---

Tidligere er det blevet nævnt her i gruppen, at nogle modems
har en svaghed som gør at forbindelsen afbrydes hvis de sender
sekvensen +++ATH0. Og dette kan f.eks. udnyttes af en
ondskabsfuld webside med et link til en url hvor denne streng
indgår eller blot et billede.

Jeg har sidenhen testet dette på et enkelt modem, og det led
faktisk af fejlen. Jeg fandt også ud af, at man kan undgå
problemet ved at tilføge + tegnet til async map i ppp
opsætningen. Godt nok siger alle dokumenter jeg har fundet om
async map, at + er et af de tegn man ikke kan angive i async
map. Men da jeg ikke kunne finde bedre løsninger valgte jeg,
at prøve alligevel.

Sidenhen har jeg overvejet, på hvilke andre måder dette kunne
misbruges. En ICMP echo request udefra kunne indeholde
sekvensen. Men er det faktisk nok at tænke på payloaden? Det
ville vel have samme resultat, hvis man kunne få maskinen til
at bruge sekvensen i en pakkeheader.

Jeg har også overvejet, om andet end blot serielle modems til
telefonlinien har den slags svagheder. Motorola kabelmodems
har en indbygget webserver, der kan bruges til at foretage
forskellig konfiguration af modemet. Kunne man ikke nemt
forestille sig, at nogen lavede en ondskabsfuld webside med
et link eller en form, der sender en kommando til at
rekonfigurere kabelmodemet?

Jeg har sikret mit eget kabelmodem ved at sætte en regel i
min iptables configuration til at forhindre udgående pakker
til kabelmodemet for alle andre end root. Men uden denne
kunne jeg nemt forestille mig et problem.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Kasper Dupont <kasperd@daimi.au.dk> wrote in
news:3E476603.D68032FC@daimi.au.dk:

> Tidligere er det blevet nævnt her i gruppen, at nogle modems
> har en svaghed som gør at forbindelsen afbrydes hvis de sender
> sekvensen +++ATH0. Og dette kan f.eks. udnyttes af en
> ondskabsfuld webside med et link til en url hvor denne streng
> indgår eller blot et billede.

Mig bekendt skal strengen komme 'indefra og ud', så et billede ville ikke
hjælpe meget i denne sammenhæng.

> Jeg har sidenhen testet dette på et enkelt modem, og det led
> faktisk af fejlen. Jeg fandt også ud af, at man kan undgå
> problemet ved at tilføge + tegnet til async map i ppp
> opsætningen. Godt nok siger alle dokumenter jeg har fundet om
> async map, at + er et af de tegn man ikke kan angive i async
> map. Men da jeg ikke kunne finde bedre løsninger valgte jeg,
> at prøve alligevel.

Præcis hvad du roder med her aner jeg ikke, men jeg kan fortælle at den
rigtige[tm] måde at beskytte sig på er ved at ændre værdien af S2
registeret. Ifølge v90atcom.pdf (table 3) der skriver en masse om sjov
med disse modems, er default værdien for "AT escape character" 43,
hvilket svarer til føromtalte +. Hvis denne værdi sættes til noget højere
end 127 bliver escape character command sequencen disabled.

> Sidenhen har jeg overvejet, på hvilke andre måder dette kunne
> misbruges. En ICMP echo request udefra kunne indeholde
> sekvensen. Men er det faktisk nok at tænke på payloaden?

Det kan den sandelig også. Man kan faktisk kontrollere modemmet ved at
sende de 'rigtige' ting efter det, f.eks vil +++ATL2M3ATO efterfulgt af
CRLF sætte modemmets indbyggede speaker til at være 'always on' og 'max
volume', hvorefter det returnerer til data mode. Min bekendte lavede et
lille værktøj til det efter vores anvisninger, og det burde stadig
fungere hvis du kan finde et villigt offer. Det kan hentes på
http://drunken.fi.st/rockhell.exe.

> Jeg har også overvejet, om andet end blot serielle modems til
> telefonlinien har den slags svagheder. Motorola kabelmodems
> har en indbygget webserver, der kan bruges til at foretage
> forskellig konfiguration af modemet. Kunne man ikke nemt
> forestille sig, at nogen lavede en ondskabsfuld webside med
> et link eller en form, der sender en kommando til at
> rekonfigurere kabelmodemet?

Dette vil så vidt jeg kan tænke mig til kun være muligt hvis du er logget
ind i dit kabelmodem allerede.

