Спрос и предложение. Почему в будущем фейковая Дія может стать неотличимой от оригинала

Недавний случай с "фейковой Дией" был только началом. В условиях недоверия к государству спрос на различные попытки обхода Дии будет только расти, а значит – создавать предложение: как от мошенников, так и от хактивистов. И некоторые из этих попыток будут иметь успех.

Фейковое приложение Дия
Спрос на различные попытки обхода Дии будет только расти, а значит – будет создавать предложение: как от мошенников, так и от хактивистов.

Новостные ленты загорелись сообщениями о "фейковой Дие", которую мамкины "хакеры" продают за 120 гривен.

На самом же деле это примитивная подделка из дерьма и палочек, которая только внешне копирует вид Дии, кастомизирует его под пользовательские данные, но не генерирует настоящий QR-код. Откуда и такая забавная цена.

Такое пригодится только для поверхностной проверки, просто махнуть перед лицом проверяющего изображением на смартфоне, которое дизайном похоже на Дию.

Совершенно ожидаемое событие. Тем более, что .apk файлы Дии уже год как распространяются на хакерских форумах (преимущественно, русских). Просто тогда еще не очень понимали, как это применить.

Кто может стоять за фейковой "Дией"

Отечественные хакеры-энтузиасты уже расковыряли фейк-Дию, саму работу выложили с отключенной функцией оплаты и установили имя возможного ее автора MV Z3EM.

Им может быть эдакий Р---- Владислав Вадимович из городка Вольнянск Запорожской области, поскольку на его имя отправлялись деньги на карточку.

Дальнейшее исследование из-за многочисленных слитых баз данных и OSINT обнаружило его сестру Анастасию, его отчима, работающего в Нацгвардии, домашний адрес, дату рождения и многие другие персональные данные.

Возможно, это просто принимавший оплату дроп снимал с банкомата и передавал заказчику. Но раскрутить всю цепочку не является проблемой.

Думаю, уже в эти минуты и этот парень, и его приспешники плачут в райотделах, пишут объяснения и собирают деньги "на закрытие дела".

Я хотел бы рассказать, в чем заключаются настоящие, не картонные проблемы Дии и ее применения.

Сначала о маленьких проблемках.

Во время проверки мало кто нажимает на изображение, чтобы увидеть QR-код, который "живет" не больше трех минут. Даже при виде QR-кода из предыдущего пункта – практически никто его не сканирует.

А если кто-то даже и сканирует (говорят, что полиция сканирует в 50% случаев) – сервер госресурса может "отдыхать" (неоднократные прецеденты) и нормально работает доступ в Интернет у обеих сторон (тут просто масса прецедентов).

Важно
Думать, как преступник. Как в 5 шагов взломать "Дию" и украсть чужую личность
Думать, как преступник. Как в 5 шагов взломать "Дию" и украсть чужую личность

Поэтому в случае практически неотвратимых массовых проверок "сертификатов вакцинации" в публичных местах – абсолютное большинство проверяющих удовлетворится визуальным "чем-то" на смартфоне, что похоже на Дию-сертификат. Именно для таких целей и сляпан на коленке подлог за 120 гривен.

Все эти проблемы применения документов очень трудно представить с предъявлением бумажных или пластиковых копий, хотя там и есть подделки. Но история "ну да, и бумажные документы подделывают, пусть и цифровые тоже подделывают" – она другая, и о ней не сейчас.

А сейчас – о настоящих проблемах Дии.

Проблема №1 состоит в том, что в Украине электронные документы приравнены к настоящим, хотя степени систем их защиты не просто несопоставимы, а даже не на одной планете. О системе защиты Дии известно лишь то, что она якобы существует (со слов чиновников, которым мы с детства безусловно доверяем). Но никаких доказательств безопасности Дии не предоставлено, документация в приложении скрывается, а информация по запросам – засекречивается

Проблема №2 состоит в отсутствии законодательно определенных критериев к е-документам каждого из типов, в том числе, медицинских справок. Что касается "физических" документов, существуют целые законы Украины и тона подзаконной регуляторки, которой определяется и состав бумаги, и нанесение водяных знаков, защитных элементов, их расположение, особые отметки, перфорация, и в каком месте все это делается, и как назначается руководитель, и кто контролирует все процессы, отчетность по бланкам, спецрежим пропуска на полиграфкомбинат, еще куча всего.

По е-документам нет практически ничего подобного. Что в технических и юридических понятиях означает "отражение в электронном виде информации, содержащейся в паспорте гражданина Украины" – задачка с десятью звездочками.

Именно поэтому имеют сомнительные судебные перспективы дела по "подделке электронных документов", поскольку не от чего отталкиваться: какие должны быть обязательные признаки/реквизиты настоящего документа, которых нет в поддельном? И кто будет проводить экспертизу? По каким законодательно определенным критериям?

Конечно, по одному-двум случаям МЦТ (Министерство цифровой трансформации — Ред) даст свой вывод (если судья привлечет их в качестве экспертов), но если таких случаев будут тысячи – запарятся бегать в суд.

Именно для этого пишется прозрачная и всем понятная регуляторка, которая затем выкладывается в публичный доступ, — чтобы понять критерии "фейковости" мог и судья, и следователь, и министр, и участковый инспектор, и даже народный депутат (тот, кто не писал соответствующий закон ).

И проблема №3: ​​можно ли подделать Дию, в частности, в части генерации поддельного сертификата вакцинации? Не тупую картинку, похожую на настоящий сертификат, которой можно махать на входе в маршрутку, а так, чтобы фейк успешно проходил проверку/валидацию, через сканер самой Дии.

Важно
Возьми все, я себе еще нарисую! Как "клонировать" е-документы украинцев и чем это грозит
Возьми все, я себе еще нарисую! Как "клонировать" е-документы украинцев и чем это грозит

Именно этим вопросом озадачились несколько действительно серьезных дядь (вся суть – в комментах, и там довольно сложно разобраться).

По первым прикидкам – теоретически возможно, но с несколькими оговорками и не прямо чтобы "на 100% идентична натуральному".

Насколько я понял, сначала нужен доброволец с настоящим сертификатом вакцинации в настоящей Дие. Поскольку Дию официально разрешено клонировать на нескольких устройствах (об ошибочности такой опции эксперты неоднократно указывали разработчикам) – клон приложения разворачивается на отдельном сервере, симулирующем смартфон пользователя (технически несложная задача).

А дальше начинается магия: специально (когда-то, возможно) разработанное приложение, похожее дизайном на Дию, в режиме реального времени будет брать QR-код с клона настоящего сертификата (с сервера), а на обратной стороне QR-кода "рисовать" ваши ФИО, фото и дату рождения, сохраняя действительный номер сертификата и дату его действительности.

Но пока главная проблема состоит в том, что проверяющий может попросить вас нажать на ваш фейковый QR-код и сверить ваши ФИО и фото с тем, что отобразится в его смартфоне. И они не будут совпадать.

Но если вы показываете только ваш "искусственный" QR-код, проверяющий его сканирует, видит силу сертификата и какого-то ФИО на нем (возможно – с фото).

И вот здесь возможны варианты.

Если фото на сертификате в смартфоне проверяющего нет – проверка практически пройдена. Даже если он попросит показать "обратную сторону" вашего QR-кода – там будет ваше лицо и ваши ФИО. Вчитываться и сравнивать ФИО у вас и у себя – он уже вряд ли будет. Хотя, может.

А вот если на сертификате в смартфоне проверяющего есть фото, и оно будет существенно отличаться от вашего (например, женщина vs мужчина) – здесь можно спалиться. Конечно, это при тщательной и ответственной проверке. Но если это очередь людей на рамке в ТРЦ или в троллейбус, когда люди спешат – проверяющий будет успевать лишь убедиться в валидности сертификата и в лицо вряд ли будет заглядывать, а тем более – сравнивать ФИО.

Но даже если и обнаружит несовпадение – ну, не пустит в ТРЦ или в трамвай, можно пойти в другой. Сильно сомневаюсь, что будут крутить руки и вызвать полицию. А поставить полицейского у каждой "рамки" и двери в маршрутку – это ненаучная фантастика, даже в украинском полу-полицейском государстве.

Важно
Электронная ловушка: почему не стоит идти на почту с "Дией"
Электронная ловушка: почему не стоит идти на почту с "Дией"

Эксперт Роман Химич уже проводил схожий практический экспертимент в почтовых отделениях.

Споры специалистов еще продолжаются, предлагаются разные теоретические варианты решений. Но что-то мне подсказывает, что, независимо от мнений "белых" экспертов и их выводов, на анонимных телеграмм-каналах довольно скоро появятся более совершенные версии того, о чем сегодня пишут все издания.

И вполне возможно, что разработчики фейков могут использовать то, о чем даже не догадываются эксперты, плюс будут иметь надежную ментовскую "крышу" — как сейчас с продажей медицинских справок.

И так будет, пока будет существовать "презумпция болезни": человек считается больным, пока он сам не докажет обратное и не предъявит какое-то свидетельство "не-хвори". А черный рынок всегда готов "помочь" с разными справками, в том числе, в электронном виде. Особенно в электронном.

О доверии к власти, улучшении медицинской системы, коррупции, гуманной правоохранительной системе – сегодня не буду. Сегодня – только о технических возможностях подделки электронного сертификата вакцинации.

И еще важно. Под видом "фейковой Дии" мошенники будут продавать шпионский софт, приложения, которые будут красть ваши финансовые данные и частные фоточки, а скрытые крипто-вымогатели будут шифровать ваш смартфон. Или кидалово обычное: продавцы возьмут с вас деньги, а их приложение — не будет работать. Не сомневаюсь, так всегда бывает. Поэтому устанавливать приложения советую исключительно из официальных е-магазинов. В которые "фейковая Дия", даже самая совершенная – вряд ли попадет.

Но люди не хотят устанавливать себе Дию, не хотят сами на себя надевать электронные наручники, но хотят иметь цифровой "зеленый" сертификат, чтобы свободно передвигаться по стране и миру, ходить в кино и на концерты, вести бизнес и заниматься спортом.

Государство же считает всех граждан больными "по умолчанию" и не дает почти никаких альтернатив доказать факт вакцинации, кроме как в приложении Дия. Получение цифрового сертификата вакцинации через веб-портал Дия – путь истинного самурая, пройти который дано не каждому. Бумажный сертификат без QR – вариант, но ограниченного применения для консерваторов-идеалистов.

Поэтому спрос на различные попытки обхода Дии будет только расти, а значит – будет создавать предложение: как от мошенников, так и от хактивистов.

А с учетом "превышенной роли кибербезопасности" — некоторые из этих попыток все же будут иметь успех. И этот последний случай с "фейковой Дией" был только началом.

Первоисточник.