Тестить «Дію» надо не только ради денег, а из чувства патриотизма: глава Минцифры рассказал, как распределят $35 000 за поиск «дыр» в сервисе

Мы расспросили министра цифровой трансформации Украины Михаила Федорова о новом этапе bug bounty: насколько безопасна процедура, как она проходит и что будет, если ошибок в «Дії» окажется больше, чем денег в призовом фонде, читайте в новом интервью Highload.

— Насколько эффективно bug bounty, сколько недостатков было найдено во время первого этапа? Действительно ли сервисы «Дії» в результате стали лучше работать?

— Во время первого этапа bug bounty, в декабре 2020 года, когда проверяли мобильное приложение «Дія», было обнаружено два технических бага низкого уровня, которые сразу были исправлены нашей командой. Призовой фонд был, как и сейчас, $35 000, а потратили из него всего $250.

Первый баг касался возможности генерировать QR-код — при его считывании в мобильном приложении возникала ошибка. Эта проблема никак не влияет на безопасность данных пользователей, потому получила низкий уровень. Еще одна — возможность получения информации о полисе страхования автотранспорта пользователя при модификации приложения, если известен государственный номер автотранспорта и VIN-код, но это публичная информация, потому уязвимость также получила низкую оценку.

Для портала «Дії» bug bounty мы еще не проводили, сейчас тоже тестируем только мобильное приложение. Для нас сегодня это является приоритетом. Однако тестирование портала станет одним из наших следующих шагов.

— Откуда поступает финансирование для bug bounty?

— Второй этап финансирует, как и раньше, Агентство по международному развитию США (USAID) — наш партнер, проект «Кибербезопасность критически важной инфраструктуры Украины». Призовой фонд в $35 000 — это полностью их средства.

— Почему в этот раз решили не ограничиваться специалистами по кибербезопасности какой-то отдельной компании, а пригласили принять участие вообще всех желающих айтишников?

— Мы проводим и частные аудиты, и государственные аудиты благодаря партнерству со Службой безопасности Украины, но мы также хотим, чтобы у этичных хакеров всего мира была возможность посмотреть на наш продукт с разных сторон. Чем больше людей протестируют «Дію», тем лучше.

Есть разные платформы, на которых проходят bug bounty. Мы проводим на Bugcrowd — это одна из самых известных платформ, где этичные хакеры из разных стран анализируют проекты bug bounty, смотрят, какие компании и организации появляются, и присоединяются к участию.

Мы стараемся активно информировать общество, чтобы максимальное количество людей приняло участие — и в Украине, и за ее пределами. Безопасность данных — это вызов, а bug bounty помогает избегать дезинформации населения относительно уровня защиты «Дії», ее безопасности. Люди смогут увидеть результаты bug bounty и сделать выводы, а специалисты — сделать приложение более безопасным и показать свои возможности в реальном деле.

— Будет ли производиться какой-то контроль за участниками? Какие шансы, что этичный хакер после того, как найдет критическую уязвимость в копии «Дії», сможет «сломать» и оригинальное приложение?

— Работа разворачивается в отдельной тестовой среде — на платформе Bugcrowd предоставляется копия «Дії» без подключения к госреестрам, хотя там есть сгенерированные тестовые данные. Условия участия bug bounty, на которые соглашаются этичные хакеры, прописаны таким образом, что сначала Bugcrowd и команда Минцифры валидируют заявки, затем разбирают их, исправляют проблемы в приложении и после этого делают публичный анонс конкретных багов. Это постоянная мировая практика и безопасный процесс — и Facebook, и Google, и Tesla так делают.

Участники bug bounty в процессе отправляют репорты, когда находят определенную уязвимость. Эти отчеты читает и команда платформы, и команда Минцифры, определяют, что действительно есть такая проблема, исправляют. Люди узнают о проблеме в приложении тогда, когда она уже ликвидирована. Мы используем известную в мире платформу, идем по конкретному алгоритму, доверяем проведение bug bounty сильнейшим и лучшим.

— Можете рассказать подробнее о категориях уязвимостей приложения?

— У каждой платформы есть определенные правила: найденные уязвимости будут распределены по четырем категориям (описание здесь) на основе методологии Bugcrowd. За обнаружение уязвимости первого уровня сумма вознаграждения составит $4100–4500, второго — $1500–1850, третьего — $600–850, четвертого — $200–250.

— Каждая уязвимость имеет свою цену. Но что, если ошибок будет найдено больше и денег в призовом фонде не хватит на оплату работы этичных хакеров? И наоборот — если деньги останутся, на что они будут потрачены?

— Проект финансируется USAID, поэтому, если останутся средства, вопрос, куда их использовать, — уже на их рассмотрение. Но, в отличие от первого bug bounty, который длился всего две недели и был доступен только для участников платформы Bugcrowd, второй продлится шесть месяцев, и он открыт для всех этичных хакеров, но в этот раз кто угодно сможет попытать свои силы. Возможность использовать средства гораздо больше, чем предыдущий раз.

Для нас безопасность приложения является самым главным приоритетом. Мы не будем закрывать глаза: каждая найденная уязвимость или баг будут профинансированы и исправлены.

— После оглашения старта bug bounty многие разработчики в сети заявили, что призы слишком скромные. Например, тот же сервис Grammarly в своем bug bounty готов первом хакеру, который найдет критическую уязвимость, заплатить $100 000, а за незначительные — от $2,5 тысяч. Конкурентные ли расценки на bug bounty в Минцифры по сравнению с коммерческими проектами?

— Все бренды постепенно развивают свою способность платить за bug bounty, и это вполне нормально. С «Дією» это уникальный кейс, потому что в Украине было только два публичных bug bounty со стороны государства — для проверки Prozorro и «Дії». Это очень важный инновационный шаг для страны. Для старта бюджет есть, и мы видим, что первый раз он почти не был использован. Теперь планируем, что его будет достаточно.

Подчеркну, что это важный первый шаг, который нужен для начала. Я считаю, что в течение нескольких лет все государственные цифровые продукты будут проходить bug bounty. Это нормально, это правильно, это успешный мировой опыт. Поэтому, конечно, что будем стараться постепенно увеличивать призовой фонд для bug bounty.

Я призываю всех украинских специалистов принять участие в bug bounty, протестировать «Дію», поделиться своим опытом, потому что в первую очередь это приложение, которое является нашим общим украинским продуктом, которым мы должны гордиться. Очень важно здесь проявить патриотизм и помочь развивать приложение, которое помогает украинцам. Тем более, что за это можно получить деньги.

— Какие ожидаемые результаты bug bounty?

— Ожидаем, что будет наш продукт будет очень тщательно протестирован и в случае присутствия каких-то багов или недоработок — они будут выявлены и исправлены Мы хотим максимально протестировать «Дію» различными специалистами. Нет такого, что «ой, хоть бы ничего не нашли и ничего не узнали».

Мы хотим, чтобы участники сделали фокус на отдельных вещах, в частности, тестировании нового вида электронной подписи «Дія.Підпис». Это довольно ценный продукт, он через некоторое время станет одним из самых популярных цифровых инфраструктурных проектов в нашей стране. Второй продукт, который надо уделить особое внимание, — это шеринг цифровых документов.

Мы очень быстро двигаемся, если сравнивать, как развиваются другие страны — я только приехал из Британии и видел там темпы развития электронного правительства, и британцы очень удивлены нашими достижениями. Мы мотивируем другие страны развиваться. Поэтому мы постоянно запускаем новые продукты — обновляем приложение каждую неделю-две, добавляем в «Дію» новые возможности для людей. Потому сейчас нам важно собрать максимум отзывов специалистов по технологической способности наших продуктов и улучшить их.