EDPnet en Rusland

[bambipower]

Ik verwacht toch wel, dat -als- we in oorlog zijn met een land, dat we beschermd worden tegen spionage.
En dat doe je niet door als isp, uw helpdesk te huisvesten in het land waar we oorlog mee hebben.

Tuurlijk is een isp hiervoor mee verantwoordelijk

Daarom ook dat ik vroeg, vanaf wanneer edpnet wel hun klantendienst zou wegtrekken uit rusland? Vanaf waar is het kantelpunt?

[fryelectro]

spionage?

Zoals Joachim reeds aanhaalde:

Deze personen hebben beperkte inzage in de historiek van je public IP (niet waargeen je surft etc), je telefoongesprekken (niet de inhoud natuurlijk) en enkele uren maillogs (ook geen inhoud). En dat klant per klant (dus geen volledige database acces), en persoonlijk gelogd.

Echt ik zie het probleem niet hoor? Dit is toch een zeer zeer beperkte blootstelling aan gegevens. Buiten dat deze Russische medewerkers alweer het slachtoffer worden van een conflict dat boven hen wordt georchestreerd. Loopt men hier niet een beetje te hard van stapel met uitspraken a la "wanneer gaat edpnet zijn klantendienst wegtrekken uit Rusland?"

[bambipower]

Ik zeg niet dat edpnet spioneert, maar rusland.

En de helpdesk heeft nog altijd toegang via tr069, ze kunnen het niet aanmaken als het verwijderd is.
Maar hoeveel % verwijderd tr069? 0,01%?

[SpecialK]

Ik zou mijn vraag van eerder nog eens willen herhalen. Zelfs als ze kwade bedoelingen zouden hebben, kan je met TR069 zoveel doen?
Kan je via TR069 bv een packet capture nemen, of het verkeer tappen?
"Jamaar, ze kunnen de MAC adressen op mijn LAN zien"...

Hier heb je een deel van de ARP-tabel van mijn router.
IP address HW type Flags HW address Mask Device
10.0.0.253 0x1 0x2 08:02:8e:9f:2e:3a * br-lan
10.0.0.37 0x1 0x2 50:65:83:42:6b:df * br-lan
10.0.0.119 0x1 0x2 04:6c:59:7c:30:c6 * br-lan
10.0.0.4 0x1 0x2 00:15:65:6e:2c:e5 * br-lan
10.0.0.203 0x1 0x2 6a:63:59:43:4f:23 * br-lan
10.0.0.228 0x1 0x2 c0:56:e3:2f:14:0e * br-lan
10.0.0.170 0x1 0x2 10:d5:61:27:19:c2 * br-lan
10.0.0.156 0x1 0x2 e8:6d:cb:78:b6:04 * br-lan
10.0.0.197 0x1 0x2 04:6c:59:7c:30:c6 * br-lan
10.0.0.106 0x1 0x0 0c:2f:b0:71:14:34 * br-lan
10.0.0.209 0x1 0x0 5a:2f:9c:06:d1:b3 * br-lan
10.0.0.2 0x1 0x2 b4:2e:99:cb:53:5b * br-lan
10.0.0.137 0x1 0x0 70:f1:a1:46:7b:58 * br-lan
10.0.0.32 0x1 0x2 00:15:bc:24:27:dd * br-lan
10.0.0.3 0x1 0x2 08:5b:d6:57:bf:a2 * br-lan

Veel succes om me op basis hiervan te bespioneren

[cadsite]

@bambipower
Kan je misschien ook even klaar en duidelijk het risico aanbrengen?
En wat maakt dat het risico groter is bij edpnet dan elders?

Als je echt een fort-knox ISP wenst zal je ook een bijpassend tarief moeten betalen. Lijkt me niet meer dan logisch.

[johan.devos]

spionage?
...
Echt ik zie het probleem niet hoor? Dit is toch een zeer zeer beperkte blootstelling aan gegevens.

Sorry hoor, maar zo'n uitspraken bewijzen toch dat zelfs een UB gebruiker niet echt de gevaren van hacking beseft.

Als je remote access hebt op een FB via bv. een TR-069 account dan kun je alle netwerkcommunicatie binnen je huis afluisteren.

Dit staat zelfs mooi uitgelegd op de EDPnet website:
https://www.edpnet.be/en/support/troubl ... tzbox.html

[bambipower]

Dat dacht ik ook.

Je kan dan poorten open zetten, mediaopslag bekijken, etc
Echt moeilijk wordt het dan niet meer, om nog verder te gaan.

[petrol242]

Ik snap echt deze discussie niet. Een ISP die niks met de agressie van Rusland te maken heeft, ook zijn Russische medewerkers niet, wordt in vraag gesteld. Gaan we dat voor bijvoorbeeld Telenet en zijn Amerikaans moederbedrijf ook doen? Komaan zeg.

Maar we zetten wel de deuren wagenwijd open voor de googles en de facebooken die het oorspronkelijke opzet van het internet naar de Filistijnen hebben geschoten.

[bambipower]

Ff de postvan ccatalyst terugplaatsen gostow?

Allez, ik heb toch sterke vragen bij zij die denken dat Rusland erop uit is om te spioneren op hen. Laat ons realistisch zijn: als je interessant genoeg bent daarvoor in de huidige omstandigheden, heb je grotere problemen dan dit. China is op dat vlak wel een ander verhaal, maar die heeft ook heel andere bedoelingen dan Rusland, en da's off-topic.

Wat wel kan, ook via TR-069, is CPE's inzetten in DDoS aanvallen op Oekraïne, iets wat absoluut in het arsenaal van Rusland zit. Niet door via TR-069 DDoS aanvallen uit te voeren, maar eerder door bv 53 op de WAN interface open te zetten en dan ahv het spoofen van de IP van de target DNS queries sturen naar die CPE's, liefst een query die een gigantische reply genereert. Da's maar een voorbeeld, vervang DNS door bijna gelijk welke L7 service die toevallig draait op de CPE.

Of ze dat ook doen? Ik hoop/denk van niet. Het zou wel snel opvallen bij EDPnet hier, en Rusland heeft sowieso al genoeg toestellen in hun controle. Maar je kan het ook niet uitsluiten.

Soit, het lijkt me niet meer dan logisch, dat als er toegang is tot de modem/router de rest allemaal kinderspel is.
Beetje vreemd, dat er een hele hoop userbasers privacy niet meer belangrijk vinden als het over edpnet gaat.
Maar dat kennen we hier al langer.

[Sinna]

Dit gaat mij niet om privacy maar om redelijkheid. Telenet kan ook overal aan en daar kraait geen haan naar?
Bemerk trouwens dat EDP geen incoming DNS toelaat (toch zeker niet op dynamische IPs), zie hun (oude, maar niet verouderde) bericht Global DNS and NTP amplification attacks van 13 april 2014.

[bambipower]

Telenet zit niet met cruciale toeganggevens in rusland?

Waarom telkens die dwaze vergelijken? Facebook, amerika, ... stupid, straks zimbabwe als vergelijk?

We zijn een paar cm verwijderd van een echte oorlog met rusland. Als hij al niet bezig is (toch al zeker economisch)

[SpecialK]

Maar heb je met TR069 toegang tot ALLE features die de modem biedt, of is dat voornamelijk voor provisioning/troubleshooting zaken?

Ikzelf heb trouwens een BBOX3 in bridge mode; als je daarop kan kan je nog niet zoveel doen want het WAN IP zit op mijn eigen router.

[bralm]

spionage?
...
Echt ik zie het probleem niet hoor? Dit is toch een zeer zeer beperkte blootstelling aan gegevens.

Als je remote access hebt op een FB via bv. een TR-069 account dan kun je alle netwerkcommunicatie binnen je huis afluisteren.

Dit staat zelfs mooi uitgelegd op de EDPnet website:
https://www.edpnet.be/en/support/troubl ... tzbox.html

Je verwart toegang met TR-069 en web access / remote shell access. Op de website van edpnet leggen ze namelijk uit hoe je ZELF een log kunt maken van je FritzBox

Tevens mag je verwachten dat de helpdesk medewerkers bij edpnet geen ruwe TR-069 communicatie kunnen doen maar enkel toegang hebben tot een applicatie waar ze voorafbepaalde commando's en opdrachten kunnen uitvoeren. Dit om veiligheid, kwaliteit en efficiëntie redenen. Zoals edpnet al heeft aangegeven heeft zijn er beperkingen wat de helpdesk medewerkers kunnen opvragen.

Ik zou me wel zorgen maken mocht hun TR-069 Auto Configuration Server en de web applicaties waar de medewerkers zicht op aanmelden zich geheel of gedeeltelijk in Rusland bevinden. Hopelijk kan edpnet dit uitsluiten.

Een verdere nationalisering van private bedrijven, bedrijven met niet Russische aandeelhouders, veel niet Russische klanten, ... lijkt zeer waarschijnlijk om 'de Russische samenleving te beschermen van uitschot en verraders'. Ik vrees dat dit laatste een groter risico is voor edpnet.

[Sinna]

Telenet zit niet met cruciale toeganggevens in rusland?

Waarom telkens die dwaze vergelijken? Facebook, amerika, ... stupid, straks zimbabwe als vergelijk?

Geen idee waarnaar de helpdesk uitbesteed is, en ik had het niet specifiek over Rusland, maar ik probeer e.e.a. in perspectief te zetten.
Ik begrijp je punt dat edpnet hier kwetsbaar(der) kan zijn dan andere zgz. Belgische ISP's. Dan is het aan Joachim om dat risico af te dekken. Ik dacht uit eerdere reacties (van Joachim) te kunnen afleiden dat dit al het geval is.

[duizend]

Beetje vreemd, dat er een hele hoop userbasers privacy niet meer belangrijk vinden als het over edpnet gaat.
Maar dat kennen we hier al langer.

Wat een non issue.
Tr069 disabelen en klaar.
Of
Je er gewoon niets van aantrekken en klaar.

Maar in elk geval van facebook, google, … en consoorten wegblijven en je smartphone weggooien als je privacy belangrijk vindt.

Lijkt een beetje op het sleutelgat van de deur dichtplakken (edpnet) omdat je niet wil dat ze door het sleutelgat kunnen kijken.
Terwijl het dan een glazen deur is. (Sociale media)

[bambipower]

Maar heb je met TR069 toegang tot ALLE features die de modem biedt, of is dat voornamelijk voor provisioning/troubleshooting zaken?

Ikzelf heb trouwens een BBOX3 in bridge mode; als je daarop kan kan je nog niet zoveel doen want het WAN IP zit op mijn eigen router.

Gebruiker aanmaken met dezelfde rechten? En proberen

Ik heb het in een hackergroep gegooid. Die kennen er iets meer van dan ik...

[CCatalyst]

Maar heb je met TR069 toegang tot ALLE features die de modem biedt, of is dat voornamelijk voor provisioning/troubleshooting zaken?

Hier kan je het data model van het broadband forum raadplegen, kwestie van een idee te hebben.

Device.PacketCaptureDiagnostics zit er bijvoorbeeld wel degelijk in. "This diagnostic is used to record packet capture data on a valid (layer 2 or above) interface in libpcap or pcapng format."

Let wel, wat er van dat model precies wel en niet ondersteund wordt hangt uiteraard af van het toestel, en uiteraard kan men ook proprietaire zaken toevoegen.

Tr069 disabelen en klaar.

Wie moet TR-069 disablen? De klant? Leg eens uit hoe de klant dat precies kan doen?

Als EDPnet dat zou doen dan zal hun helpdesk en provisioning een pak lastiger worden.

[bambipower]

Je kan tr069 verwijderen in het fb menu
Staat bij gebruikers

Maar daar heeft 99,9% van de edpnetters geen weet van

[CCatalyst]

Maar daar heeft 99,9% van de edpnetters geen weet van

Ja, als het je eigen router is die je zelf configureert en aansluit kan je dat idd doen, alhoewel TR-069 in dat scenario doorgaans ook niet gebruikt wordt.

Als het toestel door de provider geleverd wordt ga je die optie doorgaans wel niet krijgen.

[bambipower]

Toch wel hoor. Iedereen kan hem verwijderen...

[on4bam]

Geen idee hoe het met de nieuwere FBen is maar mijn door EDPnet geleverde FB 7490 kan perfect geconfigureerd worden zonder TR-069 of zonder EDPnet als provider te kiezen (zoals eerder al werd vermeld in deze thread).

[CCatalyst]

Wel, zoals AVM zegt hebben ISP's op een door hen geleverd toestel wel de mogelijkheid om TR-069 op te leggen. Als EDPnet dat niet gedaan heeft, toont dat misschien aan dat ze niet zo afhankelijk zijn ervan.

[woutervh]

Dus die TR-069 is een gebruiker die gewoon openstaat naar buiten toe? Los van een al-dan-niet-oorlog lijkt me dat sowieso niet zo'n strak plan. Waarom zou het dan nu plots wel een issue zijn?

[bambipower]

Omdat we nu in oorlog zijn, of toch kwasie, met rusland?

En hiervoor wist ik dat niet... zoals velen hier.

Ik probeer een dossierke aan te leggen, dat naar de juiste instanties gaat, als mijn kantelpunt bereikt is.
Ik kan me best voorstellen, dat het kantelpunt voor edpnet wel iets verder ligt, dan voor mij. En daar heb ik wel begrip voor. Daarom ook, dat de instanties dan maar moeten het juiste kantelpunt bepalen.

[petrol242]

Over het TR-069 protocol is al veel te doen geweest in het verleden, los van de oorlog in Oekraïne. Waarom dat nu weer plots hot item is op zijn minst opmerkelijk.
Ik heb altijd fritzboxen gehad die niet van de provider komen en dan heb je er geen 'last' van. Je zal dan wel zelf de configuratie en opvolging moeten doen.

[Sasuke]

Het TR-069 protocol is toch niet het probleem ? Dat is een technische maatregel.
Het probleem is dat je, in de huidige context, niet meer kan/mag vertrouwen op de gegevens die van/naar Rusland gaan. Ze hebben inzage in persoonsgegevens (+ adressen), BTW nummers, toegang tot hypervisors in het DC van EDPNET, e.d. ... 1 Putin fanaat heeft een enorm groot potentieel om data verzameling te doen voor de Russische overheid.

Over toegang tot mijn (thuis) netwerk lig ik niet zo direct wakker, dat is EN blijft nog altijd mijn eigen verantwoordelijkheid (incl. het al dan niet disablen van TR-069). Het gaat 'm eerder over het principe ... dit ligt voor mij in hetzelfde kader als de diamanthandel of de gasleveringen eigenlijk.

PS: Mensen die nog altijd geloven in het 'ik ben niet belangrijk genoeg om geviseerd te worden, dus die privacy maatregelen zijn nog niet zo belangrijk' ... Anno 2022 is dat een sterk staaltje van onwetendheid.

[petrol242]

Het probleem is dat je, in de huidige context, niet meer kan/mag vertrouwen op de gegevens die van/naar Rusland gaan.

En ik zie dat probleem niet. Als je elke provider die verbonden is met Rusland, met eender welke backbound, in vraag gaat stellen kunnen we evengoed ons van het internet los koppelen.
Ik vind het zelfs op het randje van paranoia om de pijlen nu op Edpnet te richten.

[Sasuke]

Welke andere provider heeft zulke nauwe banden met Rusland ? Want dan komen die in dezelfde geviseerde schaal hoor ...
Bij EDPNET is de servicedesk fysiek in Rusland ... ik ken geen enkele andere ISP waar dat zo het geval is. Ik ken ook geen enkel andere Telecom provider, ICT diensten leverancier of winkel, waarbij Russische medewerkers toegang hebben tot ICT systemen van Belgische klanten.

E.g. Kaspersky AV wordt ook overal geweerd. En toevallig hebben wij een aantal klanten die Kaspersky AV gebruiken, die klanten hebben stuk voor stuk officiële uitleg, garanties of vervanging gevraagd. En daar zijn zelfs geen rechtstreekse russische werknemers bij betrokken.

Jij noemt het paranoia, ik noem het 'voorzienigheid' ... het is nu niet alsof Rusland vs Oekraïne een storm in een glas water is of iets dat niet uitdijnt verder hé ... ik verwacht dat dit enkel nog maar gaat escaleren.

[woutervh]

Hmmm... Ik snap de security issue an sich wel, maar waarom daar nu zo'n probleem van maken? Rusland is al sinds 2010 aan het borrelen. Als je nu alles gaat moeten buitengooien dat Chinees, Israëlisch, Amerikaans, Indisch, ... is. Succes!
Jullie weten toch dat zelfs userbase ondergebracht is op hosting van edpnet hé? (waarvoor dank) Wie weet wat de Russen intussen al allemaal verzameld hebben...

paranoia

[bambipower]

Over het forum, dat ’powered is by edpnet’, is er al een antwoord verschenen. Het loopt niet dezelfde risico’s

[CCatalyst]

PS: Mensen die nog altijd geloven in het 'ik ben niet belangrijk genoeg om geviseerd te worden, dus die privacy maatregelen zijn nog niet zo belangrijk' ... Anno 2022 is dat een sterk staaltje van onwetendheid.

Dat klopt, maar niet zozeer met Rusland, het zijn andere landen die vanalles verzamelen over u, landen die sowieso de rest van de wereld als vijand of wingewest beschouwen, dus sowieso moet je die voorzichtigheid aan de dag leggen. Wat Putin betreft, Putin wil z'n USSR terug, hij is echt niet geïnteresseerd in uw BTW nummers. Als je intel hebt die het omgekeerde aantonen mag je het posten.

[woutervh]

Over het forum, dat powered is bij edpnet, is er al een antwoord verschenen. Het loopt niet dezelfde risico’s

En jij gelooft die uitleg? Volgens mij is Putin aan het volgen hoor

[Sasuke]

@Wouter ... in 2010 was het geen 'dicht bij mijn bed' verhaal hé. Om die reden heb ik in de huidige context dan ook duidelijk onderstreept.

En ja ... forum hosting bij EDPNET (op dit moment (nog) niet het geval) vind ik persoonlijk ook een probleem.

[fmcstaartmees]

ik zie in heel die discussie een heleboel non-argumenten en vooral paranoia van iemand die denkt dat 'de Russen' in zijn computerke geïnteresseerd zijn ... Echt man dreigen met de staatsveiligheid, een dossierke naar de bevoegde instanties, ... get a life! Als je dan toch zo in je broek doet: zeg dan je abonnement bij edpnet op en blijf dan ook van dit forum dat gehost wordt door edpnet ...

[duizend]

Het gaat 'm eerder over het principe ... dit ligt voor mij in hetzelfde kader als de diamanthandel of de gasleveringen eigenlijk.

En dat is dan eveneens het antwoord op de vraag “zal ik eens in mijn eigen voeten schieten uit principe of niet”
Hierop ja antwoorden klinkt stoer op een forum totdat je het eens echt mag doen.

Enkel een idioot neemt maatregelen die hem meer pijn doen dan de tegenstander, tenzij die maatregel de andere maatregelen zo versterkt dat het je op (zeer) korte termijn de overwinning geeft.

[bambipower]

TR-069 devices are set up to connect to Auto Configuration Servers (ACS) operated by ISPs. These servers run specialized ACS software developed by third-party companies that can be used to re-configure customer devices, monitor them for faults and malicious activity, run diagnostics and even silently upgrade their firmware.

Many customers likely don’t know that their ISPs have this level of control over their routers, especially since custom firmware running on them often hides the TR-069 settings page in the router administration interface, Tal said. Even if the owner knows about this remote management service, most of the time there is no option to disable it, he said.

If an attacker compromises an ACS he could obtain information from the managed routers like wireless network names, hardware MAC addresses, voice-over-IP credentials, administration usernames and passwords. He could also configure the router to use a rogue DNS server, to pass the entire traffic Internet through a rogue tunnel, set up a hidden wireless network or remove the security password from the existing network. Even worse, he could upgrade the firmware on the devices with a rogue version that contains malware or a backdoor.

https://www.pcworld.com/article/440767/ ... s-say.html
https://en.m.wikipedia.org/wiki/TR-069

[CCatalyst]

Is een beetje gelijkaardig aan de Wi-Fi vulnerabilities, zoals KRACK. Ja, serieuze vulnerability die veel schade kan aanrichten, maar in de praktijk is de vereiste van nabijheid vlakbij de AP een voldoende vorm van "selectie" dat enkel de meest doorgedreven adversary zich daar aan waagt, maw state actors. Het is geen typische Windows vulnerability waarbij je vanop verre afstand miljoenen PC's kan kraken.

Hier hetzelfde, CPE's gaan niet zomaar TR-069 communicatie van gelijk welk IP adres aanvaarden, dat is enkel van een of meerdere pre-geconfigureerde ACS servers. Men moet dus al eerst in die ACS servers binnenraken voor men uberhaupt iets kan beginnen, en dan is men nog steeds beperkt tot de mogelijkheden die de CPE via TR-069 toelaat, wat soms niet echt uitgebreid is (maar soms wel). Daarom dat we misschien niet zoveel horen over misbruik inzake, heel veel moeite voor een gering resultaat.

Natuurlijk, voor een bad actor in de ISP zelf liggen de kaarten veel eenvoudiger.

[petrol242]

En dat geldt voor elke ISP. Overal kan er iemand met slechte bedoelingen zitten.

Nu komt plots Edpnet in beeld omdat ze per toeval actief zijn in een land dat een oorlog aan het uitvechten is. Ik heb heel hard te doen met de Russische medewerkers want die zijn hier even goed slachtoffer. Die willen gewoon hun job kunnen doen.

[marzman]

Telenet zit niet met cruciale toeganggevens in rusland?

Waarom telkens die dwaze vergelijken? Facebook, amerika, ... stupid, straks zimbabwe als vergelijk?

We zijn een paar cm verwijderd van een echte oorlog met rusland. Als hij al niet bezig is (toch al zeker economisch)

Nee, maar wel VS, India en de franstalige helpdesk zit in Noord Afrika. Of je legt het gevaar niet goed uit of je lijkt overdreven te reageren.

En als dit het is (die oorlog), dan snap ik niet wat mijn opa altijd liep te klagen. Ik heb maisolie moeten kopen ipv zonnebloemolie, maat verder vind ik de oorlog nog goed te doen. Als je een puur Belgische provider wilt zul je naar Proximus moeten overstappen en zelfs daar zitten buitenlandse investeerders met Fiberklaar enzo. Je kan ook een vpn gebruiken.