Weak Password уразливість в Укртелекомі
23:51 15.06.2010Нещодавно я розповідав про DoS атаку на користувачів Укртелекому. А зараз розповім про одну цікаву уразливість в Укртелекомі, про яку вже давно планував розповісти. Яка є передусім локальною уразливістю, але яка пов’язана з Інтернет послугою Укртелекому.
У березні, 22.03.2007, я знайшов Weak Password уразливість в Укртелекомі. Що має місце в послузі “ОГО” по доступу в Інтернет від Укртелекому. Дану уразливість я виявив одразу, як підписував договір з Укртелекомом (безпосередньо в їхньому центрі) і одразу про неї повідомив представикам компанії. На що вони забили , проігнорувавши мої аргументи.
Опис даної уразливості стосується абонентів Києва, в інших містах та регіонах України можуть деякі деталі відрізнятися, але суть буде та сама. Уразливість полягяє в тому, що легко можна дізнатися логін та пароль користувача для доступу в Інтернет, знаючи його номер телефону.
Weak Password:
Стандартна схема генерації логіну та паролю для користувачів “ОГО” (де xxxxxxx - це номер телефону користувача):
Логін: kv_xxxxxxx@dsl.ukrtel.net
Пароль: xxxxxxx
Дані логін й пароль видаються Укртелекомом і безпосередньо в їхньому центрі змінити це не можна. Як мені пояснили представники компанії, пароль (тільки пароль) можна змінити через їхній сайт, тому вони не переживають за дану уразливість. Але як я тоді перевірив, процес зміни паролю більш складний, ніж мені описували представники компанії. Та й мало хто буде цим займатися - змінювати свій пароль (тим паче, що процес ускладнений), як я їм пояснив. Але вони не дослухалися, тому й по сьогодні дана уразливість актуальна.
Це локальна уразливість. Віддалено використати її не вийде (щоб підключитися в Інтернет від іншої особи з іншим телефоном), бо при з’єднанні перевіряється не тільки логін і пароль, але й телефон з якого йде дзвінок. Хоча й тут є потенційний варіант. Можливості атаки з використанням даної уразливості:
1. При фізічному доступі до комп’ютера (наприклад, маючи акаунт або використавши чужий аккаунт, дізнавшись чи вгадавши пароль), коли для поточного акаунта немає збереженого паролю для Інтернет з’єднання. Тоді можна визначити логін і пароль по вищезгаданій схемі та отримати доступ до Інтернет.
2. При фізічному доступі до телефону (наприклад, прийшовши з ноутбуком, з власним ADSL-модемом, чи використавши модем даного користувача “ОГО”). Тоді можна отримати доступ до Інтернет.
3. Віддалений варіант (потенційний). Можна провести атаку на модемний пул Укртелекому, з використанням визначених логіну та паролю, та спеціального модему, що може вказувати довільний зворотній номер (тобто обманювати АОН). Це потрібно робити з телефону, що відноситься до тієї ж АТС, що і телефон жертви, за чий рахунок потрібно отримати доступ до Інтернет. Це потрібно для надійності, що атака спрацює.
Середа, 01:37 16.06.2010
сам на це звертав увагу робітників УТ коли підключався до них )
Середа, 10:27 16.06.2010
Доречі стосується не тільки мешканців Києва та області, баг старий.
Середа, 21:44 16.06.2010
spayder
Я ще з листопада 2006 року знаходжу дірки на сайтах чи в телекомунікаційних послугах Укртелекому, про які їм повідомляю і які вони ігнорують. Тому після того, як в березні 2007 я знайшов дану дірку і вони на неї забили, одразу як їм повідомив, то я зрозумів, що вони повні діродєли. І всі наступні дірки в Укртелекомі знайдені мною тільки це підтвердили .
От ти звернув їхню увагу на це і що в результаті - теж проігнорували (навевши несерйозні аргументи). Це якщо вживу їм про дірки повідомити, а якщо по ємайлу - то просто ігнорують дані листи. Так що вони постійно забивають на всі повідомлення про проблеми з безпекою в них. І до сих пір нічого не змінилося.
І те, що ти і я (і ще деякі люди) на цей аспект звернули увагу, то це рідкість - більшість людей на це не звертають уваги. З 2007 року я розповідав в приватних бесідах деяким користувачам “ОГО” про дану уразливість і ніхто з них на цей аспект уваги не звертав, просто користувалися собі послугою і все.
А сам Укртелеком про цей момент ніде не наголошує, що можна змінити пароль в них на сайті - тільки якщо безпосередньо з їх представниками поговориш (або з власного досвіду роботи з акаунтом на їхньому сайті не будеш знати про цей функціонал). Тому й навіть ті, кто міг би звернути на це увагу, вони не знають де це можна змінити. До того ж змінити можна лише пароль, а логін залишається стандартним. Тому, навіть при зміненому паролі, можна проводити брутфорс атаки (використавши шаблонний логін).
Середа, 21:56 16.06.2010
Dementor
Якщо для користувачав Києвської області використовується префікс “kv_”, то тоді шаблон той самий, а якщо інший префікс - значить, дещо змінюється шаблон. Як я чітко написав в своєму записі - “в інших містах та регіонах України можуть деякі деталі відрізнятися, але суть буде та сама”. В даному випадку мається на увазі інший префікс.
В Укртелекомі явно використовуються єдині правила генерації логінів і паролів для всіх користучаів їхніх послуг (лише префікси змінюються для різних регіонів). А послугу “ОГО” з 2006 року компанія надає на всій території України.
Дірка не нова. Якщо я її знайшов в березні 2007 року, то враховуючи те, що вона існує увесь час роботи послуги “ОГО”, а згідно з інформацією ukrtelecom.ua послуга “ОГО” надається з осені 2005 року, то вона існує аж з осені 2005. Але вона й досі актуальна (тому що Укртелеком не хоче її виправляти). І дірка не буде старою, доки вона буде актуальною. А ця уразливість ще довго буде актуальною.
Четвер, 00:43 17.06.2010
ну про те що там пасворд змінити можно вони мені так і сказали.
УТ відреагує тільки тоді коли в них зявляться проблеми.
Четвер, 23:46 26.08.2010
В тому то й справа, що ніхто з користувачів особливо пароль міняти не буде (до того ж цей процес ускладнений і з ним є свої підводні камні). І я їм про це зауважив, але вони все рівно проігнорували.
Схоже на те. Бо на проблеми своїх клієнтів (що пов’язані з послугою телефону, що з послугою доступу в Інтернет, що про витоки інформації - про всі ці випадки я вже писав) вони не реагують. Треба, щоб клієнти замислилися над подібним підходом компанії.
І може коли велика кількість клієнтів почне переживати за свою безпеку і змінить провайдера (або цим, або іншим методом натисне на УТ), то вони заворушаться і почнуть виправляти дірки. В тому числі й на своїх сайтах.
Неділя, 16:45 24.10.2010
Як я сьогодні дізнався, Укртелеком звернув увагу на мої попередження стосовно даної уразливості і з недавніх пір почав використовувати трохи інші шаблони для генерації логінів та паролів для своїх абонентів. Як мінімум така ситуація має місце в Києві.
Мій друг на днях підключився до Інтернет-послуги Укртелекому і я виявив, що нарешті логіни і паролі мають іншу форму - відмінну від вищезгаданого шаблону. Логін дещо змінився (тільки “@dsl.ukrtel.net” співпадає), а пароль - той самий номер телефону + ще одна цифра.
Тому, хоча це більш надійно ніж раніше, але все ще недостатньо. Бо при витоку логіна, можна буде легко підібрати пароль (номер телефону xxxxxxx + 10 комбінацій додаткової цифри).
Вівторок, 21:22 18.10.2011
я забув логін, що мені робити????
поможіть плз…
Середа, 01:00 19.10.2011
lusuk
В статті я пояснив, яким є логін у користувача Укртелекома. Тому використовуючи цей алгоритм ти можеш дізнатися свій логін чи іншого користувача .
Але з осені 2010 року в Укртелекомі змінили метод створення логінів, тому мій метод допоможе лише для логінів згенерованих раніше. Для нових логінів використовуються вже інші підходи. Якщо в тебе логін був зроблений вже по новій схемі, то ти можеш пошукати в своїх записах (якщо ти його записав), або подзвонити в тех. підтримку і дізнатися свій логін. А використовуючи соціальну інженерію через тех. підтримку будь-хто може вияснити логін будь-якого користувача Укртелекому.
Четвер, 12:43 27.10.2011
що робити коли я забув пароль
Четвер, 20:03 27.10.2011
Те, що описано вище. Використай наведену мною методику і віднови свій пароль.
Четвер, 20:25 27.10.2011
дякую дуже допомогло
П'ятниця, 23:13 28.10.2011
bosuk, будь ласка. Ця методика завжди допоможе відновити логін чи пароль до Укртелекомівського ОГО, як того, через який ти заходив на мій сайт, так і будь-якого іншого .