ADSL-BC

[TC]

Non bien sur mais c'est une façon logique d'investiguer et de faire des recoupements. Sais tu ce qu'est un honey pot et à quoi ça sert en sécurité informatique ?

Ca m'étonnerait très fort que les données récoltées soient utiles... Si Vendetta en a des milliers comme il le dit, il ne va pas prendre une IP qu'il a déjà diffusée.

Quand à penser qu'une bande de cracker va les utiliser à des fins illégitimes, ca risque peut-être d'arriver... Mais il prendront les précautions pour ne pas être retrouvés (via un hotspot par exemple). D'où Belgacom n'a aucun intérêt à ce que ca arrive.

[Scheduler]

Une enquête est en cours à la police fédérale (Computer crime unit) et nous ne pouvons malheureusement pas donner plus d'informations sur l'avancement des recherches mais il n'y a pas de raison de s'inquiéter.
Eva

Non on ne s'inquiète pas : partant du principe que l'auteur des faits doit forcément revenir "sur les lieux du crime" pour contempler les effets de ses actions et apprenant que la computer crime unit est sur le coup : messieurs, plus rien ne restera privé et secret ici.
Tout doit être scanné, enregistré, vérifié ... De quoi donner des boutons à ceux à qui cela pose problème toute forme d'atteinte à la vie privée ...

En même temps le computer crime c'est combien de gars?
Pas grand chose comparé aux armes que les autres possède.
C'est sûrement une unité qui ne possède pas les moyens dont elle a besoin.

C'est pas la NSA lol

[Scheduler]

Bonjour à tous,

... une procédure immédiate afin de changer les mots de passe des clients impactés.

Eva

Génial !!!

500 clients (cette fois) qui devront attendre quelques jours avant de retrouver l'usage de leur accés Internet (et encore, si la poste fonctionne bien). En attendant, plus de mail, surf,...

Heureusement, je m'en fout, je suis passé chez VOO au lieu de chez vous.

Comme déjà expliqué, les BBOX sont paramétrable à distance -> c'est transparent pour l'utilisateur.

D'ou le problème si c'est une faille du modem, cela ne change rien au problème.
Changer le password ne sert à rien dans ce cas de figure.

[coolcat]

Une enquête est en cours à la police fédérale (Computer crime unit) et nous ne pouvons malheureusement pas donner plus d'informations sur l'avancement des recherches mais il n'y a pas de raison de s'inquiéter.
Eva

Non on ne s'inquiète pas : partant du principe que l'auteur des faits doit forcément revenir "sur les lieux du crime" pour contempler les effets de ses actions et apprenant que la computer crime unit est sur le coup : messieurs, plus rien ne restera privé et secret ici.
Tout doit être scanné, enregistré, vérifié ... De quoi donner des boutons à ceux à qui cela pose problème toute forme d'atteinte à la vie privée ...

En même temps le computer crime c'est combien de gars?
Pas grand chose comparé aux armes que les autres possède.
C'est sûrement une unité qui ne possède pas les moyens dont elle a besoin.

C'est pas la NSA lol

http://www.polfed-fedpol.be/org/org_dgj_FCCU_RCCU_fr.php

[Jean_Marie]

On vient d'en parler sur un flash info RTB2..

Un groupe de personnes chez Belgacom travaillent jours et nuits pour traquer ce vendetta, ainsi que le Police fédérale, info de 10 secondes.

JM

[coolcat]

C'est juste pour la BBox2 ou bien le sagem aussi est concerné ?

La BBox2 est un SAGEM relooké, et de mémoire ils ont tous les deux la même version de firmware
.

[Scheduler]

Une enquête est en cours à la police fédérale (Computer crime unit) et nous ne pouvons malheureusement pas donner plus d'informations sur l'avancement des recherches mais il n'y a pas de raison de s'inquiéter.
Eva

Non on ne s'inquiète pas : partant du principe que l'auteur des faits doit forcément revenir "sur les lieux du crime" pour contempler les effets de ses actions et apprenant que la computer crime unit est sur le coup : messieurs, plus rien ne restera privé et secret ici.
Tout doit être scanné, enregistré, vérifié ... De quoi donner des boutons à ceux à qui cela pose problème toute forme d'atteinte à la vie privée ...

En même temps le computer crime c'est combien de gars?
Pas grand chose comparé aux armes que les autres possède.
C'est sûrement une unité qui ne possède pas les moyens dont elle a besoin.

C'est pas la NSA lol

http://www.polfed-fedpol.be/org/org_dgj_FCCU_RCCU_fr.php

C'est bien mais cela appartient à la police et je pense pas que la police possède les moyens dont elle a vraiment besoin.
Je doute que ce soit une équipe de 50 personnes, il me semble un jour avoir vu unr eportage et si je dis pas d'erreurs, ils étaient 4-5.

Ca me semble peu par rapport au flux de donnés et cyber délinquance qu'il y a tout les jours.
Mais ce n'est que mon avis

[apn]

Bonjour à tous,

... une procédure immédiate afin de changer les mots de passe des clients impactés.

Eva

Génial !!!

500 clients (cette fois) qui devront attendre quelques jours avant de retrouver l'usage de leur accés Internet (et encore, si la poste fonctionne bien). En attendant, plus de mail, surf,...

Heureusement, je m'en fout, je suis passé chez VOO au lieu de chez vous.

Comme déjà expliqué, les BBOX sont paramétrable à distance -> c'est transparent pour l'utilisateur.

D'ou le problème si c'est une faille du modem, cela ne change rien au problème.
Changer le password ne sert à rien dans ce cas de figure.

Si la 'faille' se situe bien au niveau du protocole TR-069 comme les rumeurs le disent, alors changer de password d'accès utilisateur ne changera effectivement rien.

Il faudrait:
1. Restreindre l'accès TR-069 à la box à des IP bien précises de BGCM afin d'eviter l'accès à de futurs script kiddies.

2. Utiliser un password connu de BGM seulement afin de sécuriser la requête TR-069 envoyée de l'ACS vers la box.

[coolcat]

Une enquête est en cours à la police fédérale (Computer crime unit) et nous ne pouvons malheureusement pas donner plus d'informations sur l'avancement des recherches mais il n'y a pas de raison de s'inquiéter.
Eva

Non on ne s'inquiète pas : partant du principe que l'auteur des faits doit forcément revenir "sur les lieux du crime" pour contempler les effets de ses actions et apprenant que la computer crime unit est sur le coup : messieurs, plus rien ne restera privé et secret ici.
Tout doit être scanné, enregistré, vérifié ... De quoi donner des boutons à ceux à qui cela pose problème toute forme d'atteinte à la vie privée ...

En même temps le computer crime c'est combien de gars?
Pas grand chose comparé aux armes que les autres possède.
C'est sûrement une unité qui ne possède pas les moyens dont elle a besoin.

C'est pas la NSA lol

http://www.polfed-fedpol.be/org/org_dgj_FCCU_RCCU_fr.php

C'est bien mais cela appartient à la police et je pense pas que la police possède les moyens dont elle a vraiment besoin.
Je doute que ce soit une équipe de 50 personnes, il me semble un jour avoir vu unr eportage et si je dis pas d'erreurs, ils étaient 4-5.

Ca me semble peu par rapport au flux de donnés et cyber délinquance qu'il y a tout les jours.
Mais ce n'est que mon avis

Extrait du site :

Le Federal Computer Crime Unit



BRUXELLES, 28/02/2007. – Le Federal Computer Crime Unit (FCCU) est un département de la Direction Criminalité Economique et Financière de la Police judiciaire fédérale.
Le FCCU compte actuellement 32 membres du personnel et gère un point de contact national et international accessible 24 heures sur 24.
A côté du FCCU , 22 Regional Computer Crime Units sont installés au sein des directions de Police judiciaire fédérale situées au niveau des arrondissements. Ils représentent 108 personnes.

Au niveau national, le « FCCU » est responsable :
- du développement de la stratégie
- de la formation des enquêteurs spécialisés
- de la recherche sur internet
- de la gestion du point de contact sur internet www.ecops.be
- de l'expertise du matériel saisi lors d'opération
- de l'appui lors de perquisitions
- de la lutte contre le crime ICT
- de la lutte contre la fraude sur internet

Les « RCCU » s'occupent principalement :
- d'assistance lors des perquisitions
- d'expertises techniques lors d'opérations
- d'auditions des personnes interpellées
- de recherches sur internet
- d'enquêtes criminelles ICT

[mortis]

2. Utiliser un password connu de BGM seulement afin de sécuriser la requête TR-069 envoyée de l'ACS vers la box.

C'est bien le cas non ?

Dumoins, dans la bbox2 il est crypté, par contre les noms d'utilisateurs ne le sont pas.

[apn]

2. Utiliser un password connu de BGM seulement afin de sécuriser la requête TR-069 envoyée de l'ACS vers la box.

C'est bien le cas non ?

Dumoins, dans la bbox2 il est crypté, par contre les noms d'utilisateurs ne le sont pas.

Je n'en suis pas certain et n'ai pas (ne veux pas!) essayé(er).

Si Vendetta a eu accès aussi facilement aux logins+pwds ADSL via TR-069, il a probablement du utiliser le password de management (celui utilisé pour accès Telnet notemment). Ce password est à la portée du premier venu car disponible sur de nombreux sites dont celui-ci.

[mortis]

2. Utiliser un password connu de BGM seulement afin de sécuriser la requête TR-069 envoyée de l'ACS vers la box.

C'est bien le cas non ?

Dumoins, dans la bbox2 il est crypté, par contre les noms d'utilisateurs ne le sont pas.

Je n'en suis pas certain et n'ai pas (ne veux pas!) essayé(er).

Si Vendetta a eu accès aussi facilement aux logins+pwds ADSL via TR-069, il a probablement du utiliser le password de management (celui utilisé pour accès Telnet notemment). Ce password est à la portée du premier venu car disponible sur de nombreux sites dont celui-ci.

Non, les logins/pass sont complètement différents et inexistants sur la toile, mais bon, on va pas s'étendre sur le sujet ici.

Peut-être par contre qu'ils existent sur d'autres modems type VDSL 2 en clair...

[Scheduler]

Une enquête est en cours à la police fédérale (Computer crime unit) et nous ne pouvons malheureusement pas donner plus d'informations sur l'avancement des recherches mais il n'y a pas de raison de s'inquiéter.
Eva

Non on ne s'inquiète pas : partant du principe que l'auteur des faits doit forcément revenir "sur les lieux du crime" pour contempler les effets de ses actions et apprenant que la computer crime unit est sur le coup : messieurs, plus rien ne restera privé et secret ici.
Tout doit être scanné, enregistré, vérifié ... De quoi donner des boutons à ceux à qui cela pose problème toute forme d'atteinte à la vie privée ...

En même temps le computer crime c'est combien de gars?
Pas grand chose comparé aux armes que les autres possède.
C'est sûrement une unité qui ne possède pas les moyens dont elle a besoin.

C'est pas la NSA lol

http://www.polfed-fedpol.be/org/org_dgj_FCCU_RCCU_fr.php

C'est bien mais cela appartient à la police et je pense pas que la police possède les moyens dont elle a vraiment besoin.
Je doute que ce soit une équipe de 50 personnes, il me semble un jour avoir vu unr eportage et si je dis pas d'erreurs, ils étaient 4-5.

Ca me semble peu par rapport au flux de donnés et cyber délinquance qu'il y a tout les jours.
Mais ce n'est que mon avis

Extrait du site :

Le Federal Computer Crime Unit



BRUXELLES, 28/02/2007. – Le Federal Computer Crime Unit (FCCU) est un département de la Direction Criminalité Economique et Financière de la Police judiciaire fédérale.
Le FCCU compte actuellement 32 membres du personnel et gère un point de contact national et international accessible 24 heures sur 24.
A côté du FCCU , 22 Regional Computer Crime Units sont installés au sein des directions de Police judiciaire fédérale situées au niveau des arrondissements. Ils représentent 108 personnes.

Au niveau national, le « FCCU » est responsable :
- du développement de la stratégie
- de la formation des enquêteurs spécialisés
- de la recherche sur internet
- de la gestion du point de contact sur internet www.ecops.be
- de l'expertise du matériel saisi lors d'opération
- de l'appui lors de perquisitions
- de la lutte contre le crime ICT
- de la lutte contre la fraude sur internet

Les « RCCU » s'occupent principalement :
- d'assistance lors des perquisitions
- d'expertises techniques lors d'opérations
- d'auditions des personnes interpellées
- de recherches sur internet
- d'enquêtes criminelles ICT

An attendant le gars cours toujours et diffuse chaque semaine.

[mortis]

Je pense que vous sous-estimez les compétences techniques de la FCCU et que vous surestimez celles de la NSA

Les moyens sont différents par contre c'est sur.

[Scheduler]

Je pense que vous sous-estimez les compétences techniques de la FCCU et que vous surestimez celles de la NSA

Les moyens sont différents par contre c'est sur.

Matte ca et tu me diras si on surestime.

http://video.google.fr/videoplay?docid= ... q=echelon#

[apn]

2. Utiliser un password connu de BGM seulement afin de sécuriser la requête TR-069 envoyée de l'ACS vers la box.

C'est bien le cas non ?

Dumoins, dans la bbox2 il est crypté, par contre les noms d'utilisateurs ne le sont pas.

Je n'en suis pas certain et n'ai pas (ne veux pas!) essayé(er).

Si Vendetta a eu accès aussi facilement aux logins+pwds ADSL via TR-069, il a probablement du utiliser le password de management (celui utilisé pour accès Telnet notemment). Ce password est à la portée du premier venu car disponible sur de nombreux sites dont celui-ci.

Non, les logins/pass sont complètement différents et inexistants sur la toile, mais bon, on va pas s'étendre sur le sujet ici.

Peut-être par contre qu'ils existent sur d'autres modems type VDSL 2 en clair...

Si c'est bien le cas, on peut donc éliminer TR-069 comme étant la source de la fuite. Ou alors la fuite de ces logins+pwds d'accès TR-069 provient d'un employé (consultant) de Belgacom.

La seule manière possible pour récupérer 285.000 logins+pwds de façon automatisée à part TR-069 est un hack au niveau du site web e-services de Belgacom.

[Colombine]

Quid de la faille ? personne n'en parle.

Pour ma part, je remarque que sur la bbox2 :

- même lorsque, dans l'interface de la bbox2, "Using Primary HTTP Port (80)" est désactivé dans "Allow Incoming Access to the Web-Management", je peux accéder à l'interface web de la bbox2 [b] depuis l'extérieur (WAN)[/b], ca c'est quand même fort de café.
- un serveur web (lighttpd) tourne sur le port 631 (LAN+WAN) avec webdav activé (rw), et possibilité de parcourir l'arborescence des dossiers, bien que document root pointe sur du vide (? "/mnt/usb/sda1", "/mnt/usb") La faille viendrait de là ? J'y reviens.
- les mots de passe relatif aux comptes fxxxx@skynet sont codés dans le fichiers openrg.conf, je ne vois pas bien comment créer un automatisme pour aller rechercher ce mot de passe codé dans 280000 bbox pour ensuite devoir les décoder un à un. Peut-être que ce mot de passe apparaît en clair, mais je n'ai pas trouvé.
- pour en revenir au lighttpd, il est sans doute lié à l'acs (automatic configuration server) et un fichier "persist_crypt.txt", situé dans le même dossier que lighttpd contient peut-être toutes les informations nécessaires pour se connecter au server acs de belgacom, et de là sucer tous les mots de passe, en prétendant être chacune des bbox.

Je n'avais jamais regardé dans cette bbox, mais elle m'a l'air configurée à la va-vite, l'interface est vraiment mal structurée, voire peu professionnelle, pas sécurisée (aucun mot de passe est demandé pour changer de configuration et est accessible de l'extérieur), on peut très facilement se connecter sur une bbox (on connait le IP range de vdsl2 de belgacom), activer le telnet dans l'interface, et se connecter sur la bbox en telnet (le mot de passe admin est connu, je l'ai trouvé sur ce site).
Pou résumé il est facile de prendre le contrôle de 1 bbox, et ça, ce n'est déjà pas bien. Je suppose que si belgacom configure son server acs de la même manière - et je ne vois pas pourquoi il en serait autrement - il devrait être possible de récupérer les mots de passe à partir de ce serveur.

Je pense que belgacom est capable de stocker les mots de passe en clair, lors d'une installation nouvelle de bbox2, lors de la mise en réseau, cette bbox se configure seule, compte skynet et mot de passe compris. Si c'est le cas, belgacom mérite bien son nom d'opérateur historique, car c'est aussi ce qui caractérise sa technologie.

On a les techniciens que l'on se paie ...

[mortis]

Si c'est bien le cas, on peut donc éliminer TR-069 comme étant la source de la fuite. Ou alors la fuite de ces logins+pwds d'accès TR-069 provient d'un employé (consultant) de Belgacom.

La seule manière possible pour récupérer 285.000 logins+pwds de façon automatisée à part TR-069 est un hack au niveau du site web e-services de Belgacom.

Je ne pense pas qu'on puisse éliminer le TR-069 si facilement, il faudrait creuser pour être sûr.

[mortis]

Matte ca et tu me diras si on surestime.

http://video.google.fr/videoplay?docid= ... q=echelon#

Je parle des compétences et non des moyens Mais bon, on peut faire le débat pendant des heures :p

[apn]

Si c'est bien le cas, on peut donc éliminer TR-069 comme étant la source de la fuite. Ou alors la fuite de ces logins+pwds d'accès TR-069 provient d'un employé (consultant) de Belgacom.

La seule manière possible pour récupérer 285.000 logins+pwds de façon automatisée à part TR-069 est un hack au niveau du site web e-services de Belgacom.

Je ne pense pas qu'on puisse éliminer le TR-069 si facilement, il faudrait creuser pour être sûr.

Tu envisages une faille/bug (buffer overflow, underflow, etc) dans l'implémentation TR-069 si tu ne l'élimines pas donc.