Якщо ви ділите програмне забезпечення на безпечне та небезпечне, це означає що ви маєте дуже умовне поняття про безпеку програмного забезпечення. Вибачте, що розчаровую, але це так. Хороша новина в тому, що в певному віці так роблять усі, включно з автором цих рядків. Але в більшості це проходить, а в декого ні.
Все ПЗ вразливе, крапка. Бережа робить понад 50 проектів на рік, десь 40 із них пов’язані з перевіркою безпеки софта. Поодинокі 1-2 проекти завершуються дуже скромними рекомендаціями типу «тут підфарбувати» і «і тут поправить». Решта – мають у звіті досить серйозні зауваження. А деякі вразливості ми повідомляємо одразу, щойно їх знайдено. Тому що відкладати це до початку формування звіту чи навіть до завтра – тупо страшно. І ці вразливості виправляються ще до завершення проекту – з аналогічних міркувань. А ви потім цим софтом користуєтесь.
Безпека софта полягає не в тому, чи є в ньому вразливості. А в тому, як (і з якою швидкістю) з цими вразливостями чинить розробник. І тут справа навіть не в процесах та практиках (хоча за це мене зараз будуть сварити колеги по OWASP), а в рівні культури безпеки. І в цього рівня є очевидні індикатори.
Якщо розробник вразливості сам не шукає, перед іншими заперечує, виправляє повільно та ще й погрожує хакерам – його культура на умовному нулі або нижче. Якщо розробник регулярно робить оцінку захищеності чи хоча б пентест, самостійно тестує безпеку та відкритий до повідомлень про його вразливості, що надходять ззовні – його рівень культури значно вище середнього. Якщо ж розробник навчає безпечній розробці свою команду, має Application Security функцію, приділяє увагу розвитку відповідних навичок персоналу та ще й впроваджує та виконує практики з OWASP SAMM – його рівень десь за хмарами. А рекомендації у звіті про пентест будуть дуже стриманими.
Але все ПЗ вразливе, і колись у його коді (або в коді якоїсь його залежності) знайдуть надстрашну багу. І піонери від безпеки будуть носитися з нею та звинувачувати розробника в тому, що його продукт «небезпечний». А люди з досвідом будуть намагатися пояснити, в чому піонери помиляються, але марно.
А помилка насправді проста: якщо чиясь безпека залежить від вразливостей в окремому програмному забезпеченні, то хтось очевидно зробив свою роботу дуже погано. Взагалі, якщо безпека сконцентрована в якомусь одному місці – хтось десь налажав. Можливо, це відбулося в наслідок того, що я називаю «фаєрвольною ментальністю» – коли спеціаліст скеровується морально застарілою парадигмою «зон та периметру». А можливо, це й не спеціаліст, просто коли він повторює гасла за журналістами кібербезпекових онлайн-таблоїдів, скрадається таке враження.
Мінімальних навичок з моделювання загроз достатньо, щоб навчитися довіряти важливі для вас речі лише перевіреним та надійним інструментам. Плавно переходячи до конкретики – Zoom до цього кола не входить. Не може система, яка дозволяє одночасно спілкуватися вдесятьох та записувати відео в хмару, бути надійним засобом для передачі надконфіденційних даних. Будь-яка мінімально обізнана в безпечній системній архітектурі людина вам це підтвердить. І ніхто з експертів вам ніколи не рекомендував Zoom для передачі конфіденційних даних: я перевірив. «Але ж маркетологи сказали що в них наскрізне шифрування…» Та вгамуйтеся вже з тими маркетологами! Вам Паша Дуров вже казав, що Телеграм безпечний. Що ще кому не ясно?
Залишайтеся вдома та сидіть в безпеці.
