Контракти.ua

1120  —  19.02.20
Небезпечна ДіЯ. Яскравий іноземний приклад про додатки та про країну-в-смартфоні взагалі
Небезпечна ДіЯ. Яскравий іноземний приклад про додатки та про країну-в-смартфоні взагалі

Є в Ізраїлі така собі правляча партія Лікуд. Це як у нас «Слуга народу». І попросили вони (Лікуд тобто) якось одну місцеву ІТ-компанію Elector Software розробити класний такий додаток Elector (співпадіння назви додатку та назви компанії – випадкове, я думаю). Додаток призначений для «спілкування зі своїми виборцями» напередодні виборів. Про всяк випадок нагадаю: ДіЯ – це теж додаток.

Так от, як офіційно зареєстрована політична партія (а тим більше – правляча), Лікуд має доступ до реєстру усіх ізраїльських виборців. І цей самий доступ легенько так був наданий компанії-розробнику. Нахіба? А патамуша магу. Так нада. Тихо там.
І шо робить компанія розробник, здогадалися? Вірно, косячить з усієї сили, з розмаху головою об батарею.

Як це виглядало ззовні: додаток можна було скачати з відповідного спеціального сайту elector.co.il (зараз вже не можна, тихенько).
А на багатьох сайтах можна натиснути праву кнопку миші і попросити сайт «показати код».
І на цьому чудовому сайті код показував надзвичайно цікаві речі, наприклад логін-пароль працівників розробника для входу у базу даних виборців.
І тоді один нелінивий програміст Ran Bar-Zik з компанії Verizon Media взяв і залогінився. А потім закричав «Джекпот!». Тому що він отримав увесь реєстр виборців. Увесь. Сцуко. Реєстр. Просто так.
6,5 мільйонів записів: імена, адреси, номери телефонів, номери паспортів. Усі дані, необхідні виборцю для голосування. Максимально актуальні. За подібній реєстр на підпільному ринку можна сміливо просити 5-10 тисяч доларів, а то і пару біткоїнів.
Але для того, щоб стати щасливим «володільцем» усього реєстру ізраїльських виборців нашару (!), не потрібно ніякої хакерської підготовки. От зовсім ніякої. Просто знати, де натиснути пару клавіш.
Хто і скільки разів скачав цей реєстр – допоки інформацію про вразливість не була оприлюднена – наразі невідомо. Зате відомо, що користувачами додатку були юзери з США, Китаю, Росії та Молдови.
А вибори в Ізраїлі – вже 2 березня, на хвилиночку.
І що характерно: після розголошення вразливості, скандалу та хайпу, видалення додатку з сайту та початку розслідування – що каже розробник?
«Це був одноразовий інцидент і ми одразу ним зайнялися» і після того кажуть, що «зайнялися підсиленням безпеки сайту». Тобто «то все фігня, з чого такий галас підіймати?»
Дурне сказали, звісно. Треба було визнавати помилку, каятися і йти посипати голову попелом. Звісно, назвуть дебілами, але скоріше вибачать. Але це вже тонкощі кризових комунікацій, високі матерії.
Хоча в Україні усе ще тупіше, просто на порядок. Зазвичай власники ніяк не захищених ресурсів реагують за вже набридлою схемою:
1) Це все брехня, нас ніхто не ламав;
2) Ламав, але ми були в курсі, не треба нас носом тикати;
3) Та там і не було важливої інформації;
4) А вапщє-то це замовлення наших конкурентів, ми знаємо;
5) Ми напишемо на вас (тих, хто оприлюднив косяк) заяву в поліцію. В поліції часто з таких ржуть.

Демократи в штаті Айова про$рали свої кокіс (внутрішні вибори) також за допомогою «спеціально розробленого додатку», який не тестували незалежні експерти та у якому містилася купа конфіденційної інформації.
А минулого року у Болгарії мокшанські хакери вкрали базу даних усіх дорослих людей країни.

