07.06.2016

Государственная bug bounty и биржа по продаже уязвимостей

На прошлой неделе Коммерсант опубликовал заметку о созданной в России бывшим сотрудником Росфинмониторинга бирже уязвимостей. Расположена она на англоязычном сайте, не имеющем никакой русскоязычной страницы. При этом среди потенциальных покупателей называются госорганы (интересно какого государства, если наши по английски не очень общаются?) и ИБ-компании. Средняя цена, которую биржа готова платить за уязвимость в ОС, браузерах, продуктах Adobe и MS Office - 50 тысяч долларов США. За уязвимости в Web-приложениях предлагают "всего" 15 тысяч долларов, а за дыры в Tor - целых 80 тысяч.

В этой новости лично у меня подозрения вызывает два момента. Первый - цена. На западных аналогичных площадках за аналогичные уязвимости платят больше (на черных биржа тем более). Второй - целевая аудитория. Российские ИБ-разработчики покупать такие дыры не будут (дорого и не зачем), а отечественные пентестеры помимо "дорого и не зачем" и сами обладают квалификацией для поиска дыр и разработки эксплойтов. Они скорее могут быть продавцами, а не покупателями. Да и цена одной дыры сопоставима со стоимостью контракта на пентест (где экономика?). С отечественными госорганами ситуация еще сложнее - они врядли будут покупать такую информацию на бирже; они обязаны будут проводить такие сделки через госзакупки со всеми вытекающими отсюда последствиями и публичностью. Например, достаточно вспомнить про конкурс "Исследование возможности получения технической информации о пользователях (пользовательском оборудовании) анонимной сети ТОR", шифр — "ТОР (Флот)", стоимостью 3,9 миллиона рублей (112 тысяч долларов на момент размещения заказа). Или конкурс "Создание аппаратно-программного комплекса по проведению негласного и скрытого удаленного доступа к оперативно значимой информации на целевой электронно-вычислительной машине" (шифр — "Хамелеон-2 (Флот)") за 20 миллионов рублей. Все они были публичны.

Однако гораздо интереснее оказалась вторая новость, связанная с биржей уязвимостей. Речь идет об озвученной вскользь заместителем министром связи и массовых коммуникаций на форуме Института развития Интернет (ИРИ) "ИТ+Суверенитет" идее запуска государственной программы bug bounty, то есть тоже покупке информации об уязвимостях в программном обеспечении, но под контролем государства.


На самом деле замминистра Соколов упомянул не bug bounty, а big bounty, но это мелочи. Интересная идея касается не любого ПО, а только внесенного в реестр отечественного ПО и, возможно, ПО, работающего на критических инфраструктурах. При этом использование бюджетных средств не планируется - в программе будет участвовать отраслевое сообщество, которое... Вот тут начинается гадание на кофейной гуще. Пресс-служба Минкомсвязи говорит о том, что разослала свои предложения разработчикам ПО, их отраслевым ассоциациям, ряду крупных компаний с государственным участием и частного сектора.

Правда, Минкомсвязь говорит о системе грантов, что немного отличается от идеи bug bounty. И опять же непонятно, за чем счет планируется банкет? Если это деньги не государства, то причем тут Минкомсвязь? Не идет ли тут речь об обязательном внедрении программ bug bounty для разработчиков ПО, попадающего в реестр Минкомсвязи? Тогда сразу отпадает вопрос "откуда деньги". Вообще вопрос качества и безопасности этого ПО давно стоит на повестке дня, но Минкомсвязь от него все время дистанцируется, считая, что это не совсем их тема. А тут вдруг поворот на 180 градусов.

И при этом у меня возникает закономерный вопрос. А что с банком данных угроз и уязвимостей, который создала и поддерживает ФСТЭК? Ведь у нас ФСТЭК была первой, кто задумалась о качестве кода и даже разработала стандарт по безопасной разработке ПО. Потом был Банк России со своей РС по жизненному циклу АБС с точки зрения ИБ. Но ФСТЭК не навязывает эти требования, прекрасно понимая, что это не такая простая задача, как кажется. И банк уязвимостей ФСТЭК ведет по своей инициативе и за свой счет. На последнем PHDays эту тему уже поднимал начальник 2-го Управления ФСТЭК Виталий Сергеевич Лютиков. Он приглашал исследователей к сотрудничеству, но в социальных сетях его раскритиковали, желая денег за раскрытие дыр.


Идея с "государственной bug bounty" как раз отвечает на вопрос исследователей и позволяет им заработать. То есть идея, озвученная заместителем министра вполне здравая. Ее только допиливать надо и четко проработать механизм реализации с привлечением всех заинтересованных госорганов (ФСТЭК и, возможно, ФСБ с Банком России). Не стоит Минкомсвязи влезать в эту тему в одиночку - опять получится не совсем то, что должно быть.