А шо там у USAID?
Кілька поточних новин про непрофесіоналізм за великі гроші.
Почну з найостанніших.
Сьогодні зранку відбувся брифінг віце-прем’єра Федорова та директора проекту USAID Кібербезпека критично важливої інфраструктури України Тімоті Дюбеля, https://cutt.ly/ShxvWiW
Спочатку Федоров з трибуни поніс свою улюблену пургу: вихвалявся отриманням на Дію атестату відповідності КСЗІ, який назвав “найвищою нагородою” з безпеки (рік тому він же публічно називав це “відкритою торгівлею красивими папірцями яка не має нічого спільного з кібербезпекою”).
Далі згадав про “пройдені два пентести”. Сама побудова фрази “пройти пентести” миттєво ідентифікує людину за принципом “Ламборґіні vs Ламборджині ”. Це десь схоже на те, якщо спитати когось “В Україні” чи “НА Україні”? Відповідь миттєво визначить до якої сторони барикади належить співбесідник. Особливо коли скажуть «акакаяразніца».
Також Михайло з гордістю назвав естонське агентство електронного урядування, яке начебто організувало їм пентести. Можливо, це агентство має якусь вагу у е-урядуванні, але точно не має ніякого авторитету у світі кібербезпеки. Так що цей пафос недоречний і смішний. “Сантехніку у моїй квартирі полагодив особисто професор медицини зі Словенії” – десь так це звучить.
Потім почав розказувати про Bug Bounty і знов акцентував увагу на суто расистському аспекті цього процесу: тестуватимуть лише білі хакери. Погукайте хтось BLM, тут віце-прем’єр займається расовою дискримінацією.
І ще сказав пан Михайло, що це «фінальний етап». Дуже на це сподіваюся. Хоча це навряд чи. У світі нормальних людей баг-баунті – це лише початок тяжкої праці з виправлення знайдених вразливостей. У деяких випадках додаток доводиться переписувати заново, з нуля.
Не зміг навіть з папірця пан Федоров прочитати назву всесвітньо відомої Bug Bounty-платформи BugCrowd і пробекав щось типу «баґрауд», що в тисячний раз свідчить про дрімуче безпросвітнє невігластво царя «дієвих».
Ще заявив, що, нібито, “Дія є одним з найбезпечніших ІТ-продуктів в нашій країні». Це брехня, традиційно. Я знаю багато значно безпечніших за Дію продуктів.
Ну ніяк не може бути безпечним продукт, безпекою якого почали займатися аж за 10 місяців після релізу. Не буває так.
Наприкінці було питання Федорову про виплати за знайдені вразливості.
Якщо перекласти косноязичну відповідь Федорова людською мовою, то можна здогадатися, що за Р1 виплачуватимуть $3,500, а за Р2 – $1,200. Ну шо, нормально так чо, цілком міжнародні ціни. Загальний-то бюджет такий собі, не айс, але перші пару десятків учасників мають шанс отримати баунті.
Але найбільше насмішив мене американець Дюбель.
Спочатку були загальні слова про мир-труд-жвачка та важливість кібербезпеки. Окремо посміхнуло про співпрацю з civil society.
Також я гигикнув коли перекладач переклад цей вислів, (який означає «громадянське суспільство») як «державний сектор».
Дюбель пообіцяв публічно обговорити результати Bug Bounty. І я спіймав Дюбеля на слові. Цієї обіцянки я не забуду.
Також Дюбель пообіцяв допомагати РНБО та Держспецзв’язку. Перекладач чомусь назвав Держспецзв’язку – ДСЗІ. Він теж смішний, той перекладач, до речі. Такий самий невіглас, це очевидно. Або просто не готувався до перекладу. Або і перше, і друге.
А після промови керівнику кібер-проекту, який нічого не тямить у кібер, поставили просте питання: «Які помилки найбільш поширені у Світі?»
Якщо малися на увазі помилки при розробці програмного забезпечення, то це дуже просте питання для кібер-професіонала.
Але Дюбель професіонал лише в управлінні проектами, а не в кібербезпеці.
Тому його відповідь прозвучала приблизно так: «Насправді є дуже велика кількість загроз. Багато часу піде щоб про них розказати. Є багато джерел відкритої публічної інформації про ці загрози. Одна з них – MITRE ATT&CKFramework. Ідіть і читайте кароч, мені ніколи».
Ось тільки запитували його зовсім не про це.
Матриця MITRE ATT&CK – це кльова штука, але вона не про найбільш поширені помилки, а про вектори атаки, тактики та методики атак з використанням різних вразливостей, їх комбінацій, ідентифікації хакерських груп і таке інше. Про це знає кожен більш-менш кваліфікований спеціаліст.
А от якби він був не Дюбель, а фахівець, то відповідь його була б проста та лаконічна: OWASP Top-10. Для більшої загадковості можна було ще й сказати розумні слова типу SQLi, XSS, ХХЕ, Broken Authentication, Securitymisconfigurations. І це була б максимально точна та високо-професійна відповідь на поставлене питання. Тому ще це саме про помилки розробників.
А так це нагадувало відповідь на іспиті студента, який вивчив лише одне питання про блох.
Ладно, розкажу.
Вивчив, значить, студент лише одне питання про блох.
Витягнув квиток про собак.
Відповідає: собаки – це такі ссавці, які мають хутро. У хутрі водяться блохи. А блохи – це …. І погнав розповідати про блох.
Препод: «Ладно, юначе, розкажіть нам про кішок».
Відповідає: кішки – це теж такі ссавці, які мають хутро. У хутрі водяться блохи. А блохи – це …. І знов про блох.
Препод: ну припустимо, а що стосовно риб?
– Ммм, риби – це такі створіння, в яких немає хутра. А ось якби було хутро – то були б блохи, А блохи – це …..і знов про блох».
Не знаю хто з журналістів поставив це питання, але я дякую їй/йому.
Перекладач же, перекладаючи і питання і відповіді був прям агінь, переплутав практично усе, навіть не хочу витрачати час на переказування тієї маячні. Ну і, звісно, назвав ethical hackers “білими хакерами”, а bad hackers – “чорними хакерами». Теж расист, мабуть.
Плюс до того, що невіглас. Просто красава, якраз під стать професійному рівню кібер-проекту від USAID. Тут все сходиться ідеально.
Ну і коли я вже почав розказувати про Дюбеля – розкажу ще дещо про цього пафосного пана та про його досить дивну манеру спілкування з civil society.
Пару тижнів тому, 19 листопада 2020 USAID проводило круглий стіл «Вища освіта з кібербезпеки в Україні». Мене на цей круглий стіл довго не хотіли реєструвати, але врешті решт зареєстрували. І я цією їхньою необережністю, звісно, скористався, поставивши пану Дюбелю три питання:
«Наскільки особисто Ви досвідчені у професійній кібербезпеці»?
«Чи Ви дійсно вважаєте, що керівник проекту не повинен бути фахівцем у предметній області проекту?»
«Чому головним бенефіціаром проекту USAID є міні-цифра, яка є низько-компетентною у сфері кібербезпеки?»
Перше питання американський чиновник проігнорував. Звісно, що йому відповісти на це? Визнавати свою цілковиту необізнаність у кібербезпеці – це ж не по-пацанські.
Але на два інші – таки відповів.
І ось що.
Відповідь на питання чи повинен керівник проекту не повинен бути фахівцем у предметній області проекту:
«Як я згадав, ця активність включає багато експертів з кібербезпеки та організацій з глибоким досвідом. Моя робота – керувати проектом загалом, це сфера, в якій я маю значну експертизу».
Ну тепер принаймні зрозуміла позиція USAID: головне бути досвідченим чиновником-бюрократом, наскільки ти фахівець у галузі – не має значення.
Ну штош, тоді і результати проекту будуть відповідними. Строго в рамках управління проектами та у чіткій відповідності до внутрішніх правил USAID. Без розуміння специфіки та суто формальними. Ну норм. Україні ж саме цього і треба, еге ж?
Відповідь на питання про міні-цифру було ще менш очікуваним: «Я був би щасливий обговорити з Вами різних стейкхолдерів, яких ми залучаємо».
Невже дійсно хоча поспілкуватися? Не може бути. Так не буває. Це твердження вибило мене на деякий час зі стану спокійної рівноваги.
Але згодом все стало на свої місця.
По-перше, мені не надали можливості відповісти пану Дюбелю. Ось просто нема куди відповідати. Проклацав усі можливі місця, навіть у чаті написав, що не можу відповісти. Тобто це як розмова з радіоприймачем – в одну сторону.
«Ну трохи технічно криворукі хлопці, буває» – подумав я і попросив допомоги прокомунікувати модератора круглого столу пана
Vladlen Basysty. Адже людина хоче зі мною поспілкуватися! Хіба не для цього придумані «круглі столи»та їх “модератори”?
У відповідь – тиша. Яка триває понині. Агов, Владлене!
Ну ладно, боїться мене пан Владлен, біжить по трусиках зрадницька цівка при одній тільки думці відповісти на email страшному Корсуну. До такого я теж звик. Майже усі чиновники мене бояться до якогось оціпеніння.
Тому за пару днів я сам написав пану Дюбелю у LinkedIn, бо інших контактів не маю.
Типу «так Ви там наче хотіли поспілкуватися? Дайте знати якщо це так»
І знаєте шо? Праааальна, нічого. Тиша як на цвинтарі у новорічну ніч. Тотал ігнор. Мінцифра-стайл.
Але як тоді розуміти цю загадкову фразу «Я був би щасливий обговорити з Вами різних стейкхолдерів, яких ми залучаємо»? Невже це лише така форма ввічливості, яка не мала на увазі бажання спілкуватися, а лише заклик «слухайте наше радіо, бандерлоги, там все написано»?
І навіщо було її писати, якщо ніхто відпочатку не мав бажання спілкуватися?
Можливо, це стьоб такий тонкий? Незбагненний для мого хлопського розуму сарказм?
Чи така витончена дуля мені у пику? Поділіться, будь ласка, своїми ідеями, знавці американського канцеляриту.
А поки ці питання залишаються без відповіді, оця ситуація нагадала мені схожу, яка мала місце у вересні цього ж року, коли на одному заході представники USAID сказали
Demyd Maiornykov, що вони начебто «знають про позицію ком’юніті та готові сідати за стіл переговорів і робити зміни до програми», але все закінчилося «як завжди» – нічим. Крім цієї фрази ніяких дій щодо спроби поспілкуватися ніким «з тієї сторони» здійснено не було. Total deep silence. Мабуть, думали-думали – і передумали, вирішили залишити усе як є. Нєнуачо? Не барська це справа – з холопами спікуватися.
І оці два схожих випадки виявляють досить цікаву тенденцію у стилі спілкування американської бюрократії, яка відрізняється від вітчизняної: хоча б заявляти про бажання спілкуватися з професійною спільнотою. Щоправда, лише заявляти, але ж міні-цифрові навіть цього не роблять. Щоправда, гіпер-проблеми з комунікаціями ні я тих, ні у других нікуди не зникають.
Але є і гарна новина: і американським чиновникам, і українським – давно пофіг на це. Головне – вкинути у маси якийсь меседж, зворотній зв’язок ми все одно проігноруємо.
Пару тижнів тому ось тут https://cutt.ly/8hgtghA розгорілася гаряча дискусія “чи повинен керівник проекту бути фахівцем у предметній області проекту”.
Там були дуже різні думки з цього приводу, часто діаметрально протилежні, але сьогодні я добавлю ще один аргумент: керівнику потрібно бути фахівцем хоча б для того, щоб не виглядати лохом. Хоча б на публіці.
У мене є ще цікаві новини про закупівлі проектом «USAID Кібербезпека критично важливої інфраструктури» техніки, про стан фінансування програми та ще пара смажених інсайдів. Але про це – згодом.
Залишаємося на зв’язку.
P.S.: Навмисно тегаю
Evgeniy Poremchuk
, щоб він недайбоже не пропустив моєї поточної оцінки ситуації з Bug Bounty для Дії.
P.P.S.: Ось поки дописував останні слова побачив, що начебто Bug Bounty для Дії буде приватною програмою, не публічною. Тобто взяти у ній участь може не хто завгодно, а кого покличуть. І це зовсім інше кіно, не те, про яке розказують Федоров і компанія. Програма ще не запущена, а приколи вже почалися.
