Цифровизация стремительно охватывает важнейшие сферы общественной жизни – от получения социальных услуг и оформления кредита до обмена квартиры или покупки автомобиля. Сейчас уже трудно представить жизнь без портала гос. услуг, мобильного банкинга или интернет-магазинов. Такие услуги стали возможными благодаря технологиям цифровой идентификации, скоростной мобильной связи, централизации баз данных государственных органов и конечно же модернизации нормативно-правовых регламентов. Но как и другие технологии они не лишены критических уязвимостей, от скорейшего устранения которых зависит защищенность и безопасность будущего цифрового общества.
В отличие от классических уязвимостей, таких как heartbleed или meltdown, которые устраняются исправлением программного кода или обновлением прошивки аппаратного чипа, уязвимости цифровых услуг находятся на стыке инфраструктурных технологий, коммерческих программных продуктов, государственных цифровых платформ и нормативных регламентов, поэтому их выявление и устранение представляет собой гораздо более сложный процесс и зависит от инициативы и доброй воли всех заинтересованных сторон.
Давайте попробуем рассмотреть некоторые уязвимости, которые могут создать прямой материальный ущерб для рядовых граждан – от потери денежных средств и имущества до кражи идентификатора личности и биометрического профиля.
Ниже перечислены реальные сценарии и угрозы, собранные из открытых источников (в том числе на хабре), об эффективных мерах устранения которых пока известно очень мало.
Disclaimer 1 - Источники материалов
Статья не является оригинальным исследованием, а представляет собой компиляцию сведений из открытых источников, представляющих особый интерес в контексте массового распространения цифровых сервисов.
Disclaimer 2 - Корректность ИБ терминов и формулировок
Возможны некоторые вольности в интерпретации таких терминов как "выдать ЭЦП", "вектор атаки" или взаимосвязь протокола SS7 с современными GSM-сетям при условии сохранения общей сущности описываемых явлений.
Disclaimer 3 - Без хейта и антирекламы
Статья не направлена против какой-либо компании или оператора, описанные проблемы являются системными и затрагивают интересы всех участников цифровых услуг. Любые упоминания конкретных компаний приведены исключительно для предоставления фактологической подтверждающей информации.
1. Мошенничество с электронными цифровыми подписями
Предыстория
Надежный способ идентификации личности онлайн является основой безопасной работы систем электронных услуг и цифровых сервисов. С этой целью еще в 1976 году американскими криптографами Уиттфилдом Диффи и Мартином Хеллманом было впервые предложено понятие “электронная цифровая подпись”, со временем получившее распространение во всем мире. А в 2011 году на заре массового внедрения цифровых гос. услуг в России был принят Федеральный Закон 63 об “Электронной подписи”, устанавливающий основные положения, порядок выдачи и наделение юридической силой документов, подписанных такой подписью.
Риски
Помимо прочего, законом регламентируется деятельность удостоверяющих центров (статья 13), наделенных полномочиями выдавать такие подписи. На сегодняшний день в России насчитывается более 500 таких центров, причем контроль за соблюдением правил выдачи возложен на сами эти центры.
По причине слабого контроля за деятельностью удостоверяющих центров в сети стали известны факты недобросовестной выдачи подписей - например, ЭЦП могло быть оформлено не самим лицом, а его представителем и не лично, а предположительно путем отправки сканов удостоверяющего документа в удостоверяющий центр (см. статью "Мошенники и ЭЦП - все очень плохо" и комментарии). Как следствие, ответственность за проверку удостоверяющих личность документов размывалась между доверенным лицом, юридической конторой, оформляющей доверенность, и т.д.
Описание угрозы
Пользуясь таким пробелом в законодательстве, злоумышленники могли оформить подставной ЭЦП на другого человека и фактически получить полный контроль за собственностью жертвы - например пользуясь правом оформлять сделки с недвижимостью, переоформить квартиру жертвы через цепочку подставных лиц или наоборот оформить на жертву задолженность.
