Введение специальных Covid-сертификатов, без которых сейчас можно избавиться от многих «благ цивилизации», актуализировало для многих установку приложения «Дия». Постоянно носить с собой бумажный вариант документа, подтверждающий вакцинацию, неудобно. А вот QR-код, загруженный в приложение «Дия», всегда под рукой у всех владельцев смартфонов.
К тому же «Дия» является одним из самых распиаренных и флагманских проектов нынешней власти, которая давно обещает создать в Украине «государство в смартфоне». Кроме сертификата о вакцинации, в приложении можно хранить практически всю информацию о человеке – паспорта, идентификационный код, водительские права, свидетельство о рождении ребенка…
Но такая концентрация данных в одном месте, по мнению одного из самых известных в Украине экспертов по кибербезопасности Константина Корсуна, содержит большие риски. Бывший руководитель подразделения СБУ по борьбе с киберпреступностью рассказывает, что не так с приложением и как остаться максимально невидимым в нынешнем цифровом мире, когда все следят за всеми.
«Ни одна страна не проводила цифровизацию так…»
Вы являетесь последовательным критиком приложения «Дия», которое власти считают своим уникальным достижением. В условиях введения Covid-сертификатов, без которых фактически граждане урезаются в правах, установка этого приложения для украинцев стала еще более насущной. По вашему мнению, лучше бы приложения «Дия» вообще не существовало или это, в принципе, полезная программа, в которой надо просто исправить определенные «баги» относительно конфиденциальности данных и определенных деталей?
На самом деле, лучше вообще обойтись без него, чем лечить то, что существует. Здесь есть несколько ключевых моментов. «Дия» разрабатывалось на волне и под флагом облегчения предоставления государством гражданам цифровых услуг. Но в нынешней команде нет, и никогда не было серьезных специалистов по кибербезопасности. Здесь как они это понимали, так и решили реализовать.
Если брать мировую практику, то ни одна страна подобным образом цифровизацию не проводила. Есть много примеров, когда в разных странах (Швейцария, Германия, Франция, Молдова) разрабатывали нечто подобное типу приложения для голосования онлайн и практически все от этого отказались. Ни одна страна в мире не пошла по этому пути, и команда разработчиков приложения «Дия» даже не задумалась – почему. Они просто захотели быть первыми.
В странах Западной Европы уровень государственных электронных цифровых услуг значительно более развит, чем у нас. Потому что возникает куча рисков, хотя бы потому, что смартфоны являются очень разными. Разные производители, разные операционные системы — то есть очень сложно разработать унифицированное решение.
Но даже не это главное. Такая проблема заключается в том, что все гаджеты можно считать потенциально скомпрометированными, потому что очень мало людей действительно знает и соблюдает правила цифровой гигиены. Поэтому это приложение содержит кучу рисков. Начиная с того, что разработчики операционных систем смартфона могут иметь какой-то скрытый доступ или скрытые функции, которые периодически вытекают. Случаев и примеров таких очень много.
Вы считаете, что в современном мире в одном смартфоне опасно держать всю информацию о человеке?
Этого делать нельзя. В Украине же еще гораздо ниже уровень доверия к власти, чем в более цивилизованных странах. Там правительства привлекают для разработки сложных технологических решений ведущие компании, ведущих экспертов. И если подобное приложение и пытались разработать в этих странах, то в итоге отказались из-за больших рисков.
Приложение «Дия» – не столько технологический, сколько политический проект
У нас это приложение уже создано и вряд ли от него откажутся, хотя власти могут признать какие-то просчеты. Можно ли как-то усовершенствовать саму эту идею?
Очевидно, что с сертификатами о вакцинации была сделана концептуальная ошибка. Если не ошибаюсь, то еще в апреле в Министерстве здравоохранения была готова технология выдачи этих сертификатов. Но разработчики приложения «Дия» притормозили все это сознательно, потому что хотели, как можно больше людей загнать в свое приложение. Хотя на самом деле данным приложением не хочет пользоваться колоссальное количество людей, потому что не доверяют власти и считают, что это является средством слежки, что частично является правдой.
А не считаете ли вы это паранойей? Такие разговоры очень похожи на борьбу с мобильными станциями или «чипированием» через вакцинацию.
Лично я не советую устанавливать «Дия» и им пользоваться. Просто ты сам, таким образом, надеваешь на себя цифровые наручники и даешь возможность государству следить за тобой и собирать данные. Причастные лица к разработке приложения заявляют, что приложение установили где-то 6-7 миллионов, но на самом деле это проверить никак нельзя. Многие, кто может, установил приложение, попользовался и снес его.
Есть еще одна громкая история с приложением «Дия». Какие-то мошенники зарегистрировались в этом приложении под видом киевлянки Людмилы и взяли на нее кредит. После этого инцидента было придумано так называемое «Дия. Подпись», что слепили быстренько на коленке. Люди, что пытались им пользоваться, полгода крутили головами, матерились, поддержка абсолютно никак не реагировала, и от этой подписи отказались. Теперь в приложение можно зайти через BankID (дополнительное подтверждение через банковский сервис).
Есть ли в таком способе идентификации дополнительные риски?
Конечно, риски использования BankID также существуют, но главный из них — способ первого получения. Если человек пришел ножками в отделение банка с физическим паспортом, там его идентифицировали и впоследствии присвоили BankID – здесь риски минимальны, и большинство их находятся на стороне банка, который должен его надлежащим образом и безопасно хранить.
Но если первое получение происходило удаленно (например, из-за пандемии), а идентификация лица проводилась через видеосвязь – здесь потенциальная поверхность атаки значительно шире и риски значительно выше.
Также можно зайти на портал «Дия» просто через браузер. Это можно сделать альтернативными путями без самого приложения. Есть еще один нюанс, что если у вас по какой-то причине нет интернета, теряется весь смысл приложения.
Но ведь если человек переживает за свою конфиденциальность, то он может загружать в приложение «Дия» о себе не всю информацию.
Если в приложении «Дия» есть ваш электронный паспорт или загранпаспорт с чипом, то автоматически без вашего согласия подтягиваются все остальные документы. Конечно, вся эта информация и так есть у государства, но она фактически добавляет еще один цифровой метод возможной кражи этих документов, которые и так воруют. Здесь не решив одной проблемы, создают дополнительную.
А какие другие случаи, кроме уже упомянутой истории с кредитом, указывают на опасность приложения «Дия»?
Пока доказан единственный такой случай, который якобы закрыли введением электронной подписи. Но теоретически риски могут не реализовываться месяц, год, пять лет. Помните историю с вирусом NotPetya 2017 года?
На самом деле, ввести подобные услуги можно было и без создания «Дия». Скажем, данные обо всех гражданах Украины есть в цифровом виде в государственных базах. Например, если вы водительские права забыли дома, и вас останавливает патрульный, то называете свою фамилию, дату рождения, и он в планшете сразу выясняет, кто вы такой. Это единственная задача патрульного — идентифицировать человека. И такая схема практически нивелирует большинство рисков, которые вызывает приложение «Дия».
Многие пользователи приложения «Дия» жалуются, что очень плохо работает программа распознавания лиц, которая якобы должна обеспечить дополнительную безопасность.
Ее начали вводить как раз после той истории с фейковым кредитом в пожарном порядке. Подобные технологии есть у Apple, но это – компания с миллиардной капитализацией и командой лучших специалистов. Они разрабатывали эти технологии очень тщательно и долго. И стоило это очень дорого. А у разработчиков «Дия» не было ни денег, ни ресурсов, ни времени. Потому что приложение «Дия» – не столько технологический, сколько политический проект. Плюс — к каким-то государственным идентификационным документам Apple в своей стране никакого отношения не имеет.
Идеолог приложения «Дия» глава Минцифры Михаил Федоров уверяет, что без этого приложения страна утонула бы в фальшивых Covid-сертификатах. Реально ли подделать такой сертификат в «Дия»?
Фактически невозможно. Понятно, что QR-код можно сгенерировать за две секунды. Но если контроллер будет его проверять в приложении, то его сканер будет обращаться в базу данных Минцифры. Если проверять тщательно, то никак это обойти нельзя. Случаи подделки сертификатов, которые были зафиксированы, касались историй, когда люди просто что-то рисовали в графическом редакторе.
Если эти коды проверить – все станет понятно. Но в большинстве случаев — в метро, в ТРЦ достаточно просто что-то показать. Хоть код от куриных окорочков. Такие «сертификаты», которые будут выглядеть как оригинальные, можно купить за 100 гривен.
«Советую не устанавливать приложений, кроме тех, которые позарез необходимы»
Ваше отношение к приложению «Дия» понятно. Поговорим о кибергигиене как таковой. Многие реально боятся вакцинироваться из-за того, что после этой процедуры за ними могут следить через «блютуз». И это вполне реальные люди. Если человек в принципе очень боится слежки, то, что он должен отслеживать больше всего – местные спецслужбы, производителей смартфонов, глобальные корпорации, вроде Google и Facebook?
Если вы обычный менеджер, а не артист или звезда – это одна модель угроз. Если известный человек — другая. В принципе надо меньше давать каких-либо данных о себе родному государству. Особенно в нынешней ситуации, так как мы не очень доверяем власти. В социальных сетях, в магазинах, каким-то органам желательно не обнародовать свой Е-мэйл, телефон, хотя вас могут соблазнять разными скидками.
Кто-то может считать, что он — обычный человек, Е-мэйл которого никому не нужен. Но в случае слабого пароля его могут взломать и разослать по вашей базе контактов сообщение, что у меня мама заболела – сбрось деньги. Это примитивный пример, который на поверхности лежит. Еще с вашего аккаунта могут провести какие-то противоправные действия, и в ваш дом приедут «маски-шоу».
Опять таки — могут кредит на вас оформить. Поэтому любому лицу надо заботиться о собственной кибербезопасности. Наша жизнь все больше переходит в цифровую информационную плоскость, когда у каждого миникомпьютер в кармане. А тут еще и надо определенные сомнительные приложения устанавливать из-за эпидемии.
Слежка государства — это одно. Видимо, нет стран в мире, где власть не имеет возможности и желания этим заниматься. А как быть с многочисленными случаями, когда люди становятся жертвами телефонных мошенников? Они могут бить на жалость, придумывая сказки о родственниках, оказавшихся в беде, представляться службой безопасности банка и просить передать реквизиты карты…
Казалось бы, об этих схемах всем давно известно, но все равно до сих пор встречаются наивные люди, которые ведутся на такие «разводки». Есть стереотип, что этим обычно занимаются аферисты, сидящие в местах лишения свободы и таким образом «зарабатывают на хлеб». Кто эти люди по большей части и реально ли доходят к ним наказания, когда в результате таких «розыгрышей» люди теряют большие деньги?
Как и в любом преступном мире, есть мелкота, есть «крупняки», есть организованные крупные бандитские корпорации. В киберкриминальном мире есть примитивный уровень — это те, как вы говорите, кто сидит на «зоне» и потихоньку хоть 100 грн в день заработают. А есть организованные группы, которые пишут специальные преступные программы и занимаются так называемым «фишингом». Они забрасывают сети и ждут, какая рыбка приплывет. Вероятность того, что это сработает – 1-2%, но это оправдывает затраты.
А есть вообще преступники высочайшей хакерской квалификации, которых практически никогда не ловят. Они ломают сети банков, компаний.
Преимущественно их целями являются США и Западная Европа, где можно много взять. Они ищут уязвимые места в сетях, там закрепляются, могут читать переписку директора и бухгалтера. Они буквально в течение нескольких месяцев выясняют, что гендиректор в определенный момент уезжает на Мальдивы, у него будет ограниченная связь. Или бухгалтер куда-то уехала. И в этот момент пишут гендиректору от имени бухгалтера, что подпишите, пожалуйста, срочный платеж на два миллионов долларов. Так даже центральные банки некоторых стран обманывают.
Чтобы не стать жертвами мошенников, некоторые устанавливают на смартфон такое популярное приложение Getcontact, которое «засвечивает» их номера. Но при этом сам Getcontact считают шпионской программой.
Вы никогда не можете знать, является ли программа шпионской, или нет. Просто советую не устанавливать себе приложений, кроме тех, которые вам просто необходимы. Если вообще уже нет других альтернатив. Вы никогда не можете знать, насколько вы можете доверять производителю приложения. Даже если он сначала был добродетельным, его потом могли купить, правительство какой-либо страны на него нажало.
И с новым обновлением вам прилетит некий «бэкдор», который вы даже не заметите. При этом даже удаление приложения может не помочь, потому что в операционной системе уже закрепился шпион.
«Если шпионское оборудование делали профессионалы, оно обойдет все»
Как без специальных программ узнать, что в вашем смартфоне происходит что-то не то. И вашей персоной слишком интересуются? Например, он быстро разряжается, слышны какие-то посторонние звуки во время разговора?
Конечно, каждое приложение, которое является шпионским, куда-то регулярно удаленно передает данные и использует ресурс батареи. При этом внезапно включается камера или микрофон, или какая-то лампочка. Это является признаком, что ваш гаджет надо перезагрузить. Шпионские программы часто используют оперативную память, а при перегрузке она очищается.
Какие-то примитивные приложения, которые ведут себя как-то не так, можно «вычислить». Но если шпионское оборудование делали профессионалы, оно обойдет все. Это не будет показываться в ваших штатных средствах.
Если это какая-то примитивная нелегальная реклама или сбор коммерческих данных и за вами следят через браузер, какие товары вы просматриваете, – это одна категория. Такие полуистлевшие программы. Но могут и потихоньку шпионить. Какие-то иностранные спецслужбы, преступники, собственное правительство, правоохранители.
Мы же прекрасно понимаем, что следить за всеми, даже за отдельными категориями лиц, 24 часа в сутки не сможет ни одна спецслужба или корпорация. Каждому майору «прослушку» не поставишь.
Я 15 лет работал в контрразведке СБУ, и этому учили еще в академии. К какому-то великому человеку – политику, бизнесмену — напрямую не подлезешь. Потому что у него охрана, защита, все-все-все, но при этом есть друзья, родственники, знакомые, люди, которых он уважает, с кем встречается. Могут быть какие-то случайные контакты, потому что все великие люди – все же люди. И рано или поздно можно подобраться через их окружение.
Если у вас нет друзей-олигархов, это не значит, что у друга вашего друга нет знакомого олигарха. Эта цепочка работает потихоньку. Особенно если за дело берется вражеская спецслужба с неограниченным бюджетом и временем на эту операцию.
На ваш телефон установят определенный софт — есть разные технологии, когда в обычный файл зашивается малюсенькая программа, которая никак себя не проявляет и ни один антивирус ее не обнаружит. И эта неактивная программа будет раз в сутки за полсекунды отсылать один байт информации на удаленный сервер управления. Хотя это будет внешне иметь вид совершенно невинного приложения, в котором есть несколько байтиков вот этого бота. Даже специалист, разобрав телефон на атомы, этот бот не найдет.
Потому что любой электронный девайс — это потенциальное средство слежения за тобой. А когда ты еще и сам себе устанавливаешь приложение со всеми документами, регистрируешься, да еще и фото туда добавляешь, я не знаю даже, как это комментировать.
Опять-таки мы говорим о «сильных мира сего», вон Марк Цукерберг, как все заметили, камеру на своем ноутбуке заклеивал – видимо, что-то знает. А надо ли чего-то серьезного остерегаться обычным владельцам гаджетов?
Надо оценивать, насколько ты важен для потенциальных спецслужб. Своих или врага. Если ты обычный человек, то, в принципе, тебе нечего бояться. Единственное, что интересует Google, Facebook, чтобы ты что-то купил. Скорее, надо бояться случайно пойманного вируса и нарваться на примитивную мошенническую преступность, которой нужны только твои деньги. Если же ты представляешь интерес для политической жизни, для иностранных спецслужб, здесь совсем другой уровень безопасности должен быть.
Но большинство людей рискуют только своими деньгами.
Летом этого года стала известна информация о том что, венгерские власти использовали израильскую шпионскую программу Pegasus для слежки за журналистами и оппозиционерами. И не только Венгрия замешана в подобных вещах. Может ли быть использована такая практика в Украине?
Это очень плохая история, потому что эта слежка могла повлечь убийство мексиканского журналиста. Действительно, Pegasus — разработка израильской компании для спецслужб, которая стоит миллионы долларов. Использование этого софта в Израиле очень жестко лицензируется и любому его не продают – только правительствам или правительственным структурам.
Проблема в том, что спецслужбы использовали эти технологии не против террористов, а против оппозиционных журналистов. Но Израиль не может отвечать за то, как эта программа используется. У меня нет таких доказательств, но я уверен, что в Украине подобная программа типа Pegasus уже используется.
Автор: Павел Вуец
Источник: Главком
Перевод: BusinessForecast.by
При использовании любых материалов активная индексируемая гиперссылка на сайт BusinessForecast.by обязательна.