Я розкажу про свіженький шкандаль в Австралії стосовно тамтешнього проекту «права-у-смартфоні»

Я розкажу про свіженький шкандаль в Австралії стосовно тамтешнього проекту «права-у-смартфоні»

А поки одні українські чиновники весело тусять у Давосі, а інші вже почали вручати один одному медальки, я розкажу про свіженький шкандаль в Австралії стосовно тамтешнього проекту «права-у-смартфоні».
Отже, наприкінці 2019 року уряд Нового Південного Уельсу (штат Австралії, приблизно на третину більший за Україну за площею), випустила «цифрове посвідчення водія» – DDL (Digital Driver License).
Головний акцент був (аякжеж!) на безпеці: “..забезпечити додатковий рівень безпеки та захищеності від угону цифрової особистості у порівнянні з пластиковими правами громадян, якими вони користувалися десятиліттями.»
Але пройшло якихось 30 місяців і виявилося, що підробити новенькі австралійські «права-у-смартфоні» не легко.
А дуже легко.
У цій статті https://cutt.ly/rJevQ4e коротенько розказано як це можуть зробити не тільки дослідники (у наукових цілях) та підлітки (щоб змінити дату народження та придбати алкоголь), але також і професійні шахраї (у своїх, виключно злочинних цілях).
Детально ж усі нюанси роз’яснює дослідниця Ноа Фармер (Noah Farmer): https://cutt.ly/jJygBdz, яка назвала свій відповідний блог максимально категорично: «Безпека Цифрового Посвідчення Водія від СервісуНовогоПівденногоУельсу виглядає Супер Погано». (ServiceNSW’s Digital Drivers Licence Security appears to be Super Bad)
Дослідники навіть зняли два відео: одне коротке і одне довге, щоб от прям наочно показати як хакається додаток, з усіма його прибамбасами.
На думку дослідників, весь процес зламу та підробки посвідчення не займає більше години, і «…не вимагає спеціального обладнання або коштовного софта».
В результаті виходить фейковий документ, який проходить перевірку в ідентифікаційних системах поліції («…and will generate fake IDs that pass inspection using the electronic verification system used by police and participating venues).
І це попри гучні заяви, що «безпека буде ключовим пріоритетом для новоствореної DDL-системи»
Відповідний додаток для забезпечення безпеки застосовує, крім вже традиційних QR-кодів, наступні засоби захисту: анімоване лого Нового Південного Уельсу, відображення поточної дати та часу, голограму, яка рухається при нахилі смартфону, водяний знак, який відповідає фотці у правах, адреса, яка не вимагає скорлінгу і т.ін.
Але техніка обходу усього цього арсеналу виявилася напрочуд простою: брутфорс чотиризначного пін-коду. До речі, рівно такої ж довжини пін-код в одному одіозному українському державному супер-пупер-захищеному додатку (з опитуваннями!).
Чесно признаюся: я в захваті від відчайдушної сміливості австралійських дослідників. В демократичній Україні за подібні «підробки цифрових документів» та «втручання в системи забезпечення безпеки» влаштовують маски-шоу, обшуки, арешти, та захопливі прогулянки в автозаку із Запоріжжя до Києва. Хто вже підзабув, я нагадаю: оце перший випадок https://cutt.ly/SJrjdvP , оце другий https://cutt.ly/UJrjxLW, а оце третій: https://cutt.ly/TJrvuGb
І це лише публічно відомі, резонансні випадки. І це не рахуючи УКА та Одеський аеропорт.
А ще в Україні за критику безвідповідальних дій влади вносять у «миротворець», погрожують статтею «державна зрада» та пропонують «закрити рота».
Чи може, австралійці такі хоробрі тому, що за висловлення незалежної професійної думки в Австралії не арештовують зі спецназом і не проводять каральні обшуки?
Та ні, не може бути.
Адже влада штату Новий Південний Уельс, Австралія, відреагувала на опубліковані дослідження до болю схожим чином, цитую:
«Зазначені проблеми відомі, але не становлять ризику для інформації користувача»
«Блогер(ка) маніпулювала своїм власним цифровим посвідченням водія (DDL) на своєму локальному пристрої» (OMFG, як це мені нагадує відмазки про XSS під час #FRD – прим. авт. Для обізнаних)
«Жодних користувацьких даних або джерел даних не було скомпрометовано» (ааааа!)
«Не існує будь-якого ризику неавторизованого доступу або неавторизованих змін в бекенд-системах, таких як Drives”
“Якщо підроблене посвідчення буде проскановано поліцією у режимі реального часу, перевірка покаже коректні персональні дані, як вони записані у Drives”
«Після сканування правоохоронцями підробленого цифрового посвідчення, їм стане зрозуміло, що воно підроблене»
І моє улюблене: «..DDL було незалежно оцінено кібер-фахівцями та є більш безпечними, ніж пластикове посвідчення.» (це ж майже дослівна аналогія!)
Загалом у цій австралійській історії аналогій з вітчизняними «комунікаціями» настільки багато, що легше знайти відмінності, ніж рахувати схожості. Тому тепер українські цифро-чиновники можуть пишатися досягненням у питанні комунікацій з громадськістю «рівня дна Австралії».
Схоже, що розробка державних ідентифікаційних додатків у всіх без виключення країнах Світу йде по однім й тим самим граблям.
З тією лише різницею, як влада різних країн по-різному реагує на критику з боку професійного середовища, якщо взагалі реагує. А найхитріші уряди взагалі не поспішають з «цифровою революцією», дозволяючи приватним компаніям пробігти по цьому мінному полю першими і подивитися що буде далі.
І небесна Естонія, між іншим, тут аж ніяк не виключення, просто у них граблі оббиті м’яким поролоном і вони кожного разу нові та блискучі.
А тим часом деякі скептичні українці, не довіряючи державному додатку, бігом біжать його встановлювати як тільки там з’явиться «голосування» з якось чутливого питання. Розуміють, що то розвод, але все одно встановлюють та «голосують». Та ще й інших закликають. Facepalm.
Але то вже інша історія.
Сьогодні – лише про Австралію.
Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.