Um ihre gesicherten SSL-Verbindungen zu verschlüsseln, nutzen alle Systeme auf Basis des proprietären Rugged OS einen hart-kodierten, geheimen RSA-Schlüssel, berichtet der Sicherheitsforscher Justin W. Clarke. Er hatte erst im April undokumentierte Hintertüren in den Geräten der Siemens-Tochter RuggedCom aufgedeckt, die vor allem in Kraftwerken, beim Militär und in der Verkehrsüberwachung zum Einsatz kommen.

Der SSL-gesicherte Netzwerkverkehr ließe sich mit dem geheimen Schlüssel belauschen. Dazu hat das auf Industrie-Steuersysteme spezialisierte ICS-CERT jetzt einen "Alert" veröffentlicht, der Betreiber kritischer Infrastruktur auf die mögliche Gefahr aufmerksam machen soll. Derzeit koordiniere man parallel dazu die Kommunikation zwischen dem Hersteller und dem Sicherheitsforscher. Diesmal hatte der wohl keine Lust das Procedere seines letzten Anlaufs zu wiederholen. Er hatte damals der kanadischen Firma die Sicherheitslücken vertraulich gemeldet, die sie jedoch dann über ein Jahr nicht behoben hat.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE