IP-Cams: Unsafe by Design („Die inneren Werte“)

Zertifikate oder: Totalversagen auf ganzer Linie

Es gibt für den HTTP-Server auf Port 443 auch ein vorinstalliertes SSL-Zertifikat. Vorweg sei gesagt: Das Zertifikat ist eher für den DynDNS-Dienst des Herstellers gedacht als für sicheren Zugriff im Heimnetz. Weil:

  1. Der commonName ist auf den Hersteller-DynDNS-Dienst gesetzt
  2. Ausgestellt von der Certificate Authority WoSign, welche u. a. aus Firefox entfernt wurde
  3. Abgelaufen (seit 07.12.2016)
  4. Unterschrieben mit SHA1

Fassen wir also zusammen: Das Zertifikat ist gar nicht mehr gültig, wurde vorher wegen unsicherem Algorithmus (SHA-1) angemängelt und wurde von einer CA ausgestellt, die das Vertrauen entzogen bekommen hat. Das das Zertifikat auch von Heartbleed betroffen ist, macht die Liste nur noch länger.

Ergo ist das Zertifikat schon seit einiger Zeit nutzlos. Wenn man gar nicht erst den DynDNS-Dienst des Herstellers verwendet hat, hatte das Zertifikat nie eine wirkliche Funktion. Das Zertifikat lässt sich nicht entfernen/ austauschen

Zusammenfassung

Was lässt sich von außen über das Gerät sagen? Vieles. Und vor allem, dass man sich damit begnügt, alte Software einzusetzen nach dem Motto „never change a running system“.

  • Alter Linux-Kernel (von 2009 bis 2012)
  • Die meisste Anwendungssoftware ist schon mehr als 3 Jahre alt
  • Zertifikat abgelaufen und vor Ablaufdatum bereits nur beschränkt funktional
  • Mehrere Webserver laufen auf dem System, teilweise ohne sichtbare Funktion