Об уязвимостях проекта «Дія»

С февраля в Украине работает приложение «Дія», которое должно объединить все электронные услуги государства до 2024 года. Это воплощение обещания президента Владимира Зеленского сделать «государство в смартфоне». В «Дії» можно оплатить штрафы за нарушение правил дорожного движения или получить помощь при рождении ребенка. Сейчас «Дія» – среди лидеров самых популярных приложений в украинском Play Market и App Store – более двух миллионов загрузок. В то же время в команде разработчиков на сайте нет ни одного специалиста по кибербезопасности, а защите персональных данных посвящен только один абзац.

Автор издания «Заборона» Самуил Проскуряков разобрался, чем опасен главный цифровой проект Украины.

Как работает «Дія» и что это такое
«Государство в смартфоне», которое во время президентских выборов обещал украинцам Владимир Зеленский, стало реальностью зимой 2020 года. Публично мобильное приложение с цифровыми документами «Дія» (сокращенно от «Держава и я»), презентовали 6 февраля. Запускать главный цифровой проект страны приехал сам президент. Тогдашний премьер-министр Алексей Гончарук рассказал о планах оцифровать все государственные услуги за три года, а 50 основных – уже в 2020.

Скачать приложение можно бесплатно в App Store и Play Market. Идентификация пользователей происходит с помощью технологии BankID, а дальше «Дія» подтягивает данные из государственных реестров. ID-карта, биометрический паспорт гражданина Украины для выезда за границу, водительские права, техпаспорт и студенческий билет – все это загружается через динамический QR-код, который генерируется каждый раз, когда владелец его показывает, и действует в течение трех минут.
На государственном портале «Дія» уже можно получить почти 30 публичных услуг онлайн, в частности, зарегистрироваться как физическое лицо-предприниматель, изменить деятельность и закрыть ФЛП, оформить справку о несудимости, помощь при рождении ребенка или ежемесячное возмещение стоимости услуг по уходу за ребенком до 3 лет. Также можно подать иск в суд, зарегистрировать авто или получить услуги, связанные с документами водителя, оформить ряд лицензий, разрешений или получить выписки из реестров.

Еженедельно разработчики добавляют новые функции и госуслуги. В частности, 22 апреля стали доступны цифровые паспорта, а для предпринимателей запустили онлайн-платформу «Дія.Бизнэс». Проектом занимается Министерство цифровой трансформации во главе с Михаилом Федоровым. Создавать приложения «Дія» помогали 35 специалистов-волонтеров от крупнейшей в Украине аутсорсинговой IT-компании EPAM Systems.

15 апреля Кабинет министров признал электронные загранпаспорта или ID-карты, загруженные в приложение «Дія», такими же полноценными документами, как и бумажные и пластиковые паспорта, которые они заменяют. Но в закон, который содержит перечень и вид документов, подтверждающих гражданство Украины, соответствующие изменения так и не внесли. Это означает, что признавать документы в приложении могут только государственные учреждения, а не бизнес. То есть такой электронный паспорт могут не принять, например, в супермаркете.

Повышенная таинственность
«Поскольку приложение работает с чувствительными данными граждан, чтобы ему можно было доверять, его код должен быть открыт. Таким образом его можно просматривать и изучать, так независимые специалисты смогут проверить утверждение Минцифры о безопасности персональных данных», – объясняет Забороне политический хакер Украинского Киберальянса Шон Таунсенд.

Например, документация государственных цифровых услуг Сингапура доступна на одном из крупнейших веб-сервисов для совместной разработки программного обеспечения GitHub, там также есть украинская система электронных публичных закупок Prozorro и даже исходный код ядра Linux. Но нигде в открытом доступе нет документации и технического описания приложения «Дія».

К тому же код приложения прошел через процедуру обфускации, то есть запутывания, что затрудняет анализ и понимание алгоритма работы приложения. По словам Шона Таунсенда, запутывания кода достаточно распространенная практика, но в случае с государственным приложением следовало бы наоборот все опубликовать и объяснить, почему принятые именно такие технические решения. «Как можно верить коту в мешке?» – спрашивает он.

Заборона не нашла информации о независимом аудите, а это базовое условие для проверки защищенности персональных данных. Есть только гарантиии самих разработчиков EPAM Systems и слова Федорова, что все под контролем. «Если аудит был, то где публичный отчет? Где техническая документация? «Мы старались» – это не результат, а хорошая эпитафия. Ее пишут на могильном камне, а не на сайте или приложении», – заключает политический хакер.

Заборона попросила предоставить Министерство цифровой трансформации Украины документацию и техническое описание, чтобы узнать, как реализована «Дія». Министерство не ответило нам в определенный законом пятидневный срок, но мы все равно ждем ответа.

У мечты президента много врагов
«Украина – третья в Европе и десятая страна в мире, в которой есть электронные документы в смартфоне», – сказал министр цифровой трансформации Михаил Федоров. Но это далеко от правды. Эксперт рынка телекоммуникаций Роман Химич, председатель юридического департамента Лаборатории цифровой безопасности Вита Володовська и хактивист Шон Таунсенд рассказывают о семи подводных камнях приложения «Дія».

Хранить пароли и ключи в смартфоне ненадежно, ведь его можно легко взломать. Кроме этого, мошенники успешно похищают SIM-карты, а потом получают доступ к счетам в банке, к почте, паспорту и данным ФЛП. Это происходит так: абоненту звонят много раз, добиваются, чтобы он самостоятельно перезвонил. Затем заказывают у оператора услугу восстановления SIM-карты, когда для идентификации абонента его просят назвать несколько последних входящих или исходящих номеров.

Также иногда злоумышленники могут перечислить незначительные суммы средств на мобильный счет своей жертвы, чтобы точно знать дату последнего пополнения счета. Это глобальная проблема. Американский Bitcoin-предприниматель Майкл Терпин несколько раз терял сбережения, потому что у него украли мобильный номер. Даже после того, как он заказал у своего оператора VIP-статус с усиленной безопасностью, у него снова украли номер и сняли со счетов криптовалюту, которая стоила на тот момент 23 млн долларов.

Кражи через интернет-банкинг вообще стали обыденностью. В мессенджере Telegram появилось два бота, которые ищут персональные данные украинских пользователей, в том числе серию и номер паспорта, прописку и ИНН, по номеру телефона за деньги. Боты, скорее всего, берут данные с украденной базы пользователей «ПриватБанка».

В Украине в целом плохо с кибербезопасностью. В январе 2020 года произошла утечка персональных данных граждан, которые зарегистрировались на сайте career.gov.ua для прохождения конкурса на государственную службу. В свободном доступе оказались копии документов кандидатов, в частности паспортов.

Осенью 2019 СБУ вместе с киберполицией задержали группу «черных регистраторов». Они рассылали нотариусам электронные письма от имени государственных органов. В самых письмах были вирусы, таким образом получали удаленный доступ к компьютерам пользователей. Этот доступ мошенники использовали для того, чтобы снимать аресты по недвижимости в Государственном реестре. Группа предлагала заказчикам свои услуги, в частности через мессенджер Telegram, за сумму от 7 до 50 тысяч долларов. В то же время злоумышленники хорошо ориентировались, как снимать аресты по недвижимости, ведь некоторые из них работали в органах юстиции, на должностях государственных исполнителей.
«Мы не можем доверять людям, которые регулярно лажают и призывают не делать из этого проблемы, – говорит Роман Химич. – Невозможно доверять данным, которые не защищены надлежащим образом, тем более если уже есть прецеденты успешных атак».

Пароли, подписи, ключи идентифицируют устройство, а не человека. В конце августа 2016 года в системе е-декларирования появилась поддельная декларация, заполненная неизвестным лицом от имени члена Нацагентства по предупреждению коррупции Руслана Рябошапки о том, что он якобы получил 25 миллионов гривен от фиктивной компании. Это не взлом: фальшивая электронная декларация была подписана настоящим электронным ключом, созданным госпредприятием «Украинские специальные системы». Виновные в подделке до сих пор не нашлись, а Государственная служба специальной связи и защиты информации (ГСССЗИ) и совсем не увидела необходимости в проверке центра сертификации ключей ГП «УСС».

«Двери не видят, кто вставляет ключ. Компьютер не видит, кто вводит пароль. Ваш ключ – это не вы. Если кто-то доберется до вашего телефона, то сможет получить цифровую подпись на ваше имя в «ПриватБанке» в режиме онлайн. И использовать ее с другого компьютера без вашего ведома», – объясняет Шон Таунсенд.

Слияние реестров облегчает бесконтрольный доступ к информации. В модели, когда вся информация объединена в общий банк данных, возникают новые риски. Так злоумышленники могут легче получить всю необходимую информацию, а не искать ее в разных реестрах. Таунсенд уверен, что копии паспортов, цифровых подписей и баз будут утекать как из незащищенных устройств пользователей, так и от безответственных и коррумпированных чиновников.

Государство и правоохранительные органы получают большое количество чувствительной информации – так открывается огромное пространство для злоупотреблений. В апреле 2019 диверсионная группа устроила неудачное покушение на украинского разведчика Кирилла Буданова. Машину выслеживали с помощью комплексной системы видеонаблюдения «Бэзпэчнэ мисто». В материалах суда указано, что доступ к системе предоставил сотрудник налоговой полиции Киева. За два года до этого боевик так называемой «Донецкой народной республики» Олег Шутов заложил взрывчатку под автомобиль сотрудника Главного управления разведки Минобороны Украины Максима Шаповала. Полковник погиб. По информации СБУ, машину также выслеживали с помощью «Бэзпэчного миста».

Государственные реестры работают плохо, однако их объединяют. Сам глава Минцифры Михаил Федоров признает, что техническое состояние государственных реестров ужасное. В то же время утверждает, что ведомство работает над наведением порядка.

Собеседник Забороны Роман Химич поясняет, что низкое качество реестров является следствием сложного комплекса проблем, на которые Минцифры не влияет. «О проблемах с реестрами персональных данных граждан известно как минимум лет десять. Речь идет о наличии множества ложных данных в пределах отдельно взятых реестров и, что особенно важно, несоответствия между персональными данными граждан в различных реестрах. Это делает сложным или невозможным массу, казалось бы, тривиальных задач вроде запроса данных о гражданине самими чиновниками. Поэтому в случае с приложением «Дія» мы имеем именно ситуацию цифровизации беспорядка, следствием чего будет уже цифровой беспорядок».

До сих пор нет закона для того, чтобы «Дія» легально работала. Председатель юридического департамента Лаборатории цифровой безопасности Вита Володовська говорит, что «Дія» вообще не предусмотрена ни одним законом, только постановлениями Кабмина. По закону, у каждого реестра есть отдельный администратор (чаще Минюст или Министерство внутренних дел). Информация из этих реестров передается в систему Минцифры и госпредприятия, которое обеспечивает функционирование приложения «Дія». Отсюда вопрос о законности обработки приложением и порталом персональных данных. Приложение, например, предусматривает возможность передавать данные третьим лицам, но не показывает, кому именно.

«Дія» на самоизоляции
7 апреля Минцифры презентовало «Дій дома» – приложение, которое позволяет мониторить, как граждане выполняют режим обсервации и самоизоляции. Похожие приложения есть в Китае, Сингапуре, Израиле и Польше. Власти подчеркивают, что это приложение добровольное, но в описании на Google Play Market утверждалось, что «приложение в обязательном порядке устанавливается в смартфоны лиц, которые могут быть потенциальными носителями вируса COVID-19 и которые зарегистрированы в медучреждениях как нуждающиеся в самоизоляции или обсервации». Позже описание изменили на более нейтральное, «в обязательном порядке» исчезло.

Приложение проверяет фотографии лица и геолокации мобильного телефона в момент фотографирования. После установки «Дій дома» в случайные промежутки времени в течение дня пользователь получает push-сообщения. После этого нужно обязательно сделать фото своего лица в течение 15 минут.

В случае несоответствия геолокации или фотографии, отсутствия связи с мобильным приложением, удаление, установление ограничений по передаче информации с помощью мобильного приложения, в органы Национальной полиции направляется уведомление о случае нарушения условий самоизоляции. И уже правоохранители будут решать, надо ли приехать и проверить.

До 8 апреля пользование приложением было добровольным, после – стало обязательным для потенциально больных, вернувшихся из-за рубежа. Есть риск, что это приложение могут начать использовать для тотального контроля.

По материалам: cripo.com.ua