Информационная безопасность абонентов МГТС

Привет, ребятишки.

Постараюсь быстро и на пальцах вам рассказать, от чего у меня так люто пригорело, что я аж сюда пришел покукарекать.

Итак,

представим, что вы счастливый пользователь услуги GPON от МГТС, так называемая «оптика до квартиры».

Технология такого подключения подразумевает важную штуку, то что конечное устройство, т.н. абстрактный «роутер» — не ваш. Он принадлежит МГТС и роутером, в привычном смысле слова не является.

Чтобы к концу поста полноценно прокекать со всех лулзов, на текущем этапе вам важно начать понимать некоторое техническое занудство, поэтому я позволю себе буквально пару небольших копипаст с умных сайтов про устройство GPON-сетей и почему ваш «роутер» не роутер.

Обещаю, что сразу после этого, в следующем же предложении, пойдет годный контент и начнётся дичайшее орево.

GPON – это сеть, построенная на пассивных оптических элементах на всём протяжении от провайдера к абоненту.

Пока всё просто, верно?

На стороне провайдера устанавливается OLT (Optical Line Terminal), который является L2 коммутатором.

Не важно. Просто запомните, что со стороны МГТС, есть такая хрень в виде черной коробки, которая не пойми что делает и называется — OLT.

На стороне клиента устанавливается ONU (Optical Network Unit), который также иногда называют ONT (Optical Network Terminal).

Это тот самый абстрактный «роутер», который стоит в вашей квартире.

Управление ONT происходит непосредственно с OLT, позволяя оператору полностью контролировать качество предоставления сервисов и предупреждать проблемы на стороне абонента.

Устройство которое находится в вашей квартире выполняет роль роутера и даже раздаёт вайфай, но оно во-первых — не ваше, а во-вторых — управляется удалённо рандомными товарищами и помимо вышеперечисленного занято ваще не пойми чем.

И в этом — вся соль.

Акт I

Если вы сами счастливый обладатель GPON от МГТС, то можете сразу повторять за мной всю хурму самостоятельно.

Вспомним день подключения. К вам приходит сервисный инженер, полчаса ковыряется, кое-как навешивает соплей из проводов, ставит коробочку и уходит.

После этого вы подключаетесь к роутеру, меняете пароль на учетке с логином admin и спокойно ложитесь спать уверенные в своей безопасности.

Пф, лол.

А вы знали, что на вашем «роутере» существует учётная запись с правами мега-супер-убер-дупер-секс-администратора и ей может воспользоваться ваще кто угодно из интернета?

Login: mgts
Password: mtsoao

Нет, не в курсе? А как так-то? Все же в курсе, почему вы нет?

Я — не шучу.

Как минимум с 1 августа 2013 года общественность, а тем паче само МГТС в курсе наличия проблемы.

Тему неоднократно поднимали все последующие года. Например, вот в этих тредах и около того. В гугле по запросу mgts:mtsoao ваще просто атас, эта учетка уже упоминается даже в каких-то «гайдах для чайников».

И шо тут такого, можете спросить вы меня, приводя admin:admin, как пример такой же ситуации и можете сказать, что это всё в зоне ответственности абонента, что он сам должен был сменить пароль.

Соглашусь, но только в том случае, если абонент, как минимум знает о существовании этой учетки.

Не говоря о том, что при ресете устройства, через кнопку на корпусе, пароль на учетку admin остается без изменений, а на учетку mgts — сбрасывается на заводское значение «mtsoao». То бишь, абонент не только знать о существовании этой учетки должен, но еще и помнить, что каждый раз на ней нужно менять пароль.

Но и это еще не всё, ребятишки!

Помните, что я чуть раньше просил вас разобраться в некотором техническом занудстве? Ну, то что ONT управляется с OLT и вот это вот всё? Настал момент знаниям приносить пользу.

Провайдер, без спросу, может сбрасывать конфигурацию целиком или отдельных её частей на вашем «роутере» удалённо и в том числе сбрасывать пароль на этой сервисной учётке. Для тех кто шарит: через OMCI.

Со мной лично такой трэш случался уже дважды.

И если вы думаете, что МГТС может что-то сделать с этим в будущем, типа при смене оборудования на новое учетку выпилят из прошивки, то вы — ошибаетесь.

В 2019-2020 годах на смену Sercomm RV6699v3, вот этому:

Sercomm RV6699v3

Пришел новенький Sercomm RV6699v4, вот такой вот:

Sercomm RV6699v4

И… ничего не изменилось! Воз и ныне там.

Акт II

Штош.

Если я вас не убедил, то давайте я наглядно покажу пару кеков.

Открываем Shodan и делаем простой запрос, который покажет нам IP-адреса с маркерами сигнатурными для Sercomm RV6699.

Берём оттуда рандомный IP-адрес и открываем по http://, а если не прокатило, то по https://.

Вводим mgts:mtsoao и вуаля, вы — нарушили уголовный кодекс Российской Федерации. Ну, а раз так, то не будем на этом останавливаться, верно?

Список устройств в локальной сети

И еще много чего.

Из полезного, например, это — данные для доступа к SIP-аккаунту, которые дадут вам возможность без палева звонить с городского телефона этого абонента.

Вкуснятинка.

Данные Wi-Fi-точки

А зная данные о вайфае и вот этом всём можно и вовсе реализовать ваше давнее желание вычислить по айпи, так сказать, собеседника.

Заюзав API Яндекс.Локатора можно получить координаты местонахождения абонента с точностью «координаты прям напротив окна».

Если вы считаете, что ну с вами то точно такого не произойдет, то уверяю вас, что произойти это может с каждым.

Например, вот я совершенно случайно™ получил доступ сначала к ONT (с помощью mgts:mtsoao), а потом и к платформе Homebridge (опенсорсный Home для Apple), поморгал товарищу телеком, повключал кондеи, стащил конфигурационный файл в котором было всё: почта, телега, явки, пароли.

Товарищ работал нехилым манагером в конторе которая делает софт для банков. Я его конечно же уведомил о дырище, но даже он отреагировал, только когда у него начались проблемы с умными устройствами дома.

С вами будет проще…

«Сбербанк: перевод 50.000 рублей с карты *5555 на карту *3333 выполнен»

Акт III

Вход в ЛК МГТС

А вы в курсе, что вот эта хрень с «OLT управляет ONT удалённо» не заканчивается какими-то там невнятными обновлениями со стороны провайдера, а имеет такое вполне себе логичное и в тоже время дикое продолжение?

Короче, вот в ЛК МГТС можно найти такой раздел как «Моя сеть».

Там много чего есть, но больше всего меня радует ответственность МГТС.

По адресу lk.mgts.ru/api/homenet/devices можно лицезреть подтверждение тому, что провайдер не просто обеспечивает вам интернет, но он еще и сканирует вашу локальную сеть, а собранную информацию размещает в базах доступных из интернета через дырявый софт.

Девайсы из вашей локальной сети
Работает поделие, честно говоря, так себе
Таймаут у базы данных...
...с разглашением информации которую не стоит всем показывать
Без комментариев.

В итоге

А никаких выводов не будет, ребятишки. Своей головой сами для себя что хотите, то и думайте.

Я лишь скажу, что буду поглядывать в комментарии и отвечать на вопросы, если таковые у вас возникли.

Если зашло, то закиньте сто рублей, через донат чуть ниже, пожалуйста. Я хоть сигарет себе куплю, а то с этими вашими кризисами — денег нет, хоть вешайся.

0
141 комментарий
Написать комментарий...
Юрий Макарычев

на папиросы

Ответить
Развернуть ветку
1 комментарий
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Антон Пискунов
Автор

Это верно, всё так.

Но далеко не все этим озадачиваются. А даже если и пытаешься убедить, что «надо», то никогда под рукой нет весомых аргументов.

Ответить
Развернуть ветку
3 комментария
Αртем Αксенов

Но в режим "мост" настроить провайдерскую штукатулку тебе физлицу простолюдину не дадут.

Ответить
Развернуть ветку
7 комментариев
Alexey Baranov

Такой вопрос.

Если у моего мгтсовского роуера wifi отключен, а в него по ethernet воткнут keenetic, который раздает wifi в квартире, я в бэзопасносте?

Попробовал зайти на свой внешний ip, чтобы ввести волшебные mgts:mtsoao - - не получается.

Ответить
Развернуть ветку
Viktor Mann

Всегда такое было и вот опять.

Ответить
Развернуть ветку
Самозанятый Енот Полоскун

Дна на них не хватает

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Rnatery

Тебе хватает скорости ADSL?

Ответить
Развернуть ветку
1 комментарий
Dozer Bam

Уважаемые автор, спасибо за столь занимательную статью. Я думаю тут многие будут признательны, если вы опубликуете еще статью, как себя обезопасить и какие действия нужно принять. 

Ответить
Развернуть ветку
Viktor Mann

Минуты Хабра на VC. Спасибо за статью!
/me ушел подключать личный роутер после Ростелекомовской железки/

Ответить
Развернуть ветку
Пискун Антонов

"То бишь, абонент не только знать о существовании этой учетки должен, но еще и помнить, что каждый раз на ней нужно менять пароль."
Как минимум если открывает доступ с WAN (по умолчанию закрыт), то знает о существовании, ибо открыть можно только под этой учеткой. Если хватило ума открыть доступ, но не хватило на смену пароля, сам себе ж злобный буратина

Ответить
Развернуть ветку
Антон Пискунов
Автор

И вам доброго утра 🤣

Ответить
Развернуть ветку
1 комментарий
Я не скажу свое имя машине

Переименовались бы в МГХС уже

Ответить
Развернуть ветку
Константин Лаврентьев

Лютой желтая пресса.

Пост вида «а вы знали, что если открыть ваш BMW брелоком и не закрыть ключом, в неё можно попасть?! А если ещё и заведённой оставить, то ее могут угнать вообще!! Какой плохой BWM!!!»

+ куча непроверенной инфы, чтобы совсем красиво было.

Использовать SIP с другого девайса невозможно, например. А открывать web доступ к маршрутизатору напрямую из внешней сети - тот самый мегасуперкек в посте про информационную безопасность.

Напоминаю, что для всего этого пользователь должен САМ открыть доступ извне. По умолчанию он - закрыт.

Ответить
Развернуть ветку
Ivan Tikhomirov

Как там в МГТС работается? 

Ответить
Развернуть ветку
1 комментарий
Я не скажу свое имя машине

Охуенно)) 

Ответить
Развернуть ветку
НечеловеческаяЛогика
 Вводим mgts:mtsoao и вуаля, вы — нарушили уголовный кодекс Российской Федерации.

подробности?

Ответить
Развернуть ветку
Эрик Гешаев

Статья 272 УК РФ. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, - наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

http://base.garant.ru/10108000/8258b99e15c780ec0d7c9a628d13c3b2/

Ответить
Развернуть ветку
26 комментариев
Axel Pervolianinen

1. Красивый заголовок, но некорректный. Информационная безопасность это одна из наук. Такая же как теория вероятности или история. Наверное автор имел ввиду безопасность информации или защита информации...
2. Описанное в статье давно известно, но автор статьи почему-то упорно обходил дополнительные требования. Ведь в общем случае,то что он написал не применимо. (Вход на роутер по паролю из вне).
3. А уж про кражу банковской информации с тех же мобильных устройств это вообще из области антинаучной фантастики.
4. Мне вот непонятно зачем знать информацию про вайфай чтобы получить координаты, если не имея возможности зайти на роутер но зная его ip адрес этаже иныормация получается сразу, через тот же Ху из. Причем для некоторых провайдеров с ФИО абонента.
5. Очень бы хотелось пример "Из полезного, например, это — данные для доступа к SIP-аккаунту, которые дадут вам возможность без палева звонить с городского телефона этого абонента.". Так с городского или sip и ничего так что у sip привязка к оборудованию... (Отсюда кстати и проблема со сторонними ont).

Ответить
Развернуть ветку
Антон Пискунов
Автор

Ясненько, понятненько, диванные эксперты прибыли :)

Ответить
Развернуть ветку
4 комментария
Андрей

Антон, спасибо за статью!
Вопрос от чайника: это лечится, если на входе в квартиру в кабель воткнуть свой роутер вместо бесплатного от провайдера?

Ответить
Развернуть ветку
Антон Пискунов
Автор

Свой роутер вместо бесплатного — не получится.

У ONT, абстрактного «бесплатного роутера», есть важный функционал в части работы с оптикой. Именно ONT обеспечивает преобразование света из оптоволокна в страницу vc.ru в браузере.

А все ONT'ы прибиты гвоздями к OLT'ам по серийникам прописанным на стороне OLT'ов, то бишь на стороне провайдера. То бишь в теории можно поменять оборудование на своё, но во-первых оно специфичное и дорогое, а во-вторых вам понадобится свой человек в гестапо :)

Относительно остального ответил в прикрепленном комменте.

Ответить
Развернуть ветку
4 комментария
Дмитрий Тенетович

Не баг, а фича.

Ответить
Развернуть ветку
MGTS official

Здравствуйте! Проблема с компрометацией доступа к ONT возникает только как следствие самостоятельных настроек оборудования пользователем. Данные изменения могут привести к открытию доступа из сети Интернет. К сожалению, не все абоненты, которые вносят изменения в ONT на свои уникальные помнят об этом. Нужно понимать, что ответственность за последствия сброса конфигурации и изменения системных настроек пользователем лежит на самом пользователе, так как в результате этого может быть открыт доступ к управлению ONT из сети Интернет.
Сброс настроек технической поддержкой МГТС не приводит к открытию доступа из сети Интернет и производится только при обращении клиента за технической помощью и с его информированием.

Ответить
Развернуть ветку
Юрий Макарычев

у меня в эту херню вставлен гуглвайфай, интересно че эта коробка насканирует

Ответить
Развернуть ветку
Антон Пискунов
Автор

Думаю, что не дальше «гуглвайфая».

Если это не так, то скиньте сюда результат, если это возможно. В этом случае, будет очень интересно поглазеть на него, ибо может оказаться, что всё совсем плохо.

Ответить
Развернуть ветку
Papa Ninach

Совсем не новая информация))
После подключения ONT сразу оформил заявку на перевод её в бридж.
Не доверяю чужим устройствам кроме своих собственных, да и менять функционал Микротик пока не готов

Ответить
Развернуть ветку
Key Lansky

«Не доверяю чужим устройствам кроме своих собственных» раз семь перечитал, умеете в высокий стиль

Ответить
Развернуть ветку
Майский жук

свои - это когда заводик свой) а так и чужие поди бэкдорами истыканы

Ответить
Развернуть ветку
1 комментарий
L A

мне кажется 70% российских  домашних прокси доступом к которым приторговывают это как раз взломанные абоненты мгтс. Ну по крайней мере со стороны интернет-магазинов видно что самые тупые боты как раз ходят из сетей мгтс.
С одной стороны это может быть такое искажение (типа мгтс большой поэтому от него и видно), но на самом деле от сравнимого по массе к примеру ростелика/онлайма следовые количества.

Ответить
Развернуть ветку
Axel Pervolianinen

В Москве абонентская база мгтс намного больше Ростелеком в составе его дочек кверти, онлайм, корвет телеком и т.д. А уж в части юриков и ип и подавно. Дочки Ростелекома с юрикамт работают плохо. Да и сам Ростелеком бывает работает погано. Сталкивался с невыполнением контракта по предоставлению канала Ростелекомом в екате.

Ответить
Развернуть ветку
Sergei Timofeyev

У меня другой пароль по дефолту был. И вообще юзаю только телефонную связь и через бридж, куда они доступ не имеют, сделал себе Wi-Fi 5 GHz, ибо менять Mikrotik мне лениво, а в Zyxel, надо отметить, Wi-Fi работает лучше. Всё остальное завёрнуто в нужный бридж и наружу выйти не может. Проверено.

Ответить
Развернуть ветку
Иван Иванов

Щас ZTE ставят, в них тоже так?

Ответить
Развернуть ветку
Papa Ninach

Всегда можно на тот же Shodan посмотреть на свой адрес через денёк-другой после установки, либо же самому просканировать и поискать информацию в Google

Ответить
Развернуть ветку
Kvantor Lab.

Было и останется. Ничто не мешает поставить между Пэка и ONT мега-супер-убер-дупер-секс-файрвол zyxel/mikrotik и сидеть дальше радоваться солнцу в шапочке из фольги.

Ответить
Развернуть ветку
Nikita Cruise

Лазейка такая себе, так как МГТС по умолчанию блочит самые популярные порты на WAN, а это и 80, 8080, 21. Так что данная проблема должна волновать только мамкиных хацкеров которые пробросят кастомный порт по WAN на локальный 80 и людей, которые отваливают МГТС за статический IP, так как для них эти порты не блокируются логично из-за специфики услуги. И в твоем же примере опять же роутер чувака, который платит за статический IP (видно по домену в списке результатов Shodan'a)

Ответить
Развернуть ветку
Александр Чиварзин

Спасибо за интересную статью!
Я про пароли давно знал.
Шапка RV6699 у меня с июля прошлого года (скриншот).

Про массовую эксплуатацию mgts:mtsoao узнал из этой статьи.
МГТС допустил утечку в интернет внутренних инструкций - смотрите этот и следующий пост: https://4pda.ru/forum/index.php?s=&showtopic=775949&view=findpost&p=96202290

Ответить
Развернуть ветку
Mikhail Afonin

Два вопроса:
1. Справедлива ли данная статья для абонентов Ростелекома? Я в Питере подключен, здесь нет МГТС)
2. Если у меня дома онушка, а за ней вифи роутер, значит ли это, что я в безопасности?

Ответить
Развернуть ветку
Антон Пискунов
Автор

Отчасти.

1. У Ростелекома другая прошивка и другие учетки. Специфику не знаю, но в целом, там такой же бардак.

2. По этому поводу очень в точку ответил Леонид Федотов. То бишь, нет — вы не в безопасности. Ваш ONT является для вашего «вифи роутера» вышестоящим DNS-резолвером по-умолчанию, что означает наличие возможности злоумышленнику в ваших запросах к домену sberbank.ru отдавать IP-адрес сервера не принадлежащего Сбербанку, например. Подмены вы не заметите, если только не варитесь в айтишке лет десять.

Ответить
Развернуть ветку
9 комментариев
iLeonidze

2) Тут очень много нюансов. Например, если вы в своем роутере не конфигурили DNS, то он будет наследоваться от вышестоящего устройства, то есть роутера МГТС - злоумышленник может туда зайти и вписать вам туда свой. Будет работать если у вас не настроен DNSSEC на ваших устройствах, например. В итоге таких векторов атаки достаточно много, пока злоумышленник может выполнять роль MITM

Ответить
Развернуть ветку
Rnatery

1. Справедлива
2. Надо режим bridge использовать или отключить доступ к админке.

Ответить
Развернуть ветку
badResistor

У Ростелекома схожее явление. Как панацею - сделал сброс на заводские и сменил пароли и админа и свой и вообще перевел ont  в режим моста оптика- витая пара а за ним уже воткнул свой роутер.

Ответить
Развернуть ветку
Антон Пискунов
Автор

Бридж, это — хорошо.

Но.

— Во-первых вспомним, что ONT, это не ваша собственность, а перевод в бридж обычно через перепрошивку. Плюс-минус. Это нарушает кучу юридической чушни, которую, ни вы, ни я — не читаем.

— Во-вторых без перепрошивки, а в некоторых случаях даже и с перепрошивкой, но при очередном накате обновления со стороны провайдера — бридж слетит.

Так или иначе проблема системная и находится в плоскости херово продуманной архитектуры, что, ни мне, ни вам — не пофиксить.

А так — да.

Ответить
Развернуть ветку
6 комментариев
Αртем Αксенов

режим моста для физлиц - так у мгтс не бывает

Ответить
Развернуть ветку
3 комментария
Mika Rasulov

Спасибо)
А такая история у всех провайдеров?

Ответить
Развернуть ветку
Papa Ninach

В разных провайдерах свои тараканы.
При любом варианте: если вам приносят какую-то железку, к которой у вас ограниченный доступ, не стоит ожидать от неё свойств волшебного китайского файервола.

Ответить
Развернуть ветку
sm apD

А что правда нельзя никак подключить свой микротик на оптике мгтс? 🤔
Тут задумался о покупке, так как их серком уг, и начал выключать инет по кругу у 4 девайсов.... Ихние "улучшения" ничего не дали
Теперь лежит, пылится😆😂

Ответить
Развернуть ветку
Papa Ninach

У меня есть такая мысль.
Единственное, где бы найти SFP ONU 🤔

Ответить
Развернуть ветку
3 комментария
valeriy vasilyev

Это точно серком? 

Ответить
Развернуть ветку
Alexey Baranov

ты женские колготки забыл снять

Ответить
Развернуть ветку
Rnatery

Можно, конечно, после их терминала подключить.

Ответить
Развернуть ветку
Axel Pervolianinen

Почему? Можно. На ixbt сделали на onu  в формфактре sfp. Все работает... Есть правда ограничение. На стороне мгтс должен быть Хуавей.

Ответить
Развернуть ветку
Михаил И.

VPN на конечных устройствах спасает? 

Ответить
Развернуть ветку
Антон Пискунов
Автор

При условии, что всё корректно настроено — да.

Ответить
Развернуть ветку
1 комментарий
iLeonidze

@Антон Пискунов а вы не пробовали с этой супер-дупер учеткой посетить telnet и поставить парочку opkg в роутер мгтс? Если это работает, то это полный кек

Ответить
Развернуть ветку
Антон Пискунов
Автор

Там busybox с какой-то оболочкой которая даёт возможность выполнить пару тупых команд.

На Sercomm RV6699v3 она обходилось специально сформированной командой вида «traceroute ; /bin/sh». А дальше, вроде как, был opkg, но могу нещадно врать, ибо год назад это вот всё теребонькал.

Такое тянет на «полный кек»?

Ответить
Развернуть ветку
Saucedo Puetz

Большинство IP что выдал shodan относятся с Ростелеком. У них тоже такая дыра есть?

Ответить
Развернуть ветку
Антон Пискунов
Автор

У них тоже самое оборудование, физически, поэтому Shodan показывает и их в том числе. Прошивка и учетки — другие, но в целом, думаю, что там плюс-минус тот же бардак.

Shodan приведен как простой инструмент «для обывателя», конечно же, при реальном сканировании используются другие инструменты и их точность намного выше. По моим замерам, за час, можно собрать с сотку адресов с дефолтными mgts:mtsoao в сетях принадлежащих МГТС.

Ответить
Развернуть ветку
Тофсла, Вифсла и партнёры

Да, мы обосрались и что?

Ответить
Развернуть ветку
Huntt Ext

Не могли бы вы ответить, а как у Билайна с этим обстоят дела?

Ответить
Развернуть ветку
Антон Пискунов
Автор

К сожалению, увы, но — нет. Не имею опыта эксплутации, лично.

Впрочем, если у вас есть серьезный интерес, то могу за кэш вникнуть и вам всё рассказать.

В таком случае, пожалуйста, напишите на [email protected] — обсудим.

Ответить
Развернуть ветку
Григорий

Спасибо за инфу

Ответить
Развернуть ветку
Dozer Bam

Очень ждём пояснения оператора по данному вопросу.

Ответить
Развернуть ветку
Axel Pervolianinen

Так оно же выше уже было...

Ответить
Развернуть ветку
Artem Pastukhov
Ответить
Развернуть ветку
Garry Prosto

Любопытненько. И как себя обезопасить от возможного вторжения в личную жизнь.? Просто поставить свой роутер после роутера провайдера?

Ответить
Развернуть ветку
Антон Пискунов
Автор

В качестве одной из мер — да, пограничный роутер. Надо бы статью напилить на эту тему, думаю.

Ответить
Развернуть ветку
1 комментарий
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
138 комментариев
Раскрывать всегда