Про Bug Bounty додатку Дія

Два тижні тому міністр віртуального щастя Михайло Федоров кричав з кожної праски, що ось вже скоро-скоро вони починають Bug Bounty додатку Дія і це переконає усіх нігадяїв-скептиків, що їхня саморобка таки безпечна: https://bit.ly/3aNlRqF

Начебто вона вже і до того була безпечна (саркастично посміхаюся), але ось після баг-баунті – так ващє, останні сумніви зникнуть у найзапекліших ворогів.

Про безпеку Дії «дієві» брешуть регулярно і безталанно, але усе перевіряється за пару хвилин і брехня одразу стає очевидною: https://bit.ly/3hhw5Rm

Однак погроза провести Bug Bounty на міжнародно-визнаній платформі за міжнародними правилами примушувала мене дещо не те щоб хвилюватися, але мати тривожні передчуття невизначеності, тому що загалом програми типу Bug Bounty не призначені доводити безпеку додатку/сайту/порталу, але дієві можуть запросто записати собі у досягнення відсутність алігаторів у київських ставках взимку.

Особисто я оцінював вірогідність самого факту проведення Bug Bounty Дії як 50/50.

І спрацювали якраз другі 50 – баг-баунті все ж провели з 8 по 15 грудня 2020, всього лише один тиждень, але про це нижче.

Захід завершився 15 грудня, але чомусь досі не чутно фанфар з прасок, Федоров не верещить «От бачите! Все ж безпечно!», а вискуби-баніки не заливаються радісним гавкітом на проплачених ефірах.

«А що ж сталося?» – запитає пересічний поціновувач кібербезпеки. Що могло піти не так, це ж мала бути остаточна перемога жижиталізаторів над здоровим глуздом?

Оскільки самі «дієві» мовчать як риба об лід, поділюся своїми здогадками.

Адже офіційної інформації немає, навіть через 10 днів після завершення проекту, тому кожен вільний висувати свої власні найфантастичніші припущення.

Тому розкажу, що наснилося особисто мені у різдвяну ніч.

Не-джентльменські підстави розпочалися ще до початку Bug Bounty: Федоров заявляв, що «хакери з усього світу зможуть перевірити Дію», а насправді виявилося, що Bug Bounty буде приватною, тобто помацати Дію за вим’я зможуть лише ті, кого запросили організатори.

Потім підступ номер два: один тиждень тривалості заходу.

Зазвичай Bug Bounty проводять 3-4 тижні, ну ніяк не менше двох.

Один тиждень – це занадто мало щоб розібратися у чужому продукті. Або це зроблено свідомо, щоб ніхто не встиг зметикувати що тут до чого та знайти вразливості.

Що було під час самого Bug Bounty – не знає ніхто крім самих учасників, організаторів та платформи Bugcrowd.

Але ж якщо, скажімо, їдеш ти у трамваї і випадково чуєш цікаву розмову на знайому тему між якимись людьми – то маєш право нею поділитися з іншими, я ж NDA не підписував, вірно? Ну підслухав у трамваї, ну буває.

Так от, хлопці у трамваї балакали про те, начебто на тестування був виставлений насмерть обфускований мобільний додаток, але при цьому у скоупі не було АРІ.

Розумію, що далеко не усі в курсі цієї специфіки, тому поясню на прикладі: ви приходите до лікаря на медогляд по довідку щоб здати на водійські права, але у протигазі, комбінезоні хімзахисту, з ніг до голови обгорнутий колючим дротом, і усе це заліплене скотчем.

«То як же я вас огляну?» – запитує лікар. А ви лише таємничо підморгуєте скельцями протигазу і легенько ворушите пальцями ніг на знак своєї тотальної інтелектуальної переваги.

Виставляти на Bug Bounty мобільну частину без АРІ – це нонсенс, дурість та явна неповага до учасників. Це як прийти на співбесіду і свідомо не відповідати на питання.

Також ставити на Bug Bounty обфусковану мобільну частину – це постріл собі в ногу. Нормальні розробники виставляють максимально відкритий код, щоб за час баг-баунті учасники знайшли максимум помилок та вразливостей, а розробники усі їх виправили та покращили додаток для своїх користувачів. Але ж то нормальні розробники, які розуміють навіщо проводиться Bug Bounty, не забуваємо про це.

Декомпіляція обфускованого коду (себто надання йому зрозумілого читабельного вигляду) мала б зайняти не менше тижня, а потім усе те треба було проаналізувати та зрозуміти що до чого та як то все працює. А це ще не менше тижня.

Ризикну припустити, що усі запрошені учасники вирішили не марнувати свій час та не займатися тим, що неможливо встигнути. Тож, скоріш за все, мобільна частина так і залишилася недослідженою. І здається, що саме цього добивалися організатори.

Якихось вагомих вразливостей АРІ начебто знайдено не було, тому ось вам мої дуже обережні вітання розробнику. Але не забуваємо, що Bug Bounty тривав всього тиждень, а у реального кримінального хакера попереду – вічність.

І найпікантнішим моментом всієї цієї історії є повне тотальне мовчання жижиталізаторів про результати проведеної Bug Bounty.

Між іншим пройшло вже десять днів після завершення максимально розрекламованої акції про «безпеку додатку Дія».

Чому Bug Bounty в принципі не може бути успішною чи неуспішною я пояснював тут https://bit.ly/34BydOD

Але зазвичай після завершення Bug Bounty, ініціатори повідомляють хоча б скільки коштів було сплачено учасникам за результатами програми.

І тут починаються нюанси.

Якщо скажуть, що виплатили весь бюджет – значить було знайдено купу жахливих вразливостей і продукт наскрізь дірявий.

Якщо скажуть, що виплатили пів-бюджету – значить вразливості є, і вони серйозні, що теж не айс і продукт не може вважатися захищеним.

Якщо сказати, що нікому нічого не заплатили – ще гірший варіант. Запрошені учасники дарма витратили свій час і більше не прийдуть; платформа Bugсrowd теж нічого не заробила і теж більше не співпрацюватиме; міжнародні карма та рейтинг дуже сильно просядуть і наступного разу до пристойного товариства просто не пустять.

Надурити теж не вийде: Bugcrowd не дозволить.

До речі, зазвичай після проведення Bug Bounty платформа Bugcrowd проводить опитування запрошених хакерів-учасників. І можна собі уявити які відгуки залишили обдурені фахівці. Можливо, саме тому міні-цифра робить вигляд, що не було ніякого Bug Bounty.

Але найгірший варіант – тупо морозитися, що зараз і відбувається.

Найдурніше виглядає той, хто на кожному розі верещав «От щаз я вам усім все доведу», потім тихенько у куточку під ковдрою шось сам собі доводить, а потім просто зникає з радарів.

Так ти ж нам наче обіцяв щось довести, хлопче?

Агов, де ти там? Е-е-у-у.

Вилазь, є розмова.

Розкажи нам про результати Bug Bounty Дії. Хоча б щось муркни.

Одразу застерігаю: сказати «Bug Bounty проведено успішно” – це сеанс урино-офтальмології в очі професійній кібер-спільноті. Зе-виборці і не таке проковтнуть, але ж люди обізнані та технічно грамотні продовжать реготати.

«- Вовочка, розкажи нам вірш, який я задавала.

– Я його вчив.

– Добре, то розказуй.

– Я його вчив.

– То ти вивчив чин і?

– Я його вчив.

– Тобто не вивчив?

– Я вчив вірш, вчив!

– То чому не розказуєш?

– Я вам вже все сказав, без коментарів

– Тобто вірша ми не почуємо?

– Так я ж його вам ось щойно чудово розказав!

– WFT ???»

Особисто я переконаний, що якби зелені жижиталізатори хоча б трохи орієнтувалися у професійній кібербезпеці, то навряд чи вони б залізли у таку неоднозначну та репутаційно-ризиковану штуку як Bug Bounty.

Це дійсно вершина кібербезпеки продукту, пік зрілості його власника та розробників, але вершина підкоряється лише достойним.

У нашому випадку, здається, на шляху до вершини наш клієнт пропав без вісті.

Hey, anybody home?