Linux-reitittimien/modeemien haavoittuvuudet

[jaldemar]

Entäs nuo linux reititin purkit?

Miten on niiden päivitysten laita, minulla kun tuo Lontoo ei riittävästi taivu.

Esimerkiksi Buffalossa ei ole suomenkielistä opastusta.

Osaan kyllä mennä selaimella sinne purkin ohjelmistoon, mutta siihen se tyssääkin.

[Stargazers]

Entäs nuo linux reititin purkit?

Miten on niiden päivitysten laita, minulla kun tuo Lontoo ei riittävästi taivu.

Humm. Ihan näin asiasta kukkapurkkiin, eikös se kyseinen haavoittuvuus vaatinut että piti entuudestaan ollut shellitunnus kyseiseen vekottimeen? Jos näin, niin onko sinulla kyseisessä reititinpurkissa useampiakin käyttäjätunnuksia joita muut käyttävät, vai ihanko vain "kaiken varuilta"?

[jaldemar]

Entäs nuo linux reititin purkit?

Miten on niiden päivitysten laita, minulla kun tuo Lontoo ei riittävästi taivu.

Humm. Ihan näin asiasta kukkapurkkiin, eikös se kyseinen haavoittuvuus vaatinut että piti entuudestaan ollut shellitunnus kyseiseen vekottimeen? Jos näin, niin onko sinulla kyseisessä reititinpurkissa useampiakin käyttäjätunnuksia joita muut käyttävät, vai ihanko vain "kaiken varuilta"?

Ei oo joten ei siis hätiä???  Pitääkö niitä kukkapurkkeja päivittää mitenkä usein? Vai riittääkö pelkkä katselu?

[tmp]

Humm. Ihan näin asiasta kukkapurkkiin, eikös se kyseinen haavoittuvuus vaatinut että piti entuudestaan ollut shellitunnus kyseiseen vekottimeen?

Vaatii tunnuksen, mutta kannattaa huomioida, että esimerkiksi selaimessa oleva haavoittuvuus riittää. Firefox luonnollisesti vuotaa, joten sitä kautta voisi saada root-tunnuksen koneelle tarvittaessa.

[Stargazers]

Vaatii tunnuksen, mutta kannattaa huomioida, että esimerkiksi selaimessa oleva haavoittuvuus riittää. Firefox luonnollisesti vuotaa, joten sitä kautta voisi saada root-tunnuksen koneelle tarvittaessa.

Juu, mutta kuinka moni käyttää reititinpurkissa nettiselainta?

[tmp]

Juu, mutta kuinka moni käyttää reititinpurkissa nettiselainta?

Heh, varmaan aika harvojen . Luin jutustelunne huolimattomasti ...

[gefa]

Aika usein olen huomannut, kun noista purkeista nyt tuli juttua ylipääntäänkin, että usein asiakkailla nuo adsl  /reititin purkit on aika usein laitettu niin, että käyttäjätunnus ja salasana ovat tehtaan jäljiltä...mikähän siinäkin on niin vaikeaa, että edes sitä salasanaa ei voi vaihtaa...

[eGetin]

Aika usein olen huomannut, kun noista purkeista nyt tuli juttua ylipääntäänkin, että usein asiakkailla nuo adsl  /reititin purkit on aika usein laitettu niin, että käyttäjätunnus ja salasana ovat tehtaan jäljiltä...mikähän siinäkin on niin vaikeaa, että edes sitä salasanaa ei voi vaihtaa...

A) Ne ei tiedä että siellä on jotkut tunnukset
B) Ei tiedetä miten sinne pääsee
C) Ei välitetä
D) Koska kaikki toimii eikä nettiä käytetä kuin laskun maksuun ja sähköpostiin

[jaldemar]

Aika usein olen huomannut, kun noista purkeista nyt tuli juttua ylipääntäänkin, että usein asiakkailla nuo adsl  /reititin purkit on aika usein laitettu niin, että käyttäjätunnus ja salasana ovat tehtaan jäljiltä...mikähän siinäkin on niin vaikeaa, että edes sitä salasanaa ei voi vaihtaa...

A) Ne ei tiedä että siellä on jotkut tunnukset
B) Ei tiedetä miten sinne pääsee
C) Ei välitetä
D) Koska kaikki toimii eikä nettiä käytetä kuin laskun maksuun ja sähköpostiin

Niin ja kun ne suomenkieliset käyttöohjeet puuttuu ja enklanninkieliset löytyy cd:ltä kovan haun jälkeen.

Ainakin siinä B purkissa.  Niin tuotehan on muuten virheellinen kun oleellisten turvaominaisuuksien käyttöä ei ole Suomeksi.

Eipä vaan maahantuojat piittaa.

[eGetin]

No mutta ei ne tietämättömät omistajat edes lue manuaalia kun naapurin Pekka käy laittaan netin kuntoon eikä se muista säätää modeemista mitään.

[qwertyy]

Tuossa on ihan hyviäkin puolia kun käy joskus katsomassa kavereiden nettiongelmia. "jaa katos sulla on telehell 192.168.0.254, admin, admin". Ei tarvitse alkaa kyseleen niitä salasanoja tai resertoimaan modeemia, niin pääsee katsomaan lokit kun salansanat kuitenkin on/olisi unohdettu

[jake]

Tuossa on ihan hyviäkin puolia kun käy joskus katsomassa kavereiden nettiongelmia. "jaa katos sulla on telehell 192.168.0.254, admin, admin". Ei tarvitse alkaa kyseleen niitä salasanoja tai resertoimaan modeemia, niin pääsee katsomaan lokit kun salansanat kuitenkin on/olisi unohdettu

entäs sitten? Saat siis siltä koneelta tehtyä noilla tunnuksilla kivaa jäynää tai sotkua, jos tykkäät, mutt uskotko pääseväsi netistä tolla osoitteella siihen koneeseen kiusaa tekemään?

Joteski musta tuntuu, ett noita osoitteita on miljoona maapallolla. Ja siihenhän ei reititetä mistään koneesta... se kun on sisäverkon osoite.

[Ninnnu]

Tuossa on ihan hyviäkin puolia kun käy joskus katsomassa kavereiden nettiongelmia. "jaa katos sulla on telehell 192.168.0.254, admin, admin". Ei tarvitse alkaa kyseleen niitä salasanoja tai resertoimaan modeemia, niin pääsee katsomaan lokit kun salansanat kuitenkin on/olisi unohdettu

entäs sitten? Saat siis siltä koneelta tehtyä noilla tunnuksilla kivaa jäynää tai sotkua, jos tykkäät, mutt uskotko pääseväsi netistä tolla osoitteella siihen koneeseen kiusaa tekemään?

Joteski musta tuntuu, ett noita osoitteita on miljoona maapallolla. Ja siihenhän ei reititetä mistään koneesta... se kun on sisäverkon osoite.

Mutta joissakin laatikoissa on myös tuki siihen että konffeja pääsee tekemään verkon ulkopuoleltakin. Ainakin allekirjoittaneen ZyXelissä... Ja jos boksi on reitittävässä tilassa niin se ulkoverkon IP osuu tohon boksiin, ja jos se tykkää kuunnella myös ulkoverkon porttia 80 (oletuksena harvemmin näin kyllä on, mutta mistäs sitä tietää) niin saattaa tapahtua hauskoja asioita.

[Tuplanolla]

Tuossa on ihan hyviäkin puolia kun käy joskus katsomassa kavereiden nettiongelmia. "jaa katos sulla on telehell 192.168.0.254, admin, admin". Ei tarvitse alkaa kyseleen niitä salasanoja tai resertoimaan modeemia, niin pääsee katsomaan lokit kun salansanat kuitenkin on/olisi unohdettu

entäs sitten? Saat siis siltä koneelta tehtyä noilla tunnuksilla kivaa jäynää tai sotkua, jos tykkäät, mutt uskotko pääseväsi netistä tolla osoitteella siihen koneeseen kiusaa tekemään?

Joteski musta tuntuu, ett noita osoitteita on miljoona maapallolla. Ja siihenhän ei reititetä mistään koneesta... se kun on sisäverkon osoite.

Mutta joissakin laatikoissa on myös tuki siihen että konffeja pääsee tekemään verkon ulkopuoleltakin. Ainakin allekirjoittaneen ZyXelissä... Ja jos boksi on reitittävässä tilassa niin se ulkoverkon IP osuu tohon boksiin, ja jos se tykkää kuunnella myös ulkoverkon porttia 80 (oletuksena harvemmin näin kyllä on, mutta mistäs sitä tietää) niin saattaa tapahtua hauskoja asioita.

Juu, mä olen huomannut sen että jos purkissa on NAT päällä, portti 80 ohjattu koneelle, kone pois päältä / muuten tavoittamattomissa, menee se purkin konffisivulle. Siinä onneksi kysyy salasanan, mutta mitäs jos se onkin defaulttina vielä?

Täällä siis Telewell TW-EA716.

[mgronber]

Ja siihenhän ei reititetä mistään koneesta... se kun on sisäverkon osoite.

Yleensä noissa purkeissa wlan kuuluu sisäverkkoon ja oletuksena sallitaan asetusten muuttaminen myös wlan-yhteyksien kautta.

[qwertyy]

entäs sitten? Saat siis siltä koneelta tehtyä noilla tunnuksilla kivaa jäynää tai sotkua, jos tykkäät, mutt uskotko pääseväsi netistä tolla osoitteella siihen koneeseen kiusaa tekemään?

Niin missäs niin olen väittäny? Meinaat, että vierailen kavereilla ja piruuttani sotken boksin, mielenkiintoinen käsitys kaverista
Muutenkin vierailulla tarkotin ihan fyysistä kehon liikuttamista paikasta a paikkaan b 
Takaisin asiaan tai no aika pahasti otsikon aiheen ohi. Pieni ja luultavasti todella epätodennäköinen riski laitteissa toki, mutta riski kuitenkin ja aika ikävä jos on esim. rautapalomuuri ja/tai vaikka verkkokiintolevy vielä kyljessä samalla tyylillä. Ainakin tuo mgronbergin wlan esimerkki toimii ihan takuuvarmasti ja monesti wlanilla on tullut säädeltyä oman erillisen modeemin asetuksia. En todellakaan ole mikään guru, mutta _jos_ pääsee modeemin asetuksiin, niin eikös sen jälkeen vaadita vain VPN tunnelointi ja kappas "virtuaalivierailija" kuuluu näennäisesti kotiverrkoon ja tämän jälkeen monet ovet on auki ja esim. tuo edellä mainittu verkkokiintolevy olisi oikein tyrkyllä? Sopivalla säätämisellä saisi kait ladata asemalta niin kauan tavaraa kunnes joku alkaisi ihmettelemään, miksi verkkokiintolevy ei sammu enää käytönjälkeen, huomaa verkonhallinnasta uutta tietokonetta tms. Tunnen monia jotka kyllä tietää paljon näistä riskeistä, mutta monet heistäkään ei ole vaivautuneet tekemään muutoksia oman lähiverkonkoneisiin. Syinä on monesti vaiva, pieni todennäköisyys ja ennenkaikkea se, että moni ei pidä koneiltaan löytyviä tiedostoja mitenkään erityisen tärkeinä. Toimiihan jo suomenkieliset dokumentitkin aika hyvänä kryptauksena valtaosalle hyökkääjistä

[jake]

Ja siihenhän ei reititetä mistään koneesta... se kun on sisäverkon osoite.

Yleensä noissa purkeissa wlan kuuluu sisäverkkoon ja oletuksena sallitaan asetusten muuttaminen myös wlan-yhteyksien kautta.

niin jos on wlan, juu, mutt ei qwerty:n 192.168.0.254-jutussa puhuttu mitään wlan:sta.
Eli ei ulkoa pääse 192.168.xxx.xxx-osoitteisiin vaikka kuis yrittäisit ellet oo sisältäpäin rakentanu esim ssh-yhteyttä, tms ja tiedä sen purkin ulkoista osoitetta.
Wlan muuttaa tilanteen, jos tietää sen purkin pääkäyttäjän/root:n tunnuksen ja salasanan, mutt niin pääsee adsl-motuunkin sisältäpäin, jos noi tietää. Ei siinä jutska kauhiasti muutu, paitsi, ett langattomaan verkkoon pääsee sisälle vaikka pihalta tai kadulta, jos sitä ei oo estetty.

Eli tervetuloa vaan, qwertyy, kokeilemaan meiän testipalvelimelle pääsyä mistä lie haluut sitt vaan yrittääkään.
Sen osoite on 192.168.0.20, pääkäyttäjän tunnus on admin ja sen salasana on salasana. Tervetuloa!
Jätä viesti käynnistäsi tai tuhoa sisältö kokonaan, niin arvaan sun käyneen

...niin ja voithan sinäkin, mgronber, kans koittaa - tosin se ei oo langattomassa verkossa...

[qwertyy]

Juu en puhunut wlanista alunperin, eikä mistään etähallinnasta, vaan lukuisten henkilöiden _kotona paikanpäällä_ tehtävästä vianhausta ja sen helppoudesta. Kuten jo aiemmin mainitsin, niin monilta hukkuu laitteiden/palveluiden salasanat ja tehdasasetuksilla oleviin laitteisiin siis pääsee nätisti käsiksi, ilman että resertoi koko moodemia ja siten hukkaa vianihmettelyssä hyödyllisen login motukan muistista. Ja kuten jo aiemmin kirjoitin, niin riski on varmastikin aika olematon, mutta riski kuitenkin esim. Tuplanollan ja ninnnun mainitsemat. Varsinkin jos nuo jälkimmäinen pitää paikkansa (käsittääkseni pitää) ja modeemisi olisi näin säädetty, niin joku moderaattoreista voisi olla jo koneellasi, mikäli se on samassa lähiverkossa kuin kone millä kirjoitat.

Edelleen aivan olemattomia riskejä, mutta eikös tietotekniikan turvasta ole jo pitkään sanottu, että suurimmat ongelmat tulee inhimillisistä virheistä esim. väärin asetetusta modeemista ja silloin tuo niin olemattomalta tuntuva asia, muuttuukin ratkaisevaksi.

"Never say never"

[jake]

koita nyt vaan uskoa, että ns sisäverkon osoitteeseen (esim 192.168.xxx.xxx) et ihan sovinnolla pääse ulkopuolelta.
Siihen kun EI reititetä mitään. Se ei ole reititettävä osoite.
Päästäksesi tollaseen koneeseen sun on tiedettävä sen ulkoinen osoite tai osattava käyttää vallan muita 'kikkoja'.

Kyllä siihen siis pääsee, mutta ei mainitsemillasi ehdoilla pääkäyttäjästä ja/tai salasanoista.

ps se kone ei ole tässä verkossa. Mutta etpä sinä ulkoa tähänkään pääse.
Se osoite, jonka sä mahd. tälle tai sille mainitsemalleni testipalvelimelle saat ei tietenkään oo oikea, vaan natin vaihtama.
Ja nat kyllä mun tietääkseni on kaikissa palomuureissa oletuksena päällä, jolloin sen takana oleviin koneisiin ei ulkoa pääse kuin saamalla/ujuttamalla ko koneeseen sopivan ohjelman, joka avaa 'sulle' yhteyden 'paluupostiasi varten.
Vain, jos murrettavaksi haluttu kone ottaa sinuun ensin yhteyden, voit siihen päästä. Oma-aloitteisesti et ellet tiedä siitä koneesta enemmän kuin minä annoin testipalvelimestamme. Eikä se siis oo mikään murtotesti-kone, vaan siihen tehdään ihan tavallisia asennuksia ennen käyttöön ottoa. Sitä ei oo ollu mitenkään tarvis sen enempää suojata.

[vartsu]

niinpä niin...

moni purkki kun vaan on sellainen että kun tulet ulkoista ip:tä pitkin oletusporttiin 80  niin edessäsi onkin tuo login ikkuna.
siihen sitten vaan ne maagiset admin/admin tai vielä parempi admin/ei salasanaa  ja näin kun purkkiin on päästy
niin ei muuta kun muuttamaan reititys ulkoisesta ip:stä --> haluamaasi sisäiseen esim.192.168.100 (google kertoo miten toimia kys.boxissa ) that's it!
se on sitten purkista kiinni antaako logata ulkoa sisään vai ei...