Olyanok a netes kütyüink, mint egy átjáróház. Több ezer olyan eszközt találtak, amit ugyanaz a hiba tesz veszélyessé. Persze mi, felhasználók is hozzáteszük a magunkét.

Hetven gyártó négyezer eszközéből rengeteg azonos HTTPS tanúsítványt és titkosítási kulcsot használ – állítja a SEC Consult saját kutatására hivatkozva. A cég egy komoly kutatási projekt után arra jutott, hogy a netre kapcsolt eszközök legalább 9 százalékát érinti a probléma: internetes gatewayeket, routereket, modemeket, IP kamerákat, VoIP-telefonokat és így tovább.

Egy töréssel minden ajtó megnyílik

A megvizsgált berendezésekből végül 580 privát kulcsot sikerült kinyerniük, és ezekből 230 jelenleg is használatban van. A titkosító kulcsok többsége a firmware-ekben volt, vagyis hard-kódolt formában használták azokat az eszközök, illetve az alkalmazások. A jellemző az, írták a kutatók –, hogy gyártóknál termékcsoportonként változnak a titkosítási kulcsok, de hogy a dolog azért kacifántosabb legyen, különböző gyártók különféle termékeiben találtak azonos kulcsokat.

Persze ez utóbbi esetben is voltak kapcsolódási pontok. Például az Actiontec, az Aztech, az Innatech, a Comtrend, a Smart RG, a Zhone és a ZyXEL egyes eszközeinek firmware-jében is megtalálták ugyanazt a tanúsítványt, ami arra vezethető vissza a kutatók szerint, hogy ezek mindegyike a Broadcom SDK-t használta, de ugyanezt a felállást találták a különböző gyártók Texas Instruments SDK-t használó berendezéseinél is. A Broadcom SDK-t mintegy félmillió, a TI SDK-t pedig 300 ezer készülék használja.

A probléma egyértelmű: elég egy kulcsot megtörni, és azonnal egy rakás eszköz a támadó kezébe kerül. Innentől pedig gyerekjáték egy közbeékelődéses támadás, az adatforgalom lehallgatása vagy a felhasználó megtévesztése.

A gyenge biztonsági beállítások csapdája

Néhány érintett cég

Az probléma nagyon sok gyártót érint, talán rövidebb lenne azok listája, akiket nem. Az alábbiakban néhány ismertebb nevet gyűjtöttünk ki a SEC Consult érintett cégeket felsoroló listájáról:

Alcatel-Lucent, Aruba Networks, Aztech, Cisco, D-Link, Deutsche Telekom, DrayTek, Edimax, General Electric, Huawei, Linksys, Motorola, NETGEAR, Philips, Sagemcom, Seagate, TP-LINK, Vodafone, Western Digital, ZTE, ZyXEL...

És még sokan mások.

A kutatásnak volt más hozadéka is. Kiderült például, hogy vannak olyan eszközök, melyek alapból úgy vannak beállítva, hogy a net felől simán bárki beléjük piszkálhat. Találtak például 80 ezer olyan Seagate GoFlex NAS-t, amelyekhez a rossz konfigurálás miatt bárki bejuthatott az internet felől. Ez nagyon sokszor a szolgáltatók sara, hiszen nagyon sokan tőlük szerzik be az előre konfigurált modemeket és hálózati eszközöket. Ezeknek az eszközöknek pedig az alapértelmezett beállításai kifejezetten gyenge védelmet nyújtanak.

A felhasználók pedig általában megbíznak a szekértőnek tekintett szolgáltatóban, azaz nem foglalkoznak azzal, hogy a megkapott eszköz biztonsági és egyéb beállításaiban elmélyedjenek.

Bár a SEC Consulting mindössze két napja tette közzé blogbejegyzését a kutatásáról, a háttérben már dolgozott a megoldáson: augusztusban felvette a kapcsolatot egy sor számítástechnikai katasztrófaelhárító csoporttal (ezek az ún. CERT-ek) és a biztonsági szervezetekkel is, hogy szervezetten lehessen értesíteni a gyártókat a kockázatokról.

Bár sok cég már lépett – többek között a Cisco, a ZTE és a ZyXEL is –, de ugye ha a frissítéshez kell a felhasználó közreműködése, felmerül az ő felelőssége is: vagy telepíti a frissítéseket, vagy sem. És az már sokszor kiderült, hogy inkább ez utóbbi történik.

A SEC Consult mindenesetre előállt egy kézenfekvő megoldással, amivel az ilyen problémák megelőzhetők: a gyártók oldják meg valahogy, hogy minden eszközük használjon véletlenszerűen generált, egyedi titkosítási kulcsot.

Biztonság

Hadat üzennek a Wikipedia szerkesztői az MI-szennyezésnek

Programot indítottak a Wikipédia védelmében a félrevezető, mesterséges intelligenciával generált információval szemben, ami általában is egyre nagyobb mértékben károsítja az online információs teret.
 
Hirdetés

A japán bölcsesség ereje: emberség a technológiai megoldások mögött

A globális válság súlyosan érintette az office piacot, ami a GLOBAL-UNION Kft. tevékenységét is veszélybe sodorta. A 100 százalékos magyar tulajdonban álló vállalat azonban a nehézségek közepette is megőrizte optimizmusát, és következetesen a legjobb döntéseket hozta.

A probléma szorosan összefügg a felhő miatt egyre népszerűbb mikroszerviz architektúrák és webalkalmazások, pontosabban a használatukhoz szükséges API-k terjedésével.

a melléklet támogatója a Clico Hungary

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.