Отсутствие уникальных ключей во встроенных устройствах показано, оставив такие устройства подвергающимися олицетворению, человеку в средних или пассивных нападениях дешифрования.Обещание шифрования состоит в том, что оно сохраняет информацию скрытой от глаз публики. Но что происходит, когда многократные устройства совместно используют тот же ключ шифрования? Согласно отчету от SEC фирмы безопасности Консультируются, миллионы устройств находятся в опасности, потому что поставщики снова использовали HTTPS и Защищают Shell (SSH) ключи шифрования.
«Исследование Стефаном Вихбоком из SEC Консультируется, нашел, что многочисленные встроенные устройства, доступные в общедоступном Интернете, используют групповые сертификаты X.509 и ключи узла SSH», CERT предупреждает в примечании уязвимости № 566724. «Уязвимые устройства могут подвергнуться олицетворению, человеку в середине или пассивным нападениям дешифрования».Viehbock посмотрел больше чем на 4 000 устройств от 70 поставщиков и нашел, что только 580 уникальных закрытых ключей использовались. Существует существенное количество повторного использования через ключи, с которыми Консультируется SEC, оценил для влияния приблизительно на 50 поставщиков и 900 продуктов. Примечание уязвимости CERT объясняет, что для большинства уязвимых устройств, поставщики снова использовали сертификаты и ключи через их собственные линейки продуктов.
«Существуют некоторые экземпляры, где идентичные сертификаты и ключи используются многократными поставщиками», заявляет примечание уязвимости CERT. «В этих случаях первопричина может быть вследствие встроенного микропрограммного обеспечения, которое разработано из общего SDKs (Комплекты разработчика программного обеспечения) или OEM (Производитель укомплектованного оборудования) устройства с помощью обеспеченный ISP встроенное микропрограммное обеспечение».Тод Бердслей, научный руководитель в Rapid7, не удивлен SEC, Консультируются с результатами. При аудите недорогих встроенных устройств его жалоба № 1 – когда интерфейс администрирования не зашифрован вообще, сказал он.
«Однако, даже когда я действительно вижу, что существует зашифрованный интерфейс, они часто уязвимы для совместно используемой ключевой проблемы, детализированной VU#566724», сказал Бердслей eWEEK. «Проблема вот состоит в том, что для низкопроизводительного, диспетчеры устройств низкого предела трудно реализовать генерацию уникального ключа на отдельных устройствах».Плюс, генерируя уникальные ключи, поскольку часть производственного процесса сокращает в уже тонкие пределы поставщика, и разрабатывая что-то, что генерирует ключ на первом использовании, собирается потребовать некоторого усилия по развитию и обеспечению качества, сказал Бердслей.
«Проблема состоит в том, что разработчики программного обеспечения и архитекторы систем безопасности еще не объединились для разработки простой в использовании библиотеки кнопки, которая обычно встраивала левередж устройств», сказал он. «Как технологи, мы должны обогнать эту проблему и решения для шифрования дизайна, которые не только безопасны, но и просты реализовать».Используя hardcoded закрытые ключи бедствие безопасности, по словам доктора Йехуды Линделла, соучредителя и руководителя исследовательских работ в Двухместном. Линделл видит много оснований, почему закрытые ключи, возможно, оставили представленными и снова использованными многократными поставщиками.
«Иногда, ключи предрасположены в целях развития и тестирования, и просто забыты при перемещении программного обеспечения в производство», сказал Линделл eWEEK. «Другие времена, разработчики не знают, куда поместить ключи и по ошибке думать, что соединение проводами их является хорошей идеей».