[BCOP] Consulta sobre CPE's infectados

[Fernando Gont]

On 09/26/2017 01:23 PM, Fernando Quintero wrote:
> Hola!
> 
> 2017-09-26 11:05 GMT-05:00 Fernando Gont <fgont at si6networks.com
> <mailto:fgont at si6networks.com>>:
> 
>     On 09/26/2017 12:52 PM, Fernando Quintero wrote:
>     > Cordial saludo,
>     >
>     > Después de analizar muchos modelos de dispositivos CPE, ONT el tema de
>     > "/features/" nos preocupa demasiado, incluso mas que las configuración
>     > /by default/, porque finalmente las "/features/ ocultas" =
>     "/backdoors/"
>     > han sido los principales hallazgos preocupantes, por lo menos en Colombia.
> 
>     Un backdoor no es un feature -- y si lo es, es un feature para quien
>     espia/lo_accede :-)
> 
> Creo que se entiende lo que quiero decir ;)
> 
> La respuesta del fabricante es: "is a feature", aún cuando sabemos que
> un acceso remoto tiene mas pinta de /backdoor/.

Para mi, feature==funcionalidad de la que dispone el usuario.


Un asume, mas o menos, que el usuario hogareño es no-tecnico... y por
ende, en tal caso, apunta a "defaults" l suficientemente buenos. Lease:

* No disponer de usuarios contraseñas por defecto
* No disponer de accesos mas alla de los documentados
* Deshabilitar administracion desde la red publica
* deshabitar servicios basados en UDP (para evitar reflectores)

etc. etc.



Como features uno listaria funcionalidades de las que podría disponer el
usuario/administrador: e.g., filtrado stateful, BCP38, filtrado por MAC,
limites de conexiones/estados por direccion IP o MAC, etc...





>     > Durante años nos hemos preguntado, ¿porque razón llega un /backdoor/ a
>     > un dispositivo?.
>     > Han pasado los años y no hemos logrado obtener una respuesta y esto
>     > ocurre en toda la región. 
>     >
>     > El mismo dispositivo (versión y modelo) tiene diferentes /backdoors/
>     > (personalizados) para cada país, entonces donde radica el problema?
> 
>     Documentado o no documentado?
> 
> 
> Oficialmente no documentado, solo especulación, sin embargo exploit-db y
> otros repositorios de vulnerabilidades//exploits/ apoyan esa especulación.

SI hay un acceso no documentado, se trata de un backdoor, y el vendor
debe ir al paredon.



> Pienso que es un tema a tratar de resolver con las mejores prácticas en
> el proceso de adquisición  y los acuerdos entre /Vendors-ISPs/ para los
> /firmware/ personalizados, ya que hemos indagado con fabricantes y con
> ISPs y no hemos obtenido una respuesta acertada desde donde se produce
> el problema de dispositivos vulnerables por puertas traseras.
> *
> *
> *Las respuestas mas comunes de los fabricantes son:*
> 
> 1. Es una característica, no es una puerta trasera

Si no esta documentado, no es feature.


> 2. Es algo que el equipo de ingeniería dejó por error, no es algo que
> hicimos apropósito

Al fin y al cabo, no importa :-)  -- en todo caso, solo importa para la
"consciencia del vendor" (oxymoron? :-) ).

Slds,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492