Коли Мінцифра, кажучи про безпеку додатку Дія, запевняє нас, що, типу, «не бійтеся пацани, у нас все чікі-пікі, повірте нам на слово» - цього не достатньо. Особливо коли так кажуть діячі, які раніше публічно заявляли, що «роль кібербезпеки дещо перевищена».
На цю тему: 82% програмного забезпечення в Україні не ліцензоване, — Business Software Alliance [2]
Для того, щоб переконати у відносній безпечності додатку, потрібно, щоб продавець (Мінцифри) чітко та однозначно відповів замовнику (платники податків) на наступні 5 (п’ять) питань:
Хто є розробником додатку? Тобто хто несе відповідальність за його функціональність та безпеку?
А точніше: хто писав які частини додатку: АРІ, бізнес-логіку, серверну частину, мобільну частину, загальну архітектуру? Назвіть ім’я компанії, будь ласка.
На сайті Дії у складі «команди проекту» вказано лише один професійний розробник, який здатен написати усі ці елементи та звести їх воєдино. Але з джерел, близьких до мінеральних, відомо, що вони писали лише один блок, та і то «на волонтерських засадах». В ІТ та кібербезпеці «на волонтерських засадах» означає щось типу «на тобі боже, що нам не гоже», тобто абияк у вільний від поезії час. Останній випадок у Чехії – показовий (погугліть «Чехія програмісти 16 мільйонів євро хакери»).
Чи мали розробники додатку навички безпечного кодування?
Скажу по секрету, що лише один з десяти програмістів (вони ж «кодери», вони ж «девелопери», вони ж «розробники», вони ж «девопси») має такі навички. А може, один зі ста. Цьому треба вчитися кілька місяців, і навчання коштує дорого. Тому таких розробників мало, і вони є далеко не у кожній великій ІТ-компанії. У Мінцифрі їх точно немає.
Чи застосовувалися практики безпечного кодування під час розробки додатку Дія?
Мало мати формально у штаті розробника з навичками безпечного кодінгу. Треба ці навички застосовувати ще на стадії розробки архітектури додатку. Тобто від самого початку планувати архітектуру додатку з урахуванням вимог безпеки. На жаль, наразі у 99% відсотках випадків комерційні розробники так не роблять, а натягують «безпеку» на вже готовий додаток. Чому це не працює – окрема тема.
Скільки разів і чи взагалі проводилися тестування додатку на безпеку?
Якщо тестували у тій самій компанії, яка його розробляла – таке не рахується. Це не об'єктивно, це конфлікт інтересів. Для об'єктивної оцінки завжди запрошується зовнішня незалежна компанія. І зазвичай проводяться щонайменше два тестування: основне, після якого розробник усуває виявлені вразливості. А потім повторне, з перевіркою усунення виявлених недоліків. І після другого розробник повинен усунути усе, що зможе. Хоча інколи деякі вразливості свідомо ігнорують, але це теж окрема історія.
Якщо тестування на безпеку додатку таки проводилися (у чому особисто я сильно сумніваюся) – назвіть, будь ласка, назву компанії. Ринок таких компаній відносно невеликий, усі провідні фірми відомі. Так само, як і їх репутація. Заява на кшталт «тестування проводила всесвітньо відома компанія «дядя вася кум сестри» - не прокатить.
На нашому ринку усі один одного давно і добре знають.
І окремо наголошу на «відносності безпеки».
Навіть якщо б Мінцифри не зляпала Дію нашвидкоруч, з лайна та паличок, майже безкоштовно, толпою різних волонтерських команд, а зробила усе як слід, максимально правильно – все одно існували б окремі ризики у безпеці використання додатку. Абсолютно безпечних додатків просто не снує.
Але.
Різниця між «повною відсутністю безпеки» і «теоретично, за певних умов та наявності великих ресурсів атакувальника ризик реалізації сценарію атаки оцінюється як середній» - колосальна.
Зламати можна усе. Було б бажання, час та ресурси. Щоб засунути Stuxnet у ізольовану від Інтернет мережу Бушерської АЕС в Ірані, американці свого часу витратили кілька років і хтозна скільки мільйонів доларів.
Але повністю забити на безпеку чи захиститися максимально – повірте, ризики просто неспіврозмірні. Особливо якщо ти розробляєш продукт для мільйонів, часто низько-кваліфікованих юзерів.
Так, без безпеки продукт може працювати досить довго, без інцидентів, все здаватиметься нормально, аж поки не прийде NotPetya [3] і не відправить в нокдаун [4] третину економіки країни на пару місяців.
Тому на даний час, виходячи з відсутності інформації по суті цих п’яти питань, безпеку додатку Дія не можна вважати задовільною.
А рекомендація потенційним користувачам проста: будьте хитрими, не поспішайте ним користуватися.
На цю тему: Константин Корсун: «Существующая система кибербезопасности - живой труп» [5]
Нехай натовп попереду вас вляпається разок-другий, додаток пофіксять, потім буде ще пара факапів, потім знов пофіксять, і вже після третьої хвилі оновлення додатку та безпекових функцій, ним (можливо?) можна буде почати обережно користуватися.
Та і то, треба як слід подумати – а чи настільки воно важливо? Чи можна обійтися без того додатку? Якщо можна обійтися – краще не користуватися Дією взагалі, без нагальної потреби. Принаймні поки що, найближчі кілька місяців.
Питання не в тому, чи будуть у Дії великі проблеми. Питання лише – наскільки швидко це станеться.
Про деякі із зазначених моментів я розказував сьогодні телеканалу ICTV, але вирішив окремим дописом розгорнути більш детально: і для фахівців, і для широкого загалу.
Тепер ви знаєте як воно насправді, тому приймайте власні рішення на власний розсуд.
—
Kostiantyn Korsun [6], фахівець з інформаційної безпеки
На цю тему:
Ссылки:
[1] https://argumentua.com/stati/obshchestvo/bezopasnost
[2] http://argumentua.com/novosti/82-programnogo-zabezpechennya-v-ukra-n-ne-l-tsenzovane-business-software-alliance
[3] http://argumentua.com/novosti/b-lii-d-m-ts-ino-zvinuvativ-ros-yu-v-atakakh-v-rusom-notpetya
[4] http://argumentua.com/novosti/sptsesluzhby-ssha-schitayut-chto-virus-notpetya-sozdali-v-gru
[5] http://argumentua.com/stati/konstantin-korsun-sushchestvuyushchaya-sistema-kiberbezopasnosti-zhivoi-trup
[6] https://www.facebook.com/kostiantyn.korsun?__tn__=%2CdC-R-R&eid=ARDkDHWCzlASSur_CIALqqSvMK5hEG1SsTs7yBgy9VgkMGyHOPNR7QCBXByRV_rwItojSVnSfPEDKP6Z&hc_ref=ARSb0bc6SfLJp0INUagoKZmteqR5X_M4sGrpINFFF2Wf8_J2ICzFh82k5ojawP3RaeQ&fref=nf
[7] http://argumentua.com/stati/zakonoproekt-6688-avtor-fsb
[8] http://argumentua.com/stati/uvy-eto-ne-paranoiya-za-nami-sledyat
[9] http://argumentua.com/stati/gdpr-mify-i-realnost
[10] http://argumentua.com/stati/kak-rossiiskie-khakery-vzlamyvali-izbiratelnuyu-sistemu-ssha-sekretnyi-otchet-anb
[11] http://argumentua.com/stati/antivirus-kasperskogo-ugroza-dlya-gosudarstva-ukraina
[12] http://argumentua.com/stati/bitvy-velikoi-tekhnologicheskoi-kak-v-sovremennom-mire-srazhayutsya-za-mirovoe-gospodstvo