Více než 50 výrobců používá stejné HTTPS certifikáty a SSH klíče

Více než 50 různých výrobců používá stejné HTTPS certifikáty a SSH klíče. Byly analyzovány obrazy firmwaru více než 4000 zařízení (routerů, IP kamer, VoIP telefonů, modemů, atd.) od více než 70 výrobců. Zjistilo se, že některé certifikáty se nacházejí i na půl milionu zařízení [CSIRT.CZ].

Spočítal někdo taky, kolik by stálo vše podepsat trusted CA?

27.11.2015 21:17 axa
Rozbalit Rozbalit vše Re: Více než 50 výrobců používá stejné HTTPS certifikáty a SSH klíče

Proč trusted CA? O to přece tady vůbec nejde.

27.11.2015 23:18 R
Rozbalit Rozbalit vše Re: Více než 50 výrobců používá stejné HTTPS certifikáty a SSH klíče

Staci vygenerovat v kazdom zariadeni novy nahodny kluc.

BTW. Skumal som jeden router, kde kazdy kus ma admin heslo aj WPA kluc vygenerovany a vytlaceny na stitku. Admin heslo sa generuje z MAC adresy, WPA kluc z IMEI - vsetko bez nahody, nejakou vlastnou binarkou, takze bezpecnost pochybna (z lokalnej siete nulova - MAC adresu mame, staci cracknut algoritmus alebo spustit binarku v emulatore). Nastastie ale nie je administracia pristupna zvonku.

28.11.2015 06:24 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Více než 50 výrobců používá stejné HTTPS certifikáty a SSH klíče

Ja tohle proste nechapu... jak moc dementni lidi k temhle vecem vubec pousti ? Daji si tu praci aby zaridili unikatnost klicu pro zarzieni a pak to pohnoji tak ze klice generuji z verejne ze site dostupnych infromaci ?! To se na to mohli rovnou vykaslat a davat vsude admin:admin usetrili by na vyrobe a ucinost by to melo stejnou... kdyby to prisolili casem generovani nebo blbym rand()...

Ale uplne nej reseni je pouzivat admin:admin (takze clovek nemusi pri prvni konfiguraci lovit pristupove udaje) a pri prvnim prihlaseni do administrace uzivatele donutit at si zmeni heslo (jine nez predchozi, o urcite min delce) a bez toho ho nikam dal nepustit dokud to neudela...

Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.

28.11.2015 11:28 R
Rozbalit Rozbalit vše Re: Více než 50 výrobců používá stejné HTTPS certifikáty a SSH klíče

Mne sa to celkom hodilo, pretoze mame tych zariadeni vela a su umiestnene po celej SR. Keby bolo kazde heslo skutocne nahodne, tak je vzdialena sprava nemozna, resp. by musel niekto vsetky hesla zozbierat alebo zmenit.

Takto sa pripojim na PC za routerom (cez VPN) a po lokalnej sieti sa na router dostanem.

29.11.2015 21:46 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Více než 50 výrobců používá stejné HTTPS certifikáty a SSH klíče

Protože manažeři jsou intoxikováni penězi na úkor selského rozumu a smyslu pro odpovědnost.

Archlinux for your comps, faster running guaranted!

28.11.2015 08:36 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Více než 50 výrobců používá stejné HTTPS certifikáty a SSH klíče

Staci vygenerovat v kazdom zariadeni novy nahodny kluc.

Ve skutečnosti stačí žádný klíč předem negenerovat. :)

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

28.11.2015 08:35 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Více než 50 výrobců používá stejné HTTPS certifikáty a SSH klíče

Proč?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

28.11.2015 09:14 Filip Jirsák
Rozbalit Rozbalit vše Re: Více než 50 výrobců používá stejné HTTPS certifikáty a SSH klíče

Spočítal. 0 Kč, protože takové certifikáty žádná důvěryhodná CA podepsat nemůže. To jsou zařízení, která si zapojíte někam do své sítě, často nemusí mít veřejnou IP adresu a často nemají ani přiřazený DNS název. Takže bůhví, co je v tom certifikátu vlastně za názvy.

Více než 50 výrobců používá stejné HTTPS certifikáty a SSH klíče

Komentáře