April 26, 2008

مشکلی جدی که جدی گرفته نمیشود

به احتمال زیاد شما نیز یکی از مشترکین سرویس ADSL هستید ، و این بدین معنی است که شما نیز جزوه گروه عظیم استفاده کننده گان از Embedded Device ها هستید . منظور من مودم مورد استفاده شما برای اتصال به سرویس ADSL است .

همانطور که ممکن است اطلاع داشته باشید ، توجه بسیاری از متخصصین و محققان در زمینه امنیت سیستم های اطلاعاتی مجددآ به سمت امنیت Embedded Device ها منعطف شده و این بدلیل شیوع حملات بر روی این سیستم هاست . مودم های اینترنتی ، Access Point های شبکه بیسیم و دوربین های اینترنتی (IP Cameras) از جمله محبوب ترین اهداف جاری هستند . طیف گسترده ایی از انواع آسیب پذیری های امنیتی بطور روزانه بر روی این سیستم ها در حال شناسایی است ، و حتی در کنفرانس های معتبر امنیتی نیز طی یکی دو سال اخیر شاهد مورد توجه قرار گرفتن این موضوع بوده ایم . تحقیقاتی مثل این این روزها بسیار به چشم میخورند.

در گذشته هدف از تحقیق و بررسی و آنالیز امنیتی Embedded Device ها بیشتر شناسایی ضعف های امنیتی ساختاری ، استخراج و آنالیز Firmware ها و استفاده از این سیستم ها بعنوان راهی برای دسترسی به شبکه های محافظت شده بود . شخصآ در موارد متعددی از این قبیل دستگاه ها ( IP Camera ، پرینتر تحت شبکه ، Wireless Modem ) بعنوان یک Backdoor Gateway برای دسترسی به شبکه هایی که با وجود فایروال امکان دسترسی به سیستم های آنها وجود نداشت استفاده کردم . اما امروز حتی دید و نحوه استفاده از ضعف های امنیتی نیز عوض شده . اگر چه اهداف خرابکارانه و ضعف های امنیتی سابق همچنان مورد توجه و استفاده هستند اما امروزه هدف اصلی نفوذگران اطلاعات شخصی کاربر است ! بنا بر این نفوذگران نیز به سراغ سیستم ها و دستگاه هایی میروند که بیشتر مورد استفاده کاربران نهایی و خانگی است .

در کل مشکلاتی که بر روی این قبیل سیستم ها وجود دارند در یکی از شاخه های زیر قرار دارند :

  • *مشکلات امنیتی مربوط به سیستم عامل و سرویس های مورد استفاده در دستگاه که از طریق شبکه در دسترس هستند . مانند مشکلات امنیتی در FTP Server و یا خود Web Server سیستم عامل یا همان Firmware دستگاه .
  • *مشکلات امنیتی مربوط به Interface ها و سیستم های ( غالبآ تحت وب ) مدیریت این دستگاه ها . مانند مشکلات امنیتی شناسایی شده در Web Interface مدیریت دستگاه .
  • *مشکلات امنیتی مربوط به ضعف های ساختاری موجود در سیستم .
  • *مشکلات امنیتی ناشی از وجود کلمات عبور پیشفرض Documented و Undocumented .

در ایران نیز با رواج ADSL ، سیل این قبیل دستگاه ها به خانه ها و ادارات و شرکت های بسیاری از کاربران روانه شده است . پنج سال پیش اگر محدوده های آدرس یک سرویس دهنده اینترنتی مورد پویش قرار میگرفت شاید تعداد بسیار محدودی Home Router ویا Wireless Access Point شناسایی میشد . اما امروزه کمتر سرویس دهنده اینرنت معتبری را میتوان یافت که در محدوده آدرس مربوط به کاربران آن ، ده ها Embedded Device قابل دسترس از طریق اینترنت وجود نداشته باشد . و بهمراه هر مدل از این دستگاه ها نیز ، طیف زیادی از انواع ضعف های امنیتی وجود دارد . طی چند ماه گذشته که شروع به بررسی این موضوع نموده ام ، هر روز نمونه جالب و جدیدی به چشم میآید !

نکته مهم در خصوص شیوع این مورد در ایران و خطر مربوط به آن ، نحوه اطلاع رسانی و سرویس دهی ISP های ایرانی میباشد . من هنوز موفق به پیدا کردن حتی یک ISP نشده ام که در مورد Firmware مودم های ADSL که به کاربران خود میفروشد سرویس دهی کند . منظور از سرویس دهی ، بطور مثال اطلاع رسانی در مورد مشکلات و نهدیدات امنیتی موجود در سیستم ، و یا حتی ساده تر از آن ، در اختیار قرار دادن نسخه های جدید Firmware است . چرا این مورد مهم است ؟ در ادامه خواهیم فهمید :

شما بعنوان یک کاربر خانگی نا آشنا به زیر و بم سیستم های کامپیوتری به ISP مورد نظر خود مراجعه کرده و پس از طی هفت خوان رستم ، در نهایت صاحب سرویس ADSL میشوید . یکی از این خوان ها تهیه سخت افزار مودم است . من تجربه ها و بررسی های شخصی خود در این مورد دا نا دیده میگیرم . آبا هرکز شده است که در زمان تحویل مودم ، و یا تحویل تنظیمات پیاده سازی شده به شما ، مسئول فنی مربوطه اخطاری در خصوص تعویض نام کاربری و کلمه عبور پیشفرض مودم به شما بدهد ؟ یقینآ خیر ! شاید موارد انگشت شماری بوده اما این مورد به هیچ عنوان عمومی نیست . آیا هرگز هیچ سرویس دهنده ایی را دیده اید که به شما در خصوص ارتقاع نسخه Firmware دستگاه اخطار و یا حتی توصیه ایی نماید . بدون شک خیر !


ماجرا را از دید یک نفوذگر دنبال میکنیم :

هر ISP ، تنها مدل های خاص و محدودی از مودم ها را پشتیبانی کرده و در اختیار مشتریان قرار میدهد . بدون حتی مراجعه حضوری ، با مراجعه به وب سایت شرکت و یا یک تماس تلفنی میتوان مدل های دقیق دستگاه ها را جویا شد .

مرحله بعد ، صرف چند دقیقه وقت برای جستجوی عباراتی کلیدی مانند "XYZ Modem + Vulnerability " است . کمتر پیش می آید که این قبیل جستجو ها به نتیجه مثبت نرسد . یکی دیگر از کلید های جستجوی بسیار مفید میتواند "XYZ Modem Default password" باشد ! زیرا تقریبآ تمامی این دستگاه ها دارای چنین نام کاربری و کلمه عبور پیشفرضی هستند . حال نفوذگر لیستی از مشکلات امنیتی و نام های کاربری پیشفرض مربوط به مدل های مورد جستجو را در اختیار دارد .

مرحله بعد ، جستجو برای شناسایی قربانی است ! محدوده های آدرس ثبت شده در بانک های اطلاعاتی سایت های WhoIs میتوانند بسیار مفید باشند . حال نفوذگر با آگاهی از محدوده آدرس ، پویش را آغاز میکند . با توجه به اینکه بسیاری از این مودم ها دارای رویه تحت وب (Web Interface) هستند ، جستجو برای IP هایی که دارای پورت باز 80 هستند میتواند شروع خوبی باشد . تصویر زیر حاصل بررسی است که در حال نوشتن این پست انجام دادم . برای یک ISP متوسط ، بیش از 130 دستگاه ، حاصل پویش یک محدوده آدرس خاص . چندان بد نیست !

همانطور که در تصویر مشاهده میکنید ، تنوع مدل های دستگاه ها بسیار کم است . نکته جالب تر در خصوص این سرویس دهنده و مودم های ان اینکه بررسی چند دقیقه ایی من نشان داد که بجز چند مورد ؛ نام کاربری و کلمه عبور پیشفرض بر روی کلیه مودم های شناسایی شده قابل استفاده بود . همچنین کلیه مودم هایی که Banner وب سرور آنها با "httpd" مشخص شده ، بصورت پیشفرض دارای یک FTP Server فعال هستند . نسخه FTP Server مورد استفاده در Firmware مودم دارای یک ضعف امنیتی جدی است که به نفوذگر امکان حصول دسترسی به سیستم را میدهد .

بسیار خوب ، نفوذگر تنها در عرض چند دقیقه موفق به فراهم کردن دسترسی به بیش از 100 مودم ADSL گردید . مفید ترین استفاده ایی که از آنها میتوان کرد چیست ؟

بسیاری از سرویس دهندگان ADSL در کشور ، از مکانیزم PPPoE برای کنترل و دسترسی کاربران به شبکه استفاده میکنند . در این حالت هر مشترک یک نام کاربری و کلمه عبور اختصاصی دارد ، که در اغلب موارد میزان پهنای باند مصرفی و محدودیت های مربوط به آن نیز از طریق همین نام کاربری کنترل میگردد . نکته جالب آنکه در تمام سرویس دهنده هایی که من آنها را تست کردم ، هیچ محدودیتی برای استفاده از نام کاربری یک مشترک دیگر بر روی خط ADSL شما وجود ندارد . و تکرار ماجراهای سرقت اطلاعات کارت های اینترنت کاربران در چندین سال پیش ، اینبار به روایتی جدید .... !!! .


مودم های ADSL مذکور ، در بخشی از تنظیمات خود نام کاربری و کلمه عبور PPPoE Connection را نیز ذخیره میکنند که از طریق رویه وب در دسترس است . اگرچه ظاهرآ کلمه عبور مخفی شده ، اما با روشی بسیار ساده مانند مشاهده HTML Source Code صفحه تنظیمات ، میتوان آنرا بدست آورد . فکر میکنم حالا شما نیز دید بهتری در مورد اهمیت مشکلات این فبیل دستگاه ها و لزوم جدی گرفتن آنها را دارید .

شاید در پستی دیگر ، به یکی دیگر از مشکلات امنیتی که بسیاری از سرویس دهنده های ADSL ایرانی گریبانگیر آن هستند ( مشکلات مربوط به پیاده سازی نا امن Routing Protocol های مورد استفاده ) بپردازم .

9 comments:

  1. you explanations are always great, I'm proud of you!(abji)

    ReplyDelete
  2. ممنون ، جالب بود ...
    ولی سعی کنید بیشتر وارد جزئیات بشید :D
    [Arash]

    ReplyDelete
  3. Montazerim. matlabet foghol ade bod .
    behtarin mozo ato entekhab mikoni, alian.
    Hala soal ine ke age nakhan az tarighe PPoE authenicate nakonan va hamchenan mizane masrafe pahnaye bande karbarashon ro bedonan bayad chika konan?!.

    ReplyDelete
  4. با نام حقتعالی
    ممنون پسر به نکته مهمی اشاره کردی . حدود 2 سال پیش تست کوچیک رو شبکه پارس ... زدم و کلی
    voip
    اسنیف شد ! باورت میشه !
    به هرحال میشه با انتخاب حالت
    bridge
    و خارج کردن مودم از شبکه خارجی به شبکه پشت نًت ، یه کارایی کرد.
    ولی باز همون مشکل اصلی پیش میاد که بحث امنیت شبکه مورد استفاده است .

    تنها یکار میمونه
    VPN
    اونم با رمزنگاری 1024 خوشدست
    !!

    حسین-ع

    ReplyDelete
  5. ممنونم سید جان
    مثل همیشه مفید و آموزنده
    پرتوان باشید

    ReplyDelete
  6. Hey guy!

    You have always a new surprise!
    Go on!

    ReplyDelete
  7. Hey Guy!
    Another interesting toy for fun!
    Thanks for the post, as pmkn said: you explanations are always great,I'm proud of you too!

    ReplyDelete
  8. دوست عزیز راهی هست که بتونیم یوزر و پسورد مودمو در بیارم من از شرکتی که adsl می داد
    مودمو گرفتم یوزر و پسورد رو تغییر داده

    ReplyDelete
  9. Laching : It`s YOUR modem ( unless you`ve rented it) . So pick up the phone and call ISP , ask for user/password . They must provide it to you .

    ReplyDelete