The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.11.2017 10:52  Производитель дронов DJI по ошибке опубликовал закрытые ключи и пароли

Компания DJI, один из крупнейших производителей дронов, по недосмотру разместила на GitHub архив, в котором были оставлены закрытые ключи для HTTPS-сертификатов *.dji.com, AES-ключи для шифрования прошивок, а также пароли доступа к облачным окружениям в AWS и службе хранения Amazon S3. По данным заметивших ключи исследователей, архив находился в открытом доступе от двух до четырёх лет.

Находящейся в архиве информации было достаточно для полной компрометации инфраструктуры компании и подмены сайтов, включая security.dji.com (Security Reporting Center). В ходе экспериментов исследователю также удалось получить доступ к логам о ходе полётов и идентификационной информации.

В настоящее время ключи уже отозваны и заменены на новые. Интересно, что компания DJI выразила готовность выплатить исследователю награду в 30 тысяч долларов США, но для получения премии нужно было подписать соглашение о неразглашении, условия которого исследователь посчитал неприемлемыми и раскрыл данные об утечке, независимо от возможности получения гранта.

Дополнение: представители DJI пояснили, что были готовы согласовывать условия разглашения, но исследователь отказался от обсуждений и опубликовал сведения о проблемах не дав времени для их анализа и полного устранения. В настоящее время для разбора возможных последствий инцидента и проведения работы по усилению защиты инфраструктуры нанята независимая компания, специализирующаяся на компьютерной безопасности.

  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: Компания DJI начала публикацию GPL кода, используемого в прошивках
  3. OpenNews: Невозможность удаления данных, по ошибке опубликованных на GitHub
  4. OpenNews: В Cryptkeeper всплыла проблема, приводящая к заданию фиксированного пароля "p"
  5. OpenNews: Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа
  6. OpenNews: Интернет-регистратор APNIC по ошибке опубликовал хэши паролей Whois-сервиса
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dji
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:39, 17/11/2017 [ответить] [смотреть все]
  • –7 +/
    а какие существуют способы защиты от подобной случайной публикации чтобы и прог... весь текст скрыт [показать]
     
     
  • 2.2, Аноним, 11:43, 17/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    https://github.com/StackExchange/blackbox
     
     
  • 3.27, Аноним, 18:43, 17/11/2017 [^] [ответить] [смотреть все]  
  • +/
    AES-ключи для шифрования прошивок - вообще фича а не баг.
     
     
  • 4.34, Аноним, 23:41, 17/11/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    это антифича.
     
  • 2.3, kuraga, 11:46, 17/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Насколько мне известно а я не ИБшник , можно всю инфраструктуру перевести на се... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, zanswer CCNA RS and S, 14:15, 17/11/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Да, это решает проблему утечки закрытого ключа, но вносит ряд неудобств с точки ... весь текст скрыт [показать]
     
     
  • 4.20, пох, 16:00, 17/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    не нужно, это просто кусок пластика Единственно, конечно, могут стырить, но так... весь текст скрыт [показать]
     
     
  • 5.35, EHLO, 23:48, 17/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Что за края такие Проблема в том что токен не безопаснее нормального зашифрован... весь текст скрыт [показать]
     
  • 2.4, Andrey Mitrofanov, 11:49, 17/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Никаких Всегда есть вероятность утечки Мненять ключи часто В дронах обновят... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, Аноним, 17:34, 17/11/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Хм Ну тогда сразу на гитхаб и положим, зато очень удобно ... весь текст скрыт [показать]
     
  • 2.6, Какойтотамноним, 12:25, 17/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    hashicorp vault
     
  • 2.9, rshadow, 13:00, 17/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    git submodule
     
     
  • 3.12, Аноним, 13:13, 17/11/2017 [^] [ответить] [смотреть все]  
  • +/
    git-crypt
     
     
  • 4.17, Аноним, 14:26, 17/11/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Штука, конечно, занятная, но за помещение приватных ключей в гит в любом виде на... весь текст скрыт [показать]
     
  • 2.14, Это я, 13:40, 17/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Гарантий нет, но есть меры по снижению рисков Например, ту же DLP натаскать на ... весь текст скрыт [показать] [показать ветку]
     
  • 2.18, Аноним, 15:08, 17/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    > способы защиты

    Голову на плечах иметь. Помогает от любых уязвимостей.

     
     
  • 3.33, Аноним, 22:42, 17/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Если не учитывать человеческий фактор ... весь текст скрыт [показать]
     
  • 2.21, Ordu, 16:04, 17/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Организационные меры Например, надо взять за правило, выполнять на рабочих серв... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, sabakka, 19:51, 17/11/2017 [^] [ответить] [смотреть все]  
  • +/
    в той истории, если я правильно помню, якобы непрод база была глубоким продом.
     
     
  • 4.29, Elhana, 20:59, 17/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    https www reddit com r cscareerquestions comments 6ez8ag accidentally_destroye... весь текст скрыт [показать]
     
  • 4.31, Ordu, 21:25, 17/11/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Это уже несущественные детали Если студент может _случайно_ снести базы, то ком... весь текст скрыт [показать]
     
  • 3.39, rwtzx, 09:21, 18/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Зачем такие сложности Просто девы не должны иметь доступа к любым системным pro... весь текст скрыт [показать]
     
     
  • 4.41, Агроном, 00:48, 19/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Это означает наличие дополнительных штатных едениц, а зарплатный фонд ограничен ... весь текст скрыт [показать]
     
  • 2.36, EHLO, 23:50, 17/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Для начала не генерить не зашифрованные ключи и не хранить не зашифрованные паро... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Аноним, 11:57, 17/11/2017 [ответить] [смотреть все]  
  • –5 +/
    Кто-нибудь ещё посмеет оспорить, что гитхаб - это удобно?
     
     
  • 2.7, мимо, 12:47, 17/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    ты хотел написать "публичный гит"?
     
     
  • 3.16, Аноним, 14:15, 17/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Явки с паролями хранят в VCS только полные идиоты Не важно, публичный он или вн... весь текст скрыт [показать]
     
  • 2.8, ., 12:50, 17/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    удобно-удобно, только что-то быстро все удаляют - кто успел слить ключи и прошив... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, SysA, 13:06, 17/11/2017 [^] [ответить] [смотреть все]  
  • +/
    По данным заметивших ключи исследователей, архив находился в открытом доступ... весь текст скрыт [показать]
     
     
  • 4.11, koblin, 13:10, 17/11/2017 [^] [ответить] [смотреть все]  
  • +/
    а как часто обновляются прошивки, загрузчики и списки отозванных сертификатов на... весь текст скрыт [показать]
     
     
  • 5.24, Ilya Indigo, 17:25, 17/11/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Подозреваю что раз в никогда ... весь текст скрыт [показать]
     
  • 4.13, ., 13:32, 17/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    быстро удалили после разболтавших о ключах исследователях А так - кто ж знал-то... весь текст скрыт [показать]
     
     
  • 5.19, AnonPlus, 15:35, 17/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Я помню, была новость о сервисе, который периодически делал бекапы популярных ре... весь текст скрыт [показать]
     
  • 3.22, Аноним, 17:04, 17/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну так на то есть форки https github com MAVProxyUser skypixel_lottery blob m... весь текст скрыт [показать]
     
     
  • 4.26, Аноним, 17:41, 17/11/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Так на амазон и не нужно лезть Выпилить зонды из прошивки на своем дроне уже бо... весь текст скрыт [показать]
     
     
  • 5.30, Аноним, 21:23, 17/11/2017 [^] [ответить] [смотреть все]  
  • +/
    А куда ещё ты собрался лезть с ключом от AWS Все остальные ключи там лежат ... весь текст скрыт [показать]
     
     
  • 6.32, Аноним, 22:23, 17/11/2017 [^] [ответить] [смотреть все]  
  • +/
    из новости следует, что ключи которыми были пошифрованы прошивки тоже были в арх... весь текст скрыт [показать]
     
  • 1.23, Ilya Indigo, 17:22, 17/11/2017 [ответить] [смотреть все]  
  • +1 +/
    > ... архив находился в открытом доступе от двух до четырёх лет.

    Просто 3.14...

    > Последний абзац.

    Ну хоть у кого-то мозги есть не подписывать разную хрень за копейки.
    Ну да, далеко не за копейки, но всё же.

     
     
  • 2.37, Аноним, 05:29, 18/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну и что ты узнал нового благодаря его принципиальности Что люди ошибаются и чт... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, ACCA, 09:09, 18/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Да там не про деньги был базар. Чувак написал вежливое письмо. Письмо переправили менеджеру. Менеджер переправил в юр. отдел. Из юр. отдела чуваку прислали писульку - "А вот подпиши, что ты нам и так торчишь и этак, и вообще нам по жизни должен"

    Получили встречное предложение - "Многа букаф, ниасилил. И вообще, не пошли бы вы, 3.14доры найух!"

     
     
  • 4.42, zanswer CCNA RS and S, 18:41, 19/11/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Справедливости ради, стоит сказать, что общался он с менеджером не мало и письмо... весь текст скрыт [показать]
     
  • 3.40, ram_scan, 18:03, 18/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    > Ну и что ты узнал нового благодаря его принципиальности? Что люди ошибаются и что короткий пароль в нашем мире ценится дороже гигабайтов мусора с гитхаба? Ты вчера об этом не догадывался?

    Корпорасты по какой-то странной причине не одупляют кто в этой ситуации кого за фаберже держит и кто кому должен. За что и поплатились.

    Им вежливо предложили замять вопрос, а они пальцы разогнули что мол мы вот тут обосрамились но ///0пу будем вытирать себе на своих условиях.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor