HTTPS/SSH: Embedded-Geräte von 50 Herstellern benutzen unsichere Keys

Zahlreiche Embedded-Geräte, darunter Router, Kameras, Telefone und vieles mehr, nutzen in der Firmware hardcodierte Schlüssel für HTTPS- und SSH-Verbindungen. Die Schlüssel werden in Kürze öffentlich bekannt sein, die verschlüsselten Verbindungen bieten damit kaum noch Schutz.

Artikel veröffentlicht am , Hanno Böck
Der Speedport Hybrid der Telekom - eines von vielen Geräten, deren private Schlüssel nicht mehr privat sind
Der Speedport Hybrid der Telekom - eines von vielen Geräten, deren private Schlüssel nicht mehr privat sind (Bild: Telekom)

Zahlreiche Hersteller von Embedded-Geräten haben offenbar in Sachen Kryptographie ziemlich geschlampt. Bei einem Forschungsprojekt gelang es Stefan Viehböck von der Firma SEC Consult, über 500 private Schlüssel für HTTPS- und SSH-Verbindungen zu extrahieren. Diese privaten Schlüssel kommen auf neun Prozent der im Internet erreichbaren HTTPS-Hosts und sechs Prozent der SSH-Hosts zum Einsatz. Die Sicherheitslücke betrifft etwa 50 verschiedene Hersteller, darunter nahezu alle bekannten Homerouter-Hersteller und auch die Deutsche Telekom. Neben Routern wurden auch IP-Kameras, Modems, VoIP-Telefone und andere Embedded-Geräte untersucht.

580 private Schlüssel gefunden

Inhalt:
  1. HTTPS/SSH: Embedded-Geräte von 50 Herstellern benutzen unsichere Keys
  2. Empfehlungen für Gerätehersteller und ISPs

SEC Consult hat die Firmware-Images von mehr als 4.000 Embedded-Geräten untersucht. Bei korrekt arbeitenden Geräten sollten in der öffentlich verfügbaren Firmware selbst keine privaten kryptographischen Schlüssel vorhanden sein. Trotzdem fanden sich insgesamt 580 private Schlüssel. Die extrahierten Schlüssel wurden anschließend mit Daten von internetweiten Scans abgeglichen. Für 230 der Schlüssel fanden die Forscher zugehörige HTTPS- und SSH-Hosts, die diese Schlüssel als Server-Keys nutzten.

Forschungsprojekte, die darauf aufmerksam machten, dass zahlreiche Geräte denselben Schlüssel benutzen, gab es bereits mehrere. So hat etwa im Februar der Betreiber der Suchmaschine Shodan darauf hingewiesen, dass teilweise Zehntausende von IPs denselben SSH-Schlüssel benutzen. Auch frühere Forschungsarbeiten der Kryptographin Nadia Heninger und internetweite Scans der Universität Michigan wiesen darauf hin, dass zahlreiche Hosts dieselben Keys verwenden.

Private Schlüssel erlauben Zuordnung zu Geräteherstellern

Allerdings gibt es manchmal auch legitime Gründe, für mehrere Hosts denselben Schlüssel zu verwenden. So verteilen manche Webseitenbetreiber ihre Seiten auf mehrere Server und nutzen überall dasselbe Zertifikate. Solange alle Server unter der Kontrolle desselben Betreibers sind, ist das kein grundsätzliches Problem. Daher kann man von mehrfach genutzten Schlüsseln nicht direkt auf Sicherheitsrisiken schließen. Das Forschungsprojekt von SEC Consult unterscheidet sich daher von früheren, ähnlichen Forschungsarbeiten, weil die Forscher Zugriff auf die privaten Schlüssel hatten. Da die Schlüssel aus den jeweiligen Firmwareimages extrahiert wurden, ließen sich diese auch den jeweils verantwortlichen Geräteherstellern zuordnen.

Stellenmarkt
  1. IT-Service-Management - interne Prozesse & IT-Ausstattung (w/m/d)
    Dataport, verschiedene Standorte
  2. Außendienst-Techniker*in / Regionale*r Betreuer*in
    VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Baden-Württemberg
Detailsuche

Praktisch alle relevanten Produzenten von Homeroutern sind in der Liste der betroffenen Hersteller enthalten: ZyXEL, D-Link, Linksys, Netgear, TP-Link und viele weitere. Auch die Deutsche Telekom und Vodafone haben demnach Geräte mit unsicheren Schlüsseln ausgeliefert.

SEC Consult listet zahlreiche Einzelbeispiele auf. Teilweise wurden dieselben Zertifikate samt privatem Schlüssel von verschiedenen Firmen genutzt. Ein Zertifikat, das auf eine Person namens "Daniel" ausgestellt wurde, fand sich in den Geräten von acht verschiedenen Herstellern. Das Zertifikat stammt aus einem SDK der Firma Broadcom. Ähnliches galt für ein Zertifikat aus einem SDK der Firma Texas Instruments. Beide Zertifikate fanden sich auf mehreren Hunderttausend HTTPS-Hosts. Etwa 80.000 Festplatten aus der Goflex-Reihe der Firma Seagate nutzten identische Zertifikate und Keys sowohl für HTTPS- als auch für SSH-Verbindungen. Diese NAS-Geräte haben ein Feature, das versucht, über UPnP eine Portweiterleitung zu schalten. Das dürfte der Grund sein, warum das Gerät so häufig im Netz erreichbar ist. Auch eine Unterteilung nach betroffenen Providernetzen nahmen die Forscher vor. Im Netz des US-Providers Centurylink fanden sich mehr als 500.000 betroffene Geräte.

Neben der Tatsache, dass die Geräte eigentlich keine öffentlich bekannten privaten Schlüssel nutzen sollten, ist auch die Tatsache, dass so viele Geräte im Internet erreichbar sind, schon fragwürdig. Die Konfigurationsinterfaces von DSL-Routern und ähnlichen Geräten sollten im Normalfall nur im lokalen Netz erreichbar sein. In einigen Fällen dürfte es sich um Fernadministrationsinterfaces handeln, etwa wenn ein Internet-Zugangsprovider in der Lage sein möchte, automatisch Updates auf die Geräte seiner Kunden aufzuspielen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Empfehlungen für Gerätehersteller und ISPs 
  1. 1
  2. 2
  3.  


decaflon 29. Nov 2015

Wann soll denn diese gute alte Zeit mit dem "Qualitätsjournalismus" gewesen sein? Ich...

1ras 28. Nov 2015

Hab mich schon gefragt, wann es mal zum Thema wird. Einem SSH-(Host)Key kann man nur...



Aktuell auf der Startseite von Golem.de
Forschung
Blaualge versorgt Computer sechs Monate mit Strom

Ein Forschungsteam hat einen Mikroprozessor sechs Monate ununterbrochen mit Strom versorgt. Die Algen lieferten sogar bei Dunkelheit.

Forschung: Blaualge versorgt Computer sechs Monate mit Strom
Artikel
  1. EC-Karte: Trotz Kartensperre können Diebe stundenlang Geld abheben
    EC-Karte
    Trotz Kartensperre können Diebe stundenlang Geld abheben

    Eine Sperre der Girocard wird nicht immer sofort aktiv. Verbraucher können sich bereits im Vorfeld schützen.

  2. Swisscom-Chef: Vermasselt habe ich nichts
    Swisscom-Chef
    "Vermasselt habe ich nichts"

    Urs Schaeppi gibt den Chefposten bei Swisscom auf. Sein Rückblick auf neun Jahre Konzernführung fällt ungewöhnlich offen aus.

  3. EV Driver Survey: Elektroautos bei IT-Experten besonders beliebt
    EV Driver Survey
    Elektroautos bei IT-Experten besonders beliebt

    Fahrerlebnis und Technik sind für Fahrer von Elektroautos der größte Zusatznutzen dieser Mobilitätsform. Fast alle würden wieder ein E-Auto kaufen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV (2021) 77" günstig wie nie: 1.771,60€ statt 4.699€ • Grakas günstig wie nie (u. a. RTX 3080Ti 1.285€) • Samsung SSD 1TB (PS5-komp.) + Heatsink günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsdeals MediaMarkt • Bosch Prof. bis 53% günstiger[Werbung]
    •  /