Hlavní navigace

Recyklování HTTPS certifikátů i SSH klíčů ohrožuje miliony zařízení

3. 12. 2015
Doba čtení: 2 minuty

Sdílet

 Autor: Isifa
Mohou-li firmy i lidé dělat podivuhodně nebezpečné a rizikové věci, můžete si být jisti, že je dělat budou. Zásadní pravidlo bezpečnosti.

Výsledky analýzy více než 4000 zařízení od sedmdesáti výrobců (routery, modemy, IP kamery, VoIP telefony, atd) s ohledem na nasazení šifrování ukazují na zásadní problém. Tak zásadní, že se týká milionů zařízení po celém světě.

Výrobci hardware si zjednodušují život tím, že recyklují SSH klíče a X.509 certifikáty pro HTTPS. Analýza zjistila, že ve čtyřech tisících zařízení je pouze 580 unikátních privátních klíčů. Po srovnání s databázemi ze služeb www.scans.io a www.censys.io se navíc zjistilo, že nejméně 230 z těchto 580 klíčů se stále aktivně používá.

Což ve výsledku vede k zjištění, že jde o 9 % ze všech HTTPS webů (webových rozhraní) na internetu (zhruba 150 certifikátů používaných 3,2 miliony webů) a 6 % ze všech SSH míst (zhruba 80 SSH klíčů používaných 900 tisíci zařízeními).

Klíče a certifikáty zabudované ve firmware

Statické klíče jsou součástí zařízení, najdete je v operačním systému zařízení, kde slouží k zajištění bezpečného přístupu přes SSH nebo přes webové (HTTPS) rozhraní. Což vede k tomu, že všechna zařízení se stejným operačním systémem (stejnou verzi image) mají totožné klíče.

Výrobci klíče recyklují až tak, že totožné klíče se objevují nejenom v jedné produktové řadě, ale dokonce je možné najít totožné klíče v produktech různých výrobců. Autoři analýzy zmiňují, že to může být i důsledkem sdíleného, ukradeného či uniklého kódu. 

Může jít ale také o OEM produkty, či certifikáty použité v různých SDK – příkladem pak může být certifikát z Broadcom SDK vyskytující se v zařízeních společností Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone i ZyXEL.

Administrační rozhraní volně přístupná komukoliv

Neméně překvapivým zjištěním analýzy ale je i to, že značné množství zařízení je přístupných přímo z internetu, aniž by tomu tak mělo být. Vzdálený přístup do těchto zařízení by totiž měl být omezen pouze na vnitřní sítě, tak aby je nebylo možné ovládat (a hlavně napadnout) z internetu. V některých případech je důvodem nebezpečné výchozí nastavení od výrobce. Rizikovým jevem je i aktivita některých ISP, kteří routery a modemy svých zákazníků nechávají volně přístupné z internetu.

Analýza zjistila, že zhruba 900 produktů od 50 výrobců je napadnutelných, ale celkový počet může být daleko větší, protože analýza postihla pouze taková zařízení, kde je dostupný firmware. Mezi napadnutelnými zařízeními jsou přístroje od výrobců, kteří jsou známí a používaní i v České republice.

BRAND24

Problém má řešení v důsledném použití náhodného a unikátního klíče v každém zařízení. Což vyžaduje nejenom změnu výrobních postupů pro nová zařízení, ale nápravu a rozšíření nového firmwaru pro zařízení existující. Stejně tak je nutné se důsledně postarat o to, aby zařízení neměla ve výchozím stavu povolený přístup k administraci z veřejných adres.

Samotní uživatelé by potom měli změnit SSH klíče i X.509 certifikáty na jejich vlastní, což ale u některých zařízení ani není možné. A u domácích uživatelů něco takového nelze ani očekávat.

Byl pro vás článek přínosný?

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).