собрана коллекция секретных SSL-ключей, поставляемых в комплекте с различными встраиваемыми устройст

[iskatel]

Группа экспертов по безопасности встраиваемых устройств представила проект LittleBlackBox, в рамках которого собрана коллекция секретных SSL-ключей, поставляемых в комплекте с различными встраиваемыми устройствами. С практической точки зрения, подобрав в коллекции ключ для заданного устройства, можно организовать расшифровку генерируемого данным устройством SSL-трафика (например, SSL-ключи используются для шифрования работы в административном web-интерфейсе через HTTPS или для создания VPN).

Просто отлично. Мощный удар по наивным, которые полагают, что они защищены.
И баальшой привет сотням горе-производителей, где даже если захочешь, то фиг сменишь тот сертификат на девайсе без раскорячивания прошивки.

В настоящее время в коллекции насчитывается более двух тысяч ключей для почти 500 встраиваемых устройств, среди которых беспроводные маршрутизаторы, сетевые шлюзы и ADSL-модемы таких производителей, как Cisco/Linksys, D-Link, Asus, Compex, Ubiquiti, Nokia, Netgear, Motorola и т.п. Ключи выделены из общедоступных прошивок. В представленной БД закрытые ключи поставляются в комплекте со связанными с ними открытыми ключами и с привязкой к модели устройства/версии прошивки для которой они были сгенерированы производителем.

Инициатива призвана подчеркнуть порочность практики поставки в составе прошивок типовых SSL-ключей, подходящих для всех устройств определенной модели или версии прошивки. Иными словами, все пользователи, имеющие одинаковые мини-маршрутизаторы с аналогичной версией прошивки, пользуются одними и теми же SSL-ключами и легко могут декриптовать SSL-трафик друг друга.

тут

Comments

[shaman007.livejournal.com]

А в чем прикол? SSL же там используется только для управляющей консоли, нет? По умолчанию наружу она не смотрит.

[iskatel.livejournal.com]

>> По умолчанию наружу она не смотрит.

кое-где смотрит, да и вообще https - это как раз наружу.

[shaman007.livejournal.com]

Понятно, что наружу. Зачем вообще конфигуратор роутера наружу выставлять? Лучше пробрасывать порт на что-то внутреннее, но надежное, а оттуда уже ходить. Потому что в роутеры вообще непонятно чего могут напихать и непонятно как его обновнять. По сабжу, конечно, безобразие.

[iskatel.livejournal.com]

>> Лучше пробрасывать порт на что-то внутреннее, но надежное, а оттуда уже ходить. Потому что в роутеры вообще непонятно чего могут напихать и непонятно как его обновнять.

да не надо ничего пробрасывать, делается цивилизованный vpn (или просто ssh на отдельн. машину) и далее изнутри.

Но само отношение к "безопасному методу передачи данных"...

[shaman007.livejournal.com]

Да роутеры ладно, в конце концов. Меня реально пугают производители замков и автосигнализаций. Читал у Шнайера, что некоторые производители используют в иммобилайзере VIN как секрет.

[iskatel.livejournal.com]

что за VIN ?

[shaman007.livejournal.com]

Vehicle Identification Number, обычно выгравирован под лобовым, напечатан на наклейках у дверей, есть под капотом.

[iskatel.livejournal.com]

Оо. Феерично.

[veider.livejournal.com]

Опять много шума из ничего. То что там есть от нас - древние девайсы Nokia/Siemens, которых давно уже нет. А так да - страшный набор - им можно все зохакать. А еще я распечатку skey за прошлый год не сжигая выкинул в мусоропровод. Теперь меня зохакают :)