Глава Минцифры Михаил Федоров и руководитель проекта USAID «Кибербезопасность критически важной инфраструктуры Украины» Тимоти Дюбель рассказали детали о втором Bug Bounty платформы «Дія» с призовым фондом 1 миллион гривен ($35 тысяч).

«Процесс» разобрался, что предполагает новый поиск уязвимостей в «Дія», сколько он продлится, на каких моментах сосредоточится, а также, что думают эксперты по цифровой безопасности и Минцифры о возможности открыть аккаунт в «Дія» со многих устройств одновременно.

«Дія» — самый защищенный продукт в Украине, зачем еще один багбаунти?

Вице-премьер-министр, министр цифровой трансформации Украины Михаил Федоров отметил, что портал и приложение «Дія» является одним из самых защищенных продуктов в Украине.

Вице-премьер-министр, министр цифровой трансформации Украины Михаил Федоров:

«Мы очень много сделали, чтобы Дія была одним из самых защищенных продуктом в нашей стране. Мы получили сертификат КСЗИ — это свидетельствует, что мы выполнили все условия, чтобы этот продукт был захиищен, прошли все этапы тестов, аудиты, на каждом этапе 80% времени мы уделяем безопасности. При запуске каждого сервиса мы его тестируем, бета-тестируем, отдельно делаем тестирование с точки зрения кибербезопасности»

Минцифры уже проводило первый багбаунти «Дія» в прошлом году. Тогда в работе платформы не нашли существенных уязвимостей.

«В прошлом году не было найдено никаких уязвимостей. Были какие-то маленькие, низкого уровня технические баги, которые мы сразу исправили»

Однако новое тестирование нужно, потому что Дія активно развивается, ее аудитория растет, внедряются новые сервисы, а на фоне коронавирусных ограничений и цифровизации все больше людей переходят в онлайн. Одновременно и возрастает роль защиты от кибератак. По словам главы Минцифры, ежедневно в мире фиксируют более 2 тысяч официально зарегистрированных кибератак на бизнес, правительства, госорганизации. И это является серьезным вызовом для Украины.

Вице-премьер-министр, министр цифровой трансформации Украины Михаил Федоров:

«Дія безопасна, но продукт развивается и нам нужно на каждом этапе убедиться, что мы все делаем правильно и что мы делаем все, чтобы хакер не мог ничего сделать с нашим продуктом и с вашими персональными данными»

Новый этап багбаунти «Дія»: сколько он продлится и где можно принять участие

Вице-премьер-министр, министр цифровой трансформации Украины Михаил Федоров:

«Опыт багбаунти используют различные страны, правительства организации: и Facebook, и Google, и Tesla, в прошлом году был хакатон-багбаунти Пентагона. Это показывает, что это единственный правильный путь в 21 веке для развития киберзащиты — когда ты открыт максимально и свой продукт развертываешь на платформе и его могут протестировать хакеры со всего мира… Я считаю, что багбаунти должен проходить постоянно»

• Второй этап багбаунти «Дія» пройдет на платформе BugCrowd

• Он продлится полгода

• Принять участие в поиске уязвимостей Дія может любой специалист из любой страны мира

• Уязвимости будут искать не в самой Дія, а копии приложения

• Один из фокусов багбаунти — проверка сервисов Дія.Підпис и шеринг документов.

• Призовой фонд — 1 млн гривен/35 тыс долларов: за уязвимости низкого уровня можно получить 200-250 долларов, за уязвимость высшего уровня — 4-4,5 тыс долларов.

Директор проекта USAID «Кибербезопасность критически важной инфраструктуры Украины» Тимоти Дюбель отметил, что важна не сумма вознаграждения, а цель, подход и идея привлечь сообщество к поиску уязвимостей.

Дюбель подчеркнул, что кибербезопасность является одним из важнейших элементов цифровизации. Он надеется, что опыт Минцифры по проведению багбаунти примут и другие украинские учреждения, ведь это популярная практика среди частного и публичного сектора во всем мире.

Тимоти Дюбель, директор проекта USAID «Кибербезопасность критически важной инфраструктуры Украины»:

«Кибербезопасность это существенный элемент успешной цифровой трансформации. Поэтому мы с радостью поддерживаем Минцифры в следующей фазе багбаунти для приложения Дія, чтобы сделать его чрезвычайно защищенным, а также привлечь общественность и открыто публиковать уязвимости которые были обнаружены и исправлены. На этот раз намерение состоит в том, чтобы привлечь более широкий круг исследователей тестеров в течение более длительного периода времени. Мы надеемся, что эта программа послужит примером для других госучреждений Украины которые также будут запускать багбаунти»

Возможность зайти в «Дія» из нескольких устройств одновременно. Уязвимость или нет?

Глава Минцифры Михаил Федоров также прокомментировал некоторые нюансы работы «Дія», например возможность одновременных сессий на различных устройствах и сбои со входом в аккаунт с необходимостью повторной авторизации.

Министр отметил, что «Дія» время от времени автоматически выполняет выход из вашего аккаунта для безопасности — это пригодится, например если у вас украли телефон. Поэтому и возникает периодическая необходимость заново авторизоваться в приложенит.

Вице-премьер-министр, министр цифровой трансформации Украины Михаил Федоров:

«Дополнительное подтверждение личности — еще один критерий, который поддерживает защиту информации о украинцев .. На случаи, когда человек потерял телефон — мы регулярно повторно просим подтвердить личность — или через BankId или через фото-идентификацию — биометрию, когда лицо проверяется с фото из реестров. Есть много предохранителей чтобы защитить приложение и информацию, которая отображается в приложении «Дія» о вас»

Федоров также подчеркнул, что возможность зайти в аккаунт «Дія» из нескольких устройств одновременно — не уязвимость, а полезная функция. Благодаря ей вы можете иметь доступ к своим документам из любых своих гаджетов.

«Одновременные сессии в «Дія» с нескольких гаджетов  — это не проблема вообще. Напомню, что «Дія» не сохраняет персональных данных, а лишь только отображает данные из реестров. Это дополнительный критерий защищенности»

Что говорят эксперты об одновременных сессиях в «Дія»

Эксперты неоднозначно относятся к возможности запустить аккаунт Дії с различных устройств. Некоторые опасаются, что это создает дополнительные риски и открывает новые возможности для преступников и мошенников.

Например, консультанту и специалисту по телекоммуникационному рынку Роману Химичу удалось сделать три копии «Дія» — открыть три сессии одновременно. При том, что в службе поддержки «Дія» сначала утверждали, что на двух устройствах в одно время е-документы открываться не будут.

А на следующий день в поддержке отметили, что существование «Дія» на разных устройствах — это не баг, а полезная возможность.

Роман Химич — консультант, эксперт телекоммуникационного рынка в Facebook:

«Итак, вопреки утверждениям представителей ГП Дія и здравому смыслу мне удалось клонировать свои е-документы. Это очень плохая новость с точки зрения безопасности. Злоумышленники могут без проблем завладеть полнофункциональными документами граждан для осуществления самых разнообразных противоправных действий»

Однако есть один нюанс: клонировать «Дія» удалось только с помощью входа через BankID НБУ, а вот попытки с повторной авторизацией через ID-карту (NFC-авторизация) потерпели неудачу.

И хотя при открытии новой сессии «Дія», на другие ваши аккаунты приходят извещения об этом, у пользователя нет возможности подтвердить или отклонить такую ​​авторизацию, чем могут воспользоваться злоумышленники.

Роман Химич консультант, эксперт телекоммуникационного рынка в Facebook:

«При активации очередного экземпляра «е-документов» на уже установленные копии «Дія» приходят соответствующие сообщения. Однако возможности подтвердить или отвергнуть эту операцию у пользователя нет. Если дело происходит ночью, вы узнаете о том, что произошло только утром, имея на руках кучу оформленных от вашего имени кредитов. Полчаса — час и все готово. Преступники действуют очень быстро и редко оставляют жертвам достаточно времени для эффективного сопротивления»

Специалист по информационной безопасности Константин Корсун даже описал примерную схему, как одновременные сеансы в «Дія» могут пригодиться мошенникам.

• По его словам, мошенники покупают в интернете чужие документы, распечатывают их и наклеивают на импровизированную «обложку паспорта». Далее или заменяют фото человека в украденном паспорте на свое или наносят гримм для максимальной схожести с жертвой
• Затем злоумышленник открывает счет на сайте банка в режиме онлайн без визита в отделение (в последнее время все больше финучреждений дают возможность дистанционного открытия счета из-за карантина). Для этого большинство банков проверяют личность через видеозвонок и требуют сканы документов. Но видеосвязь не дает возможности качественно проверить паспорт и его защитные признаки, а также лицо человека. А в случае провала, мошенник ничем не рискует, потому что банк не знает, где он находится физически.
• После успешной видеоавторизации с чужим паспортом, банк открывает злоумышленнику счет на имя лица, документ которого попал в сеть. Затем мошенник просит формирование ЭЦП/Bank-ID для использования на государственных сервисах.
• С официальным зарегистрированным Bank-ID злоумышленник регистрируется в «Дія» от имени жертвы и спокойно берет кредиты.

Специалист по информационной безопасности Константин Корсун в Facebook:

«Успешно верифицировашись в приложении «Дія» и пользуясь предоставленными Правительством Украины возможностями получения кредитов с использованием идентификации через приложение «Дія», мошенник оформляет кредит в том же банке, или в любом другом, принимающих «Дія» онлайн (4 банки), или оффлайн (7 банков)»

Таким образом возможность активации аккаунта в «Дія» на нескольких устройствах одновременно является рисковым для пользователей приложения, говорят эксперты. Ведь если жертва уже зарегистрирована в «Дія», то логин с другого устройства в тот же аккаунт не противоречит политике безопасности приложения и запретить это никак нельзя. А сообщение о входе с другого устройства в «Дія» можно не заметить (нет интернета, включен авиарежим, оповещение потерялось в куче других).

Второй этап багбаунти мобильного приложения госуслуг «Дія» стартует с 27 июля.