Abo
  • Services:
Anzeige
Ein Gerät von Ubiquiti
Ein Gerät von Ubiquiti (Bild: Ubiquiti)

House of Keys: Immer mehr unsichere Schlüssel durch Embedded-Geräte

Ein Gerät von Ubiquiti
Ein Gerät von Ubiquiti (Bild: Ubiquiti)

Ende 2015 veröffentlichte die Firma SEC Consult eine Untersuchung über die Gefahr von Geräten mit voreingestellten privaten Schlüsseln. Genützt hat es offenbar nichts: Die Zahl derartiger Geräte ist um 40 Prozent gestiegen, knapp 50.000 nutzen dabei sogar ein gültiges Zertifikat.

Immer mehr Gerätehersteller machen offenbar bei der Implementierung von kryptographischen Services einen gravierenden Fehler: Statt Schlüssel für SSH- und TLS-Verbindungen individuell auf jedem Gerät erzeugen zu lassen, liefern sie die kryptographischen Schlüssel gleich in der Firmware mit. Die Sicherheit ist damit dahin, denn die Firmware ist öffentlich. Jeder kann sich von dort die privaten Schlüssel holen.

Anzeige

40 Prozent mehr Default-Keys

Im November 2015 veröffentlichte die Firma SEC Consult eine Untersuchung zu diesem Problem. Es gelang den Sicherheitsforschern, die privaten Schlüssel von zahlreichen Geräten 50 verschiedener Hersteller zu extrahieren. Jetzt veröffentlichte SEC Consult ein Update - und die Situation hat sich offenbar massiv verschlimmert. Die Zahl der Geräte, zu denen die Forscher einen passenden privaten Schlüssel haben, ist um 40 Prozent gestiegen.

Zwei besonders absurde Fälle werden ausführlicher beschrieben. Bei Geräten der Firma Ubiquiti Networks gab es offenbar einen gegenteiligen Trend: Die Zahl der Geräte mit gleichem Schlüssel, die über das Internet erreichbar sind, ist um etwa 60 Prozent gesunken. Allerdings liegt das offenbar vor allem daran, dass viele Ubiquiti-Geräte aufgrund von Sicherheitslücken mit Malware infiziert wurden. Das hat wohl dazu geführt, dass viele Besitzer dieser Geräte sie vom Netz genommen haben.

Ein Zertifikat, das in Geräten der Firmen Alcatel-Lucent und Aruba zum Einsatz kam, enthält eine gültige Signatur der Zertifizierungsstelle Geotrust. Insgesamt knapp 50.000 Geräte mit diesem Zertifikat und Key sind über das Internet erreichbar. Aruba sieht offenbar keinen Anlass, das entsprechende Zertifikat zurückzuziehen. SEC Consult zitiert ein Statement von Aruba: Das Unternehmen sei überzeugt worden, dass Zertifikate zu kompliziert seien. Es habe sich daher dafür entschieden, ein Default-Zertifikat einzusetzen.

Einige ältere AVM-Geräte betroffen

Als wir im vergangenen Jahr über die Ergebnisse von SEC Consult berichtet hatten, haben mehrere Leser nachgefragt, wie es mit Geräten der deutschen Firma AVM aussieht. Golem.de hat daraufhin selbst einige Firmwares von AVM-Geräten analysiert. In mehreren Geräten fanden wir private Schlüssel, allerdings waren die meisten durch ein Passwort geschützt. Durch eine detailierte Analyse der Firmware wäre es vermutlich möglich, das Passwort zu extrahieren. In einem Fall gelang es uns, mittels des Tools John The Ripper an das Passwort zu gelangen - es lautete schlicht "fritzbox". Mittels Daten des Censys-Projekts fanden sich über 2.000 Zertifikate mit diesem privaten Schlüssel.

Der gefundene private Schlüssel fand sich in den Firmwares der Geräte FritzBox Fon 5010, Fon WLAN Annex A und Fon WLAN Annex B. AVM erklärte auf Anfrage, dass diese Geräte seit längerem nicht mehr im Handel sind und teilweise nur über OEMs in geringen Stückzahlen verkauft wurden.

Keys sind jetzt für jeden verfügbar

SEC Consult hat alle gefundenen Zertifikate und privaten Schlüssel inzwischen auf Github veröffentlicht. Auch wir haben die von uns gefundenen Keys von AVM-Geräten öffentlich gemacht.

Einmal mehr zeigt sich, dass offenbar im Bereich der Embedded-Geräte grundlegende Sicherheitsmaßnahmen ignoriert werden. SEC Consult empfielt, dass alle derartigen Geräte eigene Keys erzeugen sollten - entweder während der Herstellung oder beim ersten Booten. Letzteres ist aus kryptographischer Sicht zu bevorzugen, da der Hersteller dann selbst keine Möglichkeit hat, an den privaten Schlüssel zu gelangen.


eye home zur Startseite

Kommentieren



Anzeige

Stellenmarkt
  1. Deutsches Zentrum für Neurodegenerative Erkrankungen e.V., Bonn
  2. Robert Bosch GmbH, Schwieberdingen
  3. AZTEKA Consulting GmbH, Freiburg
  4. Marel GmbH & Co. KG, Osnabrück


Anzeige
Blu-ray-Angebote
  1. (u. a. House of Wax, Der Polarexpress, Gravity, Mad Max)
  2. (u. a. Jurassic World, Creed, Die Unfassbaren, Kingsman, John Wick, Interstellar, Mad Max)
  3. (u. a. Der Schuh des Manitu, Agenten sterben einsam, Space Jam, Dark City)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. UBBF2016

    Telefónica will 2G-Netz in vielen Ländern abschalten

  2. Mögliche Übernahme

    Qualcomm interessiert sich für NXP Semiconductors

  3. Huawei

    Vectoring erreicht bald 250 MBit/s in Deutschland

  4. Kaufberatung

    Das richtige Solid-State-Drive

  5. Android-Smartphone

    Huawei bringt Nova Plus doch nach Deutschland

  6. Rosetta

    Mach's gut und danke für die Bilder!

  7. Smartwatch

    Android Wear 2.0 kommt doch erst nächstes Jahr

  8. G Suite

    Google verbessert Apps for Work mit Maschinenlernen

  9. Nahbereich

    Netzbetreiber wollen Vectoring II der Telekom blockieren

  10. Thermaltake Engine 27

    Bei diesem CPU-Kühler ist der Lüfter der Kühlkörper



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Swift Playgrounds im Test: Apple infiziert Kinder mit Programmiertalent
Swift Playgrounds im Test
Apple infiziert Kinder mit Programmiertalent
  1. Asus PG248Q im Test 180 Hertz erkannt, 180 Hertz gebannt

MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  2. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus
  3. Kaspersky Neue Malware installiert Hintertüren auf Macs

Android 7.0 im Test: Zwei Fenster für mehr Durchblick
Android 7.0 im Test
Zwei Fenster für mehr Durchblick
  1. Android-X86 Desktop-Port von Android 7.0 vorgestellt
  2. Android 7.0 Erste Nougat-Portierung für Nexus 4 verfügbar
  3. Android 7.0 Erste Nougat-Portierungen für Nexus 5 und Nexus 7 verfügbar

  1. Re: Untypisch

    MrUNIMOG | 13:36

  2. Re: 1 TB SSD für 100 EUR

    Muellersmann | 13:36

  3. Re: Akkubetriebene Elektroautos sind zun Kotzen

    Stefan99 | 13:36

  4. Re: Die ganze Debatte ist komplett Schwachsinn

    david_rieger | 13:36

  5. Re: Wie oft man zwischen Leben und Tod...

    david_rieger | 13:35


  1. 13:45

  2. 13:18

  3. 12:42

  4. 12:06

  5. 12:05

  6. 11:52

  7. 11:30

  8. 11:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel