Ghost in the shell

di Andrea Monti – WebMarketing Tools n.43/01

Quello che vedete più avanti è l’exploit[1] in grado di trasformare un modem ADSL Alcatel Speed Touch Home nella versione PRO 
(notevolmente più costosa). Lo ha scoperto Stefano Chiccarelli - esperto di system security e coautore di “Spaghetti Hacker” -  che 
sul filo di lana è stato anticipato dal ricercatore nippo-americano Shimomura Tsutomu[2] nella pubblicazione della scoperta di una 
backdoor (chiamata EXPERT MODE)  presente nello stesso modem. Grazie alla quale si può accedere in tutta tranquillità alle 
macchine collegate al suddetto apparecchio.

Per capire esattamente il significato di queste parole, basta dare un’occhiata alle considerazioni dei ricercartori americani autori 
di quest’ultima scoperta. 
Che spiegano di “aver identificato molteplici difetti di implementazione nel modem Alcatel Speed Touch ADSL (al momento 
un ADSL-Ethernet router/bridge).  
Questi difetti possono consentire ad un intrusore di prendere il pieno controllo dell’apparato, e di cambiarne la configurazione, 
il firmware, o interrompere la comunicazione fra l’apparato e la centrale telefonica che offre il servizio ADSL[3]”.

La notizia – già grave in se stessa – assume maggior “peso” se si considera che lo Alcatel Speed Touch è uno dei prodotti più diffusi sul mercato italiano e offerto in comodato dai vari carrier che commercializzano linee ADSL.

Nota a margine: il tutto, che strano, è passato praticamente sotto silenzio.

Forse, sbagliando, si potrebbe considerare poco significativa – anche se eticamente “discutibile” – la scelta di commercializzare come diversi (specie per il prezzo) due apparati sostanzialmente identici. Anche se sarebbe interessante approfondire la liceità di un comportamento del genere in rapporto agli obblighi di trasparenza e informazione imposti ai vendor (online) nei contratti con i consumatori.

Anche volendo “dare per buono” il comportamento di cui sopra, però, non altrettanto si può dire della scelta deliberata di inserire nel modem delle funzionalità non documentate ad uso e consumo dei tecnici Alcatel… e di tutti quelli che sarebbero inevitabilmente entrati in possesso di queste informazioni. Magari per fini poco “nobili”, come ad esempio “rivendere” la patch per upgradare il modello Home in Pro. O addirittura per scopi criminali, come arrecare danni all’utenza o accedere abusivamente alle macchine collegate all’internet.

Questo comportamento genera una “reazione a catena” nel trasmettersi delle responsabilità legali che inizia nel momento in cui il produttore vende una partita di modem ad un carrier (che li offre in bundle con la linea). Già in questa fase, infatti, il carrier avrebbe diritto a sapere esattamente “cosa” sta acquistando. Perché se un cliente finale subisce un danno per via dell’abuso dell’EXPERT MODE, in primo luogo egli (il carrier) non avrebbe la possibilità di difendersi. Ignorando la fonte del problema, si troverebbe infatti a doversi assumere colpe che potrebbero non spettargli. Il passo successivo potrebbe addirittura essere quello di essere accusato di (tentata) violazione della privacy dei clienti o di omessa adozione di misure di sicurezza. E questo sarebbe solo l’inizio.

Il problema è serio. Forse per la prima volta siamo di fronte non ad una leggenda urbana su questa o quella “funzione nascosta” di un sistema operativo, oppure a tecniche esoteriche il cui effettivo utilizzo è solo teorizzato. Ma ad informazioni oggettive, concrete e verificabili sul modo in cui vengono progettati e venduti apparati e software. Che somigliano sempre di più ad un parassita: quanto più si diffondono, tanto più indeboliscono la struttura alla quale sono “agganciati”, e – quel che è peggio – all’insaputa di chiunque. A tacer d’altro, le ricadute negative in termini di costi e iniefficienze di una simile scelta commerciale sono veramente elevatissime.

Possiamo veramente permetterci di continuare a fare finta di nulla?

INTRO:

Ho scoperto un comando nascosto (drv_write) e non documentato della modalita’ EXPERT (scoperta da Shimomura e anch’essa nascosta e non documentata) che permette di togliere le limitazioni dell’HOME e farlo diventare un PRO. In pratica le differenze tra i due apparati non esistono tranne la porta seriale in dotazione con il PRO ma che puo’ essere facilmente installata anche su un HOME.

La cosa interessante e’ che l’alcatel vende i due prodotti uno come modem ADSL
e l’altro come router ADSL con una differenza di prezzo di circa 500.000 lire.
Economia di scala?

EXPLOIT:

Ma veniamo alle questioni tecniche:

Entrare in modalita’ EXPERT sull’HOME digitando il comando EXPERT e la password challenge and response che trovate sul sito di shimomura.

http://security.sdsc.edu/self-help/alcatel/challenge.cgi

User :
—————————————————
*                             ______
*                         ___/_____/\
*                        /         /\\ ALCATEL ADSL MODEM
*                  _____/__       / \\
*                _/       /\_____/___ \   Version 3.2
*               //       / \       /\ \
*       _______//_______/    \     / _\/______ Copyright 1999.
*      /      / \       \    /    / /        /\
*   __/      /   \       \ /    / /        / _\__
* / /      /     \_______\/    / /        / /   /\
* /_/______/___________________/ /________/ /___/ \
* \ \      \    ___________    \ \        \ \   \ /
* \_\      \ /          /\    \ \        \ \___\/
*     \      \/          / \    \ \        \ /
*      \_____/          /    \    \ \________\/
*           /__________/      \    \ /
*           \   _____ \      /_____\/
*            \ /    /\ \    /
*             /____/ \ \ /
*             \    \ /___\/
*              \____\/
*
——————————————————-
=>EXPERT
‘SpeedTouch (00-90-D0-06-22-1B)’
Password :

Switch to expert mode.

Return to Normal mode by typing <NORMAL>

>help

Built-in shell commands :

boot	cd	cleandisk	copy	df
dev	dir	download	dump	echo
fdisk	format	fscheck	link	load
mkdir	move	mount	pwd	remove
rmdir	sync	unmount	upload	version
short

Following topics are available :

dbg	err	xapi	guard	rip
ni	etha	atm	atm	eth
llc	atmf	iwu	sock	ipoa
ipoa	tcp	pptp	eqm	tftp
config	system	softwa	phoneb	bridge
dns	dhcp	dhcpc	sachem	eoc
aoc	hs	mlit	msit	golden
tdsl

come vedete non sono presenti i menu cip ppp e nat tipici del router PRO.

Andate nel menu RIP e digitate il comando drv_read 2 1 b

>rip
rip>drv_read 2 1 b
the data in hex is : 8600

Cambiate ora il valore 8600 con 8606 con il comando NON DOCUMENTATO e NON ESISTENTE nell’help chiamato: drv_write

digitate:

rip> drv_write 2 1 b 8606

rebottate il modem.

A questo punto il vostro Modem ADSL Alcatel SpeedTouch HOME si e’ trasformato in un PRO.

config	system	software	ip	phonebook
nat	cip	ppp	pptp	bridge
atmf	dns	dhcp

Con i comandi CIP NAT e PPP e tutte le funzionalita’ del PRO.

Il RIP sembra essere una zona di memoria di cui non ho capito ancora il funzionamento, ma sicuramente è qualcosa che viene interrogata al boot e sta al di fuori del firmware.

Ho testato personalmente i seguenti parametri con i seguenti risultati:

8600 (Home default)
8606 (PRO default)
8700 (Home con atmf)
8706 (PRO con atmf)

8601 (home)
8602 (pro)
8603 (pro)
8604 (home)
8605 (home)
8607 (pro)
8608 (home)
8609 (pro)
8610 (home)
8611 (home)

Attenzione a fare le prove si potrebbe danneggiare il modem per sempre.

Ho testato questi valori su uno speed touch home con firmware 132 e 134.

Sto ancora indagando e invito tutti a farlo perche’ penso che le sorprese non siano finite.

Ringraziamenti:
Andrea Monti, franko21, rubik, pivy,
noxious e Umby per aver costruito l’interfaccia seriale con il max232
la Metro Olografix
http://www.spaghettihacker.it

[1] Istruzioni dettagliate che dimostrano l’esistenza di una vulnerabilità o di funzionalità non documentate in apparati hardware e software

[2] Noto ai più per avere collaborato all’arresto di Kevin Mitnich, dopo che quest’ultimo ne aveva violato i computer.

[3] http://security.sdsc.edu/self-help/alcatel/executive.shtml

Possibly Related Posts: