Telia: psyb0t-ofre har selv bedt om det

Telias routere er af den type, routerormen psyb0t angriber. Dumdristighed og teknisk kendskab skal dog gå hånd i hånd, før kunden kan blotte sit hjemmenetværk.

Hvis nogle af Telias internetkunder skulle være blevet ramt af routerormen psyb0t, er det helt og aldeles deres egen fejl.

Og det gælder også, selvom Telias standardrouter, Thomson Tg712, er af den type, som psyb0t-ormen går benhårdt efter at indlemme i sit botnet.

Det fortæller afdelingschef for udvikling i Telia Sonera, René Skjoldmose. Ifølge ham kræver det en kombination af teknisk kendskab og dumdristighed fra kundens side, hvis denne skal gøre sig sårbar over for psyb0t-ormen.

Psyb0t har efter de seneste forlydender angrebet og indlemmet omkring 100.000 netværksenheder i et botnet, og ormen går specifikt efter mipsel-enheder, som er enheder baseret på MIPS-processorer i little endian-tilstand, hvilket gælder flere typer routere.

Hvis en mipsel-router har et web-interface, sshd eller en telnet-dæmon, der lytter på wan-interfacet, og i øvrigt har et svagt password, er den potentielt sårbar over for psyb0t ifølge DroneBL, der første gang rapporterede om ormen.

Telias router - Thomson Tg712 - er netop af mipsel-typen, men ifølge René Skjoldmose betyder det ikke automatisk, at psyb0t-ormen kan infiltrere routeren og indlemme den i botnettet.

Ingen internetadgang til router-opsætning

Management-delen af routeren ligger nemlig på et permanent virtual circuit, der ender i et virtuelt privat netværk.

»Det betyder, at der ikke er adgang til opsætningssoftware på routeren via internettet, men at der kun er adgang for Telias teknikere,« siger René Skjoldmose.

Dermed har psyb0t-ormen ikke mulighed for at møve sig vej ind i routeren gennem et brute force-angreb og indlemme routeren i botnettet.

Hvis det alligevel skal ske, kræver det ifølge René Skjoldmose, at kunden selv køber sin egen router og sætter på internetforbindelsen, piller ved routerens firmware og i øvrigt lader det svage standardpassword - i stil med '1234' eller 'admin' - stå uberørt i routeropsætningen.

»Det kræver, at man kobler sin egen router på internetforbindelsen istedet for Telias udstyr og selv erstatter firmwaren i routeren med tredjeparts mipsel-software, for eksempel Tomato Open-WRT eller DD-WRT,« siger René Skjoldmose.

Han vurderer derfor, at den typiske Telia-kunde ikke er i risikogruppen.

Undrer sig over svage passwords

René Skjoldmose mener ikke, at det foreløbige tal på 100.000 indlemmede enheder i psyb0ts botnet er urealistisk.

Men det undrer ham, at brugere med nok teknisk indsigt til at lægge tredjepartssoftware på en router ikke samtidig sørger for at ændre standardpasswordet til et stærkt ét af slagsen.

»Når man nu er gået i gang med gøre sin router mere smart, hvorfor går man så ikke de sidste 50 meter og ændrer passwordet,« siger René Skjoldmose.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Mogensen

Er der ikke en, der har sat sig ind i hvad alt polemikken egentlig handler om, der kan be- eller afkræfte min opfattelse af at det her kun er relevant for folk, der har været dumme nok til at åbne for admin-adgang til web-interfacet på routeren på WAN porten?
... eller alternativt har noget telnet/ssh lyttende med svage passwords.

Søren Dybro

Ved lige præcis denne orm er det rigtigt at det er routere, hvor der fra det store internet er adgang til interfaces på port 22,23 og 80, der er blevet angrebet med dictionary angreb.
Ormen bruger nogle exploids i nogle routere der kører med MIPS processoren og et linux mipsel OS. Det er især routere med open source firmware (kører mange gange på linux OS) men der er også en del almindelige routere som fra fabrikken kører på dette OS.

Men med lidt snilde og javascript kan det da ikke være så svært at lave en lille "proxy" (der kører på en webside der ikke er helt fin i kanten) der åbner for at lave lidt hurtige forespørgsler til routeren på lokalnettet.

Hvis det så bare er et spørgsmål om at lave et angreb med de to mest brugte brugernavne på routere (admin og root) og de ti mest brugte password, så tager det ikke lang tid at komme i kontakt med routeren.

Bemærk venligst at der ikke skal installeres noget på den lokale computer for at dette kan lade sig gøre, den skal bare agere mellemmand...

Anonym

Er der ikke en, der har sat sig ind i hvad alt polemikken egentlig handler om

Jeg har prøvet at sætte mig ind i problematikken, og har givet et link til research paper.

Der er ikke tale om udnyttelse af webinterface, men at telnet er eksponeret udadtil.

Vi er lidt ude i samme problemstilling som 'MS', eller 'Windows'.

Formålet er, at hvis man køber sådan en 'ting', så skal det bare virke.

På samme måde, hvis man køber en router, eller et accesspoint, så forventer Hr. og Fru. Danmark, for slet ikke at tale om Hr. og Fru. Worldwide, at det bare virker, når man har sat strøm til.

Funktionelt, kan man sige, at 'vores produkt bare virker'.

Operationelt, eller sikkerhedsmæssigt, er det nok ikke en god idé.

Det er nok et tradeoff, hvad vil man helst have:
1) Et produkt, hvor man bare pløkker strømstikket i væggen, og det virker,
eller
2) Et produkt, der er (rimeligt sikker), men hvor man skal bøvle med at få det til at virke?

Jeg kender en del, hvor både PC og Routere bare er 'noget der skal virke', på samme måde som man køber et komfur, og forventer, at når man tænder, så kommer der varme på pladerne.

Log ind eller Opret konto for at kommentere