The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Производитель дронов DJI по ошибке опубликовал закрытые ключи и пароли

17.11.2017 10:52

Компания DJI, один из крупнейших производителей дронов, по недосмотру разместила на GitHub архив, в котором были оставлены закрытые ключи для HTTPS-сертификатов *.dji.com, AES-ключи для шифрования прошивок, а также пароли доступа к облачным окружениям в AWS и службе хранения Amazon S3. По данным заметивших ключи исследователей, архив находился в открытом доступе от двух до четырёх лет.

Находящейся в архиве информации было достаточно для полной компрометации инфраструктуры компании и подмены сайтов, включая security.dji.com (Security Reporting Center). В ходе экспериментов исследователю также удалось получить доступ к логам о ходе полётов и идентификационной информации.

В настоящее время ключи уже отозваны и заменены на новые. Интересно, что компания DJI выразила готовность выплатить исследователю награду в 30 тысяч долларов США, но для получения премии нужно было подписать соглашение о неразглашении, условия которого исследователь посчитал неприемлемыми и раскрыл данные об утечке, независимо от возможности получения гранта.

Дополнение: представители DJI пояснили, что были готовы согласовывать условия разглашения, но исследователь отказался от обсуждений и опубликовал сведения о проблемах не дав времени для их анализа и полного устранения. В настоящее время для разбора возможных последствий инцидента и проведения работы по усилению защиты инфраструктуры нанята независимая компания, специализирующаяся на компьютерной безопасности.

  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: Компания DJI начала публикацию GPL кода, используемого в прошивках
  3. OpenNews: Невозможность удаления данных, по ошибке опубликованных на GitHub
  4. OpenNews: В Cryptkeeper всплыла проблема, приводящая к заданию фиксированного пароля "p"
  5. OpenNews: Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа
  6. OpenNews: Интернет-регистратор APNIC по ошибке опубликовал хэши паролей Whois-сервиса
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dji
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (42) Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:39, 17/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    а какие существуют способы защиты от подобной случайной публикации?
    чтобы и программисты могли работать и пароли, логины, параметры подключения к серверам и базам даже случайно не могли опубликоваться
     
     
  • 2.2, Аноним (-), 11:43, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://github.com/StackExchange/blackbox
     
     
  • 3.27, Аноним (-), 18:43, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    AES-ключи для шифрования прошивок - вообще фича а не баг.
     
     
  • 4.34, Аноним (-), 23:41, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    это антифича.
     
  • 2.3, kuraga (ok), 11:46, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько мне известно (а я не ИБшник), можно всю инфраструктуру перевести на сертификаты, а сертификаты использовать с помощью устройства, которое позволяет производить необходимые в криптографии действия с приватным ключом, но никогда его не выдает.
     
     
  • 3.15, zanswer CCNA RS and S (?), 14:15, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да, это решает проблему утечки закрытого ключа, но вносит ряд неудобств с точки зрения пользователя/персонала. Поскольку требует наличия такого/таких крипто-ключа/ключей в каждом устройстве, что не всегда возможно по техническим причинам, а иногда по административным. Ведь нужно вести учёт таких крипто-ключей, их уничтожение, в случае необходимости, ограничение доступа к ним и так далее.
     
     
  • 4.20, пох (?), 16:00, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ведь нужно вести учёт таких крипто-ключей, их уничтожение, в случае необходимости, ограничение
    > доступа к ним и так далее.

    не нужно, это просто кусок пластика. Единственно, конечно, могут стырить, но так стырить могут и владельца заодно, для комплекта, в багажнике места много.
    Учет нужен для _сертификатов_, а не для их ключей. А с ними все банально - если что, кадр проcpал свой токен, или самого его увезли в багажнике в неизвестные леса - revoke его, и дело с концом. Ну и срок валидности, разумеется, короткий.

    проблема, как обычно, в недоступности, особенно в наших краях, качественных железок с приличным софтом к ним.
    ("приличный" - как минимум спрашивает пин, а не довольствуется наличием только самого ключа)

     
     
  • 5.35, EHLO (?), 23:48, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >проблема, как обычно, в недоступности, особенно в наших краях, качественных железок с приличным софтом к ним.

    Что за края такие?
    Проблема в том что токен не безопаснее нормального зашифрованного ключа, но добавляет несколько лишних сущностей, причём закрытых и подозрительных

     
  • 2.4, Andrey Mitrofanov (?), 11:49, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а какие существуют способы защиты от подобной случайной публикации?
    > чтобы и программисты могли работать и пароли, логины, параметры подключения к серверам
    > и базам даже случайно не могли опубликоваться

    Никаких. Всегда есть вероятность утечки.

    Мненять ключи $часто. В $дронах обновять CRL и пр.лапшу тоже $часто и с устаревшими ключами :] _не взлетать_. Подробнее Вам в отделе безопасности расскажут на инструктаже...

    </криптография форумная></NO WARRANTY>

     
     
  • 3.25, Аноним (-), 17:34, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >Всегда есть вероятность утечки.

    Хм.. Ну тогда сразу на гитхаб и положим, зато очень удобно.

     
  • 2.6, Какойтотамноним (?), 12:25, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    hashicorp vault
     
  • 2.9, rshadow (ok), 13:00, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    git submodule
     
     
  • 3.12, Аноним (-), 13:13, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    git-crypt
     
     
  • 4.17, Аноним (-), 14:26, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Штука, конечно, занятная, но за помещение приватных ключей в гит в любом виде надо бить по рукам. Потому что привыкнешь, а потом забудешь зашифровать один файлик, и тебя внезапно поимеют.
     
  • 2.14, Это я (?), 13:40, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гарантий нет, но есть меры по снижению рисков. Например, ту же DLP натаскать на ключи и сертификаты. Это в дополнение к инструкции ИБ по использованию ключей шифрования/ЭЦП.
     
  • 2.18, Аноним (-), 15:08, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > способы защиты

    Голову на плечах иметь. Помогает от любых уязвимостей.

     
     
  • 3.33, Аноним (33), 22:42, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Голову на плечах иметь. Помогает от любых уязвимостей.

    Если не учитывать "человеческий фактор".

     
  • 2.21, Ordu (ok), 16:04, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Организационные меры Например, надо взять за правило, выполнять на рабочих серв... текст скрыт, показать
     
     
  • 3.28, sabakka (?), 19:51, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    в той истории, если я правильно помню, якобы непрод база была глубоким продом.
     
     
  • 4.29, Elhana (ok), 20:59, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://www.reddit.com/r/cscareerquestions/comments/6ez8ag/accidentally_destro

    вместо того чтобы скопировать настройки с результатов работы скрипта, который создает персональный инстанс БД, чувак вбил данные с самой инструкции, а в ней были данные прода.

     
  • 4.31, Ordu (ok), 21:25, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > в той истории, если я правильно помню, якобы непрод база была глубоким
    > продом.

    Это уже несущественные детали. Если студент может _случайно_ снести базы, то компания, по-любому, не права.

     
  • 3.39, rwtzx (?), 09:21, 18/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем такие сложности.
    Просто девы не должны иметь доступа к любым системным production credentials. Вот и все. И не надо ничего патчить.
     
     
  • 4.41, Агроном (?), 00:48, 19/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем такие сложности.
    > Просто девы не должны иметь доступа к любым системным production credentials. Вот
    > и все. И не надо ничего патчить.

    Это означает наличие дополнительных штатных едениц, а зарплатный фонд ограничен.

     
  • 2.36, EHLO (?), 23:50, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >а какие существуют способы защиты от подобной случайной публикации?

    Для начала не генерить не зашифрованные ключи и не хранить не зашифрованные пароли.

     
  • 1.5, Аноним (-), 11:57, 17/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Кто-нибудь ещё посмеет оспорить, что гитхаб - это удобно?
     
     
  • 2.7, мимо (?), 12:47, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ты хотел написать "публичный гит"?
     
     
  • 3.16, Аноним (-), 14:15, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Явки с паролями хранят в VCS только полные идиоты. Не важно, публичный он или внутренний.
     
  • 2.8, . (?), 12:50, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    удобно-удобно, только что-то быстро все удаляют - кто успел слить ключи и прошивку подходящую к ним, поделитесь?

     
     
  • 3.10, SysA (?), 13:06, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > удобно-удобно, только что-то быстро все удаляют

    "...По данным заметивших ключи исследователей, архив находился в открытом доступе от двух до четырёх лет."

    2-4 года - это быстро?!.. Ну ты и тормоз! :)

    > - кто успел слить ключи и прошивку подходящую к ним, поделитесь?

    Ну ты точно тормоз:

    "...В настоящее время ключи уже отозваны и заменены на новые."

    Так зачем?!..

     
     
  • 4.11, koblin (ok), 13:10, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    а как часто обновляются прошивки, загрузчики и списки отозванных сертификатов на дронах?
     
     
  • 5.24, Ilya Indigo (ok), 17:25, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > а как часто обновляются прошивки, загрузчики и списки отозванных сертификатов на дронах?

    Подозреваю что раз в никогда.

     
  • 4.13, . (?), 13:32, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 2-4 года - это быстро?!.. Ну ты и тормоз! :)

    быстро удалили после разболтавших о ключах исследователях.
    А так - кто ж знал-то?  (вот этих кто и ищем ;-)

    > Ну ты точно тормоз:
    > "...В настоящее время ключи уже отозваны и заменены на новые."

    поэтому и спрашиваю - не кто стыздил ключи, а кто догадался и соответствующие им прошивки того-сь

    > Так зачем?!..

    затем, что прошивки фантомов - большой-большой корпоративный секрет.
    А мне не особо нужна самая наираспоследняя, меня устроит позапрошлогодняя.

      

     
     
  • 5.19, AnonPlus (?), 15:35, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Я помню, была новость о сервисе, который периодически делал бекапы популярных репозиториев.
    Вероятно, это то, что вы ищете, там могут остаться предыдущие копии репозитория.
     
  • 3.22, Аноним (-), 17:04, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > удобно-удобно, только что-то быстро все удаляют

    Ну так на то есть форки: https://github.com/MAVProxyUser/skypixel_lottery/blob/master/www/public/main.j
    Но подозреваю, что с этим ключиком ты на амазон уже не залезешь.

     
     
  • 4.26, Аноним (-), 17:41, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Но подозреваю, что с этим ключиком ты на амазон уже не залезешь.

    Так на амазон и не нужно лезть. Выпилить зонды из прошивки на своем дроне уже большая победа.
    За 4 года, полагаю, зондов туда наложил каждый желающий, а не только dji, CIA и фсб.


     
     
  • 5.30, Аноним (-), 21:23, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Так на амазон и не нужно лезть.

    А куда ещё ты собрался лезть с ключом от AWS? Все остальные ключи там лежат.

     
     
  • 6.32, Аноним (-), 22:23, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    из новости следует, что ключи которыми были пошифрованы прошивки тоже были в архиве на гитхабе.
    >на GitHub архив, в котором были оставлены закрытые ключи для HTTPS-сертификатов *.dji.com, AES-ключи для шифрования прошивок
     
  • 1.23, Ilya Indigo (ok), 17:22, 17/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > ... архив находился в открытом доступе от двух до четырёх лет.

    Просто 3.14...

    > Последний абзац.

    Ну хоть у кого-то мозги есть не подписывать разную хрень за копейки.
    Ну да, далеко не за копейки, но всё же.

     
     
  • 2.37, Аноним (-), 05:29, 18/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и что ты узнал нового благодаря его принципиальности? Что люди ошибаются и что короткий пароль в нашем мире ценится дороже гигабайтов мусора с гитхаба? Ты вчера об этом не догадывался?

    30 тыс за такую инфу - вполне нормальные деньги.

     
     
  • 3.38, ACCA (ok), 09:09, 18/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да там не про деньги был базар. Чувак написал вежливое письмо. Письмо переправили менеджеру. Менеджер переправил в юр. отдел. Из юр. отдела чуваку прислали писульку - "А вот подпиши, что ты нам и так торчишь и этак, и вообще нам по жизни должен"

    Получили встречное предложение - "Многа букаф, ниасилил. И вообще, не пошли бы вы, 3.14доры найух!"

     
     
  • 4.42, zanswer CCNA RS and S (?), 18:41, 19/11/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Справедливости ради, стоит сказать, что общался он с менеджером не мало и письмо из юридического департамента он показал по меньшей мере четырём юристам.

    К слову на протокол разногласий он потратил более 300$, но, к сожалению, компания оставила его старания без внимания, перестав отвечать, как на письма, так и SMS, Twitter DM.

    В итоге исследователь принял решение отказаться от данного приза и написал 18 страничных PDF рассказывающий в подробностях о его борьбе за свой гонорар.

    Суть проблемы заключалась не в том, что исследователь чересчур принципиальный, а в том, что No Disclose Agreement, содержал осень рискованные для него, как исследователя юридические обороты.

    К примеру, там говорилось, что он не имеет и не имел права осуществлять прямой доступ к инфраструктуре компании. То есть он обязан был остановиться на точке обнаружения, а он фактически уже нарушил данные условия. И подписав такой NDA он рисковал сесть на скамью подсудимых, вместо получения своего гонорара.

    Кому интересно, могут прочитать оригинальный 18 страничный PDF, там всё подробно описано.

    Поэтому да, исследователь поступил правильно, он защитил себя от возможных, будущих нападок компании, в судах США, не более того и конечно он хотел подучить положенные ему деньги.

     
  • 3.40, ram_scan (?), 18:03, 18/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну и что ты узнал нового благодаря его принципиальности? Что люди ошибаются и что короткий пароль в нашем мире ценится дороже гигабайтов мусора с гитхаба? Ты вчера об этом не догадывался?

    Корпорасты по какой-то странной причине не одупляют кто в этой ситуации кого за фаберже держит и кто кому должен. За что и поплатились.

    Им вежливо предложили замять вопрос, а они пальцы разогнули что мол мы вот тут обосрамились но ///0пу будем вытирать себе на своих условиях.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:


    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру
    Hosting by Ihor