❗️ Декілька додаткових слів про кібербезпеку

На черзі — 2️⃣ частина інтерв’ю з фахівцем з кібербезпеки Костянтином Корсуном. Продовження нашого обговорення про ініціативи МінЦифри в деталях.

— кредит через «Дію»... у того, хто не встановлював додаток
— багбаунті: вирішення проблем чи імітація?
— чи дійсно роль кібербезпеки перебільшена?
— як зробити діджиталізацію якісно

Про це та багато іншого — у відео 🎬

youtu.be/eb1RZBA7cl0

👍НравитсяПонравилось2
В избранноеВ избранном0
LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Відстоюючи свою позицію потрібно старатись бути об’єктивним і, як мінімум, слідкувати за своїми аргументами. В цьому інтерв’ю експерт моментами перегинає палицю.

Те, що впорядкування баз даних є тривалим процесом не означає, що не можна почати з чогось простішого. Влесне, у Дії зробили те, що змогли і з тим що було: показали не всі паспорти, не всі права, а лише ті, що могли. Це НЕ є погано.

Самі паспортні дані не є чимось сакральним. Паспорт — це «сертифікат», що по своїй суті є публічним... в ньому немає нічого секретного. І навіть якщо вся б база паспортів населення планети стала б публічною — це нічого б не зламало. Відповідно, заходи безпеки у дії, звісно, необхідні... але agile — тут норм.

Кредит по паспорту — це проблема не Дії, а тих хто його видає... адже при видачі варто було б звірити хоча б фотку з обличчя та отримати підпис звичайний чи КЕП.

Сам факт того, що отримали доступ до Дії на чуже ім’я — то дуже поганий прецедент — тут питаннь немає. Але це не означає, що Дію треба закривати. Сам факт того, що за півтора роки роботи цей прецедент одиничний — це вже добре. З такими прецедентами треба, просто, адекватно працювати.(що, схоже, не було зроблено — саме на цьому є сенс акцентувати увагу)

В контексті Дії є купа державних послуг (та ж реєстрація ФОП), але тут все спирається на існуючу інфраструктуру КЕП. Додаткових ризиків, яких би не існувало раніше, я не бачу.

Відповідно, питання можуть бути щодо ДіяПідпис. В інтерв’ю про це не було дискусії, ... єдине, що можу тут сказати, що я особисто вважаю, що наша система з ЄЦП/КЕП — має серйозні вади. А саме те, що ключі не є спеціалізовані (чому ключем, який використовується для звітності по ФОПу, можна «взяти кредит»?). Як на мене, в саму інфраструктуру варто було б додати можливість для кожного ключа видати сертифікат для іншого ключа з підмножиною повноваженнь ... таку собі довіреність. ... але це окрема дискусія.

Щодо bug bounty і решту... єдине, що хотів би сказати це те, що публікація вихідного коду державних систем — це те, до чого ми маєм прийти. Це складно, це відповідальність, але це рівень ... до якого нам ще далеко (((

В контексті Дії є купа державних послуг (та ж реєстрація ФОП), але тут все спирається на існуючу інфраструктуру КЕП. Додаткових ризиків, яких би не існувало раніше, я не бачу.

Наведу декілька прикладів:
1. Авторизація за ID-карткою.
Єдиний захист — PhotoID (не від Apple), яке перевіряє чи схожі ви (або зловмисник) на фото з картки.
Чи треба казати, що PhotoID від Дії не використовує датчики глибини і може бути зламане за допомогою нейромереж чи поганенького 3D-моделювання?
Втрата картки до появи Дії не несла загрози, що зловмисник отримає доступ до інформації щодо вас окрім тої, що написана на картці. Зараз же втратити картку = потенційно віддати всю інформацію з реєстрів, надати доступ до усіх функцій (реєстрація ФОП, зміна місця проживання тощо) та до Дія.Підпису.
2. Дія.Підпис. Єдиний захист — PhotoID, його вади в пункті 1.
3. «Синхронізація» з monobank.
Якщо ви хоч раз логінились у Дію через mono, то сервери Дії зберігають ваш clientId та можуть робити запити виписки. Розлогін не допоможе. Ні, Дія не питає доступу до виписки під час авторизації у mono.
Якщо зловмисник зайде у вашу Дію — ваша ФОП-виписка буде йому доступна (щонайменше — сума транзакцій)

Що там ще в планах диджиталізаторів? Електронні вибори?

Про Дія.Підпис — згоден з вами. Хоч там є ще PIN, але якось я не переконаний в захищеності приватного ключа.

Щодо Id-карти ... не користувався — не знаю.

Щодо даних ФОП і монобанк — це щось дуже дивне ... ні одна ні інша підтримка мені не сказали навіщо ці дані запитуються/передаються. Але тут скоріше вразливість server2server. Авторизація в додатку не мала б давати доступ до цих «clientId».

Ну і тут авторизація через bankId — дуже зручно, але, по суті, зникає контроль за авторизацією, і яка кінець-кінцем прив’язана до номеру телефона, що є дуууже погано.

В цьому всьому є лиш один «позитивний момент». Хоч я і прихильник КЕП в файликах, але люди часто не дуже безпечно їх зберігають та паролі від них (аж у файлі, що лежить поряд). І тут, хоч і суто математично захист слабший, але він кращий, ніж безвідповідальне поводження з ключами.
На жаль, при цьому страждають і люди, що адекватно зберігають паролі.

Про вибори ... не знаю як вони збираються це робити, адже як забезпечити прозорість, анонімність та непідкупність для мене не очевидно (без використання «довіреного сервера»). Це хоч взагалі математично можливо?

Колеги (на відео), будь-ласка перестаньте на застосунки говорити «додатки», бо хоча це й більш звично і вживається частіше, але це не правильно.

Щось аналогічне відбувається, коли українську версію сайту подають у розділі «/ua» замість «/uk».

Вірно чи не вірно — то питання дуже суб’єктивне.

Якщо чесно, мені завжди було дивним нащо program називати application. Але з часом звиклося з тлумаченням що перше — це більш технічна одиниця, а друге — це програма чи комплекс програм, що доповнює операційну систему для виконання end user задачі.

Так ось сам факт доповнення дає право на життя терміну «додаток» — додаток до ОС для тієї чи іншої задачі.

А застосунок — складне у вимові слово, що є намаганням прямо перекласти application, що від apply — застосувати.

Чому ви вважаєте, що якщо перекласти «корінь» слова і спробувати його перетворити, то вийде гарний переклад?

-----
Щодо ua/uk — я з вами повністю згоден. Але знову ж, це якщо керуватися ISO, на що часто не претендують ) Ще краще буде uk_UA ))

З іншої сторони, ua — немає такої мови, але є така країна. І в нас мова одна — uk. Тому тут двозначності не виникає.

Теоретично, ще може бути ru_UA, але в нас немає навіть спроб нормувати якийсь локальний варіант російської... нормативно російська нормується тільки москалями... тому ru_UA — це рудимент.

В тому то і справа, що application не доповнює операційну систему та інше програмне середовище, а застосовує його для вирішення прикладних задач користувачів. Якщо певна програма справді доповнює операційну систему, то вона вже буде модулем чи розширенням цієї операційної системи, і таке доповнення призначається, знову ж таки, щоб його застосовували для кінцевої мети — для прикладного вирішення задач користувачів.

Щодо ua/uk — я з вами повністю згоден. Але знову ж, це якщо керуватися ISO, на що часто не претендують )
З іншої сторони, ua — немає такої мови, але є така країна. І в нас мова одна — uk. Тому тут двозначності не виникає.

В користувача, хто вибирає певну мову натисканням кнопки, звичайно ж не виникає проблем, йому взагалі байдуже чи зміниться URL. Із цим справді немає великих проблем, і веб-павуки мабуть орієнтуються більше на контент, а не на URL, але дотримання стандартів все-таки вносить більше ясності. Це як писати без розділових знаків — начебто і так зрозуміло, але інколи це заплутує.

> application не доповнює операційну систему
Чому ні? Практично всі програми зараз використовують купу api до ОС: UI, мережа, залізо. Самі по собі вони всі не є самостійними.... такі собі додатки до ОС )) Звісно, модуль чи розширення — сюди теж підходить, але за цими термінами закріпились інші значення.

Я не претендую на абсолютну істину тут. Я лиш стверджую, що термін «додаток» має свою логіку і має право на життя... а як воно правильно ... як приживеться, так і буде.

Практично всі програми зараз використовують купу api до ОС

І тут ключове слово «використовують». Applications не надають runtime environment для запуску інших applications. Тобто без умовного MS Word, MS Excel зможе працювати. А от, наприклад, Java доповнює можливості операційної системи, бо вона надає runtime environment для запуску Java-застосунків.

Про це та багато іншого — у відео

Я просто зайду і вліплю дизлайк за таке гуано. У 2021 неприпустимо таким чином рекламувати свій ролик, навіть не розкривши хоча б пару питань у статті.

У вас двигун прогресу зламався

А спитати тут їх про це — слабо? Чи ця «груба» помилка перекриває усю ту роботу, яку вони роблять для нас з вами?

Тобі слабо було розібратись з телеграмом, чому мені має бути не слабо?

Ти як був балаболом, так і залишаєшся ним бути...

ніколи не був балаболом, бо завжди наводив докази для своїх аргументів, на відміну від тебе.

Подписаться на комментарии