Новостные ленты пестрят сообщениями о приложении «Дія», которую мамкины «хакеры» продают за 120 гривен - подделка электронного сертификата вакцинации.
Но я хотел бы рассказать, в чем заключаются настоящие проблемы.
Сначала о маленьких проблемах.
Во время проверки мало кто нажимает на изображение, чтобы увидеть QR-код, который «живет» не больше трех минут.
Даже при виде QR-кода из предыдущего пункта – практически никто его не сканирует.
А если кто-то даже и сканирует (говорят, что полиция сканирует в 50% случаев) – сервер госресурса может «отдыхать» (неоднократные прецеденты) и нормально работает доступ в Интернет у обеих сторон (множество прецедентов).
Поэтому в случае практически неотвратимых массовых проверок «сертификатов вакцинации» в публичных местах – абсолютное большинство проверяющих удовлетворится визуальным «чем-то» на смартфоне, что похоже на «Дія»-сертификат. Именно для таких целей и сляпан на коленке подлог за 120 гривен.
Все эти проблемы применения документов очень трудно представить с предъявлением бумажных или пластиковых копий, хотя там и есть подделки. Но история «ну да и бумажные документы подделывают, пусть и цифровые тоже подделывают» – она другая, не сейчас.
А сейчас – о настоящих проблемах «Дії».
Проблема приложения «Дія» №1 состоит в том, что в Украине электронные документы приравнены к настоящим, хотя степени систем их защиты не просто несопоставимы, а даже не на одной планете. О системе защиты «Дії» известно лишь то, что она якобы существует (со слов чиновников, которым мы с детства безусловно доверяем). Но никаких доказательств безопасности «Дії» не предоставлены, документация в приложение скрывается, а информация по запросам – засекречивается https://cutt.ly/JRhJwcn
Проблема приложения «Дія» №2 состоит в отсутствии законодательно определенных критериев к е-документам каждого из типов, в том числе медицинских справок. Что касается «физических» документов, существуют целые законы Украины и тона подзаконной регуляторки, которой определяется и состав бумаги, и нанесение водяных знаков, защитных элементов, их расположение, особые отметки, перфорация, и в каком месте все это делается, и как назначается руководитель, и кто контролирует все процессы, отчетность по бланкам, спецрежим пропуска на полиграфкомбинат, еще куча всего.
По е-документам нет практически ничего подобного. Что в технических и юридических понятиях означает «отражение в электронном виде информации, содержащейся в паспорте гражданина Украины» – задачка с десятью звездочками.
Именно поэтому имеют сомнительные судебные перспективы дела по «подделке электронных документов», поскольку не от чего отталкиваться: какие должны быть обязательные признаки/реквизиты настоящего документа, которых нет в поддельном? И кто будет проводить экспертизу? По каким законодательно определенным критериям?
Конечно, по одному-двум случаям МЦТ даст свой вывод (если судья привлечет их в качестве экспертов), но если таких случаев будут тысячи – запарятся бегать в суд.
Именно для этого пишется прозрачная и всем понятная регуляторка, которая затем выкладывается в публичный доступ, - чтобы постичь критерии «фейковости» мог и судья, и следователь, и министр, и участковый инспектор, и даже народный депутат (тот, кто не писал соответствующий закон ).
И проблема приложения №3: можно ли подделать «Дію», в частности в части генерации поддельного сертификата вакцинации?
Не тупую картинку, похожую на настоящий сертификат, которой махать на входе в маршрутку, а так чтобы фейк успешно проходил проверку/валидацию, через сканер самой «Дії».
Именно этим вопросом озадачились несколько действительно серьезных людей https://cutt.ly/gRPlTJA (вся суть – в комментах, и там довольно сложно разобраться).
По предварительным прикидкам – теоретически возможно, но с несколькими оговорками и не прям чтобы «на 100% идентично настоящему».
Насколько я понял, сначала нужен «доброволец» с настоящим сертификатом вакцинации в настоящей «Дії». Поскольку «Дію» официально разрешено клонировать на нескольких устройствах (об ошибочности такой опции эксперты неоднократно указывали разработчикам) – клон приложения разворачивается на отдельном сервере, симулирующем смартфон пользователя (технически несложная задача).
А дальше начинается магия: специально (когда-то, возможно) разработанное приложение, похожее дизайном на «Дію», в режиме реального времени будет брать QR-код с клона настоящего сертификата (с сервера), а на обратной стороне QR-кода «рисовать» ваши ФИО, фото и дату рождения, сохраняя действительный номер сертификата и дату его действительности.
Но пока главная проблема состоит в том, что проверяющий может попросить вас нажать на ваш фейковый QR-код и сверить ваши ФИО и фото с тем, что отобразится в его смартфоне. И они не будут совпадать.
Но если вы показываете только ваш «искусственный» QR-код, проверяющий его сканирует, видит силу сертификата и какого-то ФИО на нем (возможно – с фото).
И вот здесь возможны варианты.
Если фото на сертификате в смартфоне проверяющего нет – проверка практически пройдена. Даже если он попросит показать «обратную сторону» вашего QR-кода – там будет ваше лицо и ваш ФИО. Вчитываться и сравнивать ФИО у вас и у себя – он уже вряд ли будет. Хотя, может.
А вот если на сертификате в смартфоне проверяющего есть фото, и оно будет существенно отличаться от вашего (например, женщина vs мужчина) – здесь можно спалиться. Конечно, это при тщательной и ответственной проверке. Но если это очередь людей на рамке в ТРЦ или в троллейбус, когда люди спешат – проверяющий будет успевать лишь убедиться в валидности сертификата и в лицо вряд ли будет заглядывать, а тем более – сравнивать ФИО. Но даже если и обнаружит несовпадение – ну не пустит в ТРЦ или в трамвай, можно пойти в другой. Сильно сомневаюсь, что будут крутить руки и вызвать полицию. А поставить полицейского у каждой «рамки» и двери в маршрутку – это ненаучная фантастика, даже в украинском полу-полицейском государстве.
Роман Химич уже проводил схожий практический экспертимент в почтовых отделениях: https://cutt.ly/aRPl52i
Споры специалистов еще продолжаются, предлагаются разные теоретические варианты решений. Но что-то мне подсказывает, что, независимо от мнений «белых» экспертов и их выводов, на анонимных телеграмм-каналах довольно скоро появятся более совершенные версии того, о чем сегодня пишут все издания.
И вполне возможно, что разработчики фейков могут использовать то, о чем даже не догадываются эксперты, плюс будут иметь надежную ментовскую «крышу» - как сейчас с продажей медицинских справок.
И так будет, пока будет существовать «презумпция болезни»: человек считается больным, пока он сам не докажет обратное и не предъявит какое-то свидетельство «не-хвори». А черный рынок всегда готов «помочь» с разными справками, в том числе в электронном виде. Особенно в электронном.
О доверии к власти, улучшении медицинской системы, коррупции, гуманной правоохранительной системе – сегодня не буду. Сегодня – только о технических возможностях подделки электронного сертификата вакцинации.
И еще важно. Под видом «фейковой Дії» мошенники будут продавать шпионский софт, приложения, которые будут красть ваши финансовые данные и частные фоточки, а скрытые крипто-вымогатели будут шифровать ваш смартфон. Или кидалово обычное: продавцы возьмут с вас деньги, а их приложение - не будет работать. Не сомневаюсь, так всегда бывает. Поэтому устанавливать приложения советую исключительно из официальных е-магазинов.
К которым «фейковая Дія», даже самая совершенная – вряд ли попадет.
Люди не хотят устанавливать себе «Дію», не хотят сами на себя надевать электронные наручники, но хотят иметь цифровой «зеленый» сертификат, чтобы свободно передвигаться по стране и Миру, ходить в кино и на концерты, вести бизнес и заниматься спортом. Государство же считает всех граждан больными «по умолчанию» и не дает почти никаких альтернатив доказать факт вакцинации, кроме приложения «Дія». Получение цифрового сертификата вакцинации через веб-портал «Дія» – путь истинного самурая, пройти который дано не каждому. Бумажный сертификат без QR – вариант, но ограниченного применения для консерваторов-идеалистов.
Поэтому спрос на различные попытки обхода «Дії» будут иметь большой спрос, а значит – будут создавать предложение: как от мошенников, так и он хакеров. А с учетом «превышенной роли кибербезопасности» - некоторые из этих попыток все же будут иметь успех.
И этот случай с «фейковой Дією» был только началом.
Еще проблемы с приложением «Дія»
Источник:
Константин Корсун
эксперт по кибербезопасности, CEO Berezha Security
https://www.facebook.com/kostiantyn.korsun
|