Харьков - первый город, который начал работу с белыми хакерами

Предыстория

Привет! Карантин - это время для новых проектов. На конференции “Kharkiv Digital” 29 ноября 2019 года, где я был спикером, параллельно со мной выступал и Олег Дробот, рассказывая о цифровой трансформации города Харькова. Естественно, я обрушился (пост ссылка) на Олега всей мощью собственного сарказма, процитировав ему популярный мем: «С утра моешься подогретой водой из тазика, зато потом весь день: брифинги, digital, интеграция бизнеса в технологии 21 века», -  тонко намекнув на то, что сложно думать о диджитализации, когда «попа грязная, потому что горячей воды нет».

За кулисами мы мило  ̶о̶б̶м̶е̶н̶я̶л̶и̶с̶ь̶ ̶м̶а̶т̶ю̶к̶а̶м̶и̶  поговорили и пришли к моей любимой части: критикуешь – предлагай. Или мой любимый аргумент: «а чего добился ты?». Пришлось снова пояснять основные мои принципы работы с государственными органами:

1) Я, моя компания и мои сотрудники никогда не участвуют в государственных тендерах, так как мы считаем - это коррупционной клоакой с дискриминирующими требованиями для участников, где, как правило, побеждают «свои».

2) С государственными органами мы работаем по принципу: «делаем бесплатно или не беремся».

3) Мы не помогаем пилить деньги (пропиши условия тендера, помоги с контактами, кто сможет отмыть и вот это вот все).

К слову, Олег оказался открытым для конструктивных предложений и спросил, чем конкретно я и наша компания HackControl могут помочь. “Естественно, экспертизой и опытом”  – ответил я. Так мы перешли к серии конструктивных встреч с конкретными предложениями по улучшению безопасности города. После отсева проектов с повышенными коррупционными рисками мы остановились на максимально простом и прозрачном проекте по улучшению кибербезопасности города. 

Суть идеи: Нужно дать возможность хакерам со всего мира участвовать в программе по поиску уязвимостей

Я предложил дать возможность хакерам со всего мира участвовать в программе по поиску уязвимостей на городских ресурсах города Харькова. В чем смысл? Программа поиска уязвимостей “Bug Bounty” — это программа, предлагаемая многими веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей. Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая злоупотребления. Простыми словами: мы даем хакерам возможность посоревноваться в том, кто быстрее сможет прислать отчет о взломе городского информационного ресурса в департамент цифровой трансформации. На данном этапе первичного запуска Олегом было принято решение протестировать данную программу на сайте Департамента цифровой трансформации и затем уже продолжить внедрение на остальных департаментах и предприятиях.

Ниже я подготовил ответы на самые популярные вопросы, которые слышал от всех участников проекта:

Что получает хакер за взлом?

Рейтинг, признание, почет и место в списке самых активных хакеров города (неплохая реклама, как по мне). Кроме того, в будущем возможны и более ценные подарки за топовые уязвимости, сейчас в период пандемии более существенного финансового стимулирования город, на мой взгляд позволить себе не может. Кроме того из списка первых и будут нанимать людей для исправления ошибок, так что это не плохой конкурс для отбора лучших кандидатов.

Как белые хакеры в мире узнают, что можно взламывать, а что нет?

Для этого в корень сайта, который можно тестировать, заливают специальный файл security.txt (своего рода аналог robots.txt). Основная идея security.txt — формализация взаимодействия между внутренней информационной безопасностью и внешними исследователями, давая четкое указание, как и куда направлять информацию об уязвимостях или проблемах безопасности. Формализация взаимодействия — серьезная проблема, не все сайты имеют программы “bug bounty”, или даже просто указывают контакты специалистов по безопасности. А попытки достучаться через службу поддержки и Твиттер зачастую заканчиваются уверениями, что «все так и должно быть», и последующим игнорированием. Разработка стандарта ведется с августа 2017 год. Им уже пользуются несколько крупных компаний, таких как: Google, Dropbox, Pixiv и ряд других.

Где гарантии того, что хакеры будут отдавать уязвимости городу, а не по-тихому использовать их в своих целях?

Таких гарантий нет. Но есть четкое понимание того, что «черным» хакерам и сейчас ничего не мешает взламывать городские информационные ресурсы, а вот у «белых» хакеров в городе мало полигонов для тренировок.

Зачем лично тебе это, ты потратил время и деньги обучая людей и создавай проект, в чем подвох, где заработок?

Для нас это чистый маркетинг и расширение рынка сбыта. Я верю в то, что подобные проекты привлекут внимание и частного сектора по принципу «хм, город это делает, значит это неплохая практика», который начнет искать исполнителей, что позволит нам получать больше заказов на обеспечение информационной безопасности. Ряд хейтеров будут хейтить но это стандартная позиция людей заточенных на критику, а не созидание.

“Bug Bounty- платформы” существуют давно, почему бы просто не зарегистрироваться на одной из них?

Как создатель (в прошлом) «одной из них», я считаю, что нельзя выделять или привелигировать какую-то конкретную платформу. В будущем, если все пойдет нормально, возможно будет иметь смысл зарегистрироваться сразу на всех платформах, если это будет необходимо. Кроме того, работа на платформе требует значительно большего числа сотрудников для обслуживания проекта. Пока я считаю, что security.txt максимально уравнивает всех хакеров (исследователей) в их возможностях и не дает возможности создавать корупционную или дискриминирующую составляющую. Кто захочет проявить себя - получит такую возможность, кто захочет покритиковать - тоже.

Какая правовая основа всего этого мероприятия, ведь статью уголовного кодекса за взлом никто не отменил? Придет ли потом дядя майор с обыском?

За основу был взят и адаптирован «Меморандум щодо співпраці з питань кібербезпеки та організовано обмін інформацією щодо кіберінцидентів» (ссылка) , разработанный в ДКИБ СБУ не без участия частного сектора. Ссылка на адаптированный меморандум есть в самом security.txt и на сайте. Взаимодействие в рамках меморандума вполне законно. Отчеты (репорты) можно сдавать с анонимной почты и указывать лишь NickName для тех, кто пожелает остаться анонимным. Конечно, если Вы не хотите участвовать и боитесь того, что по этим данным Вас могут найти, то лучше тренироваться на “котятах”. 

P.s. Не поддерживаю ни одного политика, ни одну политическую силу, не зарабатываю кому-то баллов и не собираюсь идти в политику, во всяком случае в ближайшее время. Просто люблю город и пытаюсь быть полезным и социально ответственным, верите Вы в это или нет. Так же не имею абсолютно никаких полномочий говорить от имени городской власти ибо взаимодействую с ними исключительно как консультант по вопросам кибербезопасности.

P.p.s. Мы видим, что ряд людей из профессионального сообщества уже откликнулись и написали гневные комментарии в стиле отрицательного героя из железного человека "твой софт говно". Это было первое, о чем я предупреждал с точки зрения репутационных рисков и это закономерно. Но этот "говно софт" для того и разрешили ломать белым хакерам и критиканам, чтоб сделать его лучше. Уверен Вы родились сразу человеком который не совершает ошибок, но я считаю, что умение их признавать и исправлять ошибки приходит с опытом и этот проект создан как раз для того, чтоб собирать информацию об ошибках. 

Риторические вопросы в стиле: "А почему нельзя было сразу написать нормальное ТЗ, нормальный проект и сделать все без ошибок" - это явно не ко мне, я привык работать с тем, что есть, а не ругать судьбу и попередников за то, какой подарок они передали наследникам. Так же шутки о том, что все-же нужно перевести на английский для "муждународности" проекта мы уже тоже пошутили.

Работа над ошибками и анализ

Из очевидных факапов первого этапа:

1) Первая версия пресс релиза написана без нас и не разьясняла, что к чему и зачем вообще это все делается (мы ее уже исправили).

2) Дата запуска была смещена на "пораньше", ввиду необходимости заниматься коронавирусом. На это мы не влияем, в мире глобальная пандемия.

3) Я и Олег считали, что презентовать нужно было сначала на профильном мероприятии или профильным экспертам, а потом уже всем, но запустили сейчас, так как все конференции отменены и мы адаптируемся к новым условиям.

4) Почему бы не просканировать (проверить) сначала самим? Все просканировали 17 марта и отдали репорт разработчикам и поверьте они сидят и все правят еще с 17 марта...

5) Что дальше? Дальше планомерно приведем в порядок департамент цифровой трансформации и будет запускать в других департаментах и КП, только уже с людьми которые первыми пришлют качественные репорты (да, это еще и способ найма людей).

6) Почему бы просто не нанять хороших специлистов для проверки всех онлайн ресурсов? Я изначально сказал, что проект запущен с нулевым бюджетом и на волонтерской основе, если дальше и будут кого-то нанимать, то мне хотелось бы верить, что это будут лучшие люди сделавшие реальный вклад (мы не будем работать с городом и госухой на платной основе).