Взломать "Дію": что такое багбаунти, и удастся ли хакерам получить 1 млн грн от Минцифры

2 декабря 2020 года министр Михаил Федоров объявил дату проведения багбаунти с целью выявления уязвимостей приложения "Дія" — 8 декабря. По его словам, в течение недели с 8 по 15 декабря хакеры "в белых шляпах" со всего мира смогут попытаться взломать копию приложения "Дія" и поискать баги. Призовой фонд составит 1 млн грн ($35 тыс.). Условия просты: если хакер находит уязвимость, то он получает вознаграждение. Баги поделят на категории, в зависимости от уровня их сложности. Соответственно, и призовой фонд тоже категоризируют. За нахождение багов первого уровня сложности хакер получит до $3500, второго — до $1200, третьего — до $600, четвертого — до $250. Багбаунти будет проведен на платформе Bugcrowd (Bugcrowd — международная компания, специализирующаяся на кибербезопасности и проведении багбаунти).

Фокус поинтересовался у эксперта по кибербезопасности, CEO Berezha Security Константина Корсуна, что такое багбаунти и зачем нужно испытывать наше "диджитал-государство" на прочность.

"Багбаунти — это комплекс мер, направленный на улучшения продукта. В ходе багбаунти привлекают специалистов и любителей извне, чтобы те нашли ошибки и уязвимости, которые упустили разработчики тех или иных продуктов/сервисов. Нашедшему выдается приз, как правило, денежный. После разработчики устраняют найденные ошибки, прежде чем широкая общественность узнает о них, что также дает возможность предотвратить злоупотребления. Как показывает мировая практика, багбаунти проводят максимально зрелые компании и организации, которые не просто построили надежный периметр и имеют собственную команду киберзащитников, но и провели множество различных независимых оценок, аудитов и тестирований. И после всего этого они настолько уверены в безопасности своего продукта/сервиса, что не боятся выставлять его на публичный взлом. А для Минцифры багбаунти — это не более чем способ улучшить свой продукт с минимальными затратами и за короткое время. Вместо того, чтобы потратить $100 тыс. — $150 тыс. на независимые тестирования, чиновники решили, что можно обойтись $35 тыс. на багбаунти", — объясняет Константин Корсун.

Имитация взлома

Следует отметить, что существуют различные условия проведения багбаунти, когда участникам дается доступ к коду или предоставляются открытые учетные записи, однако о министерской инициативе пока ничего не известно. Эксперты могут лишь рассуждать о том, как все может быть организовано в случае имитации атаки на "Дія".

"Цель багбаунти — имитировать реальную среду, когда злоумышленники пытаются взломать приложение, а разработчики — не допустить этого. А что касается Минцифры, — багбаунти будет проводиться в режиме Black Box, когда организаторы не дают участникам никакой дополнительной информации и/или возможностей. В таком случае хакеры взламывают приложение не в реальной, а в тестовой среде, и видят лишь то, что доступно "извне" каждому обычному пользователю. Следовательно, они не увидят и результатов своего взлома целиком, в отличие от организаторов", — рассказывает Константин Корсун

Защита 80 lvl

В Минцифры взлома не боятся и уверяют, что приложение защищено на должном уровне. В релизе подчеркивалось, что "Дія" 2.0 "…успешно прошла 2 пентеста" (пентест — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника, — ред.). Но является ли прохождение пентестов гарантом неуязвимости продукта/сервиса? "Минцифра не говорит, кто конкретно проводил эти пентесты и не публикует их результаты. Да, были новости об инхаус-аудите от EPAM, но это — ни о чем, потому что необходим независимый аудит", — уверяет Андрей Баранович, эксперт по кибербезопасности, сооснователь ОО "Украинский Кибер Альянс".

"Пентест нельзя "успешно пройти", это то же самое, что "успешно сдать флюорографию" — хотя бы минимальные проблемы всегда существуют, и рентген делается для их выявления, а не для саморекламы. Так же "для галочки" можно провести и багбаунти, делая вид, будто сам факт его проведения доказывает какой-то уровень безопасности "Дія", — добавляет Константин Корсун.

В релизе также говорилось, что приложение имеет аттестат КСЗИ, свидетельствующий о его соответствии украинским стандартам кибербезопасности. Стоит отметить, что данный аттестат выдается после анализа уязвимостей, разработки и реализации информационной модели комплексной системы защиты информации (КСЗИ) для продукта/сервиса заказчика (в данном случае — Минцифры) сотрудниками Государственной службы специальной связи и защиты информации Украины. Однако специалист по кибербезопасности ставит под сомнение аттестацию КСЗИ. "Экспертный вывод, который является неотъемлемой частью аттестата, до сих пор не опубликован, хотя должен бы был. А в ответ на запросы касательно обнародования этого документа, Минцифры присылает нарочно поврежденные файлы", — рассказывает Баранович Фокусу.

Невнятный ответ

Говоря о "битых" файлах, Андрей Баранович имеет в виду переписку между журналистом Сергеем Антоненко и Министерством цифровой трансформации Украины, результаты которой Антоненко опубликовал на ресурсе dostup.pravda.com.ua. В ответ на запросы Сергея прислать техническое задание на создание КСЗИ, договора и технические требования на построение КСЗИ для приложений "Дія", "Дій вдома" и портала "Дія", Минцифры прислало журналисту испорченные файлы. Он запросил документы еще раз, но снова получил нечитаемые файлы. Когда журналист с тем же требованием обратился в Госспецсвязь, ему ответили, что запрашиваемые документы может предоставить только их владелец, — то есть Минцифры. Круг замкнулся. Антоненко четкого ответа ни от одной из сторон до сих пор не получил.

Реален ли взлом "Дії"?

Фокус поинтересовался, удастся ли "хакерам в белых шляпах" (так следует называть хакеров, взламывающих сервисы и приложения ради благих целей, использовать формулировку "белые хакеры" считается неполиткорректным, — ред.) на практике взломать "Дію"? 

"Взломать можно все, что угодно — это вопрос времени и затраченных усилий. А учитывая, что к "Дія" подключаются все новые и новые ведомства, она постепенно превращается в "ключ от всех дверей. Я даже не хочу представлять, что будет, если "Дія" сбойнет или будет взломана настоящими хакерами в реальных, а не тестовых, условиях", — комментирует Андрей Баранович.