Eniig har den seneste tid været i fuld gang med at lukke it-sikkerhedshuller flere steder i virksomhedens bredbånds-setup.
Fokus har i første omgang været på setuppet hos fiberkunder fra det tidligere Bredbånd Nord, som Eniig for nylig har overtaget.
Det hele startede med, at vi på redaktionen fik en henvendelse fra en bekymret læser, der har identificeret flere sikkerhedshuller i et Bredbånd Nord-setup. Version2 har siden været i løbende kontakt med læseren og Bredbånd Nord/Eniig, så hullerne har kunnet lukkes.
Fordi der stadig kan være sikkerhedsmæssige udfordringer i dele af setuppet, som skal løses i samarbejde med hardware-leverandører, så nøjes vi her med at beskrive nogle af problemstillingerne lidt mere overordnet, end vi nok normalt ville have gjort.
Mit Bredbånd Nord
Et af sikkerhedsproblemerne, som læseren har identificeret, handler om selvbetjeningsløsningen ‘Mit Bredbånd Nord’. De konkrete huller i online-løsningen er nu lukket.
Læseren fortæller via mail, at et af problemerne på 'Mit Bredbånd Nord' har været, at det har været muligt at logge ind på andres profiler via kendte oplysninger.
»Hvis der ikke er tilknyttet en e-mailadresse til kundenummeret, kan man gøre det ved at udfylde kundenummer og adresse på Bredbånd Nords hjemmeside. Da kundenummeret også bliver brugt som SSID (wifi-navn, red.), er alle disse oplysninger offentlige. Herefter får man tilsendt kodeordet der både bruges til ‘Mit Bredbånd Nord’ og WiFi. Det er altså muligt at få login-oplysninger til naboens wifi, hvis de aldrig har brugt ‘Mit Bredbånd Nord’,« oplyser Version2's læser, der indtil videre ikke ønsker sit navn frem.
Et andet problem ved 'Mit Bredbånd Nord' har været, at det var muligt at logge på tjenesten for enhver, der har haft kendskab wifi-kodeordet i et setup, da wifi-kodeordet er blevet genbrugt på 'Mit Bredbånd Nord' til login.
På den måde har eksempelvis børn eller gæster med kendskab til kodeordet i princippet kunnet logge ind og eksempelvis ændre tv-pakke eller internethastighed.
Standardkodeord
Vores læser har også kunnet konstatere, at der forskellige steder i setuppet hos Bredbånd Nord bliver brugt standard-kodeord, hvilket giver nogle sikkerhedsmæssige problemer.
Modsat problemerne ved 'Mit Bredbånd Nord' så forudsætter denne del at en eventuel angriber har adgang til Bredbånd Nords netværk. Eksempelvis ved at være kunde hos Bredbånd Nord.
Blandt andet web-interfacet til kundernes fiberbokse har kunnet tilgås via standardkodeord. Der har også været kodeord til konsol-adgang indlejret i boksene. Disse kodeord har ligget som et MD5-hash, hvilket relativt let har kunnet knækkes.
Desuden har det været muligt at finde frem til et FTP-kodeord i boksen, som har givet adgang til en server.
Adgangen til serveren er mulig gennem fiberboksens VoIP-interface, der har været sat op til at tillade al trafik og ikke kun VoIP-trafik. Det er ændret nu.
På FTP-serveren har det været muligt at få adgang til opsætningsprofiler til flere kunder. I disse profiler ligger blandt andet kundernes wifi-kodeord.
Det siger Eniig
Henning Winther startede som koncern it-sikkerhedschef i Eniig tilbage i maj. Han fortæller, at Eniig også inden henvendelsen fra Version2 var i gang med at forbedre sikkerheden på flere punkter. Blandt andet i forhold til 'Mit Bredbånd Nord'.
»Vi har gennem den seneste uge arbejdet målrettet hen imod at lukke en del af de huller, som jeres læser har beskrevet. Samtidig har vi i samarbejde med eksterne parter analyseret, hvorvidt der skulle være andre sårbarheder i systemet, som jeres læser ikke har opdaget,« skriver Henning Winther i en e-mail.
Eniig har også været i tæt dialog med leverandøren af boksene:
»Med hensyn til Icotera boksen, så har vi hele tiden anset, at konsolporten var det svageste punkt på boksen, der gav alt for let adgang til de oplysninger, der gemmes på boksen. Oplysninger der i øvrigt ikke opbevares sikkert nok på selve boksen,« står der i svaret fra Henning Winther, som fortsætter:
»Første tiltag har derfor været at disable den konsolport. Dermed kan vi fjerne en alt for let adgang til informationen. Næste step bliver at få Icotera til at se på opbevaring af data på selve boksen.«
Henning Winther fortæller i den forbindelse, at der hos Eniig arbejdes på en generelt forbedring af sikkerheden i bokse fra flere leverandører - og altså ikke kun det udstyr, som står hos Bredbånd Nord-kunderne.
Nok ikke udnyttet
Selvom der altså har været huller i setuppet hos bredbåndsudbyderen, så er der heldigvis ikke noget, der tyder på, de er blevet forsøgt udnyttede til egentlige angreb.
»Vi har naturligvis gennemgået alle de logs vi har kunnet samle og vi har kun fundet spor efter jeres læser. Ud fra hvad vi har af logs (på både ftp server, infrastruktur og fiber boksene) kan vi derfor med rimelig sikkerhed sige, at de ikke er forsøgt udnyttede,« oplyser Henning Winther i et mailsvar.
Version2's læser har været lidt beklemt ved at gøre opmærksom på sikkerhedsproblemerne hos bredbånds-selskabet. Det skal ses i lyset af, at der i tidens løb har været flere eksempler på, hvordan leverandører har reageret med en politianmeldelse i stedet for et takkekort, når de er blevet gjort opmærksom på, at deres setup ikke er så sikkert, som det burde være.
Men sådan skal det ikke hos Eniig, understreger Henning Winther, der dog havde foretrukket, at læseren havde rettet henvendelse til selskabet direkte og altså ikke via Version2.
»Han har opnået sin pointe, og den er velmodtaget, så det har vi ingen grund til at politianmelde,« siger Henning Winther i et opfølgende telefoninterview.
Læs pressemeddelelse fra Eniig her.
Opdateret 18. september 2018. Tidligere fremgik det af artiklen, at et kodeord til en FTP-server, lå indlejeret i Eniig-udstyre som MD5-hash. Der er tale om et andet kodeord. Artiklen er opdateret, så den afspejler dette. Desuden er en teknisk gennemgang nu blevet publiceret, den kan findes her.