Разработчик поисковой системы Shodan с декабря экспериментирует со своим краулером SSH, улучшая индексацию информации, которую сайты предъявляют вместе с отпечатком ключа SSH. Уже тогда он обратил внимание, что одинаковые отпечатки встречаются повсеместно. Очевидно, по какой-то причине устройства генерируют одинаковые ключи SSH.
Например, один отпечаток был найден более чем в 250 000 устройствах! Вот он.
dc:14:de:8e:d7:c1:15:43:23:82:25:81:d2:59:e8:c0И многие другие отпечатки тоже многократно дублируются, что каждый может проверить самостоятельно, запустив следующий код на Python.
import shodan
api = shodan.Shodan(YOUR_API_KEY)
# Get the top 1,000 duplicated SSH fingerprints
results = api.count('port:22', facets=[('ssh.fingerprint', 1000)])
for facet in results['facets']['ssh.fingerprint']:
print '%s --> %s' % (facet['value'], facet['count'])Если пробить вышеупомянутый отпечаток через базу Shodan, то картина проясняется.
Похоже, мы имеем дело с инстансами Dropbear SSH, которые применяет оператор Telefonica de Espana. Похоже, какое-то их сетевое оборудование поставляется в конфигурации с дефолтным ключом SSH, и они решили использовать его повсеместно.
Следующий дубликат в списке встречается примерно 200 000 раз, третий результат — 150 000. Анализ показывает, что тенденция характерна для интернет-провайдеров и хостинг-провайдеров.
Список 1000 самых популярных отпечатков SSH опубликован здесь: https://gist.github.com/achillean/07f7f1e6b0e6e113a33c.
18.02.2015 at 18:48
Прошу прощения за мою не осведомленность.
Но что дает нам информация о этом ключе? мы ведь обратно не можем получить пароль по нему.
Следовательно это лишь показатель «крутости» У какого админа будет таких ключей в инэте. Кто больше всего имеет кол доступов.
18.02.2015 at 19:07
Не дает ничего. Это, скорее всего, показатель тупости, а не крутости. Отпечаток нужен для аутентификации сервера.
18.02.2015 at 23:22
Получив доступ к одному серверу с таким ключом имеешь доступ ко всем остальным серверам по SSH.
19.02.2015 at 10:14
Понял. Для упрощения взлома. достаточно найти дырку в 1ном серваке получить ключ. А дальше иметь доступ ко всем.
19.02.2015 at 19:45
Получишь доступ к ресурсам, к которым имеет доступ хотя бы один из этих серваков с использованием своего ключа.
19.02.2015 at 10:24
Нет, не получишь
19.02.2015 at 16:45
Можно будет прикинуться сервером и сделать атаку mitm
19.02.2015 at 09:14
Shodan…..Shodan…… ХМ только мне стало не по себе?
19.02.2015 at 19:45
Да, только тебе.
19.02.2015 at 19:46
Зачем использовать сленг в новостях? И так-то контент не очень, ошибок куча, так ещё теперь это «пробить». Пробивают отверстие в стене или пенальти, но уж точно не набор байтов.