Scrivo questo post, perché oggi è successo un evento che ha del ridicolo diciamo.
Ero connesso ad Azzurra.org ( Network IRC , se non sapete cosa sia è inutile andare avanti nella lettura ) e stavo giocando a No more room in hell , con la linea Alice ADSL, e vedo che inizio ad avere ping che superano i 200 ms abbondantemente.
Così ho pensato di switchare questo pc da dove stavo giocando verso il router che punta sul WiMax, e fin qui tutto bene a livello di gioco i ping sono calati, ma ho notato un simpatico messaggio su IRC
* *** Notice — This server runs an open proxy monitor to prevent abuse.
* *** Notice — If you see various connections from proxy-check.azzurra.org or 85.94.194.111
* *** Notice — please disregard them, as they are the detector in action.
* *** Notice — For more information please visit http://www.azzurra.org/kline.php?mod=socks-proxy
* *** Notice — Your connection is restricted! For more information please visit http://www.azzurra.org/restrict.html
In pratica mi dice che sono stato buttato fuori perché ho un proxy socks aperto !!!
Allora visto ciò ho fatto un nmap dalla linea alice , verso l’indirizzo pubblico della linea wimax ( AriaDSL )…
Quello che ne esce fuori ha dell’incredibile
21/tcp open ftp GNU Inetutils FTPd 1.4.1
22/tcp open ssh Dropbear sshd 0.52 (protocol 2.0)
| ssh-hostkey: 1024 74:7b:6e:f4:b0:fd:3f:83:fe:60:62:d4:2c:38:e6:9a (DSA)
|_1040 3d:f3:00:97:78:b4:b0:2b:ee:e7:69:87:39:44:00:b3 (RSA)
80/tcp open http?
|_http-title: Wimax CPE Configuration
81/tcp filtered hosts2-ns
443/tcp open ssl/https?
|_sslv2: server still supports SSLv2
|_http-title: Wimax CPE Configuration
| ssl-cert: Subject: commonName=MatrixSSL Sample Server Cert/organizationName=PeerSec Networks/stateOrProvinceName=WA/countryName=US
| Not valid before: 2006-03-13 08:13:34
|_Not valid after: 2007-03-13 08:13:34
2500/tcp filtered rtsserv
2601/tcp open zebra Quagga routing software
6789/tcp open ibm-db2-admin?
9999/tcp open abyss?
A parte la porta 81 che l’ho aperta io per dare accesso ad una cartella dropbox ad un’altra persona senza ricorrere a dropbox , le altre al di fuori della 80 e della 443 neppure sapevo fossero aperte.
Un server FTP ( A che cazzo serve??? )
Un server SSH attivo ( Vedere sopra )
Zebra ( Che minchia ci sta a fare su una CPE? , e soprattutto sulla WAN? )
E non solo quella , quella combinazione admin-admin funziona anche sull’SSH, ed inoltre anche la rete wireless di questo accrocco è di default senza password , e nessun analfabeta informatico nella media italiana si sognerebbe di cambiare password ovviamente.
Il loro spazio di indirizzi IPV4 è 159.20.176.0/21 , fategli quello che vi pare o dateli a chi vi pare, così forse capiscono che hanno dei leggerissimi problemi di sicurezza, io glie l’ho detto diverse volte che non voglio quell’interfaccia web del cazzo aperta sulla WAN e che è vulnerabile, gli ho fatto vedere in diretta ad un loro installatore mentre entravo da remoto sul suo CPE, ma non mi ascoltano.
Io ho cambiato password , se poi riesce qualcuno ad entrarmi lo stesso sticavoli, tanto fra la mia rete e quello schifo ci ho messo un altro router che non ha falle del genere.
Aggiunta delle 22:47 , dimenticavo
AriaDSL inoltre fornisce apparati in completa violazione della licenza GPL in quanto sul loro sito , ne tantomeno su quella della Huawei sembra possibile scaricare i sorgenti dei software opensource utilizzati nei loro CPE , tra cui di sicuro Linux , quagga , e GNU Inetutils