Abo
  • Services:
Anzeige
Ein Gerät von Ubiquiti
Ein Gerät von Ubiquiti (Bild: Ubiquiti)

House of Keys: Immer mehr unsichere Schlüssel durch Embedded-Geräte

Ein Gerät von Ubiquiti
Ein Gerät von Ubiquiti (Bild: Ubiquiti)

Ende 2015 veröffentlichte die Firma SEC Consult eine Untersuchung über die Gefahr von Geräten mit voreingestellten privaten Schlüsseln. Genützt hat es offenbar nichts: Die Zahl derartiger Geräte ist um 40 Prozent gestiegen, knapp 50.000 nutzen dabei sogar ein gültiges Zertifikat.

Immer mehr Gerätehersteller machen offenbar bei der Implementierung von kryptographischen Services einen gravierenden Fehler: Statt Schlüssel für SSH- und TLS-Verbindungen individuell auf jedem Gerät erzeugen zu lassen, liefern sie die kryptographischen Schlüssel gleich in der Firmware mit. Die Sicherheit ist damit dahin, denn die Firmware ist öffentlich. Jeder kann sich von dort die privaten Schlüssel holen.

Anzeige

40 Prozent mehr Default-Keys

Im November 2015 veröffentlichte die Firma SEC Consult eine Untersuchung zu diesem Problem. Es gelang den Sicherheitsforschern, die privaten Schlüssel von zahlreichen Geräten 50 verschiedener Hersteller zu extrahieren. Jetzt veröffentlichte SEC Consult ein Update - und die Situation hat sich offenbar massiv verschlimmert. Die Zahl der Geräte, zu denen die Forscher einen passenden privaten Schlüssel haben, ist um 40 Prozent gestiegen.

Zwei besonders absurde Fälle werden ausführlicher beschrieben. Bei Geräten der Firma Ubiquiti Networks gab es offenbar einen gegenteiligen Trend: Die Zahl der Geräte mit gleichem Schlüssel, die über das Internet erreichbar sind, ist um etwa 60 Prozent gesunken. Allerdings liegt das offenbar vor allem daran, dass viele Ubiquiti-Geräte aufgrund von Sicherheitslücken mit Malware infiziert wurden. Das hat wohl dazu geführt, dass viele Besitzer dieser Geräte sie vom Netz genommen haben.

Ein Zertifikat, das in Geräten der Firmen Alcatel-Lucent und Aruba zum Einsatz kam, enthält eine gültige Signatur der Zertifizierungsstelle Geotrust. Insgesamt knapp 50.000 Geräte mit diesem Zertifikat und Key sind über das Internet erreichbar. Aruba sieht offenbar keinen Anlass, das entsprechende Zertifikat zurückzuziehen. SEC Consult zitiert ein Statement von Aruba: Das Unternehmen sei überzeugt worden, dass Zertifikate zu kompliziert seien. Es habe sich daher dafür entschieden, ein Default-Zertifikat einzusetzen.

Einige ältere AVM-Geräte betroffen

Als wir im vergangenen Jahr über die Ergebnisse von SEC Consult berichtet hatten, haben mehrere Leser nachgefragt, wie es mit Geräten der deutschen Firma AVM aussieht. Golem.de hat daraufhin selbst einige Firmwares von AVM-Geräten analysiert. In mehreren Geräten fanden wir private Schlüssel, allerdings waren die meisten durch ein Passwort geschützt. Durch eine detailierte Analyse der Firmware wäre es vermutlich möglich, das Passwort zu extrahieren. In einem Fall gelang es uns, mittels des Tools John The Ripper an das Passwort zu gelangen - es lautete schlicht "fritzbox". Mittels Daten des Censys-Projekts fanden sich über 2.000 Zertifikate mit diesem privaten Schlüssel.

Der gefundene private Schlüssel fand sich in den Firmwares der Geräte FritzBox Fon 5010, Fon WLAN Annex A und Fon WLAN Annex B. AVM erklärte auf Anfrage, dass diese Geräte seit längerem nicht mehr im Handel sind und teilweise nur über OEMs in geringen Stückzahlen verkauft wurden.

Keys sind jetzt für jeden verfügbar

SEC Consult hat alle gefundenen Zertifikate und privaten Schlüssel inzwischen auf Github veröffentlicht. Auch wir haben die von uns gefundenen Keys von AVM-Geräten öffentlich gemacht.

Einmal mehr zeigt sich, dass offenbar im Bereich der Embedded-Geräte grundlegende Sicherheitsmaßnahmen ignoriert werden. SEC Consult empfielt, dass alle derartigen Geräte eigene Keys erzeugen sollten - entweder während der Herstellung oder beim ersten Booten. Letzteres ist aus kryptographischer Sicht zu bevorzugen, da der Hersteller dann selbst keine Möglichkeit hat, an den privaten Schlüssel zu gelangen.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. Haufe Group, Freiburg im Breisgau
  3. Qimia GmbH, Köln
  4. Deloitte GmbH Wirtschaftsprüfungsgesellschaft, verschiedene Standorte


Anzeige
Top-Angebote
  1. 499,00€
  2. 399,99€

Folgen Sie uns
       


  1. Spionage

    FBI legt US-Unternehmen Kaspersky-Verzicht nahe

  2. Gebärdensprache

    Lautlos in der IT-Welt

  3. Denverton

    Intels Atom C3000 haben 16 Kerne bei 32 Watt

  4. JR Maglev

    Mitsubishi steigt aus Magnetbahn-Projekt aus

  5. Forschung

    HPE-Supercomputer sollen Missionen zum Mars unterstützen

  6. IEEE 802.11ax

    Broadcom bietet Chip-Plattform für das nächste 5-GHz-WLAN

  7. Alternativer PDF-Reader

    ZDI nötigt Foxit zum Patchen von Sicherheitslücken

  8. Elektro-Cabriolet

    Vision Mercedes-Maybach 6 mit 500 km Reichweite

  9. Eufy Genie

    Ankers Echo-Dot-Konkurrenz kostet 50 Euro

  10. Kaby Lake Refresh

    Intel bringt 15-Watt-Quadcores für Ultrabooks



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Ausweis: Prepaid-Registrierung bislang nicht konsequent umgesetzt
Ausweis
Prepaid-Registrierung bislang nicht konsequent umgesetzt
  1. 10 GBit/s Erste 5G-Endgeräte sind noch einen Kubikmeter groß
  2. Verbraucherzentrale Datenlimits bei EU-Roaming wären vermeidbar
  3. Internet Anbieter umgehen Wegfall der EU-Roaming-Gebühren

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Re: Was ich denk und was ich tu ...

    User_x | 14:09

  2. Draft

    keböb | 14:08

  3. Re: Tesla hat einen Markt

    bernd71 | 14:08

  4. Re: Sieht ja chic aus

    thinksimple | 14:07

  5. Re: blaue Leitungern in der Mittelkonsole

    Conos | 14:06


  1. 12:29

  2. 12:01

  3. 11:59

  4. 11:45

  5. 11:31

  6. 10:06

  7. 09:47

  8. 09:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel