От блога на “??нтернет общество – България”
-
Получихме цитираното изцяло по-долу писмо в “??нтернет общество” и го публикуваме, като поехме и ангажимента да го изпратим до БТК за коментар и до Комисията за защита на потребителите за взимане на отно??ение.
До: “??нтернет общество – България”
Уважаеми дами и господа,
Бих искал да обърна внимание на българската ??нтернет общност към едно техническо ре??ение на БТК, което представлява сериозна заплаха за съхранността на личната информация.
Това което открих е, че ADSL модемите на БТК са програмирани така че при срив/reset/др.п. започват автоматично да пренасочват всички заявки за свързване към… собствените сървъри на БТК! По този начин отваряне на коя да е уеб страница реално извежда на екрана страница на БТК, която уведомява потребителя, че модемът му се нуждае от инициализиране.
Подобно “пренасочване” е в сила докато ADSL модема не се инициализира (и докато не се изчистят всички евентуални DNS-ке??ове по пътя до потребителя).
Този факт може много лесно да се демонстрира чрез ръчно ресетване на произволен ADSL модем на БТК и след това опит за отваряне на произволен сайт.
Вече си представям обяснението на БТК, че това е направено за благото на потребителите, за да могат те при евентуален срив на модема и пропадане на връзката, бързо да установят причината, да рестартират ADSL модема и да възстановят връзката си с ??нтернет.
Това е разбираемо, но ако HTTP заявките се пренасочват към my.contact.bg, то SMTP, POP3, IMAP обръщенията отиват към… mbox.contact.bg, където отговаря пощенският сървър на БТК, който обработва заявките!
По този начин ADSL потребителите, които ползват масовите пощенски клиенти (освен ако не са под SSL и клиентът им не се “усети”, че сертификатът на пощенския сървър е сменен) даже няма да подозират, че има възможност паролите им да се подават към сървър различен от този, за който са предназначени.
За мен това си е чиста проба фал??ификация на ниво DNS, чрез която при желание могат лесно да бъдат събрани паролите за POP3, SMTP, и IMAP на нищо неподозиращите потребители.
Според мен, повече от достатъчно ще??е да бъде да се пренасочват обръщенията към сървър, на който се слу??а само HTTP порт 80 (за да се изобразява гореспоменатата страница) и се отхвърлят заявките към всички други портове.
Въможно ре??ение на проблема: добър пощенски клиент и SSL (напр. Mozilla Thunderbird и gmail). Моят пощенски клиент ме предупреди, че сертификатът на мейл сървъра е променен (вече се отнася за *.contact.bg), което ме накара да проверя нещата по-обстойно.
В приложената снимка се вижда куриозен traceroute, който за малко да ме накара да повярвам, че БТК тайно са купили Google или обратното 😉
Жалко, нещата както винаги излязоха доста по-прозаични…. 🙁
С уважение:
Виктор Арабаджийски
(адресът, e-mail и телефонът на автора се намират в “??нтернет общество”)
??скрено се надявам светкавично да бъдат взети нужните мерки, това безумие да бъде прекратено!
Това излезе като коментари в първите няколко минути във “Фейсбук”:
А защо просто да не си “хакнем” модема. БТК са достатъчо тъпи за да си унифцират паролите за всички модели – цъкаме в браузъра на http://192.168.1.1 и се логваме с
user: root
Паролите могатда бъдат (според модела на модема)
password: GSrootaccess , rootWLaccess ,ZTEroot381access, ZTEroot831access или expert03 . А и БТК sux :).
Todor Yalamov
Да, за пощата – искат outgoing server да е техният, което за мен е странно, но не знам какво мога да направя. Забранили са SMTP port 25. Уж за да защитят потребителите от спам, това ми казаха по телефона, което никак не разбрах.
Tomislav Arnaudov
This practics are also usual in slovak / czech republic …
for example I am a member of one comunity network, even if you are registred all your trafic goes trough some proxy servers and local mail servers… god bless to SSL tunnels 🙂
Deian Hristov
??деята със забраната на порт 25 освен към mobx.contact.bg е с цел не да избегне спам КЪМ, а ОТ потребителите, защото това може да доведе до блеклистване на техния домейн (на БТК) и съответно много главоболия. Доста доставчици вече го практикуват и наистина е доста неудобно, особено ако позлва?? лаптоп и служебна поща да речем.
@Виктор Арабаджийски
Всеки доставчик може да ви пренасочи трафика или да смени DNS записа – това няма отно??ение към крайното устройство при клиента.
Какъв е проблемът тогава – всеки администратор на мрежа, през която трафикът ви минава двупосочно също може да го направи без доставчика ви да знае – да ви пренасочи ,да ви следи трафика и паролите по протоколи без криптиране.
Не съм фен на БТК, но къде е проблемът ? ??зползвайте протоколи с криптиране и следете IP адресите на важни за вас сайтове.
Викторе, увлякал си се в желанието си да наплюе?? БТК. Много ясно че всичко минава през доставчика ти. Твърденията ти са сме??ни. Единствения начин да не ти минава трафика през “трето лице” е да опъне?? жица до някой сървър на gmail и да наблюдава?? цялто трасе с камери да не вземе някой да се върже. Лаиците обаче сигурно са впечатлени от твоите знания и умения да борави?? с “черния екран”.
“Георги”, “нв”,
доколкото се вижда от писмото на потребителя, проблемът е не в желанието да се “наплюе БТК”. За това не е нужно човек да има желание, то става естествено, по исторически причини. Проблемът е, че те пренасочват комуникациите в онази част от време, в която реално няма връзка към ??нтернет, към собствените си портове. Това е мечта за всеки хакер, а въпрос на време е някой хакер да хакне системите на БТК, така че да подава фал??иви данни и потребителите да въвеждат истинските си пароли. Не забравяйте, че масовият потребител не е експерт в тази област, така че ??ансовете за заблуждение са доста високи. Преди години така открихме проблем с достъпа до ??нтернет, осигуряван от “СпринтБТК”, когато можеха да се хванат името и паролата на клиентите по dial-up. В посочения по-горе пример човекът е хванал една гре??ка в конфигурациите на БТК, която БТК трябва да оправи.
В този ред на мисли, написаното от “Георги” е, меко казано, несериозен опит за защита на БТК под лозунга “и другите могат да го правят, така че к’во ло??о, че БТК го прави?!”