» »

Objavljena baza zasebnih SSL-ključev usmerjevalnikov in VPN-jev

Objavljena baza zasebnih SSL-ključev usmerjevalnikov in VPN-jev

Slo-Tech - LittleBlackBox Project je na internetu objavil bazo več kot dva tisoč zasebnih SSL-ključev, ki se uporabljajo pri asimetričnem šifriranju komunikacije. Objavljeni so ključi, ki so nespremenljivo zapisani (hard-coded) v različnih vgrajenih napravah, kot so usmerjevalniki interneta in podobno. Da imajo te naprave zapečene SSL-zasebne ključe v svoji strojno programsko opremo (firmware), je znano že dolgo časa, a doslej se jih nihče ni lotil sistematično iskati in objavljati.

Problem je, da so ti ključi fizično in nespremenljivo zapisani v naprave, tako da imata dve napravi z isto verzijo firmwara tudi enak ključ. To pomeni, da je prometu, ki je šifriran z njim, enostavno prisluškovati, če ključ nekako pridobimo, recimo iz omenjene baze. Omenjena baza podatkov ne omogoča prisluškovanja vsej komunikaciji prek brezžičnih usmerjevalnikov (torej brskanju po spletu), saj se za uporabniški promet uporabljajo sveže generirani ključi. S temi ključi je, recimo, mogoče prisluškovati prometu, ki se ustvarja pri obisku 192.168.0.1, torej pri nastavljanju usmerjevalnika.

8 komentarjev

KoMar- ::

Lepo, da na to opozorijo. Router bi si moral ob resetu nastavitev zgenerirati nove ključe....

MrStein ::

Razen, če so podpisani od kakega root CA. A so?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Spalatum ::

zakaj pa potem geslo za wireless šifriranje? a se tisti ključi ne generirajo znova glede na geslo ki ga izbere uporabnik?

Ginginova ::

Void, po mojem ja.

Sicer pa me ne moti če imajo zapečene SSL ključe, vprašanje je le za kakšne namene.

Za login v usmerjevalnik? Slabo, zelo slabo, še posebej, če je reč dosegljiva z interneta in ne samo z lokalne mreže.
Za VPN povezave v omrežje? Idiotizem brez primere.
Za download, preverbo in dekripcijo firmwareta s strežnika proizvajalca ruterja? Ne vidim problema.
(\__/) This is Bunny. Copy and paste bunny
(='.'=) into your signature to help him gain
(")_(") world domination.

MrStein ::

Gre za SSL certifikat, potreben za HTTPS povezave (na admin GUI).
Torej nima veze z WLAN gesli.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Ginginova ::

Torej načeloma ni neke drame, če je odzadaj za avtentikacijo še username / password, ki ga lahko spremeniš.
(\__/) This is Bunny. Copy and paste bunny
(='.'=) into your signature to help him gain
(")_(") world domination.

techfreak :) ::

Če ti lahko nekdo odkodira HTTPS promet, potem ti username/password nič ne koristi, saj se bosta ta podatka za napadalca prenašala kot plain text.

Ginginova ::

To je res ...
Za domača omrežja, oz. privatna omrežja reč verjetno ni drama. Za administriranje preko interneta je pa lahko.
(\__/) This is Bunny. Copy and paste bunny
(='.'=) into your signature to help him gain
(")_(") world domination.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Mala šola informacijske varnosti (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Informacijska varnost
36982439 (37920) Dpool
»

Huda ranljivost v vseh napravah z Wi-Fi (strani: 1 2 )

Oddelek: Novice / Varnost
7225176 (20141) SeMiNeSanja
»

VPN in oddaljene pisarne (strani: 1 2 )

Oddelek: Omrežja in internet
6813803 (12137) SeMiNeSanja
»

Šifriranje skoraj ni ovira za NSA in GCHQ (strani: 1 2 )

Oddelek: Novice / NWO
6148352 (42877) trizob
»

Prisluškovanje tipkovnicam na daljavo

Oddelek: Novice / Varnost
386875 (4776) poweroff

Več podobnih tem