> Jeg har sikret mit eget kabelmodem ved at sætte en regel i
> min iptables configuration til at forhindre udgående pakker
> til kabelmodemet for alle andre end root. Men uden denne
> kunne jeg nemt forestille mig et problem.

Så længe du ikke surfer som root burde du være ganske sikker :D

--
Knud, det er tidligt, måske sludrer jeg.

---

Arne Schwerdtfegger wrote:

>> Jeg har også overvejet, om andet end blot serielle modems til
>> telefonlinien har den slags svagheder. Motorola kabelmodems
>> har en indbygget webserver, der kan bruges til at foretage
>> forskellig konfiguration af modemet.

<snip>

> Dette vil så vidt jeg kan tænke mig til kun være muligt hvis du er logget
> ind i dit kabelmodem allerede.

Desværre ikke. Websiden er ikke beskyttet af kodeord eller andet.

Der findes endda en lille sød knap der hedder "Reset to factory
defaults" der får modemet til at droppe forbindelsen med det samme og
retraine forbindelsen med udbyderen. Så kan man gå ud og tage sig et par
kopper kaffe imens.

--
Save aix1!

---

Christian Andersen <w9luodn02@sneakemail.com> wrote in
news:b27thp$1gpv$1@news.cybercity.dk:

> Arne Schwerdtfegger wrote:
[snip]
>> Dette vil så vidt jeg kan tænke mig til kun være muligt hvis du er
>> logget ind i dit kabelmodem allerede.
>
> Desværre ikke. Websiden er ikke beskyttet af kodeord eller andet.

Måske vil det være på sin plads at kontakte fabrikanten og udtrykke sin
utilfredshed over dette. Kommer der ikke noget ud af det plejer 'public
disclosure' at være en god hjælpende hånd.

> Der findes endda en lille sød knap der hedder "Reset to factory
> defaults" der får modemet til at droppe forbindelsen med det samme og
> retraine forbindelsen med udbyderen. Så kan man gå ud og tage sig et
> par kopper kaffe imens.

Det er vel ikke så slemt? Med lokal adgang kan en angriber erstatte dit
modem emd et andet etc. etc.

--
Knud

---

Arne Schwerdtfegger wrote:
>
> Måske vil det være på sin plads at kontakte fabrikanten og udtrykke sin
> utilfredshed over dette. Kommer der ikke noget ud af det plejer 'public
> disclosure' at være en god hjælpende hånd.

Jeg har tidligere henvendt mig til fabrikanten omkring et andet
problem med deres kabelmodems. Og jeg følte ikke, at min henvendelse
blev behandlet seriøst. Jeg har i stedet henvendt mig til min egen
udbyder, og de har lovet at undersøge det nærmere.

>
> Det er vel ikke så slemt? Med lokal adgang kan en angriber erstatte dit
> modem emd et andet etc. etc.

Du har altså ikke forstået problemet. Der snakkes ikke om en abgriber
med lokal adgang til maskinen, angrebet kan foretages af enhver
person uden overhovedet at have brugernavn på den maskine, hvis
modem angribes.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Den Mon, 10 Feb 2003 12:53:06 +0100 skrev Kasper Dupont:
>Arne Schwerdtfegger wrote:
>>
>> Det er vel ikke så slemt? Med lokal adgang kan en angriber erstatte dit
>> modem emd et andet etc. etc.
>
>Du har altså ikke forstået problemet. Der snakkes ikke om en abgriber
>med lokal adgang til maskinen, angrebet kan foretages af enhver
>person uden overhovedet at have brugernavn på den maskine, hvis
>modem angribes.

Jeg tror han læste "knap", som sådan en man fysisk skal trykke på, i
stedet for en <input type="button"/>. Det gjorde jeg faktisk også i
første omgang.

Mvh
Kent
--
IE is the only thing capable of making Netscape look good
- D. Spider in comp.os.linux.advocacy

---

Kent Friis wrote:

> Jeg tror [Arne] læste "knap", som sådan en man fysisk skal trykke på, i
> stedet for en <input type="button"/>. Det gjorde jeg faktisk også i
> første omgang.

Jeg har lige genlæst mit indlæg og det kan godt opfattes forkert.

Undskyld til Arne.

--
Save aix1!

---

Christian Andersen <w9luodn02@sneakemail.com> wrote in news:b28l6t$2erc$1
@news.cybercity.dk:

> Kent Friis wrote:
>> Jeg tror [Arne] læste "knap", som sådan en man fysisk skal trykke på, i
>> stedet for en <input type="button"/>. Det gjorde jeg faktisk også i
>> første omgang.

Jepsen.

> Jeg har lige genlæst mit indlæg og det kan godt opfattes forkert.
>
> Undskyld til Arne.

Alt forladt.

--

---

Kent Friis wrote:
>
> Den Mon, 10 Feb 2003 12:53:06 +0100 skrev Kasper Dupont:
> >Arne Schwerdtfegger wrote:
> >>
> >> Det er vel ikke så slemt? Med lokal adgang kan en angriber erstatte dit
> >> modem emd et andet etc. etc.
> >
> >Du har altså ikke forstået problemet. Der snakkes ikke om en abgriber
> >med lokal adgang til maskinen, angrebet kan foretages af enhver
> >person uden overhovedet at have brugernavn på den maskine, hvis
> >modem angribes.
>
> Jeg tror han læste "knap", som sådan en man fysisk skal trykke på, i
> stedet for en <input type="button"/>. Det gjorde jeg faktisk også i
> første omgang.

Nå, på den måde. Jeg havde ikke lagt mærke til, at det også kunne
tolkes på den måde. Siden hvornår har en knap nu kunnet være et
fysisk objekt?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Den Mon, 10 Feb 2003 21:41:59 +0100 skrev Kasper Dupont:
>Kent Friis wrote:
>>
>> Den Mon, 10 Feb 2003 12:53:06 +0100 skrev Kasper Dupont:
>> >Arne Schwerdtfegger wrote:
>> >>
>> >> Det er vel ikke så slemt? Med lokal adgang kan en angriber erstatte dit
>> >> modem emd et andet etc. etc.
>> >
>> >Du har altså ikke forstået problemet. Der snakkes ikke om en abgriber
>> >med lokal adgang til maskinen, angrebet kan foretages af enhver
>> >person uden overhovedet at have brugernavn på den maskine, hvis
>> >modem angribes.
>>
>> Jeg tror han læste "knap", som sådan en man fysisk skal trykke på, i
>> stedet for en <input type="button"/>. Det gjorde jeg faktisk også i
>> første omgang.
>
>Nå, på den måde. Jeg havde ikke lagt mærke til, at det også kunne
>tolkes på den måde. Siden hvornår har en knap nu kunnet være et
>fysisk objekt?

Et bevis på at den slags semaforer er til mere skade end gavn.

Mvh
Kent
--
Exception 0E in module IFSMGR.VXD
Press control-alt-delete to reboot

---

Den Tue, 11 Feb 2003 16:10:14 +0000 (UTC) skrev Kent Friis:
>Den Mon, 10 Feb 2003 21:41:59 +0100 skrev Kasper Dupont:
>>Kent Friis wrote:
>>>
>>> Den Mon, 10 Feb 2003 12:53:06 +0100 skrev Kasper Dupont:
>>> >Arne Schwerdtfegger wrote:
>>> >>
>>> >> Det er vel ikke så slemt? Med lokal adgang kan en angriber erstatte dit
>>> >> modem emd et andet etc. etc.
>>> >
>>> >Du har altså ikke forstået problemet. Der snakkes ikke om en abgriber
>>> >med lokal adgang til maskinen, angrebet kan foretages af enhver
>>> >person uden overhovedet at have brugernavn på den maskine, hvis
>>> >modem angribes.
>>>
>>> Jeg tror han læste "knap", som sådan en man fysisk skal trykke på, i
>>> stedet for en <input type="button"/>. Det gjorde jeg faktisk også i
>>> første omgang.
>>
>>Nå, på den måde. Jeg havde ikke lagt mærke til, at det også kunne
>>tolkes på den måde. Siden hvornår har en knap nu kunnet være et
>>fysisk objekt?
>
>Et bevis på at den slags semaforer er til mere skade end gavn.

s/semaforer/metaforer sg* da

Mvh
Kent
--
6.0 FDiv 3.0 = 1.999773462873 - Intel Pentium bug

---

Christian Andersen wrote:
>
> Der findes endda en lille sød knap der hedder "Reset to factory
> defaults" der får modemet til at droppe forbindelsen med det samme og
> retraine forbindelsen med udbyderen.

Jeg har aldrig haft lyst til at prøve den knap. Men nu har jeg gjort
min udbyder opmærksom på, at der måske kan være et problem.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Arne Schwerdtfegger wrote:
>
> Mig bekendt skal strengen komme 'indefra og ud',

Ja, det er også min erfaring.

> så et billede ville ikke hjælpe meget i denne sammenhæng.

Jeg mente at strengen kunne indgå i navnet på billedet.

>
> Præcis hvad du roder med her aner jeg ikke, men jeg kan fortælle at den
> rigtige[tm] måde at beskytte sig på er ved at ændre værdien af S2
> registeret. Ifølge v90atcom.pdf (table 3) der skriver en masse om sjov
> med disse modems, er default værdien for "AT escape character" 43,
> hvilket svarer til føromtalte +. Hvis denne værdi sættes til noget højere
> end 127 bliver escape character command sequencen disabled.

Jeg roder ikke med noget, jeg overvejer blot hvor alvorligt
problemet er. Som sagt har jeg allerede fundet en løsning.
Det med at ændre escape karakter synes jeg ikke umiddelbart
lyder som en god løsning, hvad gør man så når man rent
faktisk ønsker at bruge en escape karakter til at afbryde
forbindelsen? (Jeg går da ud fra, at det er nødvendigt at
bruge escape karakteren når jeg kalder "ifconfig ppp0 down".)

>
> > Sidenhen har jeg overvejet, på hvilke andre måder dette kunne
> > misbruges. En ICMP echo request udefra kunne indeholde
> > sekvensen. Men er det faktisk nok at tænke på payloaden?
>
> Det kan den sandelig også. Man kan faktisk kontrollere modemmet ved at
> sende de 'rigtige' ting efter det, f.eks vil +++ATL2M3ATO efterfulgt af
> CRLF sætte modemmets indbyggede speaker til at være 'always on' og 'max
> volume', hvorefter det returnerer til data mode. Min bekendte lavede et
> lille værktøj til det efter vores anvisninger, og det burde stadig
> fungere hvis du kan finde et villigt offer. Det kan hentes på
> http://drunken.fi.st/rockhell.exe.

Du mener hvis jeg kan finde et villigt offer, der ejer en computer
med windows og modem?

>
> Dette vil så vidt jeg kan tænke mig til kun være muligt hvis du er logget
> ind i dit kabelmodem allerede.

Der er som Christian påpeger ingen form for login til modemet,
jeg skal blot være logget ind på min computer.

>
> Så længe du ikke surfer som root burde du være ganske sikker :D

Jeg surfer naturligvis aldrig som root, men havde jeg ikke ændret
i min iptables konfiguration, kunne modemet være misbrugt gennem
enhver bruger.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Kasper Dupont <kasperd@daimi.au.dk> wrote in
news:3E477C49.A361CA45@daimi.au.dk:

> Arne Schwerdtfegger wrote:
[snip]
> Jeg roder ikke med noget, jeg overvejer blot hvor alvorligt
> problemet er. Som sagt har jeg allerede fundet en løsning.
> Det med at ændre escape karakter synes jeg ikke umiddelbart
> lyder som en god løsning, hvad gør man så når man rent
> faktisk ønsker at bruge en escape karakter til at afbryde
> forbindelsen? (Jeg går da ud fra, at det er nødvendigt at
> bruge escape karakteren når jeg kalder "ifconfig ppp0 down".)

Det tvivler jeg på? Windows kan ihvertfald godt afbryde et ppp-link uden
at have adgang til disse escape characters.

[snip]
>> Det kan hentes på http://drunken.fi.st/rockhell.exe.
>
> Du mener hvis jeg kan finde et villigt offer, der ejer en computer
> med windows og modem?

Programmet virker fint under wine, og ofre er der masser af ude på det
store internet. Du kan evt. bruge ping -p 2b2b2b etc. etc. hvis du er
inkarneret anti-.exe mand.

>> Så længe du ikke surfer som root burde du være ganske sikker :D
>
> Jeg surfer naturligvis aldrig som root, men havde jeg ikke ændret
> i min iptables konfiguration, kunne modemet være misbrugt gennem
> enhver bruger.

Du burde måske overveje at hive fat i fabrikanten.

--
Knud

---

Arne Schwerdtfegger wrote:
> Præcis hvad du roder med her aner jeg ikke, men jeg kan fortælle at den
> rigtige[tm] måde at beskytte sig på er ved at ændre værdien af S2
> registeret. Ifølge v90atcom.pdf (table 3) der skriver en masse om sjov

Faktisk er det muligt, vha. af hullet, at programmere de sårbar modems
så register s2 bliver sat rigtigt :)

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/