9:59
18/2/2015

Na świecie jest 12.8M kluczy SSH, ale tylko 6.6M z nich jest unikatowa… Do ciekawych wniosków doszedł autor Shodana, który zliczył fingerprinty dla urządzeń udostępniających światu port 22 — wiele kluczy SSH się powtarza. Część z nich jest preinstalowana na urządzeniach operatorów (ktoś kto ma klucz prywatny, jest bardzo szczęśliwym człowiekiem, no chyba, że ten klucz jest na urządzeniu — wtedy każda z ofiar może nagle zostać bardzo szczęśliwym człowiekiem), reszta to pewnie wynik niewielkiej entropii na starcie systemu, który generuje klucze po raz pierwszy (co może prowadzić do ciekawych ataków).

Kilka najpopularniejszych kluczy:

d0:db:8a:cb:74:c8:37:e4:9e:71:fc:7a:eb:d6:40:81
/ ca:a5:1d:09:c3:6d:2c:ca:9f:ba:4f:f0:76:31:ef:a6: NTT/Verio

34:47:0f:e9:1a:c2:eb:56:eb:cc:58:59:3a:02:80:b6: 1&1 Internet

e7:86:c7:22:b3:08:af:c7:11:fb:a5:ff:9a:ae:38:e4
/ b6:b9:6c:8b:4c:11:72:81:b1:f7:83:27:91:d6:81:fc: Comcast Specific

7c:a8:25:21:13:a2:eb:00:a6:c1:76:ca:6b:48:6e:bf
/ da:00:31:e1:41:ec:89:5e:12:97:6d:86:a4:5c:ee:c6: Widespread consumer device

62:5e:b9:fd:3a:70:eb:37:99:e9:12:e3:d9:3f:4e:6c: GoDaddy

03:56:e6:52:ee:d2:da:f0:73:b5:df:3d:09:08:54:b7
/ 27:c5:1d:9f:be:27:3d:50:d7:bf:c1:68:0b:18:97:d7: Mostly German (+ other european)

7d:b8:b9:ea:95:86:f3:89:0d:ab:a5:83:ab:06:3b:08: SingNet Pte

1c:1e:29:43:d2:0c:c1:75:40:05:30:03:d4:02:d7:9b
/ d9:15:60:15:0d:76:1b:8b:05:73:34:99:d0:7b:8a:90: Broadband router in China

57:94:42:63:a1:91:0b:58:a6:33:cb:db:fe:b5:83:38
/ b8:23:d5:29:f7:2e:15:6b:8c:15:c9:92:62:07:5b:7c: CyberRoam Firewalls

W temacie — ciekawy wpis dot. rotacji kluczy w OpenSSH.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

7 komentarzy

Dodaj komentarz
  1. To mnie akurat nie dziwi. Taki DOCSIS od wersji bodaj 2.0 działa w oparciu o preinstalowany klucz publiczny, do którego operator ma klucz prywatny. Łatwo wyobrazić sobie, że inne urządzenia operatorów dla ułatwienia mają dokładnie to samo, tylko że po SSH.
    A jeśli chodzi o urządzenia sprzedawane w detalu, to ciekawi mnie jakie marki tutaj występują…

  2. Skoro połowa jest zduplikowana to ta druga połowa to duplikaty?

    • Heszek śmieszek. Tu chyba chodzi o to że połowa to duplikaty, tak więc 25% to pierwsza kopia i kolejne 25% to druga kopia.

  3. Klucze są poduplikowane bo ludzie klonują maszynki bezmylnie razem z kluczami :)

  4. Trolololo

  5. Dlaczego niebezpiecznik robi XSSa?

  6. “reszta to pewnie wynik niewielkiej entropii na starcie systemu, który generuje klucze po raz pierwszy (co może prowadzić do ciekawych ataków).”

    hahaha, niezly zart
    jako cwiczenie polecam wygenerowanie sobie 12mln par kluczy wraz z fingerprintem
    a nastepnie porownanie ich z lista opublikowana przez autora orginalnego postu
    cale cwiczenie powinno zajac jakies 6-7 dni na 4-5 stacjach roboczych.

    jesli chociaz jeden klucz sie powtorzy (z wygenerowanych) jak i jesli choc jeden z listy zduplikowanych bedzie na liscie wygenerowanych 12mln, oddam swoja pensje na cele charytatywne :)

    pozdrawiam
    J

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.