KPN Glasvezel zonder Experia box

Door Spider.007 op zaterdag 24 maart 2012 15:30 - Reacties (22)
Categorieën: hack, internet, Views: 29.006

Al enige tijd had ik thuis een glasvezelverbinding van KPN die via de Experia box (een ZTE zxv10 H220N) liep. KPN zelf noemt dit apparaat soms zelfs de 'modem', dus je zou denken dat je daar niet zomaar een Draytek tegenaan kan hangen. Vandaag had besloten eens te kijken of dit magische kasje eruit valt te halen; en dat is mogelijk en bleek niet zo moeilijk. Ik gebruik overigens alleen internet en geen TV / telefonie via deze aansluiting.

In mijn Draytek 2130n heb ik de volgende instellingen doorgevoerd:

Connection type: PPPoE
Username: kpn@direct-adsl
Password: KPN
Fixed IP: No
Clone MAC: Yes
MAC Address: (overgenomen van Experia Box)

Dit is nog niet alles, onder Multi-VLAN moet je ook dit nog instellen:

Enable: Yes
WAN VLAN ID: 6

Gebruikte bronnen:Dit instellen was voor mij voldoende om keihard te kunnen internetten ;)

NetQ noemt beveiligingsfout 'een feature'

Door Spider.007 op maandag 28 november 2011 22:57 - Reacties (12)
Categorieën: code, hack, internet, Views: 4.165

Vrijdag kwam op T.net het artikel reviews: Een datalek: wat nu? voorbij. Het niveau van de gegeven tips is dusdanig basaal dat je zou denken dat elk persoon met enige ervaring op het internet hetzelfde allang bedacht heeft.

Toch vergaat het lachen je al snel als je bedenkt dat ook basale fouten door grote bedrijven worden gemaakt; en wel door bedrijven die omgaan met jouw informatie. Of dit nou persoonsgegevens zijn die je niet wilt laten lekken; of enquêtes op basis waarvan andere bedrijven beslissingen nemen; het blijft toch informatie waarvan je hoopt dat deze veilig verzameld, opgeslagen en ontsloten wordt.
Nadat ik mij eerder had verbaasd over de daadwerkelijke vragen in een enquête, ben ik afgelopen week bezig geweest om een bedrijf te overtuigen van een beveiligingslek.

Dit keer ging het om Oasen die via NetQ een enquête afneemt. NetQ is een bedrijf wat als primaire bezigheid het aanbieden van een online enquête-tool heeft. Je zou verwachten dat beveiliging hier een belangrijk onderdeel van de bedrijfsvoering is, maar de praktijk wijst anders uit.

De uitnodiging die ik ontving, leidde mij naar een website en bevatte een unieke identifier die mij identificeert. Deze bestond uit een UUID, die eigenlijk gegarandeerd uniek is.

Tot zo verre geen probleem, maar ik dacht; laat ik eens twee karakters aan het einde van mijn UUID weghalen. Tot mijn verbazing stuurde de applicatie mij terug naar het originele UUID. Natuurlijk probeerde ik direct hoeveel karakters ik dan kon weghalen. Hier kwam ik tot de conclusie dat het merendeel van de karakters kon worden verwijderd. Uiteindelijk had ik van de oorspronkelijke 32 karakters nog 4 karakters over; en dit bleek genoeg om een enquête op te halen, en in te vullen.

Van de oorspronkelijke 340.282.366.920.938.463.463.374.607.431.768.211.456 opties bleven er dus nog 65.536 over. Dit is een fout die zo evident is dat het weinig moeite zou moeten kosten om de ontwikkelaars hiervan te overtuigen. Grappig genoeg is dat me niet gelukt.

Uiteraard heb ik direct netjes contact opgenomen met NetQ, en na enkele malen telefonisch en per e-mail het probleem te hebben toegelicht kreeg ik uiteindelijk de volgende reactie:
[...]

Dit is destijds expres zo ontworpen omdat meerdere situaties denkbaar zijn waarin respondenten een incomplete link gebruiken.

[...]

omdat het niet bekend is welke persoon/persoonsgegevens bij deze unieke link horen, of bij welke enquête de link hoort, is het onmogelijk voor hackers om op een systematische manier de data te manipuleren.
Het bedrijf is dus volledig op de hoogte van de fout en biedt deze 'feature' dus willens en wetens aan. Nu zou ik denken dat het garanderen van 'echte' reacties bij een enquête één van belangrijkste eigenschappen van dergelijke software is, maar blijkbaar ben ik hierin abuis.

Met de hoop NetQ alsnog te overtuigen van hun fout, biedt ik hierbij dus de NetQ enquete-bot aan. Deze bot vult een enquête voor alle mogelijke respondenten automatisch in. Mocht je een enquête zoeken is een eenvoudige Google query voldoende. De bot geeft momenteel altijd dezelfde antwoorden, maar dit is natuurlijk eenvoudig te veranderen.

Update: inmiddels heb ik van NetQ de uitleg ontvangen dat de unieke link nooit als veilig is bedoeld en dat ze bekijken of ze het minimale aantal karakters in het unieke ID kunnen verhogen

'Glasvezel, daar moet u een speciale router voor hebben'

Door Spider.007 op zaterdag 19 november 2011 10:00 - Reacties (21)
Categorieën: internet, service, Views: 7.100

Laatst ben ik het glasvezel-informatiepunt in het centrum binnengelopen voor wat informatie. De kwaliteit van dienstverlening werd snel geïllustreerd doordat niemand wist wat ik bedoelde met een FUP (ook de 'technische' man niet). Nadat ik alle drie de aanwezig personeelsleden aan het werk had gezet (eentje ging KPN bellen om te vragen of er een FUP was, de tweede ging opzoeken wanneer ik mijn glasvezelaansluiting kon gebruiken en de derde liet mij een voorbeeld-meterkast zien) werd helaas al snel bevestigt waar ik al bang voor was. Verkopen zullen ze wel kunnen, maar dit soort medewerkers even een uurtje wat basale technische kennis uitleggen is blijkbaar te moeilijk voor de bedrijven die ons glasvezel willen verkopen.

Volgens hen heb ik naast een andere modem ook een andere router nodig omdat glasvezel 'op een andere frequentie werkt'. Uiteraard vond ik dit interessant en wilde ik weten welke componenten in mijn netwerk ik volgens hem moest vervangen. Daarnaast was ik natuurlijk geïnteresseerd wat er dan precies op een andere frequentie zou werken. Mij werd verteld dat mijn bestaande switch niet meer gebruikt kon worden vanwege deze frequentie-verschillen. Na doorvragen kreeg ik uiteindelijk het bewijs van de stelling. De persoon in kwestie zocht de specificaties op van de router die in de voorbeeld-meterkast hing (en door hem altijd werd aangeraden als goede router voor glasvezel...). Trots toonde hij mij de door hem bedoelde frequenties: 2.4 en 5 GHz. Ziet u mijnheer, die heeft u nodig om glasvezel te kunnen gebruiken.