[BCOP] Consulta sobre CPE's infectados
Fernando Gont
fgont at si6networks.com
Tue Sep 26 14:10:11 BRT 2017
On 09/26/2017 01:23 PM, Fernando Quintero wrote:
> Hola!
>
> 2017-09-26 11:05 GMT-05:00 Fernando Gont <fgont at si6networks.com
> <mailto:fgont at si6networks.com>>:
>
> On 09/26/2017 12:52 PM, Fernando Quintero wrote:
> > Cordial saludo,
> >
> > Después de analizar muchos modelos de dispositivos CPE, ONT el tema de
> > "/features/" nos preocupa demasiado, incluso mas que las configuración
> > /by default/, porque finalmente las "/features/ ocultas" =
> "/backdoors/"
> > han sido los principales hallazgos preocupantes, por lo menos en Colombia.
>
> Un backdoor no es un feature -- y si lo es, es un feature para quien
> espia/lo_accede :-)
>
> Creo que se entiende lo que quiero decir ;)
>
> La respuesta del fabricante es: "is a feature", aún cuando sabemos que
> un acceso remoto tiene mas pinta de /backdoor/.
Para mi, feature==funcionalidad de la que dispone el usuario.
Un asume, mas o menos, que el usuario hogareño es no-tecnico... y por
ende, en tal caso, apunta a "defaults" l suficientemente buenos. Lease:
* No disponer de usuarios contraseñas por defecto
* No disponer de accesos mas alla de los documentados
* Deshabilitar administracion desde la red publica
* deshabitar servicios basados en UDP (para evitar reflectores)
etc. etc.
Como features uno listaria funcionalidades de las que podría disponer el
usuario/administrador: e.g., filtrado stateful, BCP38, filtrado por MAC,
limites de conexiones/estados por direccion IP o MAC, etc...
> > Durante años nos hemos preguntado, ¿porque razón llega un /backdoor/ a
> > un dispositivo?.
> > Han pasado los años y no hemos logrado obtener una respuesta y esto
> > ocurre en toda la región.
> >
> > El mismo dispositivo (versión y modelo) tiene diferentes /backdoors/
> > (personalizados) para cada país, entonces donde radica el problema?
>
> Documentado o no documentado?
>
>
> Oficialmente no documentado, solo especulación, sin embargo exploit-db y
> otros repositorios de vulnerabilidades//exploits/ apoyan esa especulación.
SI hay un acceso no documentado, se trata de un backdoor, y el vendor
debe ir al paredon.
> Pienso que es un tema a tratar de resolver con las mejores prácticas en
> el proceso de adquisición y los acuerdos entre /Vendors-ISPs/ para los
> /firmware/ personalizados, ya que hemos indagado con fabricantes y con
> ISPs y no hemos obtenido una respuesta acertada desde donde se produce
> el problema de dispositivos vulnerables por puertas traseras.
> *
> *
> *Las respuestas mas comunes de los fabricantes son:*
>
> 1. Es una característica, no es una puerta trasera
Si no esta documentado, no es feature.
> 2. Es algo que el equipo de ingeniería dejó por error, no es algo que
> hicimos apropósito
Al fin y al cabo, no importa :-) -- en todo caso, solo importa para la
"consciencia del vendor" (oxymoron? :-) ).
Slds,
--
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
More information about the BCOP
mailing list