Як ми хакнули Prozorro та що це показало

Наприкінці вересня ми хакнули Prozorro. За власною ініціативою

Запросили білих хакерів, щоби виявити потенційні слабкі місця в системі. Серед державних підприємств bug bounty марафон з пошуку багів ми провели першими. В результаті стали не лише стійкішими до кібератак, а й винесли цінні уроки. 

Три історії про те, як еволюціонувала сфера кіберзахисту від ділових костюмів з краватками до футболок з шортами, та чому її можна порівняти зі здоровим способом життя. 

Початок 2000-х: серйозні аудитори в ділових костюмах

Інформаційна безпека – це як сигналізація вдома. Всі розуміють її важливість, але далеко не всі встановлюють. “Якось воно буде, не факт, що мою квартиру пограбують” –  думаємо. Сигналізація – це додаткові зусилля. Я цим займуся, але трішки пізніше. Все як зі здоровим способом життя. Відкладаємо.

До інформбезпеки на початку 2000-х було таке ж ставлення. Якщо продовжувати аналогію зі здоровим способом життя, то все що робила індустрія – це раз на рік проходила медичний догляд та спортивні тести. Обстеження було дороге. Але лише раз на рік. В результаті – величезний паперовий звіт. З купою рекомендацій, зазвичай високорівневих.

Як все відбувалося? В компанію приходили аудитори. Люди в ділових костюмах. Зазвичай вони представляли компанію з хорошим брендом (інакше б хто витрачав кошти на аудит від незнайомої контори). 

З собою аудитори мали чек-листи. Такий собі набір питань, на які ти мав відповісти. Відповіді занотовувалися. Вони складали основне “тіло” звіту з доданими рекомендаціями аудиторів. Тобто, в результаті, ти читав у звіті дані, які сам же і надавав. 

Звучали висновки приблизно так: “недосконала парольна політика”. Її потрібно покращити. Але хто цим відразу ж займався… Особливо, коли паперовий звіт включав багато сторінок.

Проте навіть такі аудити були корисні. Вони багато чого знаходили. Чек-лист враховував більшу кількість речей, ніж ти думав в повсякденному житті. 

Імітація атак. Розвиток пентестингу 

Пам’ятаю був 2008 рік. Приблизно в цей час почали розвиватися тести на проникнення (пентести). Це вже більш практична історія. Компанія піддавалася інструментальній перевірці, імітувалася хакерська атака. 

Для порівняння. Тут уже не говорили фраз “у вас недосконала парольна політика”. Йшлося про реальні наслідки та втрати. Приміром, доступ до операційного дня банку, контроль над управлінням мережею великої компанії. І все це через неоновлені вчасно паролі. Пригадую навіть проект, коли отримали доступ до електронної пошти голови правління банку – можливості впливу серйозні.

Зрозуміло, що ажіотаж під час презентацій таких репортів був великим. Коли керівництво компанії знаходить в переліку зламаних паролів свій, увага до інформбезпеки зростає. 

Але проблема тестів на проникнення в їх вартості. Це дороге довгострокове задоволення. В більшості випадків дозволити його собі можна лише два рази на рік. 

Bug bounty: підлітки ламають системи

Ситуація змінюється з популяризацією bug bountу – пошук багів за винагороду. Чим критичніший баг, тим вищу винагороду отримують етичні хакери. 

У 2010 році власну bug bountу програму запускає Google, через рік –  Facebook, пізніше приєднуються і державні установи: Пентагон, армія США, уряд Сінгапуру. 

Компанії працюють безпосередньо з хакерами, майданчиком взаємодії є спеціальні онлайн-платформи. Жодних ділових костюмів. Свої сили у bug bountу випробовують студенти й навіть підлітки. Одна з найгучніших історій, коли 19-річний уругваєць Есек’єль Перейра за знайдений баг в Google's Cloud Platform отримав від Google $36 000 винагороди. 

В Україні навіть ще цікавіші кейси. В “Hack Prozorro” брав участь 15-річний школяр з Одещини, якому довелося відпроситися у директора, аби підготуватися до участі у нашому марафоні. 

Невже молодь у шортах краща аудиторів в костюмах?

Вік у пошуку багів не головне, як доводить bug bounty. Завдяки такій формі взаємодії молоді таланти отримують можливість себе проявити. Це вигідно також і компаніям. 

З bug bountу немає витрат на корпоративний сегмент. Ти не платиш компанії, яка наймає спеціалістів, які працюють неповний день. Ти безпосередньо взаємодієш з хакерами. Залучаєш потрібних людей в потрібний момент часу в потрібному місці. Працює та ж логіка, що лежить в основі Uber. 

У bug bountу програмах, ти платиш за реальний результат. “Білий” хакер отримує винагороду лише за знайдені вразливості. Саме тому етичні хакери налаштовані на пошук найбільш критичних вразливостей, які мають вищу винагороду. Така стратегія також вигідна компаніям. Вони охоче заплатять за виявлені критичні вразливості в продуктах. З bug bountу компанії отримують максимальну ефективність роботи в конкретний проміжок часу.

Зручний формат взаємодії. Запуск bug bountу програми допомагає компаніям налагодити безперервний процес пошуку багів. Google, Facebook чи ж Microsoft потрібно було лише запустити програму, поставити “процес на рейси” і далі аналізувати звіти від хакерів. Не потрібно думати про організацію аудитів з кожним новим оновленням софту. Проводити зустрічі, обирати компанію, яка надасть ці послуги. 

Bug bountу програми у великих ІТ-компаніях працюють на постійній основі. Це вимога часу. У світі стає все більше додатків у форматі software as a servicе, коли ти користуєшся зовнішнім продуктом і платиш за це. Приміром, Google Docs. Багато з нас нададуть перевагу онлайну, ніж Microsoft office на комп'ютері. Це зручно і ми певні, що документ збережеться, навіть якщо в цю ж секунду ноут здумає перевантажитися, або ж ми ненавмисно розіллємо чай на нього. 

Таких продуктів стає все більше, тому і зростає важливість їх безпеки, адже це – дані користувачів, репутація та прибуток компанії. Не дивно, що за оцінками консалтингових агенцій світові витрати на кібербезпеку будуть зростати на 10,6% щороку і складуть у 2021 році більше $202 млрд.

Сьогодні ж бачимо, як ІТ-продукти автоматизували конкретні бізнес-процеси: від замовлення таксі через додаток, який зберігає дані вашої банківської карти і телефон до розрахунку зарплат та бухобліку в компанії. Повертаючись до термінології зі здоровим способом життя, за таких умов вже недостатньо проходити обстеження раз на рік. Необхідно проходити локальні тренування на постійній основі. Вони допоможуть відразу зрозуміти, де ваше слабке місце в конкретний момент часу. Можливо, вам треба терміново підкачати ноги, адже в майбутньому планується забіг. Без такого ж локального тренування про слабкі місця б не дізнатися. 

Bug bountу якраз розраховано на тестування речей, які дають прямий вплив на бізнес. 

Саме тому ми вже давно обговорювали ідею організації bug bountу для Prozorro. Адже ми б зробили систему закупівель стійкішою до кіберзагроз. Наприкінці вересня завдяки партнерам з HackenProof, OptiData, De Novo та Softprom by ERC нам вдалося реалізувати цю ідею. 

Хакери шукали вразливості протягом 7 годин. Багів, які б загрожували проведенню аукціонів чи збереженню цілісності даних про закупівлі, ми не виявили. Але ми отримали набагато більше – цінні уроки, якими б і хотіли поділитися. 

Злам Prozorro: які уроки ми винесли

Не треба боятися. Це скоріше стосується державних установ. Так, провести bug bounty державній установі не так легко, як приватній. Але це можливо повністю в законодавчому полі.

Ми випробовували Prozorro на тестовому середовищі. Проведенню торгів нічого не загрожувало. Про захід заздалегідь попередили необхідні органи. 

Виявлення багів – це не страшно.  Не треба боятися, що можуть бути вразливості. Щодня в софті знаходять величезну кількість багів, адже ідеального софта практично не існує. То ж не треба закривати очі. Краще дізнатися про слабкі місця першому і оперативно їх закрити. 

Інформбезпека – це як здоровий спосіб життя. Хочеш бути спортивним, потрібно регулярно собою займатися. “От сходжу в зал, скину вагу, а потім розслаблюся” – тут це не працює. Інформбезпека має стати частиною життя. 

Інформбезпека – це про весь цикл розробки. Створення продукту –це цілий процес. Середовище розробки, документи, вихідний код. Все це є частиною інформбезпеки. Не треба думати лише про продуктив. 

Можна залучати партнерів. Перед проведенням Hack Prozorro у нас була лише ідея. Партнери допомогли з локацією, організацією роботи хакерів, призовим фондом. 

Open source-рішення стійкі. Інколи ми чуємо, що рішення з відкритим кодом вразливіші. У нашому випадку жодного значення open source ми чи ні – не було. 

Нове об'єднує людей. Державна установа просить хакерів зламати державну систему. Це ще той злам стереотипу. Ми побачили, що коли ти робиш щось нове, це надихає людей. Так нам вдалося залучити партнерів та і самих хакерів, для багатьох з яких Hack Prozorro – це не про винагороду, а про цікаву ідею та можливість.