1 Paweł Pokrywka Kto kontroluje twój modem?Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa.

2 Plan prezentacji xDSL, modemy Geneza problemuOdkrywanie słabości + demonstracja Co można było zrobić? Co nadal można zrobić? Czy można się zabezpieczyć? Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

3 Architektura xDSL Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

4 Modemy SpeedStream 5660 5100 4100 Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

5 Geneza Uszkodzenie modemu/routera (terminologia) Modem Planet DSL PPPBOK Login i hasło PPP tak telnet nie (kontrola) Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

6 Kontrola nad modemem Oficjalne wytłumaczenie Bezpieczeństwo:słabe/domyślne hasła aktualizacja oprogramowania izolacja od sieci DSL (modemy kablowe vs. Ethernet) Diagnostyka i naprawy: abonent nic nie zepsuje sprawdzanie parametrów (telnet, snmp) Organizacja: obsługa użytkowników dokumentacja dla użytkowników Usługi Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

7 Automatyczna konfiguracjaSerwisowy login i hasło Ułatwienie przy instalacji Zabezpieczenie (nieuczciwy monter) Pod SpeedStreama instrukcja modemu 5660 skrypty? zarządzanie Jak to działa? Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

8 Jak to działa? Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

9 Przechwytywanie transmisjiDSL Phantom™ passive ADSL tapping device, monitors and records data transparently within the ADSL physical layer g.html Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

10 Modem in the Middle (1) Modem Planet login/hasło NATprzekierowanie portów Modem Speedstream ustawienia fabryczne trasa domyślna PC Sniffer Akcja! Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

11 Modem in the Middle (2) Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

12 Analiza transmisji Nawiązanie połączenia Komenda showZmiana parametrów numer IP hasła Reboot zastosowanie zmian zabezpieczenie Po co show? MAC 1. show 2. set pppauth yyyyyyyy 3. set napt disable 4. set ethip a.b.c.d 5. n 6. set snmpcfg zzzzzzzz a a a 7. set password 8. zzzzzzzz 9. zzzzzzzz 10. reboot 11. y Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

13 Emulator modemu Perl Opcje telnetowe, znaki CRKonfigurowalny adres MAC Dowolny modem w Polsce! Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

14 Dostęp zdalny Telnet działa lokalnie połączenia na tcp/23połączenia na inne porty Filtrowanie tcptraceroute Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

15 DSLAM StingerTM Lucent Technologies to expand DSL management software for Telekomunikacja Polska's broadband network Lucent has been supplying TP with broadband access solutions from its StingerTM DSL family Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

16 Filtr pakietów Dodatek Wydajność Bezstanowy Fragmentacja fragrouteFlagi oddzielone od numeru portu nagłówek (patch) 8 bajtów spoofing (ISN) Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

17 Ataki Blokowanie łącza (chwilowe lub ciągłe)Zmiana hasła – TP traci kontrolę Włamanie do sieci wewnętrznej (NAT) Zniszczenie modemu (firmware) Komenda set priv: zombie – DdoS, spam Sniffer MitM 35 tys. modemów ( ) 8,7 Gbit/s Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

18 Jak zdobyć adresy MAC? Serwer nie tylko adresy MACtestowanie skryptu: *'”;, zbyt dużo danych p0f firewall 6 bajtów 2(6*8) = 2(3*8) = Serie Limity czasowe uzyskanie danych przerwanie połączenia Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

19 SpeedStream 5100 Dostęp przez www częściowo otwarty fragroute statusIP => MAC Skaner Inne CLI skrypt przerywa działanie Planet raz jeszcze domyślne hasło admina Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

20 Aktualna sytuacja Przekazanie materiałów Filtrowanie ruchu do modemuport 23 nie tylko SYN www (MAC) Filtrowanie fragmentów z offsetem 8 – zawsze Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

21 Dane modemu Uzyskiwanie danych modemu – nadal możliwe!5660 ( ) – disclosure effect? 5100 przykładowe egzemplarze ale co zrobić z danymi? Demonstracja

22 SpeedStream 4100 Skrypt nie konfiguruje modemu show sys versionsspecjalne informacje? zmiana procedury reset + Planet + sniffer? Dlaczego tylko 4100? Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

23 Co można zrobić teraz? Modemy 5100 Aktualność ACL Atak z wewnątrzwłamanie do sieci administrator MAC Dostęp telnet (inny port + filtrowanie ip) vxsniff iff.c firmware rootkit Przejęcie IP (pasmo, fałszywy serwer, spoofing) DSLAM ($500, MitM = Phantom) Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

24 Zabezpieczenia? Czy mogę odczytać swoje hasło? zmiana hasłafiltrowanie lub inny modem port-forwarding, logowanie i odbijanie z powrotem co na to TP? MAC: router/firewall zabezpieczenie fizyczne (naklejka z adresem MAC) Można też: wnioskować do TP – wyłączenie autokonfiguracji czekać (5660) Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa

25 Dziękuję za uwagę. Paweł Pokrywka, Infrastruktura DSL Telekomunikacji Polskiej z punktu widzenia bezpieczeństwa