Насколько я понимаю, если вы обнаружили на пороге своего дома коробку с кучей анкет клиентов банка, то вы можете публиковать эти документы, так как не вы обязаны охранять чьи-то персональные данные. Другое дело, если вы использовали какую-то уязвимость, чтобы получить к ним доступ. Тогда это уже нарушение закона.
Сегодня заинтересовался таким вопросом: предположим, какая-то компания игнорирует сообщения об уязвимостях. Если я публикую информацию об этом и описание уязвимостей через те же две недели, я нарушаю какие-либо законы или правила?
На самом деле, меня немного удивляет подобный подход компаний. Давайте дадим подачку или проигнорируем сообщение, а потом удивимся, что над нашей безопасностью смеются.
Например, возьмем «абстрактную» компанию «СуперПуперМегаПланирование», которая разрабатывает, предположим, CRM. И пусть ее панель управления насквозь дырявая. Один исследователь решил сообщить, но его проигнорировали. Другой тоже решил сообщить, и тоже получил молчание в ответ. И какой-нибудь десятый напишет статью «Почему СуперПуперМегаПланирование — решето» и открыто опишет все уязвимости. В результате компания получит серьезный удар по имиджу, программисты будут вынуждены экстренно писать заплатки, плюс куча злых хакеров может украсть данные и найти еще более серьезные дыры. Почему нельзя нормально ответить первому исследователю, выплатить ему 10-20 тысяч и поблагодарить? Что за слепая надежда, что все будет хорошо?
Это вообще шедевр, конечно. Хотя я посчитал и понял, что ваша чашка кофе может быть выгоднее. На том хостинге самый дорогой тариф стоит около 1600 рублей в месяц, так что максимум я получал выгоду 160 рублей. А кофе иногда стоит дороже 160 рублей)
Вероятно, я неправильно понял последний абзац. При написании комментария я думал, что автор имеет ввиду, что компаниям стоит создавать открытые Bug Bounty программы, а не то, что у Киевстар есть такая программа.
Хотя, как автор написал в комментарии, ему не дали денежное вознаграждение.
У ISP сейчас есть проблема с безопасностью в 4 версии панели. Насколько я понимаю, для одной достаточно критичной уязвимости нет официального патча, хотя в 5 версии панели этой уязвимости уже нет. И хостеры с ISP 4 либо пытаются сами что-то сделать с этим, либо просто игнорируют проблему. Так что спорно, нужна ли такая панель.
По своему опыту могу сказать, что вам еще повезло: вам ответила техподдержка, проблемы безопасности кого-то заинтересовали, уязвимость исправили, правда не дали вознаграждение.
У меня для всех сообщений об уязвимостях, отправленных в этом году, статистика такая:
50% компаний не ответили с первого раза на письмо в техподдержку.
25% компаний не ответили вовсе после нескольких напоминаний.
Несколько компаний прекращают переписку со словами «Если это заинтересует менеджера, он вам напишет». Среди них крупная российская CRM.
Порядка 30% компаний не исправляют уязвимости по той или иной причине (например, куча тех, кому я сообщал об уязвимостях в прошлом году, имеет точно такие же в этом).
Почти все, кто ответил и исправил уязвимости, не просят повторно проверить на их наличие. Ну да, разработчики, которые допустили серьезные ошибки безопасности, разумеется, знают, как их искать.
И только 10-15% компаний предлагают вознаграждение или сотрудничество. Вот это обычно приятно.
Есть как минимум три причины, почему техподдержка обычно довольно плохая:
1) Хорошая техподдержка требует много грамотных специалистов, что стоит очень дорого. С точки зрения пользователя, цель техподдержки — решить проблему быстро и, желательно, за одно сообщение.
Можно даже сравнить: самые лучшие службы поддержки, которые я встречал, были у Bugcrowd и Hackerone, При возникновении проблем с платежами сотрудники сами написали письмо, предложили помощь с решением проблем и быстро все исправили. Это реально круто.
Напротив, самые ужасные службы техподдержки, которые я встречал за последние несколько месяцев были у Wargaming и vk.com, Первые порядка двух недель отвечали на запрос моего друга о взломе его аккаунта. Как нормальный человек должен реагировать на две недели молчания?
vk.com отвечали порядка двух суток на заявку о взломанном аккаунте знакомого, с которого рассылались подозрительные сообщения. А потом я получил от них абсолютно бесполезный ответ с подписью «Ваша заботливая поддержка». Это исключительное издевательство.
Хороший и быстрый ответ стоит дорого, не все могут себе такое позволить. Кроме того, из этого вытекает следующая проблема:
2) Для многих компаний выгоднее пренебречь одним пользователем, чем тратить время на решение его проблем. Если у компании 100 клиентов, то потеря одного из них — весьма плохое событие. Но если клиентов порядка 100 миллионов, то потеря даже сотни или тысячи может быть дешевле, чем время, которое потребуется для решения их проблем.
3) И есть третья проблема: зачастую решение проблем пользователя просто никому не нужно, кроме него самого. Приведу пример: недавно я нашел серьезную уязвимость в продуктах двух крупных компаний (их блоги есть на Хабре, привет, если узнали себя). Написал письма, чтобы сообщить об уязвимостях, стал ждать ответ. Одна компания просто ничего не ответила, от другой пришел чудесный ответ «Если менеджер заинтересуется вашим сообщением, он вам напишет. Я передал письмо ему». От менеджера я тоже не получил ответ. Причина в том, что решение этой проблемы просто никому не нужно: сотрудник техподдержки не получит за это ни премию, ни благодарность. Менеджер просто так потратит свое время, а у программистов, наверняка, и так горят сроки внедрения «новых сверхважных фичей». А если эту уязвимость найдет кто-то другой и использует или опубликует, то мы услышим кудахтанье представителей компании о злых хакерах, которые ничего не сообщают, а только ломают.
Информацию обо всех уязвимостях как раз и надо публиковать со всеми подробностями и украденными данными. Именно потому, что это показывает последствия наплевательсткого отношения к информационной безопасности.
Почему это важно? Все просто: сейчас утекло 360 миллионов паролей от популярного сервиса. В комментариях смеются «Да кому нужен этот сервис!» Из-за развития IoT через 5 лет утечет 360 миллионов паролей от домашних камер, а через десять лет — 360 миллионов паролей от систем «Сверумный дом — управляй всей бытовой техникой и открывай двери со смартфона». Тогда кто-то будет смеяться?
Вы думаете, такого не будет? А с чего бы? Разработчики будут теми же самыми, ИБ будет уделено столько же внимания, если ничего не делать. Именно поэтому мы должны привлекать внимание людей к ИБ и показывать последствия игнорирования проблем, а не кричать, что это неправильно, некрасиво и неэтично.
Субъективно, отказ от базового понимания того, что ты используешь, ведет к большим потенциальным проблемам.
Наверное, «менеджеры по продуктам, не зная, вообще, программирования», могут собрать из кубиков интернет-магазин или очередной модный веб-сервис. Но в какой-то момент к ним придет специалист по информационной безопасности и скажет, что в комбинации из этих кубиков есть дыра. И менеджерам стоит молить всех богов, чтобы это произошло до взлома, а не после.
Приведу пример из недавней практики: одна чудесная компания решила создать не менее чудесный сервис, который обрабатывает ценные данные пользователей (по понятным причинам я не могу назвать компанию). Они собрали свой сервис всего из двух кубиков (один свой, другой — стороннего разработчика). И в кубике стороннего разработчика была обнаружена критическая уязвимость, которая позволяла получить полный доступ к данным всех клиентов. Но никто из сотрудников компании не может изменить код этого кубика, а разработчик не делает исправление для этой ветки.
Эта история звучит забавно, но именно такое мы будем видеть всюду, если программы и сервисы будут состоять из кучи кубиков, которые перетягивают и складывают менеджеры.
Главная проблема с информационной безопасностью в том, что сама по себе она не нужна производителям. Компания хочет получить готовый продукт от отдела разработки. Менеджер хочет, чтобы программист написал очередную программу как можно скорее. А программист, как правило, хочет пойти домой и не хочет просто так исправлять кучу уязвимостей, когда от него требуют скорость разработки.
Например, недавно я получил чудесный ответ на сообщение о критической уязвимости в сервисе: «Мы сознательно пошли на игнорирование проблем в безопасности, чтобы ускорить процесс разработки». Уязвимость они закрывать не стали.
Пока такая ситуация с низким приоритетом ИБ будет сохранятся, мы будем каждый месяц читать об очередной «детской» уязвимости в каком-нибудь сервисе.
Вероятно, вам не повезло наткнуться либо на ленивую команду аудиторов, либо на обыкновенных бездарей. Ибо за полчаса я нашел у вас в кабинете и MITM, и CSRF. Грустный результат после множественных аудитов.
Насколько я понимаю, нет, даже близко не пройден. То, что машина может отвечать почти идеально на 40% типовых вопросов — это великолепный результат, но осталось 60% вопросов. Плюс, ее не пытались специально завалить.
Репозитории — это, безусловно, хорошо, но надо быть с ними осторожными (в идеале).
Небольшая история: некоторое время назад я нашел пару уязвимостей на популярном хостинге репозиториев для jailbreak'нутых IOS-девайсов. Они позволяли получить полный доступ к аккаунту пользователя, включая выложенные им приложения. Учитывая популярность некоторых репозиториев, это пугало: можно было добавить вредоносный код в популярные приложения, а эти приложения улетят на устройства тем, кто захочет их установить или обновить, и смогут украсть все данные с устройства.
Выше упоминали ИТМО, могу немного дополнить.
Там есть одна небольшая кафедра КТ, люди с которой занимаются олимпиадным программированием. Станкевич, Корнеев, Кохась и другие крутые преподаватели ведут только там. Люди с остальной части университета практически их не встречают.
Достаточно любопытно, что один из российских банков позволяет покупать 1 цент за 1 копейку, используя подобную методику. Так что стало интересно, насколько это законно с точки зрения юристов.
На самом деле, желание не тратить деньги на «ерунду» порой доходит до маразма. Несколько месяцев назад я нашел в одном достаточно крупном сервисе (больше 10 тысяч клиентов) уязвимость, которая позволяла получить доступ ко всем данным всех клиентов. Естественно, я предложил им сотрудничество. Получил чудесный ответ:
— У нас не предусмотрены выплаты за найденные уязвимости.
— Вас не смущает, что у вас могут украсть данные всех пользователей?
— Если не хотите сообщать нам информацию, можете продолжать пользоваться нашим сервисом с уязвимостями.
Например, возьмем «абстрактную» компанию «СуперПуперМегаПланирование», которая разрабатывает, предположим, CRM. И пусть ее панель управления насквозь дырявая. Один исследователь решил сообщить, но его проигнорировали. Другой тоже решил сообщить, и тоже получил молчание в ответ. И какой-нибудь десятый напишет статью «Почему СуперПуперМегаПланирование — решето» и открыто опишет все уязвимости. В результате компания получит серьезный удар по имиджу, программисты будут вынуждены экстренно писать заплатки, плюс куча злых хакеров может украсть данные и найти еще более серьезные дыры. Почему нельзя нормально ответить первому исследователю, выплатить ему 10-20 тысяч и поблагодарить? Что за слепая надежда, что все будет хорошо?
Хотя, как автор написал в комментарии, ему не дали денежное вознаграждение.
У меня для всех сообщений об уязвимостях, отправленных в этом году, статистика такая:
50% компаний не ответили с первого раза на письмо в техподдержку.
25% компаний не ответили вовсе после нескольких напоминаний.
Несколько компаний прекращают переписку со словами «Если это заинтересует менеджера, он вам напишет». Среди них крупная российская CRM.
Порядка 30% компаний не исправляют уязвимости по той или иной причине (например, куча тех, кому я сообщал об уязвимостях в прошлом году, имеет точно такие же в этом).
Почти все, кто ответил и исправил уязвимости, не просят повторно проверить на их наличие. Ну да, разработчики, которые допустили серьезные ошибки безопасности, разумеется, знают, как их искать.
И только 10-15% компаний предлагают вознаграждение или сотрудничество. Вот это обычно приятно.
1) Хорошая техподдержка требует много грамотных специалистов, что стоит очень дорого. С точки зрения пользователя, цель техподдержки — решить проблему быстро и, желательно, за одно сообщение.
Можно даже сравнить: самые лучшие службы поддержки, которые я встречал, были у Bugcrowd и Hackerone, При возникновении проблем с платежами сотрудники сами написали письмо, предложили помощь с решением проблем и быстро все исправили. Это реально круто.
Напротив, самые ужасные службы техподдержки, которые я встречал за последние несколько месяцев были у Wargaming и vk.com, Первые порядка двух недель отвечали на запрос моего друга о взломе его аккаунта. Как нормальный человек должен реагировать на две недели молчания?
vk.com отвечали порядка двух суток на заявку о взломанном аккаунте знакомого, с которого рассылались подозрительные сообщения. А потом я получил от них абсолютно бесполезный ответ с подписью «Ваша заботливая поддержка». Это исключительное издевательство.
Хороший и быстрый ответ стоит дорого, не все могут себе такое позволить. Кроме того, из этого вытекает следующая проблема:
2) Для многих компаний выгоднее пренебречь одним пользователем, чем тратить время на решение его проблем. Если у компании 100 клиентов, то потеря одного из них — весьма плохое событие. Но если клиентов порядка 100 миллионов, то потеря даже сотни или тысячи может быть дешевле, чем время, которое потребуется для решения их проблем.
3) И есть третья проблема: зачастую решение проблем пользователя просто никому не нужно, кроме него самого. Приведу пример: недавно я нашел серьезную уязвимость в продуктах двух крупных компаний (их блоги есть на Хабре, привет, если узнали себя). Написал письма, чтобы сообщить об уязвимостях, стал ждать ответ. Одна компания просто ничего не ответила, от другой пришел чудесный ответ «Если менеджер заинтересуется вашим сообщением, он вам напишет. Я передал письмо ему». От менеджера я тоже не получил ответ. Причина в том, что решение этой проблемы просто никому не нужно: сотрудник техподдержки не получит за это ни премию, ни благодарность. Менеджер просто так потратит свое время, а у программистов, наверняка, и так горят сроки внедрения «новых сверхважных фичей». А если эту уязвимость найдет кто-то другой и использует или опубликует, то мы услышим кудахтанье представителей компании о злых хакерах, которые ничего не сообщают, а только ломают.
Почему это важно? Все просто: сейчас утекло 360 миллионов паролей от популярного сервиса. В комментариях смеются «Да кому нужен этот сервис!» Из-за развития IoT через 5 лет утечет 360 миллионов паролей от домашних камер, а через десять лет — 360 миллионов паролей от систем «Сверумный дом — управляй всей бытовой техникой и открывай двери со смартфона». Тогда кто-то будет смеяться?
Вы думаете, такого не будет? А с чего бы? Разработчики будут теми же самыми, ИБ будет уделено столько же внимания, если ничего не делать. Именно поэтому мы должны привлекать внимание людей к ИБ и показывать последствия игнорирования проблем, а не кричать, что это неправильно, некрасиво и неэтично.
Наверное, «менеджеры по продуктам, не зная, вообще, программирования», могут собрать из кубиков интернет-магазин или очередной модный веб-сервис. Но в какой-то момент к ним придет специалист по информационной безопасности и скажет, что в комбинации из этих кубиков есть дыра. И менеджерам стоит молить всех богов, чтобы это произошло до взлома, а не после.
Приведу пример из недавней практики: одна чудесная компания решила создать не менее чудесный сервис, который обрабатывает ценные данные пользователей (по понятным причинам я не могу назвать компанию). Они собрали свой сервис всего из двух кубиков (один свой, другой — стороннего разработчика). И в кубике стороннего разработчика была обнаружена критическая уязвимость, которая позволяла получить полный доступ к данным всех клиентов. Но никто из сотрудников компании не может изменить код этого кубика, а разработчик не делает исправление для этой ветки.
Эта история звучит забавно, но именно такое мы будем видеть всюду, если программы и сервисы будут состоять из кучи кубиков, которые перетягивают и складывают менеджеры.
Например, недавно я получил чудесный ответ на сообщение о критической уязвимости в сервисе: «Мы сознательно пошли на игнорирование проблем в безопасности, чтобы ускорить процесс разработки». Уязвимость они закрывать не стали.
Пока такая ситуация с низким приоритетом ИБ будет сохранятся, мы будем каждый месяц читать об очередной «детской» уязвимости в каком-нибудь сервисе.
Однако, хотелось бы узнать следующее:
Эти компании привлекались для аудита панели управления? Или только виджета на сайтах?
Небольшая история: некоторое время назад я нашел пару уязвимостей на популярном хостинге репозиториев для jailbreak'нутых IOS-девайсов. Они позволяли получить полный доступ к аккаунту пользователя, включая выложенные им приложения. Учитывая популярность некоторых репозиториев, это пугало: можно было добавить вредоносный код в популярные приложения, а эти приложения улетят на устройства тем, кто захочет их установить или обновить, и смогут украсть все данные с устройства.
Там есть одна небольшая кафедра КТ, люди с которой занимаются олимпиадным программированием. Станкевич, Корнеев, Кохась и другие крутые преподаватели ведут только там. Люди с остальной части университета практически их не встречают.
— У нас не предусмотрены выплаты за найденные уязвимости.
— Вас не смущает, что у вас могут украсть данные всех пользователей?
— Если не хотите сообщать нам информацию, можете продолжать пользоваться нашим сервисом с уязвимостями.