Белые хакеры проверили систему ДЭГ на прочность

Директор Центра кибербезопасности и защиты компании "Ростелеком" Владимир Шадрин рассказал ComNews о проекте "Охота за уязвимостями на ДЭГ-2021", а также об этапах проверки и подготовки информационной безопасности системы дистанционного электронного голосования (ДЭГ).

Расскажите подробнее о проекте "Охота за уязвимостями на ДЭГ-2021": кто принимал участие, нужны ли были специальные навыки, чтобы стать участником?

- "Охота за уязвимостями" (или, по-английски, bug hunting) – это хорошо известный на рынке инструмент, по сути – хакатон, позволяющий привлечь профессиональное сообщество к тестированию безопасности той или иной информационной системы. Чем больше профессионалов с рынка информационной безопасности (ИБ) будет искать в системе уязвимости, тем больше гарантий, что для настоящих злоумышленников все лазейки будут закрыты. Таких специалистов принято называть "белыми хакерами" - они работают на стороне владельца системы и помогают обеспечить защиту от злоумышленников – тех, кого в простонародье называют хакерами.

К практике открытого тестирования на защищенность прибегают и частные компании, и государственные структуры. Например, Mail.Ru Group недавно сообщила, что суммарный объем вознаграждений, которые она с 2014 года выплатила по программе поиска уязвимостей на международной платформе HackerOne, превысил $2 млн (см. новость ComNews от 9 июля 2021 г.). Схожий подход практикует и "Яндекс".

Использование механизма "охоты за уязвимостями" заложило и Правительство России: например, в плане мероприятий по информационной безопасности нацпрограммы "Цифровая экономика РФ", который был утвержден в декабре 2018 года, на денежные премии и призы за найденные уязвимости по плану отводилось 500 млн руб. из бюджета и 300 млн руб. – из внебюджетных источников.

К разработанной "Ростелекомом" по заказу ЦИК России и Минцифры России федеральной системе ДЭГ предъявляются особые, повышенные требования с точки зрения информационной безопасности. Поэтому для того, чтобы иметь уверенность в ее защищенности, было решено также прибегнуть к этому проверенному механизму. Мы сделали проект "Охота за уязвимостями на ДЭГ-2021" максимально открытым, пригласив абсолютно всех, кто чувствует в себе силы для участия. Единственное, что требовалось для участия в конкурсе, в том числе для получения доступа к тестовым бюллетеням, авторизованной и анонимной зоне портала голосования vybory.gov.ru, - подтвержденная учетная запись на портале Госуслуг и предварительная регистрация, которая проводилась до 17:00 4 сентября 2021 г. Без регистрации в Единой системе идентификации и аутентификации (ЕСИА) участник хакатона не смог бы пройти авторизацию в системе ДЭГ.

На участие в проекте "Охота за уязвимостями на ДЭГ-2021" заявилось 143 исследователя, от которых мы получили 41 отчет. Все отчеты мы внимательно рассмотрели на экспертной комиссии: изучали, где именно была найдена уязвимость, применима она или нет, а также степень критичности для системы. Несколько отчетов не соответствовали правилам хакатона. На рассмотрение всех отчетов, почти в круглосуточном режиме, ушло полтора дня. Я расцениваю "Охоту за уязвимостями на ДЭГ-2021" как очень важный опыт и элемент в тестировании защищенности федеральной системы дистанционного электронного голосования, который мы будем развивать и далее.

В анонсе проекта было сказано: "Найдите уязвимость в системе электронного голосования, и когда она будет устранена, ваше имя появится в "Зале славы". Что это за зал и где он находится?

- "Зал славы" — это один из разделов портала конкурса, где мы публикуем информацию обо всех призерах нашего проекта. Те исследователи, которые нашли уязвимости (а мы со своей стороны их подтвердили), найдут там свои имена. У "белых хакеров" бывает разная мотивация. Для многих из них важны деньги, которые они зарабатывают на этом. Но для весьма немалого количества исследователей не менее важен профессиональный и карьерный рост, а значит – репутация. Чтобы ее подтвердить, они могут ссылаться на такие "залы славы".

Как именно ведется поиск уязвимостей – есть ли тут стандартные подходы и специализация "багхантеров"?

- Все зависит от постановки задачи. Если публикуется какой-то исходный код или его часть для поиска уязвимости, то в этом случае приходят те люди, которые понимают в разработке: как должна быть реализована бизнес-логика той функции, которая выложена в исходном коде, и как может быть найдена уязвимость в коде, как обрабатываются те или иные функции, какие параметры передаются функциям и как они валидируются. Это люди одной специализации.

Если для поиска уязвимостей публикуется мобильное приложение, то это уже люди другой специализации: они должны разбираться в особенностях взаимодействия приложений с конкретной мобильной операционной системой, а также API серверного бэкенда, используемого приложением. Они смотрят, каким образом, воздействуя на мобильное приложение, можно получить несанкционированный доступ к информации на серверной стороне или на самом мобильном устройстве.

Аналогично, специализированные навыки и умения есть и у специалистов по анализу защищенности веб-порталов или инфраструктуры системы в целом.

По каждому из направлений анализа защищенности есть общепринятые методологии, но они зачастую не учитывают заложенную в систему логику работы. В таком случае программа "охоты за уязвимостями" позволяет как раз отойти от принятых методологий и учесть индивидуальный опыт и интуицию каждого исследователя.

При этом важно понимать, что есть явные ограничения, которые запрещают багхантерам исследовать уязвимости вне заявленного скоупа программы и эксплуатировать их для того, чтобы проникнуть внутрь инфраструктуры. Это существенное отличие "белых хакеров" от злоумышленников. Люди, которые приходят, прекрасно понимают, что исследования должны проходить в рамках правового поля.

Сколько "ахиллесовых пят" было обнаружено в ходе проекта "Охота за уязвимостями на ДЭГ-2021"?

- Из сорока с лишним отчетов, которые мы получили, 35 содержали информацию либо не об уязвимостях, либо об уязвимостях, но в других системах. При детальном рассмотрении оставшихся мы отобрали два отчета с двумя условными уязвимостями, устранение которых позволит дополнить картину защищенности. Критических и среднего уровня уязвимостей найдено не было, поэтому победителей как таковых определить было сложно. Мы объявили в качестве победителей авторов двух названных отчетов, рекомендации из которых мы взяли в работу.

Какие требования предъявлены к защищенности системы ДЭГ? Как они выполняются?

- К любой системе защиты информационной системы требования могут предъявляться с двух сторон. С одной стороны – требования регуляторов в области информационной безопасности, которые обязательны для выполнения: в данном случае это и ФСТЭК России, и ФСБ. А второй – это лучшие мировые практики, которые существуют. Поэтому требования к системе ДЭГ на сегодняшний день самые высокие. Все предпринимаемые комплексные меры предусматривают, что это система особой важности. Программа охоты за уязвимостями как раз и была реализована для того, чтобы подтвердить, что мы находимся на правильном пути, что мы сделали все, что могли.

Помимо использования всевозможных механизмов безопасности и средств защиты, мы поставили всю инфраструктуру ДЭГ на мониторинг информационной безопасности в SOC (security operation center) "Ростелекома". Это позволяет нам видеть все, что происходит в инфраструктуре ДЭГ, и предупреждать возможные действия злоумышленников. Мы проводили внутренние учения – чтобы быть абсолютно уверенными в том, что мы сразу увидим, если в нашей системе появятся нарушители. Помимо хакатонов, двумя независимыми командами (одна команда наша, вторая – команда "Ростелеком-Солар") проводятся работы по анализу защищенности, когда мы сами ищем все возможные уязвимости как снаружи, так и внутри, и их устраняем.

Какие этапы проверки и подготовки инфобезопасности прошла система ДЭГ?

- Помимо базовой части – создания системы ДЭГ по госконтракту, интересна, в том числе, неформальная часть, когда мы при реализации технического задания на систему инфобезопасности ДЭГ составили еще наш внутренний план – что необходимо сделать сверх контрактного объема задач для того, чтобы максимально обезопасить систему. В этот план входят и мероприятия по обеспечению безопасности смежных систем, в частности, система ЕСИА и Единый портал государственных услуг и функций (ЕПГУ). Все прекрасно понимают, что в ДЭГ люди попадают через ЕСИА, которая является первичным сервисом авторизации. Мы уделили пристальное внимание повышению уровня ИБ для системы ЕСИА, которая входит в состав Электронного Правительства. Результатом всех активностей стала выдача аттестатов ФСТЭК России на соответствие требованиям безопасности информации.

Отдельно хочу добавить, что совсем недавно от сильной DDoS-атаки пострадал "Яндекс". Специалисты на рынке считают, что это была одна из самых крупных DDoS-атак за всю историю Интернета. При подготовке к выборам наша команда исходит из самого пессимистичного сценария, в связи с чем была выдвинута гипотеза, что указанная атака, теоретически, могла быть проверкой возможностей и одной из последующих целей может быть нарушение доступности запланированного дистанционного голосования. В этой связи мы готовим дополнительные мероприятия, которые позволят снизить риск нарушения доступности в ходе онлайн-голосования 17-19 сентября.

Как будет выглядеть защита ДЭГ непосредственно в те трое суток, когда люди будут голосовать?

- "Ростелеком" создал Оперативный штаб для отслеживания хода мероприятия и принятия максимально оперативных решений по нивелированию атак и инцидентов. В том числе, предполагается плотное взаимодействие оперативного штаба с ФСТЭК и ФСБ, с Департаментом информационных технологий г. Москвы, с Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации.

Внутри "Ростелекома" мы на три дня голосования выводим усиленную смену специалистов в сфере информационной безопасности по схеме 24/7. Во время мероприятия, за день до и в день после, смена будет усилена в два раза.

События информационной безопасности в круглосуточном режиме, в том числе и ночью, отслеживают несколько наших выделенных высокопрофессиональных сотрудников. В случае инцидента, независимо от уровня его критичности, отработана маршрутная карта взаимодействия от дежурных и до профильных экспертов, позволяющая максимально оперативно разобраться и устранить инцидент.