Jak łatwo być intruzem

Choć chciałoby się, żeby powyższa historia należała do gatunku science-fiction, rzeczywistość jest zupełnie inna. Okazuje się, że zabezpieczenia niektórych istniejących modemów xDSL (używanych m.in. w Neostradzie, najpopularniejszej w Polsce usłudze szerokopasmowego dostępu do Internetu) przypominają bardziej ser szwajcarski niż tarczę: otwarte porty umożliwiają bezpośredni dostęp do wbudowanego oprogramowania, zmianę parametrów, reset modemu itd.

"Sprawa nie jest zupełnie błaha" stwierdził Mirosław Maj, ekspert z CERT Polska. "W przypadku tego typu urządzeń brak hasła lub pozostawione hasło domyślne to często występujący problem. Trudno w tym wypadku szukać winnego: nigdy nie wiadomo, czy miałby nim być producent urządzenia, dystrybutor, czy może końcowy użytkownik, który z lenistwa nie zmienił hasła.", dodał.

Niegrzeczne modemy

Opisane poniżej grupy modemów (zwykle są to urządzenia wielofunkcyjne, pełniące funkcje modemu, routera i switcha w jednym) mogą być bombami z opóźnionym zapłonem: stosowane w nich przez lata, identyczne dla całych serii modemów hasła domyślne umożliwiają ominięcie zabezpieczeń i przejęcie kontroli nad modemem (jest to tzw. tylna furtka). Stąd już tylko krok do nieuprawnionego wykorzystania czyichś danych.

Poniższe przykłady są realne i nie mogłyby powstać bez pomocy kilku znajomych osób, które pozwoliły dla celów testowych "pomacać" z zewnątrz swoje modemy. Prezentowane na rysunkach adresy IP zostały im przypisane na krótko w przeszłości, obecnie bez wyjątku należą do kogo innego.

Sprawdzamy swój adres IPAby sprawdzić, czy jesteśmy w grupie ryzyka, musimy poznać nasz adres IP: wejdźmy na stronę http://scan.sygate.com i kliknijmy "Scan Now". O ile tylko nie korzystamy z serwera proxy (np. w3cache.icm.edu.pl:8080), są spore szanse, że pojawi się ciąg czterech liczb przypisany aktualnie naszej maszynie. Zapiszmy go i przejdźmy się testować nasz sprzęt do znajomego - będziemy mieli pewność, że naprawdę staramy się uzyskać dostęp do naszego modemu z Internetu.

Thomson (Alcatel) SpeedTouch z serii 500 (ST510, ST530, ST570) - bez strachu, ale ostrożnie

Po wielu latach niezbyt przyjemnych doświadczeń z łatwymi do złamania zabezpieczeniami (patrz na oświadczenie CERT dotyczące urządzeń Alcatel Speed Touch Home ADSL Modem oraz Alcatel 1000 ADSL Network Termination Device), Alcatel stanął na wysokości zadania. Ogromnym plusem wyprodukowanego przez Thomsona, firmowanego marką Alcatel i sprzedawanego przez TPSA modemu SpeedTouch ST510 jest fakt, że dostęp do panelu administracyjnego zabezpieczony jest niełatwym do odgadnięcia hasłem. Minusem natomiast, że można próbować się do tegoż panelu logować również od strony Internetu. Może to sprowokować szczególnie upartego intruza do prób odgadnięcia hasła metodą siłową, czyli bombardowania do skutku modemu hasłami, by wreszcie trafić na właściwe słowo. Z pewnością użytkownik tak atakowanego modemu odczuje takie bombardowanie: szybkość połączenia z Internetem w odczuwalny sposób spadnie.

A oto oświadczenie Biura Prasowego TPSA w tej sprawie: "Wszystkie modemy rekomendowane przez TP mają domyślnie zablokowany port 23 ze strony Internetu. Jeżeli jest on otwarty, to użytkownik musiał go wcześniej otworzyć."

Jak się zabezpieczyć?
Z reguły ustawiony przez producenta poziom zabezpieczeń wystarczy, ale warto upewnić się, że dostęp do portu 23 mają wyłącznie użytkownicy sieci lokalnej.

Modemy USR Robotics SureConnect ADSL - domyślne hasło

USR Robotics jest znaną i szanowaną wśród użytkowników marką. Niestety, tym razem firma się nie popisała i chcąc pójść na rękę dystrybutorom pozostawiła tylną furtkę, która otwiera się, kiedy zapukać w nią trzy razy i skorzystać z zaklęcia support / support. Dostajemy wtedy dostęp do zainstalowanego w modemie systemu i możliwość dogłębnego poznania jego konfiguracji. Umożliwia to zakłócenie pracy, a nawet całkowitą destabilizację urządzenia.

Jak się zabezpieczyć?
Konieczna jest zmiana hasła i wyłączenie domyślnego konta pomocy technicznej.

Modemy D-Link

Urządzenia wielofunkcyjne firmy D-Link dzięki niskiej cenie cieszą się olbrzymim zainteresowaniem. Jeden ze sprzedawców na warszawskiej giełdzie komputerowej mówi nawet o DI-604: "Wszystkich pozostałych modemów razem wziętych sprzedaję mniej niż tych D-Linków".
Modem D-Link od strony InternetuZabezpieczenie modemów jest całkiem niezłe - podczas pierwszej konfiguracji wymuszają na użytkowniku zmianę domyślnego hasła.
Niestety, w niektórych przypadkach urządzenie zezwala na próby logowania ze strony Internetu - ma otwarte porty 23 (nasłuchujący Busybox) i 80. Potencjalnie nie stanowi to problemu, jednak konfiguracja serwera WWW umożliwia obejrzenie zawartości katalogu z przynajmniej częścią plików znajdujących się na modemie (rysunek obok).

Jak się zabezpieczyć?
Wystarczy zgodnie z zawartym w podręczniku opisem zamknąć dostęp do portów 23 i 80 od strony Internetu.

Horror: Mentor MR4C, Netcomm NB 1300 Plus4, Zoom X3, Origo ASR 8100/8400 i..?

Choć sprawa znana jest już od dawna opisywane urządzenia ciągle dostępne są w sprzedaży - szczególnie na rynku wtórnym. Jako że modemy należą do najniższej klasy cenowej, cieszą się ogromnym powodzeniem. Niestety, okazuje się, że wiele z nich wykorzystuje bardzo stare oprogramowanie zarządzające modemem (firmware), które umożliwia przejęcie kontroli nad modemem i dostanie się prywatnej sieci w przeciągu kilku sekund.

Jednolinijkowe włamanie

Łatwo sprawdzić, czy nasz modem należy do grupy niebezpiecznych: wystarczy skorzystać z jednego, dostępnego w praktycznie wszystkich poważniejszych systemach operacyjnych świata narzędzia - telnetu. Poniższe zrzuty ekranowe pochodzą z Linuksa, jednak z telnetu możemy skorzystać również w Windows wywołując polecenie Start -> Akcesoria -> Wiersz polecenia lub Start -> Tryb MS-DOS (dla starszych wersji systemu).
Zakładamy, że znamy nasz adres IP. Spróbujmy zatem przetestować nasz modem wpisując jedną prostą linijkę:

telnet [nasz_adres_ip]

Odmowa połączeniaOdmowa połączenia? To jeszcze nic nie znaczy, telnet domyślnie próbował połączyć się z portem 23, a nasz modem prawdopodobnie nasłuchuje na portach 21, 80, 254, 255.
Uwaga! Jeśli w tym momencie udało się nam połączyć (patrz rysunek na początku artykułu) i zgłosił się terminal, musimy jak najszybciej uaktualnić firmware i zmienić hasło, by zabezpieczyć się przed włamaniami!

Zmodyfikujmy zatem nasze polecenie dodając numer innego portu (21), by sprawdzić, czy na modemie uruchomiony jest serwer FTP. Jeśli jest i się zgłosi, mamy spore szanse, że działają tam inne usługi, które także nie zostały zabezpieczone:

telnet 83.27.76.140 21

I już się włamaliśmy

Połączyliśmy się z serwerem FTPUdało nam się połączyć z serwerem FTP nasłuchującym na standardowym, 21. porcie naszego modemu. Możemy przeprowadzać dowolną ilość prób zgadywania hasła. Zwykle jednak wystarczy skorzystanie z pary administrator / password, admin / pass, conexant / conexant albo po prostu dwukrotne naciśnięcie klawisza [Enter].

Tajemne wejście do sezamu - panel administracyjny bez hasła

Źle skonfigurowany serwer FTP nie stanowi bezpośredniego zagrożenia. Dużo gorzej będzie w przypadku intruzów upartych i dociekliwych, którzy dotrą do informacji na temat portu 254.

Wpiszmy telnet 83.27.76.140 254

Łączymy się z portem 254Weszliśmy do jaskini pełnej skarbów... Na górze widnieje informacja o wersji oprogramowania, a na podstawie czasu i daty można wywnioskować, jak długo urządzenie pracuje i czy może być dostępne pod tym samym adresem następnego dnia.

Jeśli hasło nie zostało zmienione, możemy poznać praktycznie wszystkie ważne parametry urządzenia:
- czas i parametry pracy,
- zewnętrzny i wewnętrzny adres IP, adresy IP komputerów w sieci lokalnej,
- adresy serwerów DNS (możemy spróbować je tak zmodyfikować, by przepuścić ruch użytkownika przez nasz komputer, a tym samym rejestrować jego sieciową działalność - śledzić glądane przez niego strony WWW, zbierać hasła do serwerów pocztowych lub podjąć próbę przechwycenia transakcji bankowej realizowanej online itp).
Oczywiście wszystko jest pod naszą kontrolą, możemy zmienić parametry urządzenia, zresetować ustawienia, zmienić hasło itd., itd.

Jak się zabezpieczyć?
Panel administracyjny modemuNajważniejsze jest uaktualnienie oprogramowania do ostatniej dostępnej wersji. Kiedy już to zrobimy, z poziomu interfejsu WWW modemu należy przekierować wywołania portów 23, 254 i 255 do nieistniejących komputerów (np. 10.123.123.123) - opcja umożliwiająca taki zabieg nazywa się "Virtual Hosts".

Statystyka

Modem od środkaKiedy przeprowadzimy bardzo pobieżne obserwacje obecnych w Internecie urządzeń, dowiemy się, że na każde 252 adresy IP (np. w przypadkowo wybranym zakresie od 83.22.2.2 do 83.22.2.253) aktywnych jest ok. 100 komputerów, z czego 4 mają otwarte port 23, 4 - port 254, a 1 - obydwa. O ile dwa otwarte porty oznaczają raczej źle skonfigurowany firewall, a otwarty tylko port 23 może odpowiadać nasłuchującemu na komputerze (stojącym za modemem) serwerowi Telnet, o tyle port 254 nie jest przypisany żadnej ważnej usłudze, więc jego wykrycie równoważne jest znalezieniu słabo zabezpieczonego modemu. Jeśli weźmiemy pod uwagę, że według oficjalnych danych pod koniec 2004 roku Neostrada miała 631 tys. użytkowników uzyskamy astronomiczną liczbę ponad 25 tys. podatnych na atak urządzeń!

"Problem portu 254" znany jest przynajmniej od dwóch lat, ale wciąż istnieje. Co gorsza, skala zjawiska nie jest znana, a zagrożenie jest ogromne. Skorzystanie z tylnej furtki w modemie znacząco ułatwia atak na komputer ofiary i może w rezultacie prowadzić do uczynienia z niego maszyny-zombie, która zostanie później wykorzystana w zmasowanym ataku na "wrogą" firmę. Szacuje się, że na świecie istnieje przynajmniej milion takich maszyn. Twoja także może być jedną z nich...