Weak Password уразливість в Укртелекомі

23:51 15.06.2010

Нещодавно я розповідав про DoS атаку на користувачів Укртелекому. А зараз розповім про одну цікаву уразливість в Укртелекомі, про яку вже давно планував розповісти. Яка є передусім локальною уразливістю, але яка пов’язана з Інтернет послугою Укртелекому.

У березні, 22.03.2007, я знайшов Weak Password уразливість в Укртелекомі. Що має місце в послузі “ОГО” по доступу в Інтернет від Укртелекому. Дану уразливість я виявив одразу, як підписував договір з Укртелекомом (безпосередньо в їхньому центрі) і одразу про неї повідомив представикам компанії. На що вони забили :-) , проігнорувавши мої аргументи.

Опис даної уразливості стосується абонентів Києва, в інших містах та регіонах України можуть деякі деталі відрізнятися, але суть буде та сама. Уразливість полягяє в тому, що легко можна дізнатися логін та пароль користувача для доступу в Інтернет, знаючи його номер телефону.

Weak Password:

Стандартна схема генерації логіну та паролю для користувачів “ОГО” (де xxxxxxx - це номер телефону користувача):

Логін: kv_xxxxxxx@dsl.ukrtel.net
Пароль: xxxxxxx

Дані логін й пароль видаються Укртелекомом і безпосередньо в їхньому центрі змінити це не можна. Як мені пояснили представники компанії, пароль (тільки пароль) можна змінити через їхній сайт, тому вони не переживають за дану уразливість. Але як я тоді перевірив, процес зміни паролю більш складний, ніж мені описували представники компанії. Та й мало хто буде цим займатися - змінювати свій пароль (тим паче, що процес ускладнений), як я їм пояснив. Але вони не дослухалися, тому й по сьогодні дана уразливість актуальна.

Це локальна уразливість. Віддалено використати її не вийде (щоб підключитися в Інтернет від іншої особи з іншим телефоном), бо при з’єднанні перевіряється не тільки логін і пароль, але й телефон з якого йде дзвінок. Хоча й тут є потенційний варіант. Можливості атаки з використанням даної уразливості:

1. При фізічному доступі до комп’ютера (наприклад, маючи акаунт або використавши чужий аккаунт, дізнавшись чи вгадавши пароль), коли для поточного акаунта немає збереженого паролю для Інтернет з’єднання. Тоді можна визначити логін і пароль по вищезгаданій схемі та отримати доступ до Інтернет.

2. При фізічному доступі до телефону (наприклад, прийшовши з ноутбуком, з власним ADSL-модемом, чи використавши модем даного користувача “ОГО”). Тоді можна отримати доступ до Інтернет.

3. Віддалений варіант (потенційний). Можна провести атаку на модемний пул Укртелекому, з використанням визначених логіну та паролю, та спеціального модему, що може вказувати довільний зворотній номер (тобто обманювати АОН). Це потрібно робити з телефону, що відноситься до тієї ж АТС, що і телефон жертви, за чий рахунок потрібно отримати доступ до Інтернет. Це потрібно для надійності, що атака спрацює.


13 відповідей на “Weak Password уразливість в Укртелекомі”

  1. spayder каже:

    сам на це звертав увагу робітників УТ коли підключався до них )

  2. Dementor каже:

    Доречі стосується не тільки мешканців Києва та області, баг старий.

  3. MustLive каже:

    spayder

    Я ще з листопада 2006 року знаходжу дірки на сайтах чи в телекомунікаційних послугах Укртелекому, про які їм повідомляю і які вони ігнорують. Тому після того, як в березні 2007 я знайшов дану дірку і вони на неї забили, одразу як їм повідомив, то я зрозумів, що вони повні діродєли. І всі наступні дірки в Укртелекомі знайдені мною тільки це підтвердили :-) .

    От ти звернув їхню увагу на це і що в результаті - теж проігнорували (навевши несерйозні аргументи). Це якщо вживу їм про дірки повідомити, а якщо по ємайлу - то просто ігнорують дані листи. Так що вони постійно забивають на всі повідомлення про проблеми з безпекою в них. І до сих пір нічого не змінилося.

    І те, що ти і я (і ще деякі люди) на цей аспект звернули увагу, то це рідкість - більшість людей на це не звертають уваги. З 2007 року я розповідав в приватних бесідах деяким користувачам “ОГО” про дану уразливість і ніхто з них на цей аспект уваги не звертав, просто користувалися собі послугою і все.

    А сам Укртелеком про цей момент ніде не наголошує, що можна змінити пароль в них на сайті - тільки якщо безпосередньо з їх представниками поговориш (або з власного досвіду роботи з акаунтом на їхньому сайті не будеш знати про цей функціонал). Тому й навіть ті, кто міг би звернути на це увагу, вони не знають де це можна змінити. До того ж змінити можна лише пароль, а логін залишається стандартним. Тому, навіть при зміненому паролі, можна проводити брутфорс атаки (використавши шаблонний логін).

  4. MustLive каже:

    Доречі стосується не тільки мешканців Києва та області

    Dementor

    Якщо для користувачав Києвської області використовується префікс “kv_”, то тоді шаблон той самий, а якщо інший префікс - значить, дещо змінюється шаблон. Як я чітко написав в своєму записі - “в інших містах та регіонах України можуть деякі деталі відрізнятися, але суть буде та сама”. В даному випадку мається на увазі інший префікс.

    В Укртелекомі явно використовуються єдині правила генерації логінів і паролів для всіх користучаів їхніх послуг (лише префікси змінюються для різних регіонів). А послугу “ОГО” з 2006 року компанія надає на всій території України.

    Дірка не нова. Якщо я її знайшов в березні 2007 року, то враховуючи те, що вона існує увесь час роботи послуги “ОГО”, а згідно з інформацією ukrtelecom.ua послуга “ОГО” надається з осені 2005 року, то вона існує аж з осені 2005. Але вона й досі актуальна (тому що Укртелеком не хоче її виправляти). І дірка не буде старою, доки вона буде актуальною. А ця уразливість ще довго буде актуальною.

  5. spayder каже:

    ну про те що там пасворд змінити можно вони мені так і сказали.
    УТ відреагує тільки тоді коли в них зявляться проблеми. 8)

  6. MustLive каже:

    В тому то й справа, що ніхто з користувачів особливо пароль міняти не буде (до того ж цей процес ускладнений і з ним є свої підводні камні). І я їм про це зауважив, але вони все рівно проігнорували.

    УТ відреагує тільки тоді коли в них зявляться проблеми.

    Схоже на те. Бо на проблеми своїх клієнтів (що пов’язані з послугою телефону, що з послугою доступу в Інтернет, що про витоки інформації - про всі ці випадки я вже писав) вони не реагують. Треба, щоб клієнти замислилися над подібним підходом компанії.

    І може коли велика кількість клієнтів почне переживати за свою безпеку і змінить провайдера (або цим, або іншим методом натисне на УТ), то вони заворушаться і почнуть виправляти дірки. В тому числі й на своїх сайтах.

  7. MustLive каже:

    Як я сьогодні дізнався, Укртелеком звернув увагу на мої попередження стосовно даної уразливості і з недавніх пір почав використовувати трохи інші шаблони для генерації логінів та паролів для своїх абонентів. Як мінімум така ситуація має місце в Києві.

    Мій друг на днях підключився до Інтернет-послуги Укртелекому і я виявив, що нарешті логіни і паролі мають іншу форму - відмінну від вищезгаданого шаблону. Логін дещо змінився (тільки “@dsl.ukrtel.net” співпадає), а пароль - той самий номер телефону + ще одна цифра.

    Тому, хоча це більш надійно ніж раніше, але все ще недостатньо. Бо при витоку логіна, можна буде легко підібрати пароль (номер телефону xxxxxxx + 10 комбінацій додаткової цифри).

  8. lusuk каже:

    я забув логін, що мені робити????
    поможіть плз…

  9. MustLive каже:

    lusuk

    В статті я пояснив, яким є логін у користувача Укртелекома. Тому використовуючи цей алгоритм ти можеш дізнатися свій логін чи іншого користувача ;-) .

    Але з осені 2010 року в Укртелекомі змінили метод створення логінів, тому мій метод допоможе лише для логінів згенерованих раніше. Для нових логінів використовуються вже інші підходи. Якщо в тебе логін був зроблений вже по новій схемі, то ти можеш пошукати в своїх записах (якщо ти його записав), або подзвонити в тех. підтримку і дізнатися свій логін. А використовуючи соціальну інженерію через тех. підтримку будь-хто може вияснити логін будь-якого користувача Укртелекому.

  10. bosuk каже:

    що робити коли я забув пароль

  11. MustLive каже:

    Те, що описано вище. Використай наведену мною методику і віднови свій пароль.

  12. bosuk каже:

    дякую дуже допомогло :!: :!: :!: :)

  13. MustLive каже:

    bosuk, будь ласка. Ця методика завжди допоможе відновити логін чи пароль до Укртелекомівського ОГО, як того, через який ти заходив на мій сайт, так і будь-якого іншого :-) .

Leave a Reply

You must be logged in to post a comment.