The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от opennews (??) on 23-Дек-10, 16:53 
Группа экспертов по безопасности встраиваемых устройств представила (http://www.devttys0.com/2010/12/breaking-ssl-on-embedded-dev.../) проект LittleBlackBox (https://code.google.com/p/littleblackbox/), в рамках которого собрана коллекция секретных SSL-ключей, поставляемых в комплекте с различными встраиваемыми устройствами. С практической точки зрения, подобрав в коллекции ключ для заданного устройства, можно организовать расшифровку генерируемого данным устройством SSL-трафика (например, SSL-ключи используются для шифрования работы в административном web-интерфейсе через HTTPS или для создания VPN).


В настоящее время в коллекции насчитывается более двух тысяч ключей для почти 500 встраиваемых устройств, среди которых беспроводные маршрутизаторы, сетевые шлюзы  и ADSL-модемы таких производителей, как Cisco/Linksys, D-Link, Asus, Compex, Ubiquiti, Nokia, Netgear, Motorola и т.п. Ключи выделены из общедоступных прошивок. В представленной БД закрытые ключи поставляются в комплекте с...

URL: http://www.devttys0.com/2010/12/breaking-ssl-on-embedded-dev.../
Новость: http://www.opennet.me/opennews/art.shtml?num=29102

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +20 +/
Сообщение от Аноним (??) on 23-Дек-10, 16:53 
Даже самый хитрый метод шифрования бессилен против пароля "123"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +1 +/
Сообщение от axe (??) on 23-Дек-10, 17:07 
и думаете это что-то поменяет? Нет и еще раз нет. Так ведь и сертификацию можно не пройти у безопасников и продавать устройство в стране не разрешат. Так что все это не случайно или недосмотр - это целенаправленная политика
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от twilight (ok) on 24-Дек-10, 07:58 
Какая сертификация у открытых прошивок - openwrt или tomato, например?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от zazik (ok) on 23-Дек-10, 17:25 
А самому этот ключ перегенерить можно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +7 +/
Сообщение от pavlinux (ok) on 23-Дек-10, 17:40 
Думается приборы умеющие OpenWRT спасут ситуацию.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  –6 +/
Сообщение от Вася (??) on 23-Дек-10, 19:09 
Ваше высказывание кратко можно охарактеризовать как "газификация лужи".
Пруф:
Если у человека хватит ума поставить альтернативную прошивку, то возможно он наверное (но не обязательно) сможет и ссл ключ поменять.
Но таких людей - 1 на 100.
А что делать обычным леммингам, которые даже на задумываются над тем что ССЛ ключ может быть уникальным не для отдельного устройства а для всей линейки в 100 тыж штук? А ведь полно контор которые проводят инет и сами подключают клиентам вайфай, они даже парится небудут над установкой опенврт. И в даном случае даже обычный WPA preshare key значительно надежней чем такого рода сертификат.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +5 +/
Сообщение от User294 (ok) on 23-Дек-10, 20:18 
> А что делать обычным леммингам, которые даже на задумываются

С таким подходом - разве что стену и место для разбега поискать.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от zazik (ok) on 23-Дек-10, 21:58 
Ну признайся же, что фигню сказал. На мой вопрос человек нормально ответил, тебе смысла не было влезать.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +1 +/
Сообщение от pavlinux (ok) on 23-Дек-10, 22:00 
> А что делать обычным леммингам, которые даже не задумываются над тем что ....

http://www.opennet.me/openforum/vsluhforumID3/73551.html#4

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

33. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от Асушник on 25-Дек-10, 02:06 
По российским законам, несанкционированное использование шифрования - нарушение закона. А использование при этом неподконтрольной прошивки - видимо вообще вопиющее действие )
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

6. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от pentarh email(ok) on 23-Дек-10, 17:43 
На андроиде с рутованной прошивкой можно. например )
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от SnoWLight on 23-Дек-10, 21:11 
> А самому этот ключ перегенерить можно?

В Zyxel'ях сертификат генерится на основе MAC адреса, кроме того сертификаты можно импортировать.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

28. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от ffirefox on 24-Дек-10, 09:52 
>В Zyxel'ях сертификат генерится на основе MAC адреса

А чем это надежней? MAC адрес то известен

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

31. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от Filosof email(ok) on 24-Дек-10, 15:07 
как минимум убивает возможность словарного перебора. Генерация (пусть даже "на основе") уже весьма серьёзный шаг.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

4. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +4 +/
Сообщение от pavlinux (ok) on 23-Дек-10, 17:39 
1. для доступа к прибору надо юзать отдельную сеть без юзеров.
2. для доступа к прибору надо юзать выделеный комп в этой сети.
3. для доступа к прибору из долёка надо юзать выделеный комп с SSH.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  –1 +/
Сообщение от zazik (ok) on 23-Дек-10, 22:00 
Не всегда в таких приборах есть SSH. Недавно настраивал TPLink - там только хттп и телнет.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

22. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от pavlinux (ok) on 23-Дек-10, 22:02 
> Не всегда в таких приборах есть SSH. Недавно настраивал TPLink - там
> только хттп и телнет.

ключевое слово "выделеный комп", на него залогинется, а там уж телнет или СОМ-порт.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

30. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от Nas_tradamus (ok) on 24-Дек-10, 14:48 
А разве использование коммутаторов не сводит на нет всю прелесть Promiscuous mode?

Вообще, где может найти применение эта фича? В Ethernet ведь уже не послушать трафик с других компов просто так...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

32. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от pavlinux (ok) on 24-Дек-10, 15:39 
> А разве использование коммутаторов не сводит на нет всю прелесть Promiscuous mode?
> Вообще, где может найти применение эта фича?

Где, где, .... в разрыв кабеля суёшь и дампишь, дома распарсиваешь.  
Залезь в любом доме на последний этаж, там столько проводов висит :)

> В Ethernet ведь уже не послушать трафик с других компов просто так...

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

7. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от ua9oas интересуется Миша Рыцаревъ email on 23-Дек-10, 18:16 
Интересно, а почему криптосмартфоны и другие устройства для шифрования телефонных переговоров обязательно сертифицировать в ФСБ? Там что, в процессе сертификации аналогичные ключи что ли они получают? Соответственно- а существует ли возможность перехвата и прослушивания скайп-траффика?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от ананим on 23-Дек-10, 18:48 
как-то так
http://www.bfm.ru/news/2010/08/12/indija-vydvinula-ultimatum...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от SnoWLight on 23-Дек-10, 21:17 
> обязательно сертифицировать в ФСБ? Там что, в процессе сертификации аналогичные ключи
> что ли они получают?

На сколько я понимаю требования к сертификации только для госорганизаций и т.п. актуальны. На счет личного использования никаких законов/требований я не знаю. А с чего вы взяли что ключи на сертифицированных устройствах будете генерировать Вы а не Они?


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от анонимиус on 23-Дек-10, 19:05 
Объясните тупому, зачем хранить ключик в прошивке, ведь можно генерить при первом запуске/ресете?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от dalco (ok) on 23-Дек-10, 20:13 
В некоторых, особо извращенных, девайсах могут быть проблемы с дальнейшим сохранением ключа, например, если (почти) вся внутренняя FS девайса в read only.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

23. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от Аноним (??) on 24-Дек-10, 03:05 
во *всех* девайсах есть память доступная для записи для хранения настроек (ssid и пароль например). сохранить туда ключ - задача просто элементарная.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от dalco (ok) on 24-Дек-10, 07:58 
Угу, только памяти там этой сотня-другая байт, и каждый байт уже подо что-то зарезервирован. И воткнуть туда какой-нибудь 4096bit rsa ключ весьма затруднительно.

P.S. Если ничего не путаю, то у меня как раз старенький роутер от асуса так работал. 8 метров флэша под прошивку и сколько-то там байт (подозреваю, что 256) под настройки (скорее всего, это объем флеша броадкомовской SoC). Доступа к основному флешу на запись у девайса нет (только при заливке прошивки).
Потом openwrt туда залил - теперь вся конфа хранится в основной флеш-памяти в обычных файлах в /etc.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от Аноним (??) on 24-Дек-10, 09:19 
в броадкомоподобных роутерах на флеше есть раздел с настройками. и размер у него не сто-двести байт, а около 32k, и большая его часть не занята.
к тому же, у моего девайса всего 2Мб, а всё есть.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

29. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от dalco (ok) on 24-Дек-10, 10:47 
Возможно, пример с асусовским роутером был не самый удачный, но в существовании девайсов с очень ограниченным объемом NVRAM, куда не влезут ключи, я не сомневаюсь.

P.S. Это в современных устройствах на энергонезависимую память не жадничают, в более древних и дешевых все не так радужно (особенно, если прошивка в простом ПЗУ).

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

17. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от Аноним (??) on 23-Дек-10, 21:28 
> Объясните тупому, зачем хранить ключик в прошивке, ведь можно генерить при первом
> запуске/ресете?

Браузеры будут ругаться, что ключ не заверен центром сертификации.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

21. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от zazik (ok) on 23-Дек-10, 22:02 
>> Объясните тупому, зачем хранить ключик в прошивке, ведь можно генерить при первом
>> запуске/ресете?
> Браузеры будут ругаться, что ключ не заверен центром сертификации.

Он и так ругается. Никому не надо купленный сертификат(а у него ещё срок действия может быть маленький!) с приватным ключом впиливать в легкодоступную прошивку.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

10. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от Nas_tradamus email(ok) on 23-Дек-10, 19:08 
DD-WRT v24-sp2 (10/10/09) std

It Works!!!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от Alen (??) on 23-Дек-10, 21:25 
я чего то во всем этом ни разу не увидел слова ZyXel.
Они что дартаньяны? на фоне остальных...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от Sergey722 on 28-Дек-10, 16:05 
Или неуловимые Джо?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

36. "Исследователи подчеркнули легкость расшифровки SSL-трафика о..."  +/
Сообщение от Александр email(??) on 26-Июн-13, 21:33 
всем доброго вечера, а вот у меня вопрос: А что по поводу дешифровки ssl-трафика с сайтов? Если трафик перехватят на стороне провайдера, они тогда тоже имеют все шансы его дешифровать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру