tablighat1


مشکلی جدی که جدی گرفته نمی شود!


%d9%85%d8%b4%da%a9%d9%84%db%8c-%d8%ac%d8%af%db%8c-%da%a9%d9%87-%d8%ac%d8%af%db%8c-%da%af%d8%b1%d9%81%d8%aa%d9%87-%d9%86%d9%85%db%8c-%d8%b4%d9%88%d8%af

به احتمال زیاد شما نیز یکی از مشترکین سرویس ADSL هستید ، و این بدین معنی است که شما نیز جزوه گروه عظیم استفاده کننده گان از Embedded Device ها هستید . منظور من مودم مورد استفاده شما برای اتصال به سرویس ADSL است .
همانطور که ممکن است اطلاع داشته باشید ، توجه بسیاری از متخصصین و محققان در زمینه امنیت سیستم های اطلاعاتی مجددآ به سمت امنیت Embedded Device ها منعطف شده و این بدلیل شیوع حملات بر روی این سیستم هاست . مودم های اینترنتی ، Access Point های شبکه بیسیم و دوربین های اینترنتی (IP Cameras) از جمله محبوب ترین اهداف جاری هستند . طیف گسترده ایی از انواع آسیب پذیری های امنیتی بطور روزانه بر روی این سیستم ها در حال شناسایی است ، و حتی در کنفرانس های معتبر امنیتی نیز طی یکی دو سال اخیر شاهد مورد توجه قرار گرفتن این موضوع بوده ایم . تحقیقاتی مثل این این روزها بسیار به چشم میخورند.

در گذشته هدف از تحقیق و بررسی و آنالیز امنیتی Embedded Device ها بیشتر شناسایی ضعف های امنیتی ساختاری ، استخراج و آنالیز Firmware ها و استفاده از این سیستم ها بعنوان راهی برای دسترسی به شبکه های محافظت شده بود . شخصآ در موارد متعددی از این قبیل دستگاه ها ( IP Camera ، پرینتر تحت شبکه ، Wireless Modem ) بعنوان یک Backdoor Gateway برای دسترسی به شبکه هایی که با وجود فایروال امکان دسترسی به سیستم های آنها وجود نداشت استفاده کردم . اما امروز حتی دید و نحوه استفاده از ضعف های امنیتی نیز عوض شده . اگر چه اهداف خرابکارانه و ضعف های امنیتی سابق همچنان مورد توجه و استفاده هستند اما امروزه هدف اصلی نفوذگران اطلاعات شخصی کاربر است ! بنا بر این نفوذگران نیز به سراغ سیستم ها و دستگاه هایی میروند که بیشتر مورد استفاده کاربران نهایی و خانگی است .


در کل مشکلاتی که بر روی این قبیل سیستم ها وجود دارند در یکی از شاخه های زیر قرار دارند :

*مشکلات امنیتی مربوط به سیستم عامل و سرویس های مورد استفاده در دستگاه که از طریق شبکه در دسترس هستند . مانند مشکلات امنیتی در FTP Server و یا خود Web Server سیستم عامل یا همان Firmware دستگاه .
*مشکلات امنیتی مربوط به Interface ها و سیستم های ( غالبآ تحت وب ) مدیریت این دستگاه ها . مانند مشکلات امنیتی شناسایی شده در Web Interface مدیریت دستگاه .
*مشکلات امنیتی مربوط به ضعف های ساختاری موجود در سیستم .
*مشکلات امنیتی ناشی از وجود کلمات عبور پیشفرض Documented و Undocumented .
در ایران نیز با رواج ADSL ، سیل این قبیل دستگاه ها به خانه ها و ادارات و شرکت های بسیاری از کاربران روانه شده است . پنج سال پیش اگر محدوده های آدرس یک سرویس دهنده اینترنتی مورد پویش قرار میگرفت شاید تعداد بسیار محدودی Home Router ویا Wireless Access Point شناسایی میشد . اما امروزه کمتر سرویس دهنده اینرنت معتبری را میتوان یافت که در محدوده آدرس مربوط به کاربران آن ، ده ها Embedded Device قابل دسترس از طریق اینترنت وجود نداشته باشد . و بهمراه هر مدل از این دستگاه ها نیز ، طیف زیادی از انواع ضعف های امنیتی وجود دارد . طی چند ماه گذشته که شروع به بررسی این موضوع نموده ام ، هر روز نمونه جالب و جدیدی به چشم میآید !

نکته مهم در خصوص شیوع این مورد در ایران و خطر مربوط به آن ، نحوه اطلاع رسانی و سرویس دهی ISP های ایرانی میباشد . من هنوز موفق به پیدا کردن حتی یک ISP نشده ام که در مورد Firmware مودم های ADSL که به کاربران خود میفروشد سرویس دهی کند . منظور از سرویس دهی ، بطور مثال اطلاع رسانی در مورد مشکلات و نهدیدات امنیتی موجود در سیستم ، و یا حتی ساده تر از آن ، در اختیار قرار دادن نسخه های جدید Firmware است . چرا این مورد مهم است ؟ در ادامه خواهیم فهمید :
شما بعنوان یک کاربر خانگی نا آشنا به زیر و بم سیستم های کامپیوتری به ISP مورد نظر خود مراجعه کرده و پس از طی هفت خوان رستم ، در نهایت صاحب سرویس ADSL میشوید . یکی از این خوان ها تهیه سخت افزار مودم است . من تجربه ها و بررسی های شخصی خود در این مورد دا نا دیده میگیرم . آبا هرکز شده است که در زمان تحویل مودم ، و یا تحویل تنظیمات پیاده سازی شده به شما ، مسئول فنی مربوطه اخطاری در خصوص تعویض نام کاربری و کلمه عبور پیشفرض مودم به شما بدهد ؟ یقینآ خیر ! شاید موارد انگشت شماری بوده اما این مورد به هیچ عنوان عمومی نیست . آیا هرگز هیچ سرویس دهنده ایی را دیده اید که به شما در خصوص ارتقاع نسخه Firmware دستگاه اخطار و یا حتی توصیه ایی نماید . بدون شک خیر !
ماجرا را از دید یک نفوذگر دنبال میکنیم :

هر ISP ، تنها مدل های خاص و محدودی از مودم ها را پشتیبانی کرده و در اختیار مشتریان قرار میدهد . بدون حتی مراجعه حضوری ، با مراجعه به وب سایت شرکت و یا یک تماس تلفنی میتوان مدل های دقیق دستگاه ها را جویا شد .

مرحله بعد ، صرف چند دقیقه وقت برای جستجوی عباراتی کلیدی مانند “XYZ Modem + Vulnerability ” است . کمتر پیش می آید که این قبیل جستجو ها به نتیجه مثبت نرسد . یکی دیگر از کلید های جستجوی بسیار مفید میتواند “XYZ Modem Default password” باشد ! زیرا تقریبآ تمامی این دستگاه ها دارای چنین نام کاربری و کلمه عبور پیشفرضی هستند . حال نفوذگر لیستی از مشکلات امنیتی و نام های کاربری پیشفرض مربوط به مدل های مورد جستجو را در اختیار دارد .

مرحله بعد ، جستجو برای شناسایی قربانی است ! محدوده های آدرس ثبت شده در بانک های اطلاعاتی سایت های WhoIs میتوانند بسیار مفید باشند . حال نفوذگر با آگاهی از محدوده آدرس ، پویش را آغاز میکند . با توجه به اینکه بسیاری از این مودم ها دارای رویه تحت وب (Web Interface) هستند ، جستجو برای IP هایی که دارای پورت باز ۸۰ هستند میتواند شروع خوبی باشد . تصویر زیر حاصل بررسی است که در حال نوشتن این پست انجام دادم . برای یک ISP متوسط ، بیش از ۱۳۰ دستگاه ، حاصل پویش یک محدوده آدرس خاص . چندان بد نیست !

 

 
همانطور که در تصویر مشاهده میکنید ، تنوع مدل های دستگاه ها بسیار کم است . نکته جالب تر در خصوص این سرویس دهنده و مودم های ان اینکه بررسی چند دقیقه ایی من نشان داد که بجز چند مورد ؛ نام کاربری و کلمه عبور پیشفرض بر روی کلیه مودم های شناسایی شده قابل استفاده بود . همچنین کلیه مودم هایی که Banner وب سرور آنها با “httpd” مشخص شده ، بصورت پیشفرض دارای یک FTP Server فعال هستند . نسخه FTP Server مورد استفاده در Firmware مودم دارای یک ضعف امنیتی جدی است که به نفوذگر امکان حصول دسترسی به سیستم را میدهد .
بسیار خوب ، نفوذگر تنها در عرض چند دقیقه موفق به فراهم کردن دسترسی به بیش از ۱۰۰ مودم ADSL گردید . مفید ترین استفاده ایی که از آنها میتوان کرد چیست ؟

بسیاری از سرویس دهندگان ADSL در کشور ، از مکانیزم PPPoE برای کنترل و دسترسی کاربران به شبکه استفاده میکنند . در این حالت هر مشترک یک نام کاربری و کلمه عبور اختصاصی دارد ، که در اغلب موارد میزان پهنای باند مصرفی و محدودیت های مربوط به آن نیز از طریق همین نام کاربری کنترل میگردد . نکته جالب آنکه در تمام سرویس دهنده هایی که من آنها را تست کردم ، هیچ محدودیتی برای استفاده از نام کاربری یک مشترک دیگر بر روی خط ADSL شما وجود ندارد . و تکرار ماجراهای سرقت اطلاعات کارت های اینترنت کاربران در چندین سال پیش ، اینبار به روایتی جدید …. !!! .
مودم های ADSL مذکور ، در بخشی از تنظیمات خود نام کاربری و کلمه عبور PPPoE Connection را نیز ذخیره میکنند که از طریق رویه وب در دسترس است . اگرچه ظاهرآ کلمه عبور مخفی شده ، اما با روشی بسیار ساده مانند مشاهده HTML Source Code صفحه تنظیمات ، میتوان آنرا بدست آورد . فکر میکنم حالا شما نیز دید بهتری در مورد اهمیت مشکلات این فبیل دستگاه ها و لزوم جدی گرفتن آنها را دارید .

 

مقاله از سید حمید کشفی


برچسب ها:,
ارسال شده در ترفند و آموزش امنيت شبكه | یک نظر »


یک پاسخ به “مشکلی جدی که جدی گرفته نمی شود!”

  1. توسط Hamid.k در مهر ۲۸, ۱۳۸۷ | پاسخ

    کپی مطلب برابر اصل تآیید می گردد !

    پاسخ سريع

نظر بدهید

به صورت خودکار کلمات فینگلیش را به فارسی تبدیل کن. در صورتی که می خواهید انگلیسی تایپ کنید Ctrl+g را فشار دهید.