Разработчик поисковой системы Shodan с декабря экспериментирует со своим краулером SSH, улучшая индексацию информации, которую сайты предъявляют вместе с отпечатком ключа SSH. Уже тогда он обратил внимание, что одинаковые отпечатки встречаются повсеместно. Очевидно, по какой-то причине устройства генерируют одинаковые ключи SSH.

Например, один отпечаток был найден более чем в 250 000 устройствах! Вот он.

dc:14:de:8e:d7:c1:15:43:23:82:25:81:d2:59:e8:c0

И многие другие отпечатки тоже многократно дублируются, что каждый может проверить самостоятельно, запустив следующий код на Python.

import shodan

api = shodan.Shodan(YOUR_API_KEY)

# Get the top 1,000 duplicated SSH fingerprints
results = api.count('port:22', facets=[('ssh.fingerprint', 1000)])

for facet in results['facets']['ssh.fingerprint']:
    print '%s --> %s' % (facet['value'], facet['count'])

Если пробить вышеупомянутый отпечаток через базу Shodan, то картина проясняется.

003

Похоже, мы имеем дело с инстансами Dropbear SSH, которые применяет оператор Telefonica de Espana. Похоже, какое-то их сетевое оборудование поставляется в конфигурации с дефолтным ключом SSH, и они решили использовать его повсеместно.

Следующий дубликат в списке встречается примерно 200 000 раз, третий результат — 150 000. Анализ показывает, что тенденция характерна для интернет-провайдеров и хостинг-провайдеров.

Список 1000 самых популярных отпечатков SSH опубликован здесь: https://gist.github.com/achillean/07f7f1e6b0e6e113a33c.



10 комментариев

  1. 18.02.2015 at 18:48

    Прошу прощения за мою не осведомленность.
    Но что дает нам информация о этом ключе? мы ведь обратно не можем получить пароль по нему.

    Следовательно это лишь показатель «крутости» У какого админа будет таких ключей в инэте. Кто больше всего имеет кол доступов.

    • 18.02.2015 at 19:07

      Не дает ничего. Это, скорее всего, показатель тупости, а не крутости. Отпечаток нужен для аутентификации сервера.

    • 18.02.2015 at 23:22

      Получив доступ к одному серверу с таким ключом имеешь доступ ко всем остальным серверам по SSH.

  2. 19.02.2015 at 09:14

    Shodan…..Shodan…… ХМ только мне стало не по себе?

  3. 19.02.2015 at 19:46

    Зачем использовать сленг в новостях? И так-то контент не очень, ошибок куча, так ещё теперь это «пробить». Пробивают отверстие в стене или пенальти, но уж точно не набор байтов.

Оставить мнение