Krüpplografie des tages

Ach, der kryptokram hirnt ja immer so, wenn man es richtig und sorgfältig machen will. Legen wir doch einfach unsere private keys in den geräten ab, da guckt doch eh keiner… oh, jetzt hat ja doch mal einer geguckt:

Bei einem Forschungsprojekt gelang es Stefan Viehböck von der Firma SEC Consult, über 500 private Schlüssel für HTTPS- und SSH-Verbindungen zu extrahieren. Diese privaten Schlüssel kommen auf neun Prozent der im Internet erreichbaren HTTPS-Hosts und sechs Prozent der SSH-Hosts zum Einsatz. Die Sicherheitslücke betrifft etwa 50 verschiedene Hersteller, darunter nahezu alle bekannten Homerouter-Hersteller und auch die Deutsche Telekom. Neben Routern wurden auch IP-Kameras, Modems, VoIP-Telefone und andere Embedded-Geräte untersucht

Und wie wenig richtig und sorgfältig haben die großen unternehmen es gemacht? So wenig richtig und sorgfältig:

Ein Zertifikat, das auf eine Person namens „Daniel“ ausgestellt wurde, fand sich in den Geräten von acht verschiedenen Herstellern. Das Zertifikat stammt aus einem SDK der Firma Broadcom

Immerhin: so lange damit nicht gerade verbindungen von außen möglich sind — weil solche zertifikate zum beispiel für einen SSH-login verwendet werden — ist das mal relativ harmlos. Klar, bei logins können passwörter mitgeschnitten werden, als wenn sie unverschlüsselt wären und eine man-in-the-middle-attacke wird ebenfalls ermöglicht. Das schlimme daran ist, dass diese unternehmen auch sonst nicht sorgfältiger vorgehen werden, wenn sie irgendwelche „magischen plastikkästen mit internetz“ konzipieren und entwickeln. Freut ihr euch auch alle schon so auf das internetz der dinge und auf die selbstfahrenden autos? :mrgreen:

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.