URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 73551
[ Назад ]

Исходное сообщение
"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено opennews , 23-Дек-10 16:53

Группа экспертов по безопасности встраиваемых устройств представила (http://www.devttys0.com/2010/12/breaking-ssl-on-embedded-dev.../) проект LittleBlackBox (https://code.google.com/p/littleblackbox/), в рамках которого собрана коллекция секретных SSL-ключей, поставляемых в комплекте с различными встраиваемыми устройствами. С практической точки зрения, подобрав в коллекции ключ для заданного устройства, можно организовать расшифровку генерируемого данным устройством SSL-трафика (например, SSL-ключи используются для шифрования работы в административном web-интерфейсе через HTTPS или для создания VPN).

В настоящее время в коллекции насчитывается более двух тысяч ключей для почти 500 встраиваемых устройств, среди которых беспроводные маршрутизаторы, сетевые шлюзы и ADSL-модемы таких производителей, как Cisco/Linksys, D-Link, Asus, Compex, Ubiquiti, Nokia, Netgear, Motorola и т.п. Ключи выделены из общедоступных прошивок. В представленной БД закрытые ключи поставляются в комплекте с...
URL: http://www.devttys0.com/2010/12/breaking-ssl-on-embedded-dev.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=29102

Содержание

Исследователи подчеркнули легкость расшифровки SSL-трафика о...,Аноним, 16:53 , 23-Дек-10
Исследователи подчеркнули легкость расшифровки SSL-трафика о...,axe, 17:07 , 23-Дек-10
- Исследователи подчеркнули легкость расшифровки SSL-трафика о...,twilight, 07:58 , 24-Дек-10
Исследователи подчеркнули легкость расшифровки SSL-трафика о...,zazik, 17:25 , 23-Дек-10
- Исследователи подчеркнули легкость расшифровки SSL-трафика о...,pavlinux, 17:40 , 23-Дек-10
  - Исследователи подчеркнули легкость расшифровки SSL-трафика о...,Вася, 19:09 , 23-Дек-10
    - Исследователи подчеркнули легкость расшифровки SSL-трафика о...,User294, 20:18 , 23-Дек-10
    - Исследователи подчеркнули легкость расшифровки SSL-трафика о...,zazik, 21:58 , 23-Дек-10
    - Исследователи подчеркнули легкость расшифровки SSL-трафика о...,pavlinux, 22:00 , 23-Дек-10
    - Исследователи подчеркнули легкость расшифровки SSL-трафика о...,Асушник, 02:06 , 25-Дек-10
- Исследователи подчеркнули легкость расшифровки SSL-трафика о...,pentarh, 17:43 , 23-Дек-10
- Исследователи подчеркнули легкость расшифровки SSL-трафика о...,SnoWLight, 21:11 , 23-Дек-10
  - Исследователи подчеркнули легкость расшифровки SSL-трафика о...,ffirefox, 09:52 , 24-Дек-10
    - Исследователи подчеркнули легкость расшифровки SSL-трафика о...,Filosof, 15:07 , 24-Дек-10
Исследователи подчеркнули легкость расшифровки SSL-трафика о...,pavlinux, 17:39 , 23-Дек-10
- Исследователи подчеркнули легкость расшифровки SSL-трафика о...,zazik, 22:00 , 23-Дек-10
  - Исследователи подчеркнули легкость расшифровки SSL-трафика о...,pavlinux, 22:02 , 23-Дек-10
- Исследователи подчеркнули легкость расшифровки SSL-трафика о...,Nas_tradamus, 14:48 , 24-Дек-10
  - Исследователи подчеркнули легкость расшифровки SSL-трафика о...,pavlinux, 15:39 , 24-Дек-10
Исследователи подчеркнули легкость расшифровки SSL-трафика о...,ua9oas интересуется Миша Рыцаревъ, 18:16 , 23-Дек-10
- Исследователи подчеркнули легкость расшифровки SSL-трафика о...,ананим, 18:48 , 23-Дек-10
- Исследователи подчеркнули легкость расшифровки SSL-трафика о...,SnoWLight, 21:17 , 23-Дек-10
Исследователи подчеркнули легкость расшифровки SSL-трафика о...,анонимиус, 19:05 , 23-Дек-10
- Исследователи подчеркнули легкость расшифровки SSL-трафика о...,dalco, 20:13 , 23-Дек-10
  - Исследователи подчеркнули легкость расшифровки SSL-трафика о...,Аноним, 03:05 , 24-Дек-10
    - Исследователи подчеркнули легкость расшифровки SSL-трафика о...,dalco, 07:58 , 24-Дек-10
      - Исследователи подчеркнули легкость расшифровки SSL-трафика о...,Аноним, 09:19 , 24-Дек-10
        
        Исследователи подчеркнули легкость расшифровки SSL-трафика о...,dalco, 10:47 , 24-Дек-10
- Исследователи подчеркнули легкость расшифровки SSL-трафика о...,Аноним, 21:28 , 23-Дек-10
  - Исследователи подчеркнули легкость расшифровки SSL-трафика о...,zazik, 22:02 , 23-Дек-10
Исследователи подчеркнули легкость расшифровки SSL-трафика о...,Nas_tradamus, 19:08 , 23-Дек-10
Исследователи подчеркнули легкость расшифровки SSL-трафика о...,Alen, 21:25 , 23-Дек-10
- Исследователи подчеркнули легкость расшифровки SSL-трафика о...,Sergey722, 16:05 , 28-Дек-10
Исследователи подчеркнули легкость расшифровки SSL-трафика о...,Александр, 21:33 , 26-Июн-13

Сообщения в этом обсуждении

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено Аноним , 23-Дек-10 16:53

Даже самый хитрый метод шифрования бессилен против пароля "123"

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено axe , 23-Дек-10 17:07

и думаете это что-то поменяет? Нет и еще раз нет. Так ведь и сертификацию можно не пройти у безопасников и продавать устройство в стране не разрешат. Так что все это не случайно или недосмотр - это целенаправленная политика

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено twilight , 24-Дек-10 07:58

Какая сертификация у открытых прошивок - openwrt или tomato, например?

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено zazik , 23-Дек-10 17:25

А самому этот ключ перегенерить можно?

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено pavlinux , 23-Дек-10 17:40

Думается приборы умеющие OpenWRT спасут ситуацию.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено Вася , 23-Дек-10 19:09

Ваше высказывание кратко можно охарактеризовать как "газификация лужи".
Пруф:
Если у человека хватит ума поставить альтернативную прошивку, то возможно он наверное (но не обязательно) сможет и ссл ключ поменять.
Но таких людей - 1 на 100.
А что делать обычным леммингам, которые даже на задумываются над тем что ССЛ ключ может быть уникальным не для отдельного устройства а для всей линейки в 100 тыж штук? А ведь полно контор которые проводят инет и сами подключают клиентам вайфай, они даже парится небудут над установкой опенврт. И в даном случае даже обычный WPA preshare key значительно надежней чем такого рода сертификат.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено User294 , 23-Дек-10 20:18

> А что делать обычным леммингам, которые даже на задумываются
С таким подходом - разве что стену и место для разбега поискать.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено zazik , 23-Дек-10 21:58

Ну признайся же, что фигню сказал. На мой вопрос человек нормально ответил, тебе смысла не было влезать.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено pavlinux , 23-Дек-10 22:00

> А что делать обычным леммингам, которые даже не задумываются над тем что ....
https://www.opennet.ru/openforum/vsluhforumID3/73551.html#4

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено Асушник , 25-Дек-10 02:06

По российским законам, несанкционированное использование шифрования - нарушение закона. А использование при этом неподконтрольной прошивки - видимо вообще вопиющее действие )

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено pentarh , 23-Дек-10 17:43

На андроиде с рутованной прошивкой можно. например )

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено SnoWLight , 23-Дек-10 21:11

> А самому этот ключ перегенерить можно?
В Zyxel'ях сертификат генерится на основе MAC адреса, кроме того сертификаты можно импортировать.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено ffirefox , 24-Дек-10 09:52

>В Zyxel'ях сертификат генерится на основе MAC адреса
А чем это надежней? MAC адрес то известен

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено Filosof , 24-Дек-10 15:07

как минимум убивает возможность словарного перебора. Генерация (пусть даже "на основе") уже весьма серьёзный шаг.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено pavlinux , 23-Дек-10 17:39

1. для доступа к прибору надо юзать отдельную сеть без юзеров.
2. для доступа к прибору надо юзать выделеный комп в этой сети.
3. для доступа к прибору из долёка надо юзать выделеный комп с SSH.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено zazik , 23-Дек-10 22:00

Не всегда в таких приборах есть SSH. Недавно настраивал TPLink - там только хттп и телнет.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено pavlinux , 23-Дек-10 22:02

> Не всегда в таких приборах есть SSH. Недавно настраивал TPLink - там
> только хттп и телнет.
ключевое слово "выделеный комп", на него залогинется, а там уж телнет или СОМ-порт.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено Nas_tradamus , 24-Дек-10 14:48

А разве использование коммутаторов не сводит на нет всю прелесть Promiscuous mode?
Вообще, где может найти применение эта фича? В Ethernet ведь уже не послушать трафик с других компов просто так...

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено pavlinux , 24-Дек-10 15:39

> А разве использование коммутаторов не сводит на нет всю прелесть Promiscuous mode?
> Вообще, где может найти применение эта фича?
Где, где, .... в разрыв кабеля суёшь и дампишь, дома распарсиваешь.
Залезь в любом доме на последний этаж, там столько проводов висит :)

> В Ethernet ведь уже не послушать трафик с других компов просто так...

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено ua9oas интересуется Миша Рыцаревъ , 23-Дек-10 18:16

Интересно, а почему криптосмартфоны и другие устройства для шифрования телефонных переговоров обязательно сертифицировать в ФСБ? Там что, в процессе сертификации аналогичные ключи что ли они получают? Соответственно- а существует ли возможность перехвата и прослушивания скайп-траффика?

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено ананим , 23-Дек-10 18:48

как-то так
http://www.bfm.ru/news/2010/08/12/indija-vydvinula-ultimatum...

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено SnoWLight , 23-Дек-10 21:17

> обязательно сертифицировать в ФСБ? Там что, в процессе сертификации аналогичные ключи
> что ли они получают?
На сколько я понимаю требования к сертификации только для госорганизаций и т.п. актуальны. На счет личного использования никаких законов/требований я не знаю. А с чего вы взяли что ключи на сертифицированных устройствах будете генерировать Вы а не Они?

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено анонимиус , 23-Дек-10 19:05

Объясните тупому, зачем хранить ключик в прошивке, ведь можно генерить при первом запуске/ресете?

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено dalco , 23-Дек-10 20:13

В некоторых, особо извращенных, девайсах могут быть проблемы с дальнейшим сохранением ключа, например, если (почти) вся внутренняя FS девайса в read only.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено Аноним , 24-Дек-10 03:05

во *всех* девайсах есть память доступная для записи для хранения настроек (ssid и пароль например). сохранить туда ключ - задача просто элементарная.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено dalco , 24-Дек-10 07:58

Угу, только памяти там этой сотня-другая байт, и каждый байт уже подо что-то зарезервирован. И воткнуть туда какой-нибудь 4096bit rsa ключ весьма затруднительно.
P.S. Если ничего не путаю, то у меня как раз старенький роутер от асуса так работал. 8 метров флэша под прошивку и сколько-то там байт (подозреваю, что 256) под настройки (скорее всего, это объем флеша броадкомовской SoC). Доступа к основному флешу на запись у девайса нет (только при заливке прошивки).
Потом openwrt туда залил - теперь вся конфа хранится в основной флеш-памяти в обычных файлах в /etc.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено Аноним , 24-Дек-10 09:19

в броадкомоподобных роутерах на флеше есть раздел с настройками. и размер у него не сто-двести байт, а около 32k, и большая его часть не занята.
к тому же, у моего девайса всего 2Мб, а всё есть.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено dalco , 24-Дек-10 10:47

Возможно, пример с асусовским роутером был не самый удачный, но в существовании девайсов с очень ограниченным объемом NVRAM, куда не влезут ключи, я не сомневаюсь.
P.S. Это в современных устройствах на энергонезависимую память не жадничают, в более древних и дешевых все не так радужно (особенно, если прошивка в простом ПЗУ).

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено Аноним , 23-Дек-10 21:28

> Объясните тупому, зачем хранить ключик в прошивке, ведь можно генерить при первом
> запуске/ресете?
Браузеры будут ругаться, что ключ не заверен центром сертификации.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено zazik , 23-Дек-10 22:02

>> Объясните тупому, зачем хранить ключик в прошивке, ведь можно генерить при первом
>> запуске/ресете?
> Браузеры будут ругаться, что ключ не заверен центром сертификации.
Он и так ругается. Никому не надо купленный сертификат(а у него ещё срок действия может быть маленький!) с приватным ключом впиливать в легкодоступную прошивку.

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено Nas_tradamus , 23-Дек-10 19:08

DD-WRT v24-sp2 (10/10/09) std
It Works!!!

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено Alen , 23-Дек-10 21:25

я чего то во всем этом ни разу не увидел слова ZyXel.
Они что дартаньяны? на фоне остальных...

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено Sergey722 , 28-Дек-10 16:05

Или неуловимые Джо?

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Отправлено Александр , 26-Июн-13 21:33

всем доброго вечера, а вот у меня вопрос: А что по поводу дешифровки ssl-трафика с сайтов? Если трафик перехватят на стороне провайдера, они тогда тоже имеют все шансы его дешифровать?