{"id":171023,"date":"2015-11-29T01:43:00","date_gmt":"2015-11-29T00:43:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=171023"},"modified":"2023-09-11T23:09:34","modified_gmt":"2023-09-11T21:09:34","slug":"krypto-schlssel-desaster-bei-gerten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2015\/11\/29\/krypto-schlssel-desaster-bei-gerten\/","title":{"rendered":"Krypto-Schlüssel-Desaster bei Geräten"},"content":{"rendered":"

\"\"Die Hersteller haben es versaut! Die Woche hatte ich im Beitrag Sicherheits-GAU: Dell-Zertifkat bringt massive Sicherheitsl\u00fccke<\/a> auf ein Root-CA-Zertifikat, bei dem der private Schl\u00fcssel \u00f6ffentlich bekannt ist, hingewiesen. Abseits dieser Geschichte sind offenbar aber Millionen andere Ger\u00e4t mit kompromittierbaren Krypto-Schl\u00fcsseln bei Anwendern in Firmen und im Privatbereich im Gebrauch.<\/p>\n

<\/p>\n

Hallo Industrie, ihr k\u00f6nnt es einfach nicht!<\/h3>\n

Speziell Router oder NAS-Speicher weisen in der Firmware SSL-Zertifikate auf, die in vielen Ger\u00e4ten eingesetzt werden und deren private Schl\u00fcssel in der Firmware abrufbar sind. Forscher der Sicherheitsfirma SEC Consult haben die \u00f6ffentlich zug\u00e4ngliche Firmware von mehr als 4000 Ger\u00e4ten untersucht. Erschreckend: Es gelang dabei 580 private Schl\u00fcssel<\/a> zu ermitteln. Ist ein solcher privater Schl\u00fcssel bekannt, k\u00f6nnen Angreifer praktisch alle Ger\u00e4te, die den Schl\u00fcssel verwenden, \u00fcber Man-in-the-middle-Attacken angreifen.<\/p>\n

Bei SEC Consult sch\u00e4tzt man, dass 9 % aller im Netz verwendeten Zertifikate betroffen sind, weshalb man von 3,2 Millionen betroffenen Systemen ausgeht. Ein f\u00fcr \"Daniel\" ausgestelltes Zertifikat (kiding@broadcom.com) aus dem Broadcom SDK wird in Firmware von Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone und ZyXEL verwendet. Ein Zertifkcat aus einem Texas Instruments SDK f\u00fcr ADSL2+ Router, ausgegeben f\u00fcr Multitech in Bangalore, Indien, findet sich in Firmware, die von Aztech, Bewan, Observa Telecom, NetComm Wireless, Zhone, ZTE und ZyXE eingesetzt wird.<\/p>\n

Die Details lassen sich im SEC Consult Blog-Beitrag<\/a> (englisch) nachlesen. Ein paar Informationen hat heise.de in diesem deutschsprachigen Artikel<\/a> zusammen getragen.<\/p>\n

N\u00e4chste hohle Phrase: Projekt IUNO<\/h3>\n

Ich wei\u00df nicht, wie es euch geht. Aber ich finde die Freitag bei heise.de eingestellte News-Meldung<\/a> zum IUNO Projekt Nationales Referenzprojekt schafft IT-Sicherheitsl\u00f6sungen f\u00fcr die Industrie 4.0 einfach nur hohles Gew\u00e4sch und Phrasendrescherei. Passt wunderbar zum Cyber Security Report 2015. Ich mag ja niemandem der Protagonisten zu nahe treten \u2013 aber meine Erfahrungen als Mitglied eines Normengremiums im Bereich der Automatisierungstechnologie (liegt lange zur\u00fcck, damals war ich noch junger Ingenieur) waren deutlich ern\u00fcchternd.<\/p>\n

Und wenn ich mal so in die Runde blicke, habe ich wenig Hoffnung, dass es besser geworden ist. Die haben es bei VW nicht auf die Reihe gekriegt, sofort bekannt zu geben, welche Motoren die Cheat-Software f\u00fcr Abgaswerte verbaut hat. Dell musste von Kunden auf das zweite kompromittierte Sicherheitszertifikat aufmerksam gemacht werden (siehe N\u00e4chstes Dell Root-Zertifikat rei\u00dft Sicherheitsl\u00fccke auf \u2026<\/a>) \u2013 und alle paar Tage werden Sicherheitsl\u00fccken in Kassensystemen oder Hacks von Industrieanlagen bekannt. In diesem Sinne: Wir stehen sicherheitstechnisch am Abgrund, machen wir mit IUNO einen kraftvollen Schritt nach vorne.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Lenovo Ger\u00e4te mit Superfish-Adware verseucht<\/a>
\nAvast nutzt auch den 'Superfish-Ansatz' bei Mail Shield<\/a>
\nLenovo Service Engine (LSE) \u2013 Superfish reloaded II<\/a>
\nSicherheits-GAU: Dell-Zertifkat bringt massive Sicherheitsl\u00fccke<\/a>
\nN\u00e4chstes Dell Root-Zertifikat rei\u00dft Sicherheitsl\u00fccke auf \u2026<\/a>
\nAdware in Windows (Defender) blockieren<\/a>
\nMicrosofts Sicherheitssoftware entfernt Dell Root-Zertifikat<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Die Hersteller haben es versaut! Die Woche hatte ich im Beitrag Sicherheits-GAU: Dell-Zertifkat bringt massive Sicherheitsl\u00fccke auf ein Root-CA-Zertifikat, bei dem der private Schl\u00fcssel \u00f6ffentlich bekannt ist, hingewiesen. Abseits dieser Geschichte sind offenbar aber Millionen andere Ger\u00e4t mit kompromittierbaren Krypto-Schl\u00fcsseln … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[3081,4617,4328,1468],"class_list":["post-171023","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-geraete","tag-industrie-4-0","tag-sicherheit","tag-zertifikate"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/171023","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=171023"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/171023\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=171023"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=171023"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=171023"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}