Аудит российского ПО

[s.zelenyuk]

Как известно, существует реестр программ, разрабатываемых в замену иностранным вариантам для использования в государственных учреждениях. Возникает вопрос, насколько безопасен этот софт в плане уязвимостей. Я осмотрел поверхностно несколько программ, и в каждом втором случае обнаружились ошибки то в правах на объекты, то в драйверах, не проверяющих IOCTL. Не приходится говорить о том, сколько потенциальных уязвимостей можно найти, если углубиться в бинарники.

Из этого можно сделать предположение, что с учётом безопасности ведётся разработка разве что тех программ, которые у всех на слуху, например, антивирусов. Тем временем, в реестре 2602 записи, и хотя около 90% софта, если не больше, недоступно для скачивания, что-то найти можно. Очевидно, что ПО само по себе или по указу свыше безопасным не станет, и нужны прецеденты, которые могут быть двух видов: либо уязвимости ищутся и сообщаются разработчику в рамках закона, либо тёмные личности находят их первыми и эксплуатируют, пока об этом не станет известно общественности. Мы идём первым путём.

Теперь к самой идее. Время одиночек уходит в прошлое, софт слишком сложен, чтобы несколько найденных уязвимостей в рамках bug bounty на что-то повлияли. Я вижу разумным организацию группы людей, объединённых целью усовершенствования безопасности отечественного ПО, без какой-либо материальной выгоды, следующих закону и профессиональной этике. Несколько ключевых пунктов:

• исследуется только российское ПО из реестра;
• уязвимости разглашаются по принципу responsible disclosure;
• информация о найденных уязвимостях выкладывается на отдельном ресурсе, схожем с NVD или ФСТЭК БДУ;
• каждый участник вправе сохранять анонимность;
• группа или её участники не получают оплату за найденные уязвимости.

Правила и сайт будут разработаны позднее.

На данный момент хотелось бы услышать ваши вопросы, предложения, критику идеи или отдельных моментов. Контакты:
Tox ID: 0F90C4EF7582AFCA770D0FEE28CBB28B568C66B7B505D250B4 7FCC510A7EC3535400C3AD8254 (удалите пробел)

[Darwin]

объединённых целью усовершенствования безопасности отечественного ПО

Очень слаба цель, без мат. поддержки. ИМХО

Правила и сайт будут разработаны позднее.

Причем основная выгода (от пиара) идет разработчику будущего сайта.

[s.zelenyuk]

Очень слаба цель, без мат. поддержки. ИМХО

Ищутся энтузиасты, готовые попробовать копнуть непаханое поле, ибо пока даже неизвестно, как корпорации будут реагировать на сообщения об уязвимостях и, в особенности, на раскрытие деталей в случае игнорирования.

Причем основная выгода (от пиара) идет разработчику будущего сайта.

Повторюсь, нет никакой цели получать выгоду. На первых порах можно использовать данный форум, далее потребуется организация базы для систематизации и удобного поиска. NVD не рассматривается, наш сугубо локальный софт их не интересует, остаётся БДУ, но она управляется ФСТЭК'ом и как-то повлиять на неё нельзя. Остаётся создание отдельного ресурса.

[Prober]

Ищутся энтузиасты...
Повторюсь, нет никакой цели получать выгоду...

Не претендую быть оракулом, но на дворе рыночная экономика, и на энтузиазме долго существовать не получится. Коммерческая перспектива должна просматриваться хотя бы вдалеке, без неё проект обречён.

[s.zelenyuk]

Критика учтена, спасибо. Будем думать дальше.

[s.zelenyuk]

Создан список ПО из реестра.
Таблица в формате ODS: https://github.com/sergeyzelenyuk/re..._formatted.ods
Скрипт: https://github.com/sergeyzelenyuk/re...yaz_ru_scraper

Начато формирование списка софта, доступного для скачивания и анализа.

[s.zelenyuk]

Из 2602 программ всего можно скачать 354, из них 214 в полной версии и 140 в виде демо. Те программы, для скачивания которых нужно регистрироваться, не учитывались.
Список скачиваемых программ: https://github.com/sergeyzelenyuk/re...wnloadable.ods
Список всех программ (ссылка из предыдущего поста нерабочая): https://github.com/sergeyzelenyuk/re..._formatted.ods

[Darwin]

Рекомендую завести документ на Google Docs или делать дополнительно CSV-файл.

[s.zelenyuk]

Рекомендую завести документ на Google Docs или делать дополнительно CSV-файл.

Готово.
https://github.com/sergeyzelenyuk/re...wnloadable.csv
https://github.com/sergeyzelenyuk/re..._formatted.csv

[s.zelenyuk]

Первые уязвимости (RCE) найдены в TrueConf. Решил, что буду работать один, по крайней мере первое время, что будет дальше - увидим.

[s.zelenyuk]

https://rvrt.info/

[s.zelenyuk]

Идея искать баги бесплатно выгорела, вы были правы.

[Darwin]

Кек, может и деньги начнут платить))

Российские власти заплатят 500 миллионов рублей за поиск уязвимостей в IT-системах
https://meduza.io/news/2018/01/12/ro...-v-it-sistemah