-----BEGIN RSA PRIVATE KEY----- в прошивке от HP Integrated Lights-Out

Гуглится вот такое, http://code.google.com/p/littleblackbox/ судя по всему, да это нормальная практика.

А если допустить, что этот RSA ключ используется для SSL? Ничего нормального в этом я не вижу, иллюзия защищенности получается

Возможно, но по мне, любое управляемое устройство, подключенное к Интернету в той или иной степени уязвимо, было бы у кого-то желание его сломать.

В общем, секурность этого примерно эквивалентна закрыванию двери на замок и хранением ключа под ковриком рядом с этой дверью. Неужели люди настолько некомпетентны, неужели нельзя генерировать пару RSA ключей непосредственно на устройстве при первом запуске? А есть ли штатная возможность создать и подсунуть в устройство другую пару ключей?

ну напиши им в службу поддержки, может чего и ответят

Мне-то зачем? Я их продуктами не пользуюсь, просто решил расковырять прошивку. Кто захочет, пусть пишет. Инфа в любом случае уже публичная, способ распаковки прошивки я описал

bs=1 skip=165508

для лучшей эффективности это стоит заменить на

skip=165508 iflag=skip_bytes

Лучше вообще dd переписать с использованием вызовов sendfile + lseek, а то если его под strace запустить, оно кучу чередующихся вызовов read/write делает, что не есть хорошо

http://habrahabr.ru/post/219453/ вот еще и на хабре, HP iLO 2 уязвимо для Heartbleed Скиньте им ссылку сюда, или передайте инфу отсюда. Если что, на хабре меня нет и не будет т.к. кармодрочерство нинужно

Ключ для SSL при подключении через HTTPS. Зашел один раз, сменил на свой, PROFIT

Тогда надо при первом заходе использовать обычный HTTP или телнет, чтобы не создавалась иллюзия какого-то защищенного соединения. А врубать HTTPS только после заливки ключа.

Молодец, чо. Давай, дальше заходи по дырявым протоколам, кричи на всю сеть, какой там у тебя логин/пароль. Разницу между нулевой защищенностью и защищенностью шифрованием чуешь?

У него анимированное ПГН.

Дайте бан

Какой толк от шифрования, если ключи известны и их можно выдрать из прошивки?

А за этим «BEGIN...» точно следовал ключ? Или это просто кусок кода разборщика закрытых ключей?

Разве не очевидно?

ппц...

Ты имеешь базовые понятия про безопасность? Попробуй сломать OpenWRT или dd-wrt, учитывая, что они регулярно обновляются. А засовывать приватный ключ явно — это кричащий признак дэбилизма.

неужели нельзя генерировать пару RSA ключей непосредственно на устройстве при первом запуске?

По-моему в iLO как раз так и сделано, точнее ключи генерируются при загрузке iLO.
Много раз замечал, что после полного обесточивания сервера (и соответственно после перезагрузки iLO) надо вручную удалять SSL-сертификат из браузера, иначе он ругается на подмену.

Зачем тогда в прошивке вшиты какие-то ключи? Какую они там играют роль?

Мне-то зачем?

Может это их косяк и в знак благодарности они тебе отвалят бабла.

Ну передайте им что я вот тут на лоре короче, я им платежные реквизиты сообщу, лол... (самому не смешно?)

Зачем тогда в прошивке вшиты какие-то ключи? Какую они там играют роль?

Думаю, что никто на этот вопрос не ответит.
Там еще рядом сертификат какой-то валяется со сроком действия 04.03.2005-03.04.2005 =)

Время iLO 1.x уже давно прошло - скоро HP сама перестанет поддерживать железки с первым ILO.
Если есть желание - то поковыряй iLO4. Там они вроде перешли с NEC V850 на ARM.

Могу лишь сказать, что первый распакованный кусок (outdecode1) - это ILO в режиме flash recovery mode, когда по сути работает только FTP-сервер для заливки новой прошивки. А второй кусок - похоже, сам iLO. Смещение, кстати, должно быть 209072, а не 165508.

Думаю, вы и без меня сможете отлично разобраться.

Слава Украине!