Na internetu milijoni nezaščitenih naprav
S povečevanjem števila naprav, ki se povezujejo v internet, narašča tudi število varnostnih tveganj in lukenj. Ena izmed šibkih točk so tudi certifikati, ki so načeloma namenjeni zagotavljanju varnosti, a ob nepravilni implementaciji povečujejo tveganja. V SEC Consult so analizirali več kot 4000 različnih vgradnih (embedded) naprav dobrih 70 proizvajalcev in ugotovili porazno stanje na področju certifikatov.
Šlo je za naprave, kot so internetni usmerjevalniki, modemi, spletne kamere, telefoni za VoIP ipd. Za kar devet odstotkov naprav so namreč znani odgovarjajoči zasebni ključi. To pomeni, da lahko vsakdo, ki pridobi ta ključ, vzpostavi povezavo z napravo in se predstavi kot legitimen uporabnik. Od 580 tako najdenih ključev jih je trenutno v aktivni uporabi 230, kar ogroža okrog 3,2 milijona naprav.
Nekateri ključi pripadajo celo strojni opremi različnih proizvajalcev, ki bržkone izvira od OEM-ov, ki svojo opremo prodajo več podjetjem. Tipičen primer je certifikat, ki je naslovljen na nekega Daniela in ga je prvotno pridobil Broadcom, sedaj pa ga najdemo na pol milijona različnih naprav. To ni edini tovrstni primer.
Proizvajalci so bili na problem opozorjeni že avgusta in počasi že začenjajo krpati luknje. Uporabnikom zato svetujemo, da redno posodabljajo firmware vseh naprav, ki se povezujejo v internet, saj bodo le tako vsaj približno zaščiteni.
