Про безпеку додатку ДіЯ

Ще раз про безпеку додатку ДіЯ та про додатки здорової людини. Приклад «як має бути»: швейцарський ProtonVPN.

Більше місяця тому мінцифри релізнуло свій додаток ДіЯ, розроблений безкоштовно відомою ІТ-компанією.

Чому те творіння не можна вважати безпечним я вже детально розказав тут.

Але «як повинно бути у світі додатків розумних кваліфікованих людей» показала швейцарська компанія Proton Technologies AG, найбільш відома шифрованою безкоштовною веб-поштою ProtonMail та VPN-сервісом ProtonVPN (найдешевша опція – безкоштовна).

Окрім наскрізного шифрування у своїх продуктах, перевагою компанії є її швейцарська юрисдикція, у якій правоохоронцям та спецслужбам будь-яких країн максимально складно отримати будь-яку інформацію стосовно користувачів (навіть всесильним американцям). Мабуть, від Китаю отримати щось взагалі неможливо, але це трохи інша історія.

Так от, Proton Technologies AG опублікувала вихідний код своїх продуктів, щоб кожен бажаючий міг його переглянути і поколупатися в ньому на предмет виявлення потенційних вразливостей, глянути як реалізовано шифрування, як обробляються персональні дані. А також переконатися, що код дійсно робить саме те, що заявлено. І не отримує несанкціонованого доступу до мікрофону, камери чи приватних фоточок.

Більше того, швейцарці замовили зовнішній незалежний(!) аудит безпеки свого продукту ProtonVPN: для Android, iOS, macOS та Windows. Слова «зовнішній незалежний» означають, що тестували на безпеку не самі розробники, а геть інші люди, ніяк з ними не пов’язані. Для уникнення конфлікту інтересів.
Само собою, аудит проводився задовго до релізу. Тобто, усе як має бути у нормальних людей.
Коротке резюме: аудит не виявив критичних або суттєвих проблем з безпекою.
Власне, і цього б було б достатньо для гучної заяви та переконання користувачів у безпечності додатку.
Але чесні та відважні швейцарці пішли ще далі.
Вони опублікували усі чотири звіті. Звісно, з вказанням назви компанії, яка проводила аудит. Читайте, фахівці, вивчайте, перевіряйте, на здоров’я. Цікавтеся кваліфікацією та діловою репутацією незалежного аудитора.
Оце є найвищим рівнем довіри до продукту і довіри користувачів до додатків зокрема.
https://tinyurl.com/vpvdpwy

І як на цьому фоні виглядає ДіЯ?

Приблизно як іржавий Ланос на фоні новенького блискучого Mercedes S-class.
Вихідний коди не відкрито. Зовнішній аудит не проводився. Чи проводився «внутрішній» аудит від розробника (EPAM Ukraine) – хтозна. У розробника є непогана команда пентестерів, але як і у якому обсязі і наскільки глибоко проводилися тестування та аудит – питання відкрите. І якщо усе те проводилося належним чином – чи були виправлені знайдені вразливості перед релізом? І чи були повторні тестування після виправлення виявлених вразливостей і чи знов їх пофіксили і наскільки якісно – усі відповіді лежать у глибокій щільній темряві.
Але чи є у ДіЯ хоча б вітчизняний атестат відповідності КСЗІ (комплексна система захисту інформації – вкрай неефективний набір базових застарілих вимог до кібербезпеки)?
Відповідь - ні.
Немає навіть такого суто формального папірця. При тому, що Держспецзв’язку, яке видає такі папірці, знаходиться у прямому підпорядкуванні міністра-SMMщика Мишка Федорова, який так пишається своїм додатком та разом зі своєю мінцифрою активно напарює його українцям. Повелися вже більше півтора мільйона, до речі.

Можливо, схиблені дилетанти з Мінцифри є прихильниками принципу security through obscurity (безпека через невідомість)?
Не певен, що вони хоча б чули такі слова, але саме для таких, як вони, Proton написав чудове пояснення:
In contrast, proprietary code relies on “security through obscurity,” meaning vulnerabilities are less likely to be discovered. Or worse, these vulnerabilities may be only known to malicious actors who exploit them secretly without users being aware.
“На контрасті, пропрієтарний код покладається на принцип “безпека через невідомість”, коли мається на увазі менша вірогідність виявлення (проблем). Або ще гірше, ті вразливості можуть бути відомими злочинцям, які таємно експлуатують їх, в той час, коли звичайні користувачі не знають про них» (disclaimer: переклад не дослівний, просто щоб зрозуміти суть).

Ось така різниця між світом відповідальних та високо-професійних підходів та SMM-задзеркаллям мінцифри.
Якби я поставив ті ж 5 запитань швейцарцям (які раніше поставив розробникам ДіЯ) – вони б блискуче відповіли на шість. І тоді можна було б сміливо рекомендувати українцям користуватися додатком ДіЯ.
Але ніт. Питання залишилися без відповідей, і не схоже, що хтось збирається на них відповідати.

Висновки кожен робить сам для себе. І приймає відповідні ризики. Або не приймає.
Чи взагалі не бачить ніяких ризиків і вірить на слово жижиталізаторам: «не бійтеся пацани, все безпечно».