Чому Bug Bounty не є доказом безпеки Дії

Чому Bug Bounty Дії не є доказом безпеки? В чому помилка Мінцифри, яка переконує українців в протилежному? Що можна зробити для справжнього покращення безпеки?

Кібербезпека держави в смартфоні питання заполітизоване та наелектризоване. Щоб зорієнтуватися у фактах, я присвятив кілька тижнів вивченню інформації про безпеку Дії як програмного продукту. Навіть на їхню Bug Bounty програму підписався і вже поскаржився на її недоліки в підтримку BugCrowd, така вже я людина. В цьому пості я ділюся своїми висновками про безпеку Дії.

Щоб увійти в курс справ, вам слід прочитати останні 100 постів Костянтина Корсуна, Андрія Барановича та Артема Карпінського, а також опанувати два цікаві матеріали в онлайн-ЗМІ. Перший це колонка міністра цифровізації на Лізі, другий це інтерв’ю заступника міністра цифровізації у НВ. Усі згадані джерела маніпулятивні поза рамками пристойності, проте за лаштунками дотичних наративів очевидний головний меседж Мінцифри: ми піклуємось про безпеку Дії як головної (наразі) маніфестації концепції “держави в смартфоні”. Ми здійснюємо для її захисту потрібні та ефективні заходи. Зокрема це КСЗІ навколо інфраструктури додатку Дія та Bug Bounty її програмної частини. З боку критиків лунають закиди, які підлаштовуються під контекст та тон контраргументів. Але якщо коротко, то на думку опонентів Мінцифра некомпетентна виконувати взяті на себе зобов’язання.

Як професіонал з кібербезпеки, який спеціалізується на захисті програмного забезпечення на рівні стратегічного управління однією з найкращих компаній на цьому ринку, мушу зазначити, що твердження з обох боків позбавлені об’єктивної ваги й НЕ Є аргументами – ані на захист тези про безпеку Дії від актуальних загроз, ані проти неї. Знову ж таки, я не хочу ставати учасником політичних баталій між Мінцифрою та її противниками. Мій погляд на ситуацію суто професійний. Сьогодні я спрямую увагу на аргументи Мінцифри, бо її опонентам від мене вже дісталося. Отже, розпочнімо.

Продовжити читання “Чому Bug Bounty не є доказом безпеки Дії”

Apple шукатиме дитяче порно у фотках користувачів

Корпорація Apple скануватиме зображення на пристроях та в iCloud з метою пошуку дитячої порнографії. Чи варто користувачам хвилюватися про приватність?

Оновлено 25 вересня 2021 р. Компанія Apple призупиняє впровадження програми пошуку дитячого порно на пристроях своїх користувачів. Про це в прямому ефірі конференції NoNameCon повідомила директорка з кібербезпеки Electronic Fronteer Foundation Єва Галперін. Завдяки конструктивній критиці, яку зокрема координували представники EFF, корпорація Apple вирішила переосмислити свій підхід до програми та взяти паузу для більш детального вивчення пов’язаних із нею загроз приватності. NoNameCon ZDnet

Про намір компанії впровадити інструменти пошуку виробників та споживачів аб’юзерського контенту стало відомо минулого тижня і ця новина вже розділила людство на два табори. З одного боку ті, хто бачать у цьому нововведені великий потенціал захисту дітей від експлуатації у виробництві нелегального порно. З іншого боку ті, хто розгледів у діях компанії посягання на приватність користувачів, аж до закидів у намірах сприяти встановленню режимів тотального державного спостереження та решти антиорвелівського галасу. Як ви вже зрозуміли, я скоріше належу до першої категорії осіб, тому не буду удавати претензії на об’єктивність в огляді ситуації. Радше поясню логіку свого ставлення до неї.

Продовжити читання “Apple шукатиме дитяче порно у фотках користувачів”

Інсайдери та криптоздирники

Оператори ransomware LockBit оголосили винагороду для інсайдерів, які допоможуть запустити вірус у мережі своїх роботодавців. Чому це цікаво і як з цим бути?

Дуже цікава та контрінтуїтивна тенденція відбувається у світі ransomware. Кіберзлочинні банди все частіше скуповують початковий доступ до мережі жертви у легітимних інсайдерів. Один такий випадок став відомий минулого року, коли натуралізований росіянин намагався підкупити працівника Tesla й розмістити шкідливе програмне забезпечення у мережі компанії. А тепер банда криптоздирників LockBit пропонує винагороду працівникам та консультантам за розміщення вірусів у мережах їхніх наймачів.

Продовжити читання “Інсайдери та криптоздирники”

Роль кібербезпеки перебільшена і ось чому

Зараз буде спекотно, пристебніться. В цьому пості я розповім вам чому роль кібербезпеки перебільшена, а потім почнеться валилово. Готові? Поїхали.

З чого все почалося?

В одному зі своїх ранніх інтерв‘ю міністр цифрових трансформаторів та (на хвилиночку) віцепрем’єр Михайло Федоров (он же Фродо, он же Дядя Фьодор) випалив сакраментальну фразу, якою одразу ж завоював увагу усіх українських експертів з кібербезпеки та тих, хто себе таким вважає. Цитую по буквах: 

Я думаю, що роль кібербезпеки трохи перебільшена. Про неї багато говорять, але по факту назвати якісь реальні кейси кіберзагроз мало хто може. Наведу простий приклад. Коли ми прийшли в Офіс президента, ІТ-команда показала дашборди з тисячею атак на день, перевантаженням сайтів і т.д. Через два тижні ми їх звільнили, і нічого не відбувалося впродовж декількох місяців, поки ми збирали нову команду.

Продовжити читання “Роль кібербезпеки перебільшена і ось чому”

Кілька жирних крапок над і

Я намагаюся якомога менше занурюватись у подробиці месіанського хрестового походу Міністерства цифрової трансформації України за диджиталізацію. Ще менше мене цікавить донкіхотський хрестовий похід противників Мінцифри проти диджиталізації. З боку може виглядати, що таким чином я підтримую якусь зі сторін, але це не так. Насправді я розглядаю цю драму як ідейну боротьбу, спробую пояснити.

Продовжити читання “Кілька жирних крапок над і”