Abo
  • IT-Karriere:

House of Keys: Immer mehr unsichere Schlüssel durch Embedded-Geräte

Ende 2015 veröffentlichte die Firma SEC Consult eine Untersuchung über die Gefahr von Geräten mit voreingestellten privaten Schlüsseln. Genützt hat es offenbar nichts: Die Zahl derartiger Geräte ist um 40 Prozent gestiegen, knapp 50.000 nutzen dabei sogar ein gültiges Zertifikat.

Artikel veröffentlicht am , Hanno Böck
Ein Gerät von Ubiquiti
Ein Gerät von Ubiquiti (Bild: Ubiquiti)

Immer mehr Gerätehersteller machen offenbar bei der Implementierung von kryptographischen Services einen gravierenden Fehler: Statt Schlüssel für SSH- und TLS-Verbindungen individuell auf jedem Gerät erzeugen zu lassen, liefern sie die kryptographischen Schlüssel gleich in der Firmware mit. Die Sicherheit ist damit dahin, denn die Firmware ist öffentlich. Jeder kann sich von dort die privaten Schlüssel holen.

40 Prozent mehr Default-Keys

Stellenmarkt
  1. OSRAM GmbH, München
  2. Apollo-Optik Holding GmbH & Co. KG, Schwabach / Metropolregion Nürnberg

Im November 2015 veröffentlichte die Firma SEC Consult eine Untersuchung zu diesem Problem. Es gelang den Sicherheitsforschern, die privaten Schlüssel von zahlreichen Geräten 50 verschiedener Hersteller zu extrahieren. Jetzt veröffentlichte SEC Consult ein Update - und die Situation hat sich offenbar massiv verschlimmert. Die Zahl der Geräte, zu denen die Forscher einen passenden privaten Schlüssel haben, ist um 40 Prozent gestiegen.

Zwei besonders absurde Fälle werden ausführlicher beschrieben. Bei Geräten der Firma Ubiquiti Networks gab es offenbar einen gegenteiligen Trend: Die Zahl der Geräte mit gleichem Schlüssel, die über das Internet erreichbar sind, ist um etwa 60 Prozent gesunken. Allerdings liegt das offenbar vor allem daran, dass viele Ubiquiti-Geräte aufgrund von Sicherheitslücken mit Malware infiziert wurden. Das hat wohl dazu geführt, dass viele Besitzer dieser Geräte sie vom Netz genommen haben.

Ein Zertifikat, das in Geräten der Firmen Alcatel-Lucent und Aruba zum Einsatz kam, enthält eine gültige Signatur der Zertifizierungsstelle Geotrust. Insgesamt knapp 50.000 Geräte mit diesem Zertifikat und Key sind über das Internet erreichbar. Aruba sieht offenbar keinen Anlass, das entsprechende Zertifikat zurückzuziehen. SEC Consult zitiert ein Statement von Aruba: Das Unternehmen sei überzeugt worden, dass Zertifikate zu kompliziert seien. Es habe sich daher dafür entschieden, ein Default-Zertifikat einzusetzen.

Einige ältere AVM-Geräte betroffen

Als wir im vergangenen Jahr über die Ergebnisse von SEC Consult berichtet hatten, haben mehrere Leser nachgefragt, wie es mit Geräten der deutschen Firma AVM aussieht. Golem.de hat daraufhin selbst einige Firmwares von AVM-Geräten analysiert. In mehreren Geräten fanden wir private Schlüssel, allerdings waren die meisten durch ein Passwort geschützt. Durch eine detailierte Analyse der Firmware wäre es vermutlich möglich, das Passwort zu extrahieren. In einem Fall gelang es uns, mittels des Tools John The Ripper an das Passwort zu gelangen - es lautete schlicht "fritzbox". Mittels Daten des Censys-Projekts fanden sich über 2.000 Zertifikate mit diesem privaten Schlüssel.

Der gefundene private Schlüssel fand sich in den Firmwares der Geräte FritzBox Fon 5010, Fon WLAN Annex A und Fon WLAN Annex B. AVM erklärte auf Anfrage, dass diese Geräte seit längerem nicht mehr im Handel sind und teilweise nur über OEMs in geringen Stückzahlen verkauft wurden.

Keys sind jetzt für jeden verfügbar

SEC Consult hat alle gefundenen Zertifikate und privaten Schlüssel inzwischen auf Github veröffentlicht. Auch wir haben die von uns gefundenen Keys von AVM-Geräten öffentlich gemacht.

Einmal mehr zeigt sich, dass offenbar im Bereich der Embedded-Geräte grundlegende Sicherheitsmaßnahmen ignoriert werden. SEC Consult empfielt, dass alle derartigen Geräte eigene Keys erzeugen sollten - entweder während der Herstellung oder beim ersten Booten. Letzteres ist aus kryptographischer Sicht zu bevorzugen, da der Hersteller dann selbst keine Möglichkeit hat, an den privaten Schlüssel zu gelangen.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. 32,99€
  3. 4,49€
  4. (-81%) 11,50€

Folgen Sie uns
       


Asus Prime Utopia angesehen

Asus zeigt auf der Computex 2019 eine Ideenstudie für ein neues High-End-Mainboard.

Asus Prime Utopia angesehen Video aufrufen
Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

Super Mario Maker 2 & Co.: Vom Spieler zum Gamedesigner
Super Mario Maker 2 & Co.
Vom Spieler zum Gamedesigner

Dreams, Overwatch Workshop und Super Mario Maker 2: Editoren für Computerspiele werden immer mächtiger, inzwischen können auch Einsteiger komplexe Welten bauen. Ein Überblick.
Von Achim Fehrenbach

  1. Nintendo Switch Wenn die Analogsticks wandern
  2. Nintendo Akku von überarbeiteter Switch schafft bis zu 9 Stunden
  3. Hybridkonsole Nintendo überarbeitet offenbar Komponenten der Switch

    •  /