The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

D-Link по ошибке опубликовал ключи для формирования цифровых подписей

18.09.2015 11:28

Компания D-Link случайно разместила в открытом доступе закрытые ключи, используемые для формирования цифровых подписей к своим прошивкам и драйверам. Ключи были обнаружены в одном из пакетов с открытыми компонентами прошивок. Также удалось обнаружить скрипты, содержащие команды и пароли для генерации цифровой подписи.

Ключи были найдены при попытке изучения пакета с GPL-компонентами для web-камеры D-Link DCS-5020L. По счастливому стечению обстоятельств время жизни ключей истекло в начале сентября, т.е. они больше не могут быть использованы для формирования новых цифровых подписей. При этом не исключено, что злоумышленники могли узнать об утечке раньше и использовать ключи для организации распространения фиктивных прошивок. D-Link отреагировал на проблему и разместил новый вариант пакета с GPL-компонентами, из которого удалены файлы, связанные с формированием цифровых подписей.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/42986-dlink
Ключевые слова: dlink
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (68) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:37, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    D-Link... да, они такие... они мОгуть...
     
     
  • 2.34, Аноним (-), 18:02, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    (В этом месте за кадром играет "папа может" с китайским акцентом).
     
  • 2.39, ryoken (?), 19:59, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > D-Link... да, они такие... они мОгуть...

    Перефразируя Гохо-форумы: "ДЛинк нупы и апазорились"

     
     
  • 3.59, Аноним (-), 15:21, 19/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Перефразируя Гохо-форумы: "ДЛинк нупы и апазорились"

    Вы это только сейчас заметили? А их прошивки красноречиво говорили откуда у них растут руки и 10 лет назад...

     

  • 1.2, Аноним (-), 11:38, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    т.е. я хотел сказать - они и не такое мОгуть сбацать
     
  • 1.3, Аноним (-), 11:38, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    ничо страшного, просто больше нельзя обновлять длинковые прошивки на длинковые.
     
     
  • 2.6, Аноним (-), 12:11, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Как будто раньше можно было.
     
     
  • 3.11, Аноним (-), 12:42, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    было даже нужно, искаробочные прошивки иной раз глючили непомерно, а теперь проще длинк вовсе не покупать
     
     
  • 4.27, Аноним (-), 15:06, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Нужно было сразу ставить [Open|DD]WRT, а не менять одни глюки на другие.
     
     
  • 5.28, Аноним (-), 15:36, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да-да, дайте мне wrt на des-1210/me, может как раз пофиксят бендвич-лимитеры.
     
  • 5.31, Аноним (-), 16:41, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    ну поставь опенврт на свитч
     
     
  • 6.35, Аноним (-), 18:04, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > ну поставь опенврт на свитч

    В большинстве дешевых роутеров - порты сделаны через чип свича. Чаще всего к тому же управляемый, с vlan и прочая. Из мордочки опенврт можно всем этим рулить. Вот прям загнать порты в групып vlan и все такое прочее...

     
     
  • 7.41, Аноним (-), 21:17, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> ну поставь опенврт на свитч
    > В большинстве дешевых роутеров - порты сделаны через чип свича. Чаще всего
    > к тому же управляемый, с vlan и прочая. Из мордочки опенврт
    > можно всем этим рулить. Вот прям загнать порты в групып vlan
    > и все такое прочее...

    эх, если бы: http://wiki.openwrt.org/toh/d-link/dgs-1210

     
     
  • 8.58, Аноним (-), 15:19, 19/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    У микротиков вроде был какой-то девайс, в котором гигабитных портов поменьше, ко... текст свёрнут, показать
     

  • 1.4, Аноним (-), 11:41, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Случайное не случайно ;-) Прикинулись дурачками, понимаешь :-)
     
     
  • 2.50, Аноним (-), 06:50, 19/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не.
    Не надо искать тайный умысел там, где можно объяснить элементарной глупостью.
     

  • 1.5, iZEN (ok), 11:42, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    "Миром правит не тайная ложа, а явная лажа." Виктор Пелевин
     
     
  • 2.7, Аноним (-), 12:17, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > "Миром правит не тайная ложа, а явная лажа." Виктор Пелевин

    Полная.

     
     
  • 3.9, Andrey Mitrofanov (?), 12:34, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >>явная лажа." Виктор Пелевин
    > Полная.

    Вот про толстяков не надо, а то ж мы с язефиром обидимся!

     
  • 3.42, Аноним (-), 21:53, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ты имел ввиду полная жопа?
     
  • 2.40, lv7e (?), 20:35, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    s/пелевин/масяня/
    так вернее IMHO
     

  • 1.12, burjui (ok), 12:57, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    D-Link уже не первый раз попадает в заголовки новостей по безопасности. Это, а также мой опыта эксплуатации их продукции (ADSL-модемы и WiFi-роутеры) говорят о том, что бардак в этой конторе - нормальное состояние дел. Я уже давно зарубил себе на носу, что лучше с ними не связываться.
     
     
  • 2.13, A.Stahl (ok), 13:13, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Недавно вот с Циской какая-то беда с заменой прошивок случилась.
    Про 3-Ком тоже что-то было.
    Кто ещё из больших остаётся? Алкатель? Они, вроде, вообще в ящик сыграли...
    Раз в год и полотенце стреляет.
     
     
  • 3.14, Аноним (-), 13:21, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >Раз в год и полотенце стреляет

    Трибуналу расскажешь.

     
  • 3.16, burjui (ok), 13:44, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Проблема в том, что не раз в год, а постоянно. То у них бекдор в прошивке, то просто говнокод без проверок, то бажные скрипты, которые даже не используются роутером. И у меня ни разу не было беспроблемного девайса производства D-Link: штук 5 перепробовал - одни виснут, другие теряют сеть, у третьих интерфейс сделан для инопланетян и нужно чуть ли не вручную маршруты указывать (это в домашнем-то роутере), а в каких-то это ещё и сочетается. А недавно настраивал WiFi родственнику, так его D-Link просто забывал настройки после перезагрузки, и приходилось после каждого отключения питания заново всё настраивать.

    Даже недорогие современные винтовки сами не стреляют, потому что сделаны с умом. А если у разработчиков руки из жопы растут, тогда и полотенце начнёт стрелять, и пирожки - взрываться, и по городу будут бегать клоуны, избивающие прохожих насмерть надувными дилдо.

     
  • 3.17, Аноним (-), 14:02, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Juniper?
     
     
  • 4.20, pavlinux (ok), 14:16, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Домашний роутер за 25000$ ?
     
     
  • 5.21, тигар (ok), 14:27, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Домашний роутер за 25000$ ?

    нищеброд?:-)

     
     
  • 6.22, pavlinux (ok), 14:43, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Домашний роутер за 25000$ ?
    > нищеброд?:-)

    За цены на их продукцию, можно нанять дивизию джамшутов,
    они в ручную быстрее поймают все вайфаи и замаршрутизируют трафик.

     
     
  • 7.25, Andrey Mitrofanov (?), 14:47, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Домашний роутер за 25000$ ?
    >> нищeброд?:-)
    > За цены на их продукцию, можно нанять дивизию джамшутов, они в ручную
    > быстрее замаршрутизируют трафик.

    Сpочно в эуросоюз -- там у них переизбыток ресурса, говорят. Ещё больше сэкономишь.

     
     
  • 8.26, pavlinux (ok), 14:54, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну пока они там работают только в DMZ, магистральная маршрутизация не налажена, ... текст свёрнут, показать
     
  • 7.30, тигар (ok), 16:12, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Домашний роутер за 25000$ ?
    >> нищеброд?:-)
    > За цены на их продукцию, можно нанять дивизию джамшутов,
    > они в ручную быстрее поймают все вайфаи и замаршрутизируют трафик.

    их нужно кормить, поить и размещать;(

     
     
  • 8.36, Аноним (-), 18:06, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А маршрутизаторы что, не надо Уж кормить электричеством и размещать - точно над... текст свёрнут, показать
     
  • 6.24, Michael Shigorin (ok), 14:45, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Домашний роутер за 25000$ ?
    > нищеброд?:-)

    О, а Вы себе какой взяли по шумовым характеристикам?

     
     
  • 7.29, тигар (ok), 16:11, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >>> Домашний роутер за 25000$ ?
    >> нищеброд?:-)
    > О, а Вы себе какой взяли по шумовым характеристикам?

    странный у Вас, Михаил, критерий выбора;-) ну и, опять же, "домой" может быть и котеджем, к примеру ;-)
    а шумят они не оч и сильно, тут я уже серьезно.

     
     
  • 8.32, Аноним (-), 16:58, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Сомневаюсь, что хозяин коттеджа у тебя закажет не сохо-железяку для таких целей ... текст свёрнут, показать
     
  • 8.37, Аноним (-), 18:11, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну конечно, поставить жунипер без вайфая чтобы роутить на пару планшетов, смар... текст свёрнут, показать
     
  • 8.45, Аноним (-), 22:13, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я подозреваю, речь о параметрах радиомодуля сигнал шум ... текст свёрнут, показать
     
     
  • 9.53, Аноним (-), 12:40, 19/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Я подозреваю что он про шум обычного вентилятора Если в серверной обычно никого... текст свёрнут, показать
     
     
  • 10.54, Michael Shigorin (ok), 14:18, 19/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Нет Угу Возвращаясь к 17 2 тигар re 29 спасибо, тоже серьёзно ... текст свёрнут, показать
     

  • 1.15, manster (ok), 13:44, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    известный прием - как-бы случайно ...
     
  • 1.18, MPEG LA (ok), 14:08, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот вам и польза от GPL
     
     
  • 2.19, Andrey Mitrofanov (?), 14:12, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот вам и польза от GPL

    Не нам, а Вам.

     

  • 1.23, vitalif (ok), 14:43, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Так это ж хорошо, если ключи для тивоизации использовались
     
  • 1.33, Аноним (-), 17:23, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кто-то загружает прошивки не с официальных сайтов?
     
     
  • 2.38, Аноним (-), 18:13, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кто-то загружает прошивки не с официальных сайтов?

    Так бэкдоры как раз в официальной прошивке первым делом и впиханы, если кто за новостями не следит.

     

  • 1.43, Аноним (-), 22:04, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зато теперь у них хорошее алиби: "Это не мы бэкдор сделали, а злые хакиры!"
     
  • 1.44, Mihail Zenkov (ok), 22:07, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше бы они исходники бродкомовского wi-fi драйвера "случайно" выложили ;)
     
     
  • 2.46, asavah (ok), 22:56, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    дык у дырлинка исходников нет,
    их индусам как и всем бредком даёт блоб и обвязку
     
     
  • 3.47, Mihail Zenkov (ok), 23:21, 18/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В той части исходников что они выкладывают, есть файл wl.o.cmd. Он ссылается на файлы находящиеся в директорию  broadcom/wl. Самой этой директории в поставке нет, только уже собранный wl.o.

    Вот примеры имен на которые он ссылается:
    wlc_alloc.o
    wlc_ampdu.o
    wlc_ap.o
    wlc_led.o
    wlc_rate_sel.o
    wlc_phy_ssn.o

    Таких файлов там несколько десятков. Обычно бродком раздает только wl.o и обвязку для сборки под конкретное ядро. Здесь же все раздельно, с разбиением на поддиректории, что наводит на мысль, что исходники где-то рядом.

     
     
  • 4.56, Аноним (-), 14:46, 19/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > на поддиректории, что наводит на мысль, что исходники где-то рядом.

    Броадком как-то раз помнится выложил сорец, но бурного энтузиазма оно не вызвало. А вендоровские SDK и тех кто их сватает рекомендую послать в ад. Это куча кривых самопальных грабель. И после того как посмтришь как ath9k работает в майнлайновом линухе, поддерживая все мыслимые режимы и нормально рулясь через линевый mac80211 - становится понятно что непотребный проприетарный трэш должен просто умереть. Вы из него никогда не получится такой же уровень беспроблемности, стабильности, качества и просто комфорта. Примите это ка факт.

     
     
  • 5.62, Mihail Zenkov (ok), 16:30, 19/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Броадком как-то раз помнится выложил сорец

    Ссылку в студию или там только древние чипы?

    Меня лично на данный момент интересует bcm5357 и bcm43142. Если на старых ядрах wl драйвер хоть как-то работает, то на новых доходит до подвешенной системы. Наличие исходников под _любой_ лицензией резко бы повысило шансы на появление нормальных открытых драйверов пригодных на включение в ядро, не говоря уже об банальном баг фиксе того что бродком наваял.

     
  • 2.55, Аноним (-), 14:43, 19/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Броадком сто лет как сам их выложил, насколько я помню Только особой популярнос... большой текст свёрнут, показать
     
     
  • 3.57, Michael Shigorin (ok), 15:12, 19/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Лучше бы они исходники бродкомовского wi-fi драйвера "случайно" выложили ;)
    > Броадком сто лет как сам их выложил, насколько я помню.

    Есть минимум две очень не похожие друг на дружку ветки, вторая бродит по вендорским андроидным деревьям, на публике не видел.

    PS: там ещё bcmdhd.ko получается.

     
     
  • 4.60, Аноним (-), 15:31, 19/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    У ведроидов вообще бывают странные драйвера. Потому что там странне чипы. На не менее странных интерфейсах типа SDIO какого-нибудь или там SPI. "Писючные" и даже "роутерные" драйвера вообще не сталкиваются с вещами типа SDIO. Хотя у броадкома я вроде даже SDIO как раз видел. Но в родословную всего этого я не сильно вникал, просто видел в menuconfig что оно есть. А так - как максимум из такого меня WL1251 интересовал. Это писал Kalle Valo из нокии, поэтому оно работает хорошо (Kalle Valo вроде как нынче один из основных майнтайнеров беспроводной подсистемы, от него в майнлайн pull request по беспроводке приезжают).
     
     
  • 5.61, Michael Shigorin (ok), 15:35, 19/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > У ведроидов вообще бывают странные драйвера. Потому что там странне чипы.
    > На не менее странных интерфейсах типа SDIO какого-нибудь или там SPI.

    При чём тут андроид?  На какой-нить CONFIG_BRCMFMAC_SDIO вполне можно напороться на нынешнем интеле.  Причём, похоже, обвязку на designware там уже потащили и в десктопы.

     

  • 1.48, Bocha (??), 23:42, 18/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    "Девушка по вызову", "Миллионер поневоле", "D-Link по ошибке".
     
  • 1.49, Тот_Самый_Анонимус (?), 06:27, 19/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, под какой лицензией выложили?
     
  • 1.51, Аноним (-), 09:20, 19/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самое паршивое, что, если это утекло раньше, то подписанный сертификатом CodeSigning файл остается валидно-подписанным по истечении сертификата.
     
     
  • 2.52, Michael Shigorin (ok), 12:21, 19/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Самое паршивое, что, если это утекло раньше, то подписанный сертификатом CodeSigning

    (не заглядывая) А им-то оно зачем?!

     
     
  • 3.68, Аноним (-), 18:24, 22/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Самое паршивое, что, если это утекло раньше, то подписанный сертификатом CodeSigning
    > (не заглядывая) А им-то оно зачем?!

    Дрова подписывать и прикладухи. Получить сертификат WHQL и Windows * - compatible нельзя иначе. Да и на дровишки неподписанные ругается так, что не поставить без бубна специальной формы.
    А - скорее всего - для экономии - сертификат был один на все.

     

  • 1.63, s79 (?), 03:25, 20/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>По счастливому стечению обстоятельств время жизни ключей истекло в начале
    >>сентября, т.е. они больше не могут быть использованы для формирования новых >>цифровых подписей.

    Я таки не понял, что помешает злоумышленнику выставить 30 августа и подписать то что ему нужно?

     
     
  • 2.65, классический анонимус (?), 08:16, 21/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Подписывают вообще-то в CA навроде thawte, symantec. Это надо у них время перевести и у всех их клиентов 8)
     
     
  • 3.66, s79 (?), 02:56, 22/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Подписывают вообще-то в CA навроде thawte, symantec. Это надо у них время
    > перевести и у всех их клиентов 8)

    насколько я знаю: СА удостоверяют твою подпись. То есть они подписывают твой ключ, которым ты подписываешь что либо. Соответственно т.к. ключ подписан, им уже до сентября можно подписать что угодно, единственно они могли отозвать сертификат данного ключа. И мне интересно, как осуществляется проверка валидности подписи при использовании ее в прошивке.

     
     
  • 4.69, Аноним (-), 18:35, 22/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Для ограничения действия подписи есть Срок действия сертификата TimeStamp-с... большой текст свёрнут, показать
     
     
  • 5.70, Аноним (-), 18:39, 22/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Подписывают вообще-то в CA навроде thawte, symantec. Это надо у них время
    >>> перевести и у всех их клиентов 8)
    >> И мне интересно, как осуществляется проверка валидности подписи
    >> при использовании ее в прошивке.
    > Если хоть что-то не пройдет, то подпись считается невалидной.

    Само собой процесс описан для идеального коня в ваакуме. Часто эти зависимости игнорируюстся, например, выставляется необязательность иметь свежий список отзыва или на "дельта-список" вообще забивают и выкручивают у обычного списка отзыва дату до предела


     
  • 2.67, Аноним (-), 18:20, 22/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Для подписи типа CodeSign, чтобы подпись оставалась валидной _после_ истчения срока действия сертификата, нужно использовать внешний "третий" доверенный источник, т.н. timestamp-сервер.
    Если подпись произведена без TS-сервера, то подпись протухает вмесе с сертификатом, если TS был, то подпись остается валидной, даже если истек сертификат
    Тут подробнее https://msdn.microsoft.com/ru-ru/library/windows/desktop/bb931395(v=vs.85).asp
     

  • 1.64, arisu (ok), 05:42, 20/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > По счастливому стечению обстоятельств время жизни ключей истекло в начале сентября

    а то стал бы кто иначе рассказывать, такую годноту палить.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру