KPN Glasvezel zonder Experia box

Door Spider.007 op zaterdag 24 maart 2012 15:30 - Reacties (22)
Categorieën: hack, internet, Views: 29.006

Al enige tijd had ik thuis een glasvezelverbinding van KPN die via de Experia box (een ZTE zxv10 H220N) liep. KPN zelf noemt dit apparaat soms zelfs de 'modem', dus je zou denken dat je daar niet zomaar een Draytek tegenaan kan hangen. Vandaag had besloten eens te kijken of dit magische kasje eruit valt te halen; en dat is mogelijk en bleek niet zo moeilijk. Ik gebruik overigens alleen internet en geen TV / telefonie via deze aansluiting.

In mijn Draytek 2130n heb ik de volgende instellingen doorgevoerd:

Connection type: PPPoE
Username: kpn@direct-adsl
Password: KPN
Fixed IP: No
Clone MAC: Yes
MAC Address: (overgenomen van Experia Box)

Dit is nog niet alles, onder Multi-VLAN moet je ook dit nog instellen:

Enable: Yes
WAN VLAN ID: 6

Gebruikte bronnen:Dit instellen was voor mij voldoende om keihard te kunnen internetten ;)

NetQ noemt beveiligingsfout 'een feature'

Door Spider.007 op maandag 28 november 2011 22:57 - Reacties (12)
Categorieën: code, hack, internet, Views: 4.165

Vrijdag kwam op T.net het artikel reviews: Een datalek: wat nu? voorbij. Het niveau van de gegeven tips is dusdanig basaal dat je zou denken dat elk persoon met enige ervaring op het internet hetzelfde allang bedacht heeft.

Toch vergaat het lachen je al snel als je bedenkt dat ook basale fouten door grote bedrijven worden gemaakt; en wel door bedrijven die omgaan met jouw informatie. Of dit nou persoonsgegevens zijn die je niet wilt laten lekken; of enquêtes op basis waarvan andere bedrijven beslissingen nemen; het blijft toch informatie waarvan je hoopt dat deze veilig verzameld, opgeslagen en ontsloten wordt.
Nadat ik mij eerder had verbaasd over de daadwerkelijke vragen in een enquête, ben ik afgelopen week bezig geweest om een bedrijf te overtuigen van een beveiligingslek.

Dit keer ging het om Oasen die via NetQ een enquête afneemt. NetQ is een bedrijf wat als primaire bezigheid het aanbieden van een online enquête-tool heeft. Je zou verwachten dat beveiliging hier een belangrijk onderdeel van de bedrijfsvoering is, maar de praktijk wijst anders uit.

De uitnodiging die ik ontving, leidde mij naar een website en bevatte een unieke identifier die mij identificeert. Deze bestond uit een UUID, die eigenlijk gegarandeerd uniek is.

Tot zo verre geen probleem, maar ik dacht; laat ik eens twee karakters aan het einde van mijn UUID weghalen. Tot mijn verbazing stuurde de applicatie mij terug naar het originele UUID. Natuurlijk probeerde ik direct hoeveel karakters ik dan kon weghalen. Hier kwam ik tot de conclusie dat het merendeel van de karakters kon worden verwijderd. Uiteindelijk had ik van de oorspronkelijke 32 karakters nog 4 karakters over; en dit bleek genoeg om een enquête op te halen, en in te vullen.

Van de oorspronkelijke 340.282.366.920.938.463.463.374.607.431.768.211.456 opties bleven er dus nog 65.536 over. Dit is een fout die zo evident is dat het weinig moeite zou moeten kosten om de ontwikkelaars hiervan te overtuigen. Grappig genoeg is dat me niet gelukt.

Uiteraard heb ik direct netjes contact opgenomen met NetQ, en na enkele malen telefonisch en per e-mail het probleem te hebben toegelicht kreeg ik uiteindelijk de volgende reactie:
[...]

Dit is destijds expres zo ontworpen omdat meerdere situaties denkbaar zijn waarin respondenten een incomplete link gebruiken.

[...]

omdat het niet bekend is welke persoon/persoonsgegevens bij deze unieke link horen, of bij welke enquête de link hoort, is het onmogelijk voor hackers om op een systematische manier de data te manipuleren.
Het bedrijf is dus volledig op de hoogte van de fout en biedt deze 'feature' dus willens en wetens aan. Nu zou ik denken dat het garanderen van 'echte' reacties bij een enquête één van belangrijkste eigenschappen van dergelijke software is, maar blijkbaar ben ik hierin abuis.

Met de hoop NetQ alsnog te overtuigen van hun fout, biedt ik hierbij dus de NetQ enquete-bot aan. Deze bot vult een enquête voor alle mogelijke respondenten automatisch in. Mocht je een enquête zoeken is een eenvoudige Google query voldoende. De bot geeft momenteel altijd dezelfde antwoorden, maar dit is natuurlijk eenvoudig te veranderen.

Update: inmiddels heb ik van NetQ de uitleg ontvangen dat de unieke link nooit als veilig is bedoeld en dat ze bekijken of ze het minimale aantal karakters in het unieke ID kunnen verhogen

900 Euro afschrijven na triviale hack

Door Spider.007 op woensdag 15 juni 2011 13:00 - Reacties (14)
Categorie: hack, Views: 6.889

Greenchoice heeft een mooie actie. Doe mee met Meewind; participeer voor 1000 Euro in een windmolenpark en krijg van Greenchoice een garantie op je inzet. Het proces tot deelname is dat er eerst 100 Euro (via automatische incasso) wordt afgeschreven, en later kun je hier 900 Euro bijstorten (wederom via automatische incasso).

Na mij op 24 april aangemeld te hebben werd na 3 weken (al...) de eerste 100 Euro afgeschreven. Vandaag ontving ik de vervolg mailing met daarin een bijzondere link:

Ja, ik doe mee en zet mijn inleg van ¤ 100 om in een participatie van ¤ 1000 in Meewind.
Door ja op ja te klikken geeft u Greenchoice opdracht voor een eenmalige machtiging van ¤ 900.

Nu is dit erg handig, maar ook wel behoorlijk eng (en behoorlijk dubieus of dit rechtsgeldig is). Na het linkje te hebben geklikt verwacht ik uiteraard in te moeten loggen, of extra gegevens te moeten invoeren. Nee hoor, zoals beloofd krijg ik direct een resultaat pagina:
Als klant van Greenchoice heeft u zojuist uw eerste inleg van ¤ 100 omgezet in een participatie Meewind van ¤ 1.000
Er is met deze flow 1 groot probleem. De link waar ik op klikte (in mijn email) was als volgt:

http://***.infamousrepublic.com/*********?nummer=24734

Ik wordt na het klikken daarop doorgestuurd naar:

http://**meewind.nl/greenchoice-v0.9.php?em=*********@gmail.com&kn=574313&mb=900&mn=Meewind%20Greenchoice%20900%20mailing&md=08-06-2011

Zoals je kan zien staat hier mijn emailadres, greenchoice-klantnummer en het bedrag dat moet worden afgeschreven. Gezien de bevestiging staat de incasso ook ingeboekt.

Nu kunnen jullie vast wel raden wat er gebeurt als je het nummer in de eerste URL verhoogd of verlaagd...



Na mijn melding is dit probleem overigens snel opgepakt door de ontwikkelaar en kreeg ik zelfs een bos bloemen thuisgestuurd als bedankje voor het melden :)

Het probleem bleek de in het mailingpakket ingebouwde URL shortener die oplopende ID's gebruikte.