В декабре команда Министерства цифровой трансформации на платформе Bugcrowd при поддержке Агентства по международному развитию США (USAID) провела тестирование по нахождению возможных ошибок в «Дія». По словам Министерства, в приложении не выявили уязвимостей, которые бы влияли на безопасность. Было найдено две проблемы низкого уровня, которые сразу были исправлены специалистами.
Один из украинских «белых хакеров», который сохранил анонимность, раскритиковал программу багбаунти от Минцфиры в своей колонке. Редактор AIN.UA дополнительно опросил участников рынка: они согласились, что назвать «серьезным» то испытание, которое провело Министерство — нельзя. В Минцфиры, позиция которого также представлена в материале, уверены, что все прошло отлично.
Обновлено: ранее в материале был представлен кейс, который показывал недоработку платформы. Дополнительная проверка показала, что информация не соответствует действительности. Редакция приносит свои извинения читателям.
С 8 по 15 декабря Минцфиры провело программу поиска уязвимостей приложения «Дія». Общий призовой фонд для «белых хакеров» — $35 000.
«Дія» підтвердила безпечність застосунку за допомогою програми багбаунті», — новость с таким заголовком была опубликована 30 декабря 2020 на сайте Министерства цифровой трансформации и в социальных сетях. Приложение оказалось безопасным, поэтому из призового фонда потратили всего несколько сотен долларов. Двойная победа.
Впрочем, не все так просто.
Для поиска уязвимостей была выбрана платформа Bugcrowd. Во-первых, не все одобрили такой выбор, о чем мы писали ранее. Руководитель Hacken, куда входит украинская багбаунти-платформа HackenProof (среди прочего, ее использовали для тестирования Prozorro) Дмитрий Будорин сообщил AIN.UA, что изначально Минцифры планировали использовать их продукт, однако потом передумали.
Во-вторых, IT-специалистов смущает и непрозрачность отбора участников: зарегистрироваться и поучаствовать любому желающему было нельзя — принять участие могли только те, кто зарегистрирован на Bugcrowd и подходят по определенным параметрам, которые, к тому же, стали известны лишь после окончания тестирования.
К участию в программе платформой Bugcrowd специалистов приглашали согласно следующих критериев:
- как минимум 4 найденных уязвимости за все время на платформе;
- за все время найдено и подтверждено как минимум 3 уязвимые уровня P3 и выше;
- за последние 90 дней найдена и подтверждена хотя бы одна уязвимость уровня P3 и выше;
- процент подтвержденных уязвимостей за последние 90 дней не менее 50%.
Согласно публичной информации, изначально для тестирования Bugcrowd привлекла 50 «белых» хакеров, которые соответствуют заданным критериям, а в период проведения программы – дополнительно привлекли еще 33.
Всего было привлечено 83 хакера, из которых только 27 приняли приглашение и присоединились к тестированию (из них 14 из Украины).
Отчеты были получены от 4 уникальных исследователей.
Однако ранее неоднократно сообщалось, что в тестировании будут участвовать «50 лучших хакеров со всего мира». А получается, что участие принимали не 50 лучших хакеров со всего мира (и даже не 83), а только 27.
И, учитывая то, что неделя времени на тестирование приложения и API – крайне мало, а на рынке присутствует множество других проектов с большими размерами вознаграждения – скорее всего, и указанные 27 хакеров не работали над поиском уязвимостей в полную силу, а просто приняли данное приглашение и числились участниками.
Более того, для приложения, в котором не была снята защита ssl-pinning, которую нужно было обходить, чтобы протестировать приложение. Это дополнительно: лишняя трата времени и негативно влияет морально на участника. Когда другие компании проводят тестирование, они предоставляют приложения со снятой защитой ssl-pinning и иногда необфусцированные. Тут же нужно было тратить свое время на обход защиты.
AIN.UA опросила нескольких участников рынка и все они подтвердили: сильные «этичные» хакеры и сообщества участия в этой программе не принимали.
В Минцфиры отметили, что выбрали Bugcrowd, известную в мире платформу, к которой «не может быть вопросов». О том, что участие приняло только 27 человек из желаемых 50, а значит их было вполовину меньше ожидаемого, Минцифры отметили, что «для первого этапа и такого формата этого вполне достаточно».
Только 4 этических хакера отправили отчеты (всего 6 отчетов) о своих находках. Из этих шести отметили как валидные (подтверждаются) только 2, а четыре отчета не были приняты. Бюджет в $35 000 почти весь сохранили, выплаты составили по $250.
С одной стороны, сэкономленные средства. С другой – смотрите пункт выше про сроки и условия тестирования и количество участников.
К тому же, не все представители индустрии согласны с тем, что сам поиск уязвимостей был эффективен. По мнению Константина Корсуна, Главы Совета Общественной организации Украинская группа информационной безопасности, директор компании по кибербезопасности Berezha Security «программы по типу Bug Bounty не предназначены доказывать безопасность приложения или сайта»:
Тот факт, что Минцифры проводит подобные программы — похвальный. С другой стороны, из-за запутанной системы регистрации «этических» хакеров, сложная система поиска уязвимостей и низкие выплаты за поиск серьезных багов могут отпугнуть сильных участников от участия в таких конкурсах в будущем. А значит, эффект от проведения такой программы — неполный, и может создавать ощущение лишь видимой защищенности.