EDIT: Det er bare en personlig holdning. Jeg forstår fint dit økonomiske incitament til at sælge til darkweb. Det er der garanteret flere penge i ;-) Kryptovaluta-mining er vejen at går. Risikoen for at blive opdaget er meget lille, og hvis det blive opdaget, vil ISPen sandsynligvis holde de...

Det minde meget om min sag med Eniig Fiber: https://wiki.iptables.dk/Sikkerhedsproblemer_hos_Eniig_Fiber I fiberboksen fra dem er koden til webintefacet den samme på alle bokse, og der er også en hemmelig konto, som ikke kan ændres af kunden. Måske er det også muligt med noget finurligt JavaЅcri...

Og hvorfor skal ISP'en have erstatningsansvar ? Det er jo ikke dem der har produceret udstyret. De kan højst sende opdateringer afsted mod det. ISP'en kan sætte udstyret forkert op. Hvilket var tilfællet med Eniig Fiber. De havde ikke ændret default SSH koden i CPE'en, og der var ingen firew...

Jeg har en video klar, der beskriver hvor alvorlig sikkerheds-hullerne var: https://youtu.be/fTj0ngF4OaU Foryderlig info se: https://wiki.iptables.dk/EniigEpiicFaiil

Kom med et korrekt eksempel på en ISP der ikke udlever CPE-udstyr til private.

Intersandt. Jeg antog alle gjore det på samme måde. Men ikke hos gigabit.dk. Hvad så hvis man faker sin nabos MAC-adresse i DHCP requesten. Får man så hans WiFi kode?

Alle ISP'er lave NAT som standard i deres CPE-udstyr.

Her er mine råd: * Almindelige brugere skal ikke køber en router, og vi nørder skal holde ISPerne op på at de lave nogle sikreløsninger. * Wannerbe nørder skal lære at skrifte default koden, og holder deres udstyr opdateret. Endnu bedre ville det være hvis det var muligt at få noget udstyr uden d...

Vi mangler også at få ad vide hvilke huller der er blevet brugt af VPNfilter. Hvad hander problemet enligt om. Kræver det for eksempel at en PC er inficeret på LANet, og router kører med default password? Så det der igenmen er muligt for ormen at installer en anden firmware. Eller kan det klare b...

Management-netværket til CPE-udstyr er jo lige netop ført ud til alle husstandes CPE udstyr.

Selv om CPE'en fra din ISP er sat i bridge mode. Så er det stadig muligt at hacke den igennem ISP'ens maganenetværk. Hvorefter det er muligt at aflyttet og manipulere alt traffik der ikke er krypteret eller ikke er beskyttet imod "man in the middle"-angreb. For eksempel DNS traffik.

Som whistleblower ønskede jeg at infomationen blev afleverede over internettet, sikkeret og anonymt. Til nogle som ville sikre at problemerne ikke blev holdt skjult, istedet for at blive løst. Datatilsynet og Center for Cybersikkerhed kan modtage krypterede post igenmen E-boks. Men ikke anonymt...

@Klaes Sørensen Løste de sikkerhedsproglemmerne, eller fjernede de kun debug kommandoen?

@Jens Nykær Det irerteer også mig at man skal betale 40 kr per måned for én global IP, uden rDNS. Hvor man hos Fullrate får 2 inkluderet (1 officielt), og rDNS som kan sætteres via selvbetjening. Sidst jeg tjekkede for flere år siden, kunne man betale 25 kr ekstra om måned, hvis man ville have o...

@Michael Cederberg Hvis du bare sætter din egen router i LAN porteren på fiberboksen, så vil du kører tripple NAT. Du kan få BBN til at sætte din fiberboks i bridge mode, så kun din router laver NAT. Hvis man står og skal købe en router, vil jeg anbefale TP-Link Archer C7 AC1750. Da den er rigt...

@Martin Jensen Både den video du linke til, og den Henrik Madsen linker til, sender jeg til BBN ved min første henvendelse. Ja, det er meget skuffende at de benytter CGNAT, og ikke levere IPv6. Jeg benytter selv en IPv6 tunnel i min OpenWRT router. Jeg vælger ikke at svarer på TR-069 spørgsmåle...

@Jens Jönsson De må gerne bruge Cisco til at lave deres carrier grade NAT. Men TCP og UDP timeouts skal være høje nok. Hvis deres udstyr ikke kan klare det. Kan man genbruge samme udstyr, og kun lave NAT uden PAT i Cisco, også bruge den Linux i fiberboksen til at lave NAT+PAT. I stedet for at la...

Jeg har lavet en video der fortæller om nogle af detaljerne og hvorfor jeg pillede i fiberboksen: https://www.youtube.com/watch?v=gf3Unl8L_gc Kort sagt: Når man lave NAT eller andet med connection-tracking skal. UDP-timeout være på minimum 180 sekunder, og TCP-timeout på minimum 7440 sekunder. ...

Video: https://youtu.be/gBgnEotv3Zg Filer: http://kom.aau.dk/~pmr/www/PE/ Jeg valgte at censorer min video en smule, da der var oplysninger om mit system i den. Det tog noget tid at gøre.

Så, nu har udforingen kørt længe nok til at jeg mener jeg kan tillade mig at ødelægge den helt ved at afsløre løsningen i denne video: https://youtu.be/JiM4xiDue28