Не/безпека Zoom і чому я продовжую ним користуватися

Якщо ви ділите програмне забезпечення на безпечне та небезпечне, це означає що ви маєте дуже умовне поняття про безпеку програмного забезпечення. Вибачте, що розчаровую, але це так. Хороша новина в тому, що в певному віці так роблять усі, включно з автором цих рядків. Але в більшості це проходить, а в декого ні.

Все ПЗ вразливе, крапка. Бережа робить понад 50 проектів на рік, десь 40 із них пов’язані з перевіркою безпеки софта. Поодинокі 1-2 проекти завершуються дуже скромними рекомендаціями типу «тут підфарбувати» і «і тут поправить». Решта – мають у звіті досить серйозні зауваження. А деякі вразливості ми повідомляємо одразу, щойно їх знайдено. Тому що відкладати це до початку формування звіту чи навіть до завтра – тупо страшно. І ці вразливості виправляються ще до завершення проекту – з аналогічних міркувань. А ви потім цим софтом користуєтесь.

Безпека софта полягає не в тому, чи є в ньому вразливості. А в тому, як (і з якою швидкістю) з цими вразливостями чинить розробник. І тут справа навіть не в процесах та практиках (хоча за це мене зараз будуть сварити колеги по OWASP), а в рівні культури безпеки. І в цього рівня є очевидні індикатори.

Якщо розробник вразливості сам не шукає, перед іншими заперечує, виправляє повільно та ще й погрожує хакерам – його культура на умовному нулі або нижче. Якщо розробник регулярно робить оцінку захищеності чи хоча б пентест, самостійно тестує безпеку та відкритий до повідомлень про його вразливості, що надходять ззовні – його рівень культури значно вище середнього. Якщо ж розробник навчає безпечній розробці свою команду, має Application Security функцію, приділяє увагу розвитку відповідних навичок персоналу та ще й впроваджує та виконує практики з OWASP SAMM – його рівень десь за хмарами. А рекомендації у звіті про пентест будуть дуже стриманими.

Але все ПЗ вразливе, і колись у його коді (або в коді якоїсь його залежності) знайдуть надстрашну багу. І піонери від безпеки будуть носитися з нею та звинувачувати розробника в тому, що його продукт «небезпечний». А люди з досвідом будуть намагатися пояснити, в чому піонери помиляються, але марно.

А помилка насправді проста: якщо чиясь безпека залежить від вразливостей в окремому програмному забезпеченні, то хтось очевидно зробив свою роботу дуже погано. Взагалі, якщо безпека сконцентрована в якомусь одному місці – хтось десь налажав. Можливо, це відбулося в наслідок того, що я називаю «фаєрвольною ментальністю» – коли спеціаліст скеровується морально застарілою парадигмою «зон та периметру». А можливо, це й не спеціаліст, просто коли він повторює гасла за журналістами кібербезпекових онлайн-таблоїдів, скрадається таке враження.

Мінімальних навичок з моделювання загроз достатньо, щоб навчитися довіряти важливі для вас речі лише перевіреним та надійним інструментам. Плавно переходячи до конкретики – Zoom до цього кола не входить. Не може система, яка дозволяє одночасно спілкуватися вдесятьох та записувати відео в хмару, бути надійним засобом для передачі надконфіденційних даних. Будь-яка мінімально обізнана в безпечній системній архітектурі людина вам це підтвердить. І ніхто з експертів вам ніколи не рекомендував Zoom для передачі конфіденційних даних: я перевірив. «Але ж маркетологи сказали що в них наскрізне шифрування…» Та вгамуйтеся вже з тими маркетологами! Вам Паша Дуров вже казав, що Телеграм безпечний. Що ще кому не ясно?

Залишайтеся вдома та сидіть в безпеці.

Залишити коментар