Cornucopia?

2016-10-23 22:19

Var Telias DSL-routrar hackade och del av DYN-angreppet? Fabriksåterställ din router!

Veckans omfattande angrepp mot DNS-leverantörer DYN sägs ha skett från hackade Internet of Things - diverse uppkopplade prylar. Dit räknas som bekant routers och ända sedan Ciscos dagar med förinställda lösenord är detta ett vanligt förekommande problem. Frågan är nu, baserat på personliga indicier, om Telias sk "Technicolor" DSL-routers som företaget bjuder på har varit hackade och en del av DYN-angreppet? Mina egna problem, som uppstod samtidigt som DYN-angreppet, upphörde med en fabriksåterställning av routern. En fabriksåterställning av er Telia DSL-router kan avsevärt snabba upp er Internetanslutning och t ex upplevelsen av denna blogg.

Min indiciekedja för att Telias routers kan ha varit en del av de kapade prylar som påstås utfört angreppet mot DYN är följande.

Technicolor.
1. Telias DNS gick ner i fredags morse. Därefter blev Telias nät mycket långsamt, åtminstone för DSL-kunder. Telia förnekade problemen. För de assymetriska DSL-förbindelserna innebär uppladdningar av data att förbindelsen blir mycket seg. Om Telias routers i fredags började ladda upp data mot DYN så förklarar det att Telias DSL-kunder upplevde dålig hastighet, utan att Telia märker något centralt - uppladdningskapaciteten för exempelvis min förbindelse ligger på ca 1.5 Mbit/s mot 18 ner och det kommer knappast synas hos Telia om uppladdning via routern slukar nedladdningskapaciteten.

2. Telias "technicolorrouters" har visat skumt beteende förr och laddat upp stora mängder data. Det kanske inte var avlyssning, utan en hackad router som var en del av en DDOS-attack.

3. Jag fick stora problem med att anropa bloggen sedan i fredags i samband med DYN-angreppet. Detta även om jag bytte till Googles DNS.

4. Felsökning visade tydligt att det som utmärkte problemen att anropa bloggen var att köra datorn via min DSL-router. Körde jag den mot 4G så fungerade allt som det skulle. Samma sak gällde ytterligare datorer, iPhone och iPad - inget fungerade via DSL-routern, men väl via 4G. Samma enheter, enkel omladdning. Det var helt replicerbart.

5. En fabriksåterställning av routern och nu fungerar bloggen felfritt via DSL-routern.

Tror ni med handen på hjärtat att Telia har unika lösenord för varje router som de använder när de fjärrstyr sina 100 000-tals DSL-routers? Eller tror ni att fjärrstyrningslösenordet är ... 0000? Äldre Technicolorrouters kunde man logga in på genom att inte ange namn och lösenord alls, dvs default var inget lösenord...

Ja, det står ett fabriksinställt lösenord på din DSL-router, men det är ditt kundlösenord. Inte det som Telia använder för fjärradministration. Möjligt att Telia har en databas med 100 000-tals olika lösenord till specifika kundrouters när deras kundtjänst går in och tittar på den, eller den ska uppdateras med programvara. Eller mer sannolikt så finns det endast ett lösenord den vägen... Via sajter på Internet kan man enkelt hitta grundinställda lösenord, inklusive vilka lösenord utrustning hos vissa Internetleverantörer har som standardlösen.

Och nej, man kan inte permanent byta lösenord på sin Telia-router. Telia återställer fabrikslösenordet som står på baksidan av routern varje natt, eller åtminstone inom några dagar. Man har alltså en form av superuser-åtkomst via en annan ingång än den du använder som kund, som du inte kan utestänga Telia från. Och därmed inte heller utestänga eventuella hackare från heller.

Oavsett - fabriksåterställ din Telia DSL-router. Var den hackad bör den efter återställning inte vara med i botnätet, åtminstone för en stund, och du får full tillgång till din uppladdningsbandbredd och med det full nedladdningshastighet. Återställning fungerade för mig och nu är Internet snabbt igen...

Tillägg: Här hittar du hur du fabriksåterställer din Telia DSL-router. Läsare rapportrar om kraftigt förbättrad prestanda.
Nedanstående kommentarer är inte en del av det redaktionella innehållet och användare ansvarar själva för sina kommentarer. Se även kommentarsreglerna, inklusive listan med kommentatorer som automatiskt kommer raderas på grund av brott mot dessa.

33 kommentarer:

  1. Off topic:
    Du har använt en felsökningsmetod snarlik den jag brukar använda, (eliminera det du tror är fel och därmed bevisa att det är felet, även om du inte har admin och kan kolla själv.

    Du kommer ändå få frågan om sladden sitter i...:)

    SvaraRadera
  2. Gjorde fabriksåterställning på min telia router, nu går allt som på räls. Tack Lars.

    SvaraRadera
  3. Fler än Telia har problem. Får se om en återställning hjälpee imorgon.

    SvaraRadera
  4. Jag har telia, och technicolor router. Ligger på mina vanliga 318 mb/s ned, och 118 mb/s upp. Betalar för 250/100. Har inte märkt några problem med hastigheten dom senaste veckorna.

    SvaraRadera
    Svar
    1. 250/100 är väl inte DSL-routern?

      Radera
    2. Nä förlåt. Det är fiber.

      Radera
    3. Finns förvisso DSL ingång på den också.

      Radera
  5. Detta är ju inte unikt för Telia. Bredbandsbolaget hade 2014 liknande problem med "bakdörr" till modemet och fixade det med en uppdatering. http://www.nordichardware.se/nyheter/security-news/bredbandsbolaget-staenger-bakdoerr-i-zyxel-routrar-med-ny-uppdatering.html

    SvaraRadera
  6. IoT spinnen på historien kom sig ju av släppet av källkoden till Mirai (https://github.com/jgamblin/Mirai-Source-Code ) för tre veckor sen, men det kanske är sant att det i och med det blivit tillgängligare för fler att genomföra en massiv DDoS efter detta. I ditt fall verkar det snarast som ett utslag av GRU humor.

    SvaraRadera
  7. Men management ligger väl på vlan separerat från internet? Så om lösenordet är på visst är ju mindre viktigt då man måste ta sig igenom nätverksstacken i burken?

    SvaraRadera
  8. Köp en annan router så är problemet löst. Routrar från Felia har en tendens att bråka oavsett. Har Telias fiber men köpte en ny router direkt och packade aldrig upp den som skickades med.

    SvaraRadera
    Svar
    1. Finns det fall där man måste ha internetleverantörens skräp för att det är bundet på nåt vänster?

      Radera
  9. Urrk, använd ett DSL modem utan mgmt funktion och en unix maskin bakom för routing och tjänster, den kan man säkra själv så slipper man junket operatörerna har. Och naturligtvis så går man inte via operatörernas DNS heller så slipper man även de felen och deras fåniga blockeringar av "misshagliga" siter.

    Problemet är bara att hitta ett rent DSL modem idag, alla billiga har någon buggig router-funktion som ibland inte ens går att stänga av.

    SvaraRadera
  10. Helt off topic, men:

    Idag (24/10) högtidlighåller vi FN-dagen, vilket jag skulle vilja fira med några rader ur den högst inofficiella marschsången för svenska utlandssoldater:

    För en kis som gillar fruntimmer och bärs,
    kan väl fredssoldatens jobb nog bli en pärs,
    men är man bara lagom tokig och pervers,
    klarar man sig även när de skjuter härs och tvärs,

    Vi har sandsäck väst och hjälm och vi har mod,
    och för fredens sak vi offra liv och blod!
    Och när vi gamla yxor möts, våra torra strupar blöts,
    på nån ny mission nånstans om Gud är god!


    Finns det fler yxor i kommentarsfältet tro?

    SvaraRadera
    Svar
    1. Denna sang skrevs innan penisen på lejonet togs bort, eller hur?

      Radera
    2. Säkert. Sången nämner även samlag med kameler och annat som skvallrar om att den väl antagligen skrevs på en ökenmission, och den fanns under Balkantiden (=innan Afghanistan).

      Så, Libanon på 80-talet (finns det kameler i Libanon?) eller ännu tidigare i Sinai, eller så. Eller t o m Suez.

      Även den betydligt mer rumsrena "hemåt det bär" nämner ju ett "land förutan sand" så den är väl jämngammal. Mäktig upplevelse när en soldatmäss med 200 drängfulla dieseltroll skrålar den, men den är ju lite meningslös att sjunga nu när man är hemma sedan länge och dessutom inte kan håna pinkysarna som ska ta över.

      Radera
    3. Frågan är bara om man missade något eller klarade sig ifrån

      Radera
    4. Gammal yxa här, ouch 25 år sedan man kom hem...

      Radera
  11. Ursäkta en data-analfabet, men hur fabriksåterställer man modemet?

    SvaraRadera
    Svar
    1. Du ställer dig på en stol och sträcker routern så nära taket du kan innan du släpper den.

      Radera
    2. ...ska jag hoppa på den med kängor också eller räcker det att banka på den med hammaren?

      Radera
    3. Förresten, eftersom attacken verkar ha utgått från internet-of-things-prylar, har du fabriksåterställt din analvibrator?

      Radera
    4. Brukar finnas ett litet hål som man ska peta in ett spetsigt föremål, typ en tandpetare eller nål och hålla intryckt en stund. Men googla på din modell för säkerhets skull. Kan också vara en speciell knapp. Kan till och med stå "res" vid den.

      Radera
    5. Tack, så var det kanske, är det någon skillnad jmf med att dra ur sladden?

      Radera
    6. Googla:
      What is router factory reset
      factory reset router

      Radera
    7. factory reset router modell

      Radera
  12. I stort sett enda skillnaden mellan en data-analfabet och en data-savant är att data-savanten använder google :-)

    SvaraRadera
    Svar
    1. Så sant! Allt man någonsin behöver veta finns där ute, bara några knapptryckningar bort.

      Radera
  13. management är troligt över publikt ip på den modellen. används i div nät där ej telia har management.

    SvaraRadera
  14. känns långsökt att de skulle hacka fw på en isp router som uppdateras ganska frekvent

    SvaraRadera

Related Posts Plugin for WordPress, Blogger...