Objavljena baza zasebnih SSL-ključev usmerjevalnikov in VPN-jev
Matej Huš
21. dec 2010 ob 00:05:42
LittleBlackBox Project je na internetu objavil bazo več kot dva tisoč zasebnih SSL-ključev, ki se uporabljajo pri asimetričnem šifriranju komunikacije. Objavljeni so ključi, ki so nespremenljivo zapisani (hard-coded) v različnih vgrajenih napravah, kot so usmerjevalniki interneta in podobno. Da imajo te naprave zapečene SSL-zasebne ključe v svoji strojno programsko opremo (firmware), je znano že dolgo časa, a doslej se jih nihče ni lotil sistematično iskati in objavljati.
Problem je, da so ti ključi fizično in nespremenljivo zapisani v naprave, tako da imata dve napravi z isto verzijo firmwara tudi enak ključ. To pomeni, da je prometu, ki je šifriran z njim, enostavno prisluškovati, če ključ nekako pridobimo, recimo iz omenjene baze. Omenjena baza podatkov ne omogoča prisluškovanja vsej komunikaciji prek brezžičnih usmerjevalnikov (torej brskanju po spletu), saj se za uporabniški promet uporabljajo sveže generirani ključi. S temi ključi je, recimo, mogoče prisluškovati prometu, ki se ustvarja pri obisku 192.168.0.1, torej pri nastavljanju usmerjevalnika.