Начало проблем
В августе 2017 года китайская компания DJI, являющаяся одним из лидирующих производителей мультикоптеров для потребительского рынка, объявила о запуске собственной программы вознаграждения за уязвимости. Тогда сообщалось, что специалистам, обнаружившим проблемы в ПО DJI, предложат от 100 до 30 000 долларов США.
К запуску bug bounty инициативы компанию фактически подтолкнул конфликт с собственными пользователями, который постепенно развивался и прогрессировал минувшим летом.
Напомню, что производитель мультикоптеров уже некоторое время применяет в своих устройствах геозонирование и ограничение скорости. По сути, в настоящее время DJI имеет черные GPS-списки, которые, к примеру, препятствуют полетам в радиусе 15 миль от Вашингтона, вблизи аэропортов, тюрем, военных объектов и так далее.
И если в некоторых запретных зонах все же можно летать (пользователь лишь увидит предупреждение), то другие совсем закрыты для беспилотников, и могут быть «разблокированы» только сотрудниками DJI, которые рассматривают соответствующие заявки, или доступны только пользователям DJI с верифицированными аккаунтами. Нередко операторы беспилотников жалуются, что ограничения DJI не дают им запускать БПЛА даже в тех зонах, где никаких ограничений быть не должно.
Разумеется, происходящее пришлось не по нраву многим пользователям, которые придумали немало способов обхода этих запретов. В ход пошел джейлбрейк летательных аппаратов при помощи, как аппаратных, так и софтверных модификаций. В итоге DIY-сообщество навязало DJI своеобразную «гонку вооружений». Компания принялась выпускать обновления ПО, которые препятствовали реализации джейлбрейков, а также стала спешно удалять с серверов уязвимые перед взломом версии прошивок. Следующим логичным шагом стало учреждение программы выплат за уязвимости.
Конфиденциальные данные и юридические угрозы
В конце прошлой недели ИБ-специалист Кевин Финистерре (Kevin Finisterre), ранее размещавший на GitHub собственные решения для взлома аппаратов DJI, обнародовал у себя в твиттере ссылку на гневный 18-страничный документ (PDF), в котором рассказал, что обнаружил огромные проблемы в GitHub-репозитории DJI, хотел принять участие в официальной программе bug bounty производителя, но добился лишь того, что теперь ему угрожают судебным преследованием.
Welp… here it is. The @djiglobal @djienterprise AWS key leak writeup & why I walked away from $30,000 bounty loot. https://t.co/GiRp52IJKO pic.twitter.com/Z5nCMLcoJW
— KF (@d0tslash) November 16, 2017
Найденные Финистерре проблемы вряд ли можно назвать несущественными. Так, аналитик обнаружил, что в GitHub-репозитории DJI, на протяжении 2-4 лет, свободно хранился приватный ключ от wildcard-сертификата для *.dji.com. Такие сертификаты позволяют владельцу домена использовать один сертификат для всех поддоменов на разных серверах. В том же репозитории обнаружились учетные данные от аккаунта AWS и AES-ключи шифрования от прошивок DJI.
Хуже того, неверно настроенный бакет AWS S3 раскрывал личные данные множества пользователей беспилотников DJI. Финистерре пишет о незашифрованных полетных логах, паспортах, водительских удостоверениях и других ID. Причем более новые логи и личные данные были зашифрованы с использованием статического OpenSSL пароля, то есть назвать их защищенными тоже вряд ли возможно. Финистерре говорит о «полной компрометации инфраструктуры» компании, и замечает, что в свете этих находок, ему становится понятно, почему ранее в этом году армия США решила наложить запрет на использование продукции DJI.
В своем докладе исследователь подробно описывает, как на протяжении многих месяцев он общался с представителями DJI в США и пытался добиться выплаты по программе вознаграждений. В DJI признали, что исследователь заслужил максимальную награду в размере $30 000, но для начала эксперту предложили подписать соглашение о неразглашении информации (non-disclosure agreement, NDA), от содержания которого Финистерре пришел в ужас. В результате, после многомесячных препирательств (стороны обменялись более чем 130 письмами), специалист потерял терпение, решил оказаться от денег и рассказал о проблемах DJI во всеуслышание.
Журналисты издания The Register, с которыми пообщался сам Финистерре и еще несколько ИБ-специалистов, пожелавших сохранить инкогнито, рассказывают, что представители DJI требуют подписать NDA до совершения выплат, но после подписания документа компания фактически владеет и самим ИБ-специалистом и всеми его действиями.
«Я не буду вдаваться в детали, но соглашение, которое предложили мне в DJI, по существу не предлагает исследователям никакой защиты. Лично для меня формулировки ставили под угрозу мое право на мою же работу, а также провоцировали прямой конфликт интересов в отношении многих вещей, включая мое право на свободу слова. Это выглядело как какая-то шутка», — пишет Финистерре в докладе.
В итоге, когда стало очевидно, что исследователь не станет подписывать NDA, представители DJI сделали ему последнее предложение, в котором начали угрожать преследованием (пока завуалировано), в соответствии с федеральным законом «О компьютерном мошенничестве и злоупотреблении» (Computer Fraud and Abuse Act, CFAA).
«Если вам интересно, утруждаются ли в DJI хотя бы отвечать мне теперь, когда я получил угрозу юридическим преследованием в рамках CFAA, вы будете рады узнать, что они хранят полное “радиомолчание” с тех самых пор. Личные сообщения в Twitter прекратились, SMS остаются без ответов и так далее. Холоднокровная тишина», — резюмирует Финистерре.
Изданию ZDNet удалось получить комментарий представителей DJI, в котором те сообщили, что «проводят расследование неавторизованного доступа к одному из серверов DJI, где хранились персональные данные, добавленные самими пользователями». Также представители DJI утверждают, что привлекли к расследованию инцидента и его возможных последствий независимую ИБ-компанию. Более того, в своем заявлении компания называет Финистерре «хакером»:
«Сегодня хакер, который сумел получить некоторые из этих данных, опубликовал в онлайне конфиденциальную переписку с сотрудниками DJI, посвященную его попыткам заявить свое право на bug bounty от DJI Security Response Center. <...> DJI призывает специалистов следовать стандартным правилам bug bounty программ, которые призваны защищать конфиденциальную информацию, а также дают время на анализ и устранение уязвимостей перед публичным раскрытием данных о них».
Фото: BRENDON THORNE / STRINGER/ GETTY
