» »

Objavljena baza zasebnih SSL-ključev usmerjevalnikov in VPN-jev

Slo-Tech - LittleBlackBox Project je na internetu objavil bazo več kot dva tisoč zasebnih SSL-ključev, ki se uporabljajo pri asimetričnem šifriranju komunikacije. Objavljeni so ključi, ki so nespremenljivo zapisani (hard-coded) v različnih vgrajenih napravah, kot so usmerjevalniki interneta in podobno. Da imajo te naprave zapečene SSL-zasebne ključe v svoji strojno programsko opremo (firmware), je znano že dolgo časa, a doslej se jih nihče ni lotil sistematično iskati in objavljati.

Problem je, da so ti ključi fizično in nespremenljivo zapisani v naprave, tako da imata dve napravi z isto verzijo firmwara tudi enak ključ. To pomeni, da je prometu, ki je šifriran z njim, enostavno prisluškovati, če ključ nekako pridobimo, recimo iz omenjene baze. Omenjena baza podatkov ne omogoča prisluškovanja vsej komunikaciji prek brezžičnih usmerjevalnikov (torej brskanju po spletu), saj se za uporabniški promet uporabljajo sveže generirani ključi. S temi ključi je, recimo, mogoče prisluškovati prometu, ki se ustvarja pri obisku 192.168.0.1, torej pri nastavljanju usmerjevalnika.

8 komentarjev

KoMar- ::

Lepo, da na to opozorijo. Router bi si moral ob resetu nastavitev zgenerirati nove ključe....

MrStein ::

Razen, če so podpisani od kakega root CA. A so?
Teštiram če delaž - umlaut dela: ä ?

Spalatum ::

zakaj pa potem geslo za wireless šifriranje? a se tisti ključi ne generirajo znova glede na geslo ki ga izbere uporabnik?

Ogo ::

Void, po mojem ja.

Sicer pa me ne moti če imajo zapečene SSL ključe, vprašanje je le za kakšne namene.

Za login v usmerjevalnik? Slabo, zelo slabo, še posebej, če je reč dosegljiva z interneta in ne samo z lokalne mreže.
Za VPN povezave v omrežje? Idiotizem brez primere.
Za download, preverbo in dekripcijo firmwareta s strežnika proizvajalca ruterja? Ne vidim problema.
(\__/) This is Bunny. Copy and paste bunny
(='.'=) into your signature to help him gain
(")_(") world domination.

MrStein ::

Gre za SSL certifikat, potreben za HTTPS povezave (na admin GUI).
Torej nima veze z WLAN gesli.
Teštiram če delaž - umlaut dela: ä ?

Ogo ::

Torej načeloma ni neke drame, če je odzadaj za avtentikacijo še username / password, ki ga lahko spremeniš.
(\__/) This is Bunny. Copy and paste bunny
(='.'=) into your signature to help him gain
(")_(") world domination.

techfreak :) ::

Če ti lahko nekdo odkodira HTTPS promet, potem ti username/password nič ne koristi, saj se bosta ta podatka za napadalca prenašala kot plain text.

Ogo ::

To je res ...
Za domača omrežja, oz. privatna omrežja reč verjetno ni drama. Za administriranje preko interneta je pa lahko.
(\__/) This is Bunny. Copy and paste bunny
(='.'=) into your signature to help him gain
(")_(") world domination.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

AMIS Ruckus Wireless MediaFlex

Oddelek: Omrežja in internet
4910136 (3521) galex4
»

Razbit HDCP, objavljen glavni ključ?

Oddelek: Novice / Varnost
52578 (1950) mkoco
»

Šifrirani telefonski pogovori za Android platformo

Oddelek: Novice / Android
485529 (3699) Matthai
»

Na Švedskem sprejeli zakon, ki dovoljuje prestrezanje mednarodnega prometa

Oddelek: Novice / Zasebnost
214193 (3086) redo
»

Nadzor Tor izhodnih točk (strani: 1 2 )

Oddelek: Novice / Zasebnost
756573 (5109) Matthai

Več podobnih tem