(Ne)atsakingas atskleidimas - 2-oji dalis
Jaroslav Lobačevski
on ResponsibleDisclosure
6 min read
2019 metais Lietuvoje buvo apklausta 50 įvairaus dydžio įmonių. Dauguma palaikė atsakingo spragų atskleidimo reglamentavimą.
„80% apklausos dalyvių teigė, kad jų organizacija pašalintų KS spragą ir apie tai praneštų ją aptikusiam asmeniui, o į teisėsaugą kreiptųsi (16%) tik tuo atveju jei šio asmens veiksmų teisėtumas keltų įtarimų.“
Šitą reikėtų įsirėminti - net 16% įmonių kreiptųsi į teisėsaugą jei gautų pranešimą apie jų informacinėje sistemoje esančią spragą, jei jiems kiltų įtarimų dėl „tokių veiksmų teisėtumo“. Liūdna realybė yra tai, kad dauguma Lietuvos įmonių nesugebėtų aptikti bandymo pasinaudoti kibernetine spraga jų sistemoje. Suprantama, kad kai įmonė pati aptinka įtartinus kibernetinius veiksmus, ji turi nuspręsti ar tai ataka prieš ją ar ne. Tačiau asmuo pats pranešdamas įmonei kur yra spraga pagal apibrėžimą negali turėti piktų kėslų. Galimos spragos atskleidimo teisinės pasekmės dažnai nulemia saugumo tyrinėtojų veiksmus. Net ketvirtadalis tyrinėtojų nurodė, kad netyrė tam tikros programinės įrangos arba neatskleidė atrastos spragos dėl teisinių pasekmių baimės. Pvz., sulaukęs netiesiogiai grasinančių komentarų iš Paysera nemanau, kad kada nors tikrinsiu jų saugumą. Ir nesvarbu, kad jie tokie pažangūs ir patenka į penketą Lietuvos įmonių nustačiusių atsakingo atskleidimo tvarką. Aš nesu jų vartotojas ir ar jie turi spragų ar neturi man nerūpi.
„Nors daugelis respondentų teigė, kad jų organizacija suteiktų atlygį už pranešimus apie spragas, toks atlygis priklausytų nuo aptiktos spragos reikšmingumo ir dažniausiai apsiribotų organizacijos atributika. Daugiau nei ketvirtadalis respondentų, teigusių, kad aptinkantys spragas asmenys turėtų veikti neatlygintinai, baiminosi, kad atlygintina KS spragų atskleidimo praktika galėtų atverti kelią piktnaudžiavimui. Sprendžiant pagal gautus atsakymus, didžioji dalis organizacijų (74%) dalintųsi gauta informacija apie spragas su atsakinga valstybine institucija, tačiau dažnai tai darytų pašalinus aptiktą spragą arba įsitikinus, kad ši informacija nebus platinama.“
Skaitant tarp eilučių Lietuvos įmonės norėtų gauti informaciją apie saugumo spragas jų sistemose, mokėti už tai nenorėtų (nebent simboliškai) ir nenorėtų, kad apie aptiktas spragas būtų skelbiama viešai.
Turiu gerą naujieną! Saugumo audito paslauga tenkina visas sąlygas išskyrus atlygį. Kadangi pasirašoma dvišalė sutartis, o užsakovas moka, dažniausiai galioja konfidencialumo sutartis. Kaip taisyklė įmonė gauna kokybišką paslaugą, tačiau kaip ir bet koks darbas reikalaujantis specifinių ir santykinai retų įgūdžių tai atitinkamai kainuoja.
Kita alternatyva galėtu būti, taip vadinamos, Bug Bounty programos. Šiuo atveju įmonė skelbia kiek už kokio tipo saugumo spragas mokėtų, kokio tipo menkaverčiai pažeidžiamumai jų nedomina ir panašiai. Noriu iškart perspėti – skelbti Bug Bounty neturint vidinių saugumo specialistų yra savižudybė. Vis tiek gautus pranėšimus reikės suprasti, įvertinti ir nuspręsti kaip ištaisyti. O dauguma Bug Hunterių rašys, kad rado „kritinę“ klaidą. Tai iš dalies bando išspręsti tokios Bug Bounty platformos kaip HackerOne ir BugCrowd, kurios už (siurprizas!) papildomą mokestį prafiltruos pirminį pranešimų srautą. Tačiau ir tokiu atveju mano nuomone pirmą reikėtų investuoti į programuotojų ir testuotojų kibernetinio saugumo lavinimą, samdyti etatinius saugumo specialistus, daryti vidinius auditus ir tik tada skelbti viešą Bug Bounty programą. Kitaip gali tekti sumokėti už labai daug spragų.
Tačiau tamsioji Bug Bounty pusė yra tai, kad skirtingai nei skelbia Bug Bounty platformos tikrai aktyvių hakerių yra ne taip ir daug. Jūsų įmonės programa nesulauks daug dalyvių, nebent mokėsit 15000 dolerių už kritines klaidas. Taip pat Bug Hunteriai irgi turi savo madas, dauguma ieškos tų pačių klaidų ir retas bandys nuodugniai ištestuoti jūsų sistemą.
Iš pliusų įmonėms galima paminėti, kad kadangi atsiranda piniginiai santykiai, įmonės diktuoja savo sąlygas ir dažniausiai Bug Hunteriai privalo atsiklausti leidimo paskelbti apie atrastą spragą po ištaisymo. Kitaip jiems grėstų pašalinimas iš Bug Bounty programos ar platformos, tačiau jokiu būdu ne teisinė atsakomybė.
Skirtingai nuo Bug Hunterių, saugumo tyrinėtojai užsiima iš dalies savanoryste. Jie dažnai nesitiki atlygio arba jis jų nedomina. Aišku būtų negražu neatsidėkoti, jei įmonė turi Bug Bounty programą, nebent tyrinėtojas nesilaiko Bug Bounty taisyklių. Dažnai, kai įmonė siūlo padvigubinti išmokos dydį, jei ji bus pervesta labdarai, saugumo tyrinėtojai sutinka su tokia sąlyga.
Žmonių užsiimančių tokia veikla motyvacija gali būti labai skirtinga. Kadangi jie negauna už tai atlygio, viena iš svarbesnių motyvacijų yra galimybė aprašyti rastą spragą viešai. Iš tiesų džiugina, kad siūlomame įstatymo pakeitime įtvirtinama nuostata į tyrinėtojo teisę paskelbti šią informaciją viešai praėjus laikui. Tai atitinka valstybės ir visuomenės interesus. Siūlomas laiko terminas 120 dienų mano nuomone yra šiek tiek per ilgas. Taip pat informaciją apie spragą galima gauti įvairiais būdais, pvz. pastebėjus jos aktyvų išnaudojimą piktavaliais. Tokiu atveju visuomenės interesas yra sužinoti apie tai kuo greičiau.
Labiausiai stebina nuostata, kad atskleidimas neužtraukia atsakomybės tik jei laikomasi 120 dienų termino. Tyrinėtojas praneša apie saugumo spragą programinėje įrangoje kurią jau aktyviai naudoja žmonės. Mano nuomone tai jo teisė sutikti arba ne su siūlomu terminu. Pvz. pranešus apie saugumo spragą AutoDesk, man buvo pasiūlyta padaryti tai per privačią Bug Bounty programą HackerOne platformoje, tačiau aš mandagiai atsisakiau paaiškinęs kad turiu abejonių dėl jų atskleidimo taisyklių.
Taip pat šita nuostata mano nuomone neatitinka interneto realijų. Šiais laikais yra paprasta paskelbti informacija anonimiškai. Tam yra įvairių būdų. Paimkim pvz. Telia grasinimus saugumo tyrinėtojui. Arba tai buvo blefas iš Telios pusės arba ir susirašinėdamas su įmone jis išlaikė anonimiškumą ir Telia paprasčiausiai neturi ką paduoti į teismą. Nori to įmonės ar nenori internetas yra atviras ir kasdiena jų sistemas skanuoja ir įsilaužia žmonės ir automatinės programos iš viso pasaulio.
Valstybės ir viešasis interesas turėtų būti palengvinti atskleidimo procesą, padaryti jį kuo sklandesniu. Bet koks atskleidimas prasideda nuo reikiamo kontakto radimo. Tai iš tikrųjų yra sudėtingiau nei atrodo. Brandžios saugumo prasme įmonės nurodo kur rašyti aptikus saugumo spragą. Jei šios informacijos nėra iš savo patirties galiu pasakyti, kad dažnai paieškoms sugaištama daug laiko. Kadangi tai gana jautri informacija tyrinėtojai vengia ją atskleisti paprastiems įmonės darbuotojams. Taip pat atskleidus ją neišmanantiems žmonėms yra rizika, kad informacija bus nesuprasta ir ilgai užtruks kol pasieks reikiamus žmones ir bus ištaisyta. Tyrinėtojai bando atspėti reikalingą elektroninio pašto adresą ir netgi pasitelkia socialinius tinklus ieškodami įmonės darbuotojų atsakingų už kibernetinį saugumą. Asmeniškai pasigedau šito aspekto reglamentavimo siūlomame įstatymo projekte. Įmonės galėtų būti įpareigotos skelbti kur rašyti apie aptiktas spragas.
Taip pat, kaip kritiką NKSC atžvilgiu, galiu išsakyti atgalinio ryšio trukumą, atskleidžiant spragas per juos ir tai nėra vien mano patirtis. Deja tai neišnaudojama galimybė, nes neretai saugumo tyrinėtojai gavę galimybę išbandyti siūlomus pataisymus randa būdą kaip juos apeiti ir prisideda prie kokybiško pataisymo išleidimo.
„Pasisakę už reglamentavimą asmenys taip pat atkreipė dėmesį į tai, kad atsakingo atskleidimo praktikos reglamentavimas neturėtų palikti vietos interpretacijoms.“
Daugiausia abejonių man kelia įstatymo nuostata, kad „negali būti trikdomas ar keičiamas ryšių ir informacinės sistemos darbas, funkcionalumas, teikiamos paslaugos bei duomenų prieinamumas ar vientisumas“. Suprantu, kad bandoma apsisaugoti nuo Denial of Service ir Bruteforce atakų. Tačiau formuluotė palieka labai daug laisvės interpretacijoms. Tam, kad aptiktum spragą dažniausiai reikia išsiųsti šiek tiek kitokius duomenis nei tikėjosi programos kūrėjai. Spragos esmė yra, kad sistema pasiekia nenumatytą būseną. Vienintelis būdas tai patikrinti – ją pasiekti. Tokiu būdu tyrinėtojai vis tiek galės būti kaltinami pažeidę įstatymą.
Tikėtina, kad jei įstatymas bus priimtas šitoj formoj Lietuvoje iš esmės niekas nepasikeis.