Колосс на цифровых ногах. Как подделывают электронные подписи и чем это грозит диджитализации

Для рядового украинца политическая составляющая в кейсах "Джо Байдена" и Рябошапки, пожалуй, не так уж важна. Серьезную тревогу вызывает вот что: если электронные подписи подделываются (а где два раза, там и двадцать два) — насколько мы защищены, когда используем цифровые приложения? И насколько реален риск потерять таким образом имущество или бизнес, испортить кредитную историю?

Минцифры и Госкомсвязи уверяют, что все под контролем. Эксперты по кибербезопасности намного более скептичны. Фокус выслушал и тех, и других.

Как "Джо Байден" подписал петицию за отставку Олега Татарова

В декабре 2020 года НАБУ вручило замглавы офиса президента Олегу Татарову подозрение в "оказании помощи" при хищении 81 млн грн, которые были выделены на постройку жилья нацгвардейцам. Но уже в конце декабря Офис генпрокурора распорядился передать дело из НАБУ в СБУ. Бюро обвинило Офис генпрокурора во вмешательстве в расследование — правда, это ни к чему не привело и расследование посчитали завершенным.

В марте 2021 года Виталий Шабунин, председатель правления общественной организации "Центр противодействия коррупции", разместил на сайте президента петицию за увольнение Татарова — ее подписали 25 891 человек. Президент Зеленский петицию рассмотрел (правда, отказался подписывать, не найдя "законных оснований"). Но в глазах наблюдателей документ все равно оказался скомпрометированным. Поскольку среди 25 тысяч подписантов объявился некто по имени Biden Joe. И система его электронную подпись проверила и приняла.

О том, как цифровизация побеждает бумажную волокиту, принято писать в победных тонах: но если возможно подделать электронную цифровую подпись (ЭЦП) на сайте президента, не исключено, что есть и другие слабые места? Так подпись несуществующего "Джо Байдена" под петицией за отставку Татарова может если не обнулить, то поставить под сомнение электронные выборы и работу электронных госсервисов в целом.

Кто такой "Джо Байден" и откуда у него электронная цифровая подпись?

Чтобы подписать петицию на сайте президента, необходимо авторизоваться на сайте id.gov.ua (переход на этот ресурс осуществляется автоматически). Далее будущему подписанту предлагают войти с помощью либо электронной цифровой подписи (ЭЦП), либо Bank ID НБУ. В первом случае вам нужно будет "перетащить" файл ключа, а во втором — ввести название вашего банка, затем — номер телефона, после чего вам перезвонят и предложат пройти идентификацию. В обоих случаях система запросит ваши идентификационные данные, к которым относятся:

• фамилия, имя и отчество;
• паспортные данные;
• дата рождения;
• ИНН (для физического лица – индивидуального предпринимателя).

А вот теперь возникает вопрос: как человек с именем Joe Biden прошел идентификацию, чтобы получить ЭЦП (как впоследствии выяснилось, через службу "Приват24")?

Что такое электронная цифровая подпись и когда ее применяют?

Ранее на самых разных бланках, формах, договорах, заявлениях вы ставили подпись от руки: ручкой с синими чернилами. ЭЦП — это то же самое, но в цифровом виде (отметим, что данная подпись приравнивается к настоящей подписи гражданина на документах, или к печати, если речь идет о юрлице). Это файл, дающий возможность поставить подпись на цифровом документе в режиме онлайн.

ЭЦП защищена паролями, так называемыми "ключами", которые, вместе с подписью, формируются и выдаются в специальных аккредитованных центрах сертификации ключей (АЦСК). Чтобы стать обладателем ЭЦП, необходимо лично явиться в АЦСК, предъявить сотруднику паспорт и идентификационный код. После проверки документов он сгенерирует для вас подпись с паролями к ней.

Подписывать документы электронной цифровой подписью в дальнейшем вы сможете через сайты ca.diia.gov.ua и acskidd.gov.ua или через сервис "Приват24", если ЭЦП вы оформляли через "ПриватБанк". Отметим, что если вы являетесь клиентом "ПриватБанка", то оформить подпись с помощью "Приват24" можно онлайн. То есть, приходить лично в АЦСК не нужно, потому что у банка уже есть данные вашего паспорта и ИНН. Для лучшего понимания, как оформлять подпись и как ею пользоваться, предлагаем ознакомиться с видеоинструкциями.

Итак, откуда же появилась подпись "Джо Байдена"?

Версия Госспецсвязи: украли, хакнули, обманули

Пока "кейс Джо Байдена" широко обсуждался в социальных сетях, где высказывались самые разные предположения, Государственная служба специальной связи и защиты информации Украины (Госспецсвязи) "провела масштабную операцию, направленную на полную проверку системы электронных доверительных услуг", с тем чтобы исследовать систему выдачи ключей АО КБ "Приватбанк" на соответствие требованиям безопасности.

Согласно официальному релизу Госспецсвязи, "Байден" мог получить ключи в случае выполнения минимум трех условий:

1. компрометация личного ключа (незаконное завладение и использование),
2. дорогостоящая направленная хакерская атака, подготовка к которой длилась несколько месяцев,
3. использование "человеческого фактора" — т.е. лиц, имеющих доступ к генерированию ключей.

В комментарии Фокусу, предоставленном пресс-службой Госспецсвязи, отмечается, что "технические специалисты изучили этот кейс, чтобы разобраться, как это происходило, как это может происходить и по какой причине. Часть причин уже известна и была озвучена в официальной позиции (имеется ввиду официальный релиз, который цитировался выше — ред.), но часть — еще нет. Вопрос изучается, принимаются технические и организационные меры, которые помогут избежать подобных ситуаций в будущем".

Как разъяснили нам чиновники, под техническими мерами следует понимать "устранение уязвимостей в программных и аппаратных комплексах, которые могли иметь место", а под организационными — "улучшение процесса идентификации и сертификации личного ключа".

В официальном заявлении госслужба склоняется лишь к одной версии — хакерской атаке: "Несмотря на использованные хакерами ресурсы, скомпрометированной электронной подписью невозможно было подписать какие-либо документы". Также Госспецсвязи подчеркивает, что "никакой угрозы для граждан — переоформление документов, перевод средств, подписание деклараций и т.д. — эта атака не несла".

Специалисты, работающие в сфере кибербезопасности, с этим не соглашаются.

Мнение экспертов по кибербезопасности: ЭЦП подделали

Эксперт по кибербезопасности Андрей Баранович объяснил Фокусу, почему, на его взгляд, версии, выдвинутые Госспецсвязью, не выдерживают критики.

Рассмотрим первую: ключ был украден. Проблема тут, однако не в том, кем был украден электронный ключ, а в том, кем и кому он был выдан. Получается, что президент США Джо Байден является клиентом "ПриватБанка", и через сервис "Приват24" он получил ЭЦП и пароли к ней, а потом у него эти файлы украли? Это нонсенс, говорит Андрей Баранович.

Хакерская атака, по мнению Андрея Барановича, тоже маловероятна. Госспецсвязь утверждает, что хакеры взломали АЦСК "ПриватБанка". Но если бы киберпреступники хакнули крупнейший банк страны, они могли бы украсть сотни миллионов долларов, а не воровать ключи ЭЦП, чтобы подписать какую-то петицию.

Третий вариант наиболее правдоподобен: сотрудники АЦСК, пользуясь своим служебным положением, сгенерировали фейковую ЭЦП.

"Верится с трудом в то, что это было сделано забавы ради. За такие шутки увольняют и отдают под суд", — говорит Баранович.

Если и вправду это было сделано для демонстрации того, что петиции верить нельзя, то люди, которые совершили данное должностное преступление, не предусмотрели последствий. В Госспецсвязи отметили, что поиском виновных занимается следствие — но пока никого найти не удалось.

Проблема еще и в том, что согласно закону "Об электронных доверительных услугах", ЭЦП должна храниться на материальном носителе, которым владеет пользователь. Например, это может быть флеш-накопитель. Но если вы пользуетесь е-подписью через сервис Bank-ID, вы не используете материальный носитель, а используете телефон, который просто передает информацию.

"В Казахстане эту проблему решили следующим образом — ЭЦП разместили на SIM-картах, что соответствует международному законодательству", — комментирует Михаил Чайкин, руководитель направления СУИБ АТ "Укрэксимбанк". "У нас эта проблема не решена, поэтому АЦСК банков постоянно генерируют якобы валидные ЭЦП".

По словам Чайкина, единственный проект ЭЦП, соответствующий международным стандартам безопасности, — это Mobile ID, поскольку в качестве носителя там используется SIM-карта. "Но этот проект "загнулся", несмотря на большие инвестиции провайдеров. Вместо него появился сервис "Дія.Підпис", который непонятно каким стандартам соответствует", — сетует эксперт.

Чайкин, как и Баранович, тоже уверен в том, что есть большой риск генерирования поддельных ЭЦП, к примеру с целью организации мошеннических схем. Решить проблему может унификация системы ЭЦП в соответствии с международными стандартами, а также принятие жестких мер уполномоченными госслужбами в качестве реакции на подобные инциденты. Иначе ситуация будет повторяться.

Какие риски для государства и граждан несет поделка электронных цифровых подписей?

Все цифровые сервисы завязаны на публичную инфраструктуру ключей. В Украине работают около 20 АЦСК, которые выдают электронные цифровые подписи и ключи к ним, чтобы физические и юридические лица могли без проблем оформлять официальные документы в электронном виде и не плодить кипы бумаг. Поэтому так важно, чтобы ЭЦП не были скомпрометированы, иначе поставить фейковую подпись можно будет подпись на любом документе.

Однако в Украине это уже второй подобный случай. В 2016 году на имя члена НАПК Руслана Рябошапки была выдана поддельная ЭЦП, где был указан код ГРФО 1234567892. Чиновник заявил, что эти данные не соответствуют действительности, а это значит, что подписанная налоговая декларация тоже может считаться фейком. Зачем это было сделано пять лет назад — непонятно. Возможно, чтобы скомпрометировать систему е-декларирования в целом, которую тогда активно вводили.

Как и кто создал фейки, по-прежнему неизвестно. Зато теперь все понимают, что если можно подделать две ЭЦП, то впоследствии смогут подделать и 10, и 100, причем на любые имена. Процесс можно повторить и даже автоматизировать.

При помощи фейковых подписей злоумышленники смогут фальсифицировать самые разные документы, в том числе и финансовые, учитывая, что на них основаны все сервисы — налоговая отчетность, приложение "Дія", документы на открытие-закрытие счетов и предприятий. 

А если у нас в стране будут проходить всеобщие электронные выборы, что помешает тем же самым людям сгенерировать 100 тыс. поддельных ЭЦП на разные имена, проголосовать за определенного кандидата и обеспечить ему победу? И никто даже не сможет понять, что это афера.

Чиновники спокойны: риск подделать ЭЦП есть, но он минимален

В Госспецсвязи считают, что риск подделки "миллиона подписей", безусловно, есть, но он "очень низкий и находится на приемлемом уровне". Фокус заверили, что "если будет строиться система электронного голосования, при ее проектировании и разработке эти риски будут изучаться, исследоваться, просчитываться. Система будет строиться таким образом, чтобы риски были минимизированы до приемлемого уровня".

Также мы попросили разъяснить, какие меры принимаются сегодня для того, чтобы подобных инцидентов больше не случилось. По словам чиновников, они уже проводят внеплановую проверку оператора услуг с тем, чтобы выявить: выполнялась/не выполнялась ли работа в соответствии с нормативными требованиями, что привело к конкретному ЧП.

"Если у оператора есть предпосылки к такого рода нарушениям, ему будет дано указание устранить и привести в соответствие процессы и систему, чтобы этого не более не повторилось", — говорят в Госспецсвязи.

Скомпрометировано ли приложение "Дія"?

Эксперт по кибербезопасности Константин Корсун в написанной для Фокуса колонке рассказал о еще одном любопытном кейсе — на имя гражданки Украины Людмилы Ж. через приложение "Дія" взяли кредит, оформление которого невозможно без применения ЭЦП. Проблема в том, что пани Людмила не брала кредит, не ставила электронную подпись и даже не имеет ID-карты — у нее до сих пор обычный бумажный паспорт, а потому приложением "Дія" она не пользуется. Людмила поначалу не могла решить этот вопрос, обращаясь и в службу "Дія", и в Нацбанк, и в киберполицию.

"Проблема заключается в том, что диджитализаторы отказываются брать на себя ответственность за безопасность всей технической цепочки: реестры — шифрование — серверы — каналы передачи данных — АЦСК — банки — РКІ — код приложения "Дія"— среда функционирования приложения. Ответственность за безопасность госреестров они перекладывают на владельцев/распорядителей этих реестров, за Bank-ID — на банки, за криптографию, ключи и сертификаты — на АЦСК, за безопасности серверов — на облачного провайдера. И всем этим организациям они почему-то "доверяют", безапелляционно рассчитывая на принципиальность, честность и высококвалификованность каждого работника этих звеньев", — пишет Константин.

За комментарием Фокус обратился еще и в Министерство цифровой трансформации Украины: мы попросили пояснить, каким образом сработали мошенники, рискуют ли пользователи приложения оказаться на месте Людмилы Ж. и как помочь самой Людмиле.

По словам чиновников, ответственность должен нести банк, выдавший кредит: "Работа приложения "Дія" полностью базируется на законодательно закрепленных процедурах и спроектирована таким образом, что цифровой паспорт гражданина не может быть использован без его воли. Если же работник любого банка или другого финансового учреждения решит, например, предоставить кредит с грубым нарушением действующего законодательства, то ни "Дія", ни любой другой инструмент (в том числе если кто-то захочет использовать бумажные копии документов) не помешают ему это сделать. Но за такие действия предусмотрена жесткая ответственность".

В Минцифры полагают, что у Людмилы Ж. "украли телефонный номер, получили доступ к ее банковскому аккаунту, подтвердив вход с личной почты. Далее с помощью скомпрометированного доступа к BankID состоялась авторизация в мобильном приложении "Дія".

Однако представители министерства уверяют, что подобный взлом "не мог бы завершиться получением кредита с помощью цифрового паспорта, если бы финансовое учреждение грубо не нарушило правила, установленные НБУ. В правилах этого финучреждения указано подтверждения личности человека с помощью фото, чего, очевидно, не было сделано".

Также в министерстве настаивают на том, что после данного инцидента были приняты необходимые меры для обеспечения безопасности, — "сразу после этого случая, еще в апреле, Минцифра отсоединила все кредитные учреждения от приложения "Дія" и обратилась к НБУ с просьбой осуществить внеплановую проверку финучреждений и предоставить подтверждения нарушений". А также уточняют, что Департамент киберполиции инициировал открытие уголовного производства по ст. 190 УК (мошенничество).

"Финансовое учреждение "Тенго" прекратило звонки к заявительнице и закрыло кредитное обязательство. Также выгружаются данные о создании заявки на кредит с целью идентификации причастных лиц, — сообщили Фокусу в Минцифры и отметили, что "мошенники не завладели средствами пострадавшей, ведь указанный кредит поступил на ее банковскую карточку".

"Вопрос киберзащиты является комплексным. Минцифры со своей стороны прилагает максимум усилий, но здесь также важна добросовестность и ответственность банков, финансовых учреждений. Они должны понимать, какую ответственность несут и какие последствия от пренебрежения правилами могут быть для клиентов", — резюмировали в министерстве — и пообещали в скором времени анонсировать проведение нового этапа баг-баунти (поиска уязвимости) в июле.

А пока гражданам остается только требовать от властей найти и наказать виновных, скомпрометировавших национальную инфраструктуру ключей.

"Это вопрос ответственности. Техническими методами эту проблему решить нельзя", — резюмирует Андрей Баранович.