Mail over abuse: Misbruik van uw internetaansluiting

  • 8 april 2015
  • 10 reacties
  • 2750 keer bekeken

Ik heb net tot mijn grote verbazing onderstaande mail ontvangen van het Telfort Abuse Team (nr #4108565).
Na het lezen heb ik de mogelijkheid voor remote management uitgezet (.... via remote management... :D). Helaas kan ik nu dus niet meer controleren of het modem en de voip-verbinding van mijn moeder het doet. Voor troubleshooten moet ik nu bij het modem aanwezig zijn met een computer.

Echter, ik heb een aantal vragen:
Wordt het inloggen op het modem vanaf mijn huisadres misschien aangemerkt als misbruik?
Is er werkelijk misbruik gemaakt door een andere partij en moet ik het modem volledig resetten en opnieuw configureren voor voip, enz.? Of moet ik alleen wachtwoorden wijzigen omdat bv. anderen de wachtwoorden nu kennen van de voipverbinding, modemtoegang en de WPA2-key? Of hoef ik verder niets te veranderen, behalve remote management uitschakelen?

Wie is er nou verantwoordelijk voor het certificaat van het modem en de SSL (of TSL) verbinding?
Kan er via een firmwareupdate gebruik van een TSL-verbinding voor remote management mogelijk worden gemaakt? Wie is er dan verantwoordelijk voor een certificaat? Kortom, kan ik in de toekomst op een veilige manier weer aan remote management doen?

Edit: het gaat om een Zyxel P-2812-HNU-F1. De verbinding wordt door mijn moeder gebruikt voor internetradio luisteren via een mediaspeler van Philips (Streamium ....) en voiptelefonie. Internetten via een computer o.i.d. doet ze niet. (Ik soms wel met een laptop, als ik er ben)

--------------------------
Geachte heer/mevrouw,

Naar aanleiding van meldingen door derden zijn wij tot de conclusie gekomen dat u een webserver heeft draaien welke via een beveiligde verbinding bereikbaar is. Een beveiligde verbinding werkt via SSL met een certificaat. Uit de melding blijkt dat de door u gebruikte versie kwetsbaar is. Deze kwetsbaarheid staat bekend als "Poodle"

Meer informatie kunt u vinden op de website https://www.security.nl/posting/405457/SSLv3+%22Poodle%22+lek+voor+leken

In dit geval is het de webinterface van uw modem, welke bereikbaar gemaakt is voor toegang van buitenaf. Dit zorgt voor een onveilige situatie. Wij raden u aan deze toegang ongedaan te maken. Dit kunt u als volgt doen:

* Log in op het modem via http://192.168.1.254/
* Ga naar 'Maintenance' en vervolgens naar 'Remote MGMT'
* Haal het vinkje weg bij HTTPS onder 'WAN'
* Klik op 'Apply'

LET OP: Het onderwerp van dit bericht bevat een ticketnummer: [Telfort Abuse #4108565] .
Indien u vanaf een ander e-mailadres contact met ons wilt opnemen, vermeld dan altijd het volgende in het onderwerp: [Telfort Abuse #4108565] .

Met vriendelijke groet,

Telfort Abuse Team
abuse@telfort.nl

Tel. 0900 9596 (50c.p.g + gebruikelijke gesprekskosten)

http://www.telfort.nl/Algemeen/Contact.htm

10 reacties

Reputatie 8
Badge +10
De vragen kan je het beste per mail stellen aan het abuse team met vermelding van het ticketnummer in de subject zoals hierboven vermeld. Zij kunnen je antwoord geven op al je vragen. Contact via het servicenummer zal over het algemeen niet werken.
Ja, daar zat ik eerst aan te denken. Ik denk niet dat ik de enige Telfortklant ben die remote management heeft ingeschakeld. Misschien dat andere gebruikers iets aan dit topic hebben. Vandaar het idee om het via het Telfortforum te doen. 🙂
Reputatie 8
Badge +2
@Internet-junkie,

Wat Tuut-Tuut opmerkt is uiterst correct. Alleen de abuse afdeling kan jou hierbij van dienst zijn. Heb je hen inmiddels al bereikt? Ik hoop hoe dan ook dat zij een antwoord hebben op jouw vragen. Ik kan de kwestie namelijk niet inzien.

Michael
Ik heb net een mail gestuurd naar het abuse-team. Ik ben benieuwd of al mijn vragen beantwoord worden.

Blijkbaar was ik de enige in gans het land met remote management open op een Zyxel P2812HNU-F1, want ik heb geen enkel bericht in verschillende fora gezien waar een gebruiker een vergelijkbaar mailtje heeft ontvangen als ik.
Reputatie 8
Badge +2
@Internet-junkie,

Wat is nu de status?

Michael
Excuses voor de late reactie.

Ik heb remote management uitgezet. Op mijn mail heb ik onderstaand antwoord gekregen. Gezien aanzetten van remote management "op eigen risico" is en ik het afsluiten van de internetverbinding vanwege abuse wil voorkomen, laat ik de functie maar uit.

------------------------
Geachte heer, mevrouw,

Bedankt voor uw reactie. Telfort is zich bewust van het feit dat sommige modems dit probleem hebben en werkt ook aan een oplossing. Zodra deze oplossing er is zal er een firmwareupdate uitgerold worden voor deze modems.

Wij hebben geen reden om aan te nemen dat het lek al misbruikt is. Wij kunnen dat op dit moment niet met zekerheid vaststellen. Onze melding was dan ook puur ter info. Het is aan uzelf om te besluiten of u remote management weer in wil schakelen of niet.

........

------------------------
Reputatie 8
Badge +9

Onze melding was dan ook puur ter info. Het is aan uzelf om te besluiten of u remote management weer in wil schakelen of niet.


Ik zou remote management gewoon aanzetten en zorgen voor een zo sterk mogelijk wachtwoord.
Voor wat extra veiligheid zou je dit wachtwoord geregeld kunnen wijzigen.
Om te voorkomen dat de modem door random portscans wordt gevonden kan je ICMP echo uitzetten in remote management (vinkje weghalen bij WAN enable) zodat de modem niet meer reageert op externe ping requests.
Ik zag een tijd geleden dat er een nieuwe firmware in de Zyxel P-2812HNU-F1 zit.
Het is nu V3.11TUE8
Ik kan geen release notes vinden over deze firmware.

Ik had toevallig laatst een vervelend probleempje:
Vrijdagmiddag viel de DSL-verbinding even weg maar kwam vrijwel direct terug. Internet deed het dus.
Echter was de VoIP-verbinding (VoIP via een derde partij) niet hersteld. De telefoon was ongeveer zes uur buiten dienst.

Ik kon pas om 21:00 uur 's avonds langskomen om te kijken wat er mis was met de verbinding.
Na inloggen in het modem drukte ik op de "register-knop" (onderaan ergens in het beginscherm). Dat hielp niets, ik kreeg een regeltje erbij in het modemlog: dat de "register" mislukt was. Aan de VoIP-aanbieder lag het niet, er waren geen klachten te lezen op het forum van Tweakers. Uptime van het modem was meer dan 30 dagen.

Dan maar het modem opnieuw booten via de web-interface. Dat heb ik gedaan en voila: interwebz en telefoon deden het weer allebei.

Dit bovenstaande had ik natuurlijk ook vanaf een andere locatie kunnen controleren en kunnen uitvoeren middels remote management. Dan was de storing eerder opgelost.
(Als het modem middels de knop wordt uit- en aangezet wordt het log gewist en dan weet ik niet zeker waar het probleem zit).

Graag zou ik weer remote management aan willen zetten (als het veilig is met deze nieuwe firmware).
Is dat rare Poodle-lek gepatcht?
🙂
Ik heb remote management aangezet maar het werkt voor geen meter.

Ik krijg een certificaatfout bij het modem benaderen vanaf afstand. Dat was vorig jaar ook niet.

Als ik het modem benader met https://123.456.789.654/ (voorbeeld) dan zie ik het inlogscherm van de ZyXEL.
Ik log in en daarna is het webinterface van het modem zo traag als dikke pe0p door een trechter. :S

Opnieuw de pagina's laden helpt (vaak) niet. De pagina laadt soms gedeeltelijk, soms helemaal niet.
Geprobeerd in Edge en IE op Windows 10.

Met de vorige firmware-versie en Windows 8.1 werkte het vorig jaar feilloos.
Remote management is nu niet meer bruikbaar.
:@

Waar ligt het nu aan?
Reputatie 8
Mogelijk moet je een paar extra vinkjes zetten bij de "WAN" kant van het laatste plaatje als voorbeeld in de volgende draad (http + https): https://forum.telfort.nl/overig-internet-272/portforwarding-56159/index1.html#post490033

M.b.t. certificaat, kijk eens of je iets kunt m.b.t. de volgende informatie bij ZyXEL:
http://www.zyxel.com/tr/tr/guidemo/zyw70/h_Remote_WWW.html

Reageer