學(xué)號(hào)：16020120050

姓名：吳言凡

轉(zhuǎn)自：https://www.leiphone.com/news/201711/cKvjlQXkldcT143S.html

【嵌牛導(dǎo)讀】：如果用一個(gè)詞形容廠商與白帽子之間的關(guān)系，大概就是相愛相殺吧。

【嵌牛鼻子】：網(wǎng)絡(luò)安全，漏洞發(fā)現(xiàn)者

【嵌牛提問】：區(qū)別“白帽子”和黑客的界限究竟是什么？為了產(chǎn)品安全，“白帽子”是否應(yīng)該堅(jiān)守某些職業(yè)準(zhǔn)則？

【嵌牛正文】：

雖然多數(shù)情況廠商與這些漏洞發(fā)現(xiàn)者都保持融洽的關(guān)系，但也有不少案例是“相殺”。近期就發(fā)生了一件事，大疆和一位提供漏洞的白帽子發(fā)生爭(zhēng)執(zhí)，這位白帽子還直接 po 出長(zhǎng)文掛了大疆。

白帽子 KF 的一擊直球

事情是這樣的，今年八月大疆推出了 bug bounty 項(xiàng)目，也就是安全響應(yīng)中心，主要面向國(guó)外的白帽子，為鼓勵(lì)他們提交漏洞大疆設(shè)置了根據(jù)問題嚴(yán)重程度從?100-30000 美元不等的獎(jiǎng)金金額，涉及的問題包括軟件安全、飛行安全以及應(yīng)用程序穩(wěn)定性等。

雷鋒網(wǎng)從主角凱文·菲尼斯特爾（Kevin Finisterre）在推特po出的長(zhǎng)文中了解到，Kevin 在看到這則消息后，郵件聯(lián)系了大疆了解項(xiàng)目包括的具體范圍，并在兩周后得到大疆回復(fù)確認(rèn)他提出的漏洞在項(xiàng)目范圍內(nèi)。

于是 Kevin 和搭檔整理了長(zhǎng)達(dá) 31 頁的漏洞報(bào)告，其中指出他們獲得了大疆意外發(fā)布至 GitHub 的 SSL 認(rèn)證私鑰，從而可以獲得儲(chǔ)存在大疆服務(wù)器上的敏感用戶信息。

簡(jiǎn)單說，由于大疆使用 Github 管理源代碼，并且沒有進(jìn)行加密，導(dǎo)致部分私鑰變公鑰，諸如 SSL 密鑰、AWS Key 等密匙可以在大疆服務(wù)器下載包括飛行日志在內(nèi)的用戶資料。

更可怕的是，這些鑰匙已經(jīng)明晃晃掛在 Github 上四年了……

總之，在了解漏洞后大疆提供給 Kevin 3 萬美元的獎(jiǎng)勵(lì)金，Kevin 還興沖沖地跑去給自己預(yù)定了一部特斯拉 Model 3。

但是，大疆對(duì) Kevin 開出了條件，要求他簽署 NDA （保密協(xié)議）。協(xié)議包含不能公開討論工作細(xì)節(jié)，并且不能提到他曾經(jīng)為大疆從事過信息安全方面的工作，以及不能向任何第三方泄露這些漏洞的全部細(xì)節(jié)。Kevin 的長(zhǎng)文中還提到，在雙方協(xié)商期間，大疆的法務(wù)團(tuán)隊(duì)曾發(fā)給他一封郵件，威脅如果不從的話，要用《計(jì)算機(jī)欺詐和濫用法》起訴他。

▲Kevin 文中取消?Model S 預(yù)訂的截圖

Kevin 認(rèn)為這是種赤裸裸的威脅，因此他最終決定放棄這筆獎(jiǎng)金（且取消了 Model S 的預(yù)定）并公開了自己的經(jīng)歷。

附上原文鏈接：http://www.digitalmunition.com/WhyIWalkedFrom3k.pdf

大疆反勾拳

對(duì)于 Kevin 的聲明大疆則迅速反擊。

主要針對(duì)幾點(diǎn)內(nèi)容：

第一，Kevin 在發(fā)現(xiàn)密鑰后，沒有像其他白帽子一樣僅僅提交漏洞報(bào)告，而是利用該密鑰下載了部分?jǐn)?shù)據(jù)。這屬于未經(jīng)授權(quán)入侵大疆服務(wù)器的行為，可能侵犯用戶隱私安全。

第二，與 Kevin 溝通后，其拒絕簽訂旨在保護(hù)用戶隱私的保密協(xié)議，并就大疆拒絕其要求而對(duì)大疆進(jìn)行了信息安全威脅。（所以到底是誰威脅誰？）另外，大疆方面告訴雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))，KF提出了無法滿足的要求，包括執(zhí)意要公布這一漏洞。而在談判破裂后，KF和他的朋友確實(shí)不斷在twitter上暗示自己得到了大疆的“保密數(shù)據(jù)”?！暗@無法驗(yàn)證。講句不恰當(dāng)?shù)脑?，KF或者是一個(gè)‘壞人’，或者是一個(gè)‘騙子’，但這都不是白帽子通常會(huì)做的事。”

第三，Kevin 就職于大疆某競(jìng)爭(zhēng)公司?Department13，其旗下的產(chǎn)品與大疆的新型AeroScope系統(tǒng)構(gòu)成直接競(jìng)爭(zhēng)關(guān)系。而且大疆對(duì)雷鋒網(wǎng)強(qiáng)烈表示，Kevin并非媒體口中的白帽子，曾經(jīng)還因?yàn)楹谌?3DR 被克里斯安德森封殺了 3DR 賬號(hào)。

以下為11月16日大疆官方回應(yīng)原文：

大疆創(chuàng)新正在調(diào)查一起未經(jīng)授權(quán)入侵大疆服務(wù)器數(shù)據(jù)的信息安全事件，其中可能涉及大疆用戶所提交的個(gè)人信息。為了保障用戶數(shù)據(jù)安全，大疆已經(jīng)聘請(qǐng)了一家獨(dú)立的網(wǎng)絡(luò)安全公司來進(jìn)行調(diào)查，確定這一入侵事件的整體風(fēng)險(xiǎn)及帶來的影響。

今天，一位獲取了這些數(shù)據(jù)的黑客在網(wǎng)上公布了他與大疆員工的保密通信，稱其試圖獲得大疆安全響應(yīng)中心的“漏洞報(bào)告獎(jiǎng)勵(lì)”而被駁回。 事實(shí)上，該黑客通過大疆未公開的密鑰以不當(dāng)方式獲得數(shù)據(jù)，這并不符合大疆安全響應(yīng)中心的初衷與規(guī)則。

這位黑客在發(fā)現(xiàn)密鑰后，并沒有像其他白帽子一樣僅僅提交漏洞報(bào)告，而是利用該密鑰下載了部分?jǐn)?shù)據(jù)。在大疆創(chuàng)新與其溝通后，他拒絕簽訂旨在保護(hù)用戶隱私的保密協(xié)議，并就大疆拒絕其要求而對(duì)大疆進(jìn)行信息安全威脅。

大疆創(chuàng)新建立安全應(yīng)急響應(yīng)中心以鼓勵(lì)獨(dú)立安全研究人員提交潛在的安全漏洞，其要求研究人員遵循的標(biāo)準(zhǔn)條款旨在倡導(dǎo)負(fù)責(zé)任的漏洞披露，保證在發(fā)掘過程中能夠充分保護(hù)用戶隱私，避免造成數(shù)據(jù)泄露損害用戶利益。

大疆始終重視用戶數(shù)據(jù)安全，并誠(chéng)摯感謝研究人員負(fù)責(zé)任地發(fā)掘及披露可能影響大疆用戶數(shù)據(jù)和大疆產(chǎn)品安全的技術(shù)問題，持續(xù)改進(jìn)產(chǎn)品。自安全響應(yīng)中心建立以來，大疆已向十幾名同意標(biāo)準(zhǔn)條款并提交漏洞報(bào)告的安全研究人員支付了數(shù)千美元獎(jiǎng)金。而這一項(xiàng)目還將繼續(xù)進(jìn)行，隨著更多新漏洞報(bào)告的提交，大疆也將為更多安全研究人員支付獎(jiǎng)金。

昨日大疆在上述聲明的基礎(chǔ)上補(bǔ)充了兩個(gè)信息：

該黑客就職于Department13公司。該公司旗下的產(chǎn)品與大疆的新型AeroScope系統(tǒng)構(gòu)成直接競(jìng)爭(zhēng)關(guān)系。在大疆發(fā)布了AeroScope系統(tǒng)后，Department13的股價(jià)大幅下跌20%，跌至21個(gè)月以來的低點(diǎn)。

大疆高度重視客戶數(shù)據(jù)的隱私保護(hù)，并不斷采取措施提高數(shù)據(jù)的安全性。除非客戶自主選擇與大疆服務(wù)器同步飛行記錄，或?qū)⒄掌蛞曨l上傳至天空之城，或?qū)a(chǎn)品實(shí)物送至大疆進(jìn)行維修，否則大疆絕不會(huì)訪問無人機(jī)飛行期間生成的飛行記錄，照片或視頻等數(shù)據(jù)。

大疆告訴雷鋒網(wǎng)，目前其已經(jīng)重新部署了私鑰。另一方面，大疆也透露截止發(fā)稿前兩天，KF 仍在嘗試用其他方法攻擊大疆不同產(chǎn)品服務(wù)器。

顯然，雙方各執(zhí)一詞。