Navigatie overslaan.
Start

Scarlet (black)box

Zoals ik reeds vertelde had ik sinds zaterdag middag/avond geen internet access meer.
De reden hiervoor was mijn "Scarlet Box" die niets meer deed.

Met een oude Cisco router kon ik mij wel verder helpen, en een telefoontje naar de Scarlet helpdesk verder was alles al geregeld: De Scarlet Box zou probleemloos omgeruild worden voor een nieuwe.
Ik vond dit al verdacht, zeker omdat ik niet eens een deftige probleemomschrijving hoefde te geven, en de meeste bedrijven niet zomaar hardware beginnen swappen. Ik dacht dus aan een gekend, maar nog niet toegegeven, probleem.

Hoe dan ook, via Kiala zou er een nieuwe Scarlet box opgestuurd worden naar mijn plaatselijke krantenwinkel.
Deze kwam de dag erna al aan.

De krantenwinkelman wist mij te vertellen dat ik die dag al de 4de persoon was die een nieuwe Scarlet Box kreeg.
Verdacht hé?

Volgens mij heeft ofwel Scarlet tijdens het weekend een grote fuckup begaan, ofwel wil men de klanten met nieuwe hardware uitrusten om de marktwaarde te vergroten. (Scarlet wil overgenomen worden.)

Hoe dan ook.
De geschiedenis vertelt over paarden en Troje, dus wat is het risico als ik de nieuwe Scarlet Box zomaar aansluit?

Voorgeconfigureerd

De Scarlet Box was al voorgeprogrammeerd voor mijn internetverbinding.
Dit wil dus zeggen dat Scarlet mijn wachtwoord kent, en het bijgevolg niet meer "mijn" wachtwoord is.

Dit is een issue dat je in je achterhoofd moet houden als je niet overal unieke wachtwoorden gebruikt. (En dus je wachtwoord voor Scarlet ook voor andere doeleinden gebruikt.)

Sommig mensen vinden dit waarschijnlijk service. Ik niet.

Default account

Net zoals vroeger is er een default account: admin/admin.
Dit was vroeger ook al, maar lees ook het volgende...

Remote Access!

Bij default kan iedereen vanaf buiten aan de nieuwe Scarlet Box: TCP poort 7676 van overal naar de externe interface geeft de webinterface.

Verander dus de default account, of dissable remote access: "Security", "Advanced NAT Configuration..." bij de PPP-0 link, "Disable" in de "Change State" kolom. (In de screenshot is het al uitgeschakeld.)


(Om de een of andere reden kan je niet de algemene "Disable NAT to internal interfaces" doen, dan gaat er geen traffiek meer door de Scarlet Box. Ik weet niet waarom, maar ik heb Scarlet al gevraagd wat de correcte manier is om remote access uit te schakelen.)

Ik begrijp niet dat je anno 2008 nog devices op de markt kan brengen die je aan het internet hangt en die een default admin account hebben, en default remote access bieden tot de webinterface.

CWMP

De nieuwe Scarlet Box maakt gebruik van het CPE WAN Management Protocol. (http://en.wikipedia.org/wiki/TR-069)
Scarlet maakt blijkbaar gebruik van Motive als ACS.
Je kan dit niet disablen, maar wel het IP adres (URL) van de ACS veranderen...

Deze instellingen zijn terug te vinden onder "DslHome".

CWMP wordt gebruikt om het device vanop afstand te managen en instellingen te veranderen.
(Ik wil niet dat er zonder mijn medeweten aan de instellingen veranderd wordt.)

De username bestaat uit de eerste helft van het MAC adres, het modelnummer en het volledige serienummer van het device.
Het wachtwoord staat in de HTML source en is een hexadecimale string.
Je kan met deze accountgegevens naar de URL "surfen".

So what?

Misschien denk je "So what?".
Het antwoord is, louter hypothetisch,:

Stel ik doe een host sweep van de IP adresrange van Scarlet op zoek naar open poorten 7676.
Dit is misschien illegaal in België, maar als ik dit vanuit Verwegiestan doe, dan kraait daar geen haan naar.

Ik vind hopen Scarlet Boxen, en ik gebruik de default login credentials om op de devices in te loggen.

Aangezien alle wachtwoorden zichtbaar zijn in de HTML source, heb ik nu hopen "gratis" internet accounts en wachtwoorden om naar eigen goeddunken te gebruiken als ik op de Scarlet DSLAM ben aangekoppeld.

Aangezien de default Scarlet wachtwoorden XXXYYY01 zijn, weet ik of ik met defaults te maken heb of niet. (XXX zijn de eerste 3 letters van de familienaam, YYY de eerste 3 van de voornaam.) Bij een niet-default account, is de kans groot dat deze ook voor andere dingen gebruikt kan worden.

Ik kan de login accounts gebruiken om in te loggen op de "mijn.scarlet.be" site en accounts opzeggen, dingen bijbestellen, enz...

Op de "mijn.scarlet.be" site vind ik ook namen, adressen, telefoonnummers, geboortedata, zelfs identiteitskaartnummers, enz...
Identity theft made easy.

Enz., enz., enz. Zoals altijd is jouw fantasie de limiet.

Dus, wie heeft nog een kapote Scarlet Box moeten vervangen?

Amai ....

Zo'n gevaarlijke info op 't internet posten. Pas maar op dat ze niet aan uw deur staan.

 

Vrije meningsuiting

Als er een bug/backdoor/ongedocumenteerde feature/enz. in hun software zit, en ik post daar info over, dan is dat gevaarlijk. Niet het posten van die info.

Dit is een defaultconfiguratie van een device waar ik de eigenaar van ben.

Ik zeg gewoon dat de defaultconfiguratie niet deugt.

De verantwoordelijkheid voor de gevolgen van een dergelijke configuratie liggen voor 100% bij degene die dit device op deze manier geconfigureerd heeft.
Het (pre)configureren van een device is namelijk een "opzettelijke daad".

En ik snap niet wat dit te maken heeft met het maken en verspreiden van computervirussen. ;-)

Bridged mode

Ik heb mijn Scarlet Box geherconfigureerd voor Briged mode zodat iedere connectie rechtstreeks op mijn FW uitkomt.
Op de FW kan ik nu zelf een PPPoE connectie opzetten.
(Veel makkelijker omdat het extern IP nu op de FW zit, en niet op Scarlet Box.)

De firmware die Scarlet verscheept is blijkbaar een Beta versie. (Geen versienummer, gewoon "Beta".)

De hardware is blijkbaar wel leuker geworden, met de "officiële" firmware wordt ook SIP en MGCP ondersteund. (Alsook IPsec VPNs)
SIP is handig voor als ik ooit bij Scarlet weg ga...

ftp://ftp.allieddata.nl/public/Product_Info/VoIP/Copperjet_1616-2P/