The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Производитель дронов DJI по ошибке опубликовал закрытые ключ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от opennews (??) on 17-Ноя-17, 11:39 
Компания DJI (https://ru.wikipedia.org/wiki/DJI_(%D0%BA%D0%BE%D0%BC%D0%BF%D0%B0%D0%BD%D0%B8%D1%8F)), один из крупнейших производителей  дронов, по недосмотру разместила (https://regmedia.co.uk/2017/11/16/whyiwalkedfrom3k.pdf) на GitHub архив, в котором были оставлены закрытые ключи для HTTPS-сертификатов *.dji.com, AES-ключи для шифрования прошивок, а также пароли доступа к облачным окружениям в AWS и  службе хранения Amazon S3. По данным заметивших ключи исследователей, архив находился в открытом доступе от двух до четырёх лет.

Находящейся в архиве информации было достаточно для полной компрометации инфраструктуры компании и подмены сайтов, включая security.dji.com (Security Reporting Center). В ходе экспериментов исследователю также удалось получить доступ к  логам о ходе полётов и идентификационной информации.


В настоящее время ключи уже отозваны (https://crt.sh/?id=150776065) и заменены на новые. Интересно, что компания DJI выразила готовность выплатить исследователю награду в 30 тысяч долларов США, но для получения премии нужно было подписать соглашение о неразглашении, условия которого исследователь посчитал неприемлемыми и раскрыл данные об утечке, независимо от возможности получения гранта.

URL: https://www.theregister.co.uk/2017/11/16/dji_private_keys_le.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=47584

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  –7 +/
Сообщение от Аноним (??) on 17-Ноя-17, 11:39 
а какие существуют способы защиты от подобной случайной публикации?
чтобы и программисты могли работать и пароли, логины, параметры подключения к серверам и базам даже случайно не могли опубликоваться
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +1 +/
Сообщение от Аноним (??) on 17-Ноя-17, 11:43 
https://github.com/StackExchange/blackbox
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

27. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от Аноним (??) on 17-Ноя-17, 18:43 
AES-ключи для шифрования прошивок - вообще фича а не баг.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

34. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +4 +/
Сообщение от Аноним (??) on 17-Ноя-17, 23:41 
это антифича.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

3. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от kuraga email(ok) on 17-Ноя-17, 11:46 
Насколько мне известно (а я не ИБшник), можно всю инфраструктуру перевести на сертификаты, а сертификаты использовать с помощью устройства, которое позволяет производить необходимые в криптографии действия с приватным ключом, но никогда его не выдает.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +3 +/
Сообщение от zanswer CCNA RS and S on 17-Ноя-17, 14:15 
Да, это решает проблему утечки закрытого ключа, но вносит ряд неудобств с точки зрения пользователя/персонала. Поскольку требует наличия такого/таких крипто-ключа/ключей в каждом устройстве, что не всегда возможно по техническим причинам, а иногда по административным. Ведь нужно вести учёт таких крипто-ключей, их уничтожение, в случае необходимости, ограничение доступа к ним и так далее.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

20. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +1 +/
Сообщение от пох on 17-Ноя-17, 16:00 
> Ведь нужно вести учёт таких крипто-ключей, их уничтожение, в случае необходимости, ограничение
> доступа к ним и так далее.

не нужно, это просто кусок пластика. Единственно, конечно, могут стырить, но так стырить могут и владельца заодно, для комплекта, в багажнике места много.
Учет нужен для _сертификатов_, а не для их ключей. А с ними все банально - если что, кадр проcpал свой токен, или самого его увезли в багажнике в неизвестные леса - revoke его, и дело с концом. Ну и срок валидности, разумеется, короткий.

проблема, как обычно, в недоступности, особенно в наших краях, качественных железок с приличным софтом к ним.
("приличный" - как минимум спрашивает пин, а не довольствуется наличием только самого ключа)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

35. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +2 +/
Сообщение от EHLO on 17-Ноя-17, 23:48 
>проблема, как обычно, в недоступности, особенно в наших краях, качественных железок с приличным софтом к ним.

Что за края такие?
Проблема в том что токен не безопаснее нормального зашифрованного ключа, но добавляет несколько лишних сущностей, причём закрытых и подозрительных

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

4. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +1 +/
Сообщение от Andrey Mitrofanov on 17-Ноя-17, 11:49 
> а какие существуют способы защиты от подобной случайной публикации?
> чтобы и программисты могли работать и пароли, логины, параметры подключения к серверам
> и базам даже случайно не могли опубликоваться

Никаких. Всегда есть вероятность утечки.

Мненять ключи $часто. В $дронах обновять CRL и пр.лапшу тоже $часто и с устаревшими ключами :] _не взлетать_. Подробнее Вам в отделе безопасности расскажут на инструктаже...

</криптография форумная></NO WARRANTY>

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

25. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +4 +/
Сообщение от Аноним (??) on 17-Ноя-17, 17:34 
>Всегда есть вероятность утечки.

Хм.. Ну тогда сразу на гитхаб и положим, зато очень удобно.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +2 +/
Сообщение от Какойтотамноним on 17-Ноя-17, 12:25 
hashicorp vault
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +1 +/
Сообщение от rshadow (ok) on 17-Ноя-17, 13:00 
git submodule
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от Аноним (??) on 17-Ноя-17, 13:13 
git-crypt
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +5 +/
Сообщение от Аноним (??) on 17-Ноя-17, 14:26 
Штука, конечно, занятная, но за помещение приватных ключей в гит в любом виде надо бить по рукам. Потому что привыкнешь, а потом забудешь зашифровать один файлик, и тебя внезапно поимеют.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +1 +/
Сообщение от Это я on 17-Ноя-17, 13:40 
Гарантий нет, но есть меры по снижению рисков. Например, ту же DLP натаскать на ключи и сертификаты. Это в дополнение к инструкции ИБ по использованию ключей шифрования/ЭЦП.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +7 +/
Сообщение от Аноним (??) on 17-Ноя-17, 15:08 
> способы защиты

Голову на плечах иметь. Помогает от любых уязвимостей.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

33. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от Аноним email(??) on 17-Ноя-17, 22:42 
> Голову на плечах иметь. Помогает от любых уязвимостей.

Если не учитывать "человеческий фактор".

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от Ordu email(ok) on 17-Ноя-17, 16:04 
> а какие существуют способы защиты от подобной случайной публикации?

Организационные меры. Например, надо взять за правило, выполнять на рабочих серверах исключительно git pull. Ну, можно ещё что-нибудь -- там есть над чем подумать, и что выбрать -- но из тех команд, которые работают с origin, только pull. И шелл туда дать только сертифицированным сотрудникам. Соответственно в этот рабочий репозиторий не следует вносить никаких изменений текстовым редактором. А если они внесены, то перетаскивать в development версию патчами.
Эти правила, при желании, энфорсятся патченным git в системе, который просто не умеет в push. Хотя программисты ребята прошаренные, они на другом компе git pull сделают, а потом перешлют в github... Чтобы они таких гадостей не делали бы принудительно, придётся более сложные патчи на git накладывать... Но, с другой стороны, если программисты настолько невменяемы, что не могут следовать ТБ, то их следует уволить и нанять других.

Такая штука, как, например, электрик, не соблюдающий ТБ, долго не живёт. Поэтому подавляющее большинство электриков соблюдает ТБ. А вот программиста, за кривой git push не убивают, что катастрофически сказывается на естественном отборе и позволяет выживать полным долбонавтам. Но если серьёзно заняться внедрением ТБ, регулярно мониторить ситуацию (точнее иррегулярно, по непредсказуемому графику, но достаточно часто), и безусловно лишать премии за однократный залёт в деле нарушения ТБ, а за второй-третий в течение года увольнять, то все быстро проникнутся идеей.

Тут проблема даже не в том, что сложно сохранить в тайне ключи и не опубликовать их нечаянно. Проблема в том, что организация вырабатывает весь workflow начиная с момента создания этой организации. В момент создания сложный workflow и кучерявая ТБ выглядят оверхедом -- над кодом работает три человека, все они высококвалифицированы и они сами создавали этот workflow, -- они с малой вероятностью совершат утечку данных, и им на старте компании очень важно минимизировать всю "бюрократию" и действовать максимально эффективно. Но со временем компания разрастается, в ней появляется множество менее квалифицированных ребят, и более того, даже квалифицированные далеко не все понимают, что и где происходит, и какое их неловкое движение приведёт к факапу. Была замечательная история про парня, который сразу после ВУЗа устроился программером, пришёл работать первый день, ему дали бумажку, согласно которой он должен был настроить своё рабочее место, в частности подключение к базам. Он что-то в этой бумажке не так понял, не то вбил в консольку, и удалил все таблички из продакшна. Его спешно уволили, типа раз он это сделал, значит он виноват. Но писечка в том, что виноват менеджмент, который не предвидел возможность подобного, и не изменил сооветствующим образом весь workflow.

С публикацией приватных данных в github та же ситуация. На определённом этапе развития компании ей следовало пересмотреть своё отношение к тому, как организованы все потоки данных внутри инфраструктуры компании и за её пределы. Но менеджеры действовали по принципу "работает, не трожь", и в результате они получили то, что получили.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

28. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от sabakka on 17-Ноя-17, 19:51 
в той истории, если я правильно помню, якобы непрод база была глубоким продом.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

29. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +1 +/
Сообщение от Elhana (ok) on 17-Ноя-17, 20:59 
https://www.reddit.com/r/cscareerquestions/comments/6ez8ag/a.../

вместо того чтобы скопировать настройки с результатов работы скрипта, который создает персональный инстанс БД, чувак вбил данные с самой инструкции, а в ней были данные прода.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

31. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +4 +/
Сообщение от Ordu email(ok) on 17-Ноя-17, 21:25 
> в той истории, если я правильно помню, якобы непрод база была глубоким
> продом.

Это уже несущественные детали. Если студент может _случайно_ снести базы, то компания, по-любому, не права.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

39. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +1 +/
Сообщение от rwtzx on 18-Ноя-17, 09:21 
Зачем такие сложности.
Просто девы не должны иметь доступа к любым системным production credentials. Вот и все. И не надо ничего патчить.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

41. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от Агроном on 19-Ноя-17, 00:48 
> Зачем такие сложности.
> Просто девы не должны иметь доступа к любым системным production credentials. Вот
> и все. И не надо ничего патчить.

Это означает наличие дополнительных штатных едениц, а зарплатный фонд ограничен.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

36. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +1 +/
Сообщение от EHLO on 17-Ноя-17, 23:50 
>а какие существуют способы защиты от подобной случайной публикации?

Для начала не генерить не зашифрованные ключи и не хранить не зашифрованные пароли.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  –5 +/
Сообщение от Аноним (??) on 17-Ноя-17, 11:57 
Кто-нибудь ещё посмеет оспорить, что гитхаб - это удобно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +4 +/
Сообщение от мимо on 17-Ноя-17, 12:47 
ты хотел написать "публичный гит"?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +2 +/
Сообщение от Аноним (??) on 17-Ноя-17, 14:15 
Явки с паролями хранят в VCS только полные идиоты. Не важно, публичный он или внутренний.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  –1 +/
Сообщение от . on 17-Ноя-17, 12:50 
удобно-удобно, только что-то быстро все удаляют - кто успел слить ключи и прошивку подходящую к ним, поделитесь?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от SysA on 17-Ноя-17, 13:06 
> удобно-удобно, только что-то быстро все удаляют

"...По данным заметивших ключи исследователей, архив находился в открытом доступе от двух до четырёх лет."

2-4 года - это быстро?!.. Ну ты и тормоз! :)

> - кто успел слить ключи и прошивку подходящую к ним, поделитесь?

Ну ты точно тормоз:

"...В настоящее время ключи уже отозваны и заменены на новые."

Так зачем?!..

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от koblin (ok) on 17-Ноя-17, 13:10 
а как часто обновляются прошивки, загрузчики и списки отозванных сертификатов на дронах?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

24. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +3 +/
Сообщение от Ilya Indigo (ok) on 17-Ноя-17, 17:25 
> а как часто обновляются прошивки, загрузчики и списки отозванных сертификатов на дронах?

Подозреваю что раз в никогда.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +1 +/
Сообщение от . on 17-Ноя-17, 13:32 
> 2-4 года - это быстро?!.. Ну ты и тормоз! :)

быстро удалили после разболтавших о ключах исследователях.
А так - кто ж знал-то?  (вот этих кто и ищем ;-)

> Ну ты точно тормоз:
> "...В настоящее время ключи уже отозваны и заменены на новые."

поэтому и спрашиваю - не кто стыздил ключи, а кто догадался и соответствующие им прошивки того-сь

> Так зачем?!..

затем, что прошивки фантомов - большой-большой корпоративный секрет.
А мне не особо нужна самая наираспоследняя, меня устроит позапрошлогодняя.

  

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от AnonPlus on 17-Ноя-17, 15:35 
Я помню, была новость о сервисе, который периодически делал бекапы популярных репозиториев.
Вероятно, это то, что вы ищете, там могут остаться предыдущие копии репозитория.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

22. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от Аноним (??) on 17-Ноя-17, 17:04 
> удобно-удобно, только что-то быстро все удаляют

Ну так на то есть форки: https://github.com/MAVProxyUser/skypixel_lottery/blob/master...
Но подозреваю, что с этим ключиком ты на амазон уже не залезешь.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

26. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +3 +/
Сообщение от Аноним (??) on 17-Ноя-17, 17:41 
> Но подозреваю, что с этим ключиком ты на амазон уже не залезешь.

Так на амазон и не нужно лезть. Выпилить зонды из прошивки на своем дроне уже большая победа.
За 4 года, полагаю, зондов туда наложил каждый желающий, а не только dji, CIA и фсб.


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

30. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от Аноним (??) on 17-Ноя-17, 21:23 
> Так на амазон и не нужно лезть.

А куда ещё ты собрался лезть с ключом от AWS? Все остальные ключи там лежат.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

32. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от Аноним (??) on 17-Ноя-17, 22:23 
из новости следует, что ключи которыми были пошифрованы прошивки тоже были в архиве на гитхабе.
>на GitHub архив, в котором были оставлены закрытые ключи для HTTPS-сертификатов *.dji.com, AES-ключи для шифрования прошивок
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

23. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +1 +/
Сообщение от Ilya Indigo (ok) on 17-Ноя-17, 17:22 
> ... архив находился в открытом доступе от двух до четырёх лет.

Просто 3.14...

> Последний абзац.

Ну хоть у кого-то мозги есть не подписывать разную хрень за копейки.
Ну да, далеко не за копейки, но всё же.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +/
Сообщение от Аноним (??) on 18-Ноя-17, 05:29 
Ну и что ты узнал нового благодаря его принципиальности? Что люди ошибаются и что короткий пароль в нашем мире ценится дороже гигабайтов мусора с гитхаба? Ты вчера об этом не догадывался?

30 тыс за такую инфу - вполне нормальные деньги.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

38. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +1 +/
Сообщение от ACCA (ok) on 18-Ноя-17, 09:09 
Да там не про деньги был базар. Чувак написал вежливое письмо. Письмо переправили менеджеру. Менеджер переправил в юр. отдел. Из юр. отдела чуваку прислали писульку - "А вот подпиши, что ты нам и так торчишь и этак, и вообще нам по жизни должен"

Получили встречное предложение - "Многа букаф, ниасилил. И вообще, не пошли бы вы, 3.14доры найух!"

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

42. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +3 +/
Сообщение от zanswer CCNA RS and S on 19-Ноя-17, 18:41 
Справедливости ради, стоит сказать, что общался он с менеджером не мало и письмо из юридического департамента он показал по меньшей мере четырём юристам.

К слову на протокол разногласий он потратил более 300$, но, к сожалению, компания оставила его старания без внимания, перестав отвечать, как на письма, так и SMS, Twitter DM.

В итоге исследователь принял решение отказаться от данного приза и написал 18 страничных PDF рассказывающий в подробностях о его борьбе за свой гонорар.

Суть проблемы заключалась не в том, что исследователь чересчур принципиальный, а в том, что No Disclose Agreement, содержал осень рискованные для него, как исследователя юридические обороты.

К примеру, там говорилось, что он не имеет и не имел права осуществлять прямой доступ к инфраструктуре компании. То есть он обязан был остановиться на точке обнаружения, а он фактически уже нарушил данные условия. И подписав такой NDA он рисковал сесть на скамью подсудимых, вместо получения своего гонорара.

Кому интересно, могут прочитать оригинальный 18 страничный PDF, там всё подробно описано.

Поэтому да, исследователь поступил правильно, он защитил себя от возможных, будущих нападок компании, в судах США, не более того и конечно он хотел подучить положенные ему деньги.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Производитель дронов DJI по ошибке опубликовал закрытые ключ..."  +1 +/
Сообщение от ram_scan on 18-Ноя-17, 18:03 
> Ну и что ты узнал нового благодаря его принципиальности? Что люди ошибаются и что короткий пароль в нашем мире ценится дороже гигабайтов мусора с гитхаба? Ты вчера об этом не догадывался?

Корпорасты по какой-то странной причине не одупляют кто в этой ситуации кого за фаберже держит и кто кому должен. За что и поплатились.

Им вежливо предложили замять вопрос, а они пальцы разогнули что мол мы вот тут обосрамились но ///0пу будем вытирать себе на своих условиях.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру