18/2/2015
Na świecie jest 12.8M kluczy SSH, ale tylko 6.6M z nich jest unikatowa… Do ciekawych wniosków doszedł autor Shodana, który zliczył fingerprinty dla urządzeń udostępniających światu port 22 — wiele kluczy SSH się powtarza. Część z nich jest preinstalowana na urządzeniach operatorów (ktoś kto ma klucz prywatny, jest bardzo szczęśliwym człowiekiem, no chyba, że ten klucz jest na urządzeniu — wtedy każda z ofiar może nagle zostać bardzo szczęśliwym człowiekiem), reszta to pewnie wynik niewielkiej entropii na starcie systemu, który generuje klucze po raz pierwszy (co może prowadzić do ciekawych ataków).
Kilka najpopularniejszych kluczy:
d0:db:8a:cb:74:c8:37:e4:9e:71:fc:7a:eb:d6:40:81
/ ca:a5:1d:09:c3:6d:2c:ca:9f:ba:4f:f0:76:31:ef:a6: NTT/Verio
34:47:0f:e9:1a:c2:eb:56:eb:cc:58:59:3a:02:80:b6: 1&1 Internet
e7:86:c7:22:b3:08:af:c7:11:fb:a5:ff:9a:ae:38:e4
/ b6:b9:6c:8b:4c:11:72:81:b1:f7:83:27:91:d6:81:fc: Comcast Specific
7c:a8:25:21:13:a2:eb:00:a6:c1:76:ca:6b:48:6e:bf
/ da:00:31:e1:41:ec:89:5e:12:97:6d:86:a4:5c:ee:c6: Widespread consumer device
62:5e:b9:fd:3a:70:eb:37:99:e9:12:e3:d9:3f:4e:6c: GoDaddy
03:56:e6:52:ee:d2:da:f0:73:b5:df:3d:09:08:54:b7
/ 27:c5:1d:9f:be:27:3d:50:d7:bf:c1:68:0b:18:97:d7: Mostly German (+ other european)
7d:b8:b9:ea:95:86:f3:89:0d:ab:a5:83:ab:06:3b:08: SingNet Pte
1c:1e:29:43:d2:0c:c1:75:40:05:30:03:d4:02:d7:9b
/ d9:15:60:15:0d:76:1b:8b:05:73:34:99:d0:7b:8a:90: Broadband router in China
57:94:42:63:a1:91:0b:58:a6:33:cb:db:fe:b5:83:38
/ b8:23:d5:29:f7:2e:15:6b:8c:15:c9:92:62:07:5b:7c: CyberRoam Firewalls
W temacie — ciekawy wpis dot. rotacji kluczy w OpenSSH.
To mnie akurat nie dziwi. Taki DOCSIS od wersji bodaj 2.0 działa w oparciu o preinstalowany klucz publiczny, do którego operator ma klucz prywatny. Łatwo wyobrazić sobie, że inne urządzenia operatorów dla ułatwienia mają dokładnie to samo, tylko że po SSH.
A jeśli chodzi o urządzenia sprzedawane w detalu, to ciekawi mnie jakie marki tutaj występują…
Skoro połowa jest zduplikowana to ta druga połowa to duplikaty?
Heszek śmieszek. Tu chyba chodzi o to że połowa to duplikaty, tak więc 25% to pierwsza kopia i kolejne 25% to druga kopia.
Klucze są poduplikowane bo ludzie klonują maszynki bezmylnie razem z kluczami :)
Trolololo
Dlaczego niebezpiecznik robi XSSa?
“reszta to pewnie wynik niewielkiej entropii na starcie systemu, który generuje klucze po raz pierwszy (co może prowadzić do ciekawych ataków).”
hahaha, niezly zart
jako cwiczenie polecam wygenerowanie sobie 12mln par kluczy wraz z fingerprintem
a nastepnie porownanie ich z lista opublikowana przez autora orginalnego postu
cale cwiczenie powinno zajac jakies 6-7 dni na 4-5 stacjach roboczych.
jesli chociaz jeden klucz sie powtorzy (z wygenerowanych) jak i jesli choc jeden z listy zduplikowanych bedzie na liscie wygenerowanych 12mln, oddam swoja pensje na cele charytatywne :)
pozdrawiam
J