Hetven gyártó négyezer eszközéből rengeteg azonos HTTPS tanúsítványt és titkosítási kulcsot használ – állítja a SEC Consult saját kutatására hivatkozva. A cég egy komoly kutatási projekt után arra jutott, hogy a netre kapcsolt eszközök legalább 9 százalékát érinti a probléma: internetes gatewayeket, routereket, modemeket, IP kamerákat, VoIP-telefonokat és így tovább.

Egy töréssel minden ajtó megnyílik

A megvizsgált berendezésekből végül 580 privát kulcsot sikerült kinyerniük, és ezekből 230 jelenleg is használatban van. A titkosító kulcsok többsége a firmware-ekben volt, vagyis hard-kódolt formában használták azokat az eszközök, illetve az alkalmazások. A jellemző az, írták a kutatók –, hogy gyártóknál termékcsoportonként változnak a titkosítási kulcsok, de hogy a dolog azért kacifántosabb legyen, különböző gyártók különféle termékeiben találtak azonos kulcsokat.

Persze ez utóbbi esetben is voltak kapcsolódási pontok. Például az Actiontec, az Aztech, az Innatech, a Comtrend, a Smart RG, a Zhone és a ZyXEL egyes eszközeinek firmware-jében is megtalálták ugyanazt a tanúsítványt, ami arra vezethető vissza a kutatók szerint, hogy ezek mindegyike a Broadcom SDK-t használta, de ugyanezt a felállást találták a különböző gyártók Texas Instruments SDK-t használó berendezéseinél is. A Broadcom SDK-t mintegy félmillió, a TI SDK-t pedig 300 ezer készülék használja.

A probléma egyértelmű: elég egy kulcsot megtörni, és azonnal egy rakás eszköz a támadó kezébe kerül. Innentől pedig gyerekjáték egy közbeékelődéses támadás, az adatforgalom lehallgatása vagy a felhasználó megtévesztése.

A gyenge biztonsági beállítások csapdája

A kutatásnak volt más hozadéka is. Kiderült például, hogy vannak olyan eszközök, melyek alapból úgy vannak beállítva, hogy a net felől simán bárki beléjük piszkálhat. Találtak például 80 ezer olyan Seagate GoFlex NAS-t, amelyekhez a rossz konfigurálás miatt bárki bejuthatott az internet felől. Ez nagyon sokszor a szolgáltatók sara, hiszen nagyon sokan tőlük szerzik be az előre konfigurált modemeket és hálózati eszközöket. Ezeknek az eszközöknek pedig az alapértelmezett beállításai kifejezetten gyenge védelmet nyújtanak.

A felhasználók pedig általában megbíznak a szekértőnek tekintett szolgáltatóban, azaz nem foglalkoznak azzal, hogy a megkapott eszköz biztonsági és egyéb beállításaiban elmélyedjenek.

Bár a SEC Consulting mindössze két napja tette közzé blogbejegyzését a kutatásáról, a háttérben már dolgozott a megoldáson: augusztusban felvette a kapcsolatot egy sor számítástechnikai katasztrófaelhárító csoporttal (ezek az ún. CERT-ek) és a biztonsági szervezetekkel is, hogy szervezetten lehessen értesíteni a gyártókat a kockázatokról.

Bár sok cég már lépett – többek között a Cisco, a ZTE és a ZyXEL is –, de ugye ha a frissítéshez kell a felhasználó közreműködése, felmerül az ő felelőssége is: vagy telepíti a frissítéseket, vagy sem. És az már sokszor kiderült, hogy inkább ez utóbbi történik.

A SEC Consult mindenesetre előállt egy kézenfekvő megoldással, amivel az ilyen problémák megelőzhetők: a gyártók oldják meg valahogy, hogy minden eszközük használjon véletlenszerűen generált, egyedi titkosítási kulcsot.