Krypto-Schlüssel-Desaster bei Geräten

Die Hersteller haben es versaut! Die Woche hatte ich im Beitrag Sicherheits-GAU: Dell-Zertifkat bringt massive Sicherheitslücke auf ein Root-CA-Zertifikat, bei dem der private Schlüssel öffentlich bekannt ist, hingewiesen. Abseits dieser Geschichte sind offenbar aber Millionen andere Gerät mit kompromittierbaren Krypto-Schlüsseln bei Anwendern in Firmen und im Privatbereich im Gebrauch.


Anzeige

Hallo Industrie, ihr könnt es einfach nicht!

Speziell Router oder NAS-Speicher weisen in der Firmware SSL-Zertifikate auf, die in vielen Geräten eingesetzt werden und deren private Schlüssel in der Firmware abrufbar sind. Forscher der Sicherheitsfirma SEC Consult haben die öffentlich zugängliche Firmware von mehr als 4000 Geräten untersucht. Erschreckend: Es gelang dabei 580 private Schlüssel zu ermitteln. Ist ein solcher privater Schlüssel bekannt, können Angreifer praktisch alle Geräte, die den Schlüssel verwenden, über Man-in-the-middle-Attacken angreifen.

Bei SEC Consult schätzt man, dass 9 % aller im Netz verwendeten Zertifikate betroffen sind, weshalb man von 3,2 Millionen betroffenen Systemen ausgeht. Ein für "Daniel" ausgestelltes Zertifikat (kiding@broadcom.com) aus dem Broadcom SDK wird in Firmware von Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone und ZyXEL verwendet. Ein Zertifkcat aus einem Texas Instruments SDK für ADSL2+ Router, ausgegeben für Multitech in Bangalore, Indien, findet sich in Firmware, die von Aztech, Bewan, Observa Telecom, NetComm Wireless, Zhone, ZTE und ZyXE eingesetzt wird.

Die Details lassen sich im SEC Consult Blog-Beitrag (englisch) nachlesen. Ein paar Informationen hat heise.de in diesem deutschsprachigen Artikel zusammen getragen.

Nächste hohle Phrase: Projekt IUNO

Ich weiß nicht, wie es euch geht. Aber ich finde die Freitag bei heise.de eingestellte News-Meldung zum IUNO Projekt Nationales Referenzprojekt schafft IT-Sicherheitslösungen für die Industrie 4.0 einfach nur hohles Gewäsch und Phrasendrescherei. Passt wunderbar zum Cyber Security Report 2015. Ich mag ja niemandem der Protagonisten zu nahe treten – aber meine Erfahrungen als Mitglied eines Normengremiums im Bereich der Automatisierungstechnologie (liegt lange zurück, damals war ich noch junger Ingenieur) waren deutlich ernüchternd.


Anzeige

Und wenn ich mal so in die Runde blicke, habe ich wenig Hoffnung, dass es besser geworden ist. Die haben es bei VW nicht auf die Reihe gekriegt, sofort bekannt zu geben, welche Motoren die Cheat-Software für Abgaswerte verbaut hat. Dell musste von Kunden auf das zweite kompromittierte Sicherheitszertifikat aufmerksam gemacht werden (siehe Nächstes Dell Root-Zertifikat reißt Sicherheitslücke auf …) – und alle paar Tage werden Sicherheitslücken in Kassensystemen oder Hacks von Industrieanlagen bekannt. In diesem Sinne: Wir stehen sicherheitstechnisch am Abgrund, machen wir mit IUNO einen kraftvollen Schritt nach vorne.

Ähnliche Artikel:
Lenovo Geräte mit Superfish-Adware verseucht
Avast nutzt auch den 'Superfish-Ansatz' bei Mail Shield
Lenovo Service Engine (LSE) – Superfish reloaded II
Sicherheits-GAU: Dell-Zertifkat bringt massive Sicherheitslücke
Nächstes Dell Root-Zertifikat reißt Sicherheitslücke auf …
Adware in Windows (Defender) blockieren
Microsofts Sicherheitssoftware entfernt Dell Root-Zertifikat


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Krypto-Schlüssel-Desaster bei Geräten

  1. noname sagt:

    Sicherheit schmälert Profit – und das ist das Einzige was zählt.
    Vielleicht würde es helfen ein paar Techniker in der Führungsetage sitzten zu haben statt der ganzen Juristen und BWLer?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.