Onlangs ben ik geswitched binnen Freedom van belichter van KPN naar Fiber crew: in Amersfoort kreeg ik daarmee èn een snellere verbinding tegen een lagere prijs… wie wil dat nou niet? Maar hoe hoog zal die prijs uitvalt zal nog moeten blijken… Want de hardware die freedom opstuurde is een: ZTE Optical Network Terminal (ONT).
ZTE is een chinees merk dat betrokken is in talloze schandalen mbt privacy en spionage… natuurlijk zit er een hoog geruchtenhalte aan, maar wil je als Freedom het risico lopen? De geruchten zijn persistent en al jaren hetzelfde: toegang tot data via de zelfgemaakte chips. Als de hardware van de belichter aan “mijn” kant van de verbinding staat, is het niet gek om te bedenken dat er ook wel wat van aan de belichter-kant zal staan. Dat is dus de plek waar ALLE data langs gaat. De VS heeft alle hardware van ZTE verboden, dat zullen ze niet voor niets hebben gedaan. Als “opvolger” van XS4ALL had ik mogen verwachten dat Freedom hier scherper op is en maatregelen heeft getroffen. Zelfs de kans dat er een iota van waar zou kunnen zijn, zou ik hebben voorkomen. Privacy en veiligheid gaat toch voor alles?
Het grootste risico qua privacy is heus niet provider hardware, maar de acties van een eindgebruiker zelf.
Geen of te laat software en firmware updates draaien. Geen of slecht wachtwoord op interne apparatuur zoals Voip/routers. Nooit WiFi wachtwoorden veranderen. Gebruik van goedkope Chinese IoT die toevallig ook in het reguliere thuis netwerk hangen en niet in een afgeschermde ‘gast’ netwerk de lijst is lang.
Als je wenst te geloven dat je ZTE 1Gbps eventjes aan dataverkeer stiekem via dezelfde Freedom backbone naar China kan pompen zonder dat iemand dit door heeft dan onderschat je de kennis van niet alleen de Freedom netwerk beheerders maar ook van alle andere AS beheerders die BGP routers beheren.
Op grote schaal tappen door de Chinese overheid is technisch niet mogelijk. Wat wel kan is niet versleutelde dataverkeer waaronder DNS verkeer tappen of data stelen via foute apps in je mobiele telefoon. Voor onversleuteld DNS verkeer heeft Freedom ook wat voor namelijk DoT en DoH. Verder zal meeste belangrijke data toch versleuteld worden via SSL. Er zijn nog maar echt bar weinig sites of diensten die niet versleuteld worden aangeboden.
Ik ga er ook niet blij mee zijn. Voorlopig via de ONT, dan werken aan modem met eigen GPON SFP.
Maar…
De ONT heeft toch geen toegang tot internet?
Omdat je Router een PPPoE sessie opstart, de ONT snapt dat niet, die kan alleen de PPPoE paketten tussen je Router en Freedom doorgeven.
We stellen contractueel de nodige eisen aan onze partners. Maar het is aan hen hoe ze hun netwerken inrichten. Heel veel, zo niet alle, access-providers kiezen voor ZTE of Huawei apparatuur. Dat is hun keuze. Een begrijpelijke keuze want de spullen zijn betaalbaar.
Je kunt de ONT in theorie vervangen maar de OLT aan het andere eind van je fiber niet. Met OLTs in theorie veel kwaads mogelijk. De access-providers kunnen en moeten tot op zekere hoogte beschermende maatregelen nemen door de management-interfaces van de OLT-ringen af te schermen. Vaak kiest men mede daarom ook voor apparatuur van een andere firma om de verbindingen naar buiten te maken. Fiber Crew gebruikt daarvoor apparatuur van Juniper.
De ONT en OLT snappen wel degelijk PPP(oE), want PADI- en PADR-berichten worden door deze spullen verrijkt. Dat zal ook zo zijn met een xPON SFP in de eigen modem/router. Dan moet de OLT (van ZTE of Huawei dus) zelfs xPON-zaken met je router gaan uitwisselen.
Overigens geldt dit ook allemaal voor AON-netwerken. De switches aan de andere kant van de fiber komen ook vrijwel allemaal uit China.
Geef mij maar de SFP (AON, GPON of XGS-PON) van AVM in de Fritz!Box, ipv het kastje van ZTE. AVM is Duits en Duitsers zijn nog meer privacy minded dan wij.
(Dat is de reden dat je bijvoorbeeld in Duitsland bij parkeerautomaten en camperplaatsen alleen contant kan betalen.)
Die heb ik al, maar deze moet worden vervangen als eis van de nieuwe belichter. Welke argumenten vind je precies waardeloos en wat stel je ertegenover? Verderop heeft Arien van Freedom zelf aangegeven dat er wel degelijk behoorlijke risico’s zijn. Maar wellicht kun je een beter (en zonniger) licht op de zaak werpen.
Ik ben geen techneut, maar mijn argument was ook dat als het aan mijn kant ZTE is, dat het aan de andere kant niet anders zal zijn… Arien van Freedom heeft dit verderop in de discussie bevestigd en de risico’s toegelicht - en die zijn er wel degelijk.
Lucifer geeft het al deels aan. Er zijn grotere risico’s… Kosten en baten plaatje. Daarnaast geef je zelf aan dat een en ander een groot geruchte gehalte heeft. Kom maar met bewijs.
“De Amerikanen verbieden het en dat zullen ze niet voor niets hebben gedaan.”
In deze discussie zie ik geen risico’s van een eigen SFP in de Fritz!Box t.o.v. een externe ZTE genoemd.
Uit milieu en financieel oogpunt wil ik het stroomverbruik verminderen en heb geen behoefte aan een extra sluipverbruiker in de vorm van de extra adapter terwijl er al een adapter op de Fritz!Box zit.
Risico’s zijn er ook met niet-Chinese firma’s. Zo zat er ooit (lang geleden hoor) een backdoor in de firewalls’s van het Amerikaanse fabrikante NetScreen (toen al van Juniper). [1][2]. Ook bij de Firewall’s van de eveneens Amerikaanse firma Fortinet had een hardcoded passphrase [3].
Het is aan ons bij Freedom om die risico’s te onderkennen en er meer te werken. Daarbij gaat het niet alleen om veiligheid en privacy, Maar ook wat betrouwbaarheid, schaalbaarheid en betaalbaarheid. Wat geef je uit handen en wat doe je zelf. Super leuk werk overigens.
We testen de GPON SFP in een 5530 met Fiber Crew. Dat gaat nog niet helemaal goed. Die ONTs kunnen we in de toekomst vast wel technisch optioneel maken.
Je verplaatst dan de functionaliteit van de ONT naar de router. Voordeel is dat er minder spullen die kapot kunnen gaan hebt. Je minder energie gebruikt. Maar je brengt ook de ONT-OLT-communicatie in je router en daar zitten ook weer risico’s aan.
Ik vraag me heel erg af of dit geen non-discussie is, daar nagenoeg alle electronica ondertussen ‘made in China’ is. (Rest made in India?)
‘We’ (het westen) vonden dat lekker makkelijk en goedkoop, want winst maximalisatie was belangrijker dan wat dan ook. (net zoals alle IT kennis uit India kwam, het groos van de anti virus en malware beveiliging uit Rusland, samen met gas, van dat laatste merken we nu de nadelen)
Probleem van backdoors is dat je praktisch niet kunt aantonen dat ze er niet zijn. Dat opent de mogelijkheid tot het creëren van FUD (Fear, Uncertainty, and Doubt).
ZTE is ooit gestraft voor het omzeilen van het handelsembargo tegen Iran. Trump heeft die straf na een gesprek met Xi opgeheven. Biden heeft per decreet de FCC opdracht geven om ZTE en ander Chinese firma’s geen FCC-goedkeuring te geven en daarmee de toegang tot de Amerikaanse markt af te snijden. Het argument daarbij is National Security. Maar het zou best - en dat is mijn mening - wel eens ouderwets Amerikaans protectionisme kunnen zijn.
Ik ben erg benieuwd naar mogelijke SFP alternatieven voor een ZTE GPON ONT. Ook buiten Nederland zag ik die in gebruik. Ik begrijp alleen dat er ook iets van authenticatie van de ONT bij komt kijken.
Ik lees alle reacties, maar mijn zorg wegnemen doet het niet. Vraag om bewijs dat het wel onveilig is, is natuurlijk ridicuul. Ik ben geen IT-er, ik weet ongeveer waar de klepel hangt. Wat er volgens mij op tafel ligt is de afweging tussen privacy/veiligheid t.o.v. kosten. Natuurlijk wilde ik minder betalen voor meer bandbreedte… ik vertrouw Freedom toe dat ze een veilige omgeving creëren. Ik weet van ZTE dat ze onbetrouwbaar zijn - ik heb niet zo lang geleden met de CEO voor Europa gesproken over medische IT-hulpmiddelen om bijv. ouderen langer thuis te laten wonen. Maar dat zaakje stonk m.i. aan alle kanten (maar concreet kon ik niets aanwijzen, behalve dat ze “alle problemen remote konden oplossen”, ik werd gebeld door vage figuren die met me wilden spreken en ik werd uitgenodigd op hele rare plekken. Ik heb uit voorzorg die “unieke kans” maar aan me voorbij laten gaan. Toe werd ik uit vreemde hoeken ineens bedreigd en gebeurden er rare dingen. Natuurlijk zou dat allemaal random toeval kunnen zijn en bizarre pech… maar dat geloof ik nog steeds niet. Toen had ik me voorgenomen om nooit een ZTE apparaat te kopen. Als iemand die is opgegroeid in een “communistisch” land, weet ik hoe ziekelijk ver de controle van “de partij” kan gaan. Ik verwacht van Freedom meer dan van KPN - daarom ben ik overgestapt vanaf XS4ALL toen het bedrijf werd opgeslokt, daarom vraag ik me gewoon af, waarom zou je het risico WILLEN lopen dat er wel degelijk iets aan de hand is in plaats van de “veilige” optie kiezen (of eisen), want: het kan. Alternatieven zijn er.
Als ik zo rondkijk, dan zie ik dat het om een ZTE F601 gaat.
Dat ding heeft meer aan boord dan je zou verwachten. Je kan hem bereiken via telnet. Na enig zoeken kwam ik erachter dat je met deze gegevens kan inloggen:
username: root
password: Zte521
In /proc/copyright staat dat het om het systeem ZXEmbsys gaat. Veder een kopie van de GPL en:
WRITTEN OFFER
If you would like a copy of the GPL source code contained in this product shipped to you on CD, for a charge which is no more than the cost of preparing and mailing a CD to you, please contact os@zte.com.cn.
Heeft iemand (van Freedom) die sources al geregeld? Zou Freedom wellicht een kopie kunnen hosten?
In hoeverre doet ZTE nog aan update van software. Ik heb ergens te maken gehad met een stack waar de apparatuur van 5 jaar oud geen software updates meer krijgt, ondanks dat het contract voor die omgeving destijds voor 20 jaar is aangegaan.
Apparatuur kan wel SSLv3, TLS1.0 maar niet verder… (openssl in de routers etc. is dus vermoedelijk nog ouder)…
Dat anderen dit nauwelijks beter doen zegt meer over de stand van zaken in de telecom wereld…
De VS probeert al heel lang allerlei communicatie middelen kapot te maken.
(Zwitserse secure faxen… iemand?).
