форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
Сообщение от opennews (??) on 23-Дек-10, 16:53
Группа экспертов по безопасности встраиваемых устройств представила (http://www.devttys0.com/2010/12/breaking-ssl-on-embedded-dev.../) проект LittleBlackBox (https://code.google.com/p/littleblackbox/), в рамках которого собрана коллекция секретных SSL-ключей, поставляемых в комплекте с различными встраиваемыми устройствами. С практической точки зрения, подобрав в коллекции ключ для заданного устройства, можно организовать расшифровку генерируемого данным устройством SSL-трафика (например, SSL-ключи используются для шифрования работы в административном web-интерфейсе через HTTPS или для создания VPN). В настоящее время в коллекции насчитывается более двух тысяч ключей для почти 500 встраиваемых устройств, среди которых беспроводные маршрутизаторы, сетевые шлюзы  и ADSL-модемы таких производителей, как Cisco/Linksys, D-Link, Asus, Compex, Ubiquiti, Nokia, Netgear, Motorola и т.п. Ключи выделены из общедоступных прошивок. В представленной БД закрытые ключи поставляются в комплекте с... URL: http://www.devttys0.com/2010/12/breaking-ssl-on-embedded-dev.../ Новость: http://www.opennet.me/opennews/art.shtml?num=29102
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+20 +/–
Сообщение от Аноним (??) on 23-Дек-10, 16:53
Даже самый хитрый метод шифрования бессилен против пароля "123"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+1 +/–
Сообщение от axe (??) on 23-Дек-10, 17:07
и думаете это что-то поменяет? Нет и еще раз нет. Так ведь и сертификацию можно не пройти у безопасников и продавать устройство в стране не разрешат. Так что все это не случайно или недосмотр - это целенаправленная политика
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	25. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от twilight (ok) on 24-Дек-10, 07:58
	Какая сертификация у открытых прошивок - openwrt или tomato, например?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
Сообщение от zazik (ok) on 23-Дек-10, 17:25
А самому этот ключ перегенерить можно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+7 +/–
	Сообщение от pavlinux (ok) on 23-Дек-10, 17:40
	Думается приборы умеющие OpenWRT спасут ситуацию.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	11. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	–6 +/–
	Сообщение от Вася (??) on 23-Дек-10, 19:09
	Ваше высказывание кратко можно охарактеризовать как "газификация лужи". Пруф: Если у человека хватит ума поставить альтернативную прошивку, то возможно он наверное (но не обязательно) сможет и ссл ключ поменять. Но таких людей - 1 на 100. А что делать обычным леммингам, которые даже на задумываются над тем что ССЛ ключ может быть уникальным не для отдельного устройства а для всей линейки в 100 тыж штук? А ведь полно контор которые проводят инет и сами подключают клиентам вайфай, они даже парится небудут над установкой опенврт. И в даном случае даже обычный WPA preshare key значительно надежней чем такого рода сертификат.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	13. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+5 +/–
	Сообщение от User294 (ok) on 23-Дек-10, 20:18
	> А что делать обычным леммингам, которые даже на задумываются С таким подходом - разве что стену и место для разбега поискать.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	18. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от zazik (ok) on 23-Дек-10, 21:58
	Ну признайся же, что фигню сказал. На мой вопрос человек нормально ответил, тебе смысла не было влезать.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	20. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+1 +/–
	Сообщение от pavlinux (ok) on 23-Дек-10, 22:00
	> А что делать обычным леммингам, которые даже не задумываются над тем что .... http://www.opennet.me/openforum/vsluhforumID3/73551.html#4
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	33. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от Асушник on 25-Дек-10, 02:06
	По российским законам, несанкционированное использование шифрования - нарушение закона. А использование при этом неподконтрольной прошивки - видимо вообще вопиющее действие )
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	6. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от pentarh (ok) on 23-Дек-10, 17:43
	На андроиде с рутованной прошивкой можно. например )
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	14. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от SnoWLight on 23-Дек-10, 21:11
	> А самому этот ключ перегенерить можно? В Zyxel'ях сертификат генерится на основе MAC адреса, кроме того сертификаты можно импортировать.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	28. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от ffirefox on 24-Дек-10, 09:52
	>В Zyxel'ях сертификат генерится на основе MAC адреса А чем это надежней? MAC адрес то известен
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	31. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от Filosof (ok) on 24-Дек-10, 15:07
	как минимум убивает возможность словарного перебора. Генерация (пусть даже "на основе") уже весьма серьёзный шаг.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

4. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+4 +/–
Сообщение от pavlinux (ok) on 23-Дек-10, 17:39
1. для доступа к прибору надо юзать отдельную сеть без юзеров. 2. для доступа к прибору надо юзать выделеный комп в этой сети. 3. для доступа к прибору из долёка надо юзать выделеный комп с SSH.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	19. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	–1 +/–
	Сообщение от zazik (ok) on 23-Дек-10, 22:00
	Не всегда в таких приборах есть SSH. Недавно настраивал TPLink - там только хттп и телнет.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	22. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от pavlinux (ok) on 23-Дек-10, 22:02
	> Не всегда в таких приборах есть SSH. Недавно настраивал TPLink - там > только хттп и телнет. ключевое слово "выделеный комп", на него залогинется, а там уж телнет или СОМ-порт.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	30. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от Nas_tradamus (ok) on 24-Дек-10, 14:48
	А разве использование коммутаторов не сводит на нет всю прелесть Promiscuous mode? Вообще, где может найти применение эта фича? В Ethernet ведь уже не послушать трафик с других компов просто так...
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	32. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от pavlinux (ok) on 24-Дек-10, 15:39
	> А разве использование коммутаторов не сводит на нет всю прелесть Promiscuous mode? > Вообще, где может найти применение эта фича? Где, где, .... в разрыв кабеля суёшь и дампишь, дома распарсиваешь.   Залезь в любом доме на последний этаж, там столько проводов висит :) > В Ethernet ведь уже не послушать трафик с других компов просто так...
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

7. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
Сообщение от ua9oas интересуется Миша Рыцаревъ on 23-Дек-10, 18:16
Интересно, а почему криптосмартфоны и другие устройства для шифрования телефонных переговоров обязательно сертифицировать в ФСБ? Там что, в процессе сертификации аналогичные ключи что ли они получают? Соответственно- а существует ли возможность перехвата и прослушивания скайп-траффика?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от ананим on 23-Дек-10, 18:48
	как-то так http://www.bfm.ru/news/2010/08/12/indija-vydvinula-ultimatum...
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	15. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от SnoWLight on 23-Дек-10, 21:17
	> обязательно сертифицировать в ФСБ? Там что, в процессе сертификации аналогичные ключи > что ли они получают? На сколько я понимаю требования к сертификации только для госорганизаций и т.п. актуальны. На счет личного использования никаких законов/требований я не знаю. А с чего вы взяли что ключи на сертифицированных устройствах будете генерировать Вы а не Они?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
Сообщение от анонимиус on 23-Дек-10, 19:05
Объясните тупому, зачем хранить ключик в прошивке, ведь можно генерить при первом запуске/ресете?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от dalco (ok) on 23-Дек-10, 20:13
	В некоторых, особо извращенных, девайсах могут быть проблемы с дальнейшим сохранением ключа, например, если (почти) вся внутренняя FS девайса в read only.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	23. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от Аноним (??) on 24-Дек-10, 03:05
	во *всех* девайсах есть память доступная для записи для хранения настроек (ssid и пароль например). сохранить туда ключ - задача просто элементарная.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	24. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от dalco (ok) on 24-Дек-10, 07:58
	Угу, только памяти там этой сотня-другая байт, и каждый байт уже подо что-то зарезервирован. И воткнуть туда какой-нибудь 4096bit rsa ключ весьма затруднительно. P.S. Если ничего не путаю, то у меня как раз старенький роутер от асуса так работал. 8 метров флэша под прошивку и сколько-то там байт (подозреваю, что 256) под настройки (скорее всего, это объем флеша броадкомовской SoC). Доступа к основному флешу на запись у девайса нет (только при заливке прошивки). Потом openwrt туда залил - теперь вся конфа хранится в основной флеш-памяти в обычных файлах в /etc.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	26. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от Аноним (??) on 24-Дек-10, 09:19
	в броадкомоподобных роутерах на флеше есть раздел с настройками. и размер у него не сто-двести байт, а около 32k, и большая его часть не занята. к тому же, у моего девайса всего 2Мб, а всё есть.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	29. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от dalco (ok) on 24-Дек-10, 10:47
	Возможно, пример с асусовским роутером был не самый удачный, но в существовании девайсов с очень ограниченным объемом NVRAM, куда не влезут ключи, я не сомневаюсь. P.S. Это в современных устройствах на энергонезависимую память не жадничают, в более древних и дешевых все не так радужно (особенно, если прошивка в простом ПЗУ).
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	17. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от Аноним (??) on 23-Дек-10, 21:28
	> Объясните тупому, зачем хранить ключик в прошивке, ведь можно генерить при первом > запуске/ресете? Браузеры будут ругаться, что ключ не заверен центром сертификации.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	21. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от zazik (ok) on 23-Дек-10, 22:02
	>> Объясните тупому, зачем хранить ключик в прошивке, ведь можно генерить при первом >> запуске/ресете? > Браузеры будут ругаться, что ключ не заверен центром сертификации. Он и так ругается. Никому не надо купленный сертификат(а у него ещё срок действия может быть маленький!) с приватным ключом впиливать в легкодоступную прошивку.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

10. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
Сообщение от Nas_tradamus (ok) on 23-Дек-10, 19:08
DD-WRT v24-sp2 (10/10/09) std It Works!!!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
Сообщение от Alen (??) on 23-Дек-10, 21:25
я чего то во всем этом ни разу не увидел слова ZyXel. Они что дартаньяны? на фоне остальных...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	35. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
	Сообщение от Sergey722 on 28-Дек-10, 16:05
	Или неуловимые Джо?
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

36. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."	+/–
Сообщение от Александр (??) on 26-Июн-13, 21:33
всем доброго вечера, а вот у меня вопрос: А что по поводу дешифровки ssl-трафика с сайтов? Если трафик перехватят на стороне провайдера, они тогда тоже имеют все шансы его дешифровать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема