Sinds de waarschuwingen van vorig jaar van SEC Consult dat 3,2 miljoen met het web verbonden apparaten identieke certificaten en sleutels gebruiken, is er weinig veranderd. Integendeel: inmiddels zijn het er bijna 5 miljoen! De Amerikaanse security-dienstverlener SEC Consult heeft dit onlangs bekendgemaakt.
Minstens 4,7 miljoen routers, modems en andere producten hergebruiken elkaars private keys en beveiligingscertificaten. Op Github heeft SEC een lijst van 331 HTTPS-servercertificaten met encryptiesleutels geplaatst. Met behulp van een scan zijn deze certificaten met sleutels gemakkelijk te ontdekken.
Man-in-the-middle-aanval
De Amerikaanse security-dienstverlener heeft een lijst gepubliceerd van producten die deze certificaten en sleutels inzetten. Door het voortdurend opnieuw gebruiken van publiekelijk bekende sleutels loopt men het risico slachtoffer te worden van man-in-the-middle-aanvallen. Daarbij wordt berichtenverkeer tussen twee communicerende partijen onderschept zonder dat zij dat merken.
Beveiligingsrisico’s
Veel producenten van embedded producten voorzien deze van hardcoded SSH-sleutels en certificaten van HTTPS-servers. Op deze manier is toegang tot de apparatuur via het web mogelijk. Bovendien vergemakkelijkt het de toepassing van andere protocollen zoals EAP/802 en FTPS. Het nadeel van deze aanpak is dat blijkbaar veel verschillende producten van dezelfde sleutels en certificaten gebruikmaken, met alle beveiligingsrisico’s van dien.