1. Les modems BBOX2 sont tous livrés avec le même mot de passe d’administration. On peut très facilement le trouver via un moteur de recherche: http://www.google.com/search?hl=en&q=BGCVDSL2
2. Belgacom prétend bloquer l’accès à distance de ces modems via Internet. C’est partiellement exact. Cependant, ces modems sont livrés d’origine avec une connexion WIFI active et non protégée. N’importe qui passant dans la rue peut donc se connecter à une BBOX2 non protégée.
3. Muni de cet accès administratif, on peut télécharger le fichier de configuration du modem et décrypter les mots de passe qui s’y trouvent. Là aussi, on trouve le nécessaire sur Internet: http://www.webalice.it/zibri/Deobfuscate.html

Après avoir récupéré les identifiants d’un abonné  à Belgacom TV (identifiants de la connexion PPPoE, pour être précis), un pirate peut utiliser ces informations pour perpétrer des actes malveillants en se faisant passer pour cet abonné.

Toutes les informations ci-dessus sont en possession de Belgacom depuis longtemps. J’ai moi-même interrogé l’opérateur, qui n’a pas daigné accuser réception, et encore moins répondu ou proposé des solutions.

Notons également que si cela s’applique aux clients de Belgacom TV, certains abonnés Internet, chez Belgacom comme chez les opérateurs alternatifs qui utilisent le réseau VDSL2 de Belgacom sont également concernés. Le propriétaire du réseau impose en effet aux autres FAI l’utilisation d’un modem semblable au sien, également pourvu d’un mot de passe identique pour tous les abonnés.

Quelques détails additionnels pour les intéressés. Pour l’illustration, nous utilisons ici l’interface graphique du modem. Cependant, cette technique fonctionne également via une interface en mode textuel (telnet), qui permettrait à des pirates plus organisés de récupérer automatiquement ces données, sans intervention humaine.

Mot de passe d’administration identique

Pour une raison inexpliquée, Belgacom a choisi d’utiliser le même mot de passe sur tous ses modems. Il est très vite devenu un secret de polichinelle. Qui plus est, Belgacom ne donne pas d’indication sur la manière de le modifier. Belgacom ne fournit d’ailleurs aucun manuel avec le modem.  D’autres s’en sont chargés, heureusement. Ce qu’on retiendra, c’est la nécessité d’utiliser d’obscures commandes via une interface textuelle qui est peu compréhensible par le public que cible l’opérateur.

Belgacom a également imposé aux opérateurs alternatifs qui passent par son réseau VDSL2 d’utiliser un mot de passe unique (OLOVDSL2, dans ce cas). Il est évident qu’il s’agit d’un problème majeur de sécurité.

Accès à la configuration

Suite aux menaces proférées il y a quelques par un pirate se faisant appeler Vendetta, Belgacom a décidé de bloquer l’accès à ses modems BBOX2 via l’Internet, en bloquant les accès sur les ports 80, 443 et 22. Ce faisant, Belgacom enlève également à l’abonné de gérer son modem à distance., ce qui retire pas mal de fonctionnalités. L’abonné à la possibilité de malgré tout ouvrir ces ports, Belgacom se contentant d’avertir qu’il y a un risque de sécurité, sans expliquer lequel. En tout état de cause, le remède est disproportionné par rapport au problème à traiter. Un peu comme si on confisquait les clés de voiture aux automobilistes au titre que cela diminuera leur empreinte carbone.

Les modems sont par contre très facilement accessibles via le WIFI, qui est actif et non protégé par défaut. En effet, Belgacom veut rendre la vie de ses clients Belgacom TV simple, y compris ceux qui ne sont pas férus de technologie.  En conséquence, le modem se configure de lui-même lors de la première connexion. Plus exactement, le modem est configuré à distance via le protocole TR-069. L’utilisateur n’a rien à faire de son côté, sinon enficher le câble du décodeur TV dans le modem. Le reste est automatique.

Qui plus plus est, l’abonné à Belgacom TV a souvent souscrit à une offre qui comprend aussi l’accès Internet, même s’il n’en a pas ou peu l’usage, ce qui ne l’encouragera pas à prendre les mesures nécessaires pour sécuriser son WIFI. Ainsi donc, il y a possiblement des milliers de clients de Belgacom qui ont un modem grand ouvert à tout le monde, sans le savoir. J’ai personnellement identifié près d’une dizaine de modems BBOX2 non protégés dans mes environs immédiats.

Déchiffrement des mots de passe

La BBOX2 utilise un micro-logiciel nommé OpenRG, de la société Jungo. Ce logiciel se retrouve dans de nombreux modems ADSL, et notamment la Livebox de France Télécom, également utilisée par Mobistar en Belgique.

Jungo a utilisé une technique de chiffrement que les informaticiens appellent plutôt l’obfuscation. Elle consiste à rendre la lecture plus compliquée de prime abord, mais sans introduire réellement de chiffrement. C’est une technique qui est connue depuis l’Antiquité. En l’occurrence, on procède par remplacement d’un caractère par un autre. Ainsi, une fois identifié les 26 lettres minuscules et majuscules, en plus des 10 chiffres, on peut très facilement construire un tableau de concordance et codifier le tout dans une petite routine informatique. Le site mentionné ci-dessus utilise le très répandu Javascript, mais il existe d’autres implémentations, en Python notamment (source), ce qui permettait à un pirate de facilement créer un programme de récupération automatique de ces identifiants.

La première étape est de sauvegarder la configuration du modem. Il suffit d’aller dans le menu “Admin Settings/Backup and Update”

On récupère alors un fichier texte, où l’on peut trouver les identfiants de l’utilisateur:

Dans l’exemple, ci-dessus, le mot de passe est ‘testing’, et c’est très exactement la valeur que retourne le site de déchiffrement mentionné ci-dessus.

La plupart des modems ADSL permettent de créer une copie de sauvegarde de leur configuration, bien utile en cas de panne. Cependant, les autres fabricants créent un fichier de configuration binaire, et donc illisible par un être humain. Jungo a choisi de rendre le fichier compréhensible, introduisant de la sorte une faille de sécurité, et le manque de précautions prises par Belgacom rend evidemment le problème plus grave encore.

Pour information, j’ai signalé ce problème de sécurité tant à Belgacom qu’à son fournisseur Jungo. En l’absence de réponse, je mets donc ces informations en ligne.

2009-12-25

2009-07-20

That’s the good news. The less good one is that this whole VDSL2 infrastructure deployed by the incumbent telecom operator has some major security holes, on which I will post later, once I have finished my research.

Vous m’avez reproché auparavant, et avec une mauvaise foi certaine, que je vous avais pas informé de la piètre qualité de vos services. Non seulement, je l’ai fait, mais d’autres aussi. Il y en a plein les forums de discussion. Mais puisque vous me prenez au mot, je vais effectivement me plaindre. Et que cela se sache.

Je vous propose donc de suivre en léger différé sur mon blog, les performances mesurées de vos services. On commence ce 20/7/2009:

2009-07-20

2009-07-20

[Update 21/7 10:35]  Toute connexion est absolument impossible vers quelque service que ce soit. Web, e-mail, timeouts partout.

[Update 24/7 15:49] Envoyé un e-mail au help desk le 21/7. Réponse le 24/7 sur le thême “on n’a pas suffisamment d’information”. Entretemps, la vitesse est revenue à des valeurs normales, avec des chutes de temps à autre.

Restez branchés pour la suite. Je mettrai le post à jour de temps à autre.

Avant que votre help desk n’arrive avec sa check-list de questions préformatées, je precise que oui, ma ligne téléphonique fonctionne, que oui mon modem est bien configuré et que oui mon ordinateur aussi. Et je ne vous permets pas d’en douter. On s’évitera ainsi deux jours de questions/réponses inutiles.

Allons au fait: que se passe-t-il dans l’infrastructure de Scarlet qui justifie d’aussi piètres performances ? A la limite, le pourquoi n’est pas mon problème. Ce qui m’importe, c’est de savoir quand vous prendrez enfin les mesures nécessaires pour offrir un  service correct à vos clients.

Et si vous n’avez pas de réponse à cette question, que vous niez les évidences et que vous considérez que je vous échauffe les oreilles, il n’y a qu’une solution pour me faire taire: acceptez une  une résiliation anticipée de notre contrat,  que vous êtes de toute manière dans l’impossibilité d’honorer.

Allez, bonne journée quand même.

Last December, I switched ISPs. Although  my previous one, Dommel, provided a good and stable internet connection, their customer service staff was totally broken. They   seemed totally unwilling to answer any written question, be it in French, English or Dutch.  Further, they used the oldish ADSL infrastructure from the incumbent, Belgacom, and thus could only provide a 4 Mbit/sec connection. With 6 computers at home, this proved to be slow at times.

Hence, I took the opportunity to move to another ISP, Scarlet, which promised 20 Mbit/sec.  I was aware that theorical speeds may not always be reached due to different factors like copper line length, etc.

Much to my surprise, I was informed after the contract was signed that I would only get 6Mbit. Scarlet’s tech support confirmed today that the local phone exchange to which I am connected has not been upgraded to ADSL2+.  This ISP knew at the time they presented the electronic contract to me  that they were unable to deliver what they promised.

Their sign-in form stated “Congratulations, you can be connected to the ADSL20 network [...] The maximum download speed is dependent on the distance  from the local exchange, your computer configuration and its cabling “. Nowhere does it state that it is dependent on the exchange infrastructure.

The tech support guy was not able either to tell me when they expect the local exchange to be upgraded. This looks like ultra confidential information. Actually, we know more about battle plans in the Middle East, Iraq or Afganisthan than about an ISP’s infrastructure upgrade strategy.

Belgium once prided itself to be at the forefront of broadband deployment. If only it could be done by professionals who care about customers …

The next step will be to file a complaint to the telecom ombudsman. I do not expect much of a improvement, though.

Just like any other airlines, Austrian Airlines gives names to its airplanes. Contrary to other airlines, Austrian tries to make an effort to innovate. They have a range of Boeing B737-800 named Frank Zappa, Freddie Mercury, George Harrison, Gregory Peck, Kurt Cobain and Miles Davis . This is refreshing and much more original than using city names. Can I suggest the next plane be called The Dead Pop Stars ?

But above all, it is good to see an airline mentioning in bold letters on page 3 of its “Skylines” magazine that it will not tolerate that passengers be offended by others because of ethnicity, religion or gender. It encourages to ask the cabin crew to intervene. It is good to see a company that places ethical values before commercial considerations.  They may have lost a few racist passengers because of this policy, but they have now gained a new customer.

There are a few lessons to be learned from this experience. First and foremost, the tools are now not yet ready for a general audience. If the dnssec-signzone man page is your favourite late night reading and if you like Unix shell scripting, you will have plenty of fun. On the other hand, if you are an overworked system administrator being told by the boss to ‘By the way, please switch on DNSSEC before your leave this afternoon’ , you are out of luck.  The best tool I found to make it a bit easier is ZKT.  However, this is not the friendly Graphical User Interface you would expect.

Lesson 2 is ‘check you secondaries’. I had secondaries with Xname.org. Although these nice folks provide good and free DNS service, their machines do not answer DNSSEC queries. Hence, I had to switch to new secondaries.

Lesson 3 is that few DNS resolvers currently support DLV. Bind does. Unbound will in the next release (the current development code already does).

Lesson 4 is that the current system to register a domain in the DLV does not seem to scale and looks more like a proof of concept. It would need to be seriously industrialized to be helpful for a bigger deployment.

Lesson 5 stems from 4 above. The whole thing would be a bit easier to deploy if the root zone was signed. But this is another debate.

Many thanks to the folks at NLNet Labs and the RESTENA Foundation for providing DNS secondary service, and ISC for running the DLV registry.

I tried everything from switching operators to  spending hours figuring out the optimal subscription plan. I do not place calls from my mobile if I can avoid it, especially abroad. I avoid SMS when e-mail is possible. I do not even dare to use the data services, although I have a 3G phone.  Still no luck. The main issue is that I work in a small country, live in the country nearby and often go to a two other countries for shopping and leisure. I am roaming on other networks than my home one 75% of the time. While this may sound unusual, actually this is what the whole European Union construction is all about: abolish borders.

I decided last year to subcribe to Transatel, a MNVO (Mobile Network Virtual Operator). In short, they do not have a network on their own, but buy capacity from other operators. It looked attractive because they cover several countries. They give you a local phone number in each country you choose. This makes it cheaper for the people calling you.  I can receive calls on my Luxembourg number while in Belgium and no roaming charges will apply. Sort of. Because, actually, you only get a limited number of minutes each month for call transfers across countries. Once you have reached the threshold, you are billed for the call transfers. This is just roaming charges by another name. At the time of subscription, they promised my monthly bill would be 50% lower. It looks like my usage profile was not part of their statistical sample…

The European mobile market is very fragmented. Each country has 3 or 4 mobile operators. Even those self labelled paneuropean networks like Vodaphone or Orange are actually alliances of different national operators, loosely tied by a similar logo.  All the rest of their offerings is different: subscription plans, services, phone numbers and roaming charges.  As for roaming charges, I noticed on several occasions in the past that if your home network operator is a Vodaphone partner, it may sometimes be cheaper to select a non-Vodaphone network abroad.

Those alliances are another way to make the offers more opaque to better fool the customer. On the economics of the mobile market, there is this interesting post from Kurtis Linqvist (thanks to Patrik Fältström for the link) . Just like Kurtis, I agree that there is no such thing as free and open mobile markets  in Europe.  I, too, hope the European Commission will continue to regulate the market until such time that it will cost the same price to call a mobile in Stockholm from Madrid that it is to place call from Los Angeles to Washington.  At&T in the US has a subscription plan for unlimited voice calls throughout the US for USD99.99/month. Unfortunately, given the current market conditions, I do not see a similar paneuropean offer any time soon.

The report totally misses the mark. In a pure US centric vision, it focuses on “.com” as the must-have TLD, totally overlooking the fact that a “.com” is mostly worthless e.g. in Germany, where “.de” is the TLD one must have to succeed locally. There are many countries where the local TLD has much more value than a “.com”.

The report is also clueless in that it states that “proposals previously rejected by ICANN, such as the creation of “.xxx” for adult-oriented sites, are also likely to be commercially successful“, when everybody but Gartner knows that the newly adopted rules were designed to precisely avoid the “.xxx” debacle to happen again.

Going further down the path of ignorance, Gartner also states that : “we would expect that an extension such as “.movie” would have similar value“. I am afraid “.movie”, just like “.travel” or “.name” will only have modest success, because they are focused on the English speaking market, and have little value outside North America. In this specific case, my British colleagues usually use the word “film” rather than “movie”. Looks like “.movie” will not even be able to cross the Atlantic.

How much credit you give to this report depends on the credit you give to Gartner, of course. I am afraid this one is not going to help the company’s track record. Sometimes, silence is better.

I am still in a state of shock. Over the last four years in my previous position, I had been using Firefox as my main browser, mostly because of AdblockPlus, a remarkably efficient advertisement blocker.

With IE6, I have rediscovered how advertising on web sites can be distracting and invading. Suddenly, the pop-up windows, Flash animations and other nasties are there again. Unlike a paper magazine, when you only need to turn the page to ignore them, advertisements on web sites really prevent you to work until you close the pop-up window, stop the animation, turn off the volume, etc.

I guess one could say that Wladimir Palant, the developer of Adblock Plus, is one of the greatest benefactors to computer productivity over the last few years. Thanks, mate. Great job. I am forever grateful.

For those who do not read French, it says: “The seat opening is 29 X 23 cm wide. If you miss the hole, please use the brush to clean. This brush is not a toothbrush”