"Народное багбаунти" и его дивные плоды
Не является секретом, что т.н. багбаунти приложения "Дия" является профанацией. В частности, его участники ковыряют вовсе не то приложение, которым пользуются миллионы граждан. Минцифры выдаёт за "Дию" некий муляж, схожий с ним лишь внешне. В частности, у этого муляжа отстутствует вся сразу функциональная часть, обеспечивающая авторизацию по BankID и распознавание лица, т.е. PhotoID. Участникам не предоставлены тестовые ID-карты для проверки авторизации через NFC. При этом, напомню, BankID уже использовали для успешных атак, а про свою способность обойти PhotoID лично мне заявили две отдельные группы энтузиастов.
Если называть вещи своими именами, участники багбаунти Минцифры на шару участвуют в PR-мероприятях ведомства, легитимизируя его неприличные телодвижения. У народа Украины не осталось иного выхода, кроме как организовать изучение и поиск уязвимостей в е-паспортах aka "мобильное приложение Дия" своими собственными силами. Народное, так сказать, багбаунти. Без денег (по крайней мере пока), но с огоньком. Собственно говор, выявление дефектов е-документов Минцифры продолжается уже второй год. Однако конец октября знаменовал переход этого процесса в новую фазу.
24 октября я задал всем людям доброй воли вопрос о возможности создания двухкомпонентной модели всевозможного identity fraud на базе е-документов МЦТ. Буквально сразу же, не теряя ни минуты драгоценного времени Алексей Выскуб вынес неизменный вердикт: "Фух. Какой же бред. No comments ..."
Между тем за прошедшие три недели мне накидали идей - мама не горюй. Добрых граждан как то уж очень не по-детски торкнуло, заискрилась мысль, попёрли идеи. Наиболее яркие из них опишу попозже. Я лично взял повышенные обязательства и уже готов представить Proof Of Concept двух весьма несложных мошеннических схем с использованием Дии, причём с вполне понятной бизнес-моделью. Если представителям СМИ интересно, можем организовать презентацию.
Пока же изложу наиболее элегантный и простой способ Identity fraud, который мне подсказали неравнодушные граждане.
Прежде чем продолжить давайте зафиксируем ключевую особенность уже вполне сложившейся, устоявшейся практики использования е-документов в нашей стране. После четырёх месяцев пользования и нескольких экспериментов вырисовалась следующая иерархия должностных лиц исходя из того, как именно они пользуются е-документами.
1. Те, кто ограничивается взглядом на экран смартфона - то ли на карточку документа, то ли на его QR-код;
2. Те, кто просят подвигать карточки туда-сюда, чтобы убедиться, что это не статическая картинка;
3. Те, кто просят показать, как генерируется QR-код;
4. Те, кто сканируют QR-код, проверяя его валидность. Это очень, очень продвинуты уровень, настоящий Босс.
Все четыре уровня "проверки" не предполагают самого главного - сверки фотографии в е-документе с физиономией предъявителя. За четыре месяца у меня попросили опустить маску и показать лицо единственный раз, в банке Аваль. По сути, в Украине проверяется не наличие указанного в удостоверяющем документе физического лица, но всего лишь наличие и/или подлинность самого документа. Вместо последовательной верификации документа (не подделан ли) и пользователя (совпадает ли с фото в документе) происходит всего лишь проверка наличия е-документа как такового безотносительно наличия удостоверяемого им лица.
В абсолютном большинстве случаев неважно, насколько похожи фотография в е-документе и предъявляющее его лицо. Предположу, что должны совпадать пол и более-менее возраст. Стоит заметить, что аналогичная ерунда происходит повсеместно в мире. О чём говорить, если даже в Китае, по свидетельствам живущих там людей, QR-коды проверяют в одном случае из нескольких десятков. Так что ужесточение режима и повышение требований к проверяющим не поможет. Не проверяли, не проверяют и не будут проверять.
Итак, поехали.
Исходным пунктом является уже достаточно распространённая (лично знаю такие примеры) практика передачи QR-кодов про вакцинацию людям, которые не желают вакцинироваться сами. В известных мне случаях в роли донора выступают более-менее молодые люди, помогающие своим родственникам, категорически не желающим вот этот вот. Бабушкам и дедушкам обычно выдаётся QR-код на бумажке. Если же разница в возрасте не сильно велика, реципиент ставит на свой смартфон "Дию", активированную данными донора и нагло тычет её проверяющим. Проверяющим это в большинстве случаев хватает.
Важный нюанс - право устраивать основательную проверку есть только у silovik. Обычному вахтёру на входе в ТРЦ или в маршрутке нет смысла проявлять рвение - у него нет полномочий в случае эскалации. Будет настаивать - обматерят и уйдут, кому это нужно? Риск злоупотреблений учётными данными донора (тем же BankID) принимается несущественным, поскольку речь идёт о родственниках.
Каким образом можно адаптировать эту схему для оказания подобных услуг уже за деньги, для неограниченного круга людей? Для совсем-совсем неограниченного круга не получится ввиду риска ненужной огласки и появления silovik с контрольной закупкой. Если же речь идёт о людях лично знакомых и уверенных в том, что контрагент не пойдёт и не сдаст тебя полиции just for fun, можно использовать следующую несложную схему.
Пусть это будет студенческая среда. Молодёжь, кстати, демонстрирует очень высокий уровень ковидиотства, я бы даже сказал зашкаливающий. При этом алкает возможности невозбранно посещать все сразу злачные места, ездить в метро и всячески прожигать жизнь.
Юный предприниматель покупает на чёрном рынке пакет банковских документов случайного человека, т.н. дропа. Пакет включает паспортные данные, пластиковую карту украинского банка, SIM-карту с финансовым номером, логин и пароль к личному кабинету. Как вы уже догадались, в руках нашего Маска (или Безоса, надо обсуждать) оказывается BankID и возможность заполучить е-паспорт на имя дропа.
Далее деятельный юноша (а может и барышня) то ли идёт и подписывает декларацию с каким-то семейным врачом, то ли сразу вакцинируется под чужим именем. В Украине до сих пор нет единообразия в этом вопросе, в зависимости от обстоятельств можно и так, и так. По моему опыту медики не склонны задавать лишних вопросов и не тратят время на полноценную идентификацию очередного пациента.
Заполучив QR-код о вакцинации, стартапер банально продаёт своим знакомым право пользоваться е-документами, которые он более-менее контролирует благодаря наличию у него финансового номера. Риски злоупотреблений его не волнуют, поскольку его это не может затронуть. Дропу тоже всё равно. Если не увлекаться и не продавать эту услуги налево-направо риск огласки и появления полиции исчезающе мал. При том размере штрафов, которые заявило государство, за пользование полноценными е-документами о вакцинации можно назначить ежемесячную плату в несколько сотен гривен.
Эти простенькие, при этом надёжные схемы identity fraud стали возможны благодаря тому, что в МЦТ считают крутейшей фишкой - возможности одновременного сосуществования множества (судя по всему - неограниченного, хоть сто, хоть миллион) экземпляров е-документов одного и того же лица. Вместо общепринятого в мире взрослых людей принципа "один человек - один носитель - один документ" в Украине реализована совершенно альтернативная модель. Пользуясь случаем заверяю всех заинтересованных лиц, что не слезу с министерства, пока оно не прикроет хотя бы эту дырищу в безопасности е-документов.
В следующем выпуске - описание первого POC и ещё одной красивой схемы, о которой с самого начала предупреждали эксперты Киберальянса.
Если называть вещи своими именами, участники багбаунти Минцифры на шару участвуют в PR-мероприятях ведомства, легитимизируя его неприличные телодвижения. У народа Украины не осталось иного выхода, кроме как организовать изучение и поиск уязвимостей в е-паспортах aka "мобильное приложение Дия" своими собственными силами. Народное, так сказать, багбаунти. Без денег (по крайней мере пока), но с огоньком. Собственно говор, выявление дефектов е-документов Минцифры продолжается уже второй год. Однако конец октября знаменовал переход этого процесса в новую фазу.
24 октября я задал всем людям доброй воли вопрос о возможности создания двухкомпонентной модели всевозможного identity fraud на базе е-документов МЦТ. Буквально сразу же, не теряя ни минуты драгоценного времени Алексей Выскуб вынес неизменный вердикт: "Фух. Какой же бред. No comments ..."
Между тем за прошедшие три недели мне накидали идей - мама не горюй. Добрых граждан как то уж очень не по-детски торкнуло, заискрилась мысль, попёрли идеи. Наиболее яркие из них опишу попозже. Я лично взял повышенные обязательства и уже готов представить Proof Of Concept двух весьма несложных мошеннических схем с использованием Дии, причём с вполне понятной бизнес-моделью. Если представителям СМИ интересно, можем организовать презентацию.
Пока же изложу наиболее элегантный и простой способ Identity fraud, который мне подсказали неравнодушные граждане.
Прежде чем продолжить давайте зафиксируем ключевую особенность уже вполне сложившейся, устоявшейся практики использования е-документов в нашей стране. После четырёх месяцев пользования и нескольких экспериментов вырисовалась следующая иерархия должностных лиц исходя из того, как именно они пользуются е-документами.
1. Те, кто ограничивается взглядом на экран смартфона - то ли на карточку документа, то ли на его QR-код;
2. Те, кто просят подвигать карточки туда-сюда, чтобы убедиться, что это не статическая картинка;
3. Те, кто просят показать, как генерируется QR-код;
4. Те, кто сканируют QR-код, проверяя его валидность. Это очень, очень продвинуты уровень, настоящий Босс.
Все четыре уровня "проверки" не предполагают самого главного - сверки фотографии в е-документе с физиономией предъявителя. За четыре месяца у меня попросили опустить маску и показать лицо единственный раз, в банке Аваль. По сути, в Украине проверяется не наличие указанного в удостоверяющем документе физического лица, но всего лишь наличие и/или подлинность самого документа. Вместо последовательной верификации документа (не подделан ли) и пользователя (совпадает ли с фото в документе) происходит всего лишь проверка наличия е-документа как такового безотносительно наличия удостоверяемого им лица.
В абсолютном большинстве случаев неважно, насколько похожи фотография в е-документе и предъявляющее его лицо. Предположу, что должны совпадать пол и более-менее возраст. Стоит заметить, что аналогичная ерунда происходит повсеместно в мире. О чём говорить, если даже в Китае, по свидетельствам живущих там людей, QR-коды проверяют в одном случае из нескольких десятков. Так что ужесточение режима и повышение требований к проверяющим не поможет. Не проверяли, не проверяют и не будут проверять.
Итак, поехали.
Исходным пунктом является уже достаточно распространённая (лично знаю такие примеры) практика передачи QR-кодов про вакцинацию людям, которые не желают вакцинироваться сами. В известных мне случаях в роли донора выступают более-менее молодые люди, помогающие своим родственникам, категорически не желающим вот этот вот. Бабушкам и дедушкам обычно выдаётся QR-код на бумажке. Если же разница в возрасте не сильно велика, реципиент ставит на свой смартфон "Дию", активированную данными донора и нагло тычет её проверяющим. Проверяющим это в большинстве случаев хватает.
Важный нюанс - право устраивать основательную проверку есть только у silovik. Обычному вахтёру на входе в ТРЦ или в маршрутке нет смысла проявлять рвение - у него нет полномочий в случае эскалации. Будет настаивать - обматерят и уйдут, кому это нужно? Риск злоупотреблений учётными данными донора (тем же BankID) принимается несущественным, поскольку речь идёт о родственниках.
Каким образом можно адаптировать эту схему для оказания подобных услуг уже за деньги, для неограниченного круга людей? Для совсем-совсем неограниченного круга не получится ввиду риска ненужной огласки и появления silovik с контрольной закупкой. Если же речь идёт о людях лично знакомых и уверенных в том, что контрагент не пойдёт и не сдаст тебя полиции just for fun, можно использовать следующую несложную схему.
Пусть это будет студенческая среда. Молодёжь, кстати, демонстрирует очень высокий уровень ковидиотства, я бы даже сказал зашкаливающий. При этом алкает возможности невозбранно посещать все сразу злачные места, ездить в метро и всячески прожигать жизнь.
Юный предприниматель покупает на чёрном рынке пакет банковских документов случайного человека, т.н. дропа. Пакет включает паспортные данные, пластиковую карту украинского банка, SIM-карту с финансовым номером, логин и пароль к личному кабинету. Как вы уже догадались, в руках нашего Маска (или Безоса, надо обсуждать) оказывается BankID и возможность заполучить е-паспорт на имя дропа.
Далее деятельный юноша (а может и барышня) то ли идёт и подписывает декларацию с каким-то семейным врачом, то ли сразу вакцинируется под чужим именем. В Украине до сих пор нет единообразия в этом вопросе, в зависимости от обстоятельств можно и так, и так. По моему опыту медики не склонны задавать лишних вопросов и не тратят время на полноценную идентификацию очередного пациента.
Заполучив QR-код о вакцинации, стартапер банально продаёт своим знакомым право пользоваться е-документами, которые он более-менее контролирует благодаря наличию у него финансового номера. Риски злоупотреблений его не волнуют, поскольку его это не может затронуть. Дропу тоже всё равно. Если не увлекаться и не продавать эту услуги налево-направо риск огласки и появления полиции исчезающе мал. При том размере штрафов, которые заявило государство, за пользование полноценными е-документами о вакцинации можно назначить ежемесячную плату в несколько сотен гривен.
Эти простенькие, при этом надёжные схемы identity fraud стали возможны благодаря тому, что в МЦТ считают крутейшей фишкой - возможности одновременного сосуществования множества (судя по всему - неограниченного, хоть сто, хоть миллион) экземпляров е-документов одного и того же лица. Вместо общепринятого в мире взрослых людей принципа "один человек - один носитель - один документ" в Украине реализована совершенно альтернативная модель. Пользуясь случаем заверяю всех заинтересованных лиц, что не слезу с министерства, пока оно не прикроет хотя бы эту дырищу в безопасности е-документов.
В следующем выпуске - описание первого POC и ещё одной красивой схемы, о которой с самого начала предупреждали эксперты Киберальянса.