Same encryption key devices; Así es!


 

SEKD, BLOG, 002

Con un par de preguntas antes de comenzar este “post“, obtendremos dos respuestas a cada cuál más <molona>, ya veréis! }:P

-; ¿Os gusta la idea de qué, miles, millones de dispositivos, “reutilicen” la misma clave “criptográfica” para asegurar un servicio?

-; Que tal si os propongo lo siguiente: si sois capaces de “acceder” a un dispositivo de forma “remota“, tal vez “podáis” iniciar sesión en <cientos de miles> de dispositivos (si, habéis leído bien, cientos!). Incluyendo “diferentes fabricantes“.

La pregunta sería: ¿Cuantas cosas se os ocurre que podríais hacer?

Ahora vamos con las “respuestas” 😉

Para la “1”: Mi respuesta es (y será) – Ni de broma!, pero así es.

Para la “2”: Para este tipo de preguntas creo que la respuesta la tenéis vosotros, pero si he de decir algo pues, diría <demasiado peligro>. Demasiados “datos” e “información” comprometidos en cuestión de segundos y, en manos de.. vete a saber quién.

SEKD, BLOG, 003

Bien, pues todo esto viene por un nuevo “análisis” de la consultora de seguridad <TI, SEC Consult> (podéis ver su web haciendo “clic” en la captura) dónde dicho “análisis” muestra o pone de manifiesto que los fabricantes de “La Internet de las cosas” (IOT) y “empresas de dispositivos” (routers, etc) están “reutilizando” el mismo conjunto de claves criptográficas sin modificación alguna, dejando los dispositivos totalmente, y hablando claro, vendidos (nunca mejor dicho).

SEKD, BLOG, 004
Captura 1: Sec Consult }:J

En su “estudio de los dispositivos” (IO, podéis verlo aquí), la compañía llevo a cabo dicho estudio con más de “4.ooo” dispositivos integrados de más de “70” proveedores de hardware diferentes (casi nada!), que van desde los “routers” domésticos (es decir, los que te endiña la operadora o ISP) hasta los “servidores DNS” de internet, y descubrió que…

.. Más de “580” – claves criptográficasprivadas y, supuestamente únicas para “SSH” y “HTTPS“, se vuelven a compartir entre “varios dispositivos” de un mismo “proveedor” (empresa) y hasta con el resto de “proveedores” (no me digáis que no mola!) }:(

El “uso” más común de estas claves son:

  • Claves de host SSH
  • X.509 certificados HTTPS

Claves de “host SSH” que verifican la identidad de un dispositivo que ejecuta un “servidor SSH” utilizando un par de claves (pública-privada). Si un “atacante” (lease; “Cibercriminal“, nada que ver con un “Hacker“) mete mano a dicho “SSH” y roba sus “claves“, puede hacerse pasar por el dispositivo en cuestión y todos sabéis que ocurrirá despues.. }:S

SEKD, BLOG, 005

Lo mismo ocurre en el caso de los “sitios web” si un “atacante” obtiene acceso  al “certificado privado HTTPS” del dispositivo (apaga y vámonos), dicho protocolo (HTTPS) se utiliza actualmente para cifrar el tráfico entre los usuarios y su interfaz de gestión basada en “web“.

El “atacante” puede (y lo hará) “descifrar” todo el tráfico de datos y extraernombres de usuario“, “contraseñas” y otros muchos “datos confidenciales” gracias a la ayuda de la “clave privada” del dispositivoHTTPS” (no suena mal..).

SEKD, BLOG, 006

Cuando los investigadores (e investigadoras) “escanearon” la red para dar con esas “580 claves“, encontraron que al menos “230 claves” activas (es decir, válidas y en funcionamiento) estaban siendo utilizadas por más de “4 millones” de dispositivos (apaga otra vez y vámonos!).

Por otra parte, los investigadores recuperaron alrededor de “150 certificados de servidores HTTPS” que se utilizan en “3,2 millones” de dispositivos (aprox), junto con “claves de host 80 SSH” que son utilizadas por al menos “900.000 dispositivos“. Cifras alentadoras ¿verdad? }:/

¿Y que ocurre con lasclaves criptográficasrestantes? -; Pueden ser utilizadas por otros dispositivos que no se encuentran conectados a la red (lease; Internet), pero son perfectamente “vulnerables” a “ataques MITM” (Man in the Middle) dentro de sus respectivas “redes de área local“.

Como resultado de todo esto, potencialmente “millones de dispositivosconectados a la red son completamente susceptibles de seratacados” (vulnerados) y sus conexionesHTTPS” pueden ser descifradas por los atacantes (y estos no son los “Hackers“).

SEKD, BLOG, 007

El “problema” creo que radica en la forma que tienen los vendedores de “construir y desplegar” sus productos. Por lo general, los “proveedoresconstruyen el “firmware” de su dispositivo basado en los “kits de desarrollo de software” (SDK), recibidos estos de los “fabricantes de chips“..

… Sin ni siquiera molestarse en cambiar (modificar) el “código fuente” o incluso las “claves o certificados” que ya se encuentran presentes en esos “SDK“.

Hay muchas razones por las que este gran número de “dispositivos” son “accesibles desde Internet” a través de “HTTPS y SSH“. Éstas incluyen:

  • Configuraciones predeterminadas inseguras por los vendedores.
  • Reenvío de puertos (de forma automática) a través de “UPnP“.
  • Aprovisionamiento por los “ISP” que configuran los “dispositivos” de sus usuarios para la “gestión remota“.

La fuente de las “claves” es un aspecto interesante. Algunas “claves” solo se encuentran en un solo producto o varios productos de la misma línea de los mismos productos (vaya tela!). En otros casos, encontramos las mismas claves en productos de diferentesproveedores“.

SEKD, BLOG, 008

Aunque “SEC Consult identificó mas de “900 productosvulnerables de aproximadamente “50 fabricantes“, el número real podría ser aún mayor teniendo en cuenta que su estudio sólo estuvo enfocado alfirmware“, sólo tuvieron acceso a él.

De acuerdo con el estudio, estas son las empresas que “reutilizan” sus “claves de cifrado” (al lío!);

ADB, AMX, Actiontec, Adtran, AlcatelLucent, Alpha Networks, Aruba Networks, Aztech, Bewan, BuschJaeger, CTC Unión, Cisco, Claro, Comtrend, DLink, Deutsche Telekom, DrayTek, Edimax, General Electric (GE ), Green Packet, Huawei, Infomark, Innatech, Linksys, Motorola, Moxa, NETGEAR, NetComm inalámbrica, ONT, Observa Telecom, Opengear, Pace, Philips, Pirelli, Robustel, Sagemcom, Seagate, Seowon Intech, Sierra Wireless, inteligente RG, TPLINK, TRENDnet, Technicolor, Tenda, Totolink, unificar, UPVEL, Ubee Interactive, Ubiquiti Networks, Vodafone, Western Digital, ZTE, Zhone y ZyXEL.

¿Conocéis alguna que otra, verdad? }:S

SEKD, BLOG, 009

Aquí tenéis la listaTop 10” de los países que se ven más afectados por “SSH y HTTPS” respecto a la “reutilización” de “claves de cifrado“;

  • Estados Unidos
  • Méjico
  • Brasil
  • España
  • Colombia
  • Canadá
  • China
  • Federación Rusa
  • Taiwán
  • Reino Unido

 Sec Consult ha trabajado junto con el “CERT/CC” para abordar esta cuestión desde (atentos a este dato) principios de agosto de este mismo año 2015 y recomienda a los vendedores usar las “claves criptográficas” de forma segura y, sobre todo, al azar para cada “dispositivo” (a esto último se le llama; lógica) 😉

Por otra parte, se recomienda a los “ISPasegurarse de que no existe posibilidad de “acceder” de “forma remota” (Customer Premises Equipment) a sus equipos, tan sólo a través del “puerto WAN” (no confundir con WLAN) }:D


 

SEKD, BLOG, 010

Salu2


TonyHAT - 435

 

Anuncios

Un comentario en “Same encryption key devices; Así es!”

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s