Про небезпеку додатку "Дія"
Коли Мінцифра, кажучи про безпеку додатку Дія, запевняє нас, що, типу, «не бійтеся пацани, у нас все чікі-пікі, повірте нам на слово» - цього не достатньо. Особливо коли так кажуть діячі, які раніше публічно заявляли, що «роль кібербезпеки дещо перевищена».
На цю тему: 82% програмного забезпечення в Україні не ліцензоване, — Business Software Alliance
Для того, щоб переконати у відносній безпечності додатку, потрібно, щоб продавець (Мінцифри) чітко та однозначно відповів замовнику (платники податків) на наступні 5 (п’ять) питань:
Питання №1
Хто є розробником додатку? Тобто хто несе відповідальність за його функціональність та безпеку?
А точніше: хто писав які частини додатку: АРІ, бізнес-логіку, серверну частину, мобільну частину, загальну архітектуру? Назвіть ім’я компанії, будь ласка.
На сайті Дії у складі «команди проекту» вказано лише один професійний розробник, який здатен написати усі ці елементи та звести їх воєдино. Але з джерел, близьких до мінеральних, відомо, що вони писали лише один блок, та і то «на волонтерських засадах». В ІТ та кібербезпеці «на волонтерських засадах» означає щось типу «на тобі боже, що нам не гоже», тобто абияк у вільний від поезії час. Останній випадок у Чехії – показовий (погугліть «Чехія програмісти 16 мільйонів євро хакери»).
Питання №2
Чи мали розробники додатку навички безпечного кодування?
Скажу по секрету, що лише один з десяти програмістів (вони ж «кодери», вони ж «девелопери», вони ж «розробники», вони ж «девопси») має такі навички. А може, один зі ста. Цьому треба вчитися кілька місяців, і навчання коштує дорого. Тому таких розробників мало, і вони є далеко не у кожній великій ІТ-компанії. У Мінцифрі їх точно немає.
Питання №3
Чи застосовувалися практики безпечного кодування під час розробки додатку Дія?
Мало мати формально у штаті розробника з навичками безпечного кодінгу. Треба ці навички застосовувати ще на стадії розробки архітектури додатку. Тобто від самого початку планувати архітектуру додатку з урахуванням вимог безпеки. На жаль, наразі у 99% відсотках випадків комерційні розробники так не роблять, а натягують «безпеку» на вже готовий додаток. Чому це не працює – окрема тема.
Питання №4
Скільки разів і чи взагалі проводилися тестування додатку на безпеку?
Якщо тестували у тій самій компанії, яка його розробляла – таке не рахується. Це не об'єктивно, це конфлікт інтересів. Для об'єктивної оцінки завжди запрошується зовнішня незалежна компанія. І зазвичай проводяться щонайменше два тестування: основне, після якого розробник усуває виявлені вразливості. А потім повторне, з перевіркою усунення виявлених недоліків. І після другого розробник повинен усунути усе, що зможе. Хоча інколи деякі вразливості свідомо ігнорують, але це теж окрема історія.
Питання №5
Якщо тестування на безпеку додатку таки проводилися (у чому особисто я сильно сумніваюся) – назвіть, будь ласка, назву компанії. Ринок таких компаній відносно невеликий, усі провідні фірми відомі. Так само, як і їх репутація. Заява на кшталт «тестування проводила всесвітньо відома компанія «дядя вася кум сестри» - не прокатить.
На нашому ринку усі один одного давно і добре знають.
І окремо наголошу на «відносності безпеки».
Навіть якщо б Мінцифри не зляпала Дію нашвидкоруч, з лайна та паличок, майже безкоштовно, толпою різних волонтерських команд, а зробила усе як слід, максимально правильно – все одно існували б окремі ризики у безпеці використання додатку. Абсолютно безпечних додатків просто не снує.
Але.
Різниця між «повною відсутністю безпеки» і «теоретично, за певних умов та наявності великих ресурсів атакувальника ризик реалізації сценарію атаки оцінюється як середній» - колосальна.
Зламати можна усе. Було б бажання, час та ресурси. Щоб засунути Stuxnet у ізольовану від Інтернет мережу Бушерської АЕС в Ірані, американці свого часу витратили кілька років і хтозна скільки мільйонів доларів.
Але повністю забити на безпеку чи захиститися максимально – повірте, ризики просто неспіврозмірні. Особливо якщо ти розробляєш продукт для мільйонів, часто низько-кваліфікованих юзерів.
Так, без безпеки продукт може працювати досить довго, без інцидентів, все здаватиметься нормально, аж поки не прийде NotPetya і не відправить в нокдаун третину економіки країни на пару місяців.
Тому на даний час, виходячи з відсутності інформації по суті цих п’яти питань, безпеку додатку Дія не можна вважати задовільною.
А рекомендація потенційним користувачам проста: будьте хитрими, не поспішайте ним користуватися.
На цю тему: Константин Корсун: «Существующая система кибербезопасности - живой труп»
Нехай натовп попереду вас вляпається разок-другий, додаток пофіксять, потім буде ще пара факапів, потім знов пофіксять, і вже після третьої хвилі оновлення додатку та безпекових функцій, ним (можливо?) можна буде почати обережно користуватися.
Та і то, треба як слід подумати – а чи настільки воно важливо? Чи можна обійтися без того додатку? Якщо можна обійтися – краще не користуватися Дією взагалі, без нагальної потреби. Принаймні поки що, найближчі кілька місяців.
Питання не в тому, чи будуть у Дії великі проблеми. Питання лише – наскільки швидко це станеться.
Про деякі із зазначених моментів я розказував сьогодні телеканалу ICTV, але вирішив окремим дописом розгорнути більш детально: і для фахівців, і для широкого загалу.
Тепер ви знаєте як воно насправді, тому приймайте власні рішення на власний розсуд.
—
Kostiantyn Korsun, фахівець з інформаційної безпеки
На цю тему:
- Законопроект № 6688: автор — ФСБ?
- Увы, это не паранойя: за нами следят
- GDPR: мифы и реальность
- Как российские хакеры взламывали избирательную систему США. Секретный отчет АНБ
- «Антивирус Касперского»: угроза для государства Украина
- Битвы Великой технологической: как в современном мире сражаются за мировое господство
Если вы заметили ошибку, выделите ее мышкой и нажмите Ctrl+Enter.
Новини
- 20:00
- У неділю Україну омиють дощі, буде прохолодно та вітряно
- 18:05
- У ЗСУ служать понад 300 священників від 13 релігійних організацій
- 16:58
- Spiegel: Влада України обговорює можливі поступки територій
- 14:16
- Суди скасовують більшість штрафів від ТЦК: ТОП-3 причини
- 12:04
- Суд відправив воїна ЗСУ Гнезділова на 2 місяці під варту
- 11:24
- Комісією з питань підприємництва Київради «рулять» «вертолітник» Януковича Товмасян і фейковий «активіст» Кривошея
- 10:01
- Я проти фінансування України, Трамп зможе завершити цей конфлікт, - спікер Палати представників Джонсон
- 08:00
- Ворог просунувся на кількох напрямках - DeepState
- 20:00
- У суботу зливи та грози пройдуть Лівобережжям України
- 19:05
- Кадрова чехарда: Кабмін звільнив голову Держводагентства, він працював на посаді менше року
Важливо
ЯК ВЕСТИ ПАРТИЗАНСЬКУ ВІЙНУ НА ТИМЧАСОВО ОКУПОВАНИХ ТЕРИТОРІЯХ
Міністерство оборони закликало громадян вести партизанську боротьбу і спалювати тилові колони забезпечення з продовольством і боєприпасами на тимчасово окупованих російськими військами територіях.