Bereits im Januar ist bekannt geworden, dass wichtige Private Keys von DJI auf dem Online-Software-Repository GitHub in Klartext veröffentlicht worden waren. Der verantwortliche Entwickler wurde nun zu einer Haftstrafe verurteilt.
Die Private Keys waren zur Verschlüsselung der Flight Controller Firmware eingesetzt worden. Dritte, mit Zugriff auf kritische Teile der Drohnen-Firmware von DJI*, wurden durch die in Klartext (das heißt ganz einfach lesbar) veröffentlichten Schüssel in die Lage versetzt, das Verhalten des Flight Controllers zu manipulieren.
Geo-Fencing betroffen
Potenzielle Veränderungsmöglichkeiten ergeben sich durch die Kenntnis über die Private Keys zum Beispiel im Bereich des GeoFencings. Mit dieser Funktion verhindert DJI, dass die Drohnen in sogenannten „No Fly Zones“ überhaupt aufsteigen oder hineinfliegen kann. Durch Entschlüsselung und Manipulation der Firmware wäre eine solche Limitation des Fluggerätes entfernbar.
Auch andere Drosseln und Funktionsbeschneidungen in Sachen Geschwindigkeit ließen sich nach Entschlüsselung einsehen.
Ganz zu schweigen natürlich von der Tatsache, dass dem Unternehmen ein Schaden entstanden wäre, hätten Dritte im Allgemeinen Einblick in den geheimen Quellcode Einblick erhalten.
Auch SSL-Zertifikat der DJI-Website betroffen
Ebenfalls veröffentlicht wurde in diesem Zusammenhang ein Domain-Weites SSL-Zertifikat samt Private Key, welches für die DJI-Webseite *.dji.com gültig war.
Mit diesem Private Key ist es für technisch visierte Personen theoretisch möglich gewesen, sich selbst als DJI-Website auszugeben und zwischen den Kunden und DJI zu klemmen, um Daten zu stehlen (wir denken da z.B. an Zahlungsinformationen für den Online-Store).
Da die Veröffentlichung schnell bemerkt wurde, scheint keines der oben genannten Szenarien eingetroffen zu sein.
Verantwortlicher Entwickler zu Haftstrafe verurteilt
Der für die Veröffentlichung der DJI Private Keys verantwortliche Entwickler wurde im April zu einer Haftstrafe von 6 Monaten verurteilt. Außerdem wurde eine Geldstrafe von knapp 30.000 US-$ verhängt. Das Urteilt beruht auf der Veröffentlichung von Betriebs- und Geschäftsgeheimnissen.
Der Arbeitsvertrag des Verurteilten wurde bereits am 26. Januar 2019 beendet. Der vom Gericht bezifferte Schaden für DJI* beläuft sich auf circa 175.000 US-$.
Wer sich für die Korrespondenz zwischen dem verurteilten Programmierer und dem Entdecker der Keys auf GitHub interessiert, findet diese auf Twitter.
Drone-Zone.de’s Meinung
Laut verschiedener Berichte, wurden die Private Keys im Januar damals nicht mit böser Absicht veröffentlicht. Stattdessen erstellte der Entwickler offensichtlich eine öffentliche Fork von vier verschiedenen Private Cloud Repositories mit den Namen ’spray-system‘, ‚Management-platform‘, ‚real_time_serve_v1‘ und ‚real_time_serve‘. Diese enthielten auch die Private Keys im Quelltext.
Das die verantwortliche Personen nun strafrechtlich verurteilt wurde, stellt die Brisanz des Themas dar. Es ergibt sich für uns jedoch eine Frage: Warum ist ein Entwickler in erster Instanz überhaupt in der Lage, Verschlüsselungs-Keys einzusehen (oder Reposiories, die diese enthalten), die für die Produktion von Produkten verwendet werden?
Je nach Infrastruktur gibt es außerdem effektive Wege, kritische Private Keys vor fremden Zugriffen zu schützen. Das die Schlüsse in einem Cloud Repository (egal ob public oder private) in Klartext hinterlegt waren, sollte kritisch hinterfragt werden.
DJI* dürfte in diesem Fall mit einem Schreck davon gekommen sein. Die Vorfälle zeigen, dass Cyber Security im Drohnen-Bereich in den nächsten Jahren noch deutlich mehr Aufmerksamkeit zukommen wird. Denn mit höherer Verbreitung der Geräte werden Drohnen (vor allem die Produkte eines Marktführers) immer mehr zu einem lohnenden Ziel für Cyber Attacken.
Quelle: The Register
