Фахівець з інформаційної безпеки, директор компанії з кібербезпеки Berezha Security Костянтин Корсун у ексклюзивному коментарі Тижню розповів, що пояснення Держспецзв’язку України є непрофесійними та суперечливими, а система довірчих послуг скомпрометувала себе і вже не може використовуватись безпечно.
За словами Корсуна заява про те що дані користувачів у безпеці виявилась такою, що, м'яко кажучи, не відповідає дійсності. І всі фахівці зараз продовжують стверджувати, що таким чином скомпрометована вся система накладання електронно-цифрових підписів (ЕЦП). “Скомпрометована довіра, а це довірча система, бо вона так і називається. Тобто коли весь цей ланцюжок технічний та організаційний, людський, заснований на довірі один одному – кожен робить те, що потрібно належним чином. Виявилось – ні. Пояснення Держспецзв'язку нічого не пояснює, а ще більше заплутує ситуацію. Традиційно вони не розкривають нічого, не діляться інформацією, роблять якісь висновки, але не надають достатнього обгрунтування для них” – пояснив експерт.
Читайте також: Хто такий “Джо Байден”?
Корсун пояснив як саме видаються ключі – від громадянина вимагається прийти у відділення з паспортом, вас сфотографують, звірять ваше обличчя з паспортом, переконаються, що ви – це ви, що ваш паспорт справжній. Це вважається закінченою ідентифікацією обоси, а далі вся магія відбувається на стороні банку. Вони прив'язують всі ваші дані до вашого умовного профайлу і генерують ключі та електронно-цифровий підпис. Далі вже є криптографічні матеріали, які співставні лише з вашими даними.
“Коли ви, скажімо, через Дію запитуєте ЕЦП Приватбанку, то співставляється сесійний ключ і персональний ключ. Таким чином банк видає ЕЦП і гарантує, що він все перевірив і що ви – це ви. Принаймні одного такого випадку досить щоб скомпрометувати всю систему, а їх кілька. Не тільки "Джо Байден", деякі спеціалісти вже виявили ще з десяток ще фейкових особистостей, але ніхто масштабно це питання не досліджував. Довіри до найбільшого центру сертифікації ключів і видачі та генерації цих ключів більше не може бути. Факт головний в тому, що цій системі довірчих послуг вже не можна довіряти, це світова практика, так це працює” – зазначив фахівець.
Читайте також: PEN America: Цифровий суверенітет може бути зброєю масового контролю
Був резонансний випадок, коли на людину повісили кредит, авторизувавшись від її імені через додаток Дія, яку в свою чергу використали як банк-id якогось банку. Деякі послуги, які надає Дія використовують цю систему довірчих послуг і електронний підпис (для верифікації, ідентифікації, отримання кредитів, перереєстрація місця проживання). Ключовий елемент – довіра до всіх вузлів цієї системи і коли руйнується щось одне – руйнується вся система і тепер ми не можемо бути ні в чому переконані.
“У Приватбанку дуже серйозно ставляться до кібербезпеки, я це знаю за минулі роки, принаймні. Але в них просто виник фантом, не те щоб чийсь існуючий підпис вкрали, а повністю фейковий акаунт. Яким чином це сталось, треба розбиратись. Якщо це через ЕЦП Приватбанку, то треба йти туди і перевертати все навиворіт”, – коментує фахівець. Корсун згадав також “кейс Рябошапки”, коли від імені ексгенпрокурора Руслана Рябошапки хтось підписав його електронну декларацію. Ще тоді спеціалісти казали, що система скомпрометована і їй не можна довіряти. Через шість років це підтвердилось у вигляді скандалу з підписом петиції.
Читайте також: Фіктивні лицарі приватності
“Ці пояснення Держспецзв'язку непрофесійні. При тому, вони пишуть "національна система електронних довірчих послуг спрацювала надійно". Але вона зруйнована, і вони підтверджують це якраз тим фактом, що акаунт фейковий, – пояснює Костянтин Корсун, – висновок – треба навпаки сказати людям, що ми поки розбираємось. Якщо ми оголосимо про результат – тоді можна довіряти. Але однією рукою вони підтверджують руйнування системи, а іншою пишуть, що система спрацювала надійно. Це епік фейл”.
Також експерт зазначив, що не схильний довіряти заяві Держспецзв'язку, ніби цим підписом не можна скористатись для інших документів, перевести кошти тощо. Цей підпис пройшов верифікацію на сайті петицій президента України і ним можна підписувати різні е-документи. "Хіба в них якісь особливі ЕЦП для сайту президента випускають, хоча, я думаю, навряд чи. Це універсальний інструмент для чого завгодно", – коментує Костянтин Корсун. Формування Приватбанком окремого ЕЦП, як мінімум, дивно і малоймовірно, каже Костянтин.
Читайте також: Валентин Петров: «Я не знаю жодного випадку витоку інформації саме із захищених урядових мереж»
Щодо хакерської атаки, Костянтин Корсун зазначає, що чиновники люблять свої численні помилки пояснювати хакерською атакою: “От системний адміністратор погано налаштував доступ до сайту і він "ліг", а пояснюють це атаками, хоча в 90% випадків це помилка в роботі" – уточнив фахівець.
Що стосується заяви про ймовірну хакерську атаку, то як зазначив Костянтин Корсунвона дійсно є дороговартісною, як і пише ДССЗІ. За його словами, підготовка до АТП-атаки коштує близько $50-100 тис. Однак за наявної ситуації такі дії були б нелогічними, пояснив він. “Хакери витратили на підготовку три місяці свого життя, щоб сформувати фейкову ID. Але це для них завжди інвестиції, вони завжди заробляють на цьому. Тобто якщо використали $50 тис., то зароблять $500 тис. Це кримінальна, але економіка. Такі речі через спрямовану хакерську атаку ніхто не робить, зазвичай воно використовується у масштабних політичних цілях. Це настільки дріб'язковий вплив, бо не факт, що його навіть помітили б, бо цей "Джо Байден" був дуже низько у списку. Хто хоча б трішки розбирається у професійній кібербезпеці, то просто сміється з таких пояснень”, – пояснив фахівець з інформаційної безпеки.