Tag-arkiv: Sikkerhed

Alvorlig sikkerhedbrist hos Perspektiv Bredband nu rettet

Billede af Aunto
Billede af Aunto

Perspektiv Bredband der tidligere er kendt som CPH-Metronet har igennem længere tid haft en alvorlig sikkerhedbrist i opsætningen af deres provisionering (det at udbyderen kan fjernstyre en voip-boks). Bristen har betydet, at samtlige Perspektiv Bredbands telefonikunder har haft deres login og kodeord kompromitteret.

Vi fik nys om problemet på Voipsnak og tog kontakt til brugeren Hasse, som opdagede hullet. Hasse var dog ikke til at presse. Han ville gerne have at udbyderen (som på daværende tidspunkt stadig var os ukendt), havde rettet hullet, før vi bragte historien.

Det lyder på Hasses forklaring som om det ikke er alle og enhver der kan gøre dette, men har man bare lidt teknisk indsigt, vil det kunne lade sig gøre. Og har man både teknisk indsigt og ond vilje, så er det rigtig trist.

Vi har fået Perspektiv Bredbands direktør i Sverige Fredrik Winbladh i tale om dette problem:

Der var ganske rigtigt i sikkerhedsproblem i vores IP-telefoni som én med stor teknisk viden ville have kunnet finde. Problemet er nu afhjulpet og vi er meget taknemmelige, for at have fået oplysninger om problemet, så vores kunder ikke kan rammes af en eventuel indtrængning. Jeg vil pointere at fejlen ikke kunne have ført til aflytning af samtaler! En indtrænger ville have kunnet ringe fra en andens telefonnummer, men vi har ingen beviser for at det er sket. Men der har været en risiko for at det kunne have sket og det ville være meget let at spore hvis det skulle være tilfældet.

Hvad var fremgangsmåden så? Her er hvad Hasse fortalte os:

Serveren fortalte selv hvilken nøgle den manglede

Ved at kigge nærmere på den trafik der går mellem voip-boksen og Perspektiv Bredbånds server, fik Hasse at vide at trafikken var ukrypteret og han fik et svar i stil med: “Du har ikke inkluderet nøglen “asdfasdfg978asdf7890sdfg89d7″, når han forsøgte at kontakte provisioneringsserveren. Ved næste forsøg brugte han så denne nøgle, og så fik han oplyst både brugernavn og adgangskode til telefonkontoen.

Fredrik Winbladh siger:

Der var en fejl der gjorde at hvis man opfangede trafikken mellem en af vore ATA-bokse og vores server, så kunne man finde ud af protokollen for at hente denne information, og hvis man derefter gættede en anden kundes MAC-adresse, kunne man se konfigurationen for boksen (inkl. kodeordet). Det rettede vi i april i år.

Hasse kunne dog stadig foretage denne manøvre den 23. maj, selvom Perspektiv lovede at den var udbedret den 6. april. Perspektiv rettede dog fejlen den 23. maj umiddelbart efter Hasses anden henvendelse til Perspektiv Bredband. Til det siger Fredrik Winbladh

Den første fejl (det at man kunne få fat i konfigurationsoplysningerne vha. en MAC-adresse) blev rettet med det samme. Og vi ændrede også kodeordene. De øvrige forholdsregler tog længere tid, for det indebar en stor systemændring, men det gik hurtigt, når man tænker på omfanget af ændringer.

Mac-adressen på boksen

Når man kender kodeordet til provisionering og brugernavn og adgangskode til telefonkontoen, har man bare brug for en ip-adresse. Perspektiv Bredband anbefaler, at man sætter voip-boksen før sin router, så en evt. firewall ikke blokerer for trafikken. Når man kender sin egen ip adresse, så er det ikke svært at finde andres adresser. Man skal bare gætte (IP adresser er tit fortløbende numreserier hos udbyderne) eller sætte en portscanner op til at finde alt der svarer til den port hvor Perspektiv Bredband har lukket op for web-konfiguration.

Samme admin-kodeord til alle bokse

Perspektiv Bredband havde valgt at bruge samme admin-kodeord til alle deres bokse. Derfor kunne man logge ind og se folks sip-brugernavne og kodeord.

Fredrik Winbladh fra Perspektiv bredband fortæller os hvad De har gjort for at sikre at en sådan sikkerhedsbrist ikke indtræffer igen.

Systemet er korrigeret så hver boks får et unikt ID ved registrering og dette ID bruges ved kommunikation med serveren. Det kan man ikke gætte sig til, så man kan ikke lure sig til en andens information fra serveren.

Administratorkodeordet for ATA-boksene er unikt for hver boks og ændres en gang om måneden. Så selvom man knækker koden til sin egen boks, hjælper det ikke med at komme ind i andres bokse. Heller ikke selvom man kender en anden boks’ IP-nummer og den ikke er bag en firewall.

Kodeord for SIP-kontoen ændres en gang om måneden (og efter at vi blev gjort opmærksomme på dette problem). Dermed er ingen eventuelt kompromitterede data korrekte.

Vi mener, at der med denne historie er sat fokus på én af de problematikker, der kan være med provisionering. Glædeligt er det dog at Perspektiv Bredband nu har taget et stort skridt til at sikre deres løsning.

Voipkunders login og kodeord kompromitteret

Telefonityveri
Telefonityveri

En bruger skriver i Voipsnaks forum, at han via linket til provisioneringen af sin adapter, har fået adgang til andre kunders brugernavn og adgangskode. Det er i givet fald et alvorligt problem og derfor arbejder vi på at få be- eller afkræftet at det forholder sig sådan. Vi har skrevet til brugeren via privatbeskedsmuligheden på voipsnak, men har endnu ikke fået noget svar.

Det fremgår ikke af indlægget hvilken udbyder det handler om, men hvis det der beskrives er muligt, sidder der mindst én udbyder med en alvorlig og meget kritisk sikkerhedsbrist. En brist vil betyde, at en lidt fingernem kunde, vil kunne ringe fra andre kunders numre og på den måde stjæle taletid.

Vi har prøvet at kombinere os frem ud fra det brugeren tidligere har skrevet i forummet. Ud fra dette kan vi finde tre muligheder: Musimi, Gratissip og Fonet. Da brugeren nævner sælgere og provisionering i sit indlæg (to ting som Musimi og Gratissip ikke tilbyder), så har vi regnet dem ude. Vi skrev til Fonets direktør Flemming Fogtmann for at høre hans mening, men hans tilbagemelding var at det ikke var dem der var tale om.

Jeg kan med sikkerhed oplyse, at det ikke er en FONET kunde. Vi har ikke denne form for provisionering.

Så sporet ender pt. blindt. Det kunne være interessant at få at vide om der er tale om noget enestående for en enkelt udbyder, eller om der er tale en en fejl i nogle af de meget anvendte programmer til at styre telefoni som fx Asterisk eller OpenSer.

Hvorom alting er, så vil vi stadig forsøge at finde ud af hos hvem fejlen ligger. Kom gerne med tip som kommentar til dette indlæg eller via kontaktformularen.