09.07.2013 | 21:50

Adam Haertle

Przerywamy nasz program, by poinformowac o wycieku klucza SSH

Dzięki powszechności telewizji i radia w dzisiejszych czasach łatwo jest powiadomić obywateli kraju czy regionu o zbliżającym się zagrożeniu np. huraganem. Gorzej, jeżeli system powiadamiający zagrożony jest atakiem włamywaczy – i to z winy producenta.

W Stanach Zjednoczonych od wielu lat funkcjonuje narodowy system ostrzegania ludności o zagrożeniach. Z założenia ma on umożliwić prezydentowi USA przesłanie orędzia w ciągu 10 minut do każdego Amerykanina (zapewne na wypadek wojny jądrowej), a w praktyce używany jest przez władze stanowe i instytucje meteorologiczne w przypadkach zagrożenia huraganem lub nagłą powodzią. Na ekranach telewizorów sieci kablowych i satelitarnych może zostać automatycznie wyświetlony komunikat, określający charakter, obszar i czas wystąpienia zagrożenia.

W USA funkcjonuje również system powiadamiania alarmowego w oparciu o wiadomości SMS, dostarczane automatycznie przez operatorów sieci. Charakteryzują się one innym dźwiękiem powiadomienia niż zwykłe wiadomości i były wykorzystane między innymi do powiadomienia mieszkańców okolic Bostonu o konieczności pozostania w domach w trakcie polowania na autorów niedawnego zamachu bombowego. Nie zanosi się jednak na to, by wiadomości SMS szybko zastąpiły przekaz telewizyjny i radiowy – ze względu na swoją długość zawierają one jedynie prośbę o włączenie radia lub telewizora i zapoznanie się tam z całością komunikatu.

Kilka dni temu okazało się, że grono uprawnionych do wysłania komunikatu o zagrożeniu  zostało przypadkowo powiększone o każdego spostrzegawczego hakera, który natrafił na aktualizację oprogramowania serwera odpowiedzialnego za dystrybucje ogłoszenia.

Mike Davis, badacz z firmy IOActive przyjrzał się bliżej systemom DASDEC I oraz DASDEC II, używanym do dystrybucji ostrzeżeń. Systemy te otrzymują specjalnie zakodowane wiadomości, które następnie są nakładane na transmisje audio i wideo. Mike z zaskoczeniem odkrył w publicznie dostępnym pliku aktualizacji oprogramowania nie tylko klucz publiczny SSH, umożliwiający zdalny dostęp do konta root producentowi urządzenia (użytkownik nie posiada takiego dostępu), ale także, ku swojemu zaskoczeniu, klucz prywatny! Urządzenia z reguły instalowane są z dostępem do sieci, zatem opublikowanie klucza prywatnego ich konta root oznaczało wysokie prawdopodobieństwo, że prędzej czy później ktoś zorientuje się w sytuacji i  przejmie kontrolę nad systemem powiadomień.

Oprócz publikacji klucza SSH okazało się, ze urządzenia domyślnie dają każdemu dostęp do części logów systemowych (widocznych na serwerze WWW) oraz nie wymuszają zmiany domyślnych haseł administratorów. Ten drugi problem leżał u źródła niedawnych wybryków włamywaczy, którzy ogłosili w niektórych miastach USA inwazję zombie.

Mike powiadomił producenta o wpadce, ten szybko wydał odpowiednią poprawkę, zatem wirtualna apokalipsa raczej nam nie grozi, jednak wydarzenie to pokazuje, jak łatwo o wpadkę nawet przy dobrych intencjach. W przeciwieństwie do niektórych producentów sprzętu, umieszczających na stałe w oprogramowaniu swoich urządzeń ukryte konta systemowe wraz z ich hasłami, producent tych urządzeń przynajmniej próbował skonfigurować dostęp serwisowy zgodnie z zasadami sztuki, korzystając z kluczy SSH. Dzięki temu jego błąd jest łatwiejszy do wyeliminowania, jednak nadal wyciek prywatnego klucza SSH jest kompromitacją na dużą skalę.

Powrót

Komentarze

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Przerywamy nasz program, by poinformowac o wycieku klucza SSH

Komentarze