Jak łatwo być intruzem

.. / Bezpieczeństwo / Bezpieczeństwo sieci: Detekcja włamań
.. / Internet / Dostęp do Internetu / Dostęp szerokopasmowy: xDSL

IDG.pl/Łukasz Bigo

"Jestem intruzem, niczego o Tobie nie wiem. Interesuje mnie właściwie tylko Twój komputer i zgromadzone na nim filmy. Czasami tylko Twój komputer. Masz Neostradę, tak? Doskonale! Cieszę się - już jesteś mój. Poznajmy się: to ja jestem tym człowiekiem, który oglądał wczoraj od środka Twój modem i Twoją sieć. To ja skorzystałem z Twoich urządzeń, żeby zasypać pakietami komputer mojego wroga. To dzięki mnie wkrótce dostaniesz od swojego dostawcy usług internetowych pismo, że zakłócasz działanie sieci lub łamiesz prawo - i że zostaniesz pociągnięty do odpowiedzialności. Mam na imię Adam, chodzę do gimnazjum. Przez większą część dnia się nudzę..."

Ważne! Sprawdź przed przeczytaniem artykułu

Główny panel administracyjny modemu Przed zagłębieniem się w artykuł warto spojrzeć na następujący zrzut ekranu. Przedstawia on panel administracyjny modemu DSL dostępny dla wszystkich użytkowników w Internecie. Narażony może być każdy posiadacz Neostrady. Przed przejściem do lektury, upewnij się, że jesteś bezpieczny. Cztery szybkie kroki: 1. Przetestuj swój sprzęt korzystając ze skanerów dostępnych na stronie scan.sygate.com 2. Jeśli pojawiły się otwarte ("OPEN") porty, ściągnij, zainstaluj i uruchom firewall. 3. Jeśli po jego instalacji niektóre porty (np. 21 czy 254) ciągle są otwarte, poszukaj uaktualnienia oprogramowania do swojego modemu, ściągnij je i zainstaluj. 4. Jeśli mimo zablokowania na firewallu wszystkich przychodzących połączeń ciągle istnieją jakieś otwarte porty, zajrzyj do instrukcji modemu i poszukaj wzmianki o nich lub skocz do działów "Jak się zabezpieczyć?" i wykorzystaj zawarte tam instrukcje.

Choć chciałoby się, żeby powyższa historia należała do gatunku science-fiction, rzeczywistość jest zupełnie inna. Okazuje się, że zabezpieczenia niektórych istniejących modemów xDSL (używanych m.in. w Neostradzie, najpopularniejszej w Polsce usłudze szerokopasmowego dostępu do Internetu) przypominają bardziej ser szwajcarski niż tarczę: otwarte porty umożliwiają bezpośredni dostęp do wbudowanego oprogramowania, zmianę parametrów, reset modemu itd.

"Sprawa nie jest zupełnie błaha" stwierdził Mirosław Maj, ekspert z CERT Polska. "W przypadku tego typu urządzeń brak hasła lub pozostawione hasło domyślne to często występujący problem. Trudno w tym wypadku szukać winnego: nigdy nie wiadomo, czy miałby nim być producent urządzenia, dystrybutor, czy może końcowy użytkownik, który z lenistwa nie zmienił hasła.", dodał.

Niegrzeczne modemy

Opisane poniżej grupy modemów (zwykle są to urządzenia wielofunkcyjne, pełniące funkcje modemu, routera i switcha w jednym) mogą być bombami z opóźnionym zapłonem: stosowane w nich przez lata, identyczne dla całych serii modemów hasła domyślne umożliwiają ominięcie zabezpieczeń i przejęcie kontroli nad modemem (jest to tzw. tylna furtka). Stąd już tylko krok do nieuprawnionego wykorzystania czyichś danych.

Poniższe przykłady są realne i nie mogłyby powstać bez pomocy kilku znajomych osób, które pozwoliły dla celów testowych "pomacać" z zewnątrz swoje modemy. Prezentowane na rysunkach adresy IP zostały im przypisane na krótko w przeszłości, obecnie bez wyjątku należą do kogo innego.

Sprawdzamy swój adres IP Aby sprawdzić, czy jesteśmy w grupie ryzyka, musimy poznać nasz adres IP: wejdźmy na stronę scan.sygate.com i kliknijmy "Scan Now". O ile tylko nie korzystamy z serwera proxy (np. w3cache.icm.edu.pl:8080), są spore szanse, że pojawi się ciąg czterech liczb przypisany aktualnie naszej maszynie. Zapiszmy go i przejdźmy się testować nasz sprzęt do znajomego - będziemy mieli pewność, że naprawdę staramy się uzyskać dostęp do naszego modemu z Internetu.

Thomson (Alcatel) SpeedTouch z serii 500 (ST510, ST530, ST570) - bez strachu, ale ostrożnie

Po wielu latach niezbyt przyjemnych doświadczeń z łatwymi do złamania zabezpieczeniami (patrz na oświadczenie CERT dotyczące urządzeń Alcatel Speed Touch Home ADSL Modem oraz Alcatel 1000 ADSL Network Termination Device), Alcatel stanął na wysokości zadania. Ogromnym plusem wyprodukowanego przez Thomsona, firmowanego marką Alcatel i sprzedawanego przez TPSA modemu SpeedTouch ST510 jest fakt, że dostęp do panelu administracyjnego zabezpieczony jest niełatwym do odgadnięcia hasłem. Minusem natomiast, że można próbować się do tegoż panelu logować również od strony Internetu. Może to sprowokować szczególnie upartego intruza do prób odgadnięcia hasła metodą siłową, czyli bombardowania do skutku modemu hasłami, by wreszcie trafić na właściwe słowo. Z pewnością użytkownik tak atakowanego modemu odczuje takie bombardowanie: szybkość połączenia z Internetem w odczuwalny sposób spadnie.

A oto oświadczenie Biura Prasowego TPSA w tej sprawie: "Wszystkie modemy rekomendowane przez TP mają domyślnie zablokowany port 23 ze strony Internetu. Jeżeli jest on otwarty, to użytkownik musiał go wcześniej otworzyć."

Jak się zabezpieczyć?
Z reguły ustawiony przez producenta poziom zabezpieczeń wystarczy, ale warto upewnić się, że dostęp do portu 23 mają wyłącznie użytkownicy sieci lokalnej.

Modemy USR Robotics SureConnect ADSL - domyślne hasło

USR Robotics jest znaną i szanowaną wśród użytkowników marką. Niestety, tym razem firma się nie popisała i chcąc pójść na rękę dystrybutorom pozostawiła tylną furtkę, która otwiera się, kiedy zapukać w nią trzy razy i skorzystać z zaklęcia support / support. Dostajemy wtedy dostęp do zainstalowanego w modemie systemu i możliwość dogłębnego poznania jego konfiguracji. Umożliwia to zakłócenie pracy, a nawet całkowitą destabilizację urządzenia.

Jak się zabezpieczyć?
Konieczna jest zmiana hasła i wyłączenie domyślnego konta pomocy technicznej.

Modemy D-Link

Urządzenia wielofunkcyjne firmy D-Link dzięki niskiej cenie cieszą się olbrzymim zainteresowaniem. Jeden ze sprzedawców na warszawskiej giełdzie komputerowej mówi nawet o DI-604: "Wszystkich pozostałych modemów razem wziętych sprzedaję mniej niż tych D-Linków".
Modem D-Link od strony Internetu Zabezpieczenie modemów jest całkiem niezłe - podczas pierwszej konfiguracji wymuszają na użytkowniku zmianę domyślnego hasła.
Niestety, w niektórych przypadkach urządzenie zezwala na próby logowania ze strony Internetu - ma otwarte porty 23 (nasłuchujący Busybox) i 80. Potencjalnie nie stanowi to problemu, jednak konfiguracja serwera WWW umożliwia obejrzenie zawartości katalogu z przynajmniej częścią plików znajdujących się na modemie (rysunek obok).

Jak się zabezpieczyć?
Wystarczy zgodnie z zawartym w podręczniku opisem zamknąć dostęp do portów 23 i 80 od strony Internetu.

Horror: Mentor MR4C, Netcomm NB 1300 Plus4, Zoom X3, Origo ASR 8100/8400 i..?

Choć sprawa znana jest już od dawna opisywane urządzenia ciągle dostępne są w sprzedaży - szczególnie na rynku wtórnym. Jako że modemy należą do najniższej klasy cenowej, cieszą się ogromnym powodzeniem. Niestety, okazuje się, że wiele z nich wykorzystuje bardzo stare oprogramowanie zarządzające modemem (firmware), które umożliwia przejęcie kontroli nad modemem i dostanie się prywatnej sieci w przeciągu kilku sekund.

Jednolinijkowe włamanie

Łatwo sprawdzić, czy nasz modem należy do grupy niebezpiecznych: wystarczy skorzystać z jednego, dostępnego w praktycznie wszystkich poważniejszych systemach operacyjnych świata narzędzia - telnetu. Poniższe zrzuty ekranowe pochodzą z Linuksa, jednak z telnetu możemy skorzystać również w Windows wywołując polecenie Start -> Akcesoria -> Wiersz polecenia lub Start -> Tryb MS-DOS (dla starszych wersji systemu).
Zakładamy, że znamy nasz adres IP. Spróbujmy zatem przetestować nasz modem wpisując jedną prostą linijkę:

telnet [nasz_adres_ip]

Odmowa połączenia Odmowa połączenia? To jeszcze nic nie znaczy, telnet domyślnie próbował połączyć się z portem 23, a nasz modem prawdopodobnie nasłuchuje na portach 21, 80, 254, 255.
Uwaga! Jeśli w tym momencie udało się nam połączyć (patrz rysunek na początku artykułu) i zgłosił się terminal, musimy jak najszybciej uaktualnić firmware i zmienić hasło, by zabezpieczyć się przed włamaniami!

Zmodyfikujmy zatem nasze polecenie dodając numer innego portu (21), by sprawdzić, czy na modemie uruchomiony jest serwer FTP. Jeśli jest i się zgłosi, mamy spore szanse, że działają tam inne usługi, które także nie zostały zabezpieczone:

telnet 83.27.76.140 21

I już się włamaliśmy

Połączyliśmy się z serwerem FTP Udało nam się połączyć z serwerem FTP nasłuchującym na standardowym, 21. porcie naszego modemu. Możemy przeprowadzać dowolną ilość prób zgadywania hasła. Zwykle jednak wystarczy skorzystanie z pary administrator / password, admin / pass, conexant / conexant albo po prostu dwukrotne naciśnięcie klawisza [Enter].

Tajemne wejście do sezamu - panel administracyjny bez hasła

Źle skonfigurowany serwer FTP nie stanowi bezpośredniego zagrożenia. Dużo gorzej będzie w przypadku intruzów upartych i dociekliwych, którzy dotrą do informacji na temat portu 254.

Wpiszmy telnet 83.27.76.140 254

Łączymy się z portem 254 Weszliśmy do jaskini pełnej skarbów... Na górze widnieje informacja o wersji oprogramowania, a na podstawie czasu i daty można wywnioskować, jak długo urządzenie pracuje i czy może być dostępne pod tym samym adresem następnego dnia.

Jeśli hasło nie zostało zmienione, możemy poznać praktycznie wszystkie ważne parametry urządzenia:
- czas i parametry pracy,
- zewnętrzny i wewnętrzny adres IP, adresy IP komputerów w sieci lokalnej,
- adresy serwerów DNS (możemy spróbować je tak zmodyfikować, by przepuścić ruch użytkownika przez nasz komputer, a tym samym rejestrować jego sieciową działalność - śledzić glądane przez niego strony WWW, zbierać hasła do serwerów pocztowych lub podjąć próbę przechwycenia transakcji bankowej realizowanej online itp).
Oczywiście wszystko jest pod naszą kontrolą, możemy zmienić parametry urządzenia, zresetować ustawienia, zmienić hasło itd., itd.

Jak się zabezpieczyć?
Panel administracyjny modemu Najważniejsze jest uaktualnienie oprogramowania do ostatniej dostępnej wersji. Kiedy już to zrobimy, z poziomu interfejsu WWW modemu należy przekierować wywołania portów 23, 254 i 255 do nieistniejących komputerów (np. 10.123.123.123) - opcja umożliwiająca taki zabieg nazywa się "Virtual Hosts".

Statystyka

Modem od środka Kiedy przeprowadzimy bardzo pobieżne obserwacje obecnych w Internecie urządzeń, dowiemy się, że na każde 252 adresy IP (np. w przypadkowo wybranym zakresie od 83.22.2.2 do 83.22.2.253) aktywnych jest ok. 100 komputerów, z czego 4 mają otwarte port 23, 4 - port 254, a 1 - obydwa. O ile dwa otwarte porty oznaczają raczej źle skonfigurowany firewall, a otwarty tylko port 23 może odpowiadać nasłuchującemu na komputerze (stojącym za modemem) serwerowi Telnet, o tyle port 254 nie jest przypisany żadnej ważnej usłudze, więc jego wykrycie równoważne jest znalezieniu słabo zabezpieczonego modemu. Jeśli weźmiemy pod uwagę, że według oficjalnych danych pod koniec 2004 roku Neostrada miała 631 tys. użytkowników uzyskamy astronomiczną liczbę ponad 25 tys. podatnych na atak urządzeń!

"Problem portu 254" znany jest przynajmniej od dwóch lat, ale wciąż istnieje. Co gorsza, skala zjawiska nie jest znana, a zagrożenie jest ogromne. Skorzystanie z tylnej furtki w modemie znacząco ułatwia atak na komputer ofiary i może w rezultacie prowadzić do uczynienia z niego maszyny-zombie, która zostanie później wykorzystana w zmasowanym ataku na "wrogą" firmę. Szacuje się, że na świecie istnieje przynajmniej milion takich maszyn. Twoja także może być jedną z nich...