Мстислав Баник
Мстислав Баник
Руководитель по развитию электронных услуг в Минцифре

Блог | Багбаунти Дії-2: как получить вознаграждение за "взлом" приложения

6,5 т.
Багбаунти Дії-2: как получить вознаграждение за 'взлом' приложения

Чому українці досі бояться користуватися Дією та як можна перевірити її надійність?

Коли на початку нульових вершиною технологічного досягнення здавалася "розкладушка" Nokia, в якої верхню частину можна крутити в різні боки, ніхто б і не повірив, що за допомогою смартфона у 2021 році можна буде отримувати держпослуги, працювати, платити в магазині та підтягнути в нього свій паспорт. Але це сталося. Автомобілі поки що не літають, проте на звання технологічного прориву цей факт заслуговує не менше.

Насправді технологічний розвиток стався так швидко, що деякі люди навіть не помітили, як найважливіші документи опинилися в їхніх телефонах. Деякі сумніваються, що користуватися документами у смартфоні безпечно, адже здається, що застосунок можна легко зламати, викрасти всі дані та використовувати їх у своїх цілях. Хоча насправді фізичні документи набагато легше підробити чи загубити. Згадайте, яку кількість ксерокопій паспорта ви принесли в різні установи чи відправили в месенджерах.

Ми хочемо зробити Дію ще безпечнішою, тому вже вдруге запустили багбаунті застосунку, яке цього разу буде відкритим. Ми даємо можливість кожному “зламати” копію Дії та знайти вразливості в роботі застосунку.

Програма багбаунті передбачає винагороду (баунті) за кожну знайдену вразливість (баг) у коді. Чим серйозніша виявлена ​​вразливість, тим більша виплата. Цього разу, як і минулого, сукупний призовий фонд — 1 млн грн.

На жаль, в Україні раніше не було постійної практики проведення багбаунті — особливо в державному секторі. Виняток — компанія Prozorro, яка також має досвід проведення багбаунті. Мінцифра починає системне впровадження таких хакатонів, тому що у світі це дуже поширено. Такі тести постійно проводять компанії Apple, Google, Tesla, MasterCard, Netflix тощо. Вони також використовуються і для тестування державних сервісів, як це робили уряди Швеції та Сінгапуру. А Пентагон проводить багбаунті постійно з 2016 року. За цей час були знайдені та усунені майже 7 тисяч вразливостей. Багбаунті дає можливість знайти неочевидні та приховані баги в безпеці свого продукту, побачити несподівані вразливості. Ті, які розробник просто не зміг би помітити.

Минулого року команда Мінцифри та представники проєкту USAID “Кібербезпека критично важливої інфраструктури України” вперше провели багбаунті на знаходження можливих вразливостей у Дії. Хакатон був закритим — “етичні” хакери з усього світу намагались "зламати" копію застосунку Дія 2.0, але їм не вдалося виявити вразливості, які б впливали на безпеку. У результаті з призового фонду у $35 000 були витрачені лише $250.

І хоча перший багбаунті підтвердив надійність Дії, ми розуміємо, що технології постійно оновлюються. Так, мобільний застосунок Дія 2.0 також має атестат відповідності КСЗІ та успішно пройшов 2 pen-тести Дії з партнерами USAID та Академією е-урядування Естонії. Проте неможливо вибудувати суперзахист один раз і бути впевненим, що ніхто не зможе його зламати. Питання кібербезпеки потребує постійного оновлення рішень. Саме це ми й робимо. Також із минулого багбаунті в Дії вже з’явились нові ключові продукти — Дія.Підпис, податкові послуги, зміна місця реєстрації.

Що таке відкритий багбаунті й хто може взяти в ньому участь?

Відкритий багбаунті — можливість для всіх охочих перевірити надійність застосунку Дія. У ньому може взяти участь буквально кожен незалежно від досвіду та кваліфікації.

Цього разу багбаунті триватиме 6 місяців і знову проходитиме на платформі Bugcrowd. Це одна з найбільших міжнародних компаній, що спеціалізується на таких питаннях.

Для тестувальників ми створили окреме тестове середовище — копію застосунку Дія. З додаванням нових функцій у застосунок ми розширюватимемо також і тестове середовище.

Наприклад, BankID — це система, через яку відбувається авторизація в Дії. Якщо в ній знайдуть якісь вразливості, це не стосуватиметься конкретно захисту застосунку. До того ж ми не зможемо їх перевірити та виправити, тому що це не наша система. Так само і з держреєстрами та інформаційними системами вендорів. Саме тому вони перебувають поза тестовим середовищем під час багбаунті.

Що саме будуть тестувати та якою буде винагорода?

Пріоритет цього етапу — тестування Дія.Підпису. Це електронний підпис у смартфоні. Також будемо перевіряти створення електронних копій документів та їх шерингу. Це послуга, яка дозволяє користувачам генерувати копії цифрових документів і ділитися ними, наприклад, під час оформлення кредиту в банку чи реєстрації в готелі.

Наша команда спеціалістів проаналізує всі знайдені вразливості й у разі їх підтвердження виплатить винагороду. Вона буде ділитися за кількома категоріями складності:

1-й рівень складності — $4100-$4500

2-й рівень — від $1500 до $1750

3-й рівень — від $600 до $850

4️-й рівень — від $200 до $250.

Реалізація багбаунті відбувається за підтримки міжнародної платформи Bugcrowd та проєкту Агентства з міжнародного розвитку США (USAID) “Кібербезпека критично важливої інфраструктури України”.

Перенесення всіх держпослуг та документів в онлайн — це не лише значне полегшення, а й боротьба з бюрократією та чергами, а також економія кількох років життя. Саме цим ми займаємося в Дії. Створюємо зрозумілий, ефективний, а найголовніше — безпечний продукт. Щоб люди довіряли державним сервісам, ми постійно підтверджуємо безпеку Дії та перевіряємо застосунок на захищеність.

Важно: мнение редакции может отличаться от авторского. Редакция сайта не несет ответственности за содержание блогов, но стремится публиковать различные точки зрения. Детальнее о редакционной политике OBOZREVATEL поссылке...