Кіберексперт Костянтин Корсун: Аналогів додатку «Дія» у світі не існує. І це не просто так
Що не так із «державою у смартфоні»?
Запровадження спеціальних Covid-сертифікатів, без яких зараз можна позбутися багатьох «благ цивілізації», актуалізувало для багатьох встановлення додатку «Дія». Постійно носити з собою паперовий варіант документа, який підтверджує вакцинацію, незручно. А ось QR-код, завантажений у «Дію», завжди під рукою у всіх власників смартфонів. До того ж «Дія» є одним з найбільш розпіарених та флагманських проєктів нинішньої влади, яка давно обіцяє створити в Україні «державу в смартфоні». Окрім сертифіката про вакцинацію, в додатку можна зберігати фактично всю інформацію про людину – паспорти, ідентифікаційний код, водійські права, свідоцтво про народження дитини… Але така концентрація даних в одному місці, на думку одного з найвідоміших в Україні експертів з кібербезпеки Костянтина Корсуна, містить великі ризики. Колишній керівник підрозділу CБУ у боротьбі із кіберзлочинністю розповідає, що не так з додатком та як лишитися максимально невидимим в нинішньому цифровому світі, коли всі стежать за всіма.
«Жодна країна не проводила цифровізацію так...»
Ви є послідовним критиком додатку «Дія», який влада вважає своїм унікальним досягненням. В умовах запровадження Covid-сертифікатів, без яких фактично громадяни урізаються в правах, встановлення цього додатку для українців стало ще більш нагальним. На вашу думку, краще б «Дії» взагалі не існувало чи це, в принципі, корисна програма, в якій треба просто виправити певні «баги» щодо конфіденційності даних і певних деталей?
Насправді, краще взагалі обійтися без нього, ніж лікувати те, що існує. Тут є декілька ключових моментів. «Дія» розроблялася на хвилі та під прапором полегшення надання державою громадянам цифрових послуг. Але в нинішній команді нема і ніколи не було серйозних фахівців з кібербезпеки. Тобто як вони це розуміли, так і вирішили реалізувати.
Якщо брати світову практику, то жодна країна подібним чином цифровізацію не проводила. Є багато прикладів, коли у різних країнах (Швейцарія, Німеччина, Франція, Молдова) розробляли щось подібне типу додатку для голосування онлайн і практично всі від цього відмовилися. Жодна країна у світі не пішла цим шляхом, і команда розробників «Дії» навіть не замислилася – чому. Вони просто захотіли бути першими.
У країнах Західної Європи рівень державних електронних цифрових послуг значно розвинутіший, ніж у нас. Але немає нічого подібного у смартфоні. Бо виникає купа ризиків, хоча б тому, що смартфони є дуже різними. Різні виробники, різні операційні системи – тобто дуже складно розробити уніфіковане рішення.
Але навіть не це головне. Безпекова проблема полягає в тому, що усі гаджети можна вважати потенційно скомпрометованими, бо дуже мало людей дійсно знає і дотримується правил цифрової гігієни. Тому цей додаток містить купу ризиків. Починаючи з того, що розробники операційних систем смартфона можуть мати якийсь прихований доступ чи приховані функції, які періодично випливають. Випадків і прикладів таких дуже багато.
Тобто, ви вважаєте, що в сучасному світі в одному смартфоні небезпечно тримати всю інформацію про людину?
Цього робити не можна. В Україні ж ще набагато нижчий рівень довіри до влади, ніж у цивілізованіших країнах. Там уряди залучають для розробки складних технологічних рішень провідні компанії, провідних експертів. І якщо подібний додаток і намагалися розробити в цих країнах, то в результаті відмовилися через великі ризики.
«Дія» – не стільки технологічний, скільки політичний проєкт»
У нас це додаток вже створений і навряд чи від нього відмовляться, хоча влада може визнати якісь прорахунки. Чи можна якось удосконалити саму цю ідею?
Очевидно, що з сертифікатами про вакцинацію була зроблена концептуальна помилка. Якщо не помиляюся, то ще у квітні в Міністерстві охорони здоров’я була готова технологія видачі цих сертифікатів. Але «дієві» пригальмували все це свідомо, тому що хотіли якомога більше людей загнати у свій додаток. Хоча насправді «Дією» не хоче користуватися колосальна кількість людей, бо не довіряють владі та вважають, що це є засобом стеження, що частково є правдою.
А чи не вважаєте ви це параноєю? Такі розмови дуже схожі на боротьбу з мобільними станціями чи «чипування» через вакцинацію.
Особисто я не раджу встановлювати «Дію» та нею користуватися. Просто ти сам таким чином вдягаєш на себе цифрові кайданки і даєш можливість державі слідкувати за тобою та збирати дані. «Дієві» заявляють, що додаток встановили десь 6–7 мільйонів, але насправді це перевірити ніяк не можна. Багато хто, може, встановив додаток, покористувався і зніс його.
Є ще одна гучна історія з «Дією». Якісь шахраї зареєструвалися у цьому додатку під виглядом киянки Людмили і взяли на неї кредит. Після цього інциденту був вигаданий так званий «Дія»-підпис», який зліпили швиденько на коліні. Люди, що намагалися ним користуватися, пів року крутили головами, матюкалися, підтримка абсолютно ніяк не реагувала, і від цього підпису відмовилися. Тепер в дію можна зайти через BankID (додаткове підтвердження через банківський сервіс – ред).
Чи є у такого способу ідентифікації додаткові ризики?
Звісно, ризики використання BankID також існують, але головний з них – спосіб першого отримання. Якщо людина прийшла ніжками у відділення банку з фізичним паспортом, там її ідентифікували та згодом присвоїли BankID – ризики мінімальні, і більшість їх знаходяться на боці банку, який має його належно та безпечно зберігати.
Але якщо перше отримання відбувалося віддалено (наприклад, через пандемію), а ідентифікація особи проводилася через відеозв’язок – тут потенційна поверхня атаки значно ширша і ризики значно вищі.
Також можна зайти через портал «Дія» просто через браузер. Тобто це можна зробити альтернативними шляхами без самого додатку. Є ще один нюанс: якщо у вас з якоїсь причини нема інтернету, втрачається весь сенс додатку.
Але ж якщо людина переживає за свою конфіденційність, то вона може завантажувати в «Дію» не всю інформацію про себе.
Якщо в «Дії» є ваш електронний паспорт або закордонний паспорт з чіпом, то автоматично без вашої згоди підтягуються усі інші документи. Звісно, вся ця інформація і так є у держави, але вона фактично додає ще один цифровий метод можливої крадіжки цих документів, які і так крадуть. Тобто не вирішивши одної проблеми, створюють додаткову.
А які інші випадки, окрім вже згаданої історії з кредитом, вказують на небезпеку «Дії»?
Поки що доведений єдиний такий випадок, який начебто закрили запровадженням електронного підпису. Але теоретично ризики можуть не реалізовуватися місяць, рік, п’ять років. Пам’ятаєте історію з вірусом NotPetya 2017 року?
Насправді, запровадити подібні послуги можна було і без створення «Дії». Скажімо, дані про усіх громадян України є в цифровому вигляді у державних базах. Наприклад, якщо ви водійські права забули вдома, а вас зупиняє патрульний, то називаєте своє прізвище, дату народження і він у планшеті одразу з’ясовує, хто ви такий. Тобто єдине завдання патрульного – ідентифікувати людину. І така схема практично нівелює більшість ризиків, які викликає «Дія».
Багато користувачів «Дії» скаржаться, що дуже погано працює програма розпізнавання облич, яка нібито має забезпечити додаткову безпеку.
Її почали запроваджувати якраз після тієї історії з фейковим кредитом у пожежному порядку. Подібні технології є у Apple, але це – компанія з мільярдною капіталізацією і командою найкращих фахівців. Вони розробляли ці технології дуже ретельно та довго. І коштувало це дуже дорого. А у розробників «Дії» не було ані грошей, ані ресурсів, ані часу. Тому що «Дія» – не стільки технологічний, скільки політичний проєкт. Плюс – до якихось державних ідентифікаційних документів Apple у своїй країні жодного стосунку не має.
Ідеолог «Дії» голова Мінцифри Михайло Федоров запевняє, що без цього додатку країна потонула б у фальшивих Covid-сертифікатах. Чи реально підробити такий сертифікат у «Дії»?
Фактично неможливо. Зрозуміло, що QR-код можна згенерувати за дві секунди. Але якщо контролер буде його перевіряти у «Дії», то його сканер буде звертатися до бази даних Мінцифри. Тобто якщо перевіряти ретельно, то ніяк це не можна обійти. Випадки підробки сертифікатів, які були зафіксовані, стосувалися історій, коли люди просто щось малювали у графічному редакторі. Якщо ці коди перевірити – все стане зрозуміло. Але у більшості випадків – в метро, у ТРЦ достатньо просто щось показати. Хоч код від курячих стегенець. Такі «сертифікати», які будуть виглядати як оригінальні, можна купити за 100 гривень.
«Раджу не встановлювати додатків, окрім тих, які конче необхідні»
Ваше ставлення до «Дії» зрозуміле. Поговорімо про кібергігієну як таку. Багато хто реально боїться вакцинуватися через те, що після цієї процедури за ними можуть стежити через «блютуз». І це цілком реальні люди. Якщо людина в принципі дуже боїться стеження, то що вона має пильнувати найбільше – місцеві спецслужби, виробників смартфонів, глобальні корпорації, на кшталт Google та Facebook?
Якщо ви звичайний менеджер, а не артист чи зірка – це одна модель загроз. Якщо відома людина – інша. В принципі треба менше давати будь-яких даних про себе рідній державі. Особливо нинішній, якій ми не дуже довіряємо, владі. У соціальних мережах, в магазинах, якимсь органам бажано не оприлюднювати свій е-мейл, телефон, хоча вас можуть спокушати різними знижками. Хтось може вважати, що він – звичайна людина, е-мейл якої нікому не потрібен. Але у випадку слабкого пароля його можуть зламати та розіслати вашій базі контактів повідомлення, що у мене мама захворіла – скинь гроші. Це примітивний приклад, який на поверхні лежить. Ще з вашого аккаунту можуть провести якісь протиправні дії, і до вашої оселі завітають «маски-шоу». Знову-таки – можуть кредит на вас оформити. Тому будь-якій особі треба дбати про власну кібербезпеку. Наше життя все більше переходить у цифрову інформаційну площину, коли у кожного мінікомп’ютер в кишені. А тут ще й треба певні сумнівні додатки встановлювати через епідемію.
Стеження держави – це одне. Мабуть, нема країн у світі, де влада не має можливості та бажання цим займатися. А як бути з численними випадками, коли люди стають жертвами телефонних шахраїв? Вони можуть бити на жалість, вигадуючи казки про родичів, що опинилися в біді, представлятися службою безпеки банку і просити передати реквізити картки… Здавалося б, про ці схеми всім давно відомо, але все одно досі зустрічаються наївні люди, що ведуться на такі «розводки». Є стереотип, що цим зазвичай займаються аферисти, що сидять у місцях позбавлення волі і таким чином «заробляють на хліб». Хто ці люди здебільшого і чи реально доходить до їхнього покарання, коли в результаті таких «розіграшів» люди втрачають великі гроші?
Як і в будь-якому злочинному світі, є дрібнота, є «крупняки», є організовані великі бандитські корпорації. У кіберкримінальному світі є примітивний рівень – це ті, як ви кажете, хто сидить на «зоні» і потихеньку хоч 100 грн за день зароблять. А є організовані групи, які пишуть спеціальні злочинні програми і займаються так званим «фішингом». Вони закидають сіті та чекають, яка рибка припливе. Імовірність того, що це спрацює – 1-2%, але це виправдовує затрати. А є взагалі злочинці найвищої хакерської кваліфікації, яких практично ніколи не ловлять. Вони ламають мережі банків, компаній. Переважно їхніми цілями є США та Західна Європа, де багато можна взяти. Вони шукають вразливі місця в мережах, там закріплюються, можуть читати листування директора і бухгалтера. Вони буквально за кілька місяців з’ясовують, що гендиректор у певний момент їде на Мальдіви, у нього буде обмежений зв'язок. Або бухгалтер кудись поїхала. І в цей момент пишуть гендиректору від імені бухгалтера: підпишіть, будь ласка, терміновий платіж на два мільйони доларів. Так навіть центральні банки деяких країн ошукують.
Аби не стати жертвами шахраїв, дехто встановлює на смартфон такий популярний додаток Getcontact, який «засвічує» їхні номери. Але при цьому сам Getcontact вважають шпигунською програмою.
Ви ніколи не можете знати, чи є програма шпигунською, чи ні. Просто раджу не встановлювати собі додатки, окрім тих, які вам просто конче необхідні. Якщо взагалі вже нема інших альтернатив. Ви ніколи не можете знати, наскільки можна довіряти виробнику додатка. Навіть якщо він спочатку був доброчесним, його потім могли купити, уряд якоїсь країни на нього натиснув... І з новим оновленням вам прилетить якийсь «бекдор», який ви навіть не помітите. При цьому навіть видалення додатку може не допомогти, бо в операційній системі вже закріпився шпигун.
«Якщо шпигунське обладнання робили професіонали, воно обійде все»
Як без спеціальних програм дізнатися, що з вашим смартфоном щось не так і вашою персоною надто цікавляться? Наприклад, він швидко розряджається, чутно якісь сторонні звуки під час розмови?..
Звісно, кожен додаток, який є шпигунським, кудись регулярно віддалено передає дані та використовує ресурс батареї. При цьому раптово включається камера чи мікрофон, чи якась лампочка. Це є ознакою, що ваш гаджет треба перезавантажити. Шпигунські програми часто використовують оперативну пам’ять, а при перевантаженні вона очищується.
Якісь примітивні додатки, які поводять себе якось не так, можна «вирахувати». Але якщо шпигунське обладнання робили професіонали, воно обійде все. Це не буде показуватися у ваших штатних засобах.
Якщо це якась примітивна нелегальна реклама чи збір комерційних даних і за вами слідкують через браузер, які товари ви переглядаєте, – це одна категорія. Такі собі напівзлочинні програми. Але можуть і потихеньку шпигувати. Якісь іноземні спецслужби, злочинці, власний уряд, правоохоронці...
Ми ж чудово розуміємо, що слідкувати за усіма, навіть за окремими категоріями осіб, 24 години на добу не зможе жодна спецслужба чи корпорація. До кожного майора з «прослушкою» не поставиш.
Я 15 років працював у контррозвідці СБУ, і цьому навчали ще в академії. До якоїсь великої людини – політика, бізнесмена – напряму не підлізеш. Бо у нього охорона, захист, все-все-все, але при цьому є друзі, родичі, знайомі, люди, яких він поважає, з ким зустрічається. Можуть бути якісь випадкові контакти, бо всі великі люди – все ж люди. І рано чи пізно можна підібратися через його оточення. Якщо у вас немає друзів-олігархів, це не означає, що у друга вашого друга нема знайомого олігарха. Тобто ланцюжок працює потихеньку. Особливо якщо за справу береться ворожа спецслужба з необмеженим бюджетом і часом на цю операцію.
На ваш телефон встановлять певний софт – є різні технології, коли у звичайний файл зашивається малесенька програма, яка ніяк себе не проявляє і жоден антивірус її не виявить. І ця неактивна програма буде раз на добу за пів секунди відсилати один байт інформації на віддалений сервер керування. Хоча це буде зовні мати вигляд абсолютно безневинного додатка, в якому є кілька байтиків ось цього бота. Навіть фахівець, розібравши телефон на атоми, цей бот не знайде.
Так той же Путін тому, мабуть, і не користується мобільними телефонами і комп’ютерами. «Папочки», які йому приносять, надійніші...
Такі люди навіть в руки нічого електронного не беруть, у них для цього є штат людей. Бо будь-який електронний девайс – це потенційний засіб стеження за тобою. А коли ти ще й сам собі встановлюєш додаток з усіма документами, реєструєшся та ще й фото туди додаєш, я не знаю навіть, як це коментувати.
Знову-таки ми говоримо про «сильних світу цього», он Марк Цукерберг, як всі помітили, камеру на своєму ноутбуці заклеював – мабуть, щось знає. А чи треба чогось серйозного остерігатися звичайним власникам гаджетів?
Треба оцінювати, наскільки ти важливий для потенційних спецслужб. Своїх чи ворога. Якщо ти звичайна людина, то, в принципі, тобі нема чого боятися. Єдине, що цікавить Google, Facebook, щоб ти щось купив. Скоріше, треба боятися випадково спіймати вірус та нарватися на примітивну шахрайську злочинність, якій потрібні лише твої гроші. Якщо ж ти представляєш інтерес для політичного життя, для іноземних спецслужб, тут зовсім інший рівень безпеки має бути.
Але більшість людей ризикують лише своїми грошима.
Влітку цього року стала відома інформація про те що, угорська влада використовувала ізраїльську шпигунську програму Pegasus для стеження за журналістами та опозиціонерами. І не тільки Угорщина замішана в подібних речах. Чи може бути використана така практика в Україні?
Це дуже погана історія, бо це стеження могло спричинити вбивство мексиканського журналіста. Дійсно, Pegasus – розробка ізраїльської компанії для спецслужб, яка коштує мільйони доларів. Використання цього софту в Ізраїлі дуже жорстко ліцензується і будь-кому його не продають – тільки урядам чи урядовим структурам. Проблема в тому, що спецслужби використовували ці технології не проти терористів, а проти опозиційних журналістів. Але Ізраїль не може відповідати за те, як ця програма використовується. У мене нема таких доказів, але я впевнений, що в Україні подібна програма до Pegasus вже використовується.
Павло Вуєць, «Главком»
Читайте також:
- Мінцифри обіцяє мільйон гривень за злом додатку «Дія»
- З «Дії» після оновлення прибрали одну функцію
- Київщина вводить covid-сертифікати на транспорт: дата і вимоги до пасажирів
- Мінцифри відкриє сотню офлайн-пунктів підтримки «Дії» по всій Україні
- «Дія» переїжджає у новий дата-центр: коли відновиться надання послуг