Godzina szósta, minut dziesięć

Niestety, z uwagi na skalę, wymiana urządzeń zajęła kilka tygodni. Problemem był nie tylko brak sprzętu Nokii, ale i ilość urządzeń jaką dziennie mogła wymienić każda z ekip serwisowych. Za wydatkami na sprzęt poszły oczywiście rabaty dla klientów za braku usług i, niestety, pewna ilość rezygnacji osób, które nie chciały lub nie mogły czekać na wymianę.

Mechanizm ataku

Jak już wspomniałem, wykorzystano loginy i hasła zaszyte w oprogramowaniu terminali. Czasem wprowadza je sam producent, tłumacząc, że jest to „hasło serwisowe” na wypadek, gdy klient zapomni danych dostępowych. Zawsze uważałem, że w takich wypadkach powinna istnieć raczej procedura password recovery, niż backdoor. Problemem w gruncie rzeczy jest to, że nie da się zabezpieczyć tego typu loginów i haseł przed osobami niepowołanymi.

Taka furtka do logowania jest najczęściej kompletnie niewidoczna dla administratora urządzeń. Nie wiedząc o niej, trudno stwierdzić, że takie ukryte konto istnieje. Równocześnie nie można go usunąć, czy zmienić mu hasła. Totalna blokada zdalnego zarządzania terminalami na nadrzędnych firewallach oznacza zaś odcięcie lub ograniczenie administrowania sprzętem. W omawianym przypadku ONT – jeśli są routerami – mają publiczne IP, z którym wiąże się zwyczajowo polityka jak najmniejszych restrykcji w zakresie blokowania portów. Równocześnie nie istnieje żaden racjonalny argument, by tego typu backdoor z powodów serwisowych umieszczać w terminalach domowych. „Mydelniczki” mają przecież przycisk reset. A domyślny login i hasło nadrukowane są na pudełku lub naklejce.

Rozkręcone terminale Alcatel-Lucent ONT I-240W-A czekające na wymianę uszkodzonych modułów pamięci flash.
(źr.TPnets.com)

W opisywanej sytuacji wydaje się, że jest inaczej. Wedle naszych ustaleń ten konkretny backdoor nie został wprowadzony przez producentów, tylko dostawcę oprogramowania. Okazuje się, że oprogramowanie terminali, to często nie autorska produkcja vendora, a zlepek modułów kupowanych z różnych źródeł. Kluczowe pytanie brzmi: czy producent urządzeń kontroluje zakupy i odpowiada za to, co sprzedaje? Nie mam wątpliwości, że powinien odpowiadać producent, a własne roszczenia za szkody klientów może i powinien kierować do swoich dostawców. Nie powinien uchylać się od odpowiedzialności za sprzedany i niebezpieczny bubel. Gdy popatrzymy np. na branżę motoryzacyjną, to zauważymy co jakiś czas wezwania serwisowe do wymiany wadliwych poduszek powietrznych, czy hamulców. Elementów produkowanych często przez podmioty zewnętrzne.

Trudno byłoby też przyjąć, że gdy np. montujemy drzwi antywłamaniowe, a ich producent udostępnia każdemu zainteresowanemu klucze do nich, to koszty „włamania” ponosić powinien nabywca drzwi. Nie można też uzależniać odpowiedzialności producenta od tego, czy nabywca zainwestował w zasieki i zatrudnił ochroniarza. Ani argumentować, że zamek w drzwiach, to tylko ozdoba. Niestety, z taką argumentacją się spotykamy, słysząc, że dostęp do naszych ONT możemy przecież blokować na innych urządzeniach w sieci.