Tumar.One — первая полноценно работающая BugBounty площадка в СНГ

В данном посте мы расскажем как запустили пилот национальной BugBounty платформы в Казахстане как из этого родился полноценный международный стартап.

Tumar.One — первая полноценно работающая BugBounty площадка в СНГ

Программа Bug Bounty — это программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей. Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая злоупотребления. В частности, программы Bug Bounty были реализованы компаниями Facebook, Yahoo!, Google, Reddit, Apple и Microsoft.

История

В конце 2020 года Комитет информационной безопасности Министерства цифрового развития Республики Казахстан в рамках проведения киберучении в стране, предложил нам организовать возможность независимым исследователям по кибербезопасности найти и сдать уязвимости в информационных системах государственных органов. В рамках этой инициативы мы (TSARKA - лидер в области кибербезопасности в Центральной Азии) предложили собственную платформу Tumar.One .

Если честно, наши ожидания были очень скромные. Мы ожидали получение всего лишь пару десятков уязвимостей и участие не более 100 зарегистрированных багхантеров.

Спустя год пилотирования данной программы на всю страну мы сейчас имеем порядка 1200 независимых исследователей со всего мира, и сдано более 1000 уязвимостей.

Сформировался уже Leaderboard багхантеров, который обновляется каждый сезон.

Tumar.One — первая полноценно работающая BugBounty площадка в СНГ

После пилотирования данной программы с государством к нам начало приходить очень много коммерческих клиентов. Платформа органически выросла из чисто казахстанской платформы в отдельный стартап, который прошел в мировую акселерационную программу Plug and Play.

Расскажем несколько кейсов, которые были выявлены в рамках пилотирования национальной платформы, чтобы показать результаты и почему для государства это является одной из важнейших инициатив.

Самые распространенные уязвимости связаны были с IDOR, default credentials (учетные данные по умолчанию) и sensitive data exposure (раскрытие конфиденциальных данных).

Кейс 1: Доступ к системе управления системой водоснабжения г. Нур-Султан

Один из любимых наших кейсов и, наверное, один из самых критичных. Багхантер изучал пару недель документы столичного акимата (мэрия) и в одних из документах нашел упоминание системы управления водоснабжением города и адрес системы, что дало ему возможность получить доступ к административной панели управления.

Tumar.One — первая полноценно работающая BugBounty площадка в СНГ

К удивлению багхантера логин и пароль оказались: admin:admin .

Кейс 2: Доступ к КПП обьекту силовых органов

Багхантер смог получить доступ к панели администратора, используя имя пользователя и пароль по умолчанию: admin:admin

Tumar.One — первая полноценно работающая BugBounty площадка в СНГ

В результате багхантер смог получить доступ к конфигурации и базе данных Face Server, которая содержала более 5000 записей и включала в себя: личные фотографии лиц, имена сотрудников итд. Также доступ к панели может быть использовано для получения физического доступа к охраняему обьекту, добавив поддельные данные в систему.

Кейс 3: Утечка медицинских данных 7 млн граждан

Один из исследователей, получив ПЦР справку, обнаружил IDOR в системе, позволяющую получить доступ к медицинским справкам (Анализ крови, пцр тесты, ВИЧ-анализы, ЗППП-анализы итд) 7 миллионов граждан. Уязвимость была оперативно устранена в течение 1-2 дней владельцем системы.

Tumar.One — первая полноценно работающая BugBounty площадка в СНГ

Кейс 4: Онлайн перепись населения

В прошлом году в Республике Казахстан была запущена платформа онлайн переписи населения. После запуска в течение пары часов багхантеры зарепортили уязвимость, позволяющую получить доступ в личный кабинет гражданина и, следовательно, изменить его данные.

Tumar.One — первая полноценно работающая BugBounty площадка в СНГ

Кейс 5: Уязвимость Mail.Kz - портал электронной почты

Специалистом @ptswarm Игорем Сак-Саковским была выявлена критическая XSS уязвимость на национальном портале электронного сервиса «Mail.kz», приводящая к полной компрометации почты пользователей почтового сервиса и возможность захвата аккаунта сервисов, которые используют данную почту для авторизации.

Одним из способов эксплуатации уязвимости является компрометация всех почтовых сообщений, к тому же он дает возможность отправлять сообщения от имени жертвы-пользователя.

Используя эту уязвимость, злоумышленник может перехватить конфиденциальные рабочие переписки жертвы, содержащие критическую информацию.

Кейс 6: Электронное правительство Республики Казахстан

Порядка 60 уязвимостей Электронного правительства, включая две XXE уязвимости, оперативно были устранены работниками Электронного правительства.

<p>Министр цифрового развития РК поздравляет одного из багхантеров и вручает благодарственные письма ТОП10 багхантерам в айти баре.</p>

Министр цифрового развития РК поздравляет одного из багхантеров и вручает благодарственные письма ТОП10 багхантерам в айти баре.

Кейс 7: Банки второго уровня

В рамках меморандума с Национальным Банком РК, были проведены работы по выявлению и анализу уязвимостей на веб-ресурсах банков второго уровня

<p>На фото Даурен Молдахметов (директор департамента ИБ Национального банка Республики Казахстан) награждает багхантеров от лица Нацбанка.</p>

На фото Даурен Молдахметов (директор департамента ИБ Национального банка Республики Казахстан) награждает багхантеров от лица Нацбанка.

По итогу пилотирования, исследователями сдано было около 1000 уязвимостей в государственных информационных систем Казахстана, что подтверждает, что это была одна из самых успешных инициатив для национальной безопасности страны.

На данный момент клиентами платформы являются:

  • Электронное правительство Республики Казахстан, Холдинг Зерде

  • Финансовый сектор: Национальный банк РК, Банк развития Казахстана, Kaspi, Банки второго уровня Республики Казахстан и Республики Кыргызстан

  • Обьединенная компания Колеса, Крыша, Маркет

  • Интернет Компания PS

  • WebTotem - система мониторинга и защиты веб-ресурсов

  • и др
Tumar.One — первая полноценно работающая BugBounty площадка в СНГ

4 марта 2022 года договорились о сотрудничестве с Лабораторией Касперского и ГКНБ Кыргызстана в запуске программы по выявлению уязвимостей в Республике Кыргызстан. Ожидается в ближайшее время подключение банков второго уровня к данной платформе.

Финансы

За все время выплачено уже порядка 100 000 долларов. Это не так много, но нужно учитывать, что это первый опыт в СНГ по запуску такой платформы. До конца 2023 года на выплаты выделено 700 000 долларов. В процессе подключения порядка 400 систем.

Выплаты организовываются как зарубежным багхантерам, так и российским.

Проблемы

Однако запуск платформы не самая легкая задача. Со времени запуска мы столкнулись со следующим рядом проблем в виде:

- Шантажирование одним из исследователей нашего клиента после сдачи уязвимости на платформе.

- Долгое реагирование со стороны госорганов и исправление уязвимостей. Иногда это занимало до 3 месяцев.

- Недобросовестность со стороны некоторых компании в части продажи одному из госорганов Республики Казахстан несуществующей багбаунти площадки.

Законодательство

Работа данной платформы неограничена только выявлением уязвимостей. Мы работаем над введением платформы в законодательство РК.

В закон Республики Казахстан "Об информатизации" вводятся такие положения, как:

  • Центр выявления уязвимостей в обьектах информатизации - лицо, осуществляющее деятельность по координации зарегистрированных исследователей информационной безопасности на платформе выявления уязвимостей в обьектах информатизации, а также по отправлению уведомлений об устранение уязвимостей владельцам информационных системах.

  • Исследователь информационной безопасности - независимый специалист в сфере информационно-коммуникационных технологий, зарегистрированный на платформе выявления уязвимостей в обьектах информатизации.

  • Владелец критически важных обьектов информацинно-коммуникационной инфраструктуры обязан приобретать услуги Платформы выявления уязвимостей в соответствие с законодательством Республики Казахстан

Планы

Работы по платформе на самом деле много и мы получаем большое количество "хотелок" от наших клиентов. Уже на днях реализуется интеграция с Jira, в скором времени будет возможность выбирать отдельных багхантеров под ваш проект, но основное, на чем мы сейчас фокусируемся - это On-premise решение.

On-premise платформа

В данный момент мы пилотириуем подобное решение в Республике Кыргызстан, но уже есть большая потребность и от других наших клиентов по всему СНГ.

Возможность разворачивания on-premise платформы отдельно у себя дает:

  • Единая авторизация для исследователей по всему миру через tumar.one

  • Получение доступа ко всей сети исследователей

  • Модерирование собственных отчетов и хранение этих отчетов на своих базах данных

  • Платформа находится на серверах Заказчика

Заключение

Наличие BugBounty программы - дефакто стандарт сейчас для любого крупного проекта и является экономически эффективным решением, а также служит мостом между этичными хакерами и компаниями/государством.

Спасибо за внимание и будем рады видеть вас на нашей платформе =)

55
2 комментария

В первом кейсе текст повторяется)

моя ошибка, при копировании абзацев мискликнул =) Спасибо!

1