Про дефекты "е-паспортов"
May. 19th, 2021 01:55 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
totaltelecomМы перешли в личку и продолжили дискуссию там. Вот как выглядят ответы Евгения, которые я не вижу в ленте у Шона:
---Начало цитаты---
1. Если от вас морозится ГМС, то инхаус команда разработки приложения Дия тут вряд ли поможет.
ГМС не выступает в роли бекенда приложения Дия, ибо у приложения свой бекенд, а реестр ГМС это источник верификации определенного набора данных.
2. Просто отображение документа в смартфоне не дает права передать их электронные копии подписанные электронной подписью пользователя третей стороне. Предусмотрено несколько контуров защиты: liveness detection, face recognition, 5ти значный пин код (не путать с пином для входа в приложение) проверка активной сессии в банке, который авторизовал юзера и отключение аккаунта в случае не активности сессии в банке (сработал антифрод), контроль и управление активными сессиями в приложении Дия на аккаунте юзера и нотификации о новых подключениях.
Итого: любая чувствительная операция требует точной идентификации юзера и проходит проверки на фрод.
3. Во-первых, у нас нет идентификации по номеру телефона, не знаю откуда вы это взяли и комментировать тут нечего. Во-вторых, если речи идёт именно про идентификацию, то результатом идентификации является ответ да/нет, атаковать там нечего. Если же говорить про шеринг документов, то перехват самого кода не имеет значения, так как код одноразовый, имеет очень короткий жизненный цикл и выписан под определённую операцию выполнить которую можно только по запросу из доверенного источника (партнёрской организации). Запрос защищён персональным и сессионным токенами выданными партнёрской организации и требует персонального подтверждения со стороны пользователя. Так что баки про статический QR код каждого документа, по которому любой может получить/перехватить документ не имеют под собой никакой почвы кроме небылиц и хейта.
Важно понимать, что все наши соединения защищены tsl 1.2 , сам контент зашифрован и подписан согласно стандарту дсту-4145, на клиентах есть ssl пининг, safetynet аттестация, и проверка на root.
4. Задача инхаус команды подготовить документацию и реализовать решение. Передача и публикация любых документов, а тем более с грифом ограничения доступа это не наша зона ответственности. К сожалению в гос секторе все гораздо жёстче чем в коммерческой разработке.5. Никаких pdf файлов я вам не отправлял, полагаю имеет смысл спросить у отправителя. Меня не информируют о всех запросах и ответах на них.
---Конец цитаты---
Дальше было много-много интересного, но, к сожалению, Евгений возражает против того, чтобы я обнародовал наше общение. В двух словах в который раз происходил разговор на разных языках. Я не знаю, насколько искренне команда Дии хочет донести свою позицию и снять возражения в профессиональной среде, но пока что результат этих усилий неудовлетворительный. Полагаю, МЦТ и ГП Дия стоит отойти от привычного формата односторонней коммуникации и перейти к полноценному диалогу. Собственно говоря, на этой ноте мы и расстались с Евгением, который выразил готовность пригласить к себе для сколь угодно глубокого обсуждения.
Из того, что было затронуто в ходе нашей переписки, одним из наиболее важных для меня является вопрос о том, как соотносятся между собой Дия и другие функциональные элементы "е-документов". Напомню, что функционирование этих самых "документов" обеспечивают несколько ИТ-систем, большинство которых ни МЦТ, ни ГП Дия ни в каком смысле не контролируют. Наиболее важными в контексте моих рассуждений являются следующие ИТ-системы:
1. Государственный демографический реестр, администрируемый Государственной миграционной службой. Именно в нём содержатся персональные данные граждан и реквизиты удостоверяющих документов, которые отображаются приложением "Дия".
2. Приложение "Дия". Я так и не понял, почему Евгений Горбачёв не согласен с тем, что "Дия" это интерфейс к данным дем. реестра. Как по мне - именно что интерфейс.
3. Куча сторонних сервисов, посредством которых происходит первичная идентификация пользователей для последующего подключения к "Дии". Среди этого зоопарка я особо выделяю BankID Приватбанка, как имеющее наибольшее число наиболее серьёзных уязвимостей.
Начнём с Дии. В ответ на просьбу предоставить ТЗ и ТУ на КСЗИ Дии, МЦТ присылает битые файлы. Обратите внимание, оно не пишет "идите в лес, это государственная тайна", нет, попросту говоря, МЦТ признаёт легитимность подобных вопросов. Однако отвечать на них честно не хочет, вместо этого клоунирует как умеет.
ГМС и Демографический реестр, сердце "Дии". По словам знакомых журналистов, в ГМС просто игнорируют вопросы касательно безопасности/аутентичности/целостности данных в реестре. Хотя по примеру МЦТ могли бы присылать порченные файлы. При этом с госреестрами в Украине давно имеет место жопа. Причём жопа, сплошь и рядом заверенная КЭП должностных лиц.
Что делает МЦТ с давно известной проблемой фальсификации сведений в госреестрах? Ничего, говорят, что это не их ответственность. Однако и там, где у МЦТ имеется полный набор полномочий, оно не делает ничего с вопиющими злоупотреблениями.
Напомню, что с конца 2019 года роль Центрального заверительного органа возложена именно на Минцифры. Вы что-то слышали о решительных мерах по искоренению практики использованиям КЭП нотариусов для всякой дичи? Я - нет. Про "кейс Рябошапки" уже и вспоминать как-то неудобно, ответственные лица, которые находятся под подозрением в связи с этой позорной историей, нашли себе тёплое место именно в МЦТ.
Идём дальше.
BankID Приватбанка. Всё плохо, по-настоящему плохо. Эта услуга идентификации стабильно предлагает наибольшее количество дыр, через которые плохие парни в промышленных масштабах майнят цифровую идентичность добрых граждан. Пока что украденные учётки BankID Приватбанка используют для оформления поддельных кредитов в МФО. Что именно может помешать им использовать эти же учётки для завладения "е-документами" Дии? Хотелось бы услышать на сей счёт внятный ответ без обычной для представителей Дии демагогии.
Как видите, вопросов более чем достаточно, налицо большая нехватка ответов. Не отписок и ёрничания, а содержательных ответов, которые не оставляют пространства для разночтений. Если МЦТ/ГП Дия будут и дальше их игнорировать, будет как в последней публикации Дело.ua накануне очередного "Дия саммит". То есть критика, критика и ещё раз критика.
Свой комментарий приведу здесь в изначальном виде:
"В Украине с 2015 года регулярно фиксируются многочисленные случаи компрометации так называемых электронных доверительных услуг, включая цифровые подписи и всевозможные государственные реестры. В частности, в Украине де-факто не работает основополагающий принцип профильной европейской директивы eIDAS: квалифицированная цифровая подпись украинца не тождественна его собственноручной.
Дело доходит до того, что украинские нотариусы и регистраторы используют свои легитимные цифровые подписи для противоправных действий, а в случае разоблачения без проблем доказывают в суде, что эти действия совершали не они, а некие хакеры, установившие контроль над их компьютерами. Таких дел уже сотни, если не тысячи, при этом замешанные в подобных историях нотариусы и регистраторы не то, что не получают хотя бы условные сроки, но даже не теряют лицензии (таки теряют, примрено 30 лицензий отозвано, однако некоторые их вернули через суд - Р.Х.). Приходится говорить о том, что в Украине нефункциональна вся национальная система доверительных услуг, любой факт цифровой идентификации или фиксации правоотношений может быть успешно оспорен в суде.
Один из основных изъянов архитектуры «Дії” заключается в том, что подключение к сервису осуществляется в том числе с помощью BankID Приватбанка. Стоит напомнить, что BankID как средство электронной идентификации имеет всего лишь средний уровень доверия. Это означает, что процедуры его использования не гарантируют невозможность подмены идентифицируемого лица.На сегодняшний день из-за дефектов политики ПриватБанка, существует много, то ли десятки, то ли сотни тысяч, никто не знает, “спящих” учётных BankID этого финучреждения. Речь идёт об учётных записях, пользователи которых сначала прекратили пользоваться услугами банка, а затем сменили номера мобильной связи, ассоциированные с этими BankID. В результате этими номера пользуются другие люди, которые даже не подозревают о таком “довеске”. Данная ситуация обусловлена тем, что в свое время банк агрессивно навязывал свои карты даже тем, кто не собирался ними пользоваться. Когда карту оформляли, человек оставлял в банке свой номер мобильной связи, поскольку в качестве главного идентификатора там используют именно номер телефона. В ходе регистрации этот номер автоматически связывался с BankID.
ПриватБанк не проверял и не проверяет статус зарегистрированных у него т.н. финансовых номеров, связанных с BankID — персонифицированы ли они, кто ими пользуется и пользуется ли вообще. Как результат в прошлом году зафиксировано появление практики целенаправленного поиска преступниками “бесхозных” финансовых номеров и завладения ими с целью активации «спящих» учётных записей BankID. Попросту говоря, возникла схема кражи идентичности, идентификации под видом другого человека.
К сожалению, завладеть номером достаточно просто — злоумышленники несколько раз звонят на него или пополняют на мелкие суммы денег, потом в отделении связи заявляют, что потеряли сим-карту, называют последние действия (звонки и пополнения) и получают новую карточку с этим же номером. Ещё проще завладеть бесхозным номером, если он поступил в дилерскую сеть для повторной продаже в составе стартового пакета. Напомню, что количество номеров не бесконечно, имеет место своего рода круговорот номерного ресурса.
В ПриватБанке для получения доступа к BankID достаточно владеть SIM-картой с финансовым номером. Пользователь инициирует восстановление пароля и получает его в СМС на свой номер. Это грубейшее нарушение всех принципов безопасности в угоду упрощения процедур взаимодействия, увеличения т.н. конверсии. В итоге, получив доступ к номеру мошенник обзаводится заодно и «спящим” BankID ничего не подозревающего об этом лица.
Если раньше таким образом можно было получить в МФО до десятка кредитов, теперь появилась возможность получить также доступ к е-документам в «Діє” и под видом какого-нибудь несчастного безнаказанно совершать юридически значимые юридические действия. Стоит признать, что хотя BankID прекрасный инструмент, он не подходит для использования в наиболее значимых случаях, его регламенты необходимо усилить.
Обсуждая вопросы внедрения электронных паспортов, необходимо осознавать, что государственная система цифровой идентификации граждан не сводится к одному только мобильному приложению, это публичный сервис, состоящий из множества элементов. «Дія” - только одно из звеньев, она может быть сколь угодно хороша и неуязвим а сама по себе, но ее взаимодействие с другими элементами имеет дефекты, которыми уже сейчас известны преступникам. Попросту говоря, система цифровой идентификации не продумана на всех этапах, а за ее безопасность в целом никто не отвечает.
В Минцифры утверждают, что их портал не хранит данных, а просто пользуется данными из реестра, которым управляет Государственная миграционная служба. На вопрос о том, кто же отвечает за сохранность и подлинность этих данных, там пожимают плечами и отсылают в ГМС. А там в свою очередь игнорируют этот момент. То есть недостаточно разработать хорошее приложение, необходимо продумать всю систему, проверить насколько безопасны все ее составляющие и есть ли слабые места".
