Vlad Styran | Хакер, що біжить

My thoughts about Pentest vs Bug Bounty debate

I have been in pentesting and appsec business for a while. For the last 10 years, I am more or less involved in security assessments of various kinds. I have started as a junior security engineer in a large international firm, where I did my share of scanning and translating the reports. Then I had to leave the infosec industry for a couple of years that I spent in IT audit, but I continued occasional freelancing. After that, I joined a smaller firm where I grew my first pentesting team, then another one. Currently, I run my own company and I can finally focus on building the security assessment practice the way I see it right. One question that I am regularly asked by clients, friends, and colleagues is:

Why do you still do appsec and pentests when Bug Bounties are so much more profitable?

Sometimes I joke about it, sometimes I try to explain, but normally I limit the answer to “bug bounties are overrated”. Simply because it’s true. I will not dig deep into the difference between classic consulting services and security assessments in particular, and the crowdsourced approach implemented by contemporary bug bounty programs. Instead, I will point your attention that both leading bug bounty brokers have lately introduced a new service: the so-called “next generation pentest”. Which in fact is just a pentest, but provided to you by a broker that uses bug hunters as human resources. Of course, we can argue about the differences in methodology that supports the two approaches, but after a few minutes I will most probably convince you that this difference is negligible. What really matters is who does the job.

A few words about the history of the discipline. For many years the pentesting firms were so small, that they were not considered actual market players. Simply because big clients were not the fans of the idea of giving such a sensitive job to a pentest boutique. Instead, they offered contracts to the entities who already had built trust with them: accounting firms, system integrators, and even software vendors. Then, slowly but surely, smaller companies have started to gain trust too: sometimes because of a deeper focus on the subject, sometimes because they were founded by the individuals who had built trustworthy public profiles throughout their carriers. And then bug bounties emerged.

Bug bounties have offered the market the crowdsourced security assessments of unlimited scale. In other words, now “thousands of eyes” could review the security of your software and report issues, while only the first report complete according to the program rules could win the reward. Many customers were quick to jump into the bandwagon that seemed an economically good idea. Pay as you go? Better: pay as you get value! Who in possession of required funds would resist the temptation?

But as it turned out, not every customer was ready for the “thousand eyes” attention. A few did not go through any formal appsec practices prior to posting the bug bounty brief. As a result, a thousand eyes quickly emptied the budget of a program that had not had a couple of eyes looked at its scope first. So the paradigm had to evolve: now the bounties were only good for the “mature” products, that had some in-house appsec. After this and some other improvements, the balance has been found.

The ingenuity of the idea and the trajectory of its success made bug bounties a nice thing to invest in. And the investment capitalism, in short, means that fsck dividents — the growth is all that matters. But the growth has not been as intensive as expected: the market has quickly reached its capacity in both clients and human resources. Not that many customers are declaring bounties now, although many pilot the service in a private mode. Not many bug hunters become professional and dedicated full-time appsec researchers. There are super effective 1%ers on both sides. Apparently, the investors are not OK with “the flow” of operations and revenue that the field has reached. Thus, the rewind to the classic dedicated consulting/pentesting kind of services is being attempted — albeit with a certain facelift. And it will most probably work out, as the bug bounty brokers have the required trust and quality controls out there and are able to deploy trustworthy, background-checked resources. I am not sure that this will allow the brokers to sustain the growth rate that is expected from them, because the next “bug bounty boom” is not necessarily arriving any time soon. But the combination of public and private bounties and classic pentests would secure the flow.

In conclusion, I will sum it all up as I see it. Bounties offered the market the promise that Bitcoin once gave: the elimination of trust from the equation. Bitcoin never made it: not only because now you had to trust Bitcoin itself, but more importantly because people are willing to trust each other and the independent third parties who would enforce rules in case one of them decides to cheat. Neither will bounties make it. Instead, the brokers will have to take trust into account and diversify their offering accordingly.

Стать, кібербезпека та конференції

Це не дуже популярна зараз думка, особливо серед крайніх «лівих», але як не крути, між жінками та чоловіками є велика різниця. Зараз я говорю не про очевидну біологічну різницю, а про різницю в соціальних стратегіях, які ми обираємо. Ці стратегії можуть бути викликані біологічними передумовами, але ж людина істота соціальна, тому середовище впливає на нашу поведінку не менше, ніж гени чи стать.

Наведу два цікаві спостереження. Жінкам більше подобається мати справу з людьми, а чоловікам – з предметами. При цьому чоловіки схильні до високого ризику, а жінки – до його раціоналізації. Ці дві деталі часто конфліктують між собою, викликаючи неочікувані наслідки. З одного боку, чоловіки домінують в професіях, пов’язаних з ризиком для життя. З іншого боку, – жінки нерідко виявляються в цих професіях успішнішими, особливо на керівних посадах, адже можуть ефективно керувати ризиками та мінімізувати їхні наслідки.

Цікавий парадокс являє собою галузь кібербезпеки. З одного боку, кібербезпека вважається технічною галуззю, яка успадкувала від інших технічних професій високий відсоток чоловіків. Ми ж бо технарі! Ось, подивіться, у нас руки по лікті в мазуті! З іншого ж боку, кібербезпека, після певного рівня кар’єрного узагальнення, – це здебільшого управління ризиками та робота з людьми. Кумедно? Якщо ми з вами спілкувалися на цю тему раніше, то ви знаєте мою думку: жінки більше підготовлені для роботи в кібербезпеці, і цьому є багато прикладів та їхня кількість зростає. Не зважаючи на те, що дівчата рідко сюди потрапляють, вони зазвичай досягають тут більших успіхів.

В окрему тему можна виділити конференції з кібербезпеки. Зазвичай, коли людина здобуває цікавий досвід, логічно ним поділитися. Особливо, коли справа стосується досліджень або завдань та ситуацій, інформація про які може бути цікава іншим людям. І тут ми маємо просто неймовірний перекіс в бік доповідачів-чоловіків: доля доповідачок навіть не є пропорційною долі жінок в професії. Чому? Тому що хлопці подають заявку на виступ, коли впевнені у тому, що їхня тема цікава, хоча б наполовину. А дівчата – коли впевнені хоча б на 90%.

І це типу неправильно, тому що вирішувати, цікава тема, чи ні, повинні не доповідачі, а організатори та слухачі. Тому на початку конференц-сезону я хочу звернутися до усіх колег і особливо жінок: не ставте під сумнів потенціал вашої доповіді, довірте це програмному комітету. Кожен досвід унікальний і багато хто з вас заслуговує на те, щоб вас почули. Тому зосередьтеся на бажанні виступити. А от чи вдасться вам це, нехай покаже голосування.

Онлайн-генератор випадкових паролів від української кіберполіції

Прекрасний приклад того, як не треба здійснювати просвітницьку діяльність у сфері кібербезпеки від Департаменту кіберполіції Національної поліції України: онлайн-генератор випадкових паролів — https://www.cyberpolice.gov.ua/generate-password/.

Пояснюю, чому це безглузда ідея. Випадкові паролі це дуже-дуже добре, але вони мають сенс лише тоді, коли використовуються з надійним парольним менеджером (або парольним сейфом). Це така спеціальна програма, яка зберігає для вас випадкові паролі, кожен з яких унікальний та відповідає певному вебсайту або іншій системі. Користуючись парольним менеджером, ви можете зробити всі ваші паролі різними та випадковими. Та не хвилюватиметесь, що, зламавши один вебсайт, хакери отримають доступ до пароля, який ви використовуєте скрізь.

І кожен нормальний парольний менеджер має функцію генерації випадкових паролів. Тому просунуті користувачі, які мають парольні менеджери, пропозицією Кіберполіції не скористаються.

А скористаються нею ті користувачі, які парольного менеджера не мають. І в такому випадку у них буде три варіанти використання рандомного пароля:

Запам’ятати його та використовувати скрізь.
Записати його десь в небезпечному місці.
Забути його одразу ж після використання.

Сподіваюся, для всіх очевидно, що усі три наведені сценарії не покращують безпеку, а №3 ще й ускладнює користувачу життя.

Тому, використовувати скрізь унікальні паролі, згенеровані випадковим чином та зберігати їх у парольному менеджері — це набагато більш корисна порада, ніж використання онлайн-генератора. (До речі, вона міститься в цих порадах з персональної кібер-безпеки: https://github.com/sapran/dontclickshit). Достатньо просто трохи поміркувати над моделлю загроз, до якої застосовуються ці два альтернативні заходи безпеки, і все стає зрозуміло. Але ж то багато роботи.

Ще одним прикладом беззмістовної активності з метою продемонструвати, що для кібербезпеки в Україні “щось робиться” є масова розсилка спаму абонентам мобільного зв’язку з рекомендаціями відвідати посилання на поради з персональної кібербезпеки на вебсайті CERT-UA. Спільнота спеціалістів кібербезпеки роками привчала користувачів не клацати підозрілі посилання, але це все марно; там, “на горі”, своє бачення ландшафту загроз, а політикам треба продемонструвати швидку та ефектну дію, а не побудувати надійну та ефективну систему захисту.

Відгук: Bruce Schneier – Click Here To Kill Everybody

Ревю без подробиць

Одним рядком

Брюс знову написав цікаву та корисну книжку для широкого загалу, в якій він оповідає про сучасні та майбутні виклики індустрії кібербезпеки.

Загальні враження

В мене стійке враження, що з часом Брюс Шнаєр зрозумів свою головну мету в житті – створити інфопростір, в якому технологи, гуманітарії та політики зможуть спілкуватися та знаходити продуктивні рішення проблем сучасного людства. Він цілком розуміє недосяжність цієї мети найближчим часом, але докладає неймовірних зусиль для того, щоб, можливо, хтось інший досягнув її в майбутньому.

Найважливіші висновки

Інтернет й досі не цікавий політикам з точки зору безпеки, адже з його допомогою не так вже й легко когось вбити. Internet of Things виправляє це прикре неподобство.

Все більше і більше об’єктів в реальності під’єднуються до інтернету та навіть отримують певну автономність. Тому цілком можливо що найближчим часом катастрофи з використанням автономних та під’єднаних до інтернету механізмів – автомобілів, кардіостимуляторів, холодильників тощо – стануть буденною реальністю. Інтернет вразливий, він таким задумувався і за останні 30 років ми не зробили нічого, щоб це виправити. Тепер ми вирішили під’єднати до нього пристрої, які готують нам їжу, регулюють дозування ліків, та ведуть аудіо та відео спостереження у спальнях наших дітей.

Невдовзі після того, як інтернет почне складати реальну загрозу людським життям, до праці візьмуться політики, які спробують його регулювати. Поточні спроби цензури та обмеження доступу до окремих ділянок інтернету будуть виглядати на фоні цього регулювання іграми в пісочниці. Брюс малює ескізи успішних, не дуже успішних та відверто провальних сценаріїв американського та глобального регулювання такого роду.

Загалом книжка вийшла дуже цікава, без зайвого трагізму та драматизму. Буде цікавою усім, хто має в сфері інтересів вплив технологій на суспільство. І особливо тим, кому доводиться регулярно пояснювати ці концепції іншим в освітній та просвітницькій діяльності.

Моя власна оцінка: 8/10.

https://www.schneier.com/books/click_here/

Всеукраїнський когнітивний дисонанс та як його зберегти

Завоювати планету в жорсткій конкуренції із іншими видами і, зокрема, з своїми далекими родичами, нам допомогла соціальна природа нашого виду. Іншими словами, ми забагато патякаємо та вміємо гарно брехати. Завдяки цьому ми змогли домовитися між собою і, що найважливіше, вигадати міфи, в які повірили самі та в яких переконали інших. Ці міфи, такі як спільні предки (націоналізм), спільне уявлення про походження світу та етичні норми (релігія), спільне розуміння поняття справедливості (закони), спільна віра у цінність грошових знаків та довіра до їхніх видавців (економіка) тощо, допомогли нам об’єднатися в кількостях, які в мільони разів чисельіші за притаманні нам природні родинні племена (100–150 людей). Ці та інші міфи допомагають нам співпрацювати та досягати спільної мети, будь то зведення хмарочосу, побудова національної автостради, або ж перемога у військовому конфлікті. Тому ці міфи надзвичайно важливі – вони ж бо є фундаментом плідної співпраці мільйонів незнайомців, об’єднаних спільною ідеєю.

Завоювати планету в жорсткій конкуренції із іншими видами і, зокрема, з своїми далекими родичами, нам допомогла соціальна природа нашого виду. Іншими словами, ми забагато патякаємо та вміємо гарно брехати. Завдяки цьому ми змогли домовитися між собою і, що найважливіше, вигадати міфи, в які повірили самі та в яких переконали інших. Ці міфи, такі як спільні предки (націоналізм), спільне уявлення про походження світу та етичні норми (релігія), спільне розуміння поняття справедливості (закони), спільна віра у цінність грошових знаків та довіра до їхніх видавців (економіка) тощо, допомогли нам об’єднатися в кількостях, які в мільони разів чисельіші за притаманні нам природні родинні племена (100–150 людей). Ці та інші міфи допомагають нам співпрацювати та досягати спільної мети, будь то зведення хмарочосу, побудова національної автостради, або ж перемога у військовому конфлікті. Тому ці міфи надзвичайно важливі – вони ж бо є фундаментом плідної співпраці мільйонів незнайомців, об’єднаних спільною ідеєю.

Найважливішими в Західній цивілізації міфами є свобода та рівність. Як й інші міфи, такі як права людини або право нації на самовизначення, ці поняття не існують в природі. Їх вигадали люди, і спільна віра людей надиляє ці уявні концепції недзвичайною силою. Цінність свободи в сучасному західному суспільстві важко переоцінити, а цінність рівності є основою демократичного строю. Протягом історії, люди борються, страждають та віддіють за них життя. Щоправда, верстви населення, до яких вони застосовуються, можуть змінюватися. Наприклад, чорношкірі мешканці США отримали рівні із білими права набагото пізніше отримання Штатами незалежності, а жінки отримали право голосу лише в ХХ столітті. Тим не менше, починаючи ще з Французької революції, Захід є великим фанатом свободи та рівності, а ці ідеї домінують в політичному житті всіх країн, які вважаються вільними та демократичними. Свобода та рівність є невід’ємними компонентами, навіть фундаментальними принципами західної політичної ідеології. І, як влучно зазначає в своїй книжці “Людина розумна” Юваль Ной Харарі, є майже несумісними поняттями.

“Ми вважаємо за самоочевидні істини, що всіх людей створено рівними…”
– Декларація незалежності США

Справді, розглянемо свободу та рівність не крізь призму революційної романтики, а крізь лупу логіки. Свобода неодмінно приводить до нерівності. Адже люди, які “створені рівними”, насправді не створені, а еволюціонували, і не є рівними, бо є практично унікальними. Свобода прояву власної унікальності призводить до того, що в людей апріорі різні можливості. То про яку рівність в умовах свободи може йти мова? Рівність, очевидно, вимагає певного (в ідеалі – добровільного) обмеження свободи. І, якщо поміркувати про це ще трохи, можна дійти висновку, що абсолютна рівність, на зразок тоталітарних соціальних експериментів минулого століття, може звести свободу нанівець.

Що ж це виходить? Вся сучасна Західна цивілізація, всі ліберально-демократичні країні – фікція? Сам термін ліберальна демократія, що базується на суміщенні свободи та рівності, виявляється суцільною брехнею, нісенітницею? Якщо ділити світ на чорне та біле, саме так. Але, як ми знаємо, світ різнокольоровий. І прикол ліберальної демократії полягає в тому, що свобода та рівність співіснують та безперервно сперечаються між собою.

Несумісні ідеї та конкурентні міфи існують завжди та в усіх суспільствах. Ми можемо цього не помічати, але це тому, що за тисячоліття соціальної еволюції ми пристосувалися суміщати їх у різних комбінаціях у своїй свідомості. І прийнятні комбінації, які сумісні із нашими власними ідеалами, ми вважаємо нашою політичною позицією. Різні пропорції цих ідей утворюють певний спектр, і в кожного з нас в цьому спектрі є свої кординати – точка, яка визначає якою мірою (від 0 до 100%) ми є консерватором, лібералом, демократом чи прихильником авторитаризму. Пропорції можуть змінюватися з часом та віком, але ці величини не зникають з нашої “політичної моделі”, створюючи сталий когнітивний дисонанс –співіснування в одній голові, здавалося б, несумісних ідей та міфів. І, як це не парадоксально звучить, цей дисонанс є ключовим фактором успіху ліберально-демократичного суспільства.

«Війна — це мир, свобода — це рабство, сила — в незнанні.»
— Джордж Орвелл, 1984

Читачі, які знайомі з творчістю Орвелла, та пам’ятають з “1984” трохи більше, ніж “Великий Брат слідкує за тобою”, можуть пригадати куди завели автора міркування про суспільний когнітивний дисонанс. Техніка дводумства, вмілого поєднання громадянами в одній свідомості абсолютно протилежних понять, та вміле використання взаємовиключних поглядів та фактів, є основою описаного в цій антиутопії ідеального тоталітарного суспільства. В якому правляча Партія буквально визначає, що є правдою зараз та, що найважливіше, що було правдою в минулому. А суспільство не просто прикидається, що вірить у настанови Партії, а дійсно вірить — щиро та непідкупно.

Нічого схожого не пригадуєте? А давайте я нагадаю. Яка держава систематично використовує абсолютно протилежні факти у своїй інформаційній політиці, і при цьому зовсім цього не соромиться? Більше того, така поведінка викликає небувалу підтримку влади населенням. Впізнали? Вчора — “Іх там нєт!”, сьогодні – “Звичайно ж, наші військові забезпечували лад під час волевиявлення населення Криму”. Вчора – “українці братній народ”, сьогодні – “українці фашисти, які утискають та знищують росіян”. Вчора – “української мови не існує, українці це росіяни, Україна це не країна, а територія”, сьогодні – “Україна захоплена фашиською хунтою та здійснює політику українізації російськомовного населення”. (Влада: вчора, сьогодні – навічно. Олексій Жупанський.)Чим не орвеллівське дводумство, нав’язане політичною елітою та підсилене тотальною пропагандою?

Але чекайте, це ще не все. “Церква і релігійні організації в Україні відокремлені від держави, а школа від церкви. Жодна релігія не може бути визнана державою як обов’язкова” (Конституція, стаття 35). “Без церкви немає держави, немає нації. Церква — важливий атрибут суверенної незалежної України” (Петро Порошенко). Як тобі таке, Джордж Орвелл? Логіка з усієї сили намагається збагнути незбагненне, а свідомість зверхньо споглядає на неї та про себе думає: тю, сто разів таке робила.

Власне, як вже й було сказано, і свідомість, і суспільство здатні ситуативно врівноважувати свою віру в, здавалося б, несумісні міфи. Я кажу міфи, тому що і церква, і суверенітет, і Конституція, і держава Україна, і нація Українці — є соціальними конструкціями, які сильні рівно настільки, наскільки сильні люди, які вірять в їхнє існування. Люди, які при цьому здатні відрізнити, чи є ці міфи їхніми власними ідеями та віруваннями, або ж вони нав’язані їм тоталітарною пропагандою чи ворожими операціями з інформаційного впливу. Люди, які, як й ідеологи Французької революції, усвідомлюють, що Свобода та Рівність розірвуть навпіл суспільство, яке при цьому не об’єднане Братерством.

Свобода, рівність, братерство, (фр. Liberté, Égalité, Fraternité) — девіз Франції та Гаїті.

Нас з вами очікує дуже складний, напевно критичний рік в новітній історії України. Технології передачі інформації перетворили нашу планету на велетенське село, в якому ідеї поширюються із неймовірною швидкістю. А правильно сформульовані міфи можуть завоювати прихильність мільйонів людей за лічені хвилини. Наші організми біологічно не готові до існування в умовах цієї новітньої інфосфери. А наші свідомості не здатні виявляти руйнівні міфи та протистояти ним.

Але всьому можна навчитися. З часом, за декілька десятків років, людство адаптується й до цього. Питання лише у тому, чи існуватиме на той час держава Україна. Мені хочеться, щоб так. Не тому що цей міф імпонує мені особисто. А тому, що вже занадто багато людей забагато віддали за віру в нього. Тому наступного разу, коли я зустріну українця, чия позиція конфліктує з моєю, я намагатимуся щонайменше визнати існування його точки зору. (Щоправда, це не стосуватиметься наукових фактів – тут прошу вибачення, адже вони аж ніяк не є соціальними конструкціями).

Я пам’ятатиму про те, що демократичне суспільство черпає силу з боротьби ідей та міфів. І що вільний народ насолоджується свободою доти, доки він підтримує саму можливість існування цієї неперервної ідеологічної боротьби. “Жодна ідеологія не може визнаватися державою як обов’язкова” (Конституція, стаття 15) бо всі ідеології мають рівні права на існування допоки вони не загрожують існуванню свободі та рівності. А для стримування ідеологічної боротьби в рамках формату цивілізованого діалогу нашому суспільству вкрай необхідна свобода слова. І я визнаю за своїм братом або сестрою право на цю свободу.

Бо в противному випадку я стану жертвою перевіреної та дієвої тактики ворожої російської пропаганди, яка полягає в поляризації суспільства, розпалюванні ідеологічних конфліктів та радикалізації їхніх полюсів. Це спрацювало в Штатах в 2016-му, це може спрацювати в Україні в 2019-му. Якщо ми, живі, забудемо про нашу спільну мету, за яку наші загиблі брати та сестри заплатили найвищу ціну.