Slo-Tech - LittleBlackBox Project je na internetu objavilbazo več kot dva tisoč zasebnih SSL-ključev, ki se uporabljajo pri asimetričnem šifriranju komunikacije. Objavljeni so ključi, ki so nespremenljivo zapisani (hard-coded) v različnih vgrajenih napravah, kot so usmerjevalniki interneta in podobno. Da imajo te naprave zapečene SSL-zasebne ključe v svoji strojno programsko opremo (firmware), je znano že dolgo časa, a doslej se jih nihče ni lotil sistematično iskati in objavljati.
Problem je, da so ti ključi fizično in nespremenljivo zapisani v naprave, tako da imata dve napravi z isto verzijo firmwara tudi enak ključ. To pomeni, da je prometu, ki je šifriran z njim, enostavno prisluškovati, če ključ nekako pridobimo, recimo iz omenjene baze. Omenjena baza podatkov ne omogoča prisluškovanja vsej komunikaciji prek brezžičnih usmerjevalnikov (torej brskanju po spletu), saj se za uporabniški promet uporabljajo sveže generirani ključi. S temi ključi je, recimo, mogoče prisluškovati prometu, ki se ustvarja pri obisku 192.168.0.1, torej pri nastavljanju usmerjevalnika.
Sicer pa me ne moti če imajo zapečene SSL ključe, vprašanje je le za kakšne namene.
Za login v usmerjevalnik? Slabo, zelo slabo, še posebej, če je reč dosegljiva z interneta in ne samo z lokalne mreže. Za VPN povezave v omrežje? Idiotizem brez primere. Za download, preverbo in dekripcijo firmwareta s strežnika proizvajalca ruterja? Ne vidim problema.
(\__/) This is Bunny. Copy and paste bunny
(='.'=) into your signature to help him gain
(")_(") world domination.
