Про небезпеку додатку "Дія"
Коли Мінцифра, кажучи про безпеку додатку Дія, запевняє нас, що, типу, «не бійтеся пацани, у нас все чікі-пікі, повірте нам на слово» - цього не достатньо. Особливо коли так кажуть діячі, які раніше публічно заявляли, що «роль кібербезпеки дещо перевищена».
На цю тему: 82% програмного забезпечення в Україні не ліцензоване, — Business Software Alliance
Для того, щоб переконати у відносній безпечності додатку, потрібно, щоб продавець (Мінцифри) чітко та однозначно відповів замовнику (платники податків) на наступні 5 (п’ять) питань:
Питання №1
Хто є розробником додатку? Тобто хто несе відповідальність за його функціональність та безпеку?
А точніше: хто писав які частини додатку: АРІ, бізнес-логіку, серверну частину, мобільну частину, загальну архітектуру? Назвіть ім’я компанії, будь ласка.
На сайті Дії у складі «команди проекту» вказано лише один професійний розробник, який здатен написати усі ці елементи та звести їх воєдино. Але з джерел, близьких до мінеральних, відомо, що вони писали лише один блок, та і то «на волонтерських засадах». В ІТ та кібербезпеці «на волонтерських засадах» означає щось типу «на тобі боже, що нам не гоже», тобто абияк у вільний від поезії час. Останній випадок у Чехії – показовий (погугліть «Чехія програмісти 16 мільйонів євро хакери»).
Питання №2
Чи мали розробники додатку навички безпечного кодування?
Скажу по секрету, що лише один з десяти програмістів (вони ж «кодери», вони ж «девелопери», вони ж «розробники», вони ж «девопси») має такі навички. А може, один зі ста. Цьому треба вчитися кілька місяців, і навчання коштує дорого. Тому таких розробників мало, і вони є далеко не у кожній великій ІТ-компанії. У Мінцифрі їх точно немає.
Питання №3
Чи застосовувалися практики безпечного кодування під час розробки додатку Дія?
Мало мати формально у штаті розробника з навичками безпечного кодінгу. Треба ці навички застосовувати ще на стадії розробки архітектури додатку. Тобто від самого початку планувати архітектуру додатку з урахуванням вимог безпеки. На жаль, наразі у 99% відсотках випадків комерційні розробники так не роблять, а натягують «безпеку» на вже готовий додаток. Чому це не працює – окрема тема.
Питання №4
Скільки разів і чи взагалі проводилися тестування додатку на безпеку?
Якщо тестували у тій самій компанії, яка його розробляла – таке не рахується. Це не об'єктивно, це конфлікт інтересів. Для об'єктивної оцінки завжди запрошується зовнішня незалежна компанія. І зазвичай проводяться щонайменше два тестування: основне, після якого розробник усуває виявлені вразливості. А потім повторне, з перевіркою усунення виявлених недоліків. І після другого розробник повинен усунути усе, що зможе. Хоча інколи деякі вразливості свідомо ігнорують, але це теж окрема історія.
Питання №5
Якщо тестування на безпеку додатку таки проводилися (у чому особисто я сильно сумніваюся) – назвіть, будь ласка, назву компанії. Ринок таких компаній відносно невеликий, усі провідні фірми відомі. Так само, як і їх репутація. Заява на кшталт «тестування проводила всесвітньо відома компанія «дядя вася кум сестри» - не прокатить.
На нашому ринку усі один одного давно і добре знають.
І окремо наголошу на «відносності безпеки».
Навіть якщо б Мінцифри не зляпала Дію нашвидкоруч, з лайна та паличок, майже безкоштовно, толпою різних волонтерських команд, а зробила усе як слід, максимально правильно – все одно існували б окремі ризики у безпеці використання додатку. Абсолютно безпечних додатків просто не снує.
Але.
Різниця між «повною відсутністю безпеки» і «теоретично, за певних умов та наявності великих ресурсів атакувальника ризик реалізації сценарію атаки оцінюється як середній» - колосальна.
Зламати можна усе. Було б бажання, час та ресурси. Щоб засунути Stuxnet у ізольовану від Інтернет мережу Бушерської АЕС в Ірані, американці свого часу витратили кілька років і хтозна скільки мільйонів доларів.
Але повністю забити на безпеку чи захиститися максимально – повірте, ризики просто неспіврозмірні. Особливо якщо ти розробляєш продукт для мільйонів, часто низько-кваліфікованих юзерів.
Так, без безпеки продукт може працювати досить довго, без інцидентів, все здаватиметься нормально, аж поки не прийде NotPetya і не відправить в нокдаун третину економіки країни на пару місяців.
Тому на даний час, виходячи з відсутності інформації по суті цих п’яти питань, безпеку додатку Дія не можна вважати задовільною.
А рекомендація потенційним користувачам проста: будьте хитрими, не поспішайте ним користуватися.
На цю тему: Константин Корсун: «Существующая система кибербезопасности - живой труп»
Нехай натовп попереду вас вляпається разок-другий, додаток пофіксять, потім буде ще пара факапів, потім знов пофіксять, і вже після третьої хвилі оновлення додатку та безпекових функцій, ним (можливо?) можна буде почати обережно користуватися.
Та і то, треба як слід подумати – а чи настільки воно важливо? Чи можна обійтися без того додатку? Якщо можна обійтися – краще не користуватися Дією взагалі, без нагальної потреби. Принаймні поки що, найближчі кілька місяців.
Питання не в тому, чи будуть у Дії великі проблеми. Питання лише – наскільки швидко це станеться.
Про деякі із зазначених моментів я розказував сьогодні телеканалу ICTV, але вирішив окремим дописом розгорнути більш детально: і для фахівців, і для широкого загалу.
Тепер ви знаєте як воно насправді, тому приймайте власні рішення на власний розсуд.
—
Kostiantyn Korsun, фахівець з інформаційної безпеки
На цю тему:
- Законопроект № 6688: автор — ФСБ?
- Увы, это не паранойя: за нами следят
- GDPR: мифы и реальность
- Как российские хакеры взламывали избирательную систему США. Секретный отчет АНБ
- «Антивирус Касперского»: угроза для государства Украина
- Битвы Великой технологической: как в современном мире сражаются за мировое господство
Если вы заметили ошибку, выделите ее мышкой и нажмите Ctrl+Enter.
Новини
- 20:00
- У середу в Україні хмарно з проясненнями, вдень близько 0°
- 18:02
- "Якщо настане криза чи війна" - ось справжній план стійкості
- 16:08
- На Рівненщині та Одещині три громади перейшли до ПЦУ
- 14:05
- Браковані міни: Міноборони проігнорувало проблеми та відправило боєприпаси на фронт, - ЗМІ
- 12:08
- Верховний Суд поставив крапку в оскарженні націоналізації ПриватБанку: банк не повернуть Ігорю Коломойському
- 10:01
- The Times: Енергетична "корупція" ставить українців перед смертельним холодом взимку. Дякуємо, Зеленський!
- 08:00
- Ворог просунувся біля 6 населених пунктів - DeepState
- 20:00
- У вівторок в Україні трохи сніжитиме на сході, вдень близько 0°
- 19:02
- НАБУ розслідує справу кума Єрмака про незаконне збагачення на 30 мільйонів
- 19:02
- Постпред президента у Криму Таміла Ташева стала народною депутаткою
Важливо
ЯК ВЕСТИ ПАРТИЗАНСЬКУ ВІЙНУ НА ТИМЧАСОВО ОКУПОВАНИХ ТЕРИТОРІЯХ
Міністерство оборони закликало громадян вести партизанську боротьбу і спалювати тилові колони забезпечення з продовольством і боєприпасами на тимчасово окупованих російськими військами територіях.