میلیون‌ها دستگاه اینترنت اشیاء از کلیدهای رمزنگاری مشترک استفاده می‌کنند

میلیون‌ها دستگاه توکار، از جمله مسیریاب‌های خانگی، مودم‌ها، دوربین‌های روی پروتکل اینترنت، تلفن‌های اینترنتی، از یک نوع کلید رمزنگاری SSH (پوسته‌ی امن) یا اعتبارنامه‌ی کارگزار HTTPS استفاده می‌کنند که آن‌ها را در معرض انواع مختلف حملات مخرب قرار می‌دهد.
یک تحلیل جدید توسط شرکت SEC Consult، مشاور امنیت فن‌آوری اطلاعات ارائه شده، نشان می‌دهد که کارخانه‌های تولید‌ کننده اینترنت اشیاء و مسیریاب‌های خانگی برای راحتی از کلید‌های رمزنگاری یکسان در این دستگاه‌ها استفاده می‌کنند، در نتیجه این دستگاه‌ها به راحتی قابل نفوذ می‌گردند.
به بیان ساده‌تر، اگر شما بتوانید از راه دور به یک دستگاه دسترسی پیدا کنید، ممکن است بتوانید به صدها هزار دستگاه دیگر هم که ساخت تولیدکننده‌های مختلف هم هستند، دسترسی پیدا کنید.

این شرکت در یک بررسی در مورد دستگاه‌های اینترنت اشیاء، ۴۰۰۰ دستگاه توکار را از ۷۰ تولیدکننده‌ی مختلف از مسیریاب‌های ساده‌ی خانگی گرفته تا کارگزارهای دروازه‌ی اینترنت، سخت‌افزار بررسی کرده‌ و پی برده است که بیش از ۵۸۰ کلید رمزنگاری خصوصی منحصربه‌فرد برای SSH و HTTPS برای چندین دستگاه از یک کارخانه و حتی چندین کارخانه، مجدداً استفاده شده است.
بیشترین استفاده‌ی مشترک از کلید‌های ایستا به صورت زیر است:
– کلید‌های میزبان SSH
– اعتبارنامه‌های X.۵۰۹ HTTPS
کلید‌های میزبان SSH هویت یک دستگاه را که یک کارگزار SSH با استفاده یک جفت کلید خصوصی-عمومی اجرا می‌کند را بررسی می‌کنند. اگر یک مهاجم کلید‌ خصوصی میزبان SSH دستگاه را سرقت کند، می‌تواند با جعل هویت دستگاه، رایانه‌ی قربانی را گمراه کرده تا به جای آن دستگاه با رایانه‌ی خودش ارتباط برقرار کند.
همین اتفاق وقتی برای وب‌گاه‌‌ها رخ می‌دهد که یک مهاجم به اعتبارنامه‌ی خصوصی HTTPS دستگاه دسترسی پیدا کند، که در واقع برای رمز کردن ترافیک بین کاربران و واسط مدیریت مبتنی بر وب آن به کار می‌رود.
مهاجم می‌تواند ترافیک را رمزگشایی کرده و نام ‌کاربری، کلمه‌ی عبور و سایر داده‌های حساس را با کمک کلید خصوصی HTTPS دستگاه رمزگشایی کند.
محققان بعد از جست‌وجوی آن ۵۸۰ کلید، متوجه شدند که حداقل ۲۳۰ کلید رمزنگاری به صورت فعال توسط بیش از ۴ میلیون دستگاه اینترنت اشیاء در حال استفاده است.
علاوه بر این، این محققان متوجه شدند که نزدیک به ۱۵۰ اعتبارنامه‌ی کارگزار HTTPS که توسط ۳٫۲ میلیون دستگاه استفاده می‌شود، همچنین ۸۰ کلید میزبان SSH وجود دارد که توسط حداقل ۹۰۰۰۰۰ دستگاه استفاده می‌شود.
باقی کلید‌های رمزنگاری ممکن است توسط دستگاه‌های مختلف دیگری استفاده شوند که متصل به اینترنت نیستند، اما همچنان می‌توانند نسبت به حملات مرد میانی در شبکه‌ی محلی خودشان، آسیب‌پذیر باشند.
در نتیجه به صورت بالقوه رخنه‌گرها می‌توانند به میلیون‌ها دستگاه متصل به اینترنت، وارد شوند، یا اتصالات کارگزار وب HTTPS آن‌ها می‌تواند به صورت پنهانی در حملات از نوع مرد میانی رمزگشایی رمزگشایی شود.
مشکل اصلی مربوط به روشی است که کارخانه‌های برای ساخت و گسترش محصولاتشان دارند. معمولاً شرکت‌ها سفت‌افزار دستگاهشان را بر اساس کیت‌های توسعه‌ی نرم‌افزاری که از کیفیت پایینی دارند می‌سازند، بدون این‌که حتی کد منبع یا حتی کلید‌ها یا اعتبارنامه‌‌های موجود در آن SDKها را تغییر دهند.
دلایل بسیاری وجود دارد که چرا این تعداد زیاد از دستگاه‌ها از طریق اینترنت قابل دسترسی هستند:
– تنظیمات پیش‌فرض غیر امن توسط کارخانه‌ها
– ارسال پورت خودکار توسط UPnP
– تأمین توسط ISPهایی که دستگاه‌های مشترکان خود را برای مدیریت از راه دور تنظیم می‌کنند.
به نوشته‌ی Sec Consult در وبلاگ خود: «منبع این کلیدها یک جنبه‌ی قابل توجه است. بعضی از کلید‌ها فقط در یک محصول یا چندین محصول در یک خط تولید یافت می‌شوند. در موارد دیگر متوجه کلیدهای یکسان در محصولاتی از شرکت‌های مختلف شدیم.»
با این‌که SEC Consult بیش از ۹۰۰ محصول آسیب‌پذیر از ۵۰ تولیدکننده را شناسایی کرده است، تعداد واقعی می‌تواند حتی بیش از این باشد.
با توجه به گزارش SEC Consult، شرکت‌هایی که از کلید‌های رمزنگاری مجدداً استفاده می‌کنند از قرار زیر هستند:
ADB، AMX، Actiontec، Adtran، Alcatel-Lucent، Alpha Networks، Aruba Networks، Aztech، Bewan، Busch-Jaeger، CTC Union، Cisco، Clear، Comtrend، D-Link، Deutsche Telekom، DrayTek، Edimax، General Electric (GE)، Green Packet، Huawei، Infomark، Innatech، Linksys، Motorola، Moxa، NETGEAR، NetComm Wireless، ONT، Observa Telecom، Opengear، Pace، Philips، Pirelli ، Robustel، Sagemcom، Seagate، Seowon Intech، Sierra Wireless، Smart RG، TP-LINK، TRENDnet، Technicolor، Tenda، Totolink، unify، UPVEL، Ubee Interactive، Ubiquiti Networks، Vodafone، Western Digital، ZTE، Zhone and ZyXEL

در ادامه فهرست ۱۰ کشوری که بیشترین تأثیر را از استفاده‌ی دوباره از کلیدهای رمزنگاری SSH و HTTPS دیده‌اند، آمده است:
– ایالات متحده
– مکزیک
– برزیل
– اسپانیا
– کلمبیا
– کانادا
– چین
– روسیه
– تایوان
– انگلستان
شرکت SEC Consult از اوایل آگوست ۲۰۱۵ با CERT/CC برای حل این مشکل همکاری می‌کنند و به تولیدکننده‌ها پیشنهاد می‌کند که برای هر دستگاه دارای قابلیت اینترنت اشیاء از کلیدهای رمزنگاری تصادفی به صورت امن استفاده کنند.
علاوه بر این، به ISPها توصیه شده است که از عدم امکان دسترسی از راه دور به دستگاه‌های مشتریان از طریق پورت WAN، اطمینان حاصل کنند. در صورتی که برای پشتیبانی نیاز به دسترسی از راه دور دارند، از یک VLAN خاص برای مدیریت با ACLهای سخت‌گیرانه استفاده کنند.

منبع: asis