Позначка: Дія

Фейкова Дія та соціальний ліфт

Розробнику фейкового додатка Дія запропонували роботу в Мінцифрі. Без моралізаторства та політизації, спробую дати оцінку цій події.

Напевно, найголоснішою новиною тижня було спочатку виявлення фальшивого мобільного додатку Дія, а після цього – швидке знаходження та затримання горе-розробника цього застосунку. Історія коротко: пацан з Запоріжжя, 21 рік, зліпив схожий на Дію додаток, в якому можна підробити всі необхідні документи. Які не проходитимуть валідацію, але для неозброєного ока виглядатимуть легітимно. Тому для посадки на літак не підійдуть, але для купівлі пива та цигарок – цілком. Продавав він це добро за 100 грн, гроші приймав на картку сестри, і взагалі поводився скоріше як пранкер, ніж як шахрай.

Продовжити читання “Фейкова Дія та соціальний ліфт”

Чому Bug Bounty не є доказом безпеки Дії

Чому Bug Bounty Дії не є доказом безпеки? В чому помилка Мінцифри, яка переконує українців в протилежному? Що можна зробити для справжнього покращення безпеки?

Кібербезпека держави в смартфоні питання заполітизоване та наелектризоване. Щоб зорієнтуватися у фактах, я присвятив кілька тижнів вивченню інформації про безпеку Дії як програмного продукту. Навіть на їхню Bug Bounty програму підписався і вже поскаржився на її недоліки в підтримку BugCrowd, така вже я людина. В цьому пості я ділюся своїми висновками про безпеку Дії.

Щоб увійти в курс справ, вам слід прочитати останні 100 постів Костянтина Корсуна, Андрія Барановича та Артема Карпінського, а також опанувати два цікаві матеріали в онлайн-ЗМІ. Перший це колонка міністра цифровізації на Лізі, другий це інтерв’ю заступника міністра цифровізації у НВ. Усі згадані джерела маніпулятивні поза рамками пристойності, проте за лаштунками дотичних наративів очевидний головний меседж Мінцифри: ми піклуємось про безпеку Дії як головної (наразі) маніфестації концепції “держави в смартфоні”. Ми здійснюємо для її захисту потрібні та ефективні заходи. Зокрема це КСЗІ навколо інфраструктури додатку Дія та Bug Bounty її програмної частини. З боку критиків лунають закиди, які підлаштовуються під контекст та тон контраргументів. Але якщо коротко, то на думку опонентів Мінцифра некомпетентна виконувати взяті на себе зобов’язання.

Як професіонал з кібербезпеки, який спеціалізується на захисті програмного забезпечення на рівні стратегічного управління однією з найкращих компаній на цьому ринку, мушу зазначити, що твердження з обох боків позбавлені об’єктивної ваги й НЕ Є аргументами – ані на захист тези про безпеку Дії від актуальних загроз, ані проти неї. Знову ж таки, я не хочу ставати учасником політичних баталій між Мінцифрою та її противниками. Мій погляд на ситуацію суто професійний. Сьогодні я спрямую увагу на аргументи Мінцифри, бо її опонентам від мене вже дісталося. Отже, розпочнімо.

Продовжити читання “Чому Bug Bounty не є доказом безпеки Дії”

Мінцифра проведе багбаунті мобільного застосунку Дія

Мінцифра проливає світло на майбутній багбаунті Дії, але не все. Текст повідомлення короткий, я раджу прочитати його повністю, після чого в мене буде кілька коментарів.

По-перше, вкотре бачу, як недолугі піарники Мінцифри використовують расистський термін “білі хакери”. Насправді те, що вони хочуть сказати, називається етичні хакери, або просто хакери. Англійською цей термін звучить як white-hat hackers, але через довжину перекладу та низьку популярність вестернів в Україні, його здебільшого застосовують в оригіналі.

По-друге, зусилля Мінцифри по підсиленню безпеки мобільного додатку, зокрема програма багбаунті, не мають нічого спільного з впевненістю користувачів у захищеності їхніх персональних даних. Громадяни України користуються Дією не тому, що ви її захищаєте, а тому, що ви типу уряд і від вас очікують, що ви будете це робити добре. Чи так це, покаже час.

По-третє, навіть пропускаючи безглуздий та незграбний реверанс в бік морально застарілої КСЗІ, мушу ткнути вас носом в те, що неможливо “успішно пройти пентест”. Пентест це не аудит, в якому вам скажуть, як ви гарно старалися. Пентест це спосіб вимірювання ефективності вашого захисту. І якщо перше вимірювання показує, що ви його “успішно пройшли”, то це означає лише те, що ви обрали не дуже кваліфікованих пентестерів. Про ефективність другого пентесту тоді годі й казати: якщо на меті в компанії стоїть “успішно пройти пентест”, а не виявити та виправити вразливості, то й постачальник послуг пентестів буде підбиратися відповідний.

А тепер увага, це найцікавіше. “Умови прості: за кожен знайдений недолік системи (баг) – хакер отримує винагороду.” Судячи з цього формулювання, Мінцифри планує винагороджувати хакерів за дублікати, тобто вразливості, про які повідомлять декілька дослідників безпеки. Це дуже щедро з боку організаторів, але скоріш за все призведе до того, що бюджет багбаунті буде вичерпано в першу годину.

А, зовсім забув, бюджет. Як ми й підозрювали, мільйон за багу перетворився у загальний призовий фонд в мільйон гривень, що на думку Мінцфири складає 35 тисяч доларів. Добре, що з конвертацією валют у міністерстві все добре. Але чисто з досвіду: 35 кусків за додаток, який обробляє (ну або буде обробляти) дані більшості населення чи не найбільшої європейської країни… Ви можете мені не вірити, але це не просто неадекватно, це суттєво нижче значно менш масштабних програм багбаунті, навіть для Українських компаній.

Підіб’ємо підсумки. Поки що можу констатувати у цьому заході лише один позитивний момент: він, здається, таки відбудеться. Не знаю, чим керується Мінцифра на шляху до здійснення мети, але очевидно, що не досвідом учасників або організаторів багбаунті. Формат, бюджет та піар події поки що створюють у мене враження, що все це не більше ніж інфопривід для чергової медіа-перемоги.