Tietoturvauutiset ja blogipostaukset

Edelleen Elisa ei ole saanut Arris-modeemeilleen päivitystä aikaiseksi vaikka haavoittuvuus on ollut jo "ikuisuuden". Ei sen puoleen, itsekin olen postannut tuosta juttua parinkin lehden keskusteluun asiasta ja kommenttini on vain moderoitu pois. Haiskahtaa siltä että Elisa yrittää lakaista homman maton alle tms.

Kysymys on siis tästä: Kaapelimodeemeissa haavoittuvuus: Arris router vulnerability could lead to complete takeover | OmaYhteisö

edit: nyt on ainakin kolme eri iltalehden postausta aiheesta sensuroitu (olen yrittänyt joka kerta ilmaista itseäni miedommin eli lopuksi vaan kertoa että asiasta on lisää keskustelua toisaalla), ilmeisesti siitä että Elisaa ei kiinnosta laitteiden turvallisuus ei saa keskustella...
 
Viimeksi muokattu:
Kyllähän tuo päätelaitteiden päivitysten ostaminen laitevalmistajalta on varmaan sellainen kulu jota operaattorit eivät mielellään halua. Varsinkin jo muutenkin matalakatteisissa kuluttajaliittymissä.
 
Viikolla kiireitä, pudotetaan enempi samaan postiin.

TAISTO-harjoitus ja materiaalit:

Kyberturvballisuuskeskuksen yleiskatsaus, Kybersää on taas päivittynyt:
Kokonaisuudessaan 23 sivuinen raportti.

Samalla kannattaa varmaan muistaa myös tuo SUPO:n turvallisuuskatsaus, vaikka tietysti siinä tietotekniikka on vain osa kokonaisuutta:

Monissa medioissa tuntui myös herätttävän huimiota ja viihdettä tuo oletussalasanojen käyttäminen verkkolaitteissa. Mutta sehän nyt on ollut pitkään itsestäänselvyys, että näin ei tehdä. Samoin kuin, että heikkoja salasanoja ei ylipäätänsä käytetä missään.

Ohjelmistoturvallisuus raportti 2023:

HTTP/2 protokollasta löytyi haavoittuvuus, joka mahdollistaa valtavat verkkohyökkäykset. Cloudflare havaitsi 201 miljoonaa pyyntö sekunnissa DDoS hyökkäksen:

Microsoft korjasi 104 haavoittuvuutta Windowssista:
 
Viimeksi muokattu:
Kyllä tämä reitittimien päivitettävyys-asia on aivan karmea juttu. Peruspentit ja liisat eivät tajua mitään näistä asioista. Kaiken lisäksi operaattorit myyvät vanhaa tavaraa joihin päivityksiä eivät ole vuosiin tarjonneet (esim. Elisan kaupasta ZTE MF286D, viimeisin päivitys Lokakuu 2021... hinta vain 280 euroa, ja tuo on halvimmasta päästä vielä... joo, hyvä vinkki tosta HS:n jutusta; ostakaa operaattorilta!). Parin vuoden välein täysin toimivaa laitetta pitäisi heittää kierrätykseen... ei varmasti tapahdu monessa taloudessa, vasta kun menee rikki niin sitten menee vaihtoon.
 
Paras vinkki oli kyllä salasanojen kirjoittelu paperille :D

Ne on ihan hyvä pitää tallessa. ("esimerkiksi paperille"). Ja perusteltua välttää resetointia. Jos käyttäjä tuon ansiosta laittaa vahvan salasanan, niin hyvä.

Harvemmin käytetyt reitittimen salasana ja käyttäjänimi voivat helposti unohtua, joten ne kannattaa kirjoittaa ylös esimerkiksi paperille ja säilyttää turvallisesti.

Jos tunnukset unohtuvat, oletusasetusten palauttaminen palauttaa myös oletustunnukset. Tällöin laitteen tietoturva-asetukset ja päivitykset on hyvä käydä uudelleen läpi.
 
Kyllä tämä reitittimien päivitettävyys-asia on aivan karmea juttu. Peruspentit ja liisat eivät tajua mitään näistä asioista. Kaiken lisäksi operaattorit myyvät vanhaa tavaraa joihin päivityksiä eivät ole vuosiin tarjonneet (esim. Elisan kaupasta ZTE MF286D, viimeisin päivitys Lokakuu 2021... hinta vain 280 euroa, ja tuo on halvimmasta päästä vielä... joo, hyvä vinkki tosta HS:n jutusta; ostakaa operaattorilta!). Parin vuoden välein täysin toimivaa laitetta pitäisi heittää kierrätykseen... ei varmasti tapahdu monessa taloudessa, vasta kun menee rikki niin sitten menee vaihtoon.
Päivityksiin yksi tekiä on se että päivitykset on jollain tasolla valvonnassa/automatisoitu, toki niiden mukana saattaa tulle myös harmia. Operaattorilla periaatteessa olisi lähtökohdat auttaa asiassa, ja joidenkin purkkien kohdalla ovat valpaampia kuin toisten.

Mikä kriittinen ongelma tuossa linkkaamassasi 4G modeemissa on ?

Miten se tehdään jos se ei ulos kuuntele mitään?

Jos taas sisäverkon puolelta korkataan niin sitten on paljon suurempia murheita odotettavissa.
Modeemissa kai kyse siitä että minkälainen haavoittuvuus siinä on, miten siihen isketään.

Niihin ja reitittimiin isketään myös "kiertäen" siverkonpuolelta.

Tietenkin "pelkkänä" modeemina ainakin ajatus tasolla voidaan karsia monta riskiä pois, jos ja kun toivottavasti mahdollisesti haavoittunut palvelu on kokonaan poispäältä.
 
Ne on ihan hyvä pitää tallessa. ("esimerkiksi paperille"). Ja perusteltua välttää resetointia. Jos käyttäjä tuon ansiosta laittaa vahvan salasanan, niin hyvä.
Tämä on oikesti hyvä vinkki ja mahdollisesti niin että on siinä laitteessa kiinni, tarra, teippi mihin kirjoitettu. Jos siis kyse koti reittimessä missä ei liikuvihamielista väkeä kurkkimassa. Tuon tarran/teipin kohdalla varoo sen verran että jäähdytyskärsi.
 
Niihin ja reitittimiin isketään myös "kiertäen" siverkonpuolelta.

Niin ja sanoin että jos sisäverkon puolelta korkataan niin on jo paljon suurempia murheita. Sulla on silloin se windows taikka jokin muu sisäverkon laite saastunut. Se modeemihan toimii siltaavana periaatteessa vain tyhmänä mediamuuntimena jolloin siihen kikottimeen ei tartte sen ihmeemmin edes sisäverkosta ottaa yhdyntää, joten sisäverkon voi conffata eri osoiteavaruuteen mitä se siltaava reititin käyttää jolloin siihen reitittimeen ei pääse edes sisäverkosta suoraan kiinni. Ja jos joku ulkopuolinen taho on sisäverkossa niin syvällä että pystyy verkkoja conffaamaan uuteen uskoon niin silloin on tosiaan jo kaikki muukin vaarantunut.
 
Niin ja sanoin että jos sisäverkon puolelta korkataan niin on jo paljon suurempia murheita. Sulla on silloin se windows taikka jokin muu sisäverkon laite saastunut. Se modeemihan toimii siltaavana periaatteessa vain tyhmänä mediamuuntimena jolloin siihen kikottimeen ei tartte sen ihmeemmin edes sisäverkosta ottaa yhdyntää, joten sisäverkon voi conffata eri osoiteavaruuteen mitä se siltaava reititin käyttää jolloin siihen reitittimeen ei pääse edes sisäverkosta suoraan kiinni. Ja jos joku ulkopuolinen taho on sisäverkossa niin syvällä että pystyy verkkoja conffaamaan uuteen uskoon niin silloin on tosiaan jo kaikki muukin vaarantunut.
Pointti oli se että jos modeemissa on haavoittuvuus, niin asetuksista "siltaavaksi" laittaminen ei takaa turvallisuutta.

Yritin korostaa sitä että siltaavana on riskejä vähentävä, varsinkin jos kuvitellaan että samalla kytkeytyy liutapalveluita pois.

Käyttäjä voi toki yrittää vähentää riskejä muillakkin toimin.

Modeemireittimissä on eroja, ja ns "siltaavaksi" kytkeminen ei jokaisessa tarkoita että (W)WAN puolella ei olisi palveluita auki, saati että olisi immuuni hyökkäykseen kaikissa skenaariossa.

Juttu lähti liikkeelle allaolevasta "yleisestä" postauksesta.
Modeemi siltaavaksi ja perään purkki, johon saa OpenWRT:n. Done and done :smoke:
sitä ennen ketjussa oli juttua mobiilireittimestä, sitä ennen yleistä jutustelua operaattorien purkeista, taisi olla niiden operaattori ylläpidosta. Mikä voi tarkoittaa että modeemissa on rajapinnat operaattorin hallintaan, päivityksiin jne. Sisäverkon IPn lisäksi ulkoverkon IP.

Toki voidaan kikkailla sillä mitä sanalla siltaaminen tarkoitettu, mutta kotiköyttäjälle lähinnä sitä että modeemi näkyy kotiverkkoon ja sen palomuurireittimeen enemmän tai vähemmän "läpinäkyvänä".

Niin ja sanoin että jos sisäverkon puolelta korkataan niin on jo paljon suurempia murheita. Sulla on silloin se windows taikka jokin muu sisäverkon laite saastunut.
Osa hyökkäyksistä ei ole tarkoittannut että mitään olisi saastunut, käytetty sisäverkon laitteiden ominaisuuksia ja tai käyttäjän apua. Toki tämänpäivän selaimista on raksittu ominaisuuksia joilla aiemmin onnistuttu.


Ja toki kannatan sitä että palomuuri reititin on erikseen, ja modeemi on modeemi.
 
Modeemireittimissä on eroja, ja ns "siltaavaksi" kytkeminen ei jokaisessa tarkoita että (W)WAN puolella ei olisi palveluita auki, saati että olisi immuuni hyökkäykseen kaikissa skenaariossa.

sitä ennen ketjussa oli juttua mobiilireittimestä, sitä ennen yleistä jutustelua operaattorien purkeista, taisi olla niiden operaattori ylläpidosta. Mikä voi tarkoittaa että modeemissa on rajapinnat operaattorin hallintaan, päivityksiin jne. Sisäverkon IPn lisäksi ulkoverkon IP.

Toki voidaan kikkailla sillä mitä sanalla siltaaminen tarkoitettu, mutta kotiköyttäjälle lähinnä sitä että modeemi näkyy kotiverkkoon ja sen palomuurireittimeen enemmän tai vähemmän "läpinäkyvänä".
Esimerkiksi tuo Arris on sellainen että vaikka sen laittaa "siltaavaksi" niin sillä on LAN-puolella hallinta-IP josta sitä pääsee konffailemaan ilman mitään kikkoja. Ja tietty operaattorin suunnasta purkkiin on joku hallintayhteys mitä pitkin päivitykset tulevat (tai tulisivat jos niitä vielä julkaistaisiin).
 
Ja tietty operaattorin suunnasta purkkiin on joku hallintayhteys mitä pitkin päivitykset tulevat (tai tulisivat jos niitä vielä julkaistaisiin).
Nämähän ovat siis purkin originoimia, ulospäin meneviä yhteyksiä, eivät suinkaan avoimia reikiä kenen tahansa koputella internetistä päin
 
Nämähän ovat siis purkin originoimia, ulospäin meneviä yhteyksiä, eivät suinkaan avoimia reikiä kenen tahansa koputella internetistä päin
Vaikka esim TR-069 käyttää kuluttajan purkin originoimaa yhteyttä niin kyllä siitä löytyviä haavoittuvuuksia on käytetty erilaisissa hyökkäyksissä, esim Mirai muistaakseni. En tiedä millaisia etähallintayhteyksiä operaattorit nykyään käyttävät, tuo TR-069 nyt tuli ensimmäisenä mieleen.
 
Nämähän ovat siis purkin originoimia, ulospäin meneviä yhteyksiä, eivät suinkaan avoimia reikiä kenen tahansa koputella internetistä päin
Jos tässä nyt pohditaan skenaariota että purkissa on tietoturva-aukko. mukaanlukien joku historiallinen modeemireitin. jossa vanhaa koodia ja vanhentunutta turvallisuus ajattelua.
 
Ei tuo estä sitä etteikö modeemia haxeroida.
Ei tietenkään. Pointtini oli, että kun iskee OpenWRT:n reitittimeen, niin ei lopu päivitykset ihan heti ja luulisin, että on tietoturvallisempi kuin muut kuluttajafirmikset, joista saattaa löytyä ties mitä kovakoodatuista salasanoista lähtien. Ja siltaavana modeemista on vähemmän haittaa.
 
Tuo modeemi siltaavaksi on ohje joka voi tehdä modeemista murtamattoman, tai sitten sillä ei ole mitään vaikutusta. Eli ei ole mikään yleispätevä ohje

Kun mulla oli vielä dsl yhteys modeemi oli siltaavana, eikä modeemiin päässyt käsiksi mistään suunnasta. Jos olisin halunnut avata yhteyden modeemin hallintaan, olisi pitänyt määritellä reitittimen wan porttiin toinen ip osoite 192.168.0.x osoitteella. Tietysti jos joku olisi korkannut reitittimen, ja ihan tosissaan halunnut myös modeemiin, olisi hyökkääjä voinut tehdä saman toisen wan ip osoitteen, mutta käytännössä modeemi oli murtamaton.

Toinen ääripää on modeemi jossa on julkisessa ip osoitteessa aina avoimena hallinta josta operaattorin on tarkoitus päivitykset työntää sisään, ja siltaava tila tarkoittaa että modeemi antaa toisen julkisen osoitteen lan porttiinsa.
 
Tuo modeemi siltaavaksi on ohje joka voi tehdä modeemista murtamattoman, tai sitten sillä ei ole mitään vaikutusta. Eli ei ole mikään yleispätevä ohje

Kun mulla oli vielä dsl yhteys modeemi oli siltaavana, eikä modeemiin päässyt käsiksi mistään suunnasta. Jos olisin halunnut avata yhteyden modeemin hallintaan, olisi pitänyt määritellä reitittimen wan porttiin toinen ip osoite 192.168.0.x osoitteella. Tietysti jos joku olisi korkannut reitittimen, ja ihan tosissaan halunnut myös modeemiin, olisi hyökkääjä voinut tehdä saman toisen wan ip osoitteen, mutta käytännössä modeemi oli murtamaton.

Toinen ääripää on modeemi jossa on julkisessa ip osoitteessa aina avoimena hallinta josta operaattorin on tarkoitus päivitykset työntää sisään, ja siltaava tila tarkoittaa että modeemi antaa toisen julkisen osoitteen lan porttiinsa.
Tarkoitat varmaan LANin puolelle? Vaikka modeemi on siltaava ja laitat kiinteän osoitteen omalle verkkokortille oikeasta alueesta, niin pääse hallintaan kiinni.
 
Tarkoitat varmaan LANin puolelle? Vaikka modeemi on siltaava ja laitat kiinteän osoitteen omalle verkkokortille oikeasta alueesta, niin pääse hallintaan kiinni.
No tietysti siihen modeemin lan porttiin olisi voinut kytkeä tietokoneen ja määritellä siihwn käsin ip osoitteen, mutta fyysiseen verkkoon koskematta (kuten hyökkääjä joutuisi toimimaan) olisi pitänyt OpenWRT reitittimeen pitänyt määritellä wan porttiin se toinen IP osoite.

E: vai meinastiko nyt tuota modeemia joka ei mene kokonaan siltaavaksi?
 
No tietysti siihen modeemin lan porttiin olisi voinut kytkeä tietokoneen ja määritellä siihwn käsin ip osoitteen, mutta fyysiseen verkkoon koskematta (kuten hyökkääjä joutuisi toimimaan) olisi pitänyt OpenWRT reitittimeen pitänyt määritellä wan porttiin se toinen IP osoite.

E: vai meinastiko nyt tuota modeemia joka ei mene kokonaan siltaavaksi?
Tuo sinun dsl modeemi esimerkki.
 
Tuo modeemi siltaavaksi on ohje joka voi tehdä modeemista murtamattoman, tai sitten sillä ei ole mitään vaikutusta. Eli ei ole mikään yleispätevä ohje

Kun mulla oli vielä dsl yhteys modeemi oli siltaavana, eikä modeemiin päässyt käsiksi mistään suunnasta. Jos olisin halunnut avata yhteyden modeemin hallintaan, olisi pitänyt määritellä reitittimen wan porttiin toinen ip osoite 192.168.0.x osoitteella. Tietysti jos joku olisi korkannut reitittimen, ja ihan tosissaan halunnut myös modeemiin, olisi hyökkääjä voinut tehdä saman toisen wan ip osoitteen, mutta käytännössä modeemi oli murtamaton.

Toinen ääripää on modeemi jossa on julkisessa ip osoitteessa aina avoimena hallinta josta operaattorin on tarkoitus päivitykset työntää sisään, ja siltaava tila tarkoittaa että modeemi antaa toisen julkisen osoitteen lan porttiinsa.
Muistaakseni tuohon hallintaan pääsi käyttämällä nat:a, kun minulla oli saman tyyppinen verkko kuitua odotellessa.
 
Tuo modeemi siltaavaksi on ohje joka voi tehdä modeemista murtamattoman, tai sitten sillä ei ole mitään vaikutusta. Eli ei ole mikään yleispätevä ohje
Ketjussa modeemi reittittimistä ja niiden määrittämisestä siltaavaksi väännetty.
Jos "siltaavaksi" tarkoittaa sitä että siellä sammutetaan/tapetaan kaikki, niin että jäljelle jää joku virheetön rautamodeemi, niin ehkä voi kuvailla murtamattomana.
Voi sitten miettiä että rautapohjainenkin modeemi voi jostain sekoilla, mutta ei nyt pointti

Mutta kuluttaja tuotteissa yleensä sinne jää jotain palveluita, softaa pyöriin, niin kyse lähinnä siitä onko se murtamaton, onko siellä jotain tietoturva-aukkoja.

Ja kuluttajakäytössä, onko niillä merkitystä, onko ne helposti hyödynnettävissä ja onko niihin yleisesti saatavilla ja käytössä olevia hyökkäyskonsteja.

Ketjussa juttu taisi lähteä siitä että vanhaa modeemia voisi vielä käyttää turvallisesti, niin vanhassa modeemissa, johon ei ole aikoihin saanut päivityksä, ei välttämättä suunnittelun tarvallisuus ajattelut ole olleet moderneja (* ja todennäköisyys sisältää vanhaa reikästä koodia varsin suuri.

Mutta ei se nyt vielä mailmaa kaada jos siellä on reikästä koodia, niin sen hyökkäyksenkin pitäisi toimi halutusti, kotinetissä ei mailmaa kaado jos seuraus on lähinnä netinkäyttö haittaava, modeemi kaatuilee ym.
ja siltaava modeemi lähtökohtaisesti on kotipalomuuriin nähden sen julkisennetin puolella, eli siihen ei luoteta.
Jopa tarpeettomia palveluita voi jäädä päälle,
 
Mä en nyt oikein tajua, olenko mä sitten ilmaissut itseäni niin ettei kukaan ymmärrä mua, vai eikö kukaan vaan lue kuin postauksen ekan lauseen?

Tuonne siltaavaksi väännettyyn modeemiin jää tietysti palveluja pyörimään joissa on potentiaalisia aukkoja, mutta jos modeemilla ei ole yhteyttä tcp/ip verkkoon, niin kyllähän se nyt aika hemmetin tukevasti on turvassa.
 
Ciscon laitteiden web hallinnassa täyden kympin aukko:
Cisco IOS XE Software Web UI Privilege Escalation Vulnerability

Korjausta tai workaroundeja ei ole vielä olemassa. Suositus disabloida koko www hallinta kokonaan tai jos on sillei tyhmästi tehnyt, että on auki nettiin niin ehkä estää netistä pääsy. Tosin en ole varma onko Ciscolla mitään SSL-VPN tuotetta mikä vaatii tuon avaamisen nettiin tms?
 
Tuonne siltaavaksi väännettyyn modeemiin jää tietysti palveluja pyörimään joissa on potentiaalisia aukkoja, mutta jos modeemilla ei ole yhteyttä tcp/ip verkkoon, niin kyllähän se nyt aika hemmetin tukevasti on turvassa.
En tiedä muista, mutta
Kommentoin "nettimodeemeita", kaapeli, DSL, Mobiili jne. toisella puolella sitten kupari ethernet (voi muitakin olla), eli siellä nettiyhteys (TCP/IP).

En erikseen eritellyt, mutta myönnän että mielessä ensisijaisesti liikku TCP/IP kerroksen riskit, ja että modeemi nettimodeemina (TCP/IP). En tässä väitä etteikö modeemi voisi käyttää muuhunkin, mutta mene jo kauaksi.


Spolerissa heitto rautapohjaisesta, jossa mielessä kävi alemmat kerrokset, mutta toki on niitä alemmankin kerroksen aukkoja vuosiensaatossa uutisoitu, mutta meneekoä enemmän tuohon palvelunesto ongelmiin(yhteys kärsii) ja modeemissa ollaan siis julkisen netinpuolella.

Mielessä kävi että jotain kommentoin noiden väliin menevistä, eli on softapohjaista, mutta ei TCP/IP kerrosta tukevaa softaa, mutta mielessä liikku palomuurireitinmodeemit, joissa sitä TCP/IP kerroksen softaa on paljon, ja ajattelinen että purkki joka siltaavana osaa sammuttaa kaikkia TCP/IP kerroksen koodit, niin ehkä jo aika hyvällä mallilla, vaikka alemmankerroksen riskejä ei poista.


**********
Olen siis sitä mieltä että vanha modeemireitin siltaavana + erillinen ajantasainen palomuuri reititin on kotikäytössä turvalisuus ratkaisuna kannatettava vs se modeemi palomuurireitin modeemina. Jos säikkyy joka riskiä, niin ei kotikäyyttöön turvallista nettimodeemi palomuuria löydykkään.
 
Viimeksi muokattu:
En tiedä muista, mutta
Kommentoin "nettimodeemeita", kaapeli, DSL, Mobiili jne. nettiyhteyksistä. Toisella puolella sitten kupari ethernet (voi muitakin olla)

En erikseen eritellyt, mutta myönnän että mielessä ensisijaisesti liikku TCP/IP kerroksen riskit, ja että modeemi nettimodeemina (TCP/IP).


Spolerissa heitto rautapohjaisesta, jossa mielessä kävi alemmat kerrokset, mutta toki on niitä alemmankin kerroksen aukkoja vuosiensaatossa uutisoitu, mutta meneekoä enemmän tuohon palvelunesto ongelmiin(yhteys kärsii) ja modeemissa ollaan siis julkisen netinpuolella.
No kuten tuossa mun internet yhteyttä välittävässä dsl modeemissa oli, se tcp/ip riski oli jokseenkin olematon, koska modeemi ei ollut tcp/ip verkossa. Tai olihan sillä kiinteä privaattiosoite, mutta tosiaan siihen pääsy olisi edellyttänyt ensin reitittimen korkkaamista ja sen asetuksien muuttamista.

Tcp/ip verkon yli hyökkääminen laitteeseen jolla ei ole ip osoitetta ei kovin helpolla onnistu.

Mobiiliverkon modeemit on oma lukunsa, koska ne eivät sillattunakaan ole varsinaisesti sillattuja, tosin niillä on ainakin suomalaisilla operaattoreilla yleensä privaattiverkon ip osoite verkkoon päin, eli hyökkäys pitäisi tehdä operaattorin privaverkosta käsin, joka nyt ainakin lisää yhden kerroksen siihen suojaan.
 
Eipä se netistä päin tuleva hyökkääjä näe sitä sillattua modeemia oikein mitenkään. L2 tason liikenne menee operaattorin seuraavalle L2 laitteelle asti eikä operaattorin privaattiverkot voi reitittyä operaattorin verkon ulkopuolelle.
 
No kuten tuossa mun internet yhteyttä välittävässä dsl modeemissa oli, se tcp/ip riski oli jokseenkin olematon, koska modeemi ei ollut tcp/ip verkossa. Tai olihan sillä kiinteä privaattiosoite, mutta tosiaan siihen pääsy olisi edellyttänyt ensin reitittimen korkkaamista ja sen asetuksien muuttamista.

Tcp/ip verkon yli hyökkääminen laitteeseen jolla ei ole ip osoitetta ei kovin helpolla onnistu.
Menee vähän sekaisin kommenti murtamaton, turvallinen, matalariski, käyttökelpoinen.

Jos modeemi on turvallinen, niin ok.

Keskusteliat pohtii mitä riskejä, ja erityisesti modeemireitittimestä jonka jonka haavoittuvuuksia, turvallisuus ajattelua ei tunnetta. Kommentoin vielä viestiä jossa mainittiin että on tuntemattomia palveluita päällä.

Jos se on nettimodeemi, ja sen portissa on netti yhteys, TCP/IP, niin ei silloin voi sanoa ettei ole TCP/IP yhteyttä. ja jos se on sillattuna julkisessa netissä, (no operaattorin palomuuri ym takan), niin vihamielisella alueella.


Se tiedetään että monessa modeemissa sillattunakin on web, telnet, ym palveluita päällä ja auki. Joissain voi olla ei documentoituja palveluita. se tiedetään että osalla on jokin kiinteä IP tai useampi mihin suunnitellusti vastaavat, osa lisäksi hakee IPn Dhcp palvelimelta. Se tiedetään että verkkolaitteissa on ollut protokolla haavoittuvuuksia.

Ilman muuta ollaan hyvällä tasolla jos tiedetään että laite on turvallinen, silloinkin ollaan ihan ok että tiedetään että laite on hyvämaineisen operaattorin/valmistajan puhtaalla softalla/säädöillä, mutta tuki on vaan loppunut, mutta ei tiedossa pahoja riskejä

Jos tiedetään että laitteessa on pahoja haavoittuvuuksia, ja jos ollut verkossa, niin millä siitä ottaa selvää, jolloin ei lähtökohtaisesti ei voi luottaa, mitä siellä pyörii.



No kuten tuossa mun internet yhteyttä välittävässä dsl modeemissa oli, se tcp/ip riski oli jokseenkin olematon, koska modeemi ei ollut tcp/ip verkossa. Tai olihan sillä kiinteä privaattiosoite, mutta tosiaan siihen pääsy olisi edellyttänyt ensin reitittimen korkkaamista ja sen asetuksien muuttamista.

Tcp/ip verkon yli hyökkääminen laitteeseen jolla ei ole ip osoitetta ei kovin helpolla onnistu.
En ole ottanut kantaa sinun modeemista, en mitään hajua mitä haavoittuvuuksia siinä on, mitä palveluita siinä on, onko sillä mitä IP osoitteita, mitä se kuuntelee, jne.


Kaikki ei ole yhtäosaavia, kuluttajan on vaikea selvittää ja tarkistaa. Se että kuluttaja ei pääse hallintaa, ei tee modeemista näkymätöntä, sillä voi olla julkinen IP mihin se vastaa, mistä kuluttaja sitä tiettää, ei ole tavatonta että ne täpät ei toimikkaan, sammutettu telnet ei sitä sammuttanutkaan. Jos se on häkätty ennen siltaavaksi muuttamista, niin on ihan tuurista kiinni onko siltaamisella mitään merkitystä.

Toistan edelleen, jos suunnittelu on ollut turvallisuus lähtöistä, ja siinä onnistuttu, ja modeemin siltaavaksi tehty ruksi on suunniteltu turvallisuus edellä, kaikki tarpeeton sammutetaan, ja vaikka olisi katsottu tarpeelliseksi että jotain WEB hallintaa kuitenkin jää päälle, niin se mietitty niin että nyt ollaan portissa joka julkisessa netissä. WEB hallinta tarkoittaa että siellä on muutakin päällä
 
Viimeksi muokattu:
No sitähän mä alunperin kirjoitinkin että se siltaavuus voi olla joko lähes pomminvarma, tai sitten sillä ei ole mitään vaikutusta modeemin turvallisuuteen, ja esimerkkinä käytin tuota omaa aiemmin käyttämääni modeemia.
 
Miten kuluttaja voi varmistaa että joku vanha modeemireititin on siltaavana lähes pomminvarma?

Riskejä voi tunnista, jos siinä on joku hallinta IPn yli, niin se varmaan merkki riskistä(*, mutta sekin vähän että mistä tietää ettei ole.
Jos jostain vakava tieturvariski listalta löytyy oman reititinmodeemi malli, se kertoo riskistä, Mutta puuttuminen ei takaa päinvastaista.

Jos vanhan pitkään tuetottoman riski reitinmodeemin käytöstä muuttaa siltaavaksi, niin kohonnut riski että onko sille jotain muutakin kuin valmistajan jutut. Tätä riskiä voi _vähentää_ flassäämällä puhdas luotetuin firmis ja totaali nollaus.

Jos reitinmodeemi on turvallinen, niin todennäköisesti se on turvallinen myös siltaavana.

Siltaavana olo noin yleistäen tarkoittaa vähemmän riskejä, mutta on skenaarioita missä voi käydä toisin päin. jos suunnittelussa hamoja.

Mutta ei se nyt niin vaarallista ole jos siinä heikkous ja onnistuneesti iskettu, se on sen palomuurin ulkopuolella ei luotetulla alueella joka tapauksessa, tyypilliset skenaariot on niitä että kaapattua käytetään pahuuksiin muitakohteita vastaan. tai jos hyökätään modeemin käyttjää vastaan, niin sitten toimii vihamielisenä siinä välissä, ohjaa liikennettä muualle, tai yrittää iskeä liikenteen välliin , jne. mutta näiden riskien kanssa nettin käyttäjä aina.

