关于大疆证书密钥信息泄露事件的思考

4,205 阅读6分钟

白帽子袁炜在乌云网提交世纪佳缘漏洞被抓一事,你应该有所耳闻吧?这在当时引起了不小的轰动,白帽子与企业如何相处一度成为一大热门话题。

就在近日,一则白帽子遭大疆威胁的事件,再一次将白帽子与企业信息安全推上了风口浪尖。下面我们一起来看看事情的经过。


1. 开端

今年 8 月份,大疆发起了一个“bug bounty”项目(编者注:有奖征集bug),旨在吸引安全研究人员提交相关漏洞。根据 bug 的严重程度,参与者可获得 100 到 30000 美元不等的奖金。

活动开始没几天,有一名白帽子(Kevin Finisterre,下简称 Kevin)向大疆汇报了一个相当严重的问题:

大疆的 SSL 证书和 AES 加密密钥已被公开在 GitHub 上。在新密钥被创建和部署之前,当前的加密措施将形同虚设。

可怕的是,这些证书和密钥在 Github 上已经挂了四年了。

Kevin 发现他能够利用这些钥匙(密码)访问大疆用户上传的私人数据——不仅是飞行日志和航拍照片,而且还有政府ID、驾照和护照。此外,一些飞行日志似乎还来自政府和军事领域。



大疆确认后,表示会提供给 Kevin 3 万美元的奖励金。Kevin 当时高兴的想用这笔钱买辆车,于是给自己预定了一部特斯拉 Model 3。


2. 转折

然后,事情远没有想得那么简单。随着事情发展,一切变的复杂了。

据 Kevin 纰漏,在与大疆方面经过了长时间邮件沟通之后,大疆为防止漏洞被公开利用,对 Kevin 提出了严格的保密要求。

这就意味着,Kevin 想获取这笔奖金,就必须得签署保密协议。要知道,对于白帽子来说,被公众认可和获得金钱奖励一样重要,所以 Kevin 内心是拒绝的。

接下来,更让人大跌眼镜的是,大疆还根据《计算机欺诈和滥用法》(CFAA)发出了指控,指控 Kevin “未经授权访问和传输信息”



这一下,惹毛了 Kevin,保密得不到认可不说,还要指控我。那干脆,撕票!


3. 高潮

在与多名律师讨论后,最终 Kevin 决定放弃奖金以远离是非,并将其发现的漏洞公之于众。当然,他没有忘记取消先前预定的特斯拉 Model 3。


事情之所以会走到这一步,其实也是双发各执一词。

在 Kevin 看来,其在于至少 4 名律师沟通后,认为该协议不仅极其不合理,而且大疆还很可能用恶意的手段让任何签署协议的人“闭嘴”。

在大疆看来,Kevin 在发现密钥后,并没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。在与 Kevin 沟通后,其拒绝签订旨在保护用户隐私的保密协议,并就大疆拒绝其要求而对大疆进行信息安全威胁。大疆认为,Kevin 通过大疆未公开的密钥以不当方式获得数据,这并不符合大疆安全响应中心的初衷与规则。


4. 结局

目前,该事件还在扯皮中,到底是 Kevin 以不当方式获得数据,还是大疆旨在掩盖漏洞,事情破发后强行加罪,我们不得而知,感兴趣的同学可以持续关注下。


5. 总结

回顾袁炜与世纪佳缘的事件,再联系 Kevin 和大疆的风波,本想与大家谈谈自己对移动端信息安全问题的看法,毕竟很多读者都是 Android 开发者。

但考虑到信息安全的真正含义,我觉得信息安全问题大多不在于终端,当然,也与其搭载的 OS 无关。换句话说,如果移动端的问题不存在数据泄露,那么其最多算是一个 bug,而不是信息安全问题。

要知道,终端说白了无非是用户接入互联网服务的连接器。随着用户接入互联网的成本降低,用户开始更多的使用云服务,将一些个人数据、信息都通过云服务存在云端。当企业在信息安全方面缺乏安全意识,或存在漏洞时,就会出现用户数据泄露的奉献。

既然不适合聊移动端安全问题,那么,我们不如将目光转向白帽子与企业的关系上。白帽子与企业的关系,理论上应该是正向的,用乌云创始人的话解释再恰当不过了:

  1. 白帽子发现和报告安全问题

  2. 企业修复并披露安全问题

  3. 用户了解信息安全从而对企业提出信息安全要求

  4. 企业加强信息安全建设和提升白帽子价值

  5. 更多的白帽子学习和加入到这个过程

  6. 白帽子发现和报告安全问题...


当然,这一切都基于二者关系处理得当的前提下。


对于白帽子而言,其本质上是 Hacker(黑客),而不是 Cracker(骇客)。Hacker 是褒义词,只是被媒体滥用而让人误解为贬义词,对此不了解的同学建议看看《黑客与画家》一书中对于黑客的定义。

所以,白帽子作为黑客,其行为应该不带有任何商业利益,如果其以商业利益为出发点,则不再是被定义的黑客,而是骇客,就有一种搞破坏的味道了。


对于企业而言,信息安全是不容忽视的。企业应当重视信息安全,并让用户了解其信息安全的建设过程。当出现安全问题时,公众有权利知晓。

企业在这过程中,如果不能正视信息安全问题,以保护用户信息为宗旨,而是将其作为幌子。那么,信息安全只会成为企业的遮羞布,而不是用户的保护伞!


最后,无论结局如何,希望白帽子与企业的关系都能被正视,就像文中提到的,是呈正向循环的。


本文首发于公众号《Android进阶之旅》,欢迎关注~