akirich_pcroom

ИТ-среда. НенаДійНо.

Вообще новости последних дней очень сильно возмущают. Заголовок — это текущее общее восприятие сервисов минцифры. Не потому что это несовременно. А потому что многие из чиновников и ответственных за проект вписались так, что стыдно.

Мой личный поклон «параноикам маргинальным и луддитам». Так как больших телекомов нет, но они чуть-чуть попали в этот пост — сегодня тоже вышка. Ненадежная такая, заваленная, но вышечка.

У Дии сразу три слона недоверия: чиновники нового стиля, евангелисты из других стран (которые, как видим, тоже лажают) и личный опыт.

Начну пожалуй с личного опыта, т.к. это прекрасная основа для дальнейшего наследования. К ИД-паспорту и к Дие я отношусь скептически. С первым мне повезло отчасти. ИД-паспорта у меня нет, но у меня есть биометрический загран, который есть в Дие. 

За последние 5 лет (5 лет, Карл, ИД-паспорт ввели 11 января 2016 года) у ИД-карты остался позорный рудимент — справка из ГМС о прописке. Да эта здоровенная простыня на листе А4. А у некоторых их еще и несколько, особенно от этого страдают переселенцы, которые за годы после войны умудрились поменять кучу мест проживания. А самое страшное, сырой продукт, который сначала выкатили в продакшн, а потом начали тестировать — приравнивают к электронному паспорту, который введут в действие с 23 августа 2021 года. Т.е. меньше чем за месяц.

С биометрией таких проблем нет, хотя я мог не менять паспорт до нынешних дней. Если бы не... поездка в Польшу, которая очень сильно хотела видеть мои пальчики.

Для корректного обслуживания ИД-карты, её валидации, в стране нет сервисов и технических решений массового пользования. Карта стала умной, но вот инфраструктура умной не стала. Второй критический недостаток: как показала практика карту очень просто потерять (и невозможно забыть).

Лично я познакомился с Дией год назад. Права категории Б у меня появились 7 лет назад. Я ни разу не сталкивался со страхованием авто, у меня нет свидетельства о регистрации транспортного средства, но совпадения не происходят только так. Спустя час после регистрации в Дие и появления в ней моих водительских мне предложили Каско. А потом при появлении нового телефона, и установки трехбуквенного приложения — через Гугл сообщения (еще одна помойка) мне прислали предложение купить автомобильные шины. Причем флудили на тот номер, который привязан к правам. И да, я удалил клиент со старого телефона и даже не подумал проверить второе устройство — просто удалил Дию там. А вот totaltelecom проверил. Сразу с нескольких доступно. Токенировать документы (т.е. зарегистрированному и сертифицированному учреждению давать права доступа) — это похвально и хорошо. Но не реплицировать один и тот же токен, как это делалось в Дие. 

То что дыры в Привате уже приводили к утечкам данных — этому я уже давно не удивлен. Но тут недавно ещё и монобанк пробил дно и начал давать данные о ФОПиках в Дию без разрешения.


В последствии, к ситуации с всеми «багофичами» всплывает деятельность представителей ГП Дия. 

Первое — это прекрасная попытка защитить проект его архитектором — Ильей Родиным (CSA — Chief Solutions Architect). После скандала с Людмилой, у которой при помощи Дии оформили кредит (женщину нагрели на 12 тысяч гривен, причем ей государство не помогает, а наказывает) — защита была нужна.

К вопросу того, что доступ к документам с нескольких устройств Илья парировал, мол у Гугла можно же с нескольких устройств войти. Но во-первых, Гугл — не самый лучший пример с точки зрения безопасности, и равняться на него нельзя, т.к. внесение данных в него не только не принудительное, но и не обязательное. Считаешь гугл-пей косячным и уязвимым — удаляешь карту и говоришь компании «бай-бай». Дия же вваливает почти полный набор. Помимо ИД, прав — туда влетают еще и свидетельство регистрации транспортных средств и регистрационный номер учетной карты плательщика налогов (идентификационный). 

Это рисковая тема, особенно с учетом того, что с безопасностью телефонии у нас все не очень радужно — угоняли номера у всех операторов. Идентификационный скомпрометирован (половина номера получается из даты рождения, например), номер телефона скомпрометирован — получаем доступ к банкингу. От этого получаем доступ к БанкИД, а оттуда в Дию.

У маргиналов-луддитов есть ещё пара доводов. Первый, ответный — «выделили бабки — работайте». Дали грант USAID и еще государство наказали на 65 тысяч $\месяц за аренду офиса. Второй — за opt-in\opt-out (то есть регистрация только лично и физически в ЦНАПе). Мало того что МЦТ в лице сотрудников ГП Дия проявило неуважение и недоверие к сотрудникам ЦНАПов, так еще и не видит разницы в том, кто будет отвечать если через Дию допустят утечку. Пруфы тут.


Третьим опозорился министр цифровой трансформации. Тот самый вице-премьер-министр Украины, который заявил что «роль кибербезопасности немного преувеличена». На пару с уже зашкварившейся Яникой Меерило, они начали рассказывать о двух этапах бигбаунти (соревнований белых хакеров по взлому). Вот только ни о первом этапе, ни о втором сервис Bugcrowd не знает. 

Федоров ещё докинул свой опус в блоги ТехЛиги в формате вопрос-ответ, чем позволил еще позадорить публику. Интересное наследование получилось — сначала опальные вещи говорил один менеджер (Петр Чернышов из Киевстара), а «тут на том же месте, в тот же час» начали жечь министры...

Например, огненный вот этот абзац: 

 До речі, при bug bounty для тестувальників буде створено окреме тестове середовище —  копія застосунку Дія. 

Как это оправдывает безопасность боевой базы инфраструктуры? Где гарантия, что участники биг-баунти будут более честными. Так-то они максимум получат $4500. А в противном случае можно будет непалевно и долго доить миллионы. И госреестры будут спокойны, т.к. знают что дия самая надежная, через неё никто воровать ничего не будет. 

Но о проведении Биг-Баунти заявили, а вот белые хакеры ничего об этом не знают:)

Операторы тоже подлили масла в огонь. MobileID, который подкреплен электронным ключем операторы либо уже отключили, либо отключат осенью. Б — безопасность.

Просто позор и срамота.

Ах, да, совсем забыл. С родины Яники недавно прилетело еще одно «прекрасное» сообщение. В Эстонии угнали еще 286,5 тысяч фотографий из паспортов. 286 тысяч — это 1\5 всего населения Эстонии. Полиция искала злоумышленника целую неделю. И здесь шутки про медлительность эстонцев вообще ни к чему — в любой стране полиция не может быстро нивелировать компрометацию данных. В Эстонии подобные утечки, к сожалению, не впервые.

promo akirich_pcroom september 1, 2013 01:18
Buy for 10 tokens
Размещайте рекламу в промо по уникально низким ставкам! Правила размещения промо в моем ЖЖ. Даже несмотря на непостоянство показов в данном журнале действуют ограничения по тематике промоутируемых материалов. Рекламируемый материал должен содержать материалы подходящие для группы 12+.…

Error

Anonymous comments are disabled in this journal

default userpic

Your reply will be screened

Your IP address will be recorded