Bağımsız oyunlarda ne arıyoruz?
Devamını okuBirçoğumuz modemimizi kayıt olduğumuz internet servis sağlayıcısıyla yaptığımız anlaşmanın yanında hediye olarak almışızdır diye tahmin ediyorum. Peki, bu cihazların içerisinde saklanan güvenlik zafiyetleri olabileceği hiç aklınıza geldi mi? Bu kez, bahsi geçen cihazların içindeki özel bir yazılımdan ve TR-069 protokolünden bahsedelim istedik.
NEYİN NESİDİR?
TR-069 (ya da CWMP) teknik özellikleri ilk olarak 2004 yılında tanımlanan, uzaktan erişim amaçlı bir iletişim protokolüdür. İnternet erişim cihazlarının otomatik konfigürasyonuna ve denetimine olanak sağlar. Cihaz periyodik olarak internet servis sağlayıcısı (İSS) tarafında bir otomatik konfigürasyon sunucusuna (OKS) HTTP üzerinden XML formatında paketlerle bağlanır, fakat OKS de dilediği zaman cihazınıza bağlantı talebi gönderebilir. TR-069'un aktivitesini yerel olarak durdurmak mümkündür.
Bu, pratikte şu anlama geliyor: İnternet servis sağlayıcınız sizden izin almaksızın cihazınıza bağlanıp istediği değişiklikleri (hatta sizin yapamadıklarınızı) admin olarak yapabilir. Ağınıza bağlı tüm cihazların MAC adreslerini ve host isimlerini görebilir, yeni Wi-Fi ağları açabilir, yeni donanım yazılımı dahi yükleyebilir. Alternatif olarak, sizi ağdan düşürebilir de tabii.
PROBLEM NEREDE BAŞLIYOR?
Cihazın her an İSS'ye ait OKS'den bağlantı talebi almaya hazır olduğunu söylemiştik. Bu iletişimin yapıldığı CWMP portu (genelde 7547'de bulunuyor) yapılan araştırmalara göre dünyada HTTP'den sonra en fazla sayıda açık bulunan port. Tüm IPv4 adres tabanında 7547'nin tarandığı araştırmalara baktığımız zaman, 189 ülkede 46 milyondan fazla cihazın dinlemekte olduğunu ve bu sayının her geçen gün arttığını görüyoruz.
7547 üzerinden OKS'nin iletişim taleplerini dinleyen çok küçük bir HTTP sunucusu var, adı da RomPager. İlk olarak 1996 yılında piyasaya çıkan ve kısa sürede en yaygın TR-069 bağlantı talep sunucusu haline gelen RomPager, zurnanın zart dediği yer sevgili okur. Piyasadaki modellerin %98'i RomPager'ın 4.07 sürümünü kullanıyor. 4.07 bayağı eski (2002) ve daha da önemlisi zafiyetleri bulunan bir sürüm. Doğru silahlarla kuşanmış bir saldırgan, 7547 portunuz üzerinden RomPager'a bir saldırı gerçekleştirerek cihazınız üzerinde kontrol sahibi olabiliyor. RomPager 4.07'yi kullanan ve CWMP portu açık duran her cihaz, bu zafiyete kurban gidebilir.
NE YAPABİLİRİZ?
Maalesef, cihazınıza yasadışı olabilecek alternatif bir firmware yüklemek veya CWMP portunuzu kapatmak dışında uygulayabileceğiniz bir çözüm yok. Tavsiyem, bu yazıyı okuduktan sonra İSS'inize ulaşın ve modeminizde kullanılan RomPager sürümü hakkında bilgi isteyin. 4.07 ise, güncel ve güvenli olan 4.51 sürümüyle değiştirilmesini isteyin. Sorun, şu an İSS'lerin dağıttığı çoğu firmware güncellemesinin hâlâ RomPager 4.07 ile geliyor olması. 4.07 ile gelen modellerin listesini vermeye kalksak kendi başına yüzlerce satır tutacak, o yüzden modem firmalarına ulaşın ve bu sürümü içermeyen bir firmware'i destekleyen modellerin hangileri olduğunu öğrenip cihazınızı ona göre değiştirmeyi deneyin; zira bu zafiyet uzun süre düzeltilmeyecek gibi görünüyor. Bulgularınızı erim@oyungezer.com.tr adresinden bana da iletirseniz sevinirim.
Aman Diyelim!
Cihazınızı ne kadar kurcalamaya yetkiniz olduğu vakadan vakaya değişebiliyor, dolayısıyla yasaları çiğnememek adına lütfen İSS'inizden bu konuda bilgi talep edin. Aynı zamanda, TR-069'u iptal ederseniz İSS'iniz herhangi bir problem halinde cihazınızı uzaktan göremeyecek, herhangi bir kontrol veya düzeltme yapamayacaktır. Eğer cihazın donanım yazılımını kurmak ve değiştirmek konusunda kendinize güvenmiyorsanız, lütfen bir şeyleri kafanıza göre kesip biçmeyin.
