Ставший известным благодаря усилиям
Константин Корсун первый документированный случай (см. комментарий №1) успешной подделки "е-документов" Минцифры переводит целый ряд вопросов из плоскости теоретической в сугубо практическую.
Стоит особо отметить, что если верить Минцифре (см. комментарий №2), злоумышленники реализовали именно тот вектор атаки, который предсказывали участники Киберальянса и аз, грешный, т.е. "украли телефонный номер, получили доступ к ее банковскому аккаунту, подтвердив вход с личной почты. Далее с помощью скомпрометированного доступа к BankID состоялась авторизация в мобильном приложении "Дія".
Это очень, очень важный момент! По сути, в МЦТ признают (точнее, не отрицают, готовы рассматривать как реалистичный) возможность использовать сначала номер мобильного, т.е. инструмент идентификации с низким уровнем доверия (см. об уровнях доверия в комментарии №3), чтобы заполучить BankID, который даже в лучшем случае тянет всего лишь на средний уровень. А затем, имея на руках идентификатор среднего уровня, оказывается возможным получить "е-паспорт", который, теоретически, должен быть инструментом идентификации высокого, т.е. максимально возможного уровня доверия. Т.е. имеем цепочку грубых ошибок в архитектуре, которые привели к закономерному результату.
Если уже совсем просто, озвученная МЦТ версия событий означает, что ВСЕ средства удалённой идентификации, которые используются в настоящее время в Украине, имеют наименьший, т.е. низкий уровень доверия. Потому что украв "финансовый" номер мобильного телефона, что является тривиальной задачей и происходит сотни раз каждый день, можно посредством определённых манипуляций заполучить, например, Bank ID. А там, как выясняется, и до "е-паспорта" рукой подать. Или до облачной КЭП, если вы сторонник традиционных ценностей.
Но это если мы будем верить на слово представителями Министерства, что, скажем прямо, совершенно необязательно. По словам пострадавшей (см. комментарий №4), она использовала и продолжает использовать корпоративный номер, поэтому его не крали и не могли украсть. Получается, противоправный выпуск и завладение "е-паспорта" на её имя произошли по какой-то другой схеме. Какой именно - остаётся неизвестным. Насколько понимаю, МЦТ самоустранилось от расследования и собирается в дальнейшем разводить рукам и кивать на полицию, мол, а шо я? Я сама в шоке!
Что же делать в этой ситуации и простым, и сложным гражданам? Как уберечься от появление в распоряжении злоумышленников цифровых документов на наше имя с последующими неприятностями?
Традиционно мне импонировала позиция
Sean Brian Townsend который аргументировал целесообразность вовсе не иметь дела с "е-документами" МЦТ. Его аргументы заключаются, во-первых, в отсутствии самой возможности избавиться от "е-документов", т.е. использовать т.н. opt-out. При этом, во-вторых, установка у себя "Дии" чревата возникновением совершенно неожиданных и непредсказуемых обязательств перед государством. Чего-нибудь вроде "Дий Вдома", например.
Подход логичный и целостный, однако уже установленная возможность для посторонних лиц завладеть нашими "е-документами" вынуждает пересмотреть его ещё раз. Принципиальным становится вопрос о возможности сосуществования нескольких копий программы. Если Дия может функционировать только в единственном экземпляре, тогда, видимо, стоит поторопиться и оформить её на себя. Просто для того, чтобы это не сделали какие-то мерзавцы.
Если же возможно сосуществование нескольких копий, тогда ситуация намного хуже.
Казалось бы, простой вопрос, однако отсутствие какой-либо документации на эту поделку крайне затрудняет поиск ответа на него. К если кто ещё не в курсе, МЦТ и ГП Дия не считают необходимым документировать продвигаемые ими государственные сервисы. Понимая, что иного пути познать Истину нет, в минувшие выходные я решил поставить пару смелых экспериментов.
Зная, что старший сын успел обзавестись Дией, я выдал ему ещё один смартфон. Попытка активировать вторую копию программы оказалась неудачной. В процессе регистрации ID-карты Дия сначала успешно распознала NFC-чип, однако затем застряла на этапе регистрации изображения владельца. Как оказалось, при активации "е-паспорта" путём регистрации ID-карты, необходимо зарегистрировать изображение его владельца, фотографируя его по определённому протоколу с разных ракурсов. Уж не знаю по какой причине, однако несколько попыток закончились сообщением об ошибке. Почему так произошло, выяснить было невозможно. Может, думал я, таким образом блокируется активация второй копии. Может быть - ошибка алгоритма.
Поиск ответа в руководстве пользователя не дало никаких ответов. В службе поддержки нам сообщили, что на двух устройствах одновременно "е-документы" отображаться не будут (см. фото). Вроде бы однозначный ответ, но почему тогда попытка активации на втором устройстве не блокируется сразу? Стало понятно, что эта ветка эксперимента зашла в тупик.
Была не была! Если не мы, то кто же? Вооружившись собственной BankID Привата, активирую первую копию Дии. В ней появляются заграничный паспорт и налоговый номер. Вторую копию ставлю в защищённую область памяти смартфона. Это, по сути, своего рода "песочница" (sandbox), изолированная область операционной системы, в которой можно, например, инсталлировать вторую копию программы, которая не поддерживает переключение между учётными записями. Ввожу данные BankID - получилось! У меня на руках - сразу две полнофункциональные копии "Дии" (см. снимок).
Как такое может быть? У меня большая голова, 62 размер, придумать пару вариантов не проблема. Проблема их проверить. Была не была, беру планшет и активирую третью копию (см. скриншот)!
Итак, вопреки утверждениям представителей ГП Дия и здравому смыслу мне удалось клонировать свои э-документы. Это очень плохая новость с точки зрения безопасности. Злоумышленники могут без проблем завладеть полнофункциональными документами граждан для совершения самых разных противоправных действий.
При активации очередного экземпляра "е-документов" на уже установленные копии Дии приходят соответствующие уведомления. Однако возможности подтвердить или отвергнуть эту операцию у пользователя нет. Если дело происходит ночью, вы узнаете о произошедшем только утром, имея на руках ворох оформленных от вашего имени кредитов. Полчаса - час и всё готово. Думаю,
Богдан Хаустов подтвердит: преступники действуют очень быстро и редко оставляют жертвам достаточно времени для эффективного сопротивления.
В этом месте было бы хорошо отметить представителей
Міністерство цифрової трансформації України и
Дія чтобы задать хотя бы наиболее значимые вопросы:
1. Как так получилось, что в ГП Дия не знают о принципиальной особенности "е-документов", а именно о возможности их клонирования?
2. В картине мира, которой руководствуется ГП Дия возможность клонирования это фича или бага?
3. Отлучение МФО от использования "е-документов", о которых сообщали СМИ носит безусловный и бессрочный характер или МЦТ определило критерии восстановления доступа? Если да, то что это за критерии?
4. Сколько всего договоров в МФО было оформлено с использованием "е-документов" за всё время? Банковских кредитных соглашений?
5. Почему МЦТ ограничилось отключением только МФО? Какая разница, что именно будут делать злоумышленники с помощью чужих "е-документов", заключать кредитные соглашения или получать чужие денежные переводы? Получать чужие отправления в Новой Почте? Переоформлять чужие телефонные номера на контракте?
6.ЧТО ИМЕННО МЕШАЕТ МЦТ И ГП ДИЯ РЕАЛИЗОВАТЬ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ ВОЗМОЖНОСТЬ ОТКАЗА ОТ Е-ДОКУМЕНТОВ? ПОЛНОГО ЗАПРЕТА НА ИХ АКТИВАЦИЮ?
К сожалению, даже первые лица оных МЦТ и ГП Дия склоны юродствовать и петросянить. Поэтому я тегаю всех сразу знакомых мне журналистов, дабы они могли ознакомиться и понаблюдать. Было бы неплохо, если они продублируют приведённые выше вопросы уже от себя.
plan.diia.gov.ua
diia.gov.ua
Якщо техпаспорт оформлений на когось іншого
Чи є е-посвідчення та е-свідоцтво офіційними документами🗃
На яку пошту прийде запрошення на тест застосунку?
Якщо телефон розряджений або відсутній інтернет
Як у застосунку з’явились мої документи?
Чи знають поліцейські про Дію?
