KPN dongle hack

ontopic, aub

[ Voor 91% gewijzigd door IEF op 23-04-2010 14:19 ]

Idd, nogal een HK reactie..

Lucratief zal het zeker zijn, en dus ook niet onwaarschijnlijk, wel sterk van KPN dat je vebruik blijkbaar gemonitord wordt ?

Ik ben heel benieuwd hoe ze dat eigenlijk gedaan hebben.

Toevallig van de week ook iemand hierover gehoord, die had dus ook een aardige rekening aan sms opgelopen inmiddels, tot ie gebeld werd door KPN.

MEN-O schreef op woensdag 21 april 2010 @ 19:23:
Idd, nogal een HK reactie..

Lucratief zal het zeker zijn, en dus ook niet onwaarschijnlijk, wel sterk van KPN dat je vebruik blijkbaar gemonitord wordt ?

Ik weet niet de exacte details, maar kpn belde iig niet omdat ze voor 100 eur verbruikt hadden.... was wel een stuk meer. Dus op zich niet onlogisch dat ze dat opmerken.


90 eur? Dat valt nog mee, volgens mij was het bij hun eerder een faktor 10 daarvan.

[ Voor 58% gewijzigd door DJSmiley op 21-04-2010 19:28 ]

Anoniem: 127676 schreef op woensdag 21 april 2010 @ 18:34:
Na nog enige navraag, blijkt KPN al een speciaal team te hebben gevormd, aangezien er een bende Joegoslaviërs actief blijkt te zijn, die de dongles "kraakt" doordat ze op de hoogte zijn van de reeks public ip's die de KPN dongles gebruiken, en ze op de hoogte zijn van default credentials opgeslagen in de dongle.

Dit klinkt heel erg als mislukte beveiliging van de kant van KPN. Ik mag hopen dat die enorme rekingen voor SMS waar je het over hebt niet serieus door KPN in rekening gebracht worden?

Verder roept het vragen bij me op of die dongles dus van buitenaf direct te benaderen zijn... of dat ze de laptops op die publieke IP's specifiek als doel genomen hebben om vanaf die laptop die dongles te kraken.

In het eerste geval hebben we het over een serieuze fout qua beveiliging bij KPN.
In het tweede geval heb je waarschijnlijk niet alleen drie gehackte dongles, maar ook drie gehackte laptops.

Zoals ik het lees is het echt het eerste : public ip's en default credentials betekent toch van buitenaf benaderbaar imho.
Indien die credentials voor onderhoudsdoeleinden oid gebruikt worden is het gewoon enorm dom, als het username en password betreft een user error.

Lijkt wel wat op die SSH hack die op de iPhone wordt gedaan. Mensen hebben hun iPhone dan gejailbreakt, en SSH aanstaan. Hackers gaan dan bepaalde ip ranges (die horen bij mobiel internet) scannen en dan inloggen en de boel verkloten.

Maar het lijkt mij het probleem van KPN als ze achter de credentials van de dongle zijn gekomen?

MEN-O schreef op woensdag 21 april 2010 @ 19:35:
Zoals ik het lees is het echt het eerste : public ip's en default credentials betekent toch van buitenaf benaderbaar imho.
Indien die credentials voor onderhoudsdoeleinden oid gebruikt worden is het gewoon enorm dom, als het username en password betreft een user error.

Yup, de eerste keuze bestaat uit een beveiligingslek door onkunde (dongles delen een gezamenlijk default password) of slordigheid (default wachtwoorden voor dongles of het betreffende algoritme komen op straat terecht).

Die 3G dongels krijgen idd gewoon een IP toegekend uit de range van het KPN mobiele netwerk. Als die apparaten (via de KPN software die een 'server' draait) dus vanaf buiten benaderbaar zijn voor bijv. software updates en support (volgens mij zit er zo'n soort mogelijkheid in, maar niet sure) dan hoef je alleen die KPN IP range maar te scannen op de gebruikte port en je komt al die devices tegen.

Zolang je dus online bent kan er iemand remote inloggen op die kaart / in die software, en als KPN daar voor alle devices een gebruikersnaam/password combi gebruikt die misschien zelfs fabriek-af default is, dan is dat gewoon extreem dom. Dit soort beheerstools dient sowieso al behoorlijk beveiligd te zijn imo, en ook niet benaderbaar van buiten het KPN netwerk. Daarnaast lijkt het mij logisch dat je zoiets opzet met nette certificaatbeveiliging ipv een simpele user/pass.

Als ik dit zo lees hadden ze de mensen die de over-the-top #@#* beveiliging van de Experiaboxen beter op die dongles kunnen zetten en andersom...

nieuws: Bende kraakt KPN-dongles en jaagt bedrijven op kosten

[ Voor 71% gewijzigd door JBS op 23-04-2010 10:15 ]

MEN-O schreef op woensdag 21 april 2010 @ 19:23:
Idd, nogal een HK reactie..

Lucratief zal het zeker zijn, en dus ook niet onwaarschijnlijk, wel sterk van KPN dat je vebruik blijkbaar gemonitord wordt ?

KPN monitort al eeuwen-lang je verkeer, vroeger in de tikken-tijd (geen detailed billing: er liep alleen een tellertje met de verbruikte tikken a 15 of 16 cent (guldens) heette het monitor-systeem "Belhuis signalering": hiermee werd gesignalleerd dat bepaalde telefoon-aansluitingen plotseling enorm veel verkeer genereerden met name naar het buitenland (USA koste destijds zo'n 6 gulden/minuut). Handige jongens vroegen dan een gewone telefoonlijn aan, gebruikten die enige tijd gewoon en dan gingen ze die lijn gebruiken om anderen tegen een scherp tarief internationaal te laten bellen: een zogenaamd belhuis.

Idee erachter was dat de uitbaters van die lijn geen rekeningen meer betaalden, maar door goed te timen kon je makkelijk 3-4 maanden je lijn verhuren voordat die werd afgesloten. De tellers werden 1 x per maand of 1 x per 2 maanden gefotografeerd en uitgelezen, rekening opgemaakt en dan had je nog de betaaltermijnen.
Toen men later de tellers electronisch kon uitlezen ging men tussendoor de tellers uitlezen en als er plots enorm veel verkeer (tikken) gegenereerd werden vanaf een bepaalde aansluiting volgde er een belletje van KPN en een rekening tussendoor. En als die niet heel snel betaald werd ging de stekker eruit.

Nu doet men dat nog steeds vooral om fraude op te sporen: gehackte aansluitingen van particulieren die gebruikt worden om 09xx premium rate nummers te bellen in opdracht van de exploitanten van die nummers of bij mobiel het jatten van de gegevens om op andermans rekening te kunnen bellen/sms-en/data te versturen (en zonodig direct ook spam te versturen).
Initieel was het dus opsporen van fraude door de houder van de telefoonaansluiting, tegenwoordig is het vooral fraude door derden op kosten van de KPN klant..

Kan iemand even aangeven hoe je de sms-functie uitzet op zo'n ding ( heb zelf niet zo'n dongle maar is wel handig dat ik dit kan doorgeven binnen het bedrijf voor diegene die het wel hebben ) ?

Ik bedoelde er eigenlijk mee te zeggen dat het me verbaasde dat KPN zelf actief naar klanten toe actie onderneemt, dat ben ik eerlijk gezegd niet van ze gewend, misschien is eea al bekend bij de dames en heren..

Een uitgebreidere verklaring van KPN, strookt niet met het verhaal van Bushmaster (en daarom hoor ik graag van Bushmaster wat hij precies van KPN heeft gehoord): nieuws: KPN: alle laptops met internet kwetsbaar voor 'donglehack'

Is het geen idee om het mobiele nummer wat gebruikt wordt aan te melden bij het SMS diensten filter?

Vaak kan je met de bijgeleverde software van zo'n dongel ook SMS sturen. Door eenmalig 25 cent te betalen voor het activeren van het filter kan je daarna een hoop ge-emmer voorkomen.

Hoe zeker is het dat het hier gaat om software op de PC die via de SMS-functionaliteit berichten verstuurt? Ik heb de laatste dagen namelijk nogal wat rare dingen zien gebeuren met een dongle die ik in beheer heb. Soms valt de verbinding weg of is deze "flatline" en op andere momenten kan er helemaal geen verbinding gemaakt worden. Nou zou dat heel goed door gare hardware/software/netwerk van KPN kunnen komen, maar wellicht is er iemand een honeypot-actie aan het houden is waarbij via OTA gehackte firmware erop gezet wordt?

Ik heb de beide nieuwsberichten wat gelezen en ook dit topic volledig gelezen en heb sterke bedenkingen bij het laatste nieuwsbericht van KPN.

In eerste instantie wordt hier melding gemaakt (en in het nieuwsbericht) van een heel laks gebruik van publieke IP adressen bij verschillende KPN dongles en dit in combinatie met een standaard pincode die iedereen kent (0000). Hierbij ligt de fout duidelijk bij de nalatigheid van KPN: ze zetten een slecht beveiligd product op de markt.

Nadien (2de nieuws artikel gemaakt door de PR-afdeling van KPN), komt er plots de melding dat "alle" laptops slecht beveiligd zijn. Ze proberen het probleem te verschuiven naar de klant die nalatig zou zijn. Uit de reactie van arnoudwokke maak ik op dat ook hij denkt dat er iets niet klopt, maar ik vind het nogal sterk dat het artikel zomaar zijn weg naar de frontpage vindt en dat nadien pas vragen gesteld worden bij de correctheid ervan.

Volgens mij is dit pure PR-praat van KPN en ligt het volledige probleem bij KPN zelf, de reden waarom ik dit denk is omdat in het tweede artikel NIETS voorkomt over de standaard pincodes en de publieke IP adressen. De beveiliging van alle laptops die zo'n dongle gebruiken heeft geen invloed op het feit dat die toegangscodes (PIN codes) bij iedereen bekend zijn EN dat de toegangspoorten (hoe kan ik toegang krijgen tot de dongle zonder eerst toegang te krijgen tot de laptop; lees= de beveiliging van de laptop te omzeilen/kraken) publiek beschikbaar zijn (IP adressen).

Anoniem: 127676 schreef op woensdag 21 april 2010 @ 19:44:
Zover ik van KPN begreep was het echt een hack "in" de dongle.
de range public ip's die KPN gebruikt, zou worden gescanned, en tijdens de hack zouden de "daders" ook niet verder komen dan de dongle zelf.
Laptop (software) heb ik na gekeken, maar niets raars op aangetroffen.
KPN adviseerde om de SMS mogelijkheid van de dongles/sim te laten blokkeren (snap ubehaubt niet wat die daar doet?)

Ik wacht met spanning op de rekening van komende maand

Wanneer mogen we een tegenbericht op de FP verwachten of een update zien van het tweede nieuwsartikel waarin duidelijk gesteld wordt dat KPN ons iets probeert wijs te maken?!

[ Voor 14% gewijzigd door jan_va op 24-04-2010 09:32 ]

@jan_va

Dat 'tegenbericht' kun je inmiddels vinden op de frontpage: nieuws: 'KPN-klanten gehackt door beveilingslek in firmware dongles'

Ik wil uiteraard wel benadrukken dat het mijn werk is om kritische vragen te stellen en de antwoorden op te tekenen: de conclusie of de verklaring van KPN al dan niet klopt, laat ik volledig aan de lezer/forumbezoeker over. Iedereen die hier komt is vermoedelijk wijs genoeg om zijn eigen conclusies te trekken.

Ik snap je opmerking dat het tweede bericht uit de 'PR-koker' van KPN komt: in journalistieke termen is dit echter niets meer dan wederhoor: in het eerste bericht stond een voor KPN alarmerend probleem omschreven, zonder dat ze een adequate reactie konden geven. Die gelegenheid heb ik gegeven met een tweede bericht. Overigens heb ik ook getracht om andere bronnen aan te boren voor informatie, maar dat lukte niet voor publicatie van dat tweede artikel. Dat maakte een derde artikel nodig

Opvallend is wel dat mijn bronnen - twee die diep in de materie zitten en nog wat meer die er zijdelings bij betrokken zijn - vanuit totaal verschillende hoeken precies hetzelfde verhaal vertellen: een beveiligingsfout in de firmware zorgt ervoor dat hackers toegang hebben tot de sms-functie. En die beveilingsfout is te verhelpen door een firmware-update (die inmiddels al is gemaakt).

Aan de andere kant beweert KPN met klem dat remote access tot de dongle niet mogelijk is: het moet via de computer. Als je aanneemt dat dat waar is, is het verhaal dat een virus of trojan op de computer moet staan niet eens ongeloofwaardig.

Ook allebei de verhalen zouden kunnen kloppen: het virus of trojan is nodig voor toegang tot de computer en door een fout in de beveiliging van de firmware kan iedereen zomaar toegang krijgen tot de sms-functie van de dongle.

Kortom: er zijn veel scenario's mogelijk. Uiteraard blijf ik dit verhaal nauwgezet volgen en hoop ik meer info te verkrijgen

arnoudwokke schreef op zaterdag 24 april 2010 @ 11:10:
En die beveilingsfout is te verhelpen door een firmware-update (die inmiddels al is gemaakt).

Waar kan ik die dan vinden? Ik heb nog nergens concreet gelezen hoe ik het probleem nu kan voorkomen. Wij hebben ca. 8 van die kaarten in gebruik.

Standaard PIN code wijzigen voor nu voldoende?
En verder uiteraard de standaard beveiliging van de laptops op orde hebben (firewall/virusscanner).

Waar ik vooral benieuwd naar ben is, naar welk nummer zijn de sms'jes verzonden.

Kort geleden is dat ook bij mijn T-mobile dongle gebeurd.
Ik had namelijk zo'n oude orange abo kaart in mijn dongle gestopt. T-Mobile Internet Manager opgestart en nog geen minuut later krijg ik opeens allemaal sms-jes van 3344.
Zie screenshots: http://img10.imageshack.us/img10/1194/sms2.jpg
http://img535.imageshack.us/img535/3002/smsv.jpg
Het kwaad was al geschied en hoopte dat het op zou houden. Maar helaas, het bleef doorgaan, dat ik na 5 minuten maar de dongle eruit heb getrokken.

Ga je de telefoonrekening bekijken: http://pdfcast.org/pdf/t-mobile-factuur
Dan zie je dat er in half uur bijna 600! sms'jes zijn verzonden naar 126.
Aangezien de 3344 sms dienst toebehoort aan Orange, lijkt me niet, dat mijn dongle is gehackt door Oost-Europese hackers. Wat ik vermoed is dat er een bug in die Huawei dongles zit, waardoor ze vanuit zichzelf sms-jes verzenden.

Wat ik raar vind, is dat de medewerkers die in de TS staan, helemaal niks in de gaten hebben gehad. Als ik een sms'je ontvang op mijn dongle, dan verschijnt er telkens een melding dat ik een nieuw sms-je heb ontvangen.

DyStiC schreef op zaterdag 24 april 2010 @ 13:15:
[...]

Waar kan ik die dan vinden? Ik heb nog nergens concreet gelezen hoe ik het probleem nu kan voorkomen. Wij hebben ca. 8 van die kaarten in gebruik.

Standaard PIN code wijzigen voor nu voldoende?
En verder uiteraard de standaard beveiliging van de laptops op orde hebben (firewall/virusscanner).

Ik heb geen idee hoe die firmwares normaal verspreid worden, anders kun je contact opnemen met je leverancier hierover.

KPN ontkent nog altijd dat er iets mis is met de beveiliging van de Mobiele Internet Kaart 820 en geeft alleen nog het advies om je laptops goed te beveiligen. Dat is uiteraard sowieso een goed plan. En het veranderen van de standaardpincodes kan waarschijnlijk inderdaad dit gelazer voorkomen, maar daar hoor je mij geen garanties op geven. Het veranderen van de standaardcodes is bij welk product ook uiteraard een uitstekend plan en in dit geval zeker

@hoekan Ik weet niet welke shortcode ze precies gebruiken: KPN heeft daar niets over gezegd. Ik heb gegronde redenen dat het niet gaat om de filedienst van Orange (wat nog klinkt als een nuttige dienst)

[ Voor 9% gewijzigd door arnoudwokke op 24-04-2010 16:13 . Reden: Reply aan Hoekan toegevoegd ]

arnoudwokke schreef op zaterdag 24 april 2010 @ 16:11:
[...]

@hoekan Ik weet niet welke shortcode ze precies gebruiken: KPN heeft daar niets over gezegd. Ik heb gegronde redenen dat het niet gaat om de filedienst van Orange (wat nog klinkt als een nuttige dienst)

Ik beweer ook niet, dat TS fileinformatie van Orange heeft ontvangen.

Wat mij echt interesseert, van welke shortcode heeft TS de sms'jes ontvangen.
Als die sms'jes van een groot Nederlands bedrijf afkomstig is(zoals in mijn geval), dan is het heel onwaarschijnlijk dat daar een Oost-Europese bende achterzit. (Zo'n criminele bende kan namelijk niet effe zo'n Nederlandse sms-dienst opzetten, en als ze dat toch hebben opgezet, dan valt er voor hun geen geld te verdienen, aangezien KPN, zo'n dienst vrij snel uit de lucht kan halen.)

Als TS allemaal betaalde buitenlandse sms'jes heeft ontvangen, dan is het wel geloofwaardig, dat daar een buitenlandse bende achterzit.

En bij je sms-inbox van je software staan daar geen sms'jes.

Als daar geen sms'jes staan, is dat heel vreemd. Aangezien elke ontvangen sms'jes automatisch in die inbox terechtkomt.

Ik lees allemaal items over pin-codes van je sim, maar nergens op welke wijze er exact toegang tot de dongel wordt verkregen.

Is het dan zo dat zodra de dongel een internetverbinding heeft er op de dongle een service draait waarop ingelogd kan worden ( á la telnet of ssh) die zelfs buiten een firewall om gebruikt kan worden? En zou dan de sim-pin gebruikt worden als password?

Of is het zo dat zodra je het KPN-Dashboard opent (en je hebt je firewall op je pc niet of slecht geconfigureerd) dat daardoor via die interface met de onderliggende API's van het Dashboard kan worden verbonden om te SMSen?
Het KPN-Dashboard is ten slotte een interface die van de IE-renderingengine gebruik maakt, en die connect dan waarschijnlijk aan de dashboard-webserver.

Ben benieuwd wie meer inside-info kan geven over dit issue

zzzzap schreef op maandag 26 april 2010 @ 10:56:
Ik lees allemaal items over pin-codes van je sim, maar nergens op welke wijze er exact toegang tot de dongel wordt verkregen.

Is het dan zo dat zodra de dongel een internetverbinding heeft er op de dongle een service draait waarop ingelogd kan worden ( á la telnet of ssh) die zelfs buiten een firewall om gebruikt kan worden? En zou dan de sim-pin gebruikt worden als password?

Of is het zo dat zodra je het KPN-Dashboard opent (en je hebt je firewall op je pc niet of slecht geconfigureerd) dat daardoor via die interface met de onderliggende API's van het Dashboard kan worden verbonden om te SMSen?
Het KPN-Dashboard is ten slotte een interface die van de IE-renderingengine gebruik maakt, en die connect dan waarschijnlijk aan de dashboard-webserver.

Ben benieuwd wie meer inside-info kan geven over dit issue

Ja hier sluit ik me volledig bij aan. Er raar dat er zo weinig informatie over verstrekt wordt, bellen naar de KPN business helpdesk is, zoals ik al had verwacht, zonde van je tijd want daar weten ze nergens van.