Головна Блог Не дуже я розумію, що сьогодні треба святкувати і з чим один одного вітають, тому розкажу шо я думаю про Bug Bounty для додатку Дія, яку розробники начебто планують провести у грудні
Не дуже я розумію, що сьогодні треба святкувати і з чим один одного вітають, тому розкажу шо я думаю про Bug Bounty для додатку Дія, яку розробники начебто планують провести у грудні

Не дуже я розумію, що сьогодні треба святкувати і з чим один одного вітають, тому розкажу шо я думаю про Bug Bounty для додатку Дія, яку розробники начебто планують провести у грудні

Не дуже я розумію, що сьогодні треба святкувати і з чим один одного вітають, тому розкажу шо я думаю про Bug Bounty для додатку Дія, яку розробники начебто планують провести у грудні. Хитро підморгують та всіляко натякають, що це буде грудень ще цього, 2020 року.

Ну для початку: це ще поки така сама обіцянка-цяцянка, яку давав М. Федоров під час презентації Дія 2.0 у жовтні цього року. І теж казав «ось-ось, вже завтра».
Але навіть якщо Баг-Баунті все ж розпочнеться цього року (а триватиме може місяць-два) – уся ця двіжуха матиме такий само декоративно-картонний характер, як і «успішно пройдені пентести».
Для довідки: пентест не можна «успішно пройти», це те саме, як «успішно здати флюорографію» – хоча б мінімальні проблеми завжди існують і рентген робиться для їх виявлення, а не для самореклами.
Так само «для галочки» можна і «провести Bug Bounty”, роблячи вигляд, начебто сам факт його проведення доводить якийсь рівень безпеки Дії.
Зазвичай нормальні ББ проводять максимально зрілі компанії та організації, які не просто побудували надійний периметр та мають власну професійну команду кібербезпечників, але які провели купу різних незалежних оцінок, аудитів та тестувань. І після всього цього настільки впевнені у безпеці свого продукту/сервісу, що не бояться виставляти його на публічний розрив світовим хакерьйом.
Себто насправді ББ – це не більше ніж засіб за короткий час покращити свій продукт з мінімальними витратами. Замість витрачати $100-150k на незалежні тестування та асессменти, можна обійтися $30k на Баг-Баунті.
Нагадаю: сам факт проведення ББ нічого не свідчить про безпечність продукту чи послуги. Опосердковано свідчить про рівень кібер-зрілості, але не у разі, коли ББ є засобом СММ-реклами.
Ось погортайте довгий перелік відомих компаній, які оголосили проведення Bug Bounty: https://cutt.ly/zhkZzUdТам багато всесвітньо-відомих компаній, але є й доволі неочікувані імена.
І ще важливий момент.
Інформація про знайдені вразливості зазвичай доступна лише організатору та замовнику ББ. З учасниками підписуються договори про нерозголошення (NDA). І це нормальна практика. За таких умов учасник не має права розголошувати що він знайшов а чого не знайшов.
І замовник ББ зазвичай не дуже прагне публічності по результатах. Маю на увазі нормального комерційного замовника, не міні-цифру, яким значно важливіше «здаватися», ніж «бути».
Але по виплатам винагород (баунті) теж можна зробити висновок чи нарили щось учасники.
Зазвичай за вразливості рівня Critical-High виплачують десь між 1000 та 3000 доларів. Якщо знайдено три або більше «крітікала» – зливай воду, можна закривати ББ, немає сенсу продовжувати.
Якщо весь бюджет ББ Дії буде витрачено в перший тиждень – значить розрівали дієчку на шмаття злі немилосердні хацкери купою хай-крітікалів.
Та навіть якщо весь бюджет буде витрачено, нехай і не в перший тиждень – висновок той самий.
Але якщо організатори проводять ББ не для покращення продукту, а лише щоб комусь щось довести – тоді можливі різні хитрощі.
Наприклад, можна викласти на стейджінг (тестове середовище) не повну копію додатку, а його обрізану або нефункціональну версію. Або саме середовище некоректне.
Або без аргументації називати знайдені вразливості «поза межами скоупу» і на цій підставі не виплачувати баунті. Або принижувати ступінь ризику знайденої вразливості і тому менше платити. Ну і ще різні виверти існують.
У світі нормальних людей за такі фокуси сильно страждає репутація компанії (баг-баунтери – народ суворий), тому організатори намагають нічого такого не допускати і усі конфлікти душити у зародку.
Але коли ти – офіційне міністерство в Україні, твій дах – Президент країни і свій ярд на 2021 рік ти палюбе отримаєш – репутаційні питання тебе не дуже турбують, тим більше якщо репутація твоя відпочатку була сильно підмоченою, разів так сто.
А отже я очікую від багаторазово проголошеного Баг-Баунті Дії або постійного перенесення термінів проведення, або якихось мутняків з реєстрацією, або дивних дискримінаційних умов участі, або приколів з репортінгом, стейджингом, скоупом, класифікацією вразливостей, виплатами, чи чимось іще, про що я поки не знаю.
Чи то взагалі захід оголосять непублічним і все засекретять, з них станеться.
Щоправда, маю надію на чіткі правила міжнародної платформи BugCrowd, яка не дозволить відвертої урино-офтальмології, але якщо організатор відпочатку налаштований на шахрайство – він завжди знайде для себе якісь шпаринки.
Чому я завчасно такий скептичний?
Тому що Bug Bounty, яке так завзято анонсують, не виглядає як щось природнє для міністерства розбитих сподівань.
Я знаю наскільки серйозно ставляться до кібербезпеки у тих великих українських компаніях, де свого часу зважилися на публічну ББ.
І це зовсім не схоже на те, як ставляться до КБ у організації, лідер якої досі не покаявся після «Роль кібербезпеки трохи перебільшена».
Найвірогідніше, це буде якийсь фарс, можливо з елементами комедії, гротеску або трагедії.
Хоча саму вірогідність проведення ББ Дії я оцінюю як 50/50. Чисто інтуїтивно.
Але побачимо.
У будь-якому разі це буде цікаво і надасть деякі відповіді на деякі питання.
Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.