В данном посте мы расскажем как запустили пилот национальной BugBounty платформы в Казахстане, как из этого родился полноценный международный стартап и почему мы считаем это одной из самых успешных инициатив в области кибербезопасности в Казахстане. 


Что такое BugBounty

Программа Bug Bounty — это программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей. Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая злоупотребления. В частности, программы Bug Bounty были реализованы компаниями Facebook, Yahoo!, Google, Reddit, Apple и Microsoft.

История

В конце 2020 года Комитет информационной безопасности Министерства цифрового развития Республики Казахстан в рамках проведения киберучении в стране, предложил нам организовать возможность независимым исследователям по кибербезопасности найти и сдать уязвимости в информационных системах государственных органов. В рамках этой инициативы мы предложили собственную платформу Tumar.One .

Если честно, наши ожидания были очень скромные. Мы ожидали получение всего лишь пару десятков уязвимостей и участие не более 100 зарегистрированных багхантеров.

Спустя год пилотирования данной программы на всю страну мы сейчас имеем порядка 1200 независимых исследователей со всего мира, и сдано более 1000 уязвимостей.

Сформировался уже Leaderboard багхантеров, который обновляется каждый сезон.

После пилотирования данной программы с государством к нам начало приходить очень много коммерческих клиентов. Платформа органически выросла из чисто казахстанской платформы в отдельный стартап, который прошел в мировую акселерационную программу Plug and Play.

Расскажем несколько кейсов, которые были выявлены в рамках пилотирования национальной платформы, чтобы показать результаты и почему для государства это является одной из важнейших инициатив.

Самые распространенные уязвимости связаны были с IDOR, default credentials (учетные данные по умолчанию) и sensitive data exposure (раскрытие конфиденциальных данных).

Кейс 1: Доступ к системе управления водоснабжения г. Нур-Султан

Один из любимых наших кейсов и, наверное, один из самых критичных. Багхантер изучал пару недель документы столичного акимата (мэрия) и в одних из документах нашел упоминание системы управления водоснабжением города и адрес системы, что дало ему возможность получить доступ к административной панели управления. 

К удивлению багхантера логин и пароль оказались: admin:admin.

Кейс 2: Доступ к КПП обьекту силовых органов

Багхантер смог получить доступ к панели администратора, используя имя пользователя и пароль по умолчанию: admin:admin.

В результате багхантер смог получить доступ к конфигурации и базе данных Face Server, которая содержала более 5000 записей и включала в себя: личные фотографии лиц, имена сотрудников итд. Также доступ к панели может быть использовано для получения физического доступа к охраняему обьекту, добавив поддельные данные в систему.

Кейс 3: Утечка медицинских данных 7 млн граждан

Один из исследователей, получив ПЦР справку, обнаружил IDOR в системе, позволяющую получить доступ к медицинским справкам (Анализ крови, пцр тесты, ВИЧ-анализы, ЗППП-анализы итд) 7 миллионов граждан. Уязвимость была оперативно устранена в течение 1-2 дней владельцем системы.

Кейс 4: Онлайн перепись населения

В прошлом году в Республике Казахстан была запущена платформа онлайн переписи населения. После запуска в течение пары часов багхантеры зарепортили уязвимость, позволяющую получить доступ в личный кабинет гражданина и, следовательно, изменить его данные.

Кейс 5: Уязвимость Mail.Kz - портал электронной почты

Специалистом @ptswarm Игорем Сак-Саковским была выявлена критическая XSS уязвимость на национальном портале электронного сервиса «Mail.kz», приводящая к полной компрометации почты пользователей почтового сервиса и возможность захвата аккаунта сервисов, которые используют данную почту для авторизации.

Одним из способов эксплуатации уязвимости является компрометация всех почтовых сообщений, к тому же он дает возможность отправлять сообщения от имени жертвы-пользователя.

Используя эту уязвимость, злоумышленник может перехватить конфиденциальные рабочие переписки жертвы, содержащие критическую информацию.

Кейс 6: Электронное правительство Республики Казахстан

Порядка 60 уязвимостей Электронного правительства, включая две XXE уязвимости, оперативно были устранены работниками Электронного правительства.

Министр цифрового развития РК поздравляет одного из багхантеров и вручает благодарственные письма ТОП10 багхантерам в айти баре.
Министр цифрового развития РК поздравляет одного из багхантеров и вручает благодарственные письма ТОП10 багхантерам в айти баре.

Кейс 7: Банки второго уровня

В рамках меморандума с Национальным Банком РК, были проведены работы по выявлению и анализу уязвимостей на веб-ресурсах банков второго уровня

На фото Даурен Молдахметов (директор департамента ИБ Национального банка Республики Казахстан) награждает багхантеров от лица Нацбанка.
На фото Даурен Молдахметов (директор департамента ИБ Национального банка Республики Казахстан) награждает багхантеров от лица Нацбанка.

По итогу пилотирования, исследователями сдано было около 1000 уязвимостей в государственных информационных систем Казахстана, что подтверждает, что это была одна из самых успешных инициатив для национальной безопасности страны. 

На данный момент на платформе для багхантеров есть возможность сдачи уязвимостей:
  • Электронное правительство Республики Казахстан, Холдинг Зерде

  • Финансовый сектор: Национальный банк РК, Банк развития Казахстана, Kaspi, Банки второго уровня  Республики Казахстан и Республики Кыргызстан

  • Обьединенная компания Колеса, Крыша, Маркет

  • Интернет Компания PS

  • WebTotem - система мониторинга и защиты веб-ресурсов

  • и др

4 марта 2022 года договорились о сотрудничестве с Лабораторией Касперского и ГКНБ Кыргызстана в запуске программы по выявлению уязвимостей в Республике Кыргызстан. Ожидается в ближайшее время подключение банков второго уровня к данной платформе.

Финансы

За все время выплачено уже порядка 100 000 долларов багхантерам со всего мира. Это не так много, но нужно учитывать, что это первый опыт в СНГ по запуску такой платформы. До конца 2023 года на выплаты уже выделено 700 000 долларов. В процессе подключения порядка 400 систем.

Выплаты организовываются как зарубежным багхантерам, так и российским.

Проблемы

Однако запуск платформы не самая легкая задача. Со времени запуска мы столкнулись со следующим рядом проблем в виде:

  • Шантажирование одним из исследователей нашего клиента после сдачи уязвимости на платформе. 

  • Долгое реагирование со стороны госорганов и исправление уязвимостей. Иногда это занимало до 3 месяцев.

  • Недобросовестность со стороны некоторых компании в части продажи одному из госорганов Республики Казахстан несуществующей багбаунти площадки.

Законодательство

Работа данной платформы неограничена только выявлением уязвимостей. Мы работаем над введением платформы в законодательство РК.

В закон Республики Казахстан "Об информатизации" вводятся такие положения, как:

  • Центр выявления уязвимостей в обьектах информатизации - лицо, осуществляющее деятельность по координации зарегистрированных исследователей информационной безопасности на платформе выявления уязвимостей в обьектах информатизации, а также по отправлению уведомлений об устранение уязвимостей владельцам информационных системах.

  • Исследователь информационной безопасности - независимый специалист в сфере информационно-коммуникационных технологий, зарегистрированный на платформе выявления уязвимостей в обьектах информатизации.

  • Владелец критически важных обьектов информацинно-коммуникационной инфраструктуры обязан приобретать услуги Платформы выявления уязвимостей в соответствие с законодательством Республики Казахстан

Дальнейшие планы

Работы по платформе на самом деле много и мы получаем большое количество "хотелок" от наших клиентов. Уже на днях реализуется интеграция с Jira, в скором времени будет возможность выбирать отдельных багхантеров под ваш проект, но основное, на чем мы сейчас фокусируемся - это On-premise решение.

On-premise платформа

В данный момент мы пилотириуем подобное решение в Республике Кыргызстан, но уже есть большая потребность и от других наших клиентов по всему СНГ.

Возможность разворачивания on-premise платформы отдельно у себя дает:

  • Единая авторизация для исследователей по всему миру через tumar.one;

  • Получение доступа ко всей сети исследователей;

  • Модерирование собственных отчетов и хранение этих отчетов на своих базах данных;

  • Платформа находится на серверах Заказчика.

Заключение

Наличие BugBounty программы - дефакто стандарт сейчас для любого крупного проекта и является экономически эффективным решением, а также служит мостом между этичными хакерами и компаниями/государством.

Спасибо за внимание и будем рады видеть вас на нашей платформе =)

Комментарии (0)