
En febrero de este año 2015, se descubrió que un gran número de routers de Movistar contenían exactamente la misma clave SSH, este hecho permite a cualquier usuario conectarse al router a través del SSH y administrar el router si se llegara a conocer los credenciales de usuario. Ahora, el mismo autor de aquel descubrimiento, ha empezado una recopilación de las claves estáticas SSH de diferentes fabricantes de hardware y también de software.
El nuevo proyecto SSH-badkeys se encarga de recopilar dos tipos de claves:
- Claves de autorización (authorized keys): estas claves podrían ser utilizadas para conectarnos a un dispositivo remoto con un servidor SSH habilitado y configurado con este tipo de clave pública.
- Claves de host: estas claves podrían ser utilizadas para realizar ataques Man In The Middle contra un dispositivo, pero no proporcionarían un acceso directo al dispositivo.
Este proyecto es público, de hecho se necesita la colaboración desinteresada de investigadores de seguridad para que suban las claves estáticas que encuentren (ya sea de autenticación o de host). Una vez que envíen su descubrimiento, se revisará y se incorporará en el proyecto en el lugar donde corresponda. En este proyecto también tenemos disponible un listado con claves que sería interesante incluir en un futuro próximo.
Os recomendamos acceder al proyecto SSH-badkeys en GitHub donde encontraréis todos los detalles de este nuevo proyecto y también las primeras claves de autenticación y de host. Recientemente se ha añadido la clave privada RSA de host del sistema operativo Kali Linux para Raspberry Pi 2, asimismo también se ha incorporado la propia clave pública predeterminada del servidor SSH que se encuentra habilitado por defecto.
Os recomendamos visitar nuestra sección de seguridad informática donde encontraréis manuales de configuración para asegurar correctamente nuestros servidores SSH, incluso podremos configurar la autenticación con Latch para no permitir accesos aunque nuestra contraseña de acceso se haya visto comprometida. Asimismo podéis acceder a nuestra sección de redes donde encontraréis información sobre cómo sacar el máximo partido a tu red local doméstica con tutoriales paso a paso.