Takie same klucze i certyfikaty narażają na atak
Analiza ponad 4000 urządzeń wbudowanych - od bramek internetowych i ruterów po kamery IP i telefony VoIP - wykazała, że w znacznej mierze korzystają one z tych samych kluczy SSH lub certyfikatów HTTPS. Wystarczy, by cyberprzestępcy zdobyli klucz lub certyfikat jednego z urządzeń, a mogą teoretycznie zaatakować miliony użytkowników.
Autorami analizy są eksperci z firmy SEC Consult, którzy przyjrzeli się kluczom kryptograficznym w obrazach firmware'u. Najczęściej spotykanym rodzajem zabezpieczeń są wspomniane już klucze SSH i certyfikaty X.509. Wśród wszystkich przeanalizowanych urządzeń znaleziono 580 unikatowych kluczy prywatnych. Po porównaniu tych kluczy z informacjami zdobytymi dzięki przeskanowaniu urządzeń sieciowych podłączonych do internetu okazało się, że 3 200 000 urządzeń używa tego samego zestawu 150 certyfikatów HTTPS, a zestaw zaledwie 80 kluczy SSH jest używany przez 900 000 urządzeń.
Badacze uważają, że producenci urządzeń powinni dołożyć wszelkich starań, by każde z nich posługiwało się przypadkowym unikatowym kluczem. Ich zdaniem producenci sprzętu powinni współpracować też z dostawcami internetu. Rolą tych drugich byłoby upewnienie się, że terminal, który dostarczyli klientowi, nie jest bezpośrednio dostępny przez port WAN. W przypadku, gdyby sam dostawca internetu potrzebował zdalnego dostępu do terminala klienta, może to zrobić poprzez VLAN przy ściśle określonej liście kontroli dostępu, bez zgody na połączenia bezpośrednie pomiędzy terminalami.
Komentarze (5)
wilk, 27 listopada 2015, 19:56
Unikalnym — to pewnie zrobią tak, jak w sprzętowo szyfrowanych dyskach twardych WD, gdzie generator liczb losowych inicjowali datą produkcji dysku.
https://zaufanatrzeciastrona.pl/post/dlaczego-nie-powinniscie-nigdy-ufac-dyskom-szyfrowanym-sprzetowo/
Gość Astro, 27 listopada 2015, 20:15
Edycja: innym dobrym pomysłem byłoby dodanie do daty produkcji temperatury w NY owego dnia.
wilk, 27 listopada 2015, 20:36
OK, tylko:
1. znamy strukturę ciągu, którym inicjujemy wszystkie urządzenia (albo Epoch, albo binarny zapis daty np. ISO 8601 itp.) i ciąg ten ma bardzo niską różnorodność
2. zakres liczbowy Epoch jest do przewidzenia, zapis komponentów daty również (ile palców pokazuję? no nie więcej niż 20 przecież
)
3. data produkcji zwykle podana jest na obudowie (a jeśli jest to data montażu, to można przetestować kilka dni przed nią)
4. jeśli nawet dodamy do tego kolejny komponent, to jeśli firma produkuje 100 urządzeń dziennie, to ta setka w dalszym ciągu będzie miała ten sam klucz
5. jeśli dowiemy się, że składnikiem jest data urodzin szefa czy temperatura (obie do zdobycia), to odzyskanie kluczy będzie równie trywialne (security-through-obscurity)
Rozwiązaniem jest wyłącznie stosowanie w pełni unikalnych parametrów inicjujących. I tak, użycie w tym celu numeru seryjnego, to też głupi pomysł.
Gość Astro, 27 listopada 2015, 21:26
Owszem. Rozmawiałeś z jakąkolwiek firmą w tej kwestii?
Owszem, jednak stosowane.
Och, marzenie. 100 urządzeń rozproszonych "losowo" na Świecie to doskonała metoda na atak.
Przy takiej manufakturze wystarczy się zdać na zdecydowanie mniej pseudolosowy generator jakim jest pan Ziutek (nawet po piwie 
).
Wilk, napisałem
Uwadze polecam znaczek
wilk, 28 listopada 2015, 21:58
Tak, oczywiście.
https://xkcd.com/221/
http://dilbert.com/strip/2001-10-25