Большое Дієвое Приключение
Идея Минцифры превратить по случаю карантина свой флагманский продукт, мобильное приложение "Дия", в ключевой инструмент режимных мероприятий, очень скоро проявила один из важнейших дефектов его архитектуры. Идеологи и разработчики "Дии"/"е-документов" совершенно превратно, категорически неадекватно понимали ландшафт угроз (threat landscape), в котором оказалось их детище. Понимали и продолжают понимать, к большому сожалению.
Я конечно, не могу подтвердить свои утверждения ссылками на соответствующие места из документации ввиду её отсутствия в публичном обороте. Однако уже почти полуторалетний опыт общения с первыми лицами МЦТ и ГП "Дия" дали мне достаточно оснований для подобных выводов. Собственно говоря, сама идея "народного багбаунти" возникла как реакция на очередной эпизод общения с оными лицами. Великое Дієвое Приключение началось месяц назад, в последний уикэнд октября.
Всё началось с невинного вопроса, адресованного почтеннейшей публике. Я спросил насколько реалистичным выглядит двухкомпонентая схема identity fraud, где центральная компонента каким-то образом использует валидные е-документы третьих лиц. Вопрос этот возник у меня в результате ознакомлении с новостями о задержании юных "хакеров", которые вышли на рынок соответствующих услуг с чем-то вроде муляжей "Дии".
Первым же комментатором оказался не кто иной как Алексей Выскуб. Он был и лаконичен, и категоричен: "Фух. Какой же бред. No comments...". Эта категоричность и тогда, месяц назад, выглядела довольно странно. Насколько я могу воссоздать позицию "диевых", они находят смешной и нелепой само предположение о возможности генерировать валидные е-документы с произвольными (читай - "левыми") установочными данными. Это, мол, практически невозможно, поскольку предполагает доступ к приватным (секретным) ключам органов власти.
На сегодняшний день подобные документы замечены в нескольких странах ЕС. Да, ни в одном из этих случаев не подтверждено противоправное использование приватных ключей. По крайней мере пока вина возлагается то ли на медперсонал, который злоупотребляет своими полномочиями, то ли на таинственных хакеров, которые получили контроль над процедурами оформления ковид-сертификатов. Что-то мне это напоминает, кстати, что-то очень знакомое… В любом случае сама возможность оформить документы на любое лицо наглядно доказана.
Параллельно в комментариях озорным дельфином резвился Евгений Горбачов, CTO ГП Дия. Источником его неудержимого веселья стала неожиданная идея. Уж не знаю почему он решил, что назначит мне задачу, которая требует приватного ключа. Я заключу с ним пари, не справлюсь с задачей, буду посрамлён и т.д. и т.п. Евгений исчез так же внезапно, как и возник. Для этого оказалось достаточно задать ему казалось бы невинный вопрос: сколько экземпляров "е-документов" одного и того же лица могут сосуществовать одновременно? Элементарный вопрос, на который товарищ Евгений обязан знать ответ, но что-то снова пошло не так.
В этих перебранках в который раз проявил себе характерный изъян в картине мира "диевых". Они зациклились на необходимости наиболее сложной подделки, предполагающей возможность заверять произвольный набор установочных данных цифровой подписью министерства. Между тем уже второй месяц украинцы успешно используют и монетизируют намного более простые, элементарные формы identity fraud. Напомню, что совсем юные (последний по времени случай - 15 лет) энтузиасты успешно продают банальные муляжи "Дии", не обладающие никакой вообще функциональностью.
В первой части настоящего обзора изложены характерные особенности уже вполне сложившейся практики использования е-документов МЦТ. Эти особенности открывают широчайшие перспективы для использования "е-документов" противоправным образом. Начиная с элементарного использования чужих е-документов и заканчивая довольно изощрёнными подходами.
Движущей силой неизбежных экспериментов является экономическая мотивация. В этой теме слишком много денег. По-настоящему много. О чём говорить, если даже упомянутый выше юный стартапер выручал за свои муляжи от 250 до 650 гривен? Причём самый первый из задержанных, которому на тот момент был 21 год, назначил цену в 100 гривен. При том раскладе, который сдало нам государство, такие деньги можно получать не разово, а ежемесячно. Продукт будет чуть-чуть сложнее, зато и результат будет другой, и риски намного меньше.
За последние недели своими соображениями со мной поделилилсь очень разные люди. Среди них были и представители другой, так сказать, стороны цифровизации. С обратной стороны Луны. В результате родилось 100% реалистичное, feasible решение по предоставлению массовых услуг обхода карантинных ограничений, подмены личности и других форм identity fraud. Ниже я опишу то, куда прямо сейчас несётся наша фіра. То, чего необходимо избегать всеми силами, поскольку если этот джинн вырвется из бутылки, строить дворцы он точно не будет. Большое Дієвое Приключение заключается в том, что пассажиры нашего "Титаника" с любопытством смотрят на приближающийся айсберг, гадая выдержит он столкновение с выдающимся творением человеческой мысли или нет? Или пройдёт мимо? Интересно же.
Прежде чем начать, сделаю важное замечание. Эксперты с той стороны резонно указывают, что 50% успеха подобного предприятия обеспечивает адекватная организационная модель. Чтобы вырастить полноценного "единорога", необходимы неограниченная, по сути, масштабируемость и устойчивость к неизбежному противодействию государства. Охватить даже миллион потенциальных потребителей - нетривиальная задача, а у нас их, как мы уже выяснили, на порядок больше. Десять миллионов, на минутку. Такая модель есть, она давно известна и многажды апробирована, проста как всё гениальное, поэтому я не буду её озвучивать на людях. Будем считать, что всё завязано на Телеграм-каналы и боты.
Итак, речь идёт о бирже, где цена на продукт определяется свободной игрой спроса и предложения. Товар, который на ней продаётся, это услуги поиска, приобретения и аренды артефактов, используемых для идентификации граждан с помощью мобильного приложения "Дия".
На бирже предлагаются три разновидности подобных артефактов:
• Скриншоты с установочными данными;
• Скриншоты с QR-кодами ковидных-сертификатов;
• Скриншоты с QR- и штрихкодами валидации е-паспортов.
В первых двух случаях речь идёт о статических, неизменных во времени объектах. Они предоставляются на условиях продажи. Коды валидации живут всего три минуты, поэтому речь идёт о ежемесячной подписке либо оплате Pay per Click, по факту успешно выполненного запроса. Пока клиент платит, он имеет возможность получить по запросу валидный код. Перестаёт платить - перестаёт получать.
Ключевым элементом биржи является по-настоящему большая база данных, которая содержит персональные данные десятков, если не сотен тысяч граждан. Ещё лучше - миллионов. Поиск в ней осуществляется по изображению, а именно - фотографии в е-документах.
Новый клиент начинает с того, что устанавливает у себя клиентское приложение, назовём его "ЗлоДія". Оно в точности воспроизводит оригинальное приложение, включая анимацию, PIN-код и прочее. За небольшие деньги можно активировать приятные мелочи наподобие возможности назначить "тревожный" PIN-код. Набираешь его и приложение начинает "глючить" или вовсе перезагружает телефон. Это может быть полезно в случае внезапной проверки или обыска.
По умолчанию "ЗлоДія" предлагает одну-единственную функцию в части identity fraud - возможность дополнить фейковые данные свей фотографией. Это, с одной стороны, работает на укрепление лояльности бренду, с другой - стимулирует пользование платными услугами. По мере того, как будет расти проникновение приложения, вахтёры перестанут ограничиваться беглым взглядом на открытую приложуньку и начнут массово проверять валидность предъявляемых е-документов.
Разумеется, "ЗлоДія" является open source приложением, оставляя сесурити сру обскурити хорошим мальчикам из ГП Дия. Всё прозрачно настолько, насколько это может быть.
Желая получить больше, нежели красивый муляж, клиент фотографируется анфас, как для паспорта. Поисковый механизм биржи предлагает ему на выбор более-менее похожие физиономии, ранжируя их по степени сходства. У каждого варианта есть цена, которую назначил ему владелец соответствующего артефакта. Должна быть у клиента возможность предложить свою цену или нет - вопрос обсуждаемый.
Оплатив выбранный вариант, клиент получает "ЗлоДію" с персональными данными лица, которое на него более-менее похоже. А это, как мы понимаем, совсем другой коленкор.
Можно предположить, что данные о гражданах с наиболее характерными, распространёнными чертами лица окажутся наиболее востребованными. Их будут чаще заказывать, что однозначно скажется на их цене. С другой стороны, чем более выделяющаяся, нехарактерная внешность у клиента, тем сложнее ему найти подходящего двойника. Поэтому свободная игра спроса и предложения, рынок и вот это всё.
Использование статических изображений не даёт ответа на Главный Вызов - риск столкновения с полицией и полноценной идентификации. Таковая идентификация, во-первых, предполагает предъявление своей физиономии и её сопоставление с изображением в е-документе после чего, во-вторых, проверяющие должны выполнить валидацию е-документа на своём устройстве.
Не буду пересказывать все перипетии творческого поиска, сразу перейду к найденному решению. Вместе с моим старшим сыном мы выполнили PoC программного сервиса, который по запросу извне генерирует QR-код е-документа в "Дие", затем делает скриншот и отправляет куда надо. Иными словами, осуществляет "туннелирование" артефактов, используемых для валидации е-документов конкретного лица, на любое устройство. Оказывается, для этого не нужны никакие виртуальные машины или электромеханические стенды с фотографиями. Архитекторы "Дии", да ниспошлёт им Всевышний ещё больше мудрости, сделали, кажется, всё возможное, чтобы подобные фокусы были максимально простыми.
Итак, участник биржи, который решил зарабатывать, предоставляя QR-коды валидации е-документов, берёт отдельный смартфон или планшет и разворачивает там "Дию" с учётной записью "донора". Запускает простенький программный сервис, детали которого будут представлены на следующей в рамках отдельного закрытого мероприятия. Ставит на зарядку и отправляется по своим делам. Самое интересное, что это могут быть е-документы самого торговца. Напомню, что Минцифры предусмотрело два способа использования е-документов, т.н. верификацию и т.н. шеринг. Второй из них предполагает отдельный запрос хозяину е-документы, причём непременно от юридического лица. В этом запросе, который появляется на экране "Дии", указывается кто и зачем запрашивает е-документы. Без подтверждения операция не будет завершена.
Механизм туннелирования защищает владельца е-документов от наиболее опасных злоупотреблений. Он попросту не будет подтверждать непонятные запросы. А кто и зачем будет за разумное вознаграждение предъявлять его е-паспорт - для многих вопрос вознаграждения, которое они за это получат. При этом у него остаётся возможность пользоваться этими е-документами на других устройствах.
По мнению привлечённых экспертов, можно ожидать три источника удостоверяющих артефактов, три потенциальные категории майнеров:
• Всевозможные "вахтёры", имеющие право запрашивать и возможность скрытно накапливать первые две разновидности удостоверяющих артефактов;
• Подростки, которые по опыту РФ и РБ готовы участвовать в противоправной деятельности, если она правильным образом геймифицирована и сулит заметный для них доход;
• Широкие неорганизованные массы граждан, готовых рисковать даже собственными ПД ради дополнительного дохода.
Новый участник торгов начинает с того, что загружает имеющиеся у него фотографии и ковид-сертификаты, подтверждает наличие в его распоряжении артефактов, которые желает сдавать в аренду. Биржа отфильтровывает те, что уже имеются. На остальной товар устанавливается цена. Всё честно и без обмана.
Успех подобного предприятия будет иметь катастрофические последствия для нескольких важнейших национальных инфраструктур: системы идентификации граждан, основанной на обычных паспортах; нотариата и прочих доверительных услуг, которые завязаны на те же паспорта; системы учёта имущественных прав. Везде и всюду, напомню, внешность человека рассматривается как ключевой фактор его идентификации. Именно поэтому, напомню, мошенники вклеивают свои фотографии в чужие документы. Возможность находить двойников для любого человека, возможность получить хоть какие-то документы похожих на тебя лиц радикально упростит жизнь злоумышленникам.
Переживания насчёт того пронесёт всех нас или не пронесёт, а если пронесёт, то в каком именно смысле составляют содержание и основной смысл Большого Дієвого Приключения. Чем оно закончится - узнаем в следующем году. Или раньше.
Предыдущие серии:
"Народное багбаунти" и его дивные плоды
Путь Вахтёра
Карантинные возможности для стартап-нации
Я конечно, не могу подтвердить свои утверждения ссылками на соответствующие места из документации ввиду её отсутствия в публичном обороте. Однако уже почти полуторалетний опыт общения с первыми лицами МЦТ и ГП "Дия" дали мне достаточно оснований для подобных выводов. Собственно говоря, сама идея "народного багбаунти" возникла как реакция на очередной эпизод общения с оными лицами. Великое Дієвое Приключение началось месяц назад, в последний уикэнд октября.
Всё началось с невинного вопроса, адресованного почтеннейшей публике. Я спросил насколько реалистичным выглядит двухкомпонентая схема identity fraud, где центральная компонента каким-то образом использует валидные е-документы третьих лиц. Вопрос этот возник у меня в результате ознакомлении с новостями о задержании юных "хакеров", которые вышли на рынок соответствующих услуг с чем-то вроде муляжей "Дии".
Первым же комментатором оказался не кто иной как Алексей Выскуб. Он был и лаконичен, и категоричен: "Фух. Какой же бред. No comments...". Эта категоричность и тогда, месяц назад, выглядела довольно странно. Насколько я могу воссоздать позицию "диевых", они находят смешной и нелепой само предположение о возможности генерировать валидные е-документы с произвольными (читай - "левыми") установочными данными. Это, мол, практически невозможно, поскольку предполагает доступ к приватным (секретным) ключам органов власти.
На сегодняшний день подобные документы замечены в нескольких странах ЕС. Да, ни в одном из этих случаев не подтверждено противоправное использование приватных ключей. По крайней мере пока вина возлагается то ли на медперсонал, который злоупотребляет своими полномочиями, то ли на таинственных хакеров, которые получили контроль над процедурами оформления ковид-сертификатов. Что-то мне это напоминает, кстати, что-то очень знакомое… В любом случае сама возможность оформить документы на любое лицо наглядно доказана.
Параллельно в комментариях озорным дельфином резвился Евгений Горбачов, CTO ГП Дия. Источником его неудержимого веселья стала неожиданная идея. Уж не знаю почему он решил, что назначит мне задачу, которая требует приватного ключа. Я заключу с ним пари, не справлюсь с задачей, буду посрамлён и т.д. и т.п. Евгений исчез так же внезапно, как и возник. Для этого оказалось достаточно задать ему казалось бы невинный вопрос: сколько экземпляров "е-документов" одного и того же лица могут сосуществовать одновременно? Элементарный вопрос, на который товарищ Евгений обязан знать ответ, но что-то снова пошло не так.
В этих перебранках в который раз проявил себе характерный изъян в картине мира "диевых". Они зациклились на необходимости наиболее сложной подделки, предполагающей возможность заверять произвольный набор установочных данных цифровой подписью министерства. Между тем уже второй месяц украинцы успешно используют и монетизируют намного более простые, элементарные формы identity fraud. Напомню, что совсем юные (последний по времени случай - 15 лет) энтузиасты успешно продают банальные муляжи "Дии", не обладающие никакой вообще функциональностью.
В первой части настоящего обзора изложены характерные особенности уже вполне сложившейся практики использования е-документов МЦТ. Эти особенности открывают широчайшие перспективы для использования "е-документов" противоправным образом. Начиная с элементарного использования чужих е-документов и заканчивая довольно изощрёнными подходами.
Движущей силой неизбежных экспериментов является экономическая мотивация. В этой теме слишком много денег. По-настоящему много. О чём говорить, если даже упомянутый выше юный стартапер выручал за свои муляжи от 250 до 650 гривен? Причём самый первый из задержанных, которому на тот момент был 21 год, назначил цену в 100 гривен. При том раскладе, который сдало нам государство, такие деньги можно получать не разово, а ежемесячно. Продукт будет чуть-чуть сложнее, зато и результат будет другой, и риски намного меньше.
За последние недели своими соображениями со мной поделилилсь очень разные люди. Среди них были и представители другой, так сказать, стороны цифровизации. С обратной стороны Луны. В результате родилось 100% реалистичное, feasible решение по предоставлению массовых услуг обхода карантинных ограничений, подмены личности и других форм identity fraud. Ниже я опишу то, куда прямо сейчас несётся наша фіра. То, чего необходимо избегать всеми силами, поскольку если этот джинн вырвется из бутылки, строить дворцы он точно не будет. Большое Дієвое Приключение заключается в том, что пассажиры нашего "Титаника" с любопытством смотрят на приближающийся айсберг, гадая выдержит он столкновение с выдающимся творением человеческой мысли или нет? Или пройдёт мимо? Интересно же.
Прежде чем начать, сделаю важное замечание. Эксперты с той стороны резонно указывают, что 50% успеха подобного предприятия обеспечивает адекватная организационная модель. Чтобы вырастить полноценного "единорога", необходимы неограниченная, по сути, масштабируемость и устойчивость к неизбежному противодействию государства. Охватить даже миллион потенциальных потребителей - нетривиальная задача, а у нас их, как мы уже выяснили, на порядок больше. Десять миллионов, на минутку. Такая модель есть, она давно известна и многажды апробирована, проста как всё гениальное, поэтому я не буду её озвучивать на людях. Будем считать, что всё завязано на Телеграм-каналы и боты.
Итак, речь идёт о бирже, где цена на продукт определяется свободной игрой спроса и предложения. Товар, который на ней продаётся, это услуги поиска, приобретения и аренды артефактов, используемых для идентификации граждан с помощью мобильного приложения "Дия".
На бирже предлагаются три разновидности подобных артефактов:
• Скриншоты с установочными данными;
• Скриншоты с QR-кодами ковидных-сертификатов;
• Скриншоты с QR- и штрихкодами валидации е-паспортов.
В первых двух случаях речь идёт о статических, неизменных во времени объектах. Они предоставляются на условиях продажи. Коды валидации живут всего три минуты, поэтому речь идёт о ежемесячной подписке либо оплате Pay per Click, по факту успешно выполненного запроса. Пока клиент платит, он имеет возможность получить по запросу валидный код. Перестаёт платить - перестаёт получать.
Ключевым элементом биржи является по-настоящему большая база данных, которая содержит персональные данные десятков, если не сотен тысяч граждан. Ещё лучше - миллионов. Поиск в ней осуществляется по изображению, а именно - фотографии в е-документах.
Новый клиент начинает с того, что устанавливает у себя клиентское приложение, назовём его "ЗлоДія". Оно в точности воспроизводит оригинальное приложение, включая анимацию, PIN-код и прочее. За небольшие деньги можно активировать приятные мелочи наподобие возможности назначить "тревожный" PIN-код. Набираешь его и приложение начинает "глючить" или вовсе перезагружает телефон. Это может быть полезно в случае внезапной проверки или обыска.
По умолчанию "ЗлоДія" предлагает одну-единственную функцию в части identity fraud - возможность дополнить фейковые данные свей фотографией. Это, с одной стороны, работает на укрепление лояльности бренду, с другой - стимулирует пользование платными услугами. По мере того, как будет расти проникновение приложения, вахтёры перестанут ограничиваться беглым взглядом на открытую приложуньку и начнут массово проверять валидность предъявляемых е-документов.
Разумеется, "ЗлоДія" является open source приложением, оставляя сесурити сру обскурити хорошим мальчикам из ГП Дия. Всё прозрачно настолько, насколько это может быть.
Желая получить больше, нежели красивый муляж, клиент фотографируется анфас, как для паспорта. Поисковый механизм биржи предлагает ему на выбор более-менее похожие физиономии, ранжируя их по степени сходства. У каждого варианта есть цена, которую назначил ему владелец соответствующего артефакта. Должна быть у клиента возможность предложить свою цену или нет - вопрос обсуждаемый.
Оплатив выбранный вариант, клиент получает "ЗлоДію" с персональными данными лица, которое на него более-менее похоже. А это, как мы понимаем, совсем другой коленкор.
Можно предположить, что данные о гражданах с наиболее характерными, распространёнными чертами лица окажутся наиболее востребованными. Их будут чаще заказывать, что однозначно скажется на их цене. С другой стороны, чем более выделяющаяся, нехарактерная внешность у клиента, тем сложнее ему найти подходящего двойника. Поэтому свободная игра спроса и предложения, рынок и вот это всё.
Использование статических изображений не даёт ответа на Главный Вызов - риск столкновения с полицией и полноценной идентификации. Таковая идентификация, во-первых, предполагает предъявление своей физиономии и её сопоставление с изображением в е-документе после чего, во-вторых, проверяющие должны выполнить валидацию е-документа на своём устройстве.
Не буду пересказывать все перипетии творческого поиска, сразу перейду к найденному решению. Вместе с моим старшим сыном мы выполнили PoC программного сервиса, который по запросу извне генерирует QR-код е-документа в "Дие", затем делает скриншот и отправляет куда надо. Иными словами, осуществляет "туннелирование" артефактов, используемых для валидации е-документов конкретного лица, на любое устройство. Оказывается, для этого не нужны никакие виртуальные машины или электромеханические стенды с фотографиями. Архитекторы "Дии", да ниспошлёт им Всевышний ещё больше мудрости, сделали, кажется, всё возможное, чтобы подобные фокусы были максимально простыми.
Итак, участник биржи, который решил зарабатывать, предоставляя QR-коды валидации е-документов, берёт отдельный смартфон или планшет и разворачивает там "Дию" с учётной записью "донора". Запускает простенький программный сервис, детали которого будут представлены на следующей в рамках отдельного закрытого мероприятия. Ставит на зарядку и отправляется по своим делам. Самое интересное, что это могут быть е-документы самого торговца. Напомню, что Минцифры предусмотрело два способа использования е-документов, т.н. верификацию и т.н. шеринг. Второй из них предполагает отдельный запрос хозяину е-документы, причём непременно от юридического лица. В этом запросе, который появляется на экране "Дии", указывается кто и зачем запрашивает е-документы. Без подтверждения операция не будет завершена.
Механизм туннелирования защищает владельца е-документов от наиболее опасных злоупотреблений. Он попросту не будет подтверждать непонятные запросы. А кто и зачем будет за разумное вознаграждение предъявлять его е-паспорт - для многих вопрос вознаграждения, которое они за это получат. При этом у него остаётся возможность пользоваться этими е-документами на других устройствах.
По мнению привлечённых экспертов, можно ожидать три источника удостоверяющих артефактов, три потенциальные категории майнеров:
• Всевозможные "вахтёры", имеющие право запрашивать и возможность скрытно накапливать первые две разновидности удостоверяющих артефактов;
• Подростки, которые по опыту РФ и РБ готовы участвовать в противоправной деятельности, если она правильным образом геймифицирована и сулит заметный для них доход;
• Широкие неорганизованные массы граждан, готовых рисковать даже собственными ПД ради дополнительного дохода.
Новый участник торгов начинает с того, что загружает имеющиеся у него фотографии и ковид-сертификаты, подтверждает наличие в его распоряжении артефактов, которые желает сдавать в аренду. Биржа отфильтровывает те, что уже имеются. На остальной товар устанавливается цена. Всё честно и без обмана.
Успех подобного предприятия будет иметь катастрофические последствия для нескольких важнейших национальных инфраструктур: системы идентификации граждан, основанной на обычных паспортах; нотариата и прочих доверительных услуг, которые завязаны на те же паспорта; системы учёта имущественных прав. Везде и всюду, напомню, внешность человека рассматривается как ключевой фактор его идентификации. Именно поэтому, напомню, мошенники вклеивают свои фотографии в чужие документы. Возможность находить двойников для любого человека, возможность получить хоть какие-то документы похожих на тебя лиц радикально упростит жизнь злоумышленникам.
Переживания насчёт того пронесёт всех нас или не пронесёт, а если пронесёт, то в каком именно смысле составляют содержание и основной смысл Большого Дієвого Приключения. Чем оно закончится - узнаем в следующем году. Или раньше.
Предыдущие серии:
"Народное багбаунти" и его дивные плоды
Путь Вахтёра
Карантинные возможности для стартап-нации