Mange av dagens krypteringsteknologier er basert på en offentlig og en privat nøkkel. Enkelt forklart brukes den offentlige nøkkelen til å kryptere informasjonen. Deretter kan krypterte informasjonen kan kun dekrypteres med den korresponderende, private nøkkelen.
Den offentlige nøkkelen er nettopp dette – offentlig. Det gjør ingenting at denne blir kjent. Tvert imot.
Den private nøkkelen, derimot, må ikke komme avveie, for da kan den krypterte informasjonen også dekrypteres og leses av uvedkommende.
Dessverre er det ikke sjelden at håndteringen av slike private nøkler er mildt sagt kritikkverdig. Og nå har det dukket opp enda et tilfelle.
Omfattende analyse
SEC Consult, et rådgiverselskap innen IT-sikkerhet, har nylig analysert fastvaren over 4000 ulike produkter fra mer enn 70 leverandører for å se etter krypteringsnøkler og sertifikater for SSH- og HTTPS-forbindelser.
Felles for alle enhetene er at dreier seg om integrerte enheter som kan kobles til internett. Dette inkluderer rutere, modemer, IP-kameraer, IP-telefoner, lagringssystemer og mye annet.
Det viste seg at svært mange produkter hvor fastvaren er basert på samme utviklersett (SDK), også benytter akkurat den samme private nøkkelen.
For eksempel ble det funnet igjen det samme sertifikatet i fastvaren til produkter fra Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone og ZyXEL. Fastvaren i alle produktene ser ut til å være bare på et utviklersett fra Broadcom, hvor sertifikatet også finnes.
Ved hjelp av ulike skannerverktøyer har SEC Consult funnet mer enn 480 000 enheter med HTTPS-støtte som bruker det samme sertifikatet.
Foreslår nei til krypto-forbud i Norge: – men ikke av hensyn til personvern
Millioner av enheter deler noen få nøkler
Selskapet nevner også flere lignende eksempler
Blant annet har man funnet ut at 3,2 millioner enheter benytter en av bare 150 ulike TLS-privatnøkler, og at omtrent 900 000 enheter bruker en av bare 80 forskjellige SSH-privatnøkler.
SEC Consult mener at det høye antallet er oppsiktsvekkende. Selskapet mener det er sannsynlig at brukerne av mange av disse enhetene ikke engang vet at de er tilgjengelig på weben. Blant annet har selskapet funnet rundt 80 000 Seagate GoFlex-enheter, NAS-baserte lagringsenhet for hjemmebruk, som er tilgjengelige på internett via HTTPS- og SSH-grensesnitt.
I andre tilfeller kan det dreie seg om bredbåndsrutere som er levert fra bredleverandører, og som leverandørene har mulighet til å fjernstyre via disse grensesnittet. SEC Consult navngir verstingene. Ingen av dem er tilbyr bredbånd i Norge.
Av de 4000 produktene som ble analysert, er mer enn 900 produkter fra rundt 50 leverandører berørt. De berørte leverandørene er:
ADB, AMX, Actiontec, Adtran, Alcatel-Lucent, Alpha Networks, Aruba Networks, Aztech, Bewan, Busch-Jaeger, CTC Union, Cisco, Clear, Comtrend, D-Link, Deutsche Telekom, DrayTek, Edimax, General Electric (GE), Green Packet, Huawei, Infomark, Innatech, Linksys, Motorola, Moxa, NETGEAR, NetComm Wireless, ONT, Observa Telecom, Opengear, Pace, Philips, Pirelli , Robustel, Sagemcom, Seagate, Seowon Intech, Sierra Wireless, Smart RG, TP-LINK, TRENDnet, Technicolor, Tenda, Totolink, unify, UPVEL, Ubee Interactive, Ubiquiti Networks, Vodafone, Western Digital, ZTE, Zhone og ZyXEL.
Tiltak
SEC Consult skal ha samarbeidet med amerikanske CERT Coordination Center (CERT/CC) siden august, og CERT/CC skal ha ifølge SEC Consult vært iherdige i sitt forsøk på å informere de berørte leverandørene, i tillegg til nettleserleverandørene.
Noen av utstyrsleverandørene skal ha indikert at de vil tilby oppdateringer eller rettledning som kan løse problemet, men dette gjelder langt fra alle, og i de fleste tilfeller vil det trolig være opp til den enkelte bruker å sørge for at oppdateringene blir installert og enheten sikret.
Brukerne bør uansett ta kontakt med leverandøren for mer informasjon. Leverandørene oppfordres på sin side til å ta kontakt med CERT.
CERT anbefaler også at brukerne av enhetene manuelt sørger for at de ikke-unike sertifikatene på de berørte enhetene erstattes med nye og unike sertifikater. Dette er ikke nødvendigvis mulig på alle enheter, og selv når det er mulig, vet de færreste hvordan det kan gjøres.
En enklere løsning kan være at bare enheter og nettverk man har tillit til, kan opprette forbindelser med den berørte enheten. Det vil i alle fall si at enheten ikke lenger skal kunne kontaktes via internett.