(*
Hallinta ei tarkoita automaattisesti amottavaa aukkoa, mutta se on kohonnut riski varsinkin vanhoissa, kun niistä vuosien saatossa tappavaan tahtiin löydetty eritasoisia riskejä.
 
Esimerkiksi tuo Arris on sellainen että vaikka sen laittaa "siltaavaksi" niin sillä on LAN-puolella hallinta-IP josta sitä pääsee konffailemaan ilman mitään kikkoja. Ja tietty operaattorin suunnasta purkkiin on joku hallintayhteys mitä pitkin päivitykset tulevat (tai tulisivat jos niitä vielä julkaistaisiin).
Useimmat ei kyllä osaa logata noin konfiguroituhin purkkeihin sisään mitenkään.

Laitetaan DHCP jakamaan vaikka osoitetta 192.168.123.### ja maskiksi 255.255.255.0. -> Kaikki laitteet jotka käyttää DHCP:tä on tässä.

Sekä laitteen hallinta-osoitteeksi laitetaan 10.55.232.230 ja maskiksi vaikka 255.255.255.252 ...

Jotta pääset hallintaan käsiksi pitää sun manuaalisesti laittaa IP:ksi 10.55.232.229, ja avata siitä yhteys purkkin hallintaan että se toimisi. Tämän lisäksi toki vielä voi laittaa IP restrictioniin tuon 10.55.232.229:n, jos laite sitä tukee. Eli laittaa sen ainoaksi hallintaan oikeuttavaksi osoitteeksi.

Voisin sanoa, että tämänkin ohjeen perusteella jäisi useimmilta tekemättä. Niin monta kertaa oon kuullut että hallinta ei toimi. No, niin, ei se toimi, jos teet sen väärin.
 
Useimmat ei kyllä osaa logata noin konfiguroituhin purkkeihin sisään mitenkään.

Laitetaan DHCP jakamaan vaikka osoitetta 192.168.123.### ja maskiksi 255.255.255.0. -> Kaikki laitteet jotka käyttää DHCP:tä on tässä.

Sekä laitteen hallinta-osoitteeksi laitetaan 10.55.232.230 ja maskiksi vaikka 255.255.255.252 ...

Jotta pääset hallintaan käsiksi pitää sun manuaalisesti laittaa IP:ksi 10.55.232.229, ja avata siitä yhteys purkkin hallintaan että se toimisi. Tämän lisäksi toki vielä voi laittaa IP restrictioniin tuon 10.55.232.229:n, jos laite sitä tukee. Eli laittaa sen ainoaksi hallintaan oikeuttavaksi osoitteeksi.

Voisin sanoa, että tämänkin ohjeen perusteella jäisi useimmilta tekemättä. Niin monta kertaa oon kuullut että hallinta ei toimi. No, niin, ei se toimi, jos teet sen väärin.
Itsellä kotiverkko on 192.168.0.0/24 ja Arris löytyy silti ilman mitään kikkailuja tai omia reitityksiä osoitteesta 192.168.100.1 eli oman järjen perusteella Arris antaa tuon reitin siltaavassakin tilassa eteenpäin tavalla tai toisella reitittimelle. Ja tosiaan itselläni on vain yksi kaapeli Arrikseen, eli tuo osoite tulee siitä sillatun interfacen kautta.

Eli, jos itselläni on ihan perus-tietokone ilman mitään itse tehtyjä reitityksiä tai vastaavia niin silti jos laitan IP-osoitteella 192.168.0.123 (maski /24) olevalla koneella selaimeen 192.168.100.1 nin pääsen hallintaan. Eli olettaisin että jotain magiaa tuossa pitäisi olla kun 192.168.x.x -osoitteet eivät pitäisi käyttäytyä oletuksena noin.

edit:
eikun... Näköjään reititin ohjaakin nuo 192.168.100.1 -pyynnöt default-gw:lle joka on wan-portti eli se selittääkin....
Mä oon niin tottunut että privaattiosoitteita ei ohjata default-gw:n suuntaan tietyissä laitteissa mitä käpistelen päivittäin niin en edes ajatellut että tuollainen käytös olisi mahdollista.
 
Viimeksi muokattu:
eikun... Näköjään reititin ohjaakin nuo 192.168.100.1 -pyynnöt default-gw:lle joka on wan-portti eli se selittääkin....
Mä oon niin tottunut että privaattiosoitteita ei ohjata default-gw:n suuntaan tietyissä laitteissa mitä käpistelen päivittäin niin en edes ajatellut että tuollainen käytös olisi mahdollista.

Onko OpenWRT? Huomasin itseasissa juuri saman että mulla 5G modeemi on OpenWRT purkin wan portissa kiinni ja sillä tietty priva verkon osoite niin OpenWRT ihan tyytyväisenä reitittää liikenteen sinne modeemin hallintaan. Aiemmin mun mielestä tartti tehdä erillinen virtuaaliverkko sinne wan puolelle jossa oli reitittimelle määritelty hallinta verkon ip. Niin ja toi modeemi on siltaavana nyt testimielessä. Aiemmin ollut siltauksen kanssa ongelmia mutta nyt tuntuu toimivan.

Huomasin tuon itseassa ihan äskettäin kun aloin näiden viimeaikaisten keskusteluiden tiimoilta ajelemaan nmap tuota modeemia vasten niin lanista kuin OVH:lla olevalta VPS:ltä. Tulosten valmistumisessa vaan kestää. SYN Stealth Scan Timing: About 41.36% done; ETC: 06:51 (3:23:43 remaining)
Lanista menee nopsaan, paitsi UDP scanni. UDP Scan Timing: About 1.03% done; ETC: 21:37 (17:43:34 remaining)
 
TLS / HTTPS - MITM, AiTM - hakkerointi livenä ja toimi hienosti ja meni pitkään ennen kuin havaittiin:

Käytännössä havaittiin vasta sitten, kun ilmeisesti hyökkääjää ei jaksanut enää asia kiinnostaa. Lukemattomia kertoja olenkin tuosta varoitellut miten HTTPS:ään tunnutaan luottavan niin sokeasti. Mitä sertifikaatti kertoo? Joo, joku on nähnyt saman avaimen aikaisemmin. Sehän on siis vain ulikoistettu TOFU tavallaan. Mutta se ei todellakaan kerro sitä, että avain olisi oikea.
 