Бороться с такой угрозой крайне сложно, поскольку ответственность за инвалидацию незаконного ЭЦП ложится полностью на пострадавшую сторону – гражданин должен самостоятельно обратиться в удостоверяющий центр чтобы инвалидировать ЭЦП, потом самостоятельно обратиться в регистрирующий орган чтобы отменить совершенную сделку или оспорить наложенный налог, и т.д. В случае с фиктивным налогом пострадавший должен так же сначала оплатить налог, после чего начинать длительную процедуру оспаривания в налоговом органе. Естественно, не каждый гражданин может иметь на руках сумму, необходимую для погашения фиктивного налога.
Меры предосторожности
Наиболее эффективной мерой предосторожности представляется наложение обременения на объекты недвижимости с целью запретить совершать любые сделки без личного присутствия заявителя. Такое заявление (о запрете сделок с недвижимостью без личного присутствия) можно подать в любом МФЦ. Кроме того, рекомендуется обратиться с аналогичным заявлением в налоговую (и другие учреждения?). Данный подход все же требует дополнительных разъяснений со стороны законодателей, поскольку в СМИ упоминалось, что наличие ЭЦП у злоумышленников может быть в некоторых случаях приравнено к личному присутствию.
При обсуждении этой проблемы в СМИ гражданам рекомендуется регулярно проверять список своих объектов недвижимости на сайте налоговой службы и оперативно реагировать в случае исчезновения тех или иных объектов. Конечно, такой способ нельзя назвать мерой защиты, а скорее мерой обнаружения факта совершившегося мошенничества.
Также, гражданам рекомендуется регулярно делать запросы в регистрирующие центры, чтобы проверить факт выдачи незаконных ЭЦП на их имя. Но учитывая большое число таких центров, трудно представить сколько времени потребуется на регулярную отправку более 500 заявлений в разные концы страны.
Ссылки
Мошенники переоформили квартиру в Москве с помощью поддельной цифровой подписи
Мошенники и ЭЦП — всё очень плохо
Cписок аккредитованных организаций (удостоверяющих центров)
2. Мошенничество с мобильной связью
Предыстория
Нет смысла рассказывать о растущей роли SIM-карт в качестве инструмента идентификации граждан - принимаются законы о запрете серых SIM-карт, операторы связи настойчиво просят абонентов прийти в офис и подтвердить свою личность (в противном случае становится недоступна какая-нибудь полезная опция, например смс-оплата услуг и др.), банки активно продвигают услуги доступные только с мобильных устройств (например, активация системы быстрых платежей и регистрация самозанятости в одном из крупных банков доступна только в мобильном приложении, а на веб-сайте не реализована).
Риски
Ответственность за выпуск SIM-карт и привязке их к конечному пользователю лежит на операторах связи, а по факту на сотрудниках салонов сотовой связи. Количество офисов мобильной связи по всей стране крайне высоко, а на сотрудников таких офисов ложатся попутные обязанности по продаже мобильной техники, обслуживанию клиентов и многие другие, в салоне могут трудиться стажеры – несложно представить себе ситуацию, когда сотрудник может просто не заметить несоответствия в паспортных данных при поступлении запроса на перевыпуск карты.
Получив дубликат сим-карты на другого человека, мошенники могут легко воспользоваться услугами онлайн-банкинга и перевести средства на подставной счет.
Помимо организационных рисков, пользователи мобильной GSM-cвязи подвержены также технологическим атакам. В основе GSM-сетей используется протокол SS7 (Signaling System 7), задуманный еще задолго до массового распространения голосовой связи и мобильной электроники. Данный протокол плохо предусматривал какую-либо защиту персональных данных и не предназначался для массового использования, поэтому подвержен большому количеству уязвимостей. Не вдаваясь глубоко в детали, можно отметить наиболее критические для конечного пользователя – это подмена номера звонящего и перехват трафика.
До сих пор непонятно какие технологии доступны злоумышленникам, как у них получается звонить или отправлять смс с номера 900 (именно девять-ноль-ноль, а не +7-900 или девять-буква О-буква О), насколько реальны атаки с использованием подставных базовых станций? На основе каких технологий работают сайты, предоставляющие услуги подмены номера, например такого типа?
Так или иначе, атаки на GSM-сети создают безграничные сценарии и возможности социального инжиниринга – звонки от лица банков, налоговых органов, судебных приставов и пр. Потенциальный ущерб от таких действий также очевиден – потеря финансовых средств или собственности.
Меры предосторожности
Для борьбы с мошенничеством на основе перевыпуска SIM-карт у некоторых операторов существует возможность подключения дополнительных блокирующих услуг на стороне оператора – использование дополнительного пароля для всех операций или запрет на оказание услуг по доверенности.
Про меры по борьбе с атаками на сами GSM-сети известно крайне мало, поскольку даже в самых современных моделях смартфонов используются те же самые принципы обмена сообщений на базе SS7, которые были заложены еще в первых моделях кнопочных телефонов. Устройство по сути является послушным терминалом, который по запросу базовой станции может отключить шифрование или осуществить другие операции. Остается только надеяться, что сотовые операторы осуществляют тщательный контроль и выявление серых терминальных устройств с своих сетях.
Ссылки
Мошенники звонят с реальных номеров налоговой и грозят тюремным сроком за неуплату
Мошенники представляются сотрудниками Федеральной налоговой службы
Мошенники в Удмуртии представляются судебными приставами
Мошенники звонят с официальных номеров
Деньги воруют через перевыпуск сим-карт
Перевыпуск сим-карты открыл доступ к чужим средствам
Как защитить свои сим-карты от перевыпуска по фальшивой доверенности
3. Мошенничество с биометрическими данными
Предыстория
На фоне растущей роли механизмов онлайн-идентификации биометрические технологии с первого взгляда выглядят как дополнительный рубеж защиты – кажется, что за счет расширения идентификационного профиля новыми признаками (голос, лицо, отпечатки, ДНК, и пр.) мы затрудняем процедуру взлома. Биометрические признаки обладают высокой степенью уникальности и не требуют запоминания. Но возникает необходимость защиты самих биометрических данных от копирования.
Помимо этого, для широкого применения биометрический идентификации требуется создание единого депозитария биометрических данных, надежность которого опять же будет зависеть от добросовестности целого ряда учреждений и организаций, вовлеченных в процесс работы с такими данными.
Описание угрозы
Несмотря на все преимущества биометрической идентификации на практике уже продемонстрированы примеры копирования таких биометрических данных как отпечаток, форма лица, голос и др. А в новостях уже возникают сообщения о попытках злоумышленников осуществлять централизованный сбор таких биометрических данных, как голосовые профили абонентов - путем обзвона и записи ответов на типовые вопросы. Используя записанный голос абонента, например, в будущем мошенники смогут обратиться в банк по телефону, снять деньги через банкомат с функцией распознавания лиц или пройти на защищенный системой фото-идентификации объект за счет кошелька жертвы (метро, автобус, и пр.).
Меры предосторожности
Сформулировать меры предосторожности против кражи биометрических данных крайне сложно, поскольку количество векторов атаки постоянно растет, а цифровой след пользователей с каждым годом расширяется новыми данными - фотографии в социальных сетях, голосовые записи в мессенджерах и пр.
Стоит проявлять особую бдительность в отношении контролируемого (с вашего согласия) и неконтролируемого распространения личных и биометрических данных. Желательно минимизировать использование личных данных при пользовании социальными сетями и онлайн-услугами, если это не является крайне необходимым (оформление скидочных и подарочных карт, регистрация профиля в интернет-магазинах, заказ доставки и пр.)
Внимательно читайте пользовательские соглашения и дополнительные согласия при общении с сотрудниками банков, при установке мобильных приложений, при использовании сервисов гос. услуг и т.д. Зачастую, пользователи даже не знают о том, что согласились на передачу своих данных третьим лицам, например при установке каршеринг-приложения.
Убедить всех пользователей читать пользовательские соглашения невозможно, но существуют порталы (например англоязычный Terms of Service - Didn't Read), где энтузиасты самостоятельно вычитывают и агрегируют краткие содержания пользовательских соглашений крупных социальных сетей, компаний и онлайн-сервисов. Наличие такого пункта как "Your biometric data is collected" около заголовка одной популярной иностранной социальной сети может стать аргументом при принятии решения о регистрации аккаунта.
Ссылки
Эксперты рассказали, для чего мошенники собирают записи голосов россиян
Мошенники стали использовать голоса клиентов банков для получения кредитов
В Сети продается биометрия и данные о кредитах клиентов Сбербанка
ИИ может сымитировать голос любого человека
Хакерам удалось скопировать отпечатки пальцев по фото
Hackers Say They've Broken Face ID a Week After iPhone X Release
Постскриптум
Безусловно это далеко не исчерпывающий список угроз и он основан лишь на сведениях из открытых источников, но мы попытались рассмотреть наиболее приоритетные угрозы с точки зрения сложности их устранения, непосредственного ущерба для граждан и значимости в контексте всеобщей цифровизации услуг и сервисов.
Стоит отметить так же, что перечисленные выше меры предосторожности являются лишь частичной защитой граждан от потенциальных рисков и никоим образом не являются решением самой проблемы уязвимости цифровых сервисов.
Есть надежда, что массовость угрозы в какой-то момент привлечет более широкое внимание, общественную дискуссию и соответствующие законодательные поправки. Например, с 1 января 2021 года вступили в силу поправки в закон 63-ФЗ “Об электронной подписи”, ужесточающие регламент деятельности удостоверяющих центров (среди прочего, увеличивается сумма уставного капитала удостоверяющего центра с 7 млн. руб. до 1 млрд. рублей, для работников УЦ вводится уголовная ответственность за неисполнение обязанностей и пр.). По результатам опроса в 2020 году половина россиян не поддержала создание властями биометрической системы, а Госдума заморозила законопроект по сбору биометрии в банках.
Тем не менее, учитывая стремительные темпы распространения цифровых технологий становится очевидным, что для безопасного и стабильного функционирования цифровых услуг, крайне важно не только бороться с фактами уже свершившихся цифровых преступлений, но и упреждать потенциальные угрозы еще до их возникновения. Безотносительно к партийным или политическим воззрениям, мы как профессиональное ИТ-сообщество можем принять в этом активное участие как общественный мозговой центр по выявлению, систематизации и подготовке предложений по устранению потенциальных угроз безопасному цифровому будущему. (%Неравнодушные_Хабрапользователи%, не хотите обсудить это?)
Всем хороших праздников и безопасного интернета!
AstorS1
По работе оформили на меня ЭП в удостоверяющем центре. Через 10 минут пришло от Госуслуг письмо, что вам оформлена ЭП в УЦ «ХХХ». Т.е. информирование теперь проводится.
Как мне рассказали, весьма вероятно передача функции оформления электронных подписей от частных УЦ в налоговую инспекцию.
BigBeerman
А почему сразу в МФЦ, например, не передали? Нафига эти левые центры, когда есть государственный?
kraidiky
Потому что если вы хотите создать, например, ИП, есть куча бухгалтерских контор, которые это сделают по сканам документов. И вся эта толпа людей не хочет стоять в очереди в МФЦ. Та контора, с которой работала моя предыдущая работа, сначала вживую удостоверилась, что директор головной конторы настоящий и вероятно добропорядочный, но всякие операции для сотрудников уже по сканам делала не особо запариваясь. Уверен, что есть те, через кого и менее надёжную процедуру можно устроить.
Shaman_RSHU
Когда уже существовали аккредитованные УЦ, то никаких МФЦ и госуслуг в помине не было. Тогда законодательно разрешили аккредитованным УЦ выдавать ЭП и физ. лицам.
Сейчас выявлено много рисков, связанных с использованием ЭП. Но законодательно и организационного госорганы не готовы защищать граждан.
Поэтому теперь, когда уже всё со стороны аккредитованных УЦ сделано, госторганы стараются перетянуть одеяло на себя, пётем изменения 63-ФЗ. Но не факт, что если функция по выдаче ЭП физ. лицам перейдет в ведение только госорганов, ситуация с защищенностью и бардаком изменится. Ведь например выше описанный риск с квартирами возник не из-за аккредитованных УЦ, а из-за недоработок Росреестра в части отработки таких рисков.