Opdateret kl. 09:56.
Et alvorligt sikkerhedshul i TDC-brandet Yousees internetudstyr har frem til for ganske nylig kunnet udnyttes af hackere til blandt andet at overvåge, hvad virksomhedens kunder foretager sig på nettet. Det drejer sig nærmere bestemt om Homebox til dsl- og fiberkunder.
It-sikkerhedsspecialist Lasse Trolle Borup fra Langkjaer Cyber Defence har kortlagt den alvorlige sårbarhed, der nu er blevet lukket med en softwareopdatering. Ifølge Version2's oplysninger rullede TDC den patchede firmware ud til Homebox i løbet af august og starten af september.
TDC oplyser til Version2, at der ingen indikationer er på, at sikkerhedshullet skulle være blevet udnyttet.
Og det er umiddelbart gode nyheder, taget i betragtning af, hvad sårbarheden har kunnet bruges til.
Lasse Trolle Borup fortæller, at sikkerhedshullet har gjort det muligt for udefrakommende at få kontrol over udstyret. Det kan eksempelvis ske ved, at offeret besøger en ondsindet hjemmeside.
Derefter har en angriber frit spil
»Der er en masse angrebsmuligheder, når du sidder i routeren (Homeboxen, red.),« siger han.
En angriber kan som følge af sårbarheden ændre i udstyret, så hullet ikke længere kan lukkes via fjernopdateringer fra Yousee, forklarer Lasse Trolle Borup.
Efterfølgende kan hackeren blandt andet udnytte adgangen til at se, hvilke hjemmesider Yousee-kunden tilgår. Og ifølge Lasse Trolle Borup vil boksen via sårbarheden også kunne indlemmes i et botnet. Det vil sige et større antal enheder, der kan fjernstyres af hackere til eksempelvis at nedlægge en hjemmeside, så siden ikke længere er tilgængelig.
VPNFilter
Og sådan et scenarie er slet ikke urealistisk. Tidligere i år kom det frem, at en hacker-operation via malwaren VPNFilter havde inficeret hundredtusindvis af routere på verdensplan.
Tilbage i maj-måned i år kunne mediet The Daily Beast fortælle, hvordan det var lykkedes amerikanske FBI at fravriste VPNFilter-bagmændene kontrollen med 500.000 routere.
Det var netop historien om VPNFilter, der fik folkene hos Langkjaer Cyber Defence til at spekulere over, hvordan det egentlig stod til med internetudstyr i danske hjem, herunder TDC's Homebox.
Stifter og direktør for Langkjaer Cyber Defence, Troels Langkjær, fortæller i en mail, hvordan interessen for Homboxen opstod:
»Vi vidste erfaringsmæssigt, at det generelt ikke står så godt til på sådan nogle enheder,« fortæller Langkjær og fortsætter:
»Derfor startede vi et researchprojekt, hvor vi blandt andet tog Homeboxen under behandling.«
Softwaren i Homeboxen viste sig at indeholde en gæstekonto, som efter nogle fiksfakserier kunne bruges til at overtage udstyret med. Se i bunden af artiklen for lidt flere detaljer, og samme sted er der er link til den tekniske rapport fra Langkjaer Cyber Defence, som har mange flere detaljer.
Kontaktede TDC
Da Lasse Trolle Borup havde kortlagt, hvordan sårbarheden kunne udnyttes via internettet til at overtage boksen med, tog han i juni måned kontakt til TDC.
Efter lidt kommunikation frem og tilbage gik TDC i gang med at lukke hullet sammen med virksomhedens underleverandør.
»Det har været en god kommunikation,« fortæller Lasse Trolle Borup om samarbejdet med TDC.
Det er ikke altid den oplevelse, sikkerhedsfolk har, når de kontakter danske organisationer med informationer om sikkerhedsproblemer. Nogle organisationer bliver mere vrede end glade over, at nogen har fundet fejl i deres systemer.
Frygten for at blive mødt med en politianmeldelse rumsterede i baghovedet, da Lasse Trolle Borup tog kontakt til TDC i første omgang, men folkene hos Langkjaer Cyber Defence regnede nu ikke med det.
»Vi havde en forventning om, at de ville reagere fornuftigt,« siger han.
TDC er rigtigt glade
Og det blev da heller ikke til nogen politianmeldelse - tværtimod.
»Vi har haft et eksemplarisk samarbejde med Langkjaer Cyber Defence, og derfor kunne vi også reagere med det samme, idet vi fik lavet en opdatering, der lukkede sikkerhedshullet, og som vi rullede ud til alle de berørte Homeboxe,« står der i et mailsvar fra chef for TDC Security Operations Center Lars Højberg.
Han oplyser desuden, at TDC overvejer at indføre et såkaldt responsible disclosure program. Altså et formelt samarbejde med private aktører om at få lukket sikkerhedshuller.
»Da vores kunders sikkerhed er højeste prioritet for os, tester vi løbende vores produkter, men samtidig vil vi også gerne kunne imødekomme sikkerhedstip fra eksterne sikkerhedsfolk. Derfor overvejer vi et formelt 'responsible disclosure-program' til håndtering af henvendelser udefra med tips om mulige sikkerhedshuller,« hedder det i svaret fra Lars Højberg.
TDC har ikke ønsket at oplyse, hvorvidt virksomheden vil gøre noget anderledes fremover for at mindske risikoen for sårbarheder, som den slags, Lasse Trolle Borup har opdaget. TDC har heller ikke ønsket at oplyse, hvor mange Homebox-kunder der været berørte af den alvorlige sårbarhed, eller hvornår hullet er blevet lukket.
Hev kodeord ud med hjælp fra loddekolbe
Tilbage til fortællingen om, hvordan Lasse Trolle Borup fik kortlagt sårbarheden. Den involverer en loddekolbe.
Da softwaren i Homeboxen, den såkaldte firmware, ikke er umiddelbart tilgængelig online, kunne han ikke bare downloade den fra nettet. I stedet skaffede Lasse Trolle Borup en brugt Homebox, som han skilte ad.
Med måleudstyr fandt Lasse Trolle Borup herefter frem til en serial port på printet. Og med en loddekolbe lykkedes det whitehat-hackeren at sætte et stik og ledninger til porten, så data kunne trækkes ud. På grund af seriel-interfacets lave båndbredde tog det omkring 17 timer at hive et 128 megabyte stort firmware-billede ud fra hardwaren.
Efter en del analysearbejde fandt Lasse Trolle Borup frem til en gæstekonto i koden, der viste sig at have en tom kodeordsstreng. Gæstekontoen kunne i sidste ende bruges til omkonfigurering af udstyret.
I første omgang var det dog kun muligt, hvis en angriber har adgang til lokalnetværket, som udstyret befinder sig på - og altså ikke via internettet.
En sårbarhed bliver selvsagt mere alvorlig, hvis den kan udnyttes fra internettet.
Efter lidt mere fiflen frem og tilbage fandt Lasse Trolle Borup frem til, at det via en hjemmeside med javascript ville være muligt at tilgå Homeboxen, såfremt offeret besøger hjemmesiden. En kort forklaring er, at javascript bliver afviklet lokalt i browseren, og derfor er det muligt at kontakte ip-adressen, som Homeboxen befinder sig på i det lokale net.
Same-origin-policy
Af sikkerhedsmæssige årsager håndhæver browsere noget, der kaldes same-origin-policy. Det betyder blandt andet, at det nok kan være muligt for et javascript via en hjemmeside at sende forespørgsler til en lokal ip-adresse, men det er ikke muligt for javascriptet at læse eventuelle svar fra adressen.
Og det var et problem i forhold til Homeboxen, da den ved login med gæstekontoen svarer tilbage med et 'nonce' - en unik værdi. Dette 'nonce' er nødvendigt for at sende kommandoer til boksen.
Men i udgangspunktet var det dog ikke muligt for Lasse Trolle Borups ondsindede javascript at tilgå ‘nonce’’, som følge af same-origin-policy.
Her viste der sig imidlertid at være fejl i autentifikationsmekanismen, da det unikke 'nonce' viste sig at kunne forudsiges. Og nu kunne javascriptet bruges til at overtage boksen med.
Havde autentifikationsmekanismen fungeret i forhold til ‘nonce’, kunne en anden angrebsvinkel kaldet ‘DNS rebinding’ muligvis også være brugt til at omgå same-origin-policy, forklarer Lasse Trolle Borup.
Det står der mere om i den teknisk detaljerede gennemgang af, hvordan Lasse Trolle Borup fandt frem til sårbarheden. Rapporten kan læses her og her.
Det konkrete hul er lukket
TDC har sidenhen lukket hullet og sendt Lasse Trolle Borup en Homebox med patched firmware.
»Vi bad dem sende mig en ny, opdateret æske, så vi ved, det er blevet fikset ordentligt, før vi går ud og skriver om det. Det er trods alt vores allesammens infrastruktur, vi skal passe på. Vi har set, det er fikset, og vi har kigget på nogle af rettelserne, men det vil vi helst ikke udtale os om.«
Ser det godt eller skidt ud?
»Jeg vil sige, at de konkrete sårbarheder ikke længere er tilgængelige.«

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.