Роутер ZTE F660 используется провайдером МГТС для подключения к Интернету по GPON-технологии, использующей оптоволоконную линию связи. Этот аппарат совмещает в себе функции ONT-терминала и Wi-Fi-маршрутизатора.

Перед началом работы следует подключить к роутеру оптический кабель зелёным штекером в предназначающийся для него порт, соединить Ethernet-кабелем роутер и сетевую карту компьютера и включить.

1. После того как роутер загрузится, запустите браузер и введите в адресной строке 192.168.1.1. Нажмите Enter и введите в новом окне логин и пароль. У МГТС это стандартные admin и admin.

После входа появится меню, содержащее вкладки Status, Network, Security, Application, Administration.

2. Во вкладке Network выберете WLAN - Basic.

• Напротив Wireless RF Mode следует выставить Enabled - это опция, разрешающая передачу беспроводного сигнала.
• В опции Mode выберите режим Mixed802.11b+g+n.
• В графе Country/Region, разумеется, выбирайте Russia.
• Далее ставьте Chanel — Auto и Transmitting power - 100%.

3. Сохраните изменения, нажав кнопку Submit, и переходите в подраздел Multi-SSID Settings.

• В графе «Choose SSID» установите «SSID1» и поставьте флажок в поле Enable SSID (проверьте, чтобы при выборе других SSID этот флажок не стоял).
• Придумайте имя для вашей беспроводной сети и введите его в поле SSID Name.

4. Вновь сохраните изменения, нажав Submit, и перейдите в подраздел Security.

В поле Choose SSID выберите 1-й вариант.

• Напротив надписи Authentication type установите WPA2-PSK.
• Придумайте пароль, необходимый для подключения к вашей Wi-Fi-сети, и введите его в поле WPA Passphrase.

Установите пароль, содержащий не менее 8-10 символов латинского алфавита и цифр.

Вновь нажмите кнопку Submit, закончив настройку роутера.

Как изменить пароль от роутера

Для изменения пароля администратора по умолчанию используется меню Administration, в котором нужно выбрать подменю User Management.

В этом окошке:

• переключите User Right в положение Administrator;
• введите в поле Old Password старый пароль, а затем в полях New Password и Confirm Password укажите новый пароль.

Перед началом эксплуатации роутера ZTE F660 рекомендуется отключить функцию WPS. Сделать это можно, нажав соответствующую кнопку на тыльной стороне аппарата.

Роутер МГТС GPON zte f660 – оборудование нового поколения, используемое для подключения ко всемирной сети интернет. Технология GPON указывает на то, что маршрутизатор предназначен для соединения по оптоволоконным каналам. Устройство может производить обмен данными как по кабелю, так с помощью Wi-Fi сигнала. Уникальность оборудования заключается в том, что помимо доступа к интернету, роутер способен обеспечить своего обладателя IP-телефонией и позволяет создать локальный веб-сервер.

Сегодня мы рассмотрим особенности маршрутизатора, попутно обсудив, как настроить Роутер МГТС GPON zte f660 для того, чтобы пользоваться заявленными функциями.

Характеристики, особенности устройства

Если рассматривать основные характеристики f660, нельзя не отметить, что передатчик функционирует на рабочей частоте 2,4 гигагерца. Сигнал Wi-Fi может передаваться со скоростью до 300 мегабит/секунду, а техника поддерживает до 4 идентификаторов сети, которые могут поддерживать подключение порядка 120 пользователей одновременно. Также маршрутизатор рассчитан на то, чтобы увеличивать зону действия сигналов близлежащих роутеров.

Если говорить о конструкции устройства, она предусматривает следующие разъемы:

• LAN – 4 шт. Предназначены для подключения других устройств с использованием стандартного кабеля интернет;
• USB – 2 шт. Позволяют проводить манипуляции с электронных носителей (например, когда нужно обновить прошивку);
• POTS – 2 шт. Разъемы подразумевают использование телефонного кабеля для подключения телефонии.
• Power – 1 разъем. С его помощью устройство соединяется с адаптером питания;

Также задняя сторона роутера оборудована кнопками включения/выключения устройства, кнопками для сброса всех настроек и регулировки функций Wps/Wlan, плюс разъемом GPON для коннекта с линией оптоволокна. Как вы видите, функционал устройства довольно высок.

Как подключить и настроить маршрутизатор

Для того, чтобы начать пользоваться устройством, необходимо правильно подключить его к технике и обеспечить его соединение с линиями оптоволокна. Представляем вам пошаговое руководство по подключению:

• Отыщите внутри коробки с роутером блок питания устройства. Вставьте штекер в соответствующий разъем на задней панели агрегата, а сам блок – в розетку с рабочим напряжением не менее 220 вольт.
• Подготовьте оптоволоконный кабель, идентично присоединив один его конец к розетке, а второй – к гнезду маршрутизатора.
• Закрепите штекер интернет-кабеля в разъем компьютера или ноутбука, предназначенный для сетевой карты, а второй конец кабеля — в любой из портов LAN. Удостоверьтесь, что шнур плотно зафиксирован в устройстве, с которого вы планируете настраивать.
• Отыщите индикаторы активности на маршрутизаторе, тот, который отображает соединение LAN должен быть подсвечен.

Если лампочка не горит, убедитесь в работоспособности сетевой карты, после чего повторите попытку. При возникновении дополнительных трудностей обратитесь к технической службе провайдера, специалисты помогут вам подключить и протестировать связь подробной инструкцией.

После того, как оборудование работоспособно и выход во всемирную паутину возможен через домашнюю, проводную сеть, необходимо настроить обмен данным через интернет посредством Wi-Fi.

Пошаговая настройка роутера МГТС GPON zte f660:

• Откройте адресную строку любого из активных браузеров на вашем компьютере, вбейте в нее команду «http://192.168.1.1.». Система перенаправит вас на страницу, в активные строки которой вам нужно будет ввести логин/пароль (в обоих случаях слово «admin»). Действия позволят перейти к главному меню с настройкой вашего маршрутизатора.

• Перед вами вкладки на английском языке, выберите раздел «network», после чего – «wlan» и «basic». Приступите к заполнению форм, строго следуя инструкции. Первая строка под названием «wireless RF mode» позволяет выбрать один из выпадающих вариантов заполнения. Зафиксируйте версию «enabled». В строке «mode» должны быть выбраны данные «mixed(802.11b+802.11g+802.11n)». В поле с регионом/страной – Russia. После заполните следующие строки: Channel – auto, Transmitting Power – 100 процентов, Qos Type – disabled, RTS Threshold и Fragment Threshold – цифровое значение 2346. Завершите настройку данной страницы нажатием клавиши «submit».
• Перейдите по следующей вкладке левого меню «Multi SSID settings». Также настройте открывшиеся поля по инструкции: Choose SSID – SSID 1, птичка в графе Enable SSID, произвольное название сети в SSID name. Подтвердите действия кнопкой «submit».
• Следующий шаг – вкладка Security, здесь необходимо настроить безопасность вашей сети. Для этого нужно заполнить строки: choose SSID – SSID 1, authentication type – WPA/WPA2-PSK. Завершающий шаг – создание индивидуального пароля. Требования к коду просты – он должен быть составлен не менее чем из 8 символов на латинице, рекомендовано использовать как буквы, там и цифры с символами. Максимальное количество знаков – 63. После того, как пароль внесен, и вы убедитесь в том, что не забудете его, можно завершить настройку кнопкой сохранения «submit».

Если вы хотите изменить административный доступ к настройкам вашего маршрутизатора, войдите в подраздел управления пользователями. Открывшееся окно попросит подтвердить имя пользователя и старый пароль, после чего вы можете зафиксировать и сохранить новый код доступа к администрированию. Описанные действия помогут вам обезопасить свою сеть Wi-Fi и избежать несанкционированных подключений (видео внизу).

Мы рассмотрели, как подключить и настроить роутер МГТС GPON zte f660. Если ваши устройства работоспособны и готовы к использованию, описанные манипуляции не должны вызвать затруднений.

Посмотрите видео — как менять пароль на Wifi (zte F660v3).

Технология пассивных оптических сетей (PON) уже довольно давно используется в построении сетей разного масштаба и назначения благодаря своей надёжности и стабильности . Она получила несколько ответвлений в зависимости от конечного предназначения: Ethernet PON, Broadband PON и другие.

В последнее время технология GPON начала набирать обороты среди пользователей

Ещё недавно развитие оптических сетей было не столь доступным из-за высокой стоимости оборудования. В последнее время цены стали снижаться, и сейчас «оптика в каждый дом» становится лучшим вариантом для всех, учитывая остальные плюсы оптики по сравнению с витой парой и другими, ещё менее надёжными технологиями.

Провайдер МГТС для подключения абонентов к интернету использует Gigabit PON, или GPON - самую удобную и стабильную на сегодняшний день технологию построения оптических сетей.

При заключении договора МГТС предоставляет в пользование GPON-роутеры, уже настроенные под использование с конкретным провайдером . Но бывают случаи, когда устройство сбрасывается из-за скачка напряжения, или же сброс настроек сделан случайно, или, наконец, пользователю элементарно может понадобиться сменить пароль на Wi-Fi.

Настройка оптического маршрутизатора GPON в основном напоминает настройку обычного роутера и заключается в таких этапах:

• Вход на страницу управления роутера;
• создание беспроводной точки доступа и защита её паролем.

Подробности можно изучить на примере GPON-маршрутизатора Sercomm RV-6688

Вход на интерфейс управления

Для настройки роутер подключается к компьютеру посредством комплектного кабеля и lan-порта. Оптический патч-корд при этом подключать не нужно.

В адресной строке вводится IP интерфейса настройки : 192.168.1.254. Логин и пароль по умолчанию admin/admin, но если устройство прошито или настраивалось сотрудниками МГТС, то возможен вариант mgts/mtsoao. Тип подключения выбирать не нужно - он заложен в прошивке роутера.

Настройка беспроводных точек

Эта модель, предоставляемая провайдером МГТС, поддерживает возможность создания до четырёх отдельных беспроводных сетей, включая гостевую, которая не будет иметь доступа к локалке. Перед настройкой проверьте, что на роутере включён DHCP-сервер. Это находится в разделе «LAN» - «Основные параметры» и нужно для корректной раздачи IP-адресов конечным устройствам.

Wi-Fi на GPON роутере от МГТС настраивается следующим образом:

1. В меню «Настройка» перейти в раздел «Беспроводная сеть», затем в «Основные параметры»;
2. Включить беспроводную сеть галочкой в соответствующем пункте (или убедиться, что она включена);
3. Назначить SSID - имя точки.

Остальные параметры можно оставить без изменения. Но это зависит от ваших условий: если рядом работают другие Wi-Fi-роутеры, возможно, потребуется подобрать канал с другой частотой. Также и с уровнем сигнала: если ваш GPON-роутер будет находиться на расстоянии от принимающих устройств, то, вероятно, лучше будет выбрать в списке значение «Высокий».

Для установки защиты на страничку «Безопасность» в выпадающем списке идентификаторов сетей находим имя только что созданной точки. Остальные параметры можно оставить по умолчанию, кроме пароля. Назначьте надёжный пароль, желательно включающий в себя и буквы и цифры. После этого нужно сохранить настроенную конфигурацию.

Заключение

Как видите, настройка GPON роутера от МГТС не сложнее аналогичных действий с любым другим маршрутизатором. Если вам нужно, к примеру, сменить пароль на Wi-Fi , наша инструкция поможет. Кому не помогла - всегда можно обратиться к нам в комментариях за помощью в решении проблемы.

По результатам собственных изысканий родилась идея набросать небольшой Q&A по работе с некоторыми недокументированными функциями оптического терминала ZTE ZXHN F660, устанавливаемого сейчас в квартиры фирмой МГТС.

Статья расcчитана на начинающих, которые, тем не менее, уже ознакомились с Web-интерфейсом управления терминалом и знают, как делать в нем базовые вещи: смена пароля, активация SAMBA, проброс портов, настройка WLAN, настройка фильтрации, и т.д. В ней мы не будем рассматривать смену прошивки или «отвязку» от провайдера – все вещи, связанные с удаленным обновлением, настройкой VOIP, и т.д. трогать крайне не рекомендую. Оставьте провайдеру возможность выполнять свою работу и обслуживать свое устройство (оно его, а не ваше, если помните договор).

1. Есть ли уязвимость в WPS?

Для начала хочу успокоить тех, кто в интернете наткнулся на информацию о страшной дыре в безопасности WiFi-сетей – уязвимости в WPS. Это имело место быть в ранних прошивках ZXVA, но сейчас WPS не активен по умолчанию, так что бояться нечего.

2. Есть ли уязвимость в Web-интерфейсе настроек?

А вот она никуда не делась, хоть и писали о ней давно. Зайдя из внутренней сети по адресу 192.168.1.1/manager_dev_config_t.gch и нажав на кнопку “Backup Configuration” (если у вас стоит русский язык по умолчанию, то это – верхняя кнопка, просто название неправильно перевели) ЛЮБОЙ пользователь (без авторизации!) получит XML-файл со всеми настройками, включая ВСЕ пароли ко ВСЕМ интерфейсам (включая пользователя mgts к веб-интерфейсу и root к telnet). Таким образом, пуская кого-либо в свою внутреннюю сеть, вы заодно даете ему потенциальную возможность полного управления ею.

3. Как загрузить свой файл настроек?

При попытке загрузить измененный вручную XML-файл настроек, F660, не будь дурак, проверяет контрольную сумму и отвергает измененные файлы. Но есть возможность отредактировать сам файл-источник:

Штатно включаем SAMBA в web-интерфейсе

- выполняем:

Mkdir /mnt/config mount –o bind /userconfig/cfg /mnt/config
- заходим проводником на \\192.168.1.1\samba\config
- редактируем (хотя бы «Блокнотом») файл db_user_cfg.xml (другие файлы не трогаем!)
- после сохранения файла перезагружаем F660.
- на случай порчи этого файла у вас есть лежащий там же файл db_backup_cfg.xml, ну и ещё кнопка Reset, которая запишет в него default-настройки.

4. Как сменить пароль к telnet?

В файле настроек (п.3) меняем параметр «TS_UPwd».

5. Как активировать FTP-доступ?

В файле настроек (п.3) меняем флаг «FtpEnable» на «1». Заодно выставляем в «1» параметр «FtpAnon» или редактируем логины/пароли раздела «FTPUser».

6. Как превратить F660 в простой локальный Web-сервер?

Допустим, на флешке у вас есть подготовленная структура сайта со стартовым INDEX.HTM в корне.

Переименовываем INDEX.HTM в setlang.gch
- вставляем флешку в F660
- заходим по telnet с полученным из п.2 логином и паролем
- выполняем:
mount –o bind /mnt/usb1_1 /home/httpd
- видим новое содержимое по адресу 192.168.1.1
- это работает только до очередной перезагрузки

7. Как сделать эти FTP- и/или Web-сервер доступными из Интернета?

Если мы говорим про стандартный порт (21 для FTP и 80 для HTTP соответственно) и провайдера МГТС (предполагаем, что статический IP не куплен, но мы умеем обращаться к своему временному внешнему IP – с помощью dyndns, например) – то никак. МГТС режет входящие соединения по наиболее популярным портам (как минимум по 21,23,80,443,8080) ещё на своей стороне, так что повлиять на это мы не можем.

Если же вы готовы обращаться извне к нестандартному порту, то просто штатно прописываете port mapping c какого-нибудь 5-значного внешнего порта на внутренний 21 (и/или 80) и в качестве адреса внутреннего компьютера указываете 192.168.1.1. НО! Делать это категорически не рекомендуется , т.к. вы оставляете свой бедный терминал один на один с жестоким внешним миром: FTP – протокол без шифрации, а значит любой сможет перехватить логин/пароль доступа к нему, про Web-сервер помним, что после перезагрузки он превращается в тыкву интерфейс настроек, открытый для всех (см п.2), наконец, нас просто легко заDOSить, все-таки F660 - железка слабая в сравнении с полноценным сервером.

8. Как заблокировать Web-интерфейс терминала, раз в нем есть уязвимость?

Из внешней сети доступа и так нет. Если пытаемся защититься от гостей, допущенных во внутреннюю сеть, то вариантов 2:

Постоянный: Штатным механизмом «Services Control». К сожалению, он не умеет различать доступ по WiFi и по Ethernet, а блокировать только диапазон IP, оставляя доступ со «своих» адресов - ненадежно (т.к. подменить IP легче легкого), поэтому блокируем Web со ВСЕХ адресов. Но учтите, что при этом вы лишаетесь Web-интерфейса управления терминалом, и снять такую блокировку получится только сбросив настройки кнопкой Reset или ручным редактированием db_user_cfg.xml (поэтому не надо заодно блокировать и telnet, достаточно пароль ему сменить).
- Временный. Замещаем web-интерфейс по аналогии с п.6, но флешка уже не нужна: можем создать папку где-нибудь в /userconfig (он не стирается при перезагрузке терминала), поместить в неё файл setlang.gch с содержимым вроде:

Здесь ничего нет
и смонтировать её на место /home/httpd. Работает это лишь до следующей перезагрузки.

Если нужно вернуть web-интерфейс управления без перезагрузки, выполняем

Umount /home/httpd

9. Как сделать массовую фильтрацию DNS-имен по файлу hosts?

Если записей немного, то достаточно штатного способа - в разделе Applications => DNS Service => Hosts. Настройки сохраняются при перезагрузке, но каждую нужно вводить по отдельности, и занимает она приличное место в db_user_cfg.xml. Если же у вас собственный файл на тысячи имен, можете добавить их во временный файл hosts, расположенный в /var/tmp/. (Способ получения к нему файлового доступа – по аналогии с п.3). Работает до очередной перезагрузки.

10. Как скомпилировать/запустить собственные программы на терминале?

Это вопрос уже не начинающих. Есть хардкорная статья про сборку собственного toolchain для предыдущей версии F660 – habrahabr.ru/post/211759 Там же описание установки torrent-клиента transmission. Только учтите, что в ZXHN уже другая начинка – вместо MIPS там стоит ARM9.

11. Можно ли навесить свои функции на автозагрузку?

Очень настоятельно не рекомендую это делать. У F660 есть 2 печальные особенности:

1) Кнопка reset – это не полный сброс устройства, а всего лишь сигнал заменить файл настроек на дефолтный, она не поможет восстановить нарушенную процедуру загрузки.

2) Все коммуникационные интерфейсы поднимаются ближе к концу загрузки.

Сочетание этих 2 особенностей дает результат: любые проблемы в загрузке – и вы получаете «кирпич» .

Перед экспериментированием с загрузкой подумайте, действительно ли оно вам нужно. У меня, к примеру, uptime устройства достигает нескольких месяцев (собственно, я смог вспомнить только 1 перезагрузку за год не по причине применения настроек), так что просто нет потребности.

Теги: Добавить метки

1 августа 2013 в 19:21

Абоненты МГТС GPon под угрозой взлома, новые сети – новые проблемы

• Информационная безопасность ,
• Разработка систем связи

1. Введение

В столице нашей необъятной Родины идет беспрецедентный по масштабу проект внедрения технологии Gpon от компании МГТС под эгидой борьбы против медных проводов и за доступную интернетизацию населения. Число абонентов МГТС по городу Москва превышает 3.5 миллиона человек, предполагается, что охвачены будут все.
Идея замечательная – оптика в каждую квартиру, высокоскоростной интернет, бесплатное подключение и Wi-Fi роутер в подарок (правда официально без права его перенастройки, но об этом далее). Реализация же такого масштабного проекта (подобное устройство ставится в каждую квартиру, где есть хотя бы городской телефон от МГТС) как обычно не обошлась без дыр в планировании, которые могут дорого обойтись конечному пользователю. Наша компания заинтересовалась вопросами информационной безопасности клиентов столь масштабного проекта и провела экспресс-исследование, результаты которого мы и предлагаем общественности для информирования о существующих угрозах и мерах борьбы с ними в домашних условиях.

2. Жизнь на ладони

Угрозы оказались вовсе не иллюзорными и малозначительными, а системными и потенциал риска трудно переоценить. Я хочу предостеречь счастливых абонентов МГТС от угрозы их приватности, таящейся не только в роутере ZTE ZXA10 F660, любезно принудительно подаренном провайдером (впрочем, менее уязвимый Huawei HG8245, также устанавливаемый абонентам все равно никак не защищен от «настроек по-умолчанию»), но и в самой организации подключения абонентов к новым линиям связи.
Вот так выглядят варианты устанавливаемого оператором оборудования:

Менее опасный Huawei HG8245

Куда более «дырявый» ZTE ZXA10 F660

Проблем тут несколько разной степени опасности, какие-то решить можно своими силами, на какие-то можно лишь обратить внимание. Давайте перечислим основные моменты, которые помогут злоумышленнику взломать вашу домашнюю сеть (при условии, что вы таки являетесь абонентом МГТС по услуге Интернет):

• Пароль на WiFi – это ваш номер телефона (в ходе исследования встречались ленивые монтажники, которые оставляли паролем MAC-адрес роутера без первых 4-х знаков).
  Это означает, что взломать Wi-Fi техникой перебора хэндшейка по маске 495?d?d?d?d?d?d?d не потребует много времени, речь идет о считанных минутах и для этого вовсе не обязательно все время находиться возле объекта взлома. Достаточно перехватить момент соединения беспроводного устройства абонента(смартфона, планшета, ноутбука) с роутером, а остальное уже можно спокойно сделать на домашнем компьютере. Этот просчет оператора на уровне организации подключения - зияющая дыра, открывающая домашние сети миллионов абонентов для атаки злоумышленников. Эту проблему можно решить только локально - самостоятельно поменяв пароль точки доступа на более безопасный, однако следующая уязвимость куда серьезнее, так как на нее эффективно повлиять абонент самостоятельно просто не в силах.
• Речь идет об уязвимости технологии беспроводной настройки WPS, которая включена по-умолчанию на роутерах ZTE ZXA 10 F660. И если в случае с организационным просчетом, подставившим сети пользователей на уровне паролей злоумышленник не может массово взламывать абонентов, занимаясь каждым по-отдельности, то при эксплуатации WPS-уязвимости роутера этой модели взлом сетей может быть поставлен на поток. Технология работает следующим образом - для WPS-соединения используется пин-код, состоящий из 8 цифр. При получении правильного пинкода роутер отдает реальный Wi-Fi пароль. Мало того, что этот пин-код может быть взломан с использованием известного инструмента Reaver куда эффективнее и быстрее сложного WPA2 пароля, но главная проблема - он единый для всех роутеров ZTE ZXA10 F660! Более того, его легко можно найти за 10 минут в интернете. Повторяю - зная этот пин-код(который нельзя ни поменять, ни выключить) в течении 3 секунд получается реальный Wi-Fi пароль любой сложности и типа шифрования, либо производится прямое подключение к сети абонента. Таким образом «счастливые» обладатели именно этой модели оборудования (а их у оператора всего 2, так что шанс 50/50) даже установив невозможный ко взлому пароль на беспроводную сеть все равно из-за несовершенства технологии будут взломаны менее, чем за 5 секунд.

3. Чем чреват для владельца взлом WiFi?

Опустим банальности вроде «бесплатного интернета», сейчас не 90-е и на интернет людям с гаджетами обычно хватает. Так что за угрозы? Перечислим самые очевидные:

• Перехват траффика абонента, кража паролей от почтовых служб, социальных сетей, программ обмена сообщениями и других конфиденциальных данных
• Атака на компьютеры владельца точки с целью получения доступа к файлам пользователя, просмотра веб-камер, установки вирусов и шпионских программ (как правило домашние ПК куда более уязвимы для атак изнутри, чем корпоративные машины, здесь и традиционно слабые пароли и нерегулярные обновления и открытые ресурсы)
• Прослушка телефонных разговоров. (Да, с переходом на незащищенный sip это стало проще, чем когда-либо). Теперь не только спецслужбы, но и любопытный сосед (а может и не сосед) может записывать ваши разговоры по городскому номеру ввиду того, что новая технология телефонии работает по незащищенному протоколу SIP. Для оперативного перехвата и записи разговоров которого давно существуют в открытом доступе все необходимые инструменты.
• Кража телефонного номера - незначительно изменив программное обеспечение роутера злоумышленник может выяснить пароль от SIP-аккаунта и использовать его для звонков от лица взломанного абонента. Это не только потенциал прямого убытка владельцу номера, но и возможность нанесения куда более серьезного ущерба путем использования номера ничего не подозревающего гражданина для шантажа, террористических контактов или же с целью подставить владельца - например с этого номера сообщив в полицию о заложенной бомбе
• Создание большого ботнета (число абонентов МГТС в г. Москва - 3 504 874) с потенциалом каждого соединения в 100мбит\с. Да, для этого потребуется армия леммингов, но как всем хорошо известно – на разного рода «чанах» постоянно обитают орды биологических ботов, которых регулярно привлекают заинтересованные лица к разнообразным интернет-акциям, как правило вредительского толка.
• Использование случайной (или не случайной) сети для анонимной загрузки в Интернет запрещенных материалов (Догадываетесь, в чью дверь постучат?).

4. Меры защиты

Что можно предпринять, как защитить свою приватность в такой ситуации? Сделать самому можно немного, но это обязательные действия для каждого, кто не хочет стать жертвой плохо продуманной кампании оператора.
Нам понадобятся пароли от роутера, которые легко гуглятся в Интернете, записывайте:

• Доступ к вэбинтерфейсу роутера ZTE ZXA10 F660 – login: mgts , Password: mtsoao
• Доступ к консоли по протоколу Telnet – login: root , password: root
• для Huawei HG8245:
  адрес по умолчанию - 192.168.100.1
  login: telecomadmin , password: admintelecom
• Через вэбинтерфейс обязательно меняем пароль на точку доступа и ее имя (MAC-адрес все равно выдаст принадлежность к клиентам МГТС, но переименование точки снизит вероятность сопоставления конкретного Wi-Fi сигнала конкретной квартире)
• Владельцам ZTE ZXA F660 следует отключить Wi-Fi функционал кнопкой на устройстве. На данный момент это единственный способ защититься от WPS-взлома.

К сожалению в лучшем случае этими мерами воспользуются считанные проценты от 3.5 миллионов пользователей, большинство никогда не узнает об этой статье и останется уязвимым перед лицом реальной угрозы на долгое время, до тех пор, пока что-то или кто-то не заставит оператора потратить кучу денег и принять централизованные меры по исправлению технических и организационных недостатков проекта.

5. Вывод

Какие выводы можно сделать из всего вышесказанного? Самые неутешительные – масштабнейший проект внедрения GPON(повторюсь – речь идет о 3.5 миллионах абонентов!) обошелся без консультаций со специалистами по информационной безопасности, либо эти консультации были полностью проигнорированы в ходе самого внедрения. Пароли-телефоны, не отключаемый WPS с единым ключом, незащищенная SIP-телефония, извлекаемые из WEB-интерфейса пароли - есть результат слабой организационной составляющей и полного игнорирования элементарных норм информационной безопасности. Уверен, МГТС далеко не уникальны в подобных просчетах, многие более мелкие операторы сетевых услуг попадают в такие же ситуации в области защиты данных своих абонентов, но масштаб проблемы на этот раз превосходит все мыслимые границы

6. Официальная реакция ОАО МГТС

Мы, как добропорядочные исследователи безопасности, заинтересованы в скорейшем решении озвученных выше проблем. К сожалению наше беспокойство не нашло отклик в сердцах сотрудников пресс-службы ОАО МГТС, на которых мы пытались выйти, используя все имеющиеся каналы. Отзыв получили лишь один - через Facebook, сотрудник пресс-лужбы заверил нас, что мы можем с чистой совестью опубликовать имеющийся материал, а они потом отвечая на вопросы прессы заверят всех в том, что абоненты в безопасности, а данные их - конфиденциальны.