Візьми все, я собі ще намалюю! Як "клонувати" е-документи українців і чим це загрожує
Всупереч твердженням представників ДП Дія зловмисники можуть "клонувати" е-документи українців і без проблем заволодіти ними для здійснення найрізноманітніших протиправних дій. Це дуже погана новина з точки зору безпеки.
Перший документований випадок успішної підробки "е-документів" Мінцифри, що став відомим завдяки зусиллям Костянтина Корсуна, переводить цілий ряд питань з площини теоретичної в суто практичну.
Варто особливо зазначити, що якщо вірити Мінцифрі, зловмисники реалізували саме той вектор атаки, який передбачали учасники кіберальянсу й аз, грішний, тобто вкрали телефонний номер, отримали доступ до її банківського акаунту, підтвердивши вхід з особистої пошти. Далі за допомогою скомпрометованого доступу до BankID відбулася авторизація в мобільному додатку "Дія".
Це дуже, дуже важливий момент! По суті, у МЦТ визнають (точніше, не заперечують, що готові розглядати як реалістичний варіант) можливість використовувати спочатку номер мобільного, тобто інструмент ідентифікації з низьким рівнем довіри, щоб роздобути BankID, який навіть у кращому випадку тягне лише на середній рівень.
А потім, маючи на руках ідентифікатор середнього рівня, виявляється можливим отримати "е-паспорт", який теоретично повинен бути інструментом ідентифікації високого, тобто максимально можливого рівня довіри.
Тобто, маємо ланцюжок грубих помилок в архітектурі, які призвели до закономірного результату.
Якщо вже зовсім просто, озвучена МЦТ версія подій означає, що ВСІ кошти віддаленої ідентифікації, які використовуються наразі в Україні, мають найменший, тобто низький рівень довіри.
Тому що вкравши "фінансовий" номер мобільного телефону, що є тривіальним завданням і відбувається сотні разів щодня, можна за допомогою певних маніпуляцій дістати, наприклад, Bank ID.
А там, як з'ясовується, і до "е-паспорта" рукою подати. Або до хмарної КЕП, якщо ви прихильник традиційних цінностей.
Але це якщо ми будемо вірити на слово представниками Міністерства, що, скажімо прямо, зовсім необовʼязково. За словами постраждалої в кейсі, оприлюдненому Корсуном, вона використовувала і продовжує використовувати корпоративний номер, тому його не крали і не могли вкрасти.
Виходить, протиправний випуск і заволодіння "е-паспортом" на її імʼя відбулися за якоюсь іншою схемою. Якою саме — залишається невідомим.
Наскільки розумію, МЦТ самоусунулося від розслідування і збирається надалі розводити рукам і кивати на поліцію, мовляв, а шо я? Я сама шокована!
Що ж робити в цій ситуації і простим, і складним громадянам? Як уберегтися від появаи в розпорядженні зловмисників цифрових документів на наше імʼя з подальшими неприємностями?
Традиційно мені імпонувала позиція, прихильники якої аргументували доцільність зовсім не мати справи з "е-документами" МЦТ.
Ці аргументи полягають, по-перше, у відсутності самої можливості позбутися від "е-документів", тобто використовувати т.зв. opt-out. При цьому, по-друге, установка в себе "Дії" загрожує виникненням абсолютно несподіваних і непередбачуваних зобовʼязань перед державою. Чого-небудь на зразок "Дій Вдома", наприклад.
Підхід логічний і цілісний, проте вже встановлена можливість для сторонніх осіб заволодіти нашими "е-документами" змушує переглянути його ще раз.
Принциповим є питання про можливість співіснування кількох копій програми. Якщо "Дія" може функціонувати тільки в єдиному екземплярі, тоді, мабуть, варто поквапитися й оформити її на себе. Просто для того, щоб це не зробили якісь мерзотники.
Якщо ж можливе співіснування кількох копій, тоді ситуація набагато гірша.
Здавалося б, просте питання, проте відсутність будь-якої документації на цей виріб вкрай ускладнює пошук відповіді на нього. Якщо хто ще не в курсі, МЦТ і ДП Дія не вважають за необхідне документувати обнародувані ними державні сервіси.
Розуміючи, що іншого шляху пізнати Істину немає, у минулі вихідні я вирішив провести кілька сміливих експериментів. Знаючи, що старший син встиг оформити Дію, я видав йому ще один смартфон. Спроба активувати другу копію програми виявилася невдалою.
У процесі реєстрації ID-карти Дія спочатку успішно розпізнала NFC-чип, проте потім застрягла на етапі реєстрації зображення власника. Як виявилося, при активації "е-паспорта" шляхом реєстрації ID-карти, необхідно зареєструвати зображення його власника, фотографуючи його за певним протоколом з різних ракурсів.
Уже не знаю з якої причини, проте кілька спроб закінчилися повідомленням про помилку. Чому так сталося, зʼясувати було неможливо. Може, думав я, таким чином блокується активація другої копії. Може — помилка алгоритму.
Пошук відповіді в керівництві користувача не дав жодної відповіді. У службі підтримки нам повідомили, що на двох пристроях одночасно "е-документи" відображатися не будуть.
Начебто однозначна відповідь, але чому тоді спроба активації на другому пристрої не блокується відразу? Стало зрозуміло, що ця гілка експерименту зайшла в глухий кут.
Була не була! Якщо не ми, то хто ж? Озброївшись власною BankID Привату, активую першу копію Дії. У ній зʼявляються закордонний паспорт і податковий номер. Другу копію ставлю в захищене місце памʼяті смартфона.
Це, по суті, свого роду "пісочниця" (sandbox), ізольоване місце операційної системи, у якій можна, наприклад, інсталювати другу копію програми, яка не підтримує перемикання між обліковими записами. Вводжу дані BankID — вийшло! У мене на руках — відразу дві повнофункціональні копії "Дії".
Як таке може бути? У мене велика голова, 62 розмір, придумати кілька варіантів не проблема. Проблема їх перевірити. Була не була, беру планшет і активую третю копію!
Отже, всупереч твердженням представників ДП Дія і здоровому глузду мені вдалося клонувати свої е-документи. Це дуже погана новина з точки зору безпеки. Зловмисники можуть без проблем заволодіти повнофункціональними документами громадян для здійснення найрізноманітніших протиправних дій.
При активації чергового примірника "е-документів" на вже встановлені копії Дії приходять відповідні повідомлення. Однак, можливості підтвердити або відкинути цю операцію в користувача немає. Якщо справа відбувається вночі, ви дізнаєтеся про те, що сталося, тільки вранці, маючи на руках купу оформлених від вашого імені кредитів. Пів години — година, і все готово.
Злочинці діють дуже швидко і рідко залишають жертвам достатньо часу для ефективного опору.
У цьому місці було б добре поставити представникам Міністерства цифрової трансформації України і Дії хоча б найбільш значущі питання:
- Як так вийшло, що в ДП Дія не знають про принципову особливість "е-документів", а саме про можливість їхнього клонування?
- У картині світу, якою керується ДП Дія, можливість клонування це фіча чи баг?
- Відлучення МФО від використання "е-документів", про які повідомляли ЗМІ, має незаперечний і безстроковий характер або МЦТ визначило критерії відновлення доступу? Якщо так, то що це за критерії?
- Скільки всього договорів у МФО було оформлено з використанням "е-документів" за весь час? Банківських кредитних угод?
- Чому МЦТ обмежилося відключенням тільки МФО? Яка різниця, що саме будуть робити зловмисники за допомогою чужих "е-документів", укладати кредитні угоди чи отримувати чужі грошові перекази? Отримувати чужі відправлення в Новій Пошті? Переоформляти чужі телефонні номери на контракті?
- ЩО САМЕ ЗАВАЖАЄ МЦТ І ДП ДІЯ РЕАЛІЗУВАТИ ДЛЯ КОРИСТУВАЧІВ МОЖЛИВІСТЬ ВІДМОВИ ВІД Е-ДОКУМЕНТІВ? ПОВНОЇ ЗАБОРОНИ НА ЇХНЮ АКТИВАЦІЮ?
Поки що ось так.
Публікується за згодою автора.