Позначка: Bug Bounty

Чому Bug Bounty не є доказом безпеки Дії

Чому Bug Bounty Дії не є доказом безпеки? В чому помилка Мінцифри, яка переконує українців в протилежному? Що можна зробити для справжнього покращення безпеки?

Кібербезпека держави в смартфоні питання заполітизоване та наелектризоване. Щоб зорієнтуватися у фактах, я присвятив кілька тижнів вивченню інформації про безпеку Дії як програмного продукту. Навіть на їхню Bug Bounty програму підписався і вже поскаржився на її недоліки в підтримку BugCrowd, така вже я людина. В цьому пості я ділюся своїми висновками про безпеку Дії.

Щоб увійти в курс справ, вам слід прочитати останні 100 постів Костянтина Корсуна, Андрія Барановича та Артема Карпінського, а також опанувати два цікаві матеріали в онлайн-ЗМІ. Перший це колонка міністра цифровізації на Лізі, другий це інтерв’ю заступника міністра цифровізації у НВ. Усі згадані джерела маніпулятивні поза рамками пристойності, проте за лаштунками дотичних наративів очевидний головний меседж Мінцифри: ми піклуємось про безпеку Дії як головної (наразі) маніфестації концепції “держави в смартфоні”. Ми здійснюємо для її захисту потрібні та ефективні заходи. Зокрема це КСЗІ навколо інфраструктури додатку Дія та Bug Bounty її програмної частини. З боку критиків лунають закиди, які підлаштовуються під контекст та тон контраргументів. Але якщо коротко, то на думку опонентів Мінцифра некомпетентна виконувати взяті на себе зобов’язання.

Як професіонал з кібербезпеки, який спеціалізується на захисті програмного забезпечення на рівні стратегічного управління однією з найкращих компаній на цьому ринку, мушу зазначити, що твердження з обох боків позбавлені об’єктивної ваги й НЕ Є аргументами – ані на захист тези про безпеку Дії від актуальних загроз, ані проти неї. Знову ж таки, я не хочу ставати учасником політичних баталій між Мінцифрою та її противниками. Мій погляд на ситуацію суто професійний. Сьогодні я спрямую увагу на аргументи Мінцифри, бо її опонентам від мене вже дісталося. Отже, розпочнімо.

Продовжити читання “Чому Bug Bounty не є доказом безпеки Дії”

Мінцифра проведе багбаунті мобільного застосунку Дія

Мінцифра проливає світло на майбутній багбаунті Дії, але не все. Текст повідомлення короткий, я раджу прочитати його повністю, після чого в мене буде кілька коментарів.

По-перше, вкотре бачу, як недолугі піарники Мінцифри використовують расистський термін “білі хакери”. Насправді те, що вони хочуть сказати, називається етичні хакери, або просто хакери. Англійською цей термін звучить як white-hat hackers, але через довжину перекладу та низьку популярність вестернів в Україні, його здебільшого застосовують в оригіналі.

По-друге, зусилля Мінцифри по підсиленню безпеки мобільного додатку, зокрема програма багбаунті, не мають нічого спільного з впевненістю користувачів у захищеності їхніх персональних даних. Громадяни України користуються Дією не тому, що ви її захищаєте, а тому, що ви типу уряд і від вас очікують, що ви будете це робити добре. Чи так це, покаже час.

По-третє, навіть пропускаючи безглуздий та незграбний реверанс в бік морально застарілої КСЗІ, мушу ткнути вас носом в те, що неможливо “успішно пройти пентест”. Пентест це не аудит, в якому вам скажуть, як ви гарно старалися. Пентест це спосіб вимірювання ефективності вашого захисту. І якщо перше вимірювання показує, що ви його “успішно пройшли”, то це означає лише те, що ви обрали не дуже кваліфікованих пентестерів. Про ефективність другого пентесту тоді годі й казати: якщо на меті в компанії стоїть “успішно пройти пентест”, а не виявити та виправити вразливості, то й постачальник послуг пентестів буде підбиратися відповідний.

А тепер увага, це найцікавіше. “Умови прості: за кожен знайдений недолік системи (баг) – хакер отримує винагороду.” Судячи з цього формулювання, Мінцифри планує винагороджувати хакерів за дублікати, тобто вразливості, про які повідомлять декілька дослідників безпеки. Це дуже щедро з боку організаторів, але скоріш за все призведе до того, що бюджет багбаунті буде вичерпано в першу годину.

А, зовсім забув, бюджет. Як ми й підозрювали, мільйон за багу перетворився у загальний призовий фонд в мільйон гривень, що на думку Мінцфири складає 35 тисяч доларів. Добре, що з конвертацією валют у міністерстві все добре. Але чисто з досвіду: 35 кусків за додаток, який обробляє (ну або буде обробляти) дані більшості населення чи не найбільшої європейської країни… Ви можете мені не вірити, але це не просто неадекватно, це суттєво нижче значно менш масштабних програм багбаунті, навіть для Українських компаній.

Підіб’ємо підсумки. Поки що можу констатувати у цьому заході лише один позитивний момент: він, здається, таки відбудеться. Не знаю, чим керується Мінцифра на шляху до здійснення мети, але очевидно, що не досвідом учасників або організаторів багбаунті. Формат, бюджет та піар події поки що створюють у мене враження, що все це не більше ніж інфопривід для чергової медіа-перемоги.

My thoughts about Pentest vs Bug Bounty debate

I have been in pentesting and appsec business for a while. For the last 10 years, I am more or less involved in security assessments of various kinds. I have started as a junior security engineer in a large international firm, where I did my share of scanning and translating the reports. Then I had to leave the infosec industry for a couple of years that I spent in IT audit, but I continued occasional freelancing. After that, I joined a smaller firm where I grew my first pentesting team, then another one. Currently, I run my own company and I can finally focus on building the security assessment practice the way I see it right. One question that I am regularly asked by clients, friends, and colleagues is:

Why do you still do appsec and pentests when Bug Bounties are so much more profitable?

Sometimes I joke about it, sometimes I try to explain, but normally I limit the answer to “bug bounties are overrated”. Simply because it’s true. I will not dig deep into the difference between classic consulting services and security assessments in particular, and the crowdsourced approach implemented by contemporary bug bounty programs. Instead, I will point your attention that both leading bug bounty brokers have lately introduced a new service: the so-called “next generation pentest”. Which in fact is just a pentest, but provided to you by a broker that uses bug hunters as human resources. Of course, we can argue about the differences in methodology that supports the two approaches, but after a few minutes I will most probably convince you that this difference is negligible. What really matters is who does the job.

A few words about the history of the discipline. For many years the pentesting firms were so small, that they were not considered actual market players. Simply because big clients were not the fans of the idea of giving such a sensitive job to a pentest boutique. Instead, they offered contracts to the entities who already had built trust with them: accounting firms, system integrators, and even software vendors. Then, slowly but surely, smaller companies have started to gain trust too: sometimes because of a deeper focus on the subject, sometimes because they were founded by the individuals who had built trustworthy public profiles throughout their carriers. And then bug bounties emerged.

Bug bounties have offered the market the crowdsourced security assessments of unlimited scale. In other words, now “thousands of eyes” could review the security of your software and report issues, while only the first report complete according to the program rules could win the reward. Many customers were quick to jump into the bandwagon that seemed an economically good idea. Pay as you go? Better: pay as you get value! Who in possession of required funds would resist the temptation?

But as it turned out, not every customer was ready for the “thousand eyes” attention. A few did not go through any formal appsec practices prior to posting the bug bounty brief. As a result, a thousand eyes quickly emptied the budget of a program that had not had a couple of eyes looked at its scope first. So the paradigm had to evolve: now the bounties were only good for the “mature” products, that had some in-house appsec. After this and some other improvements, the balance has been found.

The ingenuity of the idea and the trajectory of its success made bug bounties a nice thing to invest in. And the investment capitalism, in short, means that fsck dividents — the growth is all that matters. But the growth has not been as intensive as expected: the market has quickly reached its capacity in both clients and human resources. Not that many customers are declaring bounties now, although many pilot the service in a private mode. Not many bug hunters become professional and dedicated full-time appsec researchers. There are super effective 1%ers on both sides. Apparently, the investors are not OK with “the flow” of operations and revenue that the field has reached. Thus, the rewind to the classic dedicated consulting/pentesting kind of services is being attempted — albeit with a certain facelift. And it will most probably work out, as the bug bounty brokers have the required trust and quality controls out there and are able to deploy trustworthy, background-checked resources. I am not sure that this will allow the brokers to sustain the growth rate that is expected from them, because the next “bug bounty boom” is not necessarily arriving any time soon. But the combination of public and private bounties and classic pentests would secure the flow.

In conclusion, I will sum it all up as I see it. Bounties offered the market the promise that Bitcoin once gave: the elimination of trust from the equation. Bitcoin never made it: not only because now you had to trust Bitcoin itself, but more importantly because people are willing to trust each other and the independent third parties who would enforce rules in case one of them decides to cheat. Neither will bounties make it. Instead, the brokers will have to take trust into account and diversify their offering accordingly.