La Fibre
Forum : => La Fibre FTTH (Fiber To The Home) => 
Technologie Gpon / Le futur: XGS-PON et NG-PON2 => Discussion démarrée par: thenico le 02 novembre 2016 à 12:28:52
-
Voici un post sur le blog de Pierre Kim (https://pierrekim.github.io/blog/2016-11-01-gpon-ftth-networks-insecurity.html) qui semble être passé inaperçu ici.
En résumé, les ONT ont le même niveau de securité que les routeurs WiFi au début des années 2000 et SFR semble ne pas vérifier le SLID ce qui rappelle le DOCSIS 1 et les abus avec des modems-cables trafiqué.
On parle également de bruteforce de SLID et d'un mode SNIFFER sur le GPON.
-
En même temps l'article date d'hier. Quand je vois l'image d'illustration de l'ONT SFR "currently provided" j'ai cru à un truc qui avait 2 ans cela dit !
Concernant la vérification du SLID, c'est bien quand il parle de mode "VOLATILE" ?
-
Concernant la vérification du SLID, c'est bien quand il parle de mode "VOLATILE" ?
Oui, autoprovisionning.
J'imagine que SFR a une liste des addresses MAC des ONT en service et ne provisionne qu'eux ....
-
Faudrait tester - parce que j'ai l'impression que la personne n'a testé que sur Orange - j'ai quand même un doute. Si je modifie le SLID de ma NB (pour qu'elle le pousse à l'ONT) je suis pas certain de continuer à avoir une ligne fonctionnelle.
Cela dit le gros problème de cela c'est d'avoir qqn qui a un accès Internet sans payer ou j'ai mal compris ?
Sachant qu'en plus il a utilisé un ONT plus proposé depuis ~4 ans si j'ai bien calculé !
-
Quelqu'un peut résumer ce que ça veut dire?
Le gars débranche un client innocent, il branche son ONT "pirate" à son emplacement, et ainsi il récupère les infos nécessaires auprès de l'OLT? Ou je n'ai strictement rien compris (fort probable)?
-
Quelqu'un peut résumer ce que ça veut dire?
Le gars débranche un client innocent, il branche son ONT "pirate" à son emplacement, et ainsi il récupère les infos nécessaires auprès de l'OLT? Ou je n'ai strictement rien compris (fort probable)?
Il a découvert de nombreuses backdoors et failles sur les ONT testés communs aux trois opérateurs (mais anciens modèles).
Après analyse du mode d'authentification, il en conclut qu'on peut, en connectant son propre ONT au port d'un abonné dans le boitier d'immeuble :
- SFR/Bouygues : activer une connexion directement (car SLID VOLATILE=DEFAULT chez SFR/Bouygues)
- Orange : Tenter de récupérer le SLID par Bruteforce (prendra du temps néanmoins), pour ensuite activer une connexion avec le SLID (la nécessité d'utiliser un identifiant fti valide pour PPPoE disparait avec le passage en DHCP ?)
-
(la nécessité d'utiliser un identifiant fti valide pour PPPoE disparait avec le passage en DHCP ?)
Non, il faut toujours passer le fti en option DHCP.
Et il y a un challenge pour l'instant statique.
Je pense que si Orange commence à voir du brute force sur leurs OLT, le challenge deviendra dynamique avec secret partagé stocké dans les LiveBox.
(A la DOCSIS quoi ...)
-
En même temps l'article date d'hier. Quand je vois l'image d'illustration de l'ONT SFR "currently provided" j'ai cru à un truc qui avait 2 ans cela dit !
L'article n'a été publié que hier, mais toute la recherche s'est déroulée il y a 2-3 ans :
This research was mainly done in 2013-2014 but was kept private. It was done for educational purpose in order to understand how GPON FTTH works.
Quelqu'un peut résumer ce que ça veut dire?
Le gars débranche un client innocent, il branche son ONT "pirate" à son emplacement
Il y a vraiment besoin d'être sur un port précis ? L'OLT n'èmet pas à tout le monde en même temps ? Il suffit juste de brancher, au niveau de l'immeuble, son ONT sur le bon arbre GPON, non ?
et ainsi il récupère les infos nécessaires auprès de l'OLT?
Ce que je comprend, c'est que l'ONT réclame via DHCP une adresse IP, l'OLT la lui donne puisque il n'y a (presque) pas d'authentification, et c'est tout : la connexion est établie ! (en tout cas chez SFR et Bouygues au moment où ses investigations se sont déroulées)
-
L'article n'a été publié que hier, mais toute la recherche s'est déroulée il y a 2-3 ans :
Ma remarque reste valable mais c'est pas bien important.
-
Le sujet vient d'être traité par Pierre COL sur ZDNet : http://www.zdnet.fr/actualites/d-inquietantes-failles-de-securite-dans-les-acces-fibre-optique-ftth-en-france-39844258.htm
-
https://youtu.be/0iGjg6ZpN1s
-
Le sujet vient d'être traité par Pierre COL sur ZDNet : http://www.zdnet.fr/actualites/d-inquietantes-failles-de-securite-dans-les-acces-fibre-optique-ftth-en-france-39844258.htm
J'invite les gens intéressés par le sujet à plutôt lire l'article original. Bien qu'imparfait, c'est toujours mieux.
-
Sinon j'ai gardé le vieil ONT SFR lors de mon changement pour un mini-ONT il y a 4 ans et je me suis souvenu de 2 trucs :
- le tech rentre un SLID dans l'ONT (et maintenant c'est de l'auto-conf depuis la NB6)
- il ne marchait plus au bout de quelques jours
Comme quoi, il y a peut-être un peu plus de sécurité qu'on veut bien nous dire.
Je vais tâcher de le retrouver pour aller un peu plus loin et réaliser les tests qui n'ont pas été fait par l'auteur du papier original.
-
J'ai peut être loupé quelque chose, mais c'est quoi la conséquence de la faille de sécurité (en admettant qu'il y en ait une) ? Pouvoir surfer à l'œil ?
J'ai du mal, voir beaucoup de mal avec ce genre d'article/titre. C'est un peu comme si à l'époque du cable analogique, quelqu'un titrait "Découverte d'une importante faille de sécurité chez Numericable", il suffit de retirer le filtre pour avoir accès au réseau...
-
Tu veux pas prendre tout ce qui est marqué comme argent comptant et en rajouter un peu pour faire des vues sur ton blog plutôt qu'être critique ?
-
J'ai peut être loupé quelque chose, mais c'est quoi la conséquence de la faille de sécurité (en admettant qu'il y en ait une) ? Pouvoir surfer à l'œil ?
Et c'est en théorie.
Orange demande un login donc en PPP c'est mort.
Reste la nouvelle archi en DHCP; je mets 3 centimes que l'OLT ajoute des informations sur l'arbre GPON d'origine et que le serveur DHCP valide par rapport au login (obligatoire)
-
J'ai peut être loupé quelque chose, mais c'est quoi la conséquence de la faille de sécurité (en admettant qu'il y en ait une) ?
En fait, ce papier n'expose effectivement rien de nouveau, et environ rien qui ne soit pas vraisemblablement connu par ses concepteurs − oui 90 % des équipements dans la nature ont une interface d'admin web (et non une "backdoor") et une CLI (je reconnais bien mon post et ceux d'1 ou 2 personnes qui ont été pompés d'ici), oui tu peux faire des choses en te branchant en amont au même titre qu'en DOCSIS et en DSL, oui survoler un ou deux risques supposés pour agrèmenter sa recherche est simple. Ah si, une command injection pour l'accès à une interface à laquelle tu as déjà le contrôle, moi aussi j'ai trouvé des self-XSS sur des modems. (Et la partie 7.8, je n'ai rien lu de plus magique au moins depuis que j'ai vu un post random sur UniversFreebox) Je comprends que le CERT d'Orange à la fin soit un peu gêné de recevoir ce genre de requête.
Il expose juste des choses connues sous un angle modérèment tapageur ("GPON FTTH networks (in)security") que les traducteurs-régurgiteurs vont exposer sous un angle 2x plus clickbait ("D’inquiétantes failles de sécurité dans les accès fibre optique FTTH en France ?").
-
Pour avoir lu et relu l'article de Pierre Kim, y'a de grosses approximations sur la partie que je connais, Orange.
Déjà, le slid de l'ont doit être l'un de ceux provisionnés sur l'arbre, donc le bruteforce, on repassera...
Ensuite, que ça soit en ppp ou en dhcp, l'olt (et le dslam en xdsl) insère des champs dans les padi/padr ou discover/request qui permettent d'identifier le raccordement physique du client : dslam/olt, carte, port (et n° d'ont pour le ftth). Cette information, couplée avec le fti du ppp ou du dhcp permet d'éviter 90-99% des problèmes (pas forcèment de la malveillance - plutôt genre inversion de ligne).
La partie retro-ingénierie des binaires est intéressante, de ce coté là ça n'a peut-être pas beaucoup évolué depuis le temps, après je ne vois pas, contrairement à un routeur troué, quel est le risque réel. L'ont n'est pas joignable depuis le lan en temps normal, et pas joignable depuis le wan non plus.
Bref, y'a eu du boulot, intéressant, mais avec quelques approximations amha.
Ah oui, et l'auth implicite sur orange.fr, c'est fini également.
-
En fait, ce papier n'expose effectivement rien de nouveau, et environ rien qui ne soit pas vraisemblablement connu par ses concepteurs − oui 90 % des équipements dans la nature ont une interface d'admin web (et non une "backdoor") et une CLI (je reconnais bien mon post et ceux d'1 ou 2 personnes qui ont été pompés d'ici), oui tu peux faire des choses en te branchant en amont au même titre qu'en DOCSIS et en DSL, oui survoler un ou deux risques supposés pour agrèmenter sa recherche est simple. Ah si, une command injection pour l'accès à une interface à laquelle tu as déjà le contrôle, moi aussi j'ai trouvé des self-XSS sur des modems.
Les interfaces d'admin sont censées être bridées, il passe quand même root via une faille CGI.
Pour en faire quoi c'est la question.
-
Ya des restes de Shellshock sur ce type de matos ? :o
-
Voici un post sur le blog de Pierre Kim (https://pierrekim.github.io/blog/2016-11-01-gpon-ftth-networks-insecurity.html) qui semble être passé inaperçu ici.
En résumé, les ONT ont le même niveau de securité que les routeurs WiFi au début des années 2000 et SFR semble ne pas vérifier le SLID ce qui rappelle le DOCSIS 1 et les abus avec des modems-cables trafiqué.
On parle également de bruteforce de SLID et d'un mode SNIFFER sur le GPON.
utiliser la force brute pour trouver un SLID valide, puisque c'est une chaîne alphanumérique de seulement 8 ou 10 caractères
Alphanumérique = chiffres et lettres minuscules et majuscules
(26*2+10)**10 > 8E17
Qui va faire de l'ordre du milliard de milliards d'essais pour obtenir un SLID?
Combien de temps ça peut mettre? Comment éviter de saturer le serveur d'authentification?
-
Comment pas se faire blacklister par l'OLT ?
-
Et si un individu malintentionné se branche à la place d'un abonné, par exemple quand il est absent de chez lui
Il y a vraiment besoin d'être sur un port précis ? L'OLT n'èmet pas à tout le monde en même temps ?
Oui, c'est le principe même d'un média partagé, comme le câble, le GSM, le Wifi, le Wimax, le satellite... Il n'y a pas de "position" ou de "brassage".
Tu tentes d'accéder au serveur en donnant des identifiants qui sont acceptables ou pas. Tu peux essayer de recopier des identifiants de connexions que tu récupères :
- en espionnant les échanges lors de l'identification
- en piratant un boitier pour accéder à sa ROM
Mais le fait que l'abonné soit déjà connecté pourrait gêner ta tentative d'utiliser son identifiant. Seulement dans ce cas, tu pourrais avoir envie de couper sa connexion.
-
Plus ou moins quand même, tu n'as qu'entre 1 et 128 chances, en fonction du remplissage de l'arbre. (Et il y'a bien des positions sur un OLT)
-
Plus ou moins quand même, tu n'as qu'entre 1 et 128 chances, en fonction du remplissage de l'arbre. (Et il y'a bien des positions sur un OLT)
Tu as juste à aller au Point de mutualisation et ensuite tu as 1 chance sur xxx ports du tirroir/module de distribution de tomber sur le client que tu veux couper.
Si tu veux récupérer les données qui transitent en downstream sur l'arbre GPON, après il faut voir si toutes les fibres sont connectées sur le même port de l'OLT, les différentes cartes de l'olt ont plusieurs ports et elles gèrent chacunes plusieurs arbres GPON, donc si tu te connectes sur n'importe quel connecteur du PM, tu ne tomberas pas forcèment sur l'arbre GPON ou il y a le flux downstream du client. Après là j'ai généralisé
-
Moi je parlais de se brancher à l'arbre et d'essayer de choper un SLID avec une connexion derrière.
-
(26*2+10)**10 > 8E17
Qui va faire de l'ordre du milliard de milliards d'essais pour obtenir un SLID?
Un peu moins si case insensitive
-
Un peu moins si case insensitive
Beaucoup moins (3E15), mais cela ne change pas le fait que des millions de milliards de tentatives d'authentifications sur un port (au lieu de quelques centaines), cela se repère très facilement.
Même en prenant 8 lettres minuscules seulement (sans chiffres), ça fait 208827064576 possibilités. Tu mets un compteurs de tentatives et tu vois qu'il y a un truc anormal (pas forcèment un piratage d'ailleurs, ça pourrait être un équipement qui déconne).
Ce qui me choque c'est de faire croire qu'il s'agit d'un espace trivial à tester.
-
Comment éviter de saturer le serveur d'authentification?
C'est l'OLT qui valide le SLID
-
C'est l'OLT qui valide le SLID
Donc "serveur d'authentification" = "l'OLT", mais après ça ne change rien, même ça facilite la détection des abus et ça gène les attaques.
L'OLT doit être prévu pour le pire cas d'avoir tous les ONT qui rebootent au même moment. Mais pas des milliards de tentatives de connexions à la secondes.
C'est l'OLT qui valide le SLID
Voilà :
The SLID for an Orange connection is PERMANENT and is a shared secret between the ONU/ONT and the OLT. The SLID is entered into the ONT by a technician when he comes to your home to install the fiber. The authentication is based on this value. Changing the SLID to an incorrect value will interrupt the connection of the ONT to the remote OLT, which means NO INTERNET.
Il suffit que l'OLT impose une attente aléatoire entre 2 s et 10 s dès qu'il y a plus de 10 tentatives erronées successives, en limitant à 100 demandes simultanées.
Dans l'hypothèse la plus minimaliste, SLID de seulement 8 caractères alpha-num insensible à la casse, soit 2821109907456 combinaisons, quelques secondes d'attente, il faudrait en moyenne des années pour trouver un identifiant valide (ça dépend combien il y a d'identifiants valide en tout, évidemment).
-
VI.1 Authentication by serial number
This method assumes that the association between the serial number (and, optionally, the PLOAM
password) of the ONU and the specific subscriber isalready established at the OLT either through
pre-provisioning or in the course of previousactivations. Because this method is the most
straightforward in terms of PLOAM overhead, it is recommended for ONUs once their initial
registration on the PON has been completed.
In addition to the serial number, the PLOAM password, which is pre-provisioned (if fixed and
known a priori) or learned at the previous activations (for example, ifrandomly generated), can be
used for verification purposes.
VI.2 Authentication by PLOAM password
This method assumes that a registration ID is assigned to a subscriber at the management level, and
provisioned both into the OLT and communicated to installation orrepair personnel or even to the
subscriber directly. There is a method for entering the registration ID into the ONU in the field.
Specification of such a method is beyond the scope of this Recommendation.
The registration ID populates the ONU's PLOAM password, which is used by the OLT to recognize
the ONU. The OLT may learn the value of the ONU'sserial number for possible subsequent use in
serial number based authentication.
VI.3 Other forms of authentication
Additional ways to associate an ONU with a given subscriber, for example, the registration of the
ONU's media access control (MAC) address in a database, are not precluded. However, such
possibilities are beyond the scopeof this Recommendation.