Hlavní navigace

Recyklování HTTPS certifikátů i SSH klíčů ohrožuje miliony zařízení

 Autor: Isifa
Daniel Dočekal 3. 12. 2015

Mohou-li firmy i lidé dělat podivuhodně nebezpečné a rizikové věci, můžete si být jisti, že je dělat budou. Zásadní pravidlo bezpečnosti.

Výsledky analýzy více než 4000 zařízení od sedmdesáti výrobců (routery, modemy, IP kamery, VoIP telefony, atd) s ohledem na nasazení šifrování ukazují na zásadní problém. Tak zásadní, že se týká milionů zařízení po celém světě.

Výrobci hardware si zjednodušují život tím, že recyklují SSH klíče a X.509 certifikáty pro HTTPS. Analýza zjistila, že ve čtyřech tisících zařízení je pouze 580 unikátních privátních klíčů. Po srovnání s databázemi ze služeb www.scans.io a www.censys.io se navíc zjistilo, že nejméně 230 z těchto 580 klíčů se stále aktivně používá.

Což ve výsledku vede k zjištění, že jde o 9 % ze všech HTTPS webů (webových rozhraní) na internetu (zhruba 150 certifikátů používaných 3,2 miliony webů) a 6 % ze všech SSH míst (zhruba 80 SSH klíčů používaných 900 tisíci zařízeními).

Klíče a certifikáty zabudované ve firmware

Statické klíče jsou součástí zařízení, najdete je v operačním systému zařízení, kde slouží k zajištění bezpečného přístupu přes SSH nebo přes webové (HTTPS) rozhraní. Což vede k tomu, že všechna zařízení se stejným operačním systémem (stejnou verzi image) mají totožné klíče.

Výrobci klíče recyklují až tak, že totožné klíče se objevují nejenom v jedné produktové řadě, ale dokonce je možné najít totožné klíče v produktech různých výrobců. Autoři analýzy zmiňují, že to může být i důsledkem sdíleného, ukradeného či uniklého kódu. 

Může jít ale také o OEM produkty, či certifikáty použité v různých SDK – příkladem pak může být certifikát z Broadcom SDK vyskytující se v zařízeních společností Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone i ZyXEL.

Administrační rozhraní volně přístupná komukoliv

Neméně překvapivým zjištěním analýzy ale je i to, že značné množství zařízení je přístupných přímo z internetu, aniž by tomu tak mělo být. Vzdálený přístup do těchto zařízení by totiž měl být omezen pouze na vnitřní sítě, tak aby je nebylo možné ovládat (a hlavně napadnout) z internetu. V některých případech je důvodem nebezpečné výchozí nastavení od výrobce. Rizikovým jevem je i aktivita některých ISP, kteří routery a modemy svých zákazníků nechávají volně přístupné z internetu.

Analýza zjistila, že zhruba 900 produktů od 50 výrobců je napadnutelných, ale celkový počet může být daleko větší, protože analýza postihla pouze taková zařízení, kde je dostupný firmware. Mezi napadnutelnými zařízeními jsou přístroje od výrobců, kteří jsou známí a používaní i v České republice.

Problém má řešení v důsledném použití náhodného a unikátního klíče v každém zařízení. Což vyžaduje nejenom změnu výrobních postupů pro nová zařízení, ale nápravu a rozšíření nového firmwaru pro zařízení existující. Stejně tak je nutné se důsledně postarat o to, aby zařízení neměla ve výchozím stavu povolený přístup k administraci z veřejných adres.

Samotní uživatelé by potom měli změnit SSH klíče i X.509 certifikáty na jejich vlastní, což ale u některých zařízení ani není možné. A u domácích uživatelů něco takového nelze ani očekávat.

Našli jste v článku chybu?

3. 12. 2015 13:14

(neregistrovaný)

"Rizikovým jevem je i aktivita některých ISP, kteří routery a modemy svých zákazníků nechávají volně přístupné z internetu."

S tím nesouhlasím. ISP nejsou od toho, aby cokoli blokovali a do čehokoli zasahovali - případně blokovat mohou, pokud si ale zákazník takovou službu sjedná nebo nastaví. Analogie se spamfiltrem - pokud poskytovatel freemailu blikouje spam, může to být prospěšná a zákazníky ceněná služba, ale vždy by ji měl zákazník mít možnost vypnout.

3. 12. 2015 13:17

Problém je v tom, že IoT hype jede na tom, že právě všechno bude komunikovat přes internet s nějakým cloudem. Proč taky ne, když se to menuje Internet of Things. A proto proti tomu taky spousta lidí protestuje. To co popisujete vy je spíše Intranet of Things. Ale to už potřebuje nějakou lokální infrastrukturu (nějaký hub který komunikuje se zařízeníma a funguje jako zabespečená brána pro komunikaci ven do internetu). Jenže proti tomu je zase spousta IoT hypsterů kterým vadí "uzavřené" lokální ře…

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte