Abo
  • Services:
Anzeige
Der Speedport Hybrid der Telekom - eines von vielen Geräten, deren private Schlüssel nicht mehr privat sind
Der Speedport Hybrid der Telekom - eines von vielen Geräten, deren private Schlüssel nicht mehr privat sind (Bild: Telekom)

HTTPS/SSH: Embedded-Geräte von 50 Herstellern benutzen unsichere Keys

Der Speedport Hybrid der Telekom - eines von vielen Geräten, deren private Schlüssel nicht mehr privat sind
Der Speedport Hybrid der Telekom - eines von vielen Geräten, deren private Schlüssel nicht mehr privat sind (Bild: Telekom)

Zahlreiche Embedded-Geräte, darunter Router, Kameras, Telefone und vieles mehr, nutzen in der Firmware hardcodierte Schlüssel für HTTPS- und SSH-Verbindungen. Die Schlüssel werden in Kürze öffentlich bekannt sein, die verschlüsselten Verbindungen bieten damit kaum noch Schutz.

Anzeige

Zahlreiche Hersteller von Embedded-Geräten haben offenbar in Sachen Kryptographie ziemlich geschlampt. Bei einem Forschungsprojekt gelang es Stefan Viehböck von der Firma SEC Consult, über 500 private Schlüssel für HTTPS- und SSH-Verbindungen zu extrahieren. Diese privaten Schlüssel kommen auf neun Prozent der im Internet erreichbaren HTTPS-Hosts und sechs Prozent der SSH-Hosts zum Einsatz. Die Sicherheitslücke betrifft etwa 50 verschiedene Hersteller, darunter nahezu alle bekannten Homerouter-Hersteller und auch die Deutsche Telekom. Neben Routern wurden auch IP-Kameras, Modems, VoIP-Telefone und andere Embedded-Geräte untersucht.

580 private Schlüssel gefunden

SEC Consult hat die Firmware-Images von mehr als 4.000 Embedded-Geräten untersucht. Bei korrekt arbeitenden Geräten sollten in der öffentlich verfügbaren Firmware selbst keine privaten kryptographischen Schlüssel vorhanden sein. Trotzdem fanden sich insgesamt 580 private Schlüssel. Die extrahierten Schlüssel wurden anschließend mit Daten von internetweiten Scans abgeglichen. Für 230 der Schlüssel fanden die Forscher zugehörige HTTPS- und SSH-Hosts, die diese Schlüssel als Server-Keys nutzten.

Forschungsprojekte, die darauf aufmerksam machten, dass zahlreiche Geräte denselben Schlüssel benutzen, gab es bereits mehrere. So hat etwa im Februar der Betreiber der Suchmaschine Shodan darauf hingewiesen, dass teilweise Zehntausende von IPs denselben SSH-Schlüssel benutzen. Auch frühere Forschungsarbeiten der Kryptographin Nadia Heninger und internetweite Scans der Universität Michigan wiesen darauf hin, dass zahlreiche Hosts dieselben Keys verwenden.

Private Schlüssel erlauben Zuordnung zu Geräteherstellern

Allerdings gibt es manchmal auch legitime Gründe, für mehrere Hosts denselben Schlüssel zu verwenden. So verteilen manche Webseitenbetreiber ihre Seiten auf mehrere Server und nutzen überall dasselbe Zertifikate. Solange alle Server unter der Kontrolle desselben Betreibers sind, ist das kein grundsätzliches Problem. Daher kann man von mehrfach genutzten Schlüsseln nicht direkt auf Sicherheitsrisiken schließen. Das Forschungsprojekt von SEC Consult unterscheidet sich daher von früheren, ähnlichen Forschungsarbeiten, weil die Forscher Zugriff auf die privaten Schlüssel hatten. Da die Schlüssel aus den jeweiligen Firmwareimages extrahiert wurden, ließen sich diese auch den jeweils verantwortlichen Geräteherstellern zuordnen.

Praktisch alle relevanten Produzenten von Homeroutern sind in der Liste der betroffenen Hersteller enthalten: ZyXEL, D-Link, Linksys, Netgear, TP-Link und viele weitere. Auch die Deutsche Telekom und Vodafone haben demnach Geräte mit unsicheren Schlüsseln ausgeliefert.

SEC Consult listet zahlreiche Einzelbeispiele auf. Teilweise wurden dieselben Zertifikate samt privatem Schlüssel von verschiedenen Firmen genutzt. Ein Zertifikat, das auf eine Person namens "Daniel" ausgestellt wurde, fand sich in den Geräten von acht verschiedenen Herstellern. Das Zertifikat stammt aus einem SDK der Firma Broadcom. Ähnliches galt für ein Zertifikat aus einem SDK der Firma Texas Instruments. Beide Zertifikate fanden sich auf mehreren Hunderttausend HTTPS-Hosts. Etwa 80.000 Festplatten aus der Goflex-Reihe der Firma Seagate nutzten identische Zertifikate und Keys sowohl für HTTPS- als auch für SSH-Verbindungen. Diese NAS-Geräte haben ein Feature, das versucht, über UPnP eine Portweiterleitung zu schalten. Das dürfte der Grund sein, warum das Gerät so häufig im Netz erreichbar ist. Auch eine Unterteilung nach betroffenen Providernetzen nahmen die Forscher vor. Im Netz des US-Providers Centurylink fanden sich mehr als 500.000 betroffene Geräte.

Neben der Tatsache, dass die Geräte eigentlich keine öffentlich bekannten privaten Schlüssel nutzen sollten, ist auch die Tatsache, dass so viele Geräte im Internet erreichbar sind, schon fragwürdig. Die Konfigurationsinterfaces von DSL-Routern und ähnlichen Geräten sollten im Normalfall nur im lokalen Netz erreichbar sein. In einigen Fällen dürfte es sich um Fernadministrationsinterfaces handeln, etwa wenn ein Internet-Zugangsprovider in der Lage sein möchte, automatisch Updates auf die Geräte seiner Kunden aufzuspielen.

Empfehlungen für Gerätehersteller und ISPs 

eye home zur Startseite
decaflon 29. Nov 2015

Wann soll denn diese gute alte Zeit mit dem "Qualitätsjournalismus" gewesen sein? Ich...

1ras 28. Nov 2015

Hab mich schon gefragt, wann es mal zum Thema wird. Einem SSH-(Host)Key kann man nur...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. HAMBURG SÜD Schifffahrtsgruppe, Hamburg
  3. BG-Phoenics GmbH, München
  4. Kassenärztliche Vereinigung Baden-Württemberg, Stuttgart


Anzeige
Hardware-Angebote
  1. ab 179,99€
  2. 56,08€ (Vergleichspreis ab ca. 65€)

Folgen Sie uns
       


  1. Offene Konsole

    Ataribox entspricht Mittelklasse-PC mit Linux

  2. Autoversicherungen

    HUK-Coburg verlässt "relativ teure Vergleichsportale"

  3. RT-AC86U

    Asus-Router priorisiert Gaming-Pakete und kann 1024QAM

  4. CDN

    Cloudflare bietet lokale TLS-Schlüssel und mehr DDoS-Schutz

  5. Star Trek Discovery angeschaut

    Star Trek - Eine neue Hoffnung

  6. Gemeinde Egelsbach

    Telekom-Glasfaser in Gewerbegebiet findet schnell Kunden

  7. Microsoft

    Programme für Quantencomputer in Visual Studio entwickeln

  8. Arbeitsspeicher

    DDR5 nutzt Spannungsversorgung auf dem Modul

  9. Video-Pass

    Auch Vodafone führt Zero-Rating-Angebot ein

  10. Vernetztes Fahren

    Stiftung Warentest kritisiert Datenschnüffelei bei Auto-Apps



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Ein Hoffnungsschimmer für die Netzpolitik
Bundestagswahl 2017
Ein Hoffnungsschimmer für die Netzpolitik
  1. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher
  2. Störerhaftung abgeschafft Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch
  3. Merkel im Bundestag "Wir wollen nicht im Technikmuseum enden"

Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe

  1. Re: Style over Substance Hardcore.

    theFiend | 18:21

  2. Re: Steam-Provision?

    theFiend | 18:19

  3. Re: Cannabis

    BasAn | 18:19

  4. Re: Hoffentlich der Anfang vom Ende

    futureintray | 18:18

  5. AVX? Gäähnn.....

    Crass Spektakel | 18:18


  1. 17:20

  2. 17:00

  3. 16:44

  4. 16:33

  5. 16:02

  6. 15:20

  7. 14:46

  8. 14:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel