Abo
  • Services:
Anzeige
Der Speedport Hybrid der Telekom - eines von vielen Geräten, deren private Schlüssel nicht mehr privat sind
Der Speedport Hybrid der Telekom - eines von vielen Geräten, deren private Schlüssel nicht mehr privat sind (Bild: Telekom)

HTTPS/SSH: Embedded-Geräte von 50 Herstellern benutzen unsichere Keys

Der Speedport Hybrid der Telekom - eines von vielen Geräten, deren private Schlüssel nicht mehr privat sind
Der Speedport Hybrid der Telekom - eines von vielen Geräten, deren private Schlüssel nicht mehr privat sind (Bild: Telekom)

Zahlreiche Embedded-Geräte, darunter Router, Kameras, Telefone und vieles mehr, nutzen in der Firmware hardcodierte Schlüssel für HTTPS- und SSH-Verbindungen. Die Schlüssel werden in Kürze öffentlich bekannt sein, die verschlüsselten Verbindungen bieten damit kaum noch Schutz.

Anzeige

Zahlreiche Hersteller von Embedded-Geräten haben offenbar in Sachen Kryptographie ziemlich geschlampt. Bei einem Forschungsprojekt gelang es Stefan Viehböck von der Firma SEC Consult, über 500 private Schlüssel für HTTPS- und SSH-Verbindungen zu extrahieren. Diese privaten Schlüssel kommen auf neun Prozent der im Internet erreichbaren HTTPS-Hosts und sechs Prozent der SSH-Hosts zum Einsatz. Die Sicherheitslücke betrifft etwa 50 verschiedene Hersteller, darunter nahezu alle bekannten Homerouter-Hersteller und auch die Deutsche Telekom. Neben Routern wurden auch IP-Kameras, Modems, VoIP-Telefone und andere Embedded-Geräte untersucht.

580 private Schlüssel gefunden

SEC Consult hat die Firmware-Images von mehr als 4.000 Embedded-Geräten untersucht. Bei korrekt arbeitenden Geräten sollten in der öffentlich verfügbaren Firmware selbst keine privaten kryptographischen Schlüssel vorhanden sein. Trotzdem fanden sich insgesamt 580 private Schlüssel. Die extrahierten Schlüssel wurden anschließend mit Daten von internetweiten Scans abgeglichen. Für 230 der Schlüssel fanden die Forscher zugehörige HTTPS- und SSH-Hosts, die diese Schlüssel als Server-Keys nutzten.

Forschungsprojekte, die darauf aufmerksam machten, dass zahlreiche Geräte denselben Schlüssel benutzen, gab es bereits mehrere. So hat etwa im Februar der Betreiber der Suchmaschine Shodan darauf hingewiesen, dass teilweise Zehntausende von IPs denselben SSH-Schlüssel benutzen. Auch frühere Forschungsarbeiten der Kryptographin Nadia Heninger und internetweite Scans der Universität Michigan wiesen darauf hin, dass zahlreiche Hosts dieselben Keys verwenden.

Private Schlüssel erlauben Zuordnung zu Geräteherstellern

Allerdings gibt es manchmal auch legitime Gründe, für mehrere Hosts denselben Schlüssel zu verwenden. So verteilen manche Webseitenbetreiber ihre Seiten auf mehrere Server und nutzen überall dasselbe Zertifikate. Solange alle Server unter der Kontrolle desselben Betreibers sind, ist das kein grundsätzliches Problem. Daher kann man von mehrfach genutzten Schlüsseln nicht direkt auf Sicherheitsrisiken schließen. Das Forschungsprojekt von SEC Consult unterscheidet sich daher von früheren, ähnlichen Forschungsarbeiten, weil die Forscher Zugriff auf die privaten Schlüssel hatten. Da die Schlüssel aus den jeweiligen Firmwareimages extrahiert wurden, ließen sich diese auch den jeweils verantwortlichen Geräteherstellern zuordnen.

Praktisch alle relevanten Produzenten von Homeroutern sind in der Liste der betroffenen Hersteller enthalten: ZyXEL, D-Link, Linksys, Netgear, TP-Link und viele weitere. Auch die Deutsche Telekom und Vodafone haben demnach Geräte mit unsicheren Schlüsseln ausgeliefert.

SEC Consult listet zahlreiche Einzelbeispiele auf. Teilweise wurden dieselben Zertifikate samt privatem Schlüssel von verschiedenen Firmen genutzt. Ein Zertifikat, das auf eine Person namens "Daniel" ausgestellt wurde, fand sich in den Geräten von acht verschiedenen Herstellern. Das Zertifikat stammt aus einem SDK der Firma Broadcom. Ähnliches galt für ein Zertifikat aus einem SDK der Firma Texas Instruments. Beide Zertifikate fanden sich auf mehreren Hunderttausend HTTPS-Hosts. Etwa 80.000 Festplatten aus der Goflex-Reihe der Firma Seagate nutzten identische Zertifikate und Keys sowohl für HTTPS- als auch für SSH-Verbindungen. Diese NAS-Geräte haben ein Feature, das versucht, über UPnP eine Portweiterleitung zu schalten. Das dürfte der Grund sein, warum das Gerät so häufig im Netz erreichbar ist. Auch eine Unterteilung nach betroffenen Providernetzen nahmen die Forscher vor. Im Netz des US-Providers Centurylink fanden sich mehr als 500.000 betroffene Geräte.

Neben der Tatsache, dass die Geräte eigentlich keine öffentlich bekannten privaten Schlüssel nutzen sollten, ist auch die Tatsache, dass so viele Geräte im Internet erreichbar sind, schon fragwürdig. Die Konfigurationsinterfaces von DSL-Routern und ähnlichen Geräten sollten im Normalfall nur im lokalen Netz erreichbar sein. In einigen Fällen dürfte es sich um Fernadministrationsinterfaces handeln, etwa wenn ein Internet-Zugangsprovider in der Lage sein möchte, automatisch Updates auf die Geräte seiner Kunden aufzuspielen.

Empfehlungen für Gerätehersteller und ISPs 

eye home zur Startseite
decaflon 29. Nov 2015

Wann soll denn diese gute alte Zeit mit dem "Qualitätsjournalismus" gewesen sein? Ich...

1ras 28. Nov 2015

Hab mich schon gefragt, wann es mal zum Thema wird. Einem SSH-(Host)Key kann man nur...



Anzeige

Stellenmarkt
  1. Daimler AG, Esslingen
  2. Interhyp Gruppe, München
  3. Eurofins NSC Finance Germany GmbH, Wesseling, Köln
  4. PDV-Systeme GmbH, Dachau


Anzeige
Top-Angebote
  1. (u. a. ROG Strix GTX1080-8G-Gaming, ROG Strix GTX1070-8G-Gaming u. ROG Strix Radeon RX 460 OC)
  2. (u. a. London Has Fallen, The Imitation Game, Lone Survivor, Olympus Has Fallen)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Streaming

    Netflix-Nutzer wollen keine Topfilme

  2. Star Wars Rogue One VR Angespielt

    "S-Flügel in Angriffsposition!"

  3. Kaufberatung

    Die richtige CPU und Grafikkarte

  4. Android

    Google kann Größe von App-Updates weiter verringern

  5. Exilim EX-FR 110H

    Casio stellt Actionkamera für die Nacht vor

  6. Webmailer

    Mit einer Mail Code in Roundcube ausführen

  7. A1 Telekom Austria

    Im kommenden Jahr hohe Datenraten mit LTE

  8. Pebble am Ende

    Pebble Time 2 und Core wegen Übernahme gecancelt

  9. Handheld

    Nintendo zahlt bis zu 20.000 US-Dollar für 3DS-Hacks

  10. Großbatterien

    Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  2. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  3. Pornoseite Xhamster spricht von Fake-Leak

Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

  1. Re: Welche Nummer?

    chefin | 13:25

  2. Re: Ich bin gespannt

    Kleba | 13:25

  3. Re: Und jetzt Tie-Fighter bitte komplett in VR... o.0

    UweR | 13:22

  4. 2 Wochen vor Kino erstmal die Raubkopier unterladen

    Mopsmelder500 | 13:22

  5. Re: Die Frage ist doch...

    LazarusCantini | 13:22


  1. 13:10

  2. 12:25

  3. 11:59

  4. 11:44

  5. 11:38

  6. 11:05

  7. 10:53

  8. 10:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel