La sécurité des offres ADSL

Nicolas RUFF EADS/CCR

JE vais blogger tout ce qu'il va dire.. Et le synthétiser :

Il travaille depuis deux ans, mais n'a pu publier les choses pour des raisons de légalité.

L'année dernière, pas mal de trucs non corrigés.. je vais tenter de ne pas trop les citer.

Démos sur 4 opérateurs, je remercie un opérateur qui m'a fournit du matériel.

Dans une boite qu'est-ce qu'il y'a ? Aujourd'hui il y'a beaucoup de broadcom utilisé

N'importe quelle personne qui sait télécharger une dataseet, peut créer une setupbox.

N'importe qui peut trouver un buffer overflow.

Il est facile de faire une attaque hardware, possibilité de brancher un port série.

Avec JTAG, il est facile de brancher les choses sur la Freebox.

Il y'a openfreebox sur lequel tout est documenté ce n'est pas de ma faute.

Sur l'os, personne n'utilise windows, vxworks est très fermé, mais cela n'est pas très facile à utiliser pour du réseau

Pas de langage de script, pas utilisable.

Si l'ont fait le viewsource sur une page.. la vérification est fait via un javascript, ou le mot de passe est en clair.

Le linux est effectivement plus robuste.

Mais par contre, des que vous avez un bug dans le noyau linux, vous le retrouvez sur la boite.

La pluspart des éditeurs respectent la licence GPL sauf un ..

le problème des boites, c'est la mise à jour :

plein plein de problèmes sur la mise à jour, c'est le cas quand l'utilisateur a acheté sa boite, c'est seul l'utilisateur qui a le droit de faire la mise à jour

Quand elle est faite, il faut qu'il y'ait une méthode.. actuellement c'est une méthode FTP, avec login.. ou sans login.

Il y'a une autre méthode : c'est le fai qui pousse la mise à jour sur la boite. Ce qui sert à mettre à jour la boite.

Au niveau des interfaces

Coté Lan beaucoup de choses sont exposés, l'utilisateur ne pas essayer de froder.. mais il peut essayer de pirater la téléphonie.

C'est plus grave quand ces interfaces sont accessibles via internet.. c'est dangereux quand on peut se connecter sur le port via internet.. avec un mot de passe 1234...

un autre constructeur chez un autre fai.. C'est 12345.. tous les mots de passe sont documentés.. pas mal de gens peuvent entrer sur la boite en remote :)

Les modes debbug et les backdor.. je ne sais pas si ils debbugent directement sur les boites. Car les boites sont pas finies :)

D'un coté on peut sauvegarder la config, le mot de passe est stocké en clair. Quand on restore une configuration.. sous linux ce sont directement des variables d'environnement.

Il y'a eu des injections dans quasiment tous les paramètres

au niveau du wifi.. quand j'ai quitté l'opérateur historique pour aller chez un concurent


** Coupure du micro historique **

rires !!

Le mécanisme, c'était du PPP over wifi.. mettre une clé wep c'est pas fantastique non plus.. les freebox ne supportaient pas le WEP en 2005.

Il y'a que wanadoo.. qui a migré sur WPA.. on peut leur reconnaître ça.

Le vrai problème, c'est qu'il fallait utiliser que windows. avec le driver spécifique du constructeur.

Un point infrastructure réseau opérateur, dans ATM il y'a des canaux virtuels.

Par défaut c'est 8/35 en dégroupage, c'est 8/36..

après il y'a un autre canal pour chaque service, il y'a aussi un canal dédié à l'administration des équipements.

Si l'ont rentre sur ce canal.. on peut voir les ip.

Un serveur très intéressant, c'est le serveur de mise à jour.. si on arrive à mettre à jour le firmware.. y'a pas de signature RSA sur les firmware.

toutes les boites sont compromises si ont arrive à compromettre le serveur de mise à jour.

La vraie limite c'est le modem qui donne accès a internet, il y'a pas que des buffer overflow... il y'a des mots de passe 1234..

scénarios : Prendre le contrôle de tous les modems, faire de la fraude.. faire un racket de l'opérateur.. on pourrait faire des choses en étant créatif..

Avoir accès à XXL gratuitement..

On va prendre 4 boites différentes :

Je vais sur l'inteface web, il y'a un répertoire caché /config ou il y'a les fichiers de conf en clair

On voit les choses en clair...

Si on va dans le réseau opérateur... il y'a 3 ports ouverts

Il y'a un gars du staff qui s'est connecté depuis le site defree..

c'est fbx-test0.staff.proxad.net

Ce qui est interesant, c'est chubaka, yohann, boobasteff.. c'est les freebox des gens qui administrent et developent les freebox.

Si y'en a qui ont des choses..skype.. on pourrait les compromettre..

Tous les serveurs sont dans la classe C juste apres..

On va changer de constructeur.

Serveur web :

Il faut lire un peu le mips32

Ca ne marche plus, c'est pour ca que je vous le donne.

On peut envoyer du code, pour passer l'authentification.

Dernière démo, plus interactive

L'interface web de sa boite bind tous les lports.. là c'est sa boite.. on va remercier.. monsieur bernard ***** :)

A partir de là.. je peux ajouter du forward de ports. :

Conclusion

Je m'étais organisé de faire cette conférence à poil, pour montrer qu'on est tous à poil.. je me suis pris en photo hier soir.