冰晨科技 为普及中国网络技术做贡献!

冰晨科技
blog.u1f.cn

大疆和一个白帽子的故事

今天文章的封面是一个白帽子,或者说安全研究员,名叫 Kevin Finisterre. 他是今天故事的主角。

几个月前,大疆启动了一项安全漏洞奖励计划。为发现大疆系统和服务安全漏洞的安全研究者(也称白帽子)提供 100 到 30000 美元不等的奖金。

Kevin 看到这个消息,给大疆发了一封邮件询问这个计划包括的详细范围。不得不提一句,这是老司机的做法。因为打着悬赏的旗号要免费漏洞而且最后不认账的公司太多了,多少白帽子为此心碎过。

大疆在 2 周后回信,确认 Kevin 提出的范围在悬赏范围内。

于是 Kevin 一通忙活,辛苦几周之后,给大疆提供了一份多达 31 页的漏洞报告。这份报告主要包括的漏洞其实就只有一个,为了让大家看得明白我用一张图片应该就能解释清楚:

什么意思呢?大疆的工程师在使用著名的同性交友平台 Github 管理他们的源代码。与此同时『不小心』把本应该保密的部分私有代码变成了人人都可访问的公开代码。好死不死,这些代码里有大疆的很多数据钥匙。比如 SSL 密钥,比如上图里的 AWS Key 和密钥。

而这些钥匙,在 Github 上『我家大门常打开』状态保持最久的,有 4 年。

Kevin 进一步验证了利用这些密钥,可以从大疆的服务器上下载大量用户文件,包括飞行日志。

大疆的工程师一脸懵逼,在和 Kevin 通了 130 多封邮件之后终于搞明白这事有多大。然后进一步确认了, Kevin 的这个发现,按照大疆的奖励计划,价值 3 万美元——顶格奖励。

这中间还发生了一些故事,因为以为自己能赚到这笔钱,Kevin 兴冲冲地跑去给自己预定了一部特斯拉 Model 3.

结果是一定会逆转的。

大疆在准备支付这笔奖金之前,给 Kevin 寄去了一份措辞严格的法律文件,需要 Kevin 签署 NDA (保密协议)。作为 NDA 的一部分,Kevin 需要为潜在的可能泄露这些漏洞所造成的后果负责,并且他不能向任何第三方泄露这些漏洞的全部细节。

必须说一句,这种方式在安全领域是对白帽子极其不公平不尊重的。姑且不论 Kevin 的工作成果是否仅仅价值 3 万美金,安全界的漏洞公布及署名权是一种江湖地位和声誉的体现。仅有严格受雇的安全研究人员才会接受雇主的要求,对研究成果保密。第三方漏洞发现者的披露权和署名权是基本权利,这一点上,微软和苹果做得都不错。

国内?大概率你会收到这种回复。

故事的结局是 Kevin 经过慎重考虑,放弃了这笔奖金并且取消了 Model S 的预定,并且把整个过程写了一篇文章(PDF),发布在 regmedia 上。感兴趣的,可以通过这个地址访问到 Kevin 的原文:

https://regmedia.co.uk/2017/11/16/whyiwalkedfrom3k.pdf

这就是整个故事。哦,对了,大疆后来出了一个新闻稿,大致意思我也懒得复述了,有兴趣的可以自己去看看。

大疆,好样的。

这样的环境,能培养出什么样的安全研究者呢?关站至今的乌云,和 1 年多没有发过朋友圈的小顿,也许能回答这个问题。

 

相关推荐


Copyright © 2013-2017 冰晨科技 版权所有

湘ICP备17008084号