Категорія: Кібербезпека

I have been in pentesting and appsec business for a while. For the last 10 years, I am more or less involved in security assessments of various kinds. I have started as a junior security engineer in a large international firm, where I did my share of scanning and translating the reports. Then I had to leave the infosec industry for a couple of years that I spent in IT audit, but I continued occasional freelancing. After that, I joined a smaller firm where I grew my first pentesting team, then another one. Currently, I run my own company and I can finally focus on building the security assessment practice the way I see it right. One question that I am regularly asked by clients, friends, and colleagues is:

Why do you still do appsec and pentests when Bug Bounties are so much more profitable?

Sometimes I joke about it, sometimes I try to explain, but normally I limit the answer to “bug bounties are overrated”. Simply because it’s true. I will not dig deep into the difference between classic consulting services and security assessments in particular, and the crowdsourced approach implemented by contemporary bug bounty programs. Instead, I will point your attention that both leading bug bounty brokers have lately introduced a new service: the so-called “next generation pentest”. Which in fact is just a pentest, but provided to you by a broker that uses bug hunters as human resources. Of course, we can argue about the differences in methodology that supports the two approaches, but after a few minutes I will most probably convince you that this difference is negligible. What really matters is who does the job.

A few words about the history of the discipline. For many years the pentesting firms were so small, that they were not considered actual market players. Simply because big clients were not the fans of the idea of giving such a sensitive job to a pentest boutique. Instead, they offered contracts to the entities who already had built trust with them: accounting firms, system integrators, and even software vendors. Then, slowly but surely, smaller companies have started to gain trust too: sometimes because of a deeper focus on the subject, sometimes because they were founded by the individuals who had built trustworthy public profiles throughout their carriers. And then bug bounties emerged.

Bug bounties have offered the market the crowdsourced security assessments of unlimited scale. In other words, now “thousands of eyes” could review the security of your software and report issues, while only the first report complete according to the program rules could win the reward. Many customers were quick to jump into the bandwagon that seemed an economically good idea. Pay as you go? Better: pay as you get value! Who in possession of required funds would resist the temptation?

But as it turned out, not every customer was ready for the “thousand eyes” attention. A few did not go through any formal appsec practices prior to posting the bug bounty brief. As a result, a thousand eyes quickly emptied the budget of a program that had not had a couple of eyes looked at its scope first. So the paradigm had to evolve: now the bounties were only good for the “mature” products, that had some in-house appsec. After this and some other improvements, the balance has been found.

The ingenuity of the idea and the trajectory of its success made bug bounties a nice thing to invest in. And the investment capitalism, in short, means that fsck dividents — the growth is all that matters. But the growth has not been as intensive as expected: the market has quickly reached its capacity in both clients and human resources. Not that many customers are declaring bounties now, although many pilot the service in a private mode. Not many bug hunters become professional and dedicated full-time appsec researchers. There are super effective 1%ers on both sides. Apparently, the investors are not OK with “the flow” of operations and revenue that the field has reached. Thus, the rewind to the classic dedicated consulting/pentesting kind of services is being attempted — albeit with a certain facelift. And it will most probably work out, as the bug bounty brokers have the required trust and quality controls out there and are able to deploy trustworthy, background-checked resources. I am not sure that this will allow the brokers to sustain the growth rate that is expected from them, because the next “bug bounty boom” is not necessarily arriving any time soon. But the combination of public and private bounties and classic pentests would secure the flow.

In conclusion, I will sum it all up as I see it. Bounties offered the market the promise that Bitcoin once gave: the elimination of trust from the equation. Bitcoin never made it: not only because now you had to trust Bitcoin itself, but more importantly because people are willing to trust each other and the independent third parties who would enforce rules in case one of them decides to cheat. Neither will bounties make it. Instead, the brokers will have to take trust into account and diversify their offering accordingly.

Це не дуже популярна зараз думка, особливо серед крайніх «лівих», але як не крути, між жінками та чоловіками є велика різниця. Зараз я говорю не про очевидну біологічну різницю, а про різницю в соціальних стратегіях, які ми обираємо. Ці стратегії можуть бути викликані біологічними передумовами, але ж людина істота соціальна, тому середовище впливає на нашу поведінку не менше, ніж гени чи стать.

Наведу два цікаві спостереження. Жінкам більше подобається мати справу з людьми, а чоловікам – з предметами. При цьому чоловіки схильні до високого ризику, а жінки – до його раціоналізації. Ці дві деталі часто конфліктують між собою, викликаючи неочікувані наслідки. З одного боку, чоловіки домінують в професіях, пов’язаних з ризиком для життя. З іншого боку, – жінки нерідко виявляються в цих професіях успішнішими, особливо на керівних посадах, адже можуть ефективно керувати ризиками та мінімізувати їхні наслідки.

Цікавий парадокс являє собою галузь кібербезпеки. З одного боку, кібербезпека вважається технічною галуззю, яка успадкувала від інших технічних професій високий відсоток чоловіків. Ми ж бо технарі! Ось, подивіться, у нас руки по лікті в мазуті! З іншого ж боку, кібербезпека, після певного рівня кар’єрного узагальнення, – це здебільшого управління ризиками та робота з людьми. Кумедно? Якщо ми з вами спілкувалися на цю тему раніше, то ви знаєте мою думку: жінки більше підготовлені для роботи в кібербезпеці, і цьому є багато прикладів та їхня кількість зростає. Не зважаючи на те, що дівчата рідко сюди потрапляють, вони зазвичай досягають тут більших успіхів.

В окрему тему можна виділити конференції з кібербезпеки. Зазвичай, коли людина здобуває цікавий досвід, логічно ним поділитися. Особливо, коли справа стосується досліджень або завдань та ситуацій, інформація про які може бути цікава іншим людям. І тут ми маємо просто неймовірний перекіс в бік доповідачів-чоловіків: доля доповідачок навіть не є пропорційною долі жінок в професії. Чому? Тому що хлопці подають заявку на виступ, коли впевнені у тому, що їхня тема цікава, хоча б наполовину. А дівчата – коли впевнені хоча б на 90%.

І це типу неправильно, тому що вирішувати, цікава тема, чи ні, повинні не доповідачі, а організатори та слухачі. Тому на початку конференц-сезону я хочу звернутися до усіх колег і особливо жінок: не ставте під сумнів потенціал вашої доповіді, довірте це програмному комітету. Кожен досвід унікальний і багато хто з вас заслуговує на те, щоб вас почули. Тому зосередьтеся на бажанні виступити. А от чи вдасться вам це, нехай покаже голосування.

Прекрасний приклад того, як не треба здійснювати просвітницьку діяльність у сфері кібербезпеки від Департаменту кіберполіції Національної поліції України: онлайн-генератор випадкових паролів — https://www.cyberpolice.gov.ua/generate-password/.

Пояснюю, чому це безглузда ідея. Випадкові паролі це дуже-дуже добре, але вони мають сенс лише тоді, коли використовуються з надійним парольним менеджером (або парольним сейфом). Це така спеціальна програма, яка зберігає для вас випадкові паролі, кожен з яких унікальний та відповідає певному вебсайту або іншій системі. Користуючись парольним менеджером, ви можете зробити всі ваші паролі різними та випадковими. Та не хвилюватиметесь, що, зламавши один вебсайт, хакери отримають доступ до пароля, який ви використовуєте скрізь.

І кожен нормальний парольний менеджер має функцію генерації випадкових паролів. Тому просунуті користувачі, які мають парольні менеджери, пропозицією Кіберполіції не скористаються.

А скористаються нею ті користувачі, які парольного менеджера не мають. І в такому випадку у них буде три варіанти використання рандомного пароля:

1. Запам’ятати його та використовувати скрізь.
2. Записати його десь в небезпечному місці.
3. Забути його одразу ж після використання.

Сподіваюся, для всіх очевидно, що усі три наведені сценарії не покращують безпеку, а №3 ще й ускладнює користувачу життя.

Тому, використовувати скрізь унікальні паролі, згенеровані випадковим чином та зберігати їх у парольному менеджері — це набагато більш корисна порада, ніж використання онлайн-генератора. (До речі, вона міститься в цих порадах з персональної кібер-безпеки: https://github.com/sapran/dontclickshit). Достатньо просто трохи поміркувати над моделлю загроз, до якої застосовуються ці два альтернативні заходи безпеки, і все стає зрозуміло. Але ж то багато роботи.

Ще одним прикладом беззмістовної активності з метою продемонструвати, що для кібербезпеки в Україні “щось робиться” є масова розсилка спаму абонентам мобільного зв’язку з рекомендаціями відвідати посилання на поради з персональної кібербезпеки на вебсайті CERT-UA. Спільнота спеціалістів кібербезпеки роками привчала користувачів не клацати підозрілі посилання, але це все марно; там, “на горі”, своє бачення ландшафту загроз, а політикам треба продемонструвати швидку та ефектну дію, а не побудувати надійну та ефективну систему захисту.

Чому я не поділяю ентузіазм з приводу ЕЦП на SIM-картах

Що людям, які у захваті від запуску MobileID, треба нагадати про безпеку:

1. Технологія MobileID використовує смарткарту в SIMці для ідентифікації користувача та створення цифрового підпису. Який, як багатьом відомо, у нас прирівняно до підпису звичайного, з усіма наслідками.
2. SIM-картки, банківські картки, та картки супутникового телебачення — три наймасовіші застосування смарткарт у світі. Наймасовіші слід читати як найдешевші.
3. Картки супутникового ТВ — ламані й переламані. Банківські картки… та що я вам буду розказувати. SIM-картки пройшли крізь не менш драматичну історію становлення.
4. І найголовніше: з цих трьох типів смарткарт SIMки — найдешевші. Адже донедавна ризик втрати або викрадення SIMки обмежувався втратою номера телефону. Використання номеру телефону для ідентифікації в месенджерах і для доставки одноразового паролю в протоколах аутентифікації підняло ставки, але не занадто.

А ось тепер вам має бути ще радісніше від того, що у вас з’явилася можливість використовувати SIMку для укладання договорів, відкриття та припинення бізнесу, та здійснення онлайн-доступу до історії хвороби. Мої вітання!

Якщо ж серйозно, відчуття ризиків тут можна отримати інтуїтивно. SIMки створювалися для набагато менш ризикованих застосувань, тому в їхню безпеку вкладалася адекватна, тобто невелика, кількість грошей. Щойно вигода від успішної атаки на SIM-карти виросте (а так і буде, адже тепер це ваш паспорт, підпис, та відбиток пальця на шматочку силікону), виросте й цікавість з боку нападників, до якої ця технологія не готова.

Ну і нарешті, гарантія безпеки, підтверджена державною експертизою — це фраза, яка в спеціалістів з безпеки нічого крім іронії не викликає. Гарантія тут полягає в тому, що держава впевнена, що все, що підписано цифровим підписом з вашим MobileID — ваше і ви від цього не відхреститесь. Тобто, ця безпека не на вашу користь, а якраз навпаки.

Найбільш яскрава метафора, яка спадає на думку: ви усе життя отримували пошту у поштову скриньку на першому поверсі, яку зачиняли на невеличкий замочок, відімкнути який можна за 5–10 хв без жодної підготовки звичайним сірником. До того ж, громіздку конструкцію з десяти поштових скриньок, розташовану у вашому під’їзді, можна трохи відхилити від стіни, до якої вона прикріплена лише згори, простягнути руку в утворений отвір, та занурити пальці до вашої (?) скриньки, адже задньої стінки в ній немає — напевно з метою економії матеріалу. Всі згадали про що я?

Так ось, тепер вам пропонують отримувати зарплатню у чеках на пред’явника, які надсилатимуться вам звичайною поштою.