achtergrond

Geenstijl

login

word lid

nachtmodus

tip redactie

zoeken

Internet in handen van GeenStijl!

Eén klik en je geeft geen kick...Zoals al aangekondigd heeft GeenStijl de afgelopen dagen onderzoek gedaan naar de veiligheid van adsl-modems in Nederland. En zoals we al lieten doorschemeren, zijn de resultaten om te huilen. Minimaal 80.000 adsl-gebruikers lopen het risico dat hun modem wordt platgelegd, danwel grondig wordt vernield. Ook is het mogelijk nepsites te bouwen en zo creditcardinformatie of telebanking informatie af te vangen. Zo'n beetje alle modems, voorzien van de Conexant-chipset zijn kwetsbaar, omdat de beveiliging van deze types aan het kinderlijke grenst. Deze modems bevinden zich in het onderste prijssegment en worden bijvoorbeeld door Versatel en CAI Westland standaard aan de klant geleverd. Het gaat in ieder geval om enkele modellen van de merken E-tech en Sweex, maar er zijn tientallen (fantasie)merken die eveneens gebruik maken van deze chipsets. Waarschijnlijk zijn er veel meer providers die deze modems aan klanten leveren. UPDATE: De Waarschuwingsdienst heeft zojuist laten weten het probleem te onderkennen en naar aanleiding van onze bevindingen zo snel mogelijk een officieel beveiligingsbulletin doen laten uitgaan.


Wat we hebben gedaan We hebben de afgelopen dagen bij klanten van een aantal adsl-providers de poorten laten scannen. Per provider hebben we 759 ip's gescand. Gemiddeld bleek achter 51 van de 759 ip's een brak modem te hangen, ofwel een percentage van 6,7 procent van de adsl-breedbanders is kwetsbaar voor hackers die hun modem slopen. Als we dit zeer conservatief doorrekenen komen we op een getal van 80.000 modembezitters die gevaar lopen. Kabelmodems en modems van Alcatel, zoals ze standaard door KPN worden verkocht, zijn –vooralsnog- niet lek. Echter, we kunnen niet uitsluiten dat KPN-dochtermaatschappijen wel brakke modems leveren.
Versatel Eén van de providers, die wel flink wat slechte modems heeft weggezet, is Versatel. Ja, dat bedrijf dat straks voetbal via een cheap-ass modempje gaat vertonen. Uit onze test bleek dat bij Versatel maar liefst gemiddeld 11 procent van de modems niet deugt. Versatel bestrijdt onze cijfers en houdt het op 3 procent. "Op dit moment is 90 procent van de modems die wij uitleveren van het USB-model. Daarbij speelt het probleem sowieso niet," laat een woordvoerster desgevraagd weten. "Het gaat om een kleine 3% van de ethernet wireless en multi PC modems die in het verleden in een specifieke versie (3.27 en 3.29) zijn uitgeleverd waar de door jullie omschreven problematiek voor zou kunnen komen." (Updated 17-2)

Gevolgen Het is kinderlijk eenvoudig om in te loggen op een adsl-modem. Een firewall installeren helpt niet, deze staat namelijk op de pc zelf: een kwaadwillende maakt direct verbinding met het modem. Eenmaal toegang zijn de mogelijkheden voor kwaadwillenden onbeperkt. In het simpelste geval zet je de modem op een afstand uit, zodat de verbinding wegvalt.
Erger is het wanneer hackers een eigen DNS-server invoeren. Zo is het mogelijk om sites te 'spoofen': het verkeer van een telebankiersite door te sturen naar je eigen nep-banksite bijvoorbeeld, of tegenover de argeloze internetter te doen alsof je internet in handen hebt. Wie creatief met de dns-instellingen is, kan vast ook het verkeer via een eigen pc laten lopen om zo iemand af te luisteren. Bij de draadloze variant is het een fluitje van een cent om de beveiliging eraf te halen, zodat de hele buurt kan meesurfen.

Door een script te maken dat automatisch de handelingen uitvoert kan een hacker zo binnen een paar dagen controle krijgen over een grote pool aan modems. Nee, dat is geen Bright FUD, het is gewoon mogelijk. Zie onderstaande schermafbeeldingen:

Het DNS-menu. Voer een eigen DNS in, reset het modem en klaarrr.

statistieken over dataverbruik.

Van harte welkom!
Reset de boel! Configuratie Galore..
Thuisnetwerk is ook niet veilig.

Het goede nieuws/anti-fud De modems van het type Conexant zijn brak maar wel goedkoop. Het goede nieuws is dat het vooral een organisatorisch lek betreft: Providers, zoals Versatel, hadden bij het leveren van de modems beter moeten opletten wat de gevaren zijn. Een default wachtwoord is namelijk geen wachtwoord! Inmiddels hebben we de Waarschuwingsdienst van Govcert, de beveiligingsinstelling van de overheid ingeschakeld. Techneuten zullen ons onderzoek overdoen en kijken of ze tot dezelfde conclusies komen. Hierna kan de Waarschuwingsdienst afwegen of een officieel beveiligingsbulletin op zijn plaats is.

Wie enigszins technisch vaardig is, kan het standaard wachtwoord van de modem zelf wel veranderen, echter in handleidingen van providers staat vaak niet hoe dit moet. 99,9 procent van de internetters koopt een modem, sluit 'm aan en kijkt er niet meer naar om. Dit werd weerspiegeld in ons onderzoek, want we vonden geen enkele, maar dan ook geen enkele juist geconfigureerde modem. Vooral onervaren internetters zullen weer het slachtoffer zijn, de exploits zijn namelijk niet nieuw. Dankzij de snelle stijging van het aantal adslgebruikers en de onderlinge prijsconcurrentie van providers (lees: goedkoopste modem leveren) wordt deze exploit opeens relevant.
Ons advies: Eis van je provider een goede uitleg over hoe je het default wachtwoord moet aanpassen. Wie het modem los in de winkel heeft gekocht, mag verwachten dat de winkel support biedt. En pak zelf de handleiding er eens bij om het standaard wachtwoord te veranderen. Dan blijven er voor deze modems echter nog wel een aantal andere exploits over, maar die zijn lastiger uit te voeren. Verder zou het een goede zaak zijn als providers per direct simpelweg de telnetpoort naar de klant dichtzet.
Onderzoeksverantwoording voor nerds We hebben steeds minimaal 3 subnetten van de grootste adsl-providers van Nederland gescand op de aanwezigheid van de Conexant-adslmodems. Gemiddeld waren op elke 255 ip's 15 brakke modems te vinden. Met als negatieve uitschieter Versatel en als positieve uitschieter Wanadoo, dat slechts 3 lekke modems had. Ook Planet/HetNet kwam er relatief slecht van af. Bij XS4ALL was niets te vinden. Wie in de nieuwe ip-ranges van bijvoorbeeld Versatel gaat kijken, komt louter slecht geconfigureerde modems tegen met een default password.

Tenslotte onze dank aan mr. Haveskillz die ons op het goede spoor zette. En dit probleem zelf al wekenlang onder de aandacht van KPN probeert te brengen.

Reaguursels

Tip de redactie

Wil je een document versturen? Stuur dan gewoon direct een mail naar redactie@geenstijl.nl
Hoef je ook geen robotcheck uit te voeren.