Názory k článku Máte router od UPC? Změňte si výchozí heslo k wi-fi, není bezpečné [AKTUALIZOVÁNO]

hovor s podporou upc:
já: blabla nefunguje blabla
upc: momentík, podívam se k Vám
já: jasně
upc: hmm, vy jste si změnil výchozí administrátorské heslo na modemu
ja: ano
upc: tak si to projdeme.......

... a v reálu se domáháte toho, aby vám práci/diplomku atp. vrátili aspoň do jednoho roku...

Protoze mit v zarizeni heslo od vyrobce/dodavatele je obecne chyba?
Protoze menit heslo pravidelne je zakladni bezpecenostni krok ktery clovek muze udelat?

Samozrejme, ze je to opruz a nikdo to nedela, ale to nemeni nic na tom, ze je to z pohledu bezpecnosti dobry napad to delat.

protože je obecně lepší mít vlastní heslo/pin/přístup než ten 'tovární'? dělám to tak se vším, nehledě na poplašné zprávy na Lupě či kdekoliv jinde (a nutno dodat že zrovna Michal Špaček je můj bezpečnostní polobůh:) )

Důvod prvni:

Nekdo pres vasi nezaheslovanou wifi hackne nejaky portal, policii dovedou dukazi k vam domu, ta tam vtrhne, vas zavre, zabavi vam pocitac, sice za do tretiho dne prijdou na to, ze ste uplna LAMA co jenom nema zaheslovanou Wi-Fi, ale ani tak to neni uplne hezka zkusenost.

Duvod druhy:

Nekdo se pripoji na vasi nezabezpecenou Wi-Fi, jelikoz je nyni ve vasi vnitrni siti, muze naprimo zkouset zranitelnosti vaseho pocitace, televize, ci jakehokoli zarizeni, normalne by nemohl, pac jsou za NATem takze by je nevidel. Nezabezpecit Wi-Fi je v tomoto pripade jako nezamikat dvere a doufat, ze vsechny veci v byte jsou pribite dostatecne na to, aby je nikdo nevzal.

Staci?

Hacknut GSM a dostat sa k tomu SMS kodu je este jednoduchsie ako dostat sado zaheslovanej WiFi :-D Staci k tomu device za $30 z ebayu...

Tvoj tunel ti je uplne zbytocny, ked ti niekto kompromituje jednu stranu toho tunela

Mam pocit ze si jeden z takych tych wannabe hackerov a zijes s dost falosnym pocitom bezpecia ze na teba nikto nema :-D A poviem ti ze takych ako ty uz bolo ...

Řiká člověk, který se schovává na ovh proxy :-DD

IPv6 žádné adresy sama nemění, kde jsi to vzal? Jen je rozsah tak velký, že je možné je velice často měnit a není možné je plošně skenovat, prozatím.

Ked si kupite stary byt (nie novostavbu) tiez si vymenite zamky.
Ked v byte, ktory prenajimate, odide povodny podnajomnik, tiez vymenite zamky.

Jasne ze NEMUSITE, ono tie stare zamky budu dalej otacat zavorami a dvere sa nebudu dat otvorit/zatvorit inym klucom.

Ale mate vyznamnu NEISTOTU, ze takyto kluc (resp. jeho plne funkcnu kopiu/ekvivalent) moze mat NIEKTO INY.

A ked dojde ku kradezi bez ZJAVNYCH znamok nasilneho prekonania vstupnych dveri, mate PROBLEM (trebars s poistovnou)
A ten problem mate Vy.

Ludia chcu ISTOTY (je to pohodlnejsie).
Takze z POHODLNOSTI je logicke ZMENIT si factory default heslo :-)

A ty se pak s klidnym svedomim na takove sito pripojis k internetovemu bankovnoctvi a dalsim sluzbam? Tvoje spani bych chtel mit...

Nastroj mate? To nevadi ze jste nikoho neznasilnil ... V GB (a i jinde) dostanete za zasifrovany disk mozna vic, nez za vrazdu.

https://cs.wikipedia.org/wiki/Povinn%C3%A9_vyd%C3%A1v%C3%A1n%C3%AD_kl%C3%AD%C4%8D%C5%AF#Spojen.C3.A9_kr.C3.A1lovstv.C3.AD

V prosinci mi UPC bez upozornění na dálku resetovalo modem do továrního nastavení... SSID, heslo, administrátorské údaje, všechno výchozí. Byl jsem šokován.

Jediné správné řešení je za UPC bazmek pořídit vlastní router s FW a tu jejich věc omotat alobalem.

Což takhle klícka z hustého králičího pletiva? Samozřejmě i s dvířky :-).

Ad. 2) pokud o to bude zlodej stat, tak rozstipe dvere bytu sekerou, to nemeni nic na faktu, ze zamikam byt.

Spise co si myslet o firme, ktera dava sesionid do linku, a o nekom, kdo ten link vcetne te sesion postne na web.

když máš barák, je to jiné než když jsi ve městě a v dosahu máš 40 wifi sítí (ano!).

Mně osobně to vadí, kdokoliv mi příjde, přijede k baráku, k bytovce, napojí se na wifi, udělá nějaké nekalosti a já pak budu složitě dokazovat, že já to nebyl.

Funguje spolehlivě u všech sítí, které se jmenují UPC1234567, tedy za UPC pokračuje 7 cifer. Samozřejmě za předpokladu, že si zákazník nezměnil k dané síti heslo. Nefunguje u 5-ciferných, 6-ciferných a 8-ciferných.
V mém okolí nalezeno 6x sítě UPC, z toho 4 s odpovídajícím SSID.
Na všechny jsem se úspěšně přihlásil jedním z vygenerovaných hesel.
Dále jsem se zkoušel přihlásit do administrace routeru defaultním admin/admin a taky u všech 4 úspěšně.

To je alarmující situace - vyřešit to plošně lze pouze vzdálenou nucenou aktualizací firmwaru a následní nucenou změnou hesla routeru při prvním přihlášení k síti.

Co je na tom proboha poplasneho? Vzdyt je to pravda.

ale pšššt, o tom, že GSM není zabezpečitelné se musí mlčet, operátoři to neradi slyší :).

Pro cílený útok je zabezpečení přes 2FA smskou nedostatečné.

Častější je ale nějaké svinstvo, které čte zprávy, android jako jediná masová mobilní platforma dovoluje jednoduše číst zprávy aplikacemi.

Nějak nechápu, co se děje? Novináři mají kopr nebo kocovinu? Neumím pochopit nikoho, kdo má router a nechá si tam tovární nastavení.

Tohle ví o moje tchýně a to na webu zná jen seznam a blesk.....

Prostě, kdo chce kam.....to si může takovej uživatel nechat wifi rovnou otevřenou a je to.

Jenže aby se mohlo šifrovat, musí se napřed mobil a BTS dohodnout na klíči, tedy mobil musí poslat otevřeně své IMSI, BTS podle něj vyhledá klíč, a pak si můžou šifrovat. K tomuto dohadování (a dalším věcem, které z podobných důvodů nejdou šifrovat), slouží právě servisní kanál (což je jeden z 32 kanálů mobilního signálu, třicet je trunkových, tedy pro hovory a zbývající jeden je synchronizační. A jen trunkové kanály jsou šifrované). A proto není šifrovaný. SMS využívá (spíše zneužívá) tu část GSM standardu, která byla původně vyhrazena právě na podobné dohadování mobilu a BTS, a proto SMSky jsou posílané servisním kanálem a tedy také nejsou šifrované.

To ovsem delate spatne ... protoze ona dama si prece pronajala nebo koupila nahradni pocitac, cimz ji vznikla skoda (zcela prokazatelna fakturou/smlouvou) a ta skoda je zcela bezdiskusne vymahatelna a soud na ni klidne obratem vystavi platebni rozkaz.

Dale pochopitelne muze vzniknou skoda i nemoznosti pristupu k datum atd atd, je samozrejme na dotcene osobe, aby skodu nalezite dokladovala. Poskozena muze byt i jeji povest ... A je to take neco, ceho se boji jak cert krize. Ne ze by to platili primo ze sveho, ale na premiich se jim to projevi.

Nadto neexistuje (alespon vetsinou) zadny pravni duvod HW zadrzovat, protoze disky se daji kopirovat. Takze pokud jste zrovna sve PC nepouzil k ubiti sve manzelky, dost tezko nekdo zduvodni 2 roky.

Jasne, muze to par let trvat, nez se satisfakce dockate, a mozna do toho budete muset nejdriv jeste nejake ty $$$ nalit. Mironetu to trvalo tusim 15 let. A jeste to neni ukonceno pokud vim.

U baráku se ti budou držet hezký holky. Vídávám je sedět na trávníku. Člověk by se měl obklopovat hezkými věcmi jsem někde slyšel.

Ale UPC policii sdeli vasi adresu a vase jmeno. A pak jeste (mozna) adresu a jmeno toho, jehoz ucet byl pouzit. Jak to bylo s tim rytim zahradky?

Realita je ta, ze provoz otevrene wifi je defakto nejlepsi reseni. To totiz i v P&Ch chapou, ze se na to muze pripojit vazne kdokoli.

Oslavný článek o Turrisu?

A kdo má zašifrovaný disk, disky a nebude chtít prozradit heslo, ten je automaticky zloděj, kriminálník, nepřítel státu, celého světa a milovník dětí, že?

Nemate nekdo zkusenosti s tim, ze pote co zmenite na UPC wifi routeru ssid a heslo k nemu, vam operator vzdalene toto nastaveni vrati na puvodni ?
Me kolegyni se to stalo jiz dvakrat a mam sto chuti UPC omlatit slovo SECURITY o hlavu.
Security vyresim tim, ze ji tam dam router, ale proboha jak si muze UPC toto dovolit? Pokud mam podezreni, ze mi nekdo uhodl heslo, tak si ho zmenim a UPC mi ho zmeni zpatky ? WTF?

Psal jsem, že policie už byla za mnou, že byl přes Wi-Fi spáchán trestný čin. Doplním krádež a fyzická nakládačka oběti, která jim sedla na lep. Takže zkušenost je a mohl jsem to napsat jak je to v reálu. Do baráků nelezou a počítače, mobily, tablety či televize nezabavují, to je jen strašák schizofrenicky šířen veřejností a hlavně každým poskytovatelem připojení k internetu.

aha :), pořád mi ale vrtá hlavou, co mi brání tomu si do db ukládat pouze prvních 64bitů a zbytek nechat jen pro síťovou vrstvu? :).

Zatím vidím často příděly /64 bloku a třeba přijatelná /50 s 16k /64 bloků je obecně nedostupná.

Jak mám spustit ten program ve Windows? Děkuji

Nefunguje to, resp. zkouseno u tri typu modemu a nikdy to nevygenerovalo spravne heslo (uvedene na stitku).

Já z cizích sítí do banky nebo jinam klidně, protože mám VPN (šifrovaný spojení) do svýho routeru. Navíc se musí zadávat ověřovací SMS kod k převodu peněz. Pokud to bylo bráno ve vlastní síti, tak tu mám oddělenou na úrovni firewallu, takže by ses nechytal ve slídění z Wi-Fi pro všechny.

Fakt neexistuje žádný negativní důvod mít nezaheslovanou Wi-Fi.
Dokonce se dá i na tom vydělávat, když budete měnit lidem na stránkách reklamní obsah, ale to se dá provozovat jen na IPv6 protokolu, kdy lidi nejsou pod jednou IP. Nejvíc sem měl za kliknutí na reklamu 46 Kč.

se simkami byla vždy sranda, ono totiž udržovat deset, patnáct let podporu starých simek znamená dost velký průser. Teprve letos jsem měnil oskar simcardu, přestala fungovat.

Ještě velká řada simek běží nad COMP128, což rozhodně není zabezpečené, samozřejmě pro většinu crack-kiddie to je nedobytná pevnost.

Milenage je už jiná sranda, tam jsou některé parametry dobře chráněny, ale pořád ne dostatečně, hezké čtení je třeba tady https://www.blackhat.com/docs/us-15/materials/us-15-Yu-Cloning-3G-4G-SIM-Cards-With-A-PC-And-An-Oscilloscope-Lessons-Learned-In-Physical-Security-wp.pdf

Jinak každý rok je na hack konferencích představen nový útok na simkarty.

(nemám tak hluboké znalosti, ale rád si o tom čtu)

to tak úplně není pravda.

Na komunikaci mezi vysílačem a příjimačem (mobil <> BTS) se rádiový siglám šifruje statickým klíčem, který je součástí simkarty.

Algoritmus, kterým jsou data ve vzduchu šifrovaná se jmenuje A5 (ano, geniální věc na googlení) a podporuje několik úrovní šifrování, od plain textu (A5/0) po poměrně silnou 128 bitovou šifru (A5/3, KASUMI, https://en.wikipedia.org/wiki/KASUMI). Úroveň šifrování je opět zadrátování přímo na simkartě vč. toho statického klíče, rozvojové a totalitní země mají často nešifrovanou verzi, v EU třeba dlouhé roky fungovala A5/1, kterou jsem měl u donedávna než jsem vyměnil Oskar simku za novou).

Chce ale myslet na to, že se nejedná o E2E šifru, ale pouze o modulaci rádiového signálu. Data k BTS často ale putují přes internet a otevřené cesty a BTS nebývají nijak moc chráněny proti odposlechnutí nebo napíchnutí.

Ochrana mobilního přenosu je vesměs velice slabá a žalostná, internet je na tom mnohem lépe. LTE je třeba z tohohle ohledu už někde jinde, ale BTS je pořád slabým článkem.

IPv6 mění adresy každou chvilku. IPv4 můžeš poslat přes VPN nebo přes tor sítě. Ty asi máš strach, aby ti neblokli přístup ze serverů odkud stahuješ co bys neměl a jiný nezákonný obsah, tak použiješ tribler.org torrent klienta. Všechno jde ošetřit, když jseš paranoidní.

Týká se to jen routeru, nebo i přímo modemu od nich?

To je ostuda napsat Wi-Fi malými písmeny na takovým portálu.

Na druhou stranu, lepší než kdyby všichni měli rtusr123 ;)

ano, neodporuji Vam, jen konstatuji, ze na trech ruznych typech modemu od UPC to nefunguje. Jelikoz jsou zdaleka nejrozsirenejsi, myslim, ze to tak poplasna zprava, jak vyznel tento clanek, nebude. Ostatne ani autor exploitu radeji nespecifikoval, na jakych modemech to funguje.

když si koupím zámek ke dveřím, také si nenechám předělat vložku, abych neměl výchozí klíč?

Logické to je možná nám, kteří víme, jak špatně to funguje. To že se výrobci ulehčují práci tím, že generují hesla podle nějakých pravidel, aby je nemuseli složitě přeposílat na tom nic nemění.

Kopie DVD, CD programů a jejich zálohy na HDD můžeš mít, je to bráno jako instalační média,záloha, sbírka, úlovek,.., i když k tomu nemáš licence. Co bys něměl mít jsou nainstalované programy s licencí nebo registračním klíčem, který se nevztahuje k tvý osobě, firmě. Jinými slovy program nesmí být instalován, rozbalen v počítači, aby byl funkční, připraven k užívání.

Proč tedy měnit heslo na zařízení, které není zranitelné?
To jako když vyjde nějaká poplašná zpráva, tak si všichni budeme měnit hesla, protože to neuškodí???

No nevim. Ten router patri UPC. Mne patri az ten kabel, co z nej vede.
Takze o modem se stara UPC a at si fungujici dodavku sluzeb zajisti jak chce, ja chci mit data v tom kabelu, co z routeru vede. Z principu nehodlam do jejich zarizeni nijak zasahovat ani nijak menit konfiguraci. Nevim ani o tom, ze bych znal administratorske heslo od toho kramu (a kdybych v tom heslo zmenil, jak to pak budou v UPC dalkove spravovat?).

Z toho mají strach jen ty co nechtějí pustit peníze nebo nechtějí používat alternativu k programům. Tedy většinou mladí blbečci. Ten kdo má Win dows koupený a v jiných programech má pořádek, tak ten naopak na tom může vydělat, když mu soudně odvezou počítač. A rozhodně to bude částka na slušnej herní počítač.

Pokud vím, tak GSM šifruje jen hovory. SMS běží po servisním kanálu, a ten není šifrovaný. SIM toolkit právě šifruje SMS než je předá na odeslání.

Kdyz to omotate alobalem moc tesne, tak se to bude prehrivat. Je tam treba nechat trochu mista a otvory pro vetrani. A pak jako naschval z toho ten alobal spadne :-( A delat kvuli tomu nejakou konstrukci, na kterou ten alobal dam, se mi nechce.

1) to udela uplne stejne, protoze pokud mate modem s wifi, mate na nem zapnutou i tu uzasnou upcfree sit, a na tu se umi pripojit kazdy hejl.

2) pokud o to bude stat, pripoji se zcela urcite i pres vasi uzasne zabezpecenou sit.

tohle se primárně týká zařízení s wifi, tj. model nejspíš ne.

Každopádně to je problém všech zařízení, které mají od výrobce vygenerovaná hesla a váš poskytovatel je zná. Jde jen o čas, kdy se zase někomu povedle najít algoritmus jejich generování.

Pokud to bude zloděj, tak ti do baráku vleze nejsnazším způsobem oknem. Proč se mordovat s dveřmi, když plastový okna nekladou odpor. To je pak tisícikorunová dveřní vložka a pancéřové dveře jen na okrasu a vábidlo pro zloděje.

Kdyby jen 40 ... scaner bezne najde kolem 150+ siti.

jedná se o zdrojový kód, program si z toho musíš udělat :). Lze zkompilovat třeba pomocí Visual Studia od MS.

Počkej chvilku, objeví se pár implementací na webu, už něco na redditu je, ale ještě jsem to neprocházel.

Nevyděláte nic, prostě vám po dvou letech ten počítač vrátí. Ověřeno na případě kolegyně. Ani se nedozvěděla, kdo ji udal, to je prý tajné. Přestože nenašli nic, tak odškodnění jí nenáleželo žádné, protože policie postupovala v souladu se zákonem.

Takže částka 0 Kč. Za to počítač leda tak na obrázku.

Zabezpečitelné je a i se to používá. Bohužel řada místních bank to nechce připustit, protože to jsou dodatečné náklady a "obtěžuje to klienty". Viz "sim toolkit". Každá SIM karta má vlastní klíč a k přečtení je potřeba PIN. Ale pšššt, oni by to klienti mohli chtít a kdo se s tím má programovat.

aha, tak tohle je pro mě nová informace :), děkuji, už vím jak to myslíš, musím dostudovat.

Jenže ta UPCFree síť je oddělená, má své SSID a svůj IP prostor.

Nechápu proč si lidi heslují svý Wi-Fi. Vždyť to má dosah pár metrů od baráku. A navíc stejně připojení nevyužíváte stále nebo naplno. To, že se někdo přisaje mobilem ani nepoznáte. Já si koupil další zařízení a dal antény na střechu a kdo chce, tak ten se může připojit, i když se protáhne míň než po kabelu. I padesát megabit je dobrý.
To, že vás straší policií, aby jste nedělali dobrý skutky je jen jejich tupá obrana. Já policii měl u baráku, připojili se, pak zazvonili, jeden ukázal odznak, byl menší pokec jestli nemám přehled kdo se připojil před půl rokem, nepochodili, tak zas odjeli. Do spisu si udělali záznam o free Wi-Fi, aby nejezdili zbytečně příště a dál se vesele stovky lidí měsíčně připojuje na mou Wi-Fi.

Nezaheslovaná a volně dostupná Wi-Fi není trestný čin a ani přestupek!