Возьми все, я себе еще нарисую! Как "клонировать" е-документы украинцев и чем это грозит
Вопреки утверждениям представителей ГП Дия злоумышленники могут "клонировать" е-документы украинцев и без проблем завладеть ими для совершения самых разных противоправных действий. Это очень плохая новость с точки зрения безопасности.
Ставший известным благодаря усилиям Константина Корсуна первый документированный случай успешной подделки "е-документов" Минцифры переводит целый ряд вопросов из плоскости теоретической в сугубо практическую.
Стоит особо отметить, что если верить Минцифре, злоумышленники реализовали именно тот вектор атаки, который предсказывали участники Киберальянса и аз, грешный, т.е. украли телефонный номер, получили доступ к ее банковскому аккаунту, подтвердив вход с личной почты. Далее с помощью скомпрометированного доступа к BankID состоялась авторизация в мобильном приложении "Дія".
Это очень, очень важный момент! По сути, в МЦТ признают (точнее, не отрицают, готовы рассматривать как реалистичный вариант) возможность использовать сначала номер мобильного, т.е. инструмент идентификации с низким уровнем доверия, чтобы заполучить BankID, который даже в лучшем случае тянет всего лишь на средний уровень.
А затем, имея на руках идентификатор среднего уровня, оказывается возможным получить "е-паспорт", который, теоретически, должен быть инструментом идентификации высокого, т.е. максимально возможного уровня доверия.
То есть, имеем цепочку грубых ошибок в архитектуре, которые привели к закономерному результату.
Если уже совсем просто, озвученная МЦТ версия событий означает, что ВСЕ средства удаленной идентификации, которые используются в настоящее время в Украине, имеют наименьший, т.е. низкий уровень доверия.
Потому что украв "финансовый" номер мобильного телефона, что является тривиальной задачей и происходит сотни раз каждый день, можно посредством определенных манипуляций заполучить, например, Bank ID.
А там, как выясняется, и до "е-паспорта" рукой подать. Или до облачной КЭП, если вы сторонник традиционных ценностей.
Но это если мы будем верить на слово представителями Министерства, что, скажем прямо, совершенно необязательно. По словам пострадавшей в кейсе, обнародованном Корсуном, она использовала и продолжает использовать корпоративный номер, поэтому его не крали и не могли украсть.
Получается, противоправный выпуск и завладение "е-паспорта" на ее имя произошли по какой-то другой схеме. Какой именно — остается неизвестным.
Насколько понимаю, МЦТ самоустранилось от расследования и собирается в дальнейшем разводить рукам и кивать на полицию, мол, а шо я? Я сама в шоке!
Что же делать в этой ситуации и простым, и сложным гражданам? Как уберечься от появление в распоряжении злоумышленников цифровых документов на наше имя с последующими неприятностями?
Традиционно мне импонировала позиция, сторонники которой аргументировали целесообразность вовсе не иметь дела с "е-документами" МЦТ.
Эти аргументы заключаются, во-первых, в отсутствии самой возможности избавиться от "е-документов", т.е. использовать т.н. opt-out. При этом, во-вторых, установка у себя "Дии" чревата возникновением совершенно неожиданных и непредсказуемых обязательств перед государством. Чего-нибудь вроде "Дий Вдома", например.
Подход логичный и целостный, однако уже установленная возможность для посторонних лиц завладеть нашими "е-документами" вынуждает пересмотреть его еще раз.
Принципиальным становится вопрос о возможности сосуществования нескольких копий программы. Если "Дия" может функционировать только в единственном экземпляре, тогда, видимо, стоит поторопиться и оформить ее на себя. Просто для того, чтобы это не сделали какие-то мерзавцы.
Если же возможно сосуществование нескольких копий, тогда ситуация намного хуже.
Казалось бы, простой вопрос, однако отсутствие какой-либо документации на эту поделку крайне затрудняет поиск ответа на него. К если кто еще не в курсе, МЦТ и ГП Дія не считают необходимым документировать продвигаемые ими государственные сервисы.
Понимая, что иного пути познать Истину нет, в минувшие выходные я решил поставить пару смелых экспериментов. Зная, что старший сын успел обзавестись Дией, я выдал ему еще один смартфон. Попытка активировать вторую копию программы оказалась неудачной.
В процессе регистрации ID-карты Дия сначала успешно распознала NFC-чип, однако затем застряла на этапе регистрации изображения владельца. Как оказалось, при активации "е-паспорта" путем регистрации ID-карты, необходимо зарегистрировать изображение его владельца, фотографируя его по определенному протоколу с разных ракурсов.
Уж не знаю по какой причине, однако несколько попыток закончились сообщением об ошибке. Почему так произошло, выяснить было невозможно. Может, думал я, таким образом блокируется активация второй копии. Может быть — ошибка алгоритма.
Поиск ответа в руководстве пользователя не дал никаких ответов. В службе поддержки нам сообщили, что на двух устройствах одновременно "е-документы" отображаться не будут.
Вроде бы однозначный ответ, но почему тогда попытка активации на втором устройстве не блокируется сразу? Стало понятно, что эта ветка эксперимента зашла в тупик.
Была не была! Если не мы, то кто же? Вооружившись собственной BankID Привата, активирую первую копию Дии. В ней появляются заграничный паспорт и налоговый номер. Вторую копию ставлю в защищенную область памяти смартфона.
Это, по сути, своего рода "песочница" (sandbox), изолированная область операционной системы, в которой можно, например, инсталлировать вторую копию программы, которая не поддерживает переключение между учетными записями. Ввожу данные BankID — получилось! У меня на руках — сразу две полнофункциональные копии "Дии".
Как такое может быть? У меня большая голова, 62 размер, придумать пару вариантов не проблема. Проблема их проверить. Была не была, беру планшет и активирую третью копию!
Итак, вопреки утверждениям представителей ГП Дия и здравому смыслу мне удалось клонировать свои е-документы. Это очень плохая новость с точки зрения безопасности. Злоумышленники могут без проблем завладеть полнофункциональными документами граждан для совершения самых разных противоправных действий.
При активации очередного экземпляра "е-документов" на уже установленные копии Дии приходят соответствующие уведомления. Однако возможности подтвердить или отвергнуть эту операцию у пользователя нет. Если дело происходит ночью, вы узнаете о произошедшем только утром, имея на руках ворох оформленных от вашего имени кредитов. Полчаса — час и все готово.
Преступники действуют очень быстро и редко оставляют жертвам достаточно времени для эффективного сопротивления.
В этом месте было бы хорошо задать представителям Міністерства цифрової трансформації України и Дія хотя бы наиболее значимые вопросы:
- Как так получилось, что в ГП Дия не знают о принципиальной особенности "е-документов", а именно о возможности их клонирования?
- В картине мира, которой руководствуется ГП Дия, возможность клонирования это фича или баг?
- Отлучение МФО от использования "е-документов", о которых сообщали СМИ носит безусловный и бессрочный характер или МЦТ определило критерии восстановления доступа? Если да, то что это за критерии?
- Сколько всего договоров в МФО было оформлено с использованием "е-документов" за все время? Банковских кредитных соглашений?
- Почему МЦТ ограничилось отключением только МФО? Какая разница, что именно будут делать злоумышленники с помощью чужих "е-документов", заключать кредитные соглашения или получать чужие денежные переводы? Получать чужие отправления в Новой Почте? Переоформлять чужие телефонные номера на контракте?
- ЧТО ИМЕННО МЕШАЕТ МЦТ И ГП ДИЯ РЕАЛИЗОВАТЬ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ ВОЗМОЖНОСТЬ ОТКАЗА ОТ Е-ДОКУМЕНТОВ? ПОЛНОГО ЗАПРЕТА НА ИХ АКТИВАЦИЮ?
Пока что вот так.
Публикуется с согласия автора.