“道德黑客”试图让一家制作赌博程序的公司睁开眼睛,注意产品中的错误-但最终一切都陷入了困境
在公司中发现安全问题的人通常很难尝试将其告知。 但是,这种情况很少会出现公平对抗,相互攻击和勒索的指责。
然而,这正是总部位于密歇根州西布卢姆菲尔德的Atrient赌场技术高级管理人员停止回应两名来自英国的网络安全研究人员的报告时发生的事情关于所谓的公司保护方面的缺陷。 研究人员以为他们已经同意为自己的工作付费,但没有得到任何回报。 2019年2月5日,其中一位23岁的澳大利亚人迪伦·惠勒(Dylan Wheeler)居住在英国,来到伦敦展览会的Atrient展位亲自与公司的首席运营官打交道。
接下来发生的事情还不是很清楚。 惠勒说,Atrient的首席运营官杰西·吉尔(Jesse Gill)与他争论,并最终撕下了他的徽章。 吉尔坚称自己没有做任何事情,并指责惠勒试图勒索。
这些麻烦导致了法律威胁和相互混淆,并在Twitter上发表了评论。 Rapid7的研究主管Tod Beardsley是这场表演的观众之一。 Beardsley开玩笑说:“我的第一反应是……嗯,我希望供应商因暴露此漏洞而打我。” 这比对发现“”的错误的任何奖励都更好。
Bingo揭示漏洞:
-我们仍然没有任何黑客手段;
-如果没有技术支持合同,我们将无法接受您的报告;
-我们的普通用户不会这样做,这不是问题;
-该产品即将关闭;
-禁止非法行为的命令;
-完全沉默;
-我们打电话给警察;
-我们使用军事级加密;
-如此构思;
-我们知道这一点,我们正在开发一个新版本;
-我们不认为这是一个漏洞;
-我们保留了所有默认设置;
-你为谁工作?
-此限制反映在文档中,并且每个人都知道它,没有理由修复它;
-本产品仅供内部使用,不能访问Internet。这个故事只是研究和发现漏洞时可能出现的问题的教科书示例。
许多大型公司和技术供应商都支持错误奖励,从而重定向了第三方黑客和安全研究人员解决软件和基础架构问题的工作-但是,绝大多数公司没有明确的机制让第三方共享有关其漏洞的信息。安全性。
在发现此类公司的漏洞时,比尔兹利说:“作为回应,我收到了从沉默到积极无视的一切信息-“我不想听到这个消息!”-以及要求停止非法行为的信件。 所有这些,但是我收到了很多积极的评价。 “我与在披露漏洞方面经验不足的人一起工作,我帮助他们弄清楚了这一点。”
在这种情况下,两个相对缺乏经验的“道德黑客”试图找出对他们而言相对较严重的安全问题,而Atrient的主管则认为,有几个没有原则的黑客正试图从中牟利。 由于Wheeler,Atrient和其他股东(包括美国一家主要的赌场运营商和FBI网络部门)之间长达数月的通话记录和电子邮件通信,我们对事情的发展有了一个很好的了解。
公司介绍
拉斯维加斯麦特伦办公室,靠近麦卡伦国际机场
Atrient West Bloomfield总部位于此大楼。Atrient是一家小型公司,在赌场和博彩业中的业务非常狭窄。
Atrient由Sam Attisha和Dashinder Gill于2002年4月成立,最初名为Vistron,Inc.,并在一年后根据州名册重新命名,最初从事技术咨询。 她为招聘IT员工,软件开发,创意服务和项目管理提供了“定制解决方案”。 在短时间内,该公司通过开设Vistron Wireless Inc.进入无线业务。 如公司注册文件中所述,“为无线行业提供市场营销和技术服务”。
在其存在的几年中,在线赌场软件的集成也已进入公司的活动领域。 到2015年,Atrient主要致力于PowerKiosk赌场用户忠诚度系统,结合单个老虎机,电子设备和移动应用程序来跟踪赌博玩家,并为他们提供奖励,特殊游戏和营销优惠。 该系统可以通过会员卡,蓝牙信标和使用移动应用程序的地理位置跟踪用户,以及存储玩家收到的奖金的成本。
Atrient在拉斯维加斯设有一个销售和客户支持办公室,但其总部位于密歇根州西布卢姆菲尔德的一个小型商业中心。 它位于牙医办公室和H&R Block Advisors办公室的二楼,下面是一个甜甜圈咖啡馆和一个床垫商店。 Atrient的办公室是另一家外包IT公司
Azilen ,该公司在印度有两个办事处,在比利时有一个办事处。 Atrient和Azilen之间的关系尚未完全了解; 至少有一位来自Azilen的开发商现在于2018年5月在印度海得拉巴的Atrient工作。
显然,Atrient在其利基市场上感觉不错,并在赌场和赌博领域的最大公司中拥有合作伙伴。 Konami于2014年与她达成了一项协议,获得独家权利将Atrient软件产品分发给现有的Konami客户。 Atrient还将其软件集成到Scientific Games Bally Technology和International Game Technology游戏系统中。
在过去的一年中,Atrient与游戏和金融软件公司Everi Holdings进行了谈判,最终于2019年3月12日达成谈判,当时宣布Everi将“收购Atrient的某些资产和知识产权”。 根据合同中规定的某些条件,该交易在接下来的两年中花费在4000万美元中,包括2000万美元的活动资金和额外付款。 安全研究人员希望在这些谈判中能被听到。
研究人员
我们的研究人员在信息安全方面有一定经验,但是您不能说他们是行业资深人士。 惠勒(Wheeler)今年23岁,他的Atrient伙伴是17岁的英国人,他通过电子邮件和电话被称为本。 Ben研究信息技术,并在Twitter和其他网络上以昵称@ Me9187或简称为“ Me”写作。
惠勒(Wheeler)过去在法律方面存在相当严重的问题-吉尔(Gill)在社论回应中立即指出了这一点,并在2月5日的伦敦展览上发表了评论。 惠勒(Wheeler)到澳大利亚后,就在未成年时被指控黑客入侵,然后在20岁时从保释金中逃脱到捷克共和国,以避免受到刑事起诉。 惠勒本人声称他的案子在澳大利亚已经结案,并决定不进一步追捕他。 他说,他现在在英国合法存在,而且当局知道他的“犯罪过去”。
惠勒(Wheeler)告诉编辑部:“我14岁时就被打开了大门。他说,根据澳大利亚法律,他的案子无法出版(尽管许多澳大利亚报纸都对此案进行了详细描述)。 “但是无论如何,过去已经过去了。” 我会尽量保持透明,但我不喜欢我的过去激起Atrient。 这是一个信息安全行业,许多人都有黑暗的过去。”
穿越Shodan
通过Internet,您可以访问100,000多个Jenkins服务器; 其中许多漏洞可以通过Shodan.io和Censys.io找到。2018年10月29日,惠勒和我正在互联网上搜索易受攻击的系统。 他们通过Web请求和通过这些工具支持的命令行中的直接命令的组合,向两个漏洞搜索引擎Censys和Shodan发送了请求。 在搜索过程中,他们偶然发现了一个“敞开的门”
-Jenkins服务器,他们说该服务器没有打开访问控制。
Sun Microsystems最初拥有的Jenkins项目需要在软件开发过程中使用。 它使您能够持续集成,编译和部署程序集。 他存在严重的安全问题,包括过去的缺点使得他无法远程执行代码,这使攻击者能够在公司的软件开发链中组织桥头堡。 Wheeler and Me声称,运行在云中Windows虚拟机上的Atrient的Jenkins服务器没有设置用户授权,只需访问服务器的Web控制台即可为用户提供管理员权限。 在此声明中,Atrient声称这对夫妇使用暴力密码猜测来获取对服务器的访问权限。
惠勒和我决定在这里闲逛,看看他们是否可以确定服务器的所有者。 他们使用服务器访问权限执行两行的Groovy脚本,从而创建了一个远程命令行,根据这些命令行,他们可以检查整个服务器。 根据他们发现的文档和数据,他们决定Atrient和Azilen员工使用该服务器来开发和发送有关PowerKiosk平台的错误消息,以及用于移动应用程序的代码存储库和各种娱乐场的自助服务终端选项。 他们还发现服务器具有FileZilla文件传输协议,并与多个数据库进行通信,源代码存储库以及支持PowerKiosk API的工作代码。
Gill声称这对夫妇刚刚找到了一个没有可用代码的演示平台。 服务器上列出的赌场中至少有一个是演示环境。 摩纳哥赌场是一家假赌场,用于在博览会上展示产品和Atrient的营销材料。
2018年11月4日,Me和Wheeler向Atrient和Azilen的整套地址发送了电子邮件-包括导演Sam Attish-并警告了服务器上的安全性问题。 电子邮件说:“请将这些详细信息传递给相关的安全团队,并建议他们与我联系。” 它还列出了与PowerKiosk,其Web界面和针对特定Atrient客户端量身定制的移动应用程序相关的数据库和API。
这些电子邮件通常无人接听。 他们充满语法错误和错别字,看起来不像典型的专业信函。 惠勒说,阿提沙告诉他,这些信件在“垃圾邮件”文件夹中。
但是比尔兹利说,根据他的经验,即使是专业格式的消息也可以忽略。 “我们写了一封有关Guardzilla的消息,Guardzilla是在大型超市出售的WiFi家庭监控摄像头。 他说,我们还没有取得任何成就。 “我们提出了支持请求,通过LinkedIn跟踪了为该公司工作的人员,还有一位记者甚至找到了公司代表并与其中一位进行了交谈。”
毕竟,该公司没有做出回应。 “使用相机仍然很危险,”比尔兹利说。 “您所有家庭视频所在的AWS S3上的存储不受保护。”
惠勒没有走那么远。 她和我开始发推文,试图引起公众对此场合的关注。 此时,吉斯·布尔(Guise Bule)参与了此事。
引起注意
以前的政府安全承包商和基于Web的安全公司WebGap的共同创始人GuiseBühl还创立了“与信息安全相关的作家俱乐部” SecJuice。 为了寻求帮助以促进局势发展,惠勒和我求助于布尔(Bule),后者重新发布了有关Atrient的记录。 现在这些推文已被删除。
Beul的帮助吸引了两个感兴趣的组织的注意-一个使用Atrient软件的大型赌场运营商和FBI。
11月9日,赌场保安人员联系了我。 11月10日,惠勒介入此案,并向他们简要介绍了发现的一对夫妇:
我是我的同事,您在Twitter上与您聊天,然后发送了一封信。 该漏洞与您的供应商之一,Atrient及其糟糕的安全性方法有关,这是由于该自助服务终端通过HTTP处理和传输不受保护的数据。
我们试图纠正这些缺陷,迫使我们公开宣布它们的存在。 其中有一个小问题(我不会透露所有详细信息,但是一个很好的例子是提供商存储的数据在FTP上,其登录名和密码只是公司名称的小写字母),并且很大与产品相关的漏洞(PowerKiosk)。
在同一天,联邦调查局(FBI)与布尔联系了他的转推。 Beul安排了与Cybercrime部门和拉斯维加斯分公司的Wheeler,Me和FBI代理商的一般电话交谈。 惠勒记录了他们的谈话。
惠勒告诉联邦调查局,他和我无意公开他们发现的信息,因为他们担心问题的严重性。 惠勒告诉代理商,实际上,它可以用来“印钱”。 他还说,他和我与赌场运营商进行了交谈,但无法联系到Atrient。
“也许我们可以为您提供帮助,”一位联邦调查局特工说。
公司安全总监在一封信中赞扬了惠勒于11月11日与赌场的互动。 他写信给惠勒(Wheeler):“我个人要感谢您以专业的方式公开信息,尽管您没有收到供应商的立即答复,但您却给了他第二次修复信息的机会。” 他建议“派任何商人去惠勒”,并询问他的T恤和头饰的尺寸。
当天,联邦调查局又组织了
一次联合电话 -这次涉及阿特里特·吉尔。 在惠勒还录制的对话中,吉尔说:“您提供给我们的信息是惊人的。 我们想拥有它。 如何组织?”
到目前为止,谈话中还没有提到金钱。 研究人员计划有一天在计算机安全会议上介绍他们的发现,所以惠勒和我只要求赌场经营者的“商人”在表演中“闪耀”。
但是,在谈判中出现保密协议的想法后,惠勒提到了发现错误的奖励。 他建议Atrient付给他的公司140个小时的咨询费用,大约是60,000美元。
请开户
“当我不断披露漏洞信息时-我第一次打电话给软件供应商-我必须强调,“我不打算出售任何产品,我不是要勒索你,我也不是想以此为代表来介绍我未来的产品,这是非常重要的,”比尔兹利说。 “我一直强调这一点有两个原因。 首先,我不想入狱。 其次,对于大多数人来说,这是一个非常激动人心的事件,特别是对于那些以前从未处理过漏洞披露的人。”
Beardsley说,经常当他发现漏洞时,“我成为了人们与之交谈的第一位第三方安全专家。” 因此,“我正在努力最大程度地减轻这种情况,而且在我看来,这种在IT安全领域的技能还不够。”
但是,现在在对话中出现了付款的想法,研究人员决定将其付款。 通话结束了,但谈判仍在继续。
在要求从我的帐户中删除“ Atrient负面推文”,以及要求找到这对夫妇从Atrient服务器上下载的数据的位置后,Gill,Attisha和Atrient的律师在2018年与惠勒进行了交谈。他们说,他们将向他发送一份保密协议草案,以便他可以与律师讨论。2018年12月7日,Atrient律师给Wheeler写了一封电子邮件,说:“我们已经准备好草稿。您是否希望我们将其转发给您的律师。”惠勒要我寄给他一份草稿。但是他从未被开除。一周后,吉尔在一封信中通知惠勒,“本周有一份草稿到了我们这里。山姆和我学习。我们可以在12月17日星期一之前将其发送给您。” 但是所有的假期都没有来自他们的消息。在2019年1月4日,Attisha在一封电子邮件中解释说他和Gill出差了。沉默了几个星期。然后,在2019年1月21日,Attisha写道:我即将发送协议。1月下旬-2月初,我们将在伦敦。如果适合的话,我们可以在那里见面并签署协议。
惠勒表示同意,并说他可以注册为访客来参加伦敦的ICE会议。但是随着会议日期的临近,Atrient的来信停止了。目前,Atrient正在与Everi洽谈购买事宜。在ICE会议上,Everi宣布与Atrient建立“合作伙伴关系”,两家公司共享一个摊位来展示联合产品。惠勒开始怀疑他只是被扔了而不会得到报酬-他想与Atrient董事亲自交谈。
燃烧党
当公司遇到漏洞披露时,Luta Security的创始人兼董事Katie Mussouri告诉我们:“至少,最好不要诉诸不道德的措施。”公司可以通过创建或澄清其对披露漏洞的态度,并将公开声明限制为公司已意识到问题并参与其解决方案的声明(持有声明)来做到这一点。Mussouri解释说:“您不能在舆论法庭上获胜。” “组织越大,其行为就应该越符合道德规范,否则将获得粗鲁的印象。”但她说,“研究人员越容易在法律上为自己辩护,在公众舆论面前,他们就越专业。”但是,在这种情况下,没有人走这条路。 。惠勒和他的朋友在2月5日的ICE会议上参观了Atrient和Everi的联合展位。在那儿他看到了吉尔,吉尔导致了一场小冲突。惠勒说,吉尔提到了惠勒的“朋友”。惠勒立即发布了一段视频,讲述了他如何指责吉尔殴打-尽管视频本身并未受到任何攻击。吉尔否认了一切。在给惠勒的电子邮件中,以及随后对我们编辑的电话采访中,吉尔指责惠勒参与了对Atrient的勒索。吉尔很快向惠勒,我和博勒发送了一封电子邮件:, ICE, , .
2018 , , . . .
, , , .
, :
- , , , .
- , .
- , , , , , , , , , , .
, , - .
, 9 , .
, . .
Atrient .
Atrient很快在Twitter上发布了有关该事件的声明,然后将其删除。 (吉尔说,这是由于“归还”)。然后,该声明的另一个版本发送给我们的编辑人员和其他英国版本。它说:, . 2018 , , , . .
, , , , , secjuice.com, , .
, . .
6 2019 Atrient ICE « ». , , , . , , Atrient , , – , , ExCel.
. , .
惠勒的电子邮件中确实附有Dylan English这个名字-他使用这个昵称在他的信息安全公司工作。但是,在他给Atrient,给赌场经营者和FBI的所有信件的签名中,他都是真实的全名,因此活动的所有参与者都应该知道。通过向Atrient发送回复,Wheeler向FBI代理商和赌场运营商致信,称他遭到了攻击,并且Atrient不关心修复漏洞。然后,他把一切都告诉了比尔,还给他提供了与联邦调查局对话记录的链接以及在SecJuice上发布的屏幕截图的链接。现在,Wheeler和Me向Atrient报告的安全问题的详细信息已公开。知道什么时候支持,什么时候通过
这种情况的发生没有什么让比兹利惊讶。 “参与披露漏洞的人们会迅速了解当前情况-通常人们这样做的频率不是很高,因此我们都做得不好。我们没有有关如何更好地采取行动的说明。”即使商定的披露进展顺利(没有任何保密协议,法律威胁等),也可能需要几个月的时间。但是,根据比尔兹利(Beardsley)的观点,正确方法的优点是“也许该公司会更好地感知下一个愿意向他们公开信息的人,而且可能不如您那么精明。这就是您所希望的。”惠勒与娱乐场运营商之间的互动是如何很好地进行披露的一个示例-进行得很好,因为运营商拥有自己的安全服务,该服务已经准备好并希望做出响应。缺乏关于奖励的讨论也有所帮助。但是,Atrient和研究人员之间的仇恨似乎不仅仅是因为金钱。当这笔4000万美元的交易即将完成时,这一披露也起到了作用。考虑到业务情况,相对较短的时间段(按披露标准)以及对话的进行方式,Atrient的情绪正在升温并不奇怪。烟花几乎是不可避免的。, , : «, , , - , . , , – , , , , ».