Hetven gyártó négyezer eszközéből rengeteg azonos HTTPS tanúsítványt és titkosítási kulcsot használ – állítja a SEC Consult saját kutatására hivatkozva. A cég egy komoly kutatási projekt után arra jutott, hogy a netre kapcsolt eszközök legalább 9 százalékát érinti a probléma: internetes gatewayeket, routereket, modemeket, IP kamerákat, VoIP-telefonokat és így tovább.
Egy töréssel minden ajtó megnyílik
A megvizsgált berendezésekből végül 580 privát kulcsot sikerült kinyerniük, és ezekből 230 jelenleg is használatban van. A titkosító kulcsok többsége a firmware-ekben volt, vagyis hard-kódolt formában használták azokat az eszközök, illetve az alkalmazások. A jellemző az, írták a kutatók –, hogy gyártóknál termékcsoportonként változnak a titkosítási kulcsok, de hogy a dolog azért kacifántosabb legyen, különböző gyártók különféle termékeiben találtak azonos kulcsokat.
Persze ez utóbbi esetben is voltak kapcsolódási pontok. Például az Actiontec, az Aztech, az Innatech, a Comtrend, a Smart RG, a Zhone és a ZyXEL egyes eszközeinek firmware-jében is megtalálták ugyanazt a tanúsítványt, ami arra vezethető vissza a kutatók szerint, hogy ezek mindegyike a Broadcom SDK-t használta, de ugyanezt a felállást találták a különböző gyártók Texas Instruments SDK-t használó berendezéseinél is. A Broadcom SDK-t mintegy félmillió, a TI SDK-t pedig 300 ezer készülék használja.
A probléma egyértelmű: elég egy kulcsot megtörni, és azonnal egy rakás eszköz a támadó kezébe kerül. Innentől pedig gyerekjáték egy közbeékelődéses támadás, az adatforgalom lehallgatása vagy a felhasználó megtévesztése.
A gyenge biztonsági beállítások csapdája
Az probléma nagyon sok gyártót érint, talán rövidebb lenne azok listája, akiket nem. Az alábbiakban néhány ismertebb nevet gyűjtöttünk ki a SEC Consult érintett cégeket felsoroló listájáról:
Alcatel-Lucent, Aruba Networks, Aztech, Cisco, D-Link, Deutsche Telekom, DrayTek, Edimax, General Electric, Huawei, Linksys, Motorola, NETGEAR, Philips, Sagemcom, Seagate, TP-LINK, Vodafone, Western Digital, ZTE, ZyXEL...
És még sokan mások.
A kutatásnak volt más hozadéka is. Kiderült például, hogy vannak olyan eszközök, melyek alapból úgy vannak beállítva, hogy a net felől simán bárki beléjük piszkálhat. Találtak például 80 ezer olyan Seagate GoFlex NAS-t, amelyekhez a rossz konfigurálás miatt bárki bejuthatott az internet felől. Ez nagyon sokszor a szolgáltatók sara, hiszen nagyon sokan tőlük szerzik be az előre konfigurált modemeket és hálózati eszközöket. Ezeknek az eszközöknek pedig az alapértelmezett beállításai kifejezetten gyenge védelmet nyújtanak.
A felhasználók pedig általában megbíznak a szekértőnek tekintett szolgáltatóban, azaz nem foglalkoznak azzal, hogy a megkapott eszköz biztonsági és egyéb beállításaiban elmélyedjenek.
Bár a SEC Consulting mindössze két napja tette közzé blogbejegyzését a kutatásáról, a háttérben már dolgozott a megoldáson: augusztusban felvette a kapcsolatot egy sor számítástechnikai katasztrófaelhárító csoporttal (ezek az ún. CERT-ek) és a biztonsági szervezetekkel is, hogy szervezetten lehessen értesíteni a gyártókat a kockázatokról.
Bár sok cég már lépett – többek között a Cisco, a ZTE és a ZyXEL is –, de ugye ha a frissítéshez kell a felhasználó közreműködése, felmerül az ő felelőssége is: vagy telepíti a frissítéseket, vagy sem. És az már sokszor kiderült, hogy inkább ez utóbbi történik.
A SEC Consult mindenesetre előállt egy kézenfekvő megoldással, amivel az ilyen problémák megelőzhetők: a gyártók oldják meg valahogy, hogy minden eszközük használjon véletlenszerűen generált, egyedi titkosítási kulcsot.
A japán bölcsesség ereje: emberség a technológiai megoldások mögött
A globális válság súlyosan érintette az office piacot, ami a GLOBAL-UNION Kft. tevékenységét is veszélybe sodorta. A 100 százalékos magyar tulajdonban álló vállalat azonban a nehézségek közepette is megőrizte optimizmusát, és következetesen a legjobb döntéseket hozta.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak