Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Takie same klucze i certyfikaty narażają na atak

Rekomendowane odpowiedzi

Analiza ponad 4000 urządzeń wbudowanych - od bramek internetowych i ruterów po kamery IP i telefony VoIP - wykazała, że w znacznej mierze korzystają one z tych samych kluczy SSH lub certyfikatów HTTPS. Wystarczy, by cyberprzestępcy zdobyli klucz lub certyfikat jednego z urządzeń, a mogą teoretycznie zaatakować miliony użytkowników.

Autorami analizy są eksperci z firmy SEC Consult, którzy przyjrzeli się kluczom kryptograficznym w obrazach firmware'u. Najczęściej spotykanym rodzajem zabezpieczeń są wspomniane już klucze SSH i certyfikaty X.509. Wśród wszystkich przeanalizowanych urządzeń znaleziono 580 unikatowych kluczy prywatnych. Po porównaniu tych kluczy z informacjami zdobytymi dzięki przeskanowaniu urządzeń sieciowych podłączonych do internetu okazało się, że 3 200 000 urządzeń używa tego samego zestawu 150 certyfikatów HTTPS, a zestaw zaledwie 80 kluczy SSH jest używany przez 900 000 urządzeń.

Badacze uważają, że producenci urządzeń powinni dołożyć wszelkich starań, by każde z nich posługiwało się przypadkowym unikatowym kluczem. Ich zdaniem producenci sprzętu powinni współpracować też z dostawcami internetu. Rolą tych drugich byłoby upewnienie się, że terminal, który dostarczyli klientowi, nie jest bezpośrednio dostępny przez port WAN. W przypadku, gdyby sam dostawca internetu potrzebował zdalnego dostępu do terminala klienta, może to zrobić poprzez VLAN przy ściśle określonej liście kontroli dostępu, bez zgody na połączenia bezpośrednie pomiędzy terminalami.


« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość Astro

:D A nie mogli choćby sXORować daty produkcji z datą urodzenia szefa? ;)

 

Edycja: innym dobrym pomysłem byłoby dodanie do daty produkcji temperatury w NY owego dnia. ;)

Edytowane przez Astro

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

OK, tylko:

 

1. znamy strukturę ciągu, którym inicjujemy wszystkie urządzenia (albo Epoch, albo binarny zapis daty np. ISO 8601 itp.) i ciąg ten ma bardzo niską różnorodność

2. zakres liczbowy Epoch jest do przewidzenia, zapis komponentów daty również (ile palców pokazuję? no nie więcej niż 20 przecież ;))

3. data produkcji zwykle podana jest na obudowie (a jeśli jest to data montażu, to można przetestować kilka dni przed nią)

4. jeśli nawet dodamy do tego kolejny komponent, to jeśli firma produkuje 100 urządzeń dziennie, to ta setka w dalszym ciągu będzie miała ten sam klucz

5. jeśli dowiemy się, że składnikiem jest data urodzin szefa czy temperatura (obie do zdobycia), to odzyskanie kluczy będzie równie trywialne (security-through-obscurity)

 

Rozwiązaniem jest wyłącznie stosowanie w pełni unikalnych parametrów inicjujących. I tak, użycie w tym celu numeru seryjnego, to też głupi pomysł. ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość Astro

 

 

Rozwiązaniem jest wyłącznie stosowanie w pełni unikalnych parametrów inicjujących.

 

Owszem. Rozmawiałeś z jakąkolwiek firmą w tej kwestii? :)

 

 

 

I tak, użycie w tym celu numeru seryjnego, to też głupi pomysł. ;)

 

Owszem, jednak stosowane.

 

 

 

4. jeśli nawet dodamy do tego kolejny komponent, to jeśli firma produkuje 100 urządzeń dziennie, to ta setka w dalszym ciągu będzie miała ten sam klucz

 

Och, marzenie. 100 urządzeń rozproszonych "losowo" na Świecie to doskonała metoda na atak. ;) Przy takiej manufakturze wystarczy się zdać na zdecydowanie mniej pseudolosowy generator jakim jest pan Ziutek (nawet po piwie :)).

 

 

 

5. jeśli dowiemy się

 

Wilk, napisałem

 

 

A nie mogli choćby sXORować daty produkcji z datą urodzenia szefa? ;)

 

Uwadze polecam znaczek ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...