TLS / HTTPS - MITM, AiTM - hakkerointi livenä ja toimi hienosti ja meni pitkään ennen kuin havaittiin:

Käytännössä havaittiin vasta sitten, kun ilmeisesti hyökkääjää ei jaksanut enää asia kiinnostaa. Lukemattomia kertoja olenkin tuosta varoitellut miten HTTPS:ään tunnutaan luottavan niin sokeasti. Mitä sertifikaatti kertoo? Joo, joku on nähnyt saman avaimen aikaisemmin. Sehän on siis vain ulikoistettu TOFU tavallaan. Mutta se ei todellakaan kerro sitä, että avain olisi oikea.
Oliko tuossa saatu väärä sertti väliin, johon käyttäjä oli luottanut vai oliko oikeasti salattu liikenne oikean sertin ja käyttäjän välissä saatu purettua?
Tuo linkki on sellaista muotoa, että en klikkaa.
 
Oliko tuossa saatu väärä sertti väliin, johon käyttäjä oli luottanut vai oliko oikeasti salattu liikenne oikean sertin ja käyttäjän välissä saatu purettua?
Tuo linkki on sellaista muotoa, että en klikkaa.
Väärä setti ja sitä kautta liikenne tietenkin purkuun & muokattavissa lennossa. Monesti olisi hyvä käyttää vähintään CA pinningiä, mutta useimmat ei sitä kyllä tee. Mutta mm. SimpleX tekee.
 
Väärä setti ja sitä kautta liikenne tietenkin purkuun & muokattavissa lennossa. Monesti olisi hyvä käyttää vähintään CA pinningiä, mutta useimmat ei sitä kyllä tee. Mutta mm. SimpleX tekee.

Niin saatu uusi sertifikaatti Domain validaatiolla sehän on salaamaton.

CA pinning ei taida riittää pitäisi koko server sertifikaatti laittaa? Mutta HPKP deprecated 2018 jo eikä selaimet sitä tainnut tueta. Certificate and Public Key Pinning | OWASP Foundation

CAA ei taida riittää jos esim käyttäisikin Let's Encryptiä niin sama lopputulos.

mTLS:llä client autentikoisi palvelinta vasten ja silloinhan MITM tapauksessa päätelaite kieltäytyisi yhdistämästä kun palvelin ei osoita oikeaa varmennetta takaisin?
 
Onko OpenWRT? Huomasin itseasissa juuri saman että mulla 5G modeemi on OpenWRT purkin wan portissa kiinni ja sillä tietty priva verkon osoite niin OpenWRT ihan tyytyväisenä reitittää liikenteen sinne modeemin hallintaan. Aiemmin mun mielestä tartti tehdä erillinen virtuaaliverkko sinne wan puolelle jossa oli reitittimelle määritelty hallinta verkon ip. Niin ja toi modeemi on siltaavana nyt testimielessä. Aiemmin ollut siltauksen kanssa ongelmia mutta nyt tuntuu toimivan.

Huomasin tuon itseassa ihan äskettäin kun aloin näiden viimeaikaisten keskusteluiden tiimoilta ajelemaan nmap tuota modeemia vasten niin lanista kuin OVH:lla olevalta VPS:ltä. Tulosten valmistumisessa vaan kestää. SYN Stealth Scan Timing: About 41.36% done; ETC: 06:51 (3:23:43 remaining)
Lanista menee nopsaan, paitsi UDP scanni. UDP Scan Timing: About 1.03% done; ETC: 21:37 (17:43:34 remaining)
Reititin on Teltonika RUTXR1 jonka käyttis on käsittääkseni OpenWRT-pohjainen.

Näköjään tuollekin on tullut toissapäivänä uusi firmis jossa on melko pitkä lista paikattuja CVE:itä, pitääpä tuossa jonkun ajan päästä pistää päivittäen. Osasin kyllä odotella tuota firmispäivitystä kun muutamille muille Teltonikan malleille mitä meillä töissä käytetään tuli päivitys noin viikko sitten.
 
CA pinning ei taida riittää pitäisi koko server sertifikaatti laittaa? Mutta HPKP deprecated 2018 jo eikä selaimet sitä tainnut tueta. Certificate and Public Key Pinning | OWASP Foundation

CA pinning riittää, jos on oma CA käytössä. mm. SimpleX toimii näin, lisäksi kutsuissa ja kontakteissa on aina fingerprintit mukana. -> Ei olisi mennyt läpi.

CAA ei taida riittää jos esim käyttäisikin Let's Encryptiä niin sama lopputulos.

CAA olisi estänyt uuden sertifikaatin myöntämisen LE:ltä, jos käytössä olisi ollut account pohjainen pyyntöjen validointi, mutta eipä ollut. Silloin pyynnön voi tehdä vain sama taho kuin aikaisemminkin.
 
CA pinning riittää, jos on oma CA käytössä. mm. SimpleX toimii näin, lisäksi kutsuissa ja kontakteissa on aina fingerprintit mukana. -> Ei olisi mennyt läpi.



CAA olisi estänyt uuden sertifikaatin myöntämisen LE:ltä, jos käytössä olisi ollut account pohjainen pyyntöjen validointi, mutta eipä ollut. Silloin pyynnön voi tehdä vain sama taho kuin aikaisemminkin.

Kappas on tullutkin tuohon lisäyksiä alkuperäiseen niin tämäpä sitten rajaa hyvin.
 
Mitä tuohon siltaavan modeemiin tilanteeseen tulee. Se on haavoittuvainen hyökkäykseen, mikä kohdistetaan modeemin sisäverkon IP-osoitteeseen. Tällaisen hyökkäyksen voi tehdä hyökkääjän hallitsemalta web-sivulta ta peräti vain Googlen hakusivulla, jossa hakutuloksen mainokseen on upotettu hyökkäys JavaScript-koodina (malvertising). Sitten vain laitetaan HTTP-pyyntöä modeemin hallintasivulle käyttäen jotain tiedossa olevaa haavoittuvuutta, tai arvataan hallintasivun käyttäjätunnus ja salasana (valitettavan usein admin / admin).

Modeemin sisäverkon IP-osoitteen voi helposti arvata, usein se on 192.168.1.1. On myös mahdollista WebRTC:llä selvittää tietokoneen sisäverkon IP-osoite ja siitä arvata moodemin IP-osoite.

Kyseessä ei ole missään nimessä yleinen hyökkäystekniikka, ja vaikeasti toteuttava sellainen, mutta on kuitenkin käytetty oikeassa elämässä.

 
Viimeksi muokattu:
Mitä tuohon siltaavan modeemiin tilanteeseen tulee. Se on haavoittuvainen hyökkäykseen, mikä kohdistetaan modeemin sisäverkon IP-osoitteeseen. Tällaisen hyökkäyksen voi tehdä hyökkääjän hallitsemalta web-sivulta ta peräti vain Googlen hakusivulla, jossa hakutuloksen mainokseen on upotettu hyökkäys JavaScript-koodina (malvertising). Sitten vain laitetaan HTTP-pyyntöä modeemin hallintasivulle käyttäen jotain tiedossa olevaa haavoittuvuutta, tai arvataan hallintasivun käyttäjätunnus ja salasana (valitettavan usein admin / admin).

Modeemin sisäverkon IP-osoitteen voi helposti arvata, usein se on 192.168.1.1. On myös mahdollista WebRTC:llä selvittää tietokoneen sisäverkon IP-osoite ja siitä arvata moodemin IP-osoite.

Kyseessä ei ole missään nimessä yleinen hyökkäystekniikka, ja vaikeasti toteuttava sellainen, mutta on kuitenkin käytetty oikeassa elämässä.

Ainoa että se sillatun modeemin hallintasivu ei ole sisäverkon puolella.

Vaikka sisäverkossa olevan tietokoneen onnistuu korkkaamaan, vailla nyt tuolla mainoksella, niin 192.168.1.1 osoitteeseen kohdistuva pyyntö ohjautuu todennäköisesti reitittimeen, ja vaikka ei kohdistuisikaan, niin reititin ei tuota kyselyä ohjaa wan porttiinsa, jossa se modeemi on.
 
Vaikka sisäverkossa olevan tietokoneen onnistuu korkkaamaan, vailla nyt tuolla mainoksella, niin 192.168.1.1 osoitteeseen kohdistuva pyyntö ohjautuu todennäköisesti reitittimeen, ja vaikka ei kohdistuisikaan, niin reititin ei tuota kyselyä ohjaa wan porttiinsa, jossa se modeemi on.

Mutta sehän tässä hauskaa onkin kun nyt ainakin uusin OpenWRT näyttää iloisesti ohjaavan liikenteen. 10.10.10.0/24 sisäverkosta wanin läpitte modeemille jossa 192.168.1.0/24 verkko.
Koodi:
 tracert 192.168.1.1

Tracing route to 192.168.1.1 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  linksys.lan [10.10.10.1]
  2     1 ms    <1 ms    <1 ms  192.168.1.1

Trace complete.

192.168.1.1 on siis Zte MC7010 5G modeemi ja modeemi on siltaavassa tilassa joten tuossa OpenWRT purkissa on wan:ssa ihan julkinen IP. Pitää tätä asiaa tutkailla hiukan lisää ja laittaa pukiraksaa asiasta. Eihän toi hyvä noin ole. priva verkkojen liikenteen ei kuuluisi mielestäni mennä wan:sta ulos.

Tiedä sitten onko joku saanu aivopierun kun aiemmin tartte lisäillä virtuaalisia laitteita siihen waniin jotta modeemin hallintaan pääsi kiinni. Aivopieru siis että on helpotettu hommaa niin ettei enää tartte moista lisätä.
 
Mitä tuohon siltaavan modeemiin tilanteeseen tulee. Se on haavoittuvainen hyökkäykseen, mikä kohdistetaan modeemin sisäverkon IP-osoitteeseen. ...
Jos modeemissa on haavoittuvuuksia joihin voi hyökätä sisäverkostapäin, niin mikä ettei.

Vuosien aikana tämän tyyppisistä hyökkäyksistä on uutisoitu. ja jos modeemissa on esim mainitsemasi selain pohjainen hallinta, niin niihin hyökätty käyttäjän (sisäverkon) selaimen kautta, hydyntäen käyttää, selaimen ominaisuuksia ja aina ensihyökkäyksessä ei välttämättä tarvita modeemin bugia.

Nämä ymmärtääkseni vuosiensaatossa vähentyneet selainten tietoturvaan liittyvien päivitysten/ominaisuus karsintojen avulla, että modeemien päässä tehtyjen päivitysten myötä.


Ainoa että se sillatun modeemin hallintasivu ei ole sisäverkon puolella.

Vaikka sisäverkossa olevan tietokoneen onnistuu korkkaamaan, vailla nyt tuolla mainoksella, niin 192.168.1.1 osoitteeseen kohdistuva pyyntö ohjautuu todennäköisesti reitittimeen, ja vaikka ei kohdistuisikaan, niin reititin ei tuota kyselyä ohjaa wan porttiinsa, jossa se modeemi on.

En tiedä kotikäytössä millä prosentilla kotipalomuurireittimet estäisi, mutta pienellä otannalla hyvin monella noihin palomuuri/reittimen ulkopuolella oleviin modeemeihin on päässyt ihan selaimella kotiverkosta arpomalla, tai tietämällä modeemin kiinteän privaatti IPn. Osassa voi olla muktakin protokollia tuettuna.

Ihan käytön kannalta pääsy hallintaa / status sivulle tärkeää. Kakissa modeemeissa sitä ei taida saada edes estetty.
 

Statistiikka

Viestiketjuista
259 029
Viestejä
4 503 727
Jäsenet
74 313
Uusin jäsen
okimotoyoko

Hinta.fi

Back
Ylös Bottom