Про небезпеку додатку "Дія"

Про небезпеку додатку "Дія"

Коли Мінцифра, кажучи про безпеку додатку Дія, запевняє нас, що, типу, «не бійтеся пацани, у нас все чікі-пікі, повірте нам на слово» - цього не достатньо.

Особливо коли так кажуть діячі, які раніше публічно заявляли, що «роль кібербезпеки дещо перевищена».

Для того, щоб переконати у відносній безпечності додатку, потрібно, щоб продавець (Мінцифри) чітко та однозначно відповів замовнику (платники податків) на наступні 5 (п’ять) питань:

Питання №1

Хто є розробником додатку? Тобто хто несе відповідальність за його функціональність та безпеку?

А точніше: хто писав які частини додатку: АРІ, бізнес-логіку, серверну частину, мобільну частину, загальну архітектуру? Назвіть ім’я компанії, будь ласка.

На сайті Дії у складі «команди проекту» вказано лише один професійний розробник, який здатен написати усі ці елементи та звести їх воєдино. Але з джерел, близьких до мінеральних, відомо, що вони писали лише один блок, та і то «на волонтерських засадах». В ІТ та кібербезпеці «на волонтерських засадах» означає щось типу «на тобі боже, що нам не гоже», тобто абияк у вільний від поезії час. Останній випадок у Чехії – показовий (погугліть «Чехія програмісти 16 мільйонів євро хакери»).

Питання №2

Чи мали розробники додатку навички безпечного кодування?

Скажу по секрету, що лише один з десяти програмістів (вони ж «кодери», вони ж «девелопери», вони ж «розробники», вони ж «девопси») має такі навички. А може, один зі ста. Цьому треба вчитися кілька місяців, і навчання коштує дорого. Тому таких розробників мало, і вони є далеко не у кожній великій ІТ-компанії. У Мінцифрі їх точно немає.

Питання №3

Чи застосовувалися практики безпечного кодування під час розробки додатку Дія?

Мало мати формально у штаті розробника з навичками безпечного кодінгу. Треба ці навички застосовувати ще на стадії розробки архітектури додатку. Тобто від самого початку планувати архітектуру додатку з урахуванням вимог безпеки. На жаль, наразі у 99% відсотках випадків комерційні розробники так не роблять, а натягують «безпеку» на вже готовий додаток. Чому це не працює – окрема тема.

Питання №4

Скільки разів і чи взагалі проводилися тестування додатку на безпеку?

Якщо тестували у тій самій компанії, яка його розробляла – таке не рахується. Це не об’єктивно, це конфлікт інтересів. Для об’єктивної оцінки завжди запрошується зовнішня незалежна компанія. І зазвичай проводяться щонайменше два тестування: основне, після якого розробник усуває виявлені вразливості. А потім повторне, з перевіркою усунення виявлених недоліків. І після другого розробник повинен усунути усе, що зможе. Хоча інколи деякі вразливості свідомо ігнорують, але це теж окрема історія.

Питання №5

Якщо тестування на безпеку додатку таки проводилися (у чому особисто я сильно сумніваюся) – назвіть, будь ласка, назву компанії. Ринок таких компаній відносно невеликий, усі провідні фірми відомі. Так само, як і їх репутація. Заява на кшталт «тестування проводила всесвітньо відома компанія «дядя вася кум сестри» - не прокатить.

На нашому ринку усі один одного давно і добре знають.

І окремо наголошу на «відносності безпеки».

Навіть якщо б Мінцифри не зляпала Дію нашвидкоруч, з лайна та паличок, майже безкоштовно, толпою різних волонтерських команд, а зробила усе як слід, максимально правильно – все одно існували б окремі ризики у безпеці використання додатку. Абсолютно безпечних додатків просто не снує.

Але.

Різниця між «повною відсутністю безпеки» і «теоретично, за певних умов та наявності великих ресурсів атакувальника ризик реалізації сценарію атаки оцінюється як середній» - колосальна.

Зламати можна усе. Було б бажання, час та ресурси. Щоб засунути Stuxnet у ізольовану від Інтернет мережу Бушерської АЕС в Ірані, американці свого часу витратили кілька років і хтозна скільки мільйонів доларів.

Але повністю забити на безпеку чи захиститися максимально – повірте, ризики просто неспіврозмірні. Особливо якщо ти розробляєш продукт для мільйонів, часто низько-кваліфікованих юзерів.

Так, без безпеки продукт може працювати досить довго, без інцидентів, все здаватиметься нормально, аж поки не прийде NotPetya і не відправить в нокдаун третину економіки країни на пару місяців.

Тому на даний час, виходячи з відсутності інформації по суті цих п’яти питань, безпеку додатку Дія не можна вважати задовільною.

А рекомендація потенційним користувачам проста: будьте хитрими, не поспішайте ним користуватися.

Нехай натовп попереду вас вляпається разок-другий, додаток пофіксять, потім буде ще пара факапів, потім знов пофіксять, і вже після третьої хвилі оновлення додатку та безпекових функцій, ним (можливо?) можна буде почати обережно користуватися.

Та і то, треба як слід подумати – а чи настільки воно важливо? Чи можна обійтися без того додатку? Якщо можна обійтися – краще не користуватися Дією взагалі, без нагальної потреби. Принаймні поки що, найближчі кілька місяців.

Питання не в тому, чи будуть у Дії великі проблеми. Питання лише – наскільки швидко це станеться.

Про деякі із зазначених моментів я розказував сьогодні телеканалу ICTV, але вирішив окремим дописом розгорнути більш детально: і для фахівців, і для широкого загалу.

Тепер ви знаєте як воно насправді, тому приймайте власні рішення на власний розсуд.

Kostiantyn Korsun, фахівець з інформаційної безпеки