Другий етап Bug Bounty та шахрайський кредит: нові “дірки” у безпеці Дії

Суспільство
27 Липня 2021, 18:36

Мінцифри запускає другий етап багбаунті з призовим фондом в 1 млн гривень. Учасники шукатимуть вразливості коду у застосунку “Дія”, зокрема тестуватимуть Дія.Підпис. Як зазначається в анонсі, взяти участь зможуть всі охочі, а триватиме цей етап тепер 6 місяців. 

Минулого року у грудні вже проводили перший етап програми Bug Bounty. Як пояснили у міністерстві, тоді знайшли лише два технічні баги найнижчого рівня. “Спеціалісти (рісерчери), які брали участь у Bug Bounty, отримали всю належну документацію з високорівневим описом архітектури, організації роботи та API хмарних сервісів та мобільного застосунку Дія”, – йдеться на офіційному сайті. 

Фахівець з інформаційної безпеки, директор компанії з кібербезпеки Berezha Security Костянтин Корсун у коментарі Тижню зазначив, що після першого Bug Bounty організатори довго мовчали про результати, і, незважаючи на офіційні заяви доступності програми для усіх бажаючих,  запросили лише деяких учасників за невідомими критеріями.

Спеціаліст пояснив, що у грудні частина коду, який мали тестувати “етичні хакери” на предмет вразливостей, була обфускована. Обфускація – процес свідомого заплутування коду для ускладнення його аналізу, що запускається через спеціальні програми – обфускатори. Це роблять з метою захисту програмного коду від зайвих очей. “Так не роблять відповідальні власники і ті, хто хоче отримати результат, а не його видимість. Якщо хочуть розібратись у всіх вразливостях коду, вони дають до нього повний доступ”, – каже Костянтин Корсун. 

Читайте також: Кібербезпека в Ізраїлі: складний баланс між регулюванням та свободою

“Для того, щоб переконатись у безпечності, треба опублікувати вихідний код, хоча б якусь документацію, звіти про аудит його захищеності від нейтральних, незаангажованих іноземних компаній. Цього як не було, так і нема, тому, відповідно, і конкурс буде таким самим, як минулого разу”, – стверджує спеціаліст.

Під час першого Bug Bounty учасникам дали два тижні на пошук вразливостей, у той час як обфускований код потрібно розшифровувати набагато більше часу. “Це ще один фактор, чому “білі” хакери або “білі капелюхи” розчарувались – по-перше, дали мало часу, по-друге, обфускований код, по-третє, запросили не усіх, – розповів фахівець, – Також подейкують, що знайшли серйозні вразливості”. Але організатори запевнили, що вони дрібні і дали учасникам по 250 доларів. “Серед знайдених під час Bug Bounty несуттєвих вразливостей, які вже виправила команда Дії…”, – пише на сайті Мінцифри.

“Люди прийшли на програму, подивилися, що це профанація, просто пропагандистський крок. Я думаю, що ті люди, які були минулого разу, тепер просто не прийдуть. У кібербезпеці репутація багато важить”, – резюмував Костянтин Корсун. 

На думку спеціаліста , причина такого ставлення у непродуманій і безвідповідальній державній політиці щодо кібербезпеки. До запровадження нових технологій підійшли, не подбавши про безпеку належним чином та не прорахувавши ризики. Зокрема, йдеться про випадок, коли на жінку оформили кредит через додаток “Дія”, в якому постраждала навіть не була зареєстрована. Тепер від неї вимагають погасити заборгованість на суму майже 12 тис. гривень, а зверенння до кредитної установи, яка надала кредит, поліцію та кіберполіцію, безпосередньо в Дію та НБУ не дали ніяких конкретних відповідей. Про це Костянтин Корсун детально розповів у пості на фейсбуці, а також пояснив, яким чином це могло відбутись.

 За словами фахівця, зловмисники могли підробити документи через придбані у мережі копії, а через невідповідність онлайн-верифікації всім нормам безпеки, оператор не може точно встановити, чи оригінальні документи засвідчує особа. “Коли ми попереджали, що є певні небезпеки для користувачів, держава питала, де наші докази. Ось вони вже почали відбуватись. Випадок пані Людмили показав, що можеш не користуватись Дією, але постраждаєш”, – коментує директор компанії з кібербезпеки.

Також Міністерство цифрової політики звітує про 11,2 млн разів використань е-підпису від початку року. А за 2020 рік 3,9 млрд разів, що на 134% більше, ніж у 2019 році. Однак, через скандал із фейковим акаунтом і, відповідно, фейковим підписом під петицією про звільнення Олега Татарова від “Джо Байдена”, виявилось, що хакери можуть створити персональний ключ. Користувач отримує його лише після верифікації всіх документів та особи банком. Процедура злому є складною і її успішна реалізація компрометує всю довірчу систему отримання ЕЦП. Тобто насправді кількість електронних підписів може не відповідати реальній кількості людей, які їх поставили. Костянтин Корсун також зазначив, що додаток Дія можна дублювати на декількох смартфонах, таким чином створюючи декілька облікових записів однієї людини.