The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.11.2017 10:52  Производитель дронов DJI по ошибке опубликовал закрытые ключи и пароли

Компания DJI, один из крупнейших производителей дронов, по недосмотру разместила на GitHub архив, в котором были оставлены закрытые ключи для HTTPS-сертификатов *.dji.com, AES-ключи для шифрования прошивок, а также пароли доступа к облачным окружениям в AWS и службе хранения Amazon S3. По данным заметивших ключи исследователей, архив находился в открытом доступе от двух до четырёх лет.

Находящейся в архиве информации было достаточно для полной компрометации инфраструктуры компании и подмены сайтов, включая security.dji.com (Security Reporting Center). В ходе экспериментов исследователю также удалось получить доступ к логам о ходе полётов и идентификационной информации.

В настоящее время ключи уже отозваны и заменены на новые. Интересно, что компания DJI выразила готовность выплатить исследователю награду в 30 тысяч долларов США, но для получения премии нужно было подписать соглашение о неразглашении, условия которого исследователь посчитал неприемлемыми и раскрыл данные об утечке, независимо от возможности получения гранта.

Дополнение: представители DJI пояснили, что были готовы согласовывать условия разглашения, но исследователь отказался от обсуждений и опубликовал сведения о проблемах не дав времени для их анализа и полного устранения. В настоящее время для разбора возможных последствий инцидента и проведения работы по усилению защиты инфраструктуры нанята независимая компания, специализирующаяся на компьютерной безопасности.

  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: Компания DJI начала публикацию GPL кода, используемого в прошивках
  3. OpenNews: Невозможность удаления данных, по ошибке опубликованных на GitHub
  4. OpenNews: В Cryptkeeper всплыла проблема, приводящая к заданию фиксированного пароля "p"
  5. OpenNews: Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа
  6. OpenNews: Интернет-регистратор APNIC по ошибке опубликовал хэши паролей Whois-сервиса
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dji
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:39, 17/11/2017 [ответить] [показать ветку] [···]     [к модератору]
  • –7 +/
    а какие существуют способы защиты от подобной случайной публикации чтобы и прог... весь текст скрыт [показать]
     
     
  • 2.2, Аноним (-), 11:43, 17/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    https://github.com/StackExchange/blackbox
     
     
  • 3.27, Аноним (-), 18:43, 17/11/2017 [^] [ответить]    [к модератору]  
  • +/
    AES-ключи для шифрования прошивок - вообще фича а не баг.
     
     
  • 4.34, Аноним (-), 23:41, 17/11/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    это антифича.
     
  • 2.3, kuraga (ok), 11:46, 17/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Насколько мне известно а я не ИБшник , можно всю инфраструктуру перевести на се... весь текст скрыт [показать]
     
     
  • 3.15, zanswer CCNA RS and S (?), 14:15, 17/11/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Да, это решает проблему утечки закрытого ключа, но вносит ряд неудобств с точки ... весь текст скрыт [показать]
     
     
  • 4.20, пох (?), 16:00, 17/11/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    не нужно, это просто кусок пластика Единственно, конечно, могут стырить, но так... весь текст скрыт [показать]
     
     
  • 5.35, EHLO (?), 23:48, 17/11/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Что за края такие Проблема в том что токен не безопаснее нормального зашифрован... весь текст скрыт [показать]
     
  • 2.4, Andrey Mitrofanov (?), 11:49, 17/11/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Никаких Всегда есть вероятность утечки Мненять ключи часто В дронах обновят... весь текст скрыт [показать]
     
     
  • 3.25, Аноним (-), 17:34, 17/11/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    >Всегда есть вероятность утечки.

    Хм.. Ну тогда сразу на гитхаб и положим, зато очень удобно.

     
  • 2.6, Какойтотамноним (?), 12:25, 17/11/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    hashicorp vault
     
  • 2.9, rshadow (ok), 13:00, 17/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    git submodule
     
     
  • 3.12, Аноним (-), 13:13, 17/11/2017 [^] [ответить]    [к модератору]  
  • +/
    git-crypt
     
     
  • 4.17, Аноним (-), 14:26, 17/11/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    Штука, конечно, занятная, но за помещение приватных ключей в гит в любом виде надо бить по рукам. Потому что привыкнешь, а потом забудешь зашифровать один файлик, и тебя внезапно поимеют.
     
  • 2.14, Это я (?), 13:40, 17/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Гарантий нет, но есть меры по снижению рисков. Например, ту же DLP натаскать на ключи и сертификаты. Это в дополнение к инструкции ИБ по использованию ключей шифрования/ЭЦП.
     
  • 2.18, Аноним (-), 15:08, 17/11/2017 [^] [ответить]    [к модератору]  
  • +7 +/
    > способы защиты

    Голову на плечах иметь. Помогает от любых уязвимостей.

     
     
  • 3.33, Аноним (33), 22:42, 17/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > Голову на плечах иметь. Помогает от любых уязвимостей.

    Если не учитывать "человеческий фактор".

     
  • 2.21, Ordu (ok), 16:04, 17/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Организационные меры Например, надо взять за правило, выполнять на рабочих серв... весь текст скрыт [показать]
     
     
  • 3.28, sabakka (?), 19:51, 17/11/2017 [^] [ответить]    [к модератору]  
  • +/
    в той истории, если я правильно помню, якобы непрод база была глубоким продом.
     
     
  • 4.29, Elhana (ok), 20:59, 17/11/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    https www reddit com r cscareerquestions comments 6ez8ag accidentally_destroye... весь текст скрыт [показать]
     
  • 4.31, Ordu (ok), 21:25, 17/11/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    > в той истории, если я правильно помню, якобы непрод база была глубоким
    > продом.

    Это уже несущественные детали. Если студент может _случайно_ снести базы, то компания, по-любому, не права.

     
  • 3.39, rwtzx (?), 09:21, 18/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Зачем такие сложности.
    Просто девы не должны иметь доступа к любым системным production credentials. Вот и все. И не надо ничего патчить.
     
     
  • 4.41, Агроном (?), 00:48, 19/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Это означает наличие дополнительных штатных едениц, а зарплатный фонд ограничен ... весь текст скрыт [показать]
     
  • 2.36, EHLO (?), 23:50, 17/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    >а какие существуют способы защиты от подобной случайной публикации?

    Для начала не генерить не зашифрованные ключи и не хранить не зашифрованные пароли.

     
  • 1.5, Аноним (-), 11:57, 17/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    Кто-нибудь ещё посмеет оспорить, что гитхаб - это удобно?
     
     
  • 2.7, мимо (?), 12:47, 17/11/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    ты хотел написать "публичный гит"?
     
     
  • 3.16, Аноним (-), 14:15, 17/11/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Явки с паролями хранят в VCS только полные идиоты. Не важно, публичный он или внутренний.
     
  • 2.8, . (?), 12:50, 17/11/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    удобно-удобно, только что-то быстро все удаляют - кто успел слить ключи и прошивку подходящую к ним, поделитесь?

     
     
  • 3.10, SysA (?), 13:06, 17/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > удобно-удобно, только что-то быстро все удаляют

    "...По данным заметивших ключи исследователей, архив находился в открытом доступе от двух до четырёх лет."

    2-4 года - это быстро?!.. Ну ты и тормоз! :)

    > - кто успел слить ключи и прошивку подходящую к ним, поделитесь?

    Ну ты точно тормоз:

    "...В настоящее время ключи уже отозваны и заменены на новые."

    Так зачем?!..

     
     
  • 4.11, koblin (ok), 13:10, 17/11/2017 [^] [ответить]    [к модератору]  
  • +/
    а как часто обновляются прошивки, загрузчики и списки отозванных сертификатов на дронах?
     
     
  • 5.24, Ilya Indigo (ok), 17:25, 17/11/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    > а как часто обновляются прошивки, загрузчики и списки отозванных сертификатов на дронах?

    Подозреваю что раз в никогда.

     
  • 4.13, . (?), 13:32, 17/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > 2-4 года - это быстро?!.. Ну ты и тормоз! :)

    быстро удалили после разболтавших о ключах исследователях.
    А так - кто ж знал-то?  (вот этих кто и ищем ;-)

    > Ну ты точно тормоз:
    > "...В настоящее время ключи уже отозваны и заменены на новые."

    поэтому и спрашиваю - не кто стыздил ключи, а кто догадался и соответствующие им прошивки того-сь

    > Так зачем?!..

    затем, что прошивки фантомов - большой-большой корпоративный секрет.
    А мне не особо нужна самая наираспоследняя, меня устроит позапрошлогодняя.

      

     
     
  • 5.19, AnonPlus (?), 15:35, 17/11/2017 [^] [ответить]    [к модератору]  
  • +/
    Я помню, была новость о сервисе, который периодически делал бекапы популярных репозиториев.
    Вероятно, это то, что вы ищете, там могут остаться предыдущие копии репозитория.
     
  • 3.22, Аноним (-), 17:04, 17/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Ну так на то есть форки https github com MAVProxyUser skypixel_lottery blob m... весь текст скрыт [показать]
     
     
  • 4.26, Аноним (-), 17:41, 17/11/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Так на амазон и не нужно лезть Выпилить зонды из прошивки на своем дроне уже бо... весь текст скрыт [показать]
     
     
  • 5.30, Аноним (-), 21:23, 17/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > Так на амазон и не нужно лезть.

    А куда ещё ты собрался лезть с ключом от AWS? Все остальные ключи там лежат.

     
     
  • 6.32, Аноним (-), 22:23, 17/11/2017 [^] [ответить]     [к модератору]  
  • +/
    из новости следует, что ключи которыми были пошифрованы прошивки тоже были в арх... весь текст скрыт [показать]
     
  • 1.23, Ilya Indigo (ok), 17:22, 17/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > ... архив находился в открытом доступе от двух до четырёх лет.

    Просто 3.14...

    > Последний абзац.

    Ну хоть у кого-то мозги есть не подписывать разную хрень за копейки.
    Ну да, далеко не за копейки, но всё же.

     
     
  • 2.37, Аноним (-), 05:29, 18/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Ну и что ты узнал нового благодаря его принципиальности Что люди ошибаются и чт... весь текст скрыт [показать]
     
     
  • 3.38, ACCA (ok), 09:09, 18/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Да там не про деньги был базар. Чувак написал вежливое письмо. Письмо переправили менеджеру. Менеджер переправил в юр. отдел. Из юр. отдела чуваку прислали писульку - "А вот подпиши, что ты нам и так торчишь и этак, и вообще нам по жизни должен"

    Получили встречное предложение - "Многа букаф, ниасилил. И вообще, не пошли бы вы, 3.14доры найух!"

     
     
  • 4.42, zanswer CCNA RS and S (?), 18:41, 19/11/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Справедливости ради, стоит сказать, что общался он с менеджером не мало и письмо из юридического департамента он показал по меньшей мере четырём юристам.

    К слову на протокол разногласий он потратил более 300$, но, к сожалению, компания оставила его старания без внимания, перестав отвечать, как на письма, так и SMS, Twitter DM.

    В итоге исследователь принял решение отказаться от данного приза и написал 18 страничных PDF рассказывающий в подробностях о его борьбе за свой гонорар.

    Суть проблемы заключалась не в том, что исследователь чересчур принципиальный, а в том, что No Disclose Agreement, содержал осень рискованные для него, как исследователя юридические обороты.

    К примеру, там говорилось, что он не имеет и не имел права осуществлять прямой доступ к инфраструктуре компании. То есть он обязан был остановиться на точке обнаружения, а он фактически уже нарушил данные условия. И подписав такой NDA он рисковал сесть на скамью подсудимых, вместо получения своего гонорара.

    Кому интересно, могут прочитать оригинальный 18 страничный PDF, там всё подробно описано.

    Поэтому да, исследователь поступил правильно, он защитил себя от возможных, будущих нападок компании, в судах США, не более того и конечно он хотел подучить положенные ему деньги.

     
  • 3.40, ram_scan (?), 18:03, 18/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Ну и что ты узнал нового благодаря его принципиальности? Что люди ошибаются и что короткий пароль в нашем мире ценится дороже гигабайтов мусора с гитхаба? Ты вчера об этом не догадывался?

    Корпорасты по какой-то странной причине не одупляют кто в этой ситуации кого за фаберже держит и кто кому должен. За что и поплатились.

    Им вежливо предложили замять вопрос, а они пальцы разогнули что мол мы вот тут обосрамились но ///0пу будем вытирать себе на своих условиях.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor