Попит і пропозиція. Чому в майбутньому фейкова "Дія" може стати невідмінною від оригіналу
"Недавній випадок із "фейковою "Дією" був лише початком. В умовах недовіри до держави попит на різні спроби обходу Дії тільки зростатиме, а значить, створюватиме пропозицію: як від шахраїв, так і від хактивістів. І деякі з цих спроб матимуть успіх". Думка.
Стрічки новин загорілися повідомленнями про "фейкову Дію", яку мамині "хакери" продають за 120 гривень.
Насправді ж це примітивна підробка з лайна й паличок, яка лише зовні копіює вигляд Дії, кастомізує її під дані користувача, але не генерує справжній QR-код. Звідки й така кумедна ціна.
Таке знадобиться тільки для поверхневої перевірки, просто махнути перед обличчям, що перевіряє зображення на смартфоні, яке дизайном схоже на Дію.
Цілком очікувана подія. Тим більше, що .apk файли Дії вже рік поширюють на хакерських форумах (переважно, російських). Просто тоді ще не дуже розуміли, як це застосувати.
Хто може стояти за фейковою "Дією"
Вітчизняні хакери-ентузіасти вже розколупали фейк-Дію, саму роботу виклали з відключеною функцією оплати та встановили ім'я можливого її автора MV Z3EM.
Ним може бути такий собі Р---- Владислав Вадимович із містечка Вільнянськ Запорізької області, оскільки на його ім'я вирушали гроші на картку.
Подальше дослідження через численні злиті бази даних і OSINT виявило його сестру Анастасію, його вітчима, який працює в Нацгвардії, домашню адресу, дату народження та багато інших персональних даних.
Можливо, це просто дроп, який приймав оплату, знімав із банкомату і передавав замовнику. Але розкрутити весь ланцюжок не є проблемою.
Думаю, вже в ці хвилини і цей хлопець, і його поплічники плачуть у райвідділах, пишуть пояснення та збирають гроші "на закриття справи".
Я хотів би розповісти, у чому полягають справжні, не картонні проблеми Дії та її застосування.
Спочатку про маленькі проблемки
Під час перевірки мало хто натискає зображення, щоб побачити QR-код, який "живе" не більше трьох хвилин. Навіть побачивши QR-код із попереднього пункту – практично ніхто його не сканує.
А якщо хтось навіть і сканує (кажуть, що поліція сканує у 50% випадків) – сервер держресурсу може "відпочивати" (неодноразові прецеденти) і нормально працює доступ до Інтернету по обидва боки (тут просто безліч прецедентів).
Тому у випадку практично невідворотних масових перевірок "сертифікатів вакцинації" у публічних місцях, абсолютна більшість перевіряльників задовольниться візуальним "чимось" на смартфоні, що схоже на Дію-сертифікат. Саме для таких цілей і зляпана на коліні підробка за 120 гривень.
Усі ці проблеми застосування документів дуже важко уявити з пред'явленням паперових чи пластикових копій, хоча там є підробки. Але історія "ну так, і паперові документи підробляють, нехай і цифрові теж підробляють" — вона інша, і про неї не зараз.
А зараз – про справжні проблеми Дії
Проблема №1 полягає в тому, що в Україні електронні документи прирівняні до справжніх, хоча ступені систем їхнього захисту не просто непорівнянні, а навіть не на одній планеті. Про систему захисту Дії відомо лише те, що вона нібито існує (за словами чиновників, яким ми з дитинства безумовно довіряємо). Але жодних доказів безпеки Діі не надано, документація в додатку приховується, а інформація на запити – засекречується.
Проблема №2 полягає у відсутності законодавчо визначених критеріїв до е-документів кожного з типів, у тому числі медичних довідок. Що стосується "фізичних" документів, існують цілі закони України та тони підзаконної регуляторки, якою визначається і склад паперу, і нанесення водяних знаків, захисних елементів, їхнє розташування, особливі позначки, перфорація, і де все це робиться, і як призначається керівник, і хто контролює всі процеси, звітність із бланків, спецрежим пропуску на поліграфкомбінат, ще купа всього.
За е-документами немає практично нічого подібного. Що в технічних та юридичних поняттях означає "відображення в електронному вигляді інформації, що міститься в паспорті громадянина України" — завдання з десятьма зірочками.
Саме тому мають сумнівні судові перспективи справи щодо "підробки електронних документів", оскільки нема від чого відштовхуватися: які мають бути обов'язкові ознаки/реквізити цього документа, яких немає в підробленому? І хто проводитиме експертизу? За якими законодавчо визначеними критеріями?
Звичайно, з одного-двох випадків МЦТ (Міністерство цифрової трансформації — Ред ) дасть свій висновок (якщо суддя приверне їх як експертів), але якщо таких випадків будуть тисячі, запаряться бігати до суду.
Саме для цього пишеться прозора й усім зрозуміла регуляторка, яка потім викладається в публічний доступ, щоб зрозуміти критерії "фейковості" міг і суддя, і слідчий, і міністр, і дільничний інспектор, і навіть народний депутат (той, хто не писав відповідний закон ).
І проблема №3: чи можна підробити Дію, зокрема, щодо генерації підробленого сертифіката вакцинації? Не тупу картинку, схожу на справжній сертифікат, якою можна махати на вході в маршрутку, а так, щоб фейк успішно проходив перевірку/валідацію через сканер самої Дії.
ВажливоСаме цим запитанням спантеличилися кілька справді серйозних дядьків (уся суть – у коментах, і там досить складно розібратися).
За першими підрахунками – теоретично можливо, але з кількома застереженнями і не просто щоб "на 100% ідентична натуральному".
Наскільки я зрозумів, спочатку потрібний доброволець зі справжнім сертифікатом вакцинації у справжній Дії. Оскільки Дію офіційно дозволено клонувати на декількох пристроях (про помилковість такої опції експерти неодноразово вказували розробникам), клон програми розгортається на окремому сервері, що симулює смартфон користувача (технічно нескладне завдання).
А далі починається магія: спеціально (колись можливо) розроблений додаток, схожий дизайном на Дію, у режимі реального часу братиме QR-код з клону справжнього сертифіката (з сервера), а на звороті QR-коду "малювати" ваші ПІБ, фото та дату народження, зберігаючи дійсний номер сертифіката та дату його дійсності.
Але поки головна проблема полягає в тому, що перевіряльник може попросити вас натиснути на ваш фейковий QR-код і звірити ваші ПІБ та фото з тим, що відобразиться в його смартфоні. І вони не співпадатимуть.
Але якщо ви показуєте тільки ваш "штучний" QR-код, перевіряльник його сканує, бачить силу сертифіката та якогось ПІБ на ньому (можливо – з фото).
І тут можливі варіанти.
Якщо фото на сертифікаті у смартфоні перевіряльник немає – перевірка практично пройдена. Навіть якщо він попросить показати "зворотний бік" вашого QR-коду — там буде ваше обличчя і ваші ПІБ. Вчитуватися та порівнювати ПІБ у вас і в себе він уже навряд чи буде. Хоча, може.
А от якщо на сертифікаті в смартфоні перевіряльника є фото, і воно суттєво відрізнятиметься від вашого (наприклад, жінка vs чоловік) – тут можна спалитись. Звичайно, це за ретельної та відповідальної перевірки. Але якщо це черга людей на рамці в ТРЦ або в тролейбус, коли люди поспішають, перевіряльник встигатиме лише переконатися у валідності сертифікату і в обличчя навряд чи заглядатиме, а тим більше – порівнювати ПІБ.
Але навіть якщо й виявить розбіжність – ну, не пустить у ТРЦ чи трамвай, можна піти в інший. Дуже сумніваюся, що крутитимуть руки та викликатимуть поліцію. А поставити поліцейського біля кожної "рамки" та дверей у маршрутку – це ненаукова фантастика, навіть в українській напів поліцейській державі.
ВажливоЕксперт Роман Хіміч уже проводив схожий практичний експертимент у поштових відділеннях.
Суперечки фахівців ще продовжуються, пропонують різні теоретичні варіанти рішень. Але щось мені підказує, що, незалежно від думок "білих" експертів та їхеіх висновків, на анонімних телеграм-каналах незабаром з'являться досконаліші версії того, про що сьогодні пишуть усі видання.
І цілком можливо, що розробники фейків можуть використовувати те, про що навіть не здогадуються експерти, плюс матимуть надійний ментівський "дах" — як зараз із продажем медичних довідок.
І так буде, поки існуватиме "презумпція хвороби": людина вважається хворою, поки вона сама не доведе протилежне і не висуне якесь свідчення "не-хвора". А чорний ринок завжди готовий "допомогти" з різними довідками, зокрема в електронному вигляді. Особливо в електронному.
Про довіру до влади, покращення медичної системи, корупцію, гуманну правоохоронну систему – сьогодні не буду. Сьогодні лише про технічні можливості підробки електронного сертифікату вакцинації.
І ще важливо. Під виглядом "фейкової Дії" шахраї продаватимуть шпигунський софт, програми, які крастимуть ваші фінансові дані та приватні фоточки, а приховані криптовимагачі шифруватимуть ваш смартфон. Або кидалово звичайне: продавці візьмуть із вас гроші, а їхній додаток не працюватиме. Не маю сумніву, так завжди буває. Тому встановлювати програми раджу виключно з офіційних е-магазинів. У які "фейкова Дія", навіть найдосконаліша, навряд чи потрапить.
Але люди не хочуть встановлювати собі Дію, не хочуть самі на себе одягати електронні наручники, але хочуть мати цифровий "зелений" сертифікат, щоб вільно пересуватися країною та світом, ходити в кіно та на концерти, вести бізнес і займатися спортом.
Держава ж уважає всіх громадян хворими "за умовчанням" і не дає майже жодних альтернатив довести факт вакцинації, окрім додатку Дія. Отримання цифрового сертифіката вакцинації через вебпортал Дії – шлях справжнього самурая, пройти який дано не кожному. Паперовий сертифікат без QR – варіант, але обмежене застосування для консерваторів-ідеалістів.
Тому попит на різні спроби обходу Дії тільки зростатиме, а отже, створюватиме пропозицію: як від шахраїв, так і від хактивістів.
А з урахуванням "перевищеної ролі кібербезпеки" деякі з цих спроб все ж таки матимуть успіх. І цей останній випадок із "фейковою Дією" був лише початком.