IP διευθύνσεων) και το banner της IP διεύθυνσης του εθελοντή μας.
Το αρχικο τμήμα της έρευνας είχε ολοκληρωθεί. Οι ερευνητές διέθεταν μια λίστα με όλα τα ένεργα telnet banners από ένα μεγάλο εύρος IP διευθύνσεων.
Στην συνέχεια οι ερευνητές ξεχώρισαν μόνο τα banners εκείνα που περιείχαν την λέξη “—–Welcome to ATP Cli——”, μιας και όπως φαίνεται στο άρθρο του P0wnbox , αυτό είναι το χαρακτηριστικό μήνυμα εισαγωγής της εν λόγω συσκευής κατά την διαδικασία της σύνδεσης.
Αποτελέσματα Έρευνας:
Τα αποτελέσματα της έρευνας κατά την σάρωση banner grabbing έδειξαν ότι:
- 2100 περίπου Έλληνες χρήστες ADSL υπηρεσιών (μη ακριβής εκτίμηση/μέτρηση), έχουν στην κτήση τους την συγκεκριμένη συσκευή και άρα είναι ευάλωτοι στην συγκεκριμένη αδυναμία την στιγμή της αποτύπωσης.
- Υπάρχει διασπορά στα ενεργά ευάλωτα modems σε όλους τους γνωστούς τηλεπικοινωνιακούς παρόχους. Λανθασμένα το P0wnbox αναφέρει ότι η αδυναμία αφορούσε μόνο την υπηρεσία Conn-X. Η έρευνα διαπίστωσε ότι η αδυναμία εμφανίζεται σε όλους τους γνωστούς Ελληνικούς παρόχους συμπεριλαμβανομένου ΚΑΙ του DSL που παρέχει το ΕΔΕΤ/GrNet (για το δίκτυο των Πανεπιστημίων – φοιτητών κλπ)
- Αναφερόταν στο άρθρο ότι η πόρτα telnet (23) ήταν προσβάσιμη ΜΟΝΟ από το εσωτερικό δίκτυο. Κάτι τέτοιο διαπιστώσαμε οτι ΔΕΝ ισχύει. Στους ευάλωτους στόχους που εντοπίστηκαν κατά την έρευνα, η υπηρεσία ήταν προσβάσιμη από το Internet με ιδιαίτερη ευκολία χρησιμοποιώντας ενα απλό telnet client ,τον οποιό διαθέτει ο καθένας στον υπολογιστή του. Το μόνο που χρειαζόταν να γνωρίζει ενας κακόβουλος χρήστης είναι την IP διεύθυνση του στόχου την δεδομένη χρονική στιγμή. Συνεπώς ο τρόπος κακόβουλης χρήσης της εν λόγω αδυναμίας ήταν κάτι παραπάνω απο εύκολος μιας και μπορεί να πραγματοποιηθεί δυνητικά από τον καθένα, με ελάχιστη γνώση!.
-
Διαρροή κωδικού σύνδεσης χρήστη στον πάροχο:
Όπως αναφέραμε και παραπάνω εντός της ευρεθείσας λίστας των εν λόγω Modems Huawei, εντοπιστηκε και το modem ενός εκ των ερευνητών μας. Αποφασίσαμε να προχωρήσουμε ενα βήμα πιο πέρα. Ο ερευνητής με ΑΠΛΟΤΑΤΕΣ εντολές κατόρθωσε να αντλήσει σε μορφή απλού κειμένου (όχι κρυπτογραφημένου) τα ενεργά στοιχεία της σύνδεσής του, όπως αυτά έχουν δοθεί από τον τηλεπικοινωνιακό πάροχο. Δείτε step-by-step πώς αντλήσε τα στοιχεία σύνδεσής του σε μορφή απλού κειμένου:
Καταρχήν ο ερευνητής συνδέθηκε στην IP διεύθυνση που είχε εντοπιστεί από το banner grabbing. Με στοιχεία admin/admin αποκτά πρόσβαση στον Modem. Τονίζουμε οτι η πρόσβαση ΕΙΝΑΙ ΑΠΟ ΤΟ INTERNET και όχι από το εσωτερικό δίκτυο δηλαδή μπορεί να το κάνει ο ΟΠΟΙΟΣΔΗΠΟΤΕ!
Στην συνέχεια και αφού έχει πληκτρολογήσει την εντολή “shell” στο prompt για να αποκτήσει πρόσβαση στην κονσόλα του Modem, δίνει την εντολή “cd /var/wan/ppp256″ ώστε να αποκτήσει πρόσβαση στον εν λόγω υποφάκελο. Στον φάκελο αυτό ιδιαίτερα ενδιαφέρον παρουσιάζει το αρχείο “config”
Διαβάζοντας το αρχείο config (cat config) διαπιστώνουμε ότι το username και ο κωδικός πρόσβασης στον πάροχο είναι εκεί σε πλήρως αναγνώσιμη μορφή. Συνεπώς πλέον μπορεί να το χρησιμοποιήσει ο κακόβουλος εισβολέας για να αποκτήσει πρόσβαση στην αλληλογραφία μας (e-mail) εφόσον είναι το ίδιο username/pass που χρησιμοποιούμε για την πρόσβαση στο mailbox που μας παρέχει ο εκάστοτε πάροχος.
Επιπρόσθετα και επειδή το λειτουργικό που χρησιμοποιεί η συσκευή είναι βασισμένο σε linux για embedded devices (Busybox) μπορεί να τοποθετηθούν πολλαπλά είδη backdoors. Παραδείγματος χάρη, μια backdoor που θα καταγράφει το σύνολο των δικτυακών κινήσεων του χρήστη (sniffer), θα εντοπίζει τις ιστοσελίδες που επισκέπτετε και κάτω απο ορισμένες προυποθέσεις θα μπορεί να καταγράψει πλήρως τους κωδικούς πρόσβασης που εισάγει στις ιστοσελίδες κατά την καθημερινή του περιήγηση. Υπό τις ίδιες συνθήκες μπορεί να χρησιμοποιήσει ενας κακόβουλος χρήστης την συσκευή για να πραγματοποιήση κακόβουλη δικτυακή κίνηση (χρήση ως jumpoint για επίθεση σε άλλα δίκτυα) ακόμα και για διάπραξη κυβερνοεγκλημάτων και απόκρυψη ιχνών! Δυνατότητες δηλαδή να μετατρέψει ένας κακόβουλος χρήστης το Modem σε μια υπερσυσκευή παρακολούθησης και επίθεσης εν αγνοία του χρήστη!
Αν αυτό φαντάζει επιστημονική φαντασία, ίσως θα πρέπει να το ξανασκεφτούμε. Αξίζει να αναφερθεί ότι σε αντίστοιχο κινέζικο modem της εταιρείας Tenda εντοπίστηκε από ερευνητή ασφάλειας “backdoor” πριν μερικές εβδομάδες που έδινε πλήρη πρόσβαση εν αγνοία του χρήστη (δείτε σχετικό άρθρο εδώ)
Συμπεράσματα – Υποδείξεις
To SecNews σε συνεργασια με την ερευνητική ομάδα των εθελοντών προχώρησε ένα βήμα παραπάνω το ζήτημα που ανέδειξε πρώτο το P0wnbox αναφορικά με την λανθασμένη παραμετροποίηση του Huawei HG-530 Router που χρησιμοποιεί μεγάλος αριθμός Ελλήνων χρηστών DSL υπηρεσιών. Η έρευνά μας κατέληξε στα εξής συμπεράσματα:
- Πάνω από 2000 Ελληνες χρήστες είναι ευάλωτοι στην αδυναμία και ανα πάσα στιγμή μπορεί να διαρρεύσει ο κωδικός σύνδεσής τους στο διαδίκτυο!
- Αν αυτός ο κωδικός χρησιμοποιείται παράλληλα και για την λήψη e-mail ή άλλων υπηρεσιών (ιδιαίτερα σύνηθες) τότε ο επιτιθέμενος μπορεί να αντλήσει ευαίσθητα και προσωπικά δεδομένα!
- Η πρόσβαση δεν είναι εφικτύ ΜΟΝΟ απο εσωτερικό δίκτυο του πελάτη αλλά και απο όλο τοInternet όπως διαπιστώσαμε με την έρευνα/μελέτη μας
- Η αδυναμία δεν επηρεάζει μόνο home users αλλά διαπιστώσαμε οτι πολλές μικρομεσαίες επιχειρήσεις αλλά και υπηρεσίες διαθέτουν το εν λόγω modem/router με ότι αυτό μπορεί να σημαίνει για την ασφάλεια των δεδομένων και της απρόσκοπτης πρόσβασης στο διαδίκτυο. Φανταστείτε λόγου χάρη εταιρεία να χρησιμοποιεί το συγκεκριμένο modem για την διαχείριση των καμερών ασφάλειας. Μια παύση της λειτουργίας της σύνδεσης μπορεί να δημιουργήσει σοβαρότατα προβλήματα, ακόμα και φυσικής ασφάλειας!
- Η χρήση της συγκεκριμένης αδυναμίας δεν απαιτεί εξειδικευμένη γνώση και μπορεί να τύχει εκμετάλλευσης από τον οποιονδήποτε, ακόμα και απο κάποιον με ιδιαίτερα χαμηλή τεχνογνωσία
- Πιο έμπειροι-advanced χρήστες μπορούν να χρησιμοποιήσουν την αδυναμία για απόκρυψη των ιχνών τους / κυβερνοαπάτες-κυβερνοεγκλήματα αλλά και πλήρη παρακολούθηση της δικτυακής συμπεριφοράς του χρήστη (ιστοσελίδες, κωδικούς κλπ)
- Από την αδυναμία/λανθασμένη παραμετροποίηση επηρεάζονται όλοι σχεδόν οι τηλεπικοινωνιακοί πάροχοι αναλογικά με τον αριθμό των πελατών τους που διαθέτουν την συγκεκριμένη συσκευή
Είναι σαφές ότι οι πάροχοι δεν διαθέτουν ευθύνη για την ύπαρξη της default ρύθμισης των modems που διαθέτουν στους πελάτες τους, μιας και μπορεί κάποιος εξ αυτών να το έχει προμηθευτεί και απο μόνος του ασχέτως παρόχου.
Εκτιμούμε ότι ΑΜΕΣΑ θα πρέπει:
Οι χρήστες των ευάλωτων συσκευών:
Να αλλάξουν άμεσα των κωδικό πρόσβασης από admin/admin σε έναν πολύπλοκο της επιλογής τους. Οδηγίες μπορούν να βρούν [εδώ] στην σελίδα Change Admin Password
Να ελέγξουν το modem τους από το Web Interface για ύπαρξη ενεργών χρηστών την ύπαρξη των οποίων δεν γνωρίζουν
Να αλλάξουν άμεσα πιθανα WPA/WPAv2 keys που χρησιμοποιούν για τις ασύρματες συσκευές
Οι πάροχοι που παρέχουν τους Routers Huawei HG-530 για τους πελάτες τους:
Οφείλουν άμεσα να ενημερώσουν τους χρήστες με δελτίο τύπου ή με ηλεκτρονικό μήνυμα ώστε να προβούν σε ΑΜΕΣΗ αλλαγή του κωδικού admin
Να παρέχουν μέσω της ιστοσελίδας τους σε εμφανές σημείο (banner) ή μέσω του τηλεφωνικού τους κέντρου ενημέρωση και δυνατότητα υποστήριξης για αλλαγή του κωδικού πρόσβασης σε περίπτωση που ο χρήστης δεν διαθέτει την σχετική τεχνογνωσία
Να ενημερώσουν την εταιρεία-πάροχο Huawei για προσθήκη patch στο επόμενο Firmware ώστε να επιβάλει την αλλαγή του default κωδικού πρόσβασης ή να τον καθιστά ανενεργό από την πλευρά του Internet ώστε να μην μπορεί να χρησιμοποιηθεί από εξωτερικό επιτιθέμενο.
Πηγή: http://cdn.secnews.gr
Δεν αποδέχτηκε καμία εισφορά από τον Α. Βγενόπουλο δηλώνει ο ΔΗΣΥ
Ουδέποτε αποδέχθηκε εισφορά από τον Ανδρέα Βγενόπουλο ξεκαθαρίζει ο ΔΗΣΥ.Στην Αθήνα στις 13 Δεκεμβρίου ο Τούρκος ΥΠΕΞ Αχμέτ Νταβούτογλου – Για καλό;
Η σύνθεση των ομίλων για το Μουντιάλ 2014 - Δείτε στο troktikocyp το πρόγραμμα της Εθνικής Ελλάδας
Πανικός στον χώρο ΜΜΕ – Μαζική απόλυση δημοσιογράφων και τεχνικού – «Κάνουμε συρρίκνωση για επιβίωση»
Έμεινε κάγκελο το Τμήμα Ειδήσεων γνωστού κυπριακού site, «αδελφάκι» μεγάλου ομίλου της Ελλάδας. Επίσημη πρώτη για τη «Λεωφόρο Χριστουγέννων»
 |
| Από σήμερα μέχρι και τις 6 Ιανουαρίου η Μακαρίου μετατρέπεται σε «Λεωφόρο Χριστουγέννων» |
Από σήμερα η λεωφόρος Μακαρίου ζωντανεύει ξανά και ετοιμάζεται να υποδεχθεί πλήθος κόσμου που θα την επισκεφτεί με την ευκαιρία των εορτών αφού ένα μεγάλο μέρος της μεταμορφώθηκε σε «Λεωφόρο των Χριστουγέννων».
Δείτε την σέξι φωτογραφία που πόσταρε η Μαρία Κορινθίου!
Στην... κόψη του ξυραφιού - Δεν υπάρχουν περιθώρια για «στραβοπάτημα» της Παρί Σεν Ζερμέν
Σκαλίζει από χόμπι σπηλιές και βράχους!
Παρακλάδι της Αλ Κάιντα πίσω από τη χθεσινή επίθεση
Παρακλάδι της Αλ Κάιντα στην Αραβική Χερσόνησο βρίσκεται πίσω από την επίθεση αυτοκτονίας που έγινε χθες στο κτήριο του υπουργείου Άμυνας στη Σαναά και είχε στόχο το νοσοκομείο που στεγάζεται μέσα στο κτήριο.
Βομβιστική απόπειρα κατά νυχτερινού κέντρου
Τέσσερις μύθοι για τη διατροφή των παιδιών
Κατά καιρούς, ακούγονται διάφορα σχετικά με το τι είναι σωστό και τι λάθος στη διατροφή κατά την παιδική ηλικία.
ΑΝΑΚΟΙΝΩΣΗ ΑΝΔΡΕΑ ΒΓΕΝΟΠΟΥΛΟΥ Δεν έκανα χορηγία σε κόμμα στην Κύπρο
Χειροπέδες σε 25χρονη για διάρρηξη και κατοχή ναρκωτικών
Η ΔΗΛΩΣΗ ΤΟΥ ΖΟΖΕ ΜΟΥΡΙΝΙΟ ΓΙΑ ΤΗΝ ΕΘΝΙΚΗ ΕΛΛΑΔΟΣ ΑΞΙΖΕΙ ΟΛΑ ΤΑ ΛΕΦΤΑ
Η Νότιος Αφρική έχασε τον πατέρα της
.jpg)
Ένας φωτογράφος απαθανατίζει συγκλονιστικά όλα τα στάδια του καρκίνου που πέρασε η γυναίκα του ως το τέλος!
Μεγάλη επιτυχία της Αστυνομίας! Συνελήφθη η σπείρα των «νίντζα» που κατάκλεβε εδώ και 6 μήνες την Κύπρο
Εγγραφή σε:
Αναρτήσεις (Atom)