Не тільки я, але й видання The New York Times, наприклад, вважає, що «ці величезні бази даних виборців є ще однією причиною того, про що попереджали кібер-посадовці усього Світу: нові технології найкраще тримати якнайдалі від рук виборчих чиновників та політичних партій». Можу навести пряму цитату.
А ще The New York Times каже, що «найкраще було б, якби нові технології, у тому числі машини для голосування та додатки, які використовуються політичними партіями, були протестовані кілька місяців або навіть років, перед тим, як розгортатися у публічній площині».
Ладно, ось пряма цитата: Most recommend that new technology, including voting machines and apps used by political parties, be tested for months, or even years, before being deployed to the public. https://tinyurl.com/r6v3zwp

Та і взагалі, чи замислювався хтось у нашій країні (так щоб серйозно): а чому набагато більш технологічно розвинуті країни не поспішають шаленими темпами диджіталізуватися?
Чому у них покриття мобільним Інтернетом вдвічі краще, а ДіЇ у них досі немає?
Чи може, у них програмісти гірші? Неправда, не гірші.
У них влада менше дбає про спрощення бюрократичних процедур? Брехня.
Чи може, просто на загнилому Заході геніальні ідеї не приходять у голову? Федоровим в Україні приходять, а на Заході – не приходять. От дурні.

Думаю, тотальну диджіталізацію у більш технологічно розвинутих країнах не форсують тому, що вже оцінили ризики таких різких рухів.
Тому, що рівень цифровізації не повинен випереджати рівень довіри до влади, яка несамовито пришпорює цю саму цифровізацію, забуваючи подбати про довіру до самих владних інституцій.
Хитка система суспільних відносин «доступність Інтернет – довіра до влади – готовність до нових технологій – цифровізація» повинна бути збалансована, без перекосів в якусь одну сторону. Інакше впаде.

Якщо оцифрувати купу гною, то вона залишиться тією ж купою гною. Але вонятиме не лише у вас за хатою, але по всій країні.
Чи довіряємо ми суддям, ментам, прокурорам? Не дуже, правда? Тоді чому ми повинні довіряти невідомо як і ким розробленому мобільному додатку, який бере дані з реєстрів, в яких споконвіку по-барські хазяйнують ті самі люди, яким ми не довіряємо? Що вони там вносять чи змінюють у цих реєстрах – ніхто досі толком не знає і не контролює. Кожен клерк, який працює в «реєстрах» за копійчану зарплату, може за дрібний прайс щось у тих реєстрах «підправити» або продати всю базу (трохи дорожче). І йому нічого за це не буде, ніхто навіть не помітить.
І ось на цю купу гною попшикали з балончика яскравим додатком і тепер нам п(р)одають як делікатес. Унікальне досягнення, до якого ніхто раніше не додумався.

Закінчити хочу все ж тим, з чого почав: безпека додатків.
Ізраїль значно випереджає Україну у розвитку, зокрема інформаційних технологій. У країні працює величезна кількість ІТ-стартапів, проводяться ультрасучасні дослідження, розробляються унікальні технології, ця індустрія залучає багатомільярдні інвестиції. Усе це заохочується державними програмами та спеціальними умовами. Але і в такому високотехнологічному суспільстві трапляються феєричні факапи, прямо пов’язані з ігноруванням питання безпеки додатків, при чому на самому високому рівні.
Як думаєте, товариство, скільки шансів у доморощених ДіЄвих диджіталізаторів, для яких «роль кібербезпеки трохи перебільшена», спіймати великого жирного облизня? Точніше буде запитати – коли це станеться і до якого масштабу наслідків призведе?
Можна не відповідати, питання риторичні.
На добраніч.

Автор: Костянтин Корсун, фахівець з інформаційної безпеки, організатор щорічної конференції з кібербезпеки UISGCON, підприємець

Статьи по теме
В Дії з'явиться 6 нових послуг
В Дії з'явиться 6 нових послуг

Найближчим часом в застосунку "Дія" з'являться ще шість нових послуг. Серед них - відображення дозволу на зброю.
24.10 — 268

МВС готує зміни у порядку видавання посвідчення водія та реєстрації авто: що потрібно знати
МВС готує зміни у порядку видавання посвідчення водія та реєстрації авто: що потрібно знати

Оприлюднено проєкт постанови уряду про внесення змін до деяких постанов Кабінету міністрів України з питань видачі посвідчення водія та реєстрації транспортних засобів.
08.10 — 337

Україна розраховує на допомогу Індії у досягненні мирної угоди з РФ, - Politico
Україна розраховує на допомогу Індії у досягненні мирної угоди з РФ, - Politico

Україна обрала прем'єр-міністра Індії Нарендру Моді своїм головним посередником для сприяння завершенню війни з Росією. У понеділок, під час зустрічі в Нью-Йорку, президент України