В данном посте мы расскажем как запустили пилот национальной BugBounty платформы в Казахстане, как из этого родился полноценный международный стартап и почему мы считаем это одной из самых успешных инициатив в области кибербезопасности в Казахстане.
Что такое BugBounty
Программа Bug Bounty — это программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей. Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая злоупотребления. В частности, программы Bug Bounty были реализованы компаниями Facebook, Yahoo!, Google, Reddit, Apple и Microsoft.
История
В конце 2020 года Комитет информационной безопасности Министерства цифрового развития Республики Казахстан в рамках проведения киберучении в стране, предложил нам организовать возможность независимым исследователям по кибербезопасности найти и сдать уязвимости в информационных системах государственных органов. В рамках этой инициативы мы предложили собственную платформу Tumar.One .
Если честно, наши ожидания были очень скромные. Мы ожидали получение всего лишь пару десятков уязвимостей и участие не более 100 зарегистрированных багхантеров.
Спустя год пилотирования данной программы на всю страну мы сейчас имеем порядка 1200 независимых исследователей со всего мира, и сдано более 1000 уязвимостей.
Сформировался уже Leaderboard багхантеров, который обновляется каждый сезон.
После пилотирования данной программы с государством к нам начало приходить очень много коммерческих клиентов. Платформа органически выросла из чисто казахстанской платформы в отдельный стартап, который прошел в мировую акселерационную программу Plug and Play.
Расскажем несколько кейсов, которые были выявлены в рамках пилотирования национальной платформы, чтобы показать результаты и почему для государства это является одной из важнейших инициатив.
Самые распространенные уязвимости связаны были с IDOR, default credentials (учетные данные по умолчанию) и sensitive data exposure (раскрытие конфиденциальных данных).
Кейс 1: Доступ к системе управления водоснабжения г. Нур-Султан
Один из любимых наших кейсов и, наверное, один из самых критичных. Багхантер изучал пару недель документы столичного акимата (мэрия) и в одних из документах нашел упоминание системы управления водоснабжением города и адрес системы, что дало ему возможность получить доступ к административной панели управления.
К удивлению багхантера логин и пароль оказались: admin:admin .
Кейс 2: Доступ к КПП обьекту силовых органов
Багхантер смог получить доступ к панели администратора, используя имя пользователя и пароль по умолчанию: admin:admin
В результате багхантер смог получить доступ к конфигурации и базе данных Face Server, которая содержала более 5000 записей и включала в себя: личные фотографии лиц, имена сотрудников итд. Также доступ к панели может быть использовано для получения физического доступа к охраняему обьекту, добавив поддельные данные в систему.
Кейс 3: Утечка медицинских данных 7 млн граждан
Один из исследователей, получив ПЦР справку, обнаружил IDOR в системе, позволяющую получить доступ к медицинским справкам (Анализ крови, пцр тесты, ВИЧ-анализы, ЗППП-анализы итд) 7 миллионов граждан. Уязвимость была оперативно устранена в течение 1-2 дней владельцем системы.
Кейс 4: Онлайн перепись населения
В прошлом году в Республике Казахстан была запущена платформа онлайн переписи населения. После запуска в течение пары часов багхантеры зарепортили уязвимость, позволяющую получить доступ в личный кабинет гражданина и, следовательно, изменить его данные.
Кейс 5: Уязвимость Mail.Kz - портал электронной почты
Специалистом @ptswarm Игорем Сак-Саковским была выявлена критическая XSS уязвимость на национальном портале электронного сервиса «Mail.kz», приводящая к полной компрометации почты пользователей почтового сервиса и возможность захвата аккаунта сервисов, которые используют данную почту для авторизации.
Одним из способов эксплуатации уязвимости является компрометация всех почтовых сообщений, к тому же он дает возможность отправлять сообщения от имени жертвы-пользователя.
Используя эту уязвимость, злоумышленник может перехватить конфиденциальные рабочие переписки жертвы, содержащие критическую информацию.
Кейс 6: Электронное правительство Республики Казахстан
Порядка 60 уязвимостей Электронного правительства, включая две XXE уязвимости, оперативно были устранены работниками Электронного правительства.
Кейс 7: Банки второго уровня
В рамках меморандума с Национальным Банком РК, были проведены работы по выявлению и анализу уязвимостей на веб-ресурсах банков второго уровня
По итогу пилотирования, исследователями сдано было около 1000 уязвимостей в государственных информационных систем Казахстана, что подтверждает, что это была одна из самых успешных инициатив для национальной безопасности страны.
На данный момент на платформе для багхантеров есть возможность сдачи уязвимостей:
Электронное правительство Республики Казахстан, Холдинг Зерде
Финансовый сектор: Национальный банк РК, Банк развития Казахстана, Kaspi, Банки второго уровня Республики Казахстан и Республики Кыргызстан
Обьединенная компания Колеса, Крыша, Маркет
Интернет Компания PS
WebTotem - система мониторинга и защиты веб-ресурсов
и др
4 марта 2022 года договорились о сотрудничестве с Лабораторией Касперского и ГКНБ Кыргызстана в запуске программы по выявлению уязвимостей в Республике Кыргызстан. Ожидается в ближайшее время подключение банков второго уровня к данной платформе.
Финансы
За все время выплачено уже порядка 100 000 долларов багхантерам со всего мира. Это не так много, но нужно учитывать, что это первый опыт в СНГ по запуску такой платформы. До конца 2023 года на выплаты уже выделено 700 000 долларов. В процессе подключения порядка 400 систем.
Выплаты организовываются как зарубежным багхантерам, так и российским.
Проблемы
Однако запуск платформы не самая легкая задача. Со времени запуска мы столкнулись со следующим рядом проблем в виде:
Шантажирование одним из исследователей нашего клиента после сдачи уязвимости на платформе.
Долгое реагирование со стороны госорганов и исправление уязвимостей. Иногда это занимало до 3 месяцев.
Недобросовестность со стороны некоторых компании в части продажи одному из госорганов Республики Казахстан несуществующей багбаунти площадки.
Законодательство
Работа данной платформы неограничена только выявлением уязвимостей. Мы работаем над введением платформы в законодательство РК.
В закон Республики Казахстан "Об информатизации" вводятся такие положения, как:
Центр выявления уязвимостей в обьектах информатизации - лицо, осуществляющее деятельность по координации зарегистрированных исследователей информационной безопасности на платформе выявления уязвимостей в обьектах информатизации, а также по отправлению уведомлений об устранение уязвимостей владельцам информационных системах.
Исследователь информационной безопасности - независимый специалист в сфере информационно-коммуникационных технологий, зарегистрированный на платформе выявления уязвимостей в обьектах информатизации.
Владелец критически важных обьектов информацинно-коммуникационной инфраструктуры обязан приобретать услуги Платформы выявления уязвимостей в соответствие с законодательством Республики Казахстан
Далнейшие планы
Работы по платформе на самом деле много и мы получаем большое количество "хотелок" от наших клиентов. Уже на днях реализуется интеграция с Jira, в скором времени будет возможность выбирать отдельных багхантеров под ваш проект, но основное, на чем мы сейчас фокусируемся - это On-premise решение.
On-premise платформа
В данный момент мы пилотириуем подобное решение в Республике Кыргызстан, но уже есть большая потребность и от других наших клиентов по всему СНГ.
Возможность разворачивания on-premise платформы отдельно у себя дает:
Единая авторизация для исследователей по всему миру через tumar.one
Получение доступа ко всей сети исследователей
Модерирование собственных отчетов и хранение этих отчетов на своих базах данных
Платформа находится на серверах Заказчика
Заключение
Наличие BugBounty программы - дефакто стандарт сейчас для любого крупного проекта и является экономически эффективным решением, а также служит мостом между этичными хакерами и компаниями/государством.
Спасибо за внимание и будем рады видеть вас на нашей платформе =)
