Veel ADSL'ers kwetsbaar door standaard wachtwoord

Dat een deel van ADSL-gebruikend Nederland niet de kennis heeft (of moeite neemt) om het standaard wachtwoord van zijn modem te veranderen zal voor weinig tweakers een verrassing zijn, maar volgens onderzoek van GeenStijl is de situatie vrij ernstig. Het weblog scande van alle grote Nederlandse providers een drietal subnets en vond achter gemiddeld 6,7% van de ip-adressen een slecht geconfigureerd modem. Het zou daarbij vooral gaan om apparaten met een Conexant-chipset, waaronder de goedkopere modellen van E-tech en Sweex. Op basis van deze steekproef concludeert men dat er in Nederland minstens 80.000 kwetsbare ADSL-modems staan verspreid. Wanneer een kwaadwillend persoon inlogt op zo'n modem kan deze de configuratie overhoop gooien, waardoor bijvoorbeeld de internetverbinding kan uitvallen. Het grootste gevaar is echter dat de ingestelde DNS-server wordt veranderd. Met deze truc kan het adres van een legitieme site namelijk gekoppeld worden aan een malafide server met een nagebouwde versie ervan. Op deze kopie kunnen vervolgens gegevens zoals cookies, wachtwoorden en creditcardnummers van de slachtoffers worden ontfutseld (het zogenaamde phishing).

Conexant 4 port ADSL Router De mate waarin de problemen zich voordoen verschilt per provider. KPN bijvoorbeeld levert standaard Alcatel-modems die recht uit de doos wel goed beveiligd zijn. Bij Xs4all was ook niets te vinden, en daarnaast kwam Wanadoo er goed vanaf. Bovengemiddeld negatief is de score van Versatel, dat tegenwoordig standaard E-tech-modems levert bij nieuwe abonnementen. Zowel Versatel als de Waarschuwingsdienst van de overheid zijn op de hoogte gesteld van de bevindingen, en laatstgenoemde heeft al laten weten dat er binnenkort een officiële melding de deur uit zal gaan via zijn mailinglist.

Ondertussen adviseert men iedereen met ADSL zijn modem te controleren en bij gebrek aan kennis contact op te nemen met de helpdesk. Verder pleit men voor betere en pro-actieve voorlichting over dit gevaar van de providers zelf. Het lijkt erop dat in sommige gevallen meer actie nodig is dat het instellen van een wachtwoord. Een recente gevonden fout in een deel van de Conexant-software stelt mensen namelijk in staat om bepaalde soorten modems van buitenaf terug te gooien naar de fabrieksinstellingen, zodat ook het standaard wachtwoord weer ingesteld staat.

IT-banen

Reacties (98)

Sluuut 16 februari 2005 19:05

Maar hoe kan je dan vanaf buiten inloggen op de router? Als je vanaf een extern ip op internet naar een ip connect, dan stuurt de router het toch sowieso door naar de pc..?
Dat stukje heb ik nooit helemaal begrepen van routers via internet hacken

Verwijderd @Sluuut • 16 februari 2005 19:09

Als je modem als router ingesteld staat, heeft hij een eigen IP. Alleen die poorten worden naar je computer gemapped die jij in je NAT-tabel hebt opgenomen.
Een beetje router zorgt er vervolgens voor dat hij alleen mensen uit het interne netwerk de mogelijkheid geeft tot inloggen, maar de goedkopere routers doen dat blijkbaar niet.

Maar ik dacht dat een gemiddelde modem gewoon als Bridge stond ingesteld. Dan valt er inderdaad weinig aan te spreken vanaf het internet lijkt mij.

adoy

@Verwijderd • 16 februari 2005 19:11

@nokko :
Waarom ben jij blij met je Speedtouch router? Niet zomaar dingen in de lucht gaan roepen...

Je kunt namelijk volgens mij bij alle routers remote inloggen of de configuratie veranderen, alleen bij de wat betere staat dit standaard uit...

mazzl @adoy • 17 februari 2005 08:54

lees ff geenstijl .. daar staat het goed uitgelegd.
je kunt dus gewoon een telnet sessie openen naar die modems en dan de dns etc aanpassen

Frietsaus @adoy • 16 februari 2005 21:47

Whehe sja wat moet ik er nog meer bij zetten.

MrSpacely @adoy • 17 februari 2005 00:38

"namelijk volgens mij"

sorry maar dat is hete lucht

Als je iets niet zeker weet laat het dan weg.
Het configureren van de modem (nouja bijna niks)
gaat buiten het tcp protocol om het gaat om het gaat met pppoa of iets dergelijks daar komt de snelheids instelling en wat frequentie settings doorheen.

Dingen zoals dns ip adres etc gaan niet via dit systeem.

Het ip adres komt gewoon via dhcp en dat wordt niet via de routers van je provider doorgestuurd.

en je kan bij deze speedtouch dingen niet via de web interface toegang vanaf de pppoa interface toekennen.

(ik heb het niet getest in de telnet interface maar ik denk dat het daar wel kan als ik de instellingen zie(het toekennen van toegang vanaf de pppoa interface))

Wat ze hier bedoelen is dat er standaard wachtwoorden op niet zo voor de handliggende plekken veranderd moeten worden(zoals telnet als deze een ander wachtwoord heeft)

Die van alcatel speedtouch 510(i) die heeft niet verschillende je kan wel verschillende gebruikers aan maken maar als je 1 veranderd werken deze account ook van beide interfaces

Verwijderd @Verwijderd • 16 februari 2005 19:27

ik wil niet zeuren maar ik heb zo'n goedkoop sweex ding en versatel adsl ( los van elkaar gekocht ).
En ik kom er echt niet in vanaf internet hoor

edit: Wat adsl2 net zegt: als je die poort dicht hebt, no problem

Cobalt @Sluuut • 16 februari 2005 19:08

Bij sommige modem/routers kan je ook van buiten inloggen via het ip dat je krijgt toegewezen van je provider.

ShellGhost @Sluuut • 16 februari 2005 20:44

Je kan meestal via een telnet sessie van buiten naar je router connecten...
Zo doet zonnet/versatel het om de router/modem config aan te kunnen passen...
En ik neem aan dat de meeste gebruikers niet de telnet port (23) laten verwijzen naar een niet bestaand ip adres via NAT...

MBV @ShellGhost • 16 februari 2005 23:59

*SLIK* En ik dacht dat ik goed zat... Als je het wachtwoord verandert voor je webinterface, verandert telnet niet standaard mee voor zover ik weet.

En sinds wanneer weet zonnet dat e-tech bestaat? Jaar geleden probleem ermee gehad: "belt u maar naar e-tech". 1,50 per minuut, maar perfect geholpen.

* 786562 MBV

MrSpacely @ShellGhost • 17 februari 2005 00:41

zonnet gaat de router niet instellen voor jouw hoor.

ze hebben meer te doen.
Settings voor de modem zelf over de snelheid/frequentie/protocol worden gestuurd buiten tcp om gaat beetje moeilijk dat via telnet te doen dan.

Wat wel kan kloppen is dat telnet standaard op staat maar niet voor zonnet. Dat is gewoon een foutje daar gaat dit artiekel ook over dat het niet de bedoeling is

Verwijderd @Sluuut • 16 februari 2005 20:32

of je gaat met je flaptopje aan de wandel en zet je WLAN aan, je kunt je dr nog over verbazen hoeveel onbeveiligde draadloze netwerken dr zijn...

nuclear waste @Verwijderd • 16 februari 2005 21:52

Ik begrijp niet dat jouw post overbodig gemod is, want via Wlan kun je op het interne netwerk komen, waardoor 'het probleem' met inloggen van buitenaf helemaal van de baan is.

Want je denkt toch niet dat mensen die hun wachtwoord van hun router zelfs niet veranderen dat die ook maar iets van draadloze beveiliging hebben, terwijl toch meer en meer mensen draadloos gaan.

<div class="b4" style="position: relative; color: black; border: #C6C1B4 1px solid; width: 80%; padding: 5px; font-size: 12px;"><span style="color: C00042;">Admin-edit:</span>
Het reageren met betrekking tot de moderaties binnen een reactie-draad is onwenselijk en offtopic.

Opmerkingen over onterechte moderaties zijn beter op hun plaats in het Tweakers.net Moddereter Forum; klachten over moderaties worden daar behandeld en wanneer mogelijk rechtgezet, of anders zal de gekozen moderatie onderbouwd worden.
</div>

Frank-NL

16 februari 2005 19:23

In eerste instantie dacht ik bij de titel aan de standaardwachtwoorden van Planet Internet. Deze zijn (naar mijn bevindingen) standaard "Inlognaam01" en de meeste mensen veranderen dit niet. Ook een makkelijk doelwit!

alfatrion @Frank-NL • 16 februari 2005 19:58

Het wachtwoorden systeem (voor je gegevens en dergelijke) van planet vond ik erg appart. Je moest minstens een of twee cijfers gebruiken. Ik denk voor de veiligheid. Je mag echter niet meer dan acht tekens gebruiken. Te veilig?

sarinsarin @Frank-NL • 17 februari 2005 08:04

Inlognaam01 is al lang niet meer het standaard wachtwoord van Planet Internet, het is nu altijd een random wachtwoord van 8 tekens, met (hoofd)letters en cijfers.
Vroeger (nou ja vroeger) was het idd wel inlognaam01

PipoDeClown 16 februari 2005 19:20

hebben ze de scans in samenwerking cq. met goedvinden van een bepaalde instantie of met de isp's?

zo niet, dan denk ik dat geenstijl zelfs aangeklaagd kan worden.

of is het niet strafbaar jezelf ergens toegang te verschaffen wanneer je daar geen recht toe hebt?

daarentegen juich ik het toe dat dit soort dingen (slechte beveiling bijv.) aan het licht worden gebracht.

Verwijderd @PipoDeClown • 16 februari 2005 20:06

Bij wet is het portscannen niet verboden.

Wel hebben veel ISP's het verbod in hun voorwaarden opgenomen.

Uit hun artikel lees ik ook dat ze de scans niet zelf hebben uitgevoerd maar dat ze dat hebben laten doen.

Daarnaast zijn er wel manieren om te voorkomen dat een poortscan ontdekt wordt.

kodak

Bedrijfsnieuws

@Verwijderd • 16 februari 2005 22:43

Niet alleen het scannen is gebeurt, ook het proberen toegang te krijgen met standaard toegangscodes.
Afgezien van wie het scannen gedaan heeft: het zonder toestemming proberen toegang te krijgen tot systemen is bij wet wel verboden.

Verwijderd @kodak • 17 februari 2005 00:09

Voor het onbevoegd krijgen van toegang moet er, volgens de wet, wel een minimale vorm van beveiliging aanwezig zijn zoals bv een wachtwoord.

Is er geen vorm van beveiliging aanwezig dan is de toegang niet onbevoegd.

Een ping of het controleren of een poort open is valt dus niet onder het onbevoegd toegang verschaffen tot een computer. Je kunt het vergelijken met het aanbellen bij een huis.

Als je het stukje op geenstijl nog eens aandachtig doorleest kun je zelf ook concluderen dat zij alleen praten over het scannen van de poorten.

Geenstijl trekt de conclussie dat als poort 23 bereikbaar is hij ook kwetsbaar is. Dat hoeft natuurlijk niet zo te zijn volgens de theorie van Geenstijl. De eigenaar kan een ander wachtwoord ingesteld hebben.

Wel ernstig is dat de meeste Conexant routers gebruik maken van een zelfde basis software die door verschillende leveranciers verder wordt uitgebreid maar vaak wel een vast masterpassword hebben net als veel biossen. Het enige wat je daartegen kunt doen is remote access dichtgooien aan de wan zijde.

Geenstijl heeft het probleem net ondekt maar het bestaat al een tijdje.

LooP @Verwijderd • 17 februari 2005 08:37

Erm,.. volgens mij is het standaard wachtwoord "1234" ook een wachtwoord en is dit dus wel een minimale vorm van beveiliging.

(niet rot bedoeld maar toch)..

Edwin van Cleef 16 februari 2005 19:42

Toen ik voor de eerste keer een webserver online wilde zetten met mijn alcatel kregen mensen ook een inlogscherm te zien ipv mijn website.
Als je de standaard configuratietool gebruikt die erbij geleverd zit kan je een inlognaam en wachtwoord instellen.
Dus mensen die dit nalaten of slecht doen hebben het voor het grootste deel aan zichzelf te danken.
ik heb inmiddels mijn modem beveiligd tegen pingen en alle belangrijke poorten doorgestuurd naar een niet bestaand intern IP adres.
Mensen die op mijn ipnummer een trace uitvoeren zullen alle packets lost zien.
Het kost in mijn ogen hooguit 15 minuten werk om alles goed voor elkaar te hebben.
Als je zoveel tijd in internetten besteeds kan je die tijd er ook wel voor vrij maken om alles goed in te stellen.
Maar dat is louter mijn mening.
verder denk ik overigens niet dat er hier nog mensen zijn op tweakers die een standaard inlognaam als admin gebruiken of iets dergelijks.

Verwijderd @Edwin van Cleef • 16 februari 2005 19:57

Ja, je kunt het prima zelf configureren. Maar vertel jij me nou maar eens waarom je überhaubt vanaf het internet moet kunnen inloggen op je modem. Bij mij kun je namelijk alleen maar vanaf je eigen interne netwerk inloggen op die modem. Vanaf het internet krijg je echt nooit de vraag of je een wachtwoord wilt intikken.
Het is dus eerder stom van de ontwikkelaars van die modems.

Dennizz @Verwijderd • 16 februari 2005 20:34

voor veel goedkope modems is dit natuurlijk niet van toepassing...

maar ik werk bij een bedrijf wat firewalls/routers extern beheerd...zodat die bedrijven niet de kennis zelf in huis hoeven te hebben...je kunt wel nagaan hoe moeilijk ons werk zou zijn als zulke opties niet zouden bestaan.

overigens draaien wij overal accesslists/permitted ip instellingen op waardoor je al vanaf het juiste ip adres moet komen om uberhaubt de inlogpagina/ssh/telnet te krijgen.

edit:
E-mail vertel dat maar eens aan het gemiddelde beheerpakket wat de fabrikant uitbrengt

ow je bedoelt dat je die poorten op het externe ip van de router direct doornat naar dezelfde poorten op interne interface ? maak dan gewoon een enable functie voor e externe zijde in plaats van zoeen omweg...zoals overigens het merendeel al heeft.

Verwijderd @Dennizz • 16 februari 2005 20:58

De routers kunnen toch gewoon http/telnet/ssh server op intern lan interface draaien? Als je dan zo graag extern wil beheren maak je een NAT rule: poort 80/23/22 naar intern lan ip.

Verwijderd @Dennizz • 16 februari 2005 21:30

Nu, als je als ontwikkelaar bij Sweex denkt dat mensen ook Sweex-modems gaan toepassen voor dergelijk geavanceerd gebruik, mag zichzelf wel eens achter de oren krabben. Sweex heeft een totaal andere doelgroep.

Maar dan nog, zoals E-mail zegt kun je altijd nog SSH doormappen naar het interne netwerk, zodat je alsnog vanuit het interne netwerk de modem aan kan spreken. Ook al zit je ergens anders.

Mocht het handig zijn om remote interface aan te hebben, vooruit, maar nooit als default.

jurjen_g @Verwijderd • 18 februari 2005 09:55

Maar dan nog, zoals E-mail zegt kun je altijd nog SSH doormappen naar het interne netwerk, zodat je alsnog vanuit het interne netwerk de modem aan kan spreken. Ook al zit je ergens anders.

Je kan alternatief ook een VPN connectie maken, zodat je op het interne LAN zit. Moet je wel een servertje hebben staan die de VPN connectie regelt.

To_Tall

@Verwijderd • 17 februari 2005 14:09

simple.. ik woon nu nog thuis. binne kort ga ik op me zelf. als er nu wat gebeurd met het netwerk thuis. maar me router is nog wel verbonden met internet.

kan je vanaf remot control toch ff kijken of echt alles in de router goed staat.
dit kan je ook voor kennise, famielie exc doen.

TD-er

16 februari 2005 22:07

Ben ik nou de enige die dit bericht met enige argus-ogen bekijkt omdat de bron "GeenStijl" is?
Tuurlijk is het mogelijk dat wanneer je router open staat, dat je zaken als DNS-server kunt aanpassen zodat phishing wel heel erg waarschijnlijker is geworden.
Maar GeenStijl zou GeenStijl niet zijn, wanneer ze ergens in de loop van deze week nog aangeven dat ze helemaal geen steekproef gedaan hebben, behalve die dikke duim in de mond steken en die proeven.

Verwijderd @TD-er • 16 februari 2005 23:06

Het concept van Geenstijl is wel iets serieuzer geworden dan in hun eerste jaar van hun bestaan. Ik verwacht dan ook dat dit waarheid is. Maar misschien is er iemand met een dergelijke modem die het kan bevestigen?

Tortelli

16 februari 2005 19:07

Ligt er aan hoe je hem geconfigureerd hebt, maar je kunt op b.v. mijn linksys zo van buitenaf komen als je hem verkeerd instelt

Verwijderd 16 februari 2005 22:14

ik werk bij een computer zaak en de helft van de mensen die een router koopt of bijvoorbeeld een annex a modem router komt er niet uit met instellen
de meeste mensen zijn al blij genoeg als ze dat ding aan de praat hebben en zitter er dan verder niet aan ze begrijpen al helemaal niks van die andere instellingen

wh1t3 sh4d0w 17 februari 2005 01:30

Mijn speedtouch is volkomen veilig zonder er iets aan te veranderen hoor

Alcatel speedtouch 510 i laat bij mij alleen maar verbindinggen toe vanaf de WAN kant... Al het andere verkeer wordt door de firewall met de NAT table als soortement ruleset gefiltered...

Zyxel modems die een dochteronderneming van Tiscali (naam kwijt) uitdeelde hadden het wel... default passes en default firewall uit

Dus, scan je aars eraf in de tiscali range ^^

De normale KPN gebruikers hoeven zich denk ik weinig zorgen te maken, mijn router stond iig default veilig

[edit] Baby XL was het geloof ik

Verwijderd 16 februari 2005 19:23

Je kunt alleen remote bij een modem als je remote admin (poort 8080) openzet. Anders kun je alleen maar vanaf je intern netwerk op je router komen.

Dus of dit staat default aan ( wat ik betwijfel ) of de gebruikers hebben het zelf opengezet en ja dan kan bijna iedereen simpel in je router komen.

Zoek je nog specifieke hulp voor het instellen van je modem/router dan zullen we je hierbij helpen.
Je kunt terecht op http://www.adslgg.nl/

Verwijderd @Verwijderd • 16 februari 2005 21:03

Je kunt alleen remote bij een modem als je remote admin (poort 8080) openzet. Anders kun je alleen maar vanaf je intern netwerk op je router komen.

Oh ja ? Ik kan via internet (!) via telnet (!!!) bij mijn router komen (CopperJet 816-2P Router VoATM). Gelukkig heb ik wel het wachtwoord aangepast, zoals BBned ook aanraadt, maar toch. Ik kan telnet authenticatie helaas nergens uitzetten.

Dus jouw poortverhaal gaat niet altijd op.

Verwijderd @MrSpacely • 17 februari 2005 11:27

Gast, waar lul je over ?

Iemand zegt dat iets "*altijd* zo is, en ik bewijs dat het niet zo is. Ga de thread maar eens lezen en kom terug als je begrijpt waar je over blaat.

objectief2 16 februari 2005 19:19

Wat mij een goed idee zou lijken is bij aanvraag van ADSL bij de provider een goed stuk documentatie van specifiek het modem mee te sturen.

Een gebruikershandleiding van het modem en de mogelijkheden ervan was in mijn geval nl niet aanwezig. Wel allerlei dingen van KPN e.d., maar juist waar het betreft het modem had ik wel meer willen ontvangen.

Oja, voor er mensen op reageren. Het is daarna natuurlijk ook de bedoeling dat het gelezen wordt, en ik ben me ervan bewust dat niet iedereen dat zal gaan doen. Maar alle kleine beetjes zijn meegenomen

sab @objectief2 • 16 februari 2005 20:03

Grappenmaker. Nog afgezien van of mensen het lezen, hoeveel procent denk je dat het nog feitelijk begrijpt ook?

Verwijderd @objectief2 • 17 februari 2005 08:05

Mensen die geïnteresseerd zijn in dat soort informatie vinden het zelf wel. 95% van de gebruikers is slechts geïnteresseerd in één ding: na het aansluiten van een paar kabels moet het gewoon werken. Met andere woorden: het zou een goed idee zijn als de ISP's wat meer moeite deden en de modems standaard veilig ingesteld leveren...

aswelter @objectief2 • 17 februari 2005 19:52

Ik heb toch echt e-tech moeten bellen om de default passw te krijgen en dus te wijzigen

thegve @objectief2 • 17 februari 2005 23:23

Ik heb mijn adsl abbo met zo'n usb modempje gekregen, en er zelf later nog een (e-tech....) routertje bijgekocht. Wat mij juist handig lijkt is een a4'tje, waarop in arial 14, met een witregel er steeds tussen een simpel "getting started" paginaatje komt. In principe moet je gewoon de adsl gegevens invullen, toegang vanaf buitenaf verbieden en standaard pass veranderen, dat is alles wat je er zelf aan kunt doen. Als je dat duidelijk in helder nederlands op een a4'tje zet denk ik dat veel mensen die moeite nog wel willen nemen, zeker als je begint met beveiliging en later pas de adsl instellingen doet, want als het werkt houden veel mensen natuurlijk al op.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (98)

Sorteer op:

Weergave: