R0 CREW

Аудит российского ПО

Как известно, существует реестр программ, разрабатываемых в замену иностранным вариантам для использования в государственных учреждениях. Возникает вопрос, насколько безопасен этот софт в плане уязвимостей. Я осмотрел поверхностно несколько программ, и в каждом втором случае обнаружились ошибки то в правах на объекты, то в драйверах, не проверяющих IOCTL. Не приходится говорить о том, сколько потенциальных уязвимостей можно найти, если углубиться в бинарники.

Из этого можно сделать предположение, что с учётом безопасности ведётся разработка разве что тех программ, которые у всех на слуху, например, антивирусов. Тем временем, в реестре 2602 записи, и хотя около 90% софта, если не больше, недоступно для скачивания, что-то найти можно. Очевидно, что ПО само по себе или по указу свыше безопасным не станет, и нужны прецеденты, которые могут быть двух видов: либо уязвимости ищутся и сообщаются разработчику в рамках закона, либо тёмные личности находят их первыми и эксплуатируют, пока об этом не станет известно общественности. Мы идём первым путём.

Теперь к самой идее. Время одиночек уходит в прошлое, софт слишком сложен, чтобы несколько найденных уязвимостей в рамках bug bounty на что-то повлияли. Я вижу разумным организацию группы людей, объединённых целью усовершенствования безопасности отечественного ПО, без какой-либо материальной выгоды, следующих закону и профессиональной этике. Несколько ключевых пунктов:

  • исследуется только российское ПО из реестра;
  • уязвимости разглашаются по принципу responsible disclosure;
  • информация о найденных уязвимостях выкладывается на отдельном ресурсе, схожем с NVD или ФСТЭК БДУ;
  • каждый участник вправе сохранять анонимность;
  • группа или её участники не получают оплату за найденные уязвимости.
    Правила и сайт будут разработаны позднее.

На данный момент хотелось бы услышать ваши вопросы, предложения, критику идеи или отдельных моментов. Контакты:
Tox ID: 0F90C4EF7582AFCA770D0FEE28CBB28B568C66B7B505D250B47FCC510A7EC3535400C3AD8254 (удалите пробел)

Очень слаба цель, без мат. поддержки. ИМХО

Причем основная выгода (от пиара) идет разработчику будущего сайта.

Ищутся энтузиасты, готовые попробовать копнуть непаханое поле, ибо пока даже неизвестно, как корпорации будут реагировать на сообщения об уязвимостях и, в особенности, на раскрытие деталей в случае игнорирования.

Повторюсь, нет никакой цели получать выгоду. На первых порах можно использовать данный форум, далее потребуется организация базы для систематизации и удобного поиска. NVD не рассматривается, наш сугубо локальный софт их не интересует, остаётся БДУ, но она управляется ФСТЭК’ом и как-то повлиять на неё нельзя. Остаётся создание отдельного ресурса.

Не претендую быть оракулом, но на дворе рыночная экономика, и на энтузиазме долго существовать не получится. Коммерческая перспектива должна просматриваться хотя бы вдалеке, без неё проект обречён.

Критика учтена, спасибо. Будем думать дальше.

Создан список ПО из реестра.
Таблица в формате ODS: https://github.com/sergeyzelenyuk/reestr_minsvyaz_ru_scraper/blob/master/out/reestr_formatted.ods
Скрипт: https://github.com/sergeyzelenyuk/reestr_minsvyaz_ru_scraper

Начато формирование списка софта, доступного для скачивания и анализа.

Из 2602 программ всего можно скачать 354, из них 214 в полной версии и 140 в виде демо. Те программы, для скачивания которых нужно регистрироваться, не учитывались.
Список скачиваемых программ: https://github.com/sergeyzelenyuk/reestr_minsvyaz_ru_scraper/blob/master/reestr_downloadable.ods
Список всех программ (ссылка из предыдущего поста нерабочая): https://github.com/sergeyzelenyuk/reestr_minsvyaz_ru_scraper/blob/master/reestr_formatted.ods

Рекомендую завести документ на Google Docs или делать дополнительно CSV-файл.

Готово.
https://github.com/sergeyzelenyuk/reestr_minsvyaz_ru_scraper/blob/master/reestr_downloadable.csv
https://github.com/sergeyzelenyuk/reestr_minsvyaz_ru_scraper/blob/master/reestr_formatted.csv

Первые уязвимости (RCE) найдены в TrueConf. Решил, что буду работать один, по крайней мере первое время, что будет дальше - увидим.

https://rvrt.info/

Идея искать баги бесплатно выгорела, вы были правы.

Кек, может и деньги начнут платить))

Российские власти заплатят 500 миллионов рублей за поиск уязвимостей в IT-системах
https://meduza.io/news/2018/01/12/rossiyskie-vlasti-zaplatyat-800-millionov-rubley-za-poisk-uyazvimostey-v-it-sistemah