image

ADSL modems Nederlandse ISPs zo lek als een mandje

woensdag 16 februari 2005, 16:05 door Redactie, 25 reacties

Weblog GeenStijl heeft de afgelopen dagen onderzoek gedaan naar de veiligheid van ADSL-modems in Nederland. De resultaten waren bedroevend. Minimaal 80.000 adsl-gebruikers zouden het risico lopen dat hun modem wordt platgelegd of beschadigd. Ook is het mogelijk nepsites te bouwen en zo creditcardinformatie of telebanking informatie af te vangen. Zo'n beetje alle modems, die van de Conexant-chipset voorzien zijn, zijn kwetsbaar. De beveiliging van de modems zou op kinderlijk eenvoudige wijze te omzeilen zijn. De modems bevinden zich in het onderste prijssegment van de ADSL-aanbieders en worden bijvoorbeeld door Versatel en CAI Westland standaard aan de klant geleverd. Het gaat in ieder geval om de merken E-tech en Sweex, maar er zijn tientallen andere merken die eveneens gebruik maken van deze chipsets. Waarschijnlijk zijn er dan ook veel meer providers die deze modems aan hun klanten leveren, zo laat GeenStijl weten. Het weblog voegt er nog aan toe dat het vooral een organisatorisch lek betreft, en dat providers, zoals Versatel, bij het leveren van de modems beter beter hadden moeten opletten wat de gevaren zijn.

Reacties (25)
16-02-2005, 16:23 door Anoniem
En die modem, die staat *voor* je firewall
16-02-2005, 17:08 door Anoniem
Door Anoniem
En die modem, die staat *voor* je firewall

en hun lekker je dns rerouten...

maar oke.. niet echt schokkend... ik ben zelfs een beetje verbaasd dat
geenstijl met zo'n saai verhaal komt. Kunnen ze volgende week direct even
de wireless routers pakken en vertellen dat daar ook default passes
opstaan...
16-02-2005, 17:15 door GateHawk
De meeste modems hebben een ingebouwde firewall. Echter
weten niet veel mensen dit. Als je je modem goed
dichtspijker hoef je geen software-firewall te installeren.
Maar zoals het artikel al zegt "ook die kunnen zo lek als
een mandje zijn".....

Zelf heb ik mijn modem helemaal open staan en gebruik ik
ip-tables als firewall. Moet werken dacht ik zo ;)
16-02-2005, 17:20 door Anoniem
"Ook is het mogelijk nepsites te bouwen en zo
creditcardinformatie of telebanking informatie af te vangen."
Hoezo? Het is toch een modem, geen webserver...?
16-02-2005, 17:34 door Anoniem
Door GateHawk
De meeste modems hebben een ingebouwde firewall. Echter
weten niet veel mensen dit. Als je je modem goed
dichtspijker hoef je geen software-firewall te installeren.
Maar zoals het artikel al zegt "ook die kunnen zo lek als
een mandje zijn".....

Zelf heb ik mijn modem helemaal open staan en gebruik ik
ip-tables als firewall. Moet werken dacht ik zo ;)
Ja, als je modem brigdet is de veiligheid van bepaalde
functies dan nog relevant?
16-02-2005, 17:59 door rob
Door Anoniem
"Ook is het mogelijk nepsites te bouwen en zo
creditcardinformatie of telebanking informatie af te vangen."
Hoezo? Het is toch een modem, geen webserver...?

Die dingen draaien complete OSen.. meestal realtime systemen
zoals VxWorks of een RT linux ofzo.
16-02-2005, 18:46 door Anoniem
Mja maar die OSen kan je niet aanpassen via Telnet hoor ;-)
16-02-2005, 18:49 door Anoniem
Dit is oud nieuws, ik heb zelf een tijd geleden nog es
zitten scannen op poort 8080, remote management. Vaak zijn
deze routers niet eens met een wachtwoord beveiligd. Dit is
echt oud nieuws, aangezien het hangt er gewoon van af om
mensen een wachtwoord instellen op hun modem.

Op GeenStijl noemt men dit zelfs exploits, maar volgens mij
is een exploit toch iets heel anders hoor..
16-02-2005, 19:14 door Anoniem
Door Anoniem
"Ook is het mogelijk nepsites te bouwen en zo
creditcardinformatie of telebanking informatie af te vangen."
Hoezo? Het is toch een modem, geen webserver...?

je kunt de DNS-server aanpassen. Dat houdt in dat je de resolving van
hostnames naar je zelf kunt wijzen... elk website heeft een ip onder haar
naam gekoppeld... normaal gebruik je de dns van je provider die je dan
maar vertrouwt... als je dan zelf een dns begint kun je bijvoorbeeld
http://www.rabobank.nl laten wijzen naar je eigen ip ipv het echte.. zoek maar
eens op wat dns doet als je het nog niet duidelijk is.
16-02-2005, 20:19 door G-Force
Door Anoniem
Door Anoniem
En die modem, die staat *voor* je firewall

en hun lekker je dns rerouten...

maar oke.. niet echt schokkend... ik ben zelfs een beetje verbaasd dat
geenstijl met zo'n saai verhaal komt. Kunnen ze volgende week direct even
de wireless routers pakken en vertellen dat daar ook default passes
opstaan...

Ze heten niet voor niets...GEEN stijl.
16-02-2005, 21:07 door [Account Verwijderd]
[Verwijderd]
16-02-2005, 21:13 door Anoniem
Door Anoniem
Mja maar die OSen kan je niet aanpassen via Telnet hoor
;-)

Oh? Er draait prima SSH op onze routertjes hoor :)
http://gathering.tweakers.net/forum/list_messages/984121

uClinux is een prachtsysteem om een heel routertje te
bootstrappen, je kan er zo je eigen OS op draaien.

Naast remote management staat er nog iets open bij (veel
van) die routertjes... nmap je eigen router maar eens.

Erik de Bruijn
16-02-2005, 23:01 door Anoniem
Door NielsT
Komt me bekend voor :)
http://www.security.nl/article/8962

Misschien tijd voor mensen om eens een scan te doen met
shieldsup om te kijken of telnet naar buiten open staat:
https://www.grc.com/x/ne.dll?bh0bkyd2
Zeker niet bekend met http://grcsucks.com/ ? ;)

Kun je beter http://scan.sygate.com/ nemen, da's niet zo'n
gillende keukenmeid.
16-02-2005, 23:03 door wizzie
Volgens shields UP zit bij mij alles pot dicht.
Alleen hij ontvangt z`n ping terug als hij me pingt
maar dat heb ik bewust zo ingesteld.
Als die routers die je van de isp krijgt zo slecht zijn, ben
ik toch blij dat ik zelf die router gekocht heb :)

Greetz wizzie
16-02-2005, 23:08 door spatieman
een van de laatste lowbudget etech modem routers, haden
helemaal geen firewall,

sterker, de managment poort stond zelf al standaard open
naar internet toe.
toen ik thuis was, kon ik zo'n ding over internet instellen.
brrr...

gelukkig heeft Etech een goede en snelle helpdesk die me
nieuwe firmware bezorgde die beter was.

maar dat retecool verhaal moet ik nog effe lezen daar ::)
16-02-2005, 23:27 door Anoniem
Door Anoniem
En die modem, die staat *voor* je firewall
Leuk, maar wat heb je daar aan als je modem de loginnaam en
wachtwoord bevat van het hoofdaccount om een adsl verbinding
op te zetten....
En dan nog. Zelfs als providers adsl netwerkapparatuur
leveren die niet toegankelijk zijn met standaard
authenticatie instellingen, gebruikers kopen ook zelf
apparatuur die met hetzelfde gemak de fouten bevatten.

Moeten we de providers verantwoordelijk stellen? Ja. Mits ze
de klant niet goed inlichten over de gevaren van de
standaard instellingen. Maar de hoofdverantwoordelijke
blijft nmm nog altijd de fabrikant die het nog steeds in zn
hoofd haalt om dit soort gaten standaard te leveren aan
miljoenen klanten.
17-02-2005, 09:21 door Anoniem
Door Anoniem
Moeten we de providers verantwoordelijk stellen? Ja. Mits ze
de klant niet goed inlichten over de gevaren van de
standaard instellingen. Maar de hoofdverantwoordelijke
blijft nmm nog altijd de fabrikant die het nog steeds in zn
hoofd haalt om dit soort gaten standaard te leveren aan
miljoenen klanten.
Sjah, dit is altijd een afweging. Stel de fabrikant levert
de router super secure uit, elke router met een uniek
"default" wachtwoord, en een firewall van heb ik jouw daar.

Wat denk je dat er dan met de helpdesk van de desbetreffende
fabrikant gaat gebeuren ?
Ooit gehoord over Ford in de jaren 50 of 60. Als de kosten
van rechtszaken na spontane ontvlamming van de benzinetank
lager zijn dan het terug roepen van alle modellen, dan roep
je ze niet terug.
Fabrikanten willen chipsets/modempjes afzetten.

Daar komt bij, dat het internet bevolkt wordt door Jan met
de pet, en niet meer door academici.
Niemand leest meer een handleiding, mensen begrijpen alleen
nog msn turbotaal.
Als de phat lady zingt, ben je _altijd_ zelf schuld dat je
gehackt wordt.

Iedereen verdient aan deze gehackte thuiscomputertjes.
;)
17-02-2005, 11:50 door [Account Verwijderd]
[Verwijderd]
17-02-2005, 12:07 door Anoniem
Door Anoniem
Als de phat lady zingt, ben je _altijd_ zelf schuld dat je
gehackt wordt.

Iedereen verdient aan deze gehackte thuiscomputertjes.
;)
:) Academici weten dan dat Jan met de pet gecrackt
bedoelt te zijn.
17-02-2005, 12:17 door Anoniem
Door NielsT
Door Anoniem
Zeker niet bekend met http://grcsucks.com/ ? ;)

Kun je beter http://scan.sygate.com/ nemen, da's
niet zo'n gillende keukenmeid.
Zeker wel :) Ik zeg altijd tegen mensen dat ze zijn
artikelen (lees: FUD) met een korrel zout moeten nemen. Maar
shields-up vind ik toch wel een goede site (als je de
resultaten goed kan intepreteren natuurlijk)
De kunst
van het wegdenken ;)
De sygate scan vind ik ook wel goed, maar een nadeel
is dat
je achteraf bij veel scans geen flauw idee hebt wat er nu
eigenlijk gescanned is en de scan vrij sloom is... Ze geven
alleen open poorten weer.
Juist! Mensen worden minder
misleid.
Wel een groot voordeel daar is een UDP scan (iets dat
GRC volgens mij volledig over het hoofd ziet) Ik hoop nog
steeds dat iemand een goede web based security scanner maakt
die bijvoorbeeld ook aan banner grabbing doet (om
bijvoorbeeld direct te zien wat voor een webserver er
draait)
Dat doet de eerste scan bij scan.sygate.com
min of meer al, dat een aantal bekende services test op
aanwezigheid en zo ja, welke.
Maar verwar dit soort scans niet met een security-scan.
Wanneer je verkeersregelinstallatie op het kruispunt na een
scan in orde blijkt wil niet zeggen dat er niemand door rood
kan of zal rijden.
17-02-2005, 13:20 door Anoniem
Wederom een reden om de maatschappelijke verantwoordelijkheid van
ISP's te gaan reguleren. Blijkbaar kunnen ze zelf niet het fatsoen
opbrengen hun klanten netjes & veilig aan te sluiten op het Internet.
17-02-2005, 19:36 door Anoniem
Ook ik heb zo'n goedkoop sweex modem/router. Met de
standaard instellingen levert een scan bij /www.grc.com 2
open poorten op: 23(telnet) en 80(http)
De volgende wijziging was afdoende: onder "misc
configuration" DMZ op enabled gezet, en voor DMZ Host IP
een fake ip-adres ingevoerd.
Na een reboot van de router opnieuw een poortscan
uitgevoerd. Resultaat:alle poorten "stealthed"
17-02-2005, 20:00 door Anoniem
Ik hoor dingetjes als 'DNS rerouten' zoiets kan idd
gevaarlijk zijn bij phishing. Echter, bij mijn STH heb ik
ook een DNS server in mijn modem.. die ik *NIET* gebruik.
Standaard staat-ie ook uit. Waarom zou ik? Ook PPTP geeft
dit niet per default aan dat-ie wel gebruikt wordt. Ik vraag
mij dus af hoe dat bij deze config zit.
17-02-2005, 21:29 door Anoniem
Door Anoniem

Wederom een reden om de maatschappelijke
verantwoordelijkheid van
ISP's te gaan reguleren. Blijkbaar kunnen ze zelf niet het
fatsoen
opbrengen hun klanten netjes & veilig aan te sluiten op het
Internet.
Bij xs4all vond men geen problemen. Er zijn dus providers
die het wel goed doen, zonder overheidsbemoeienis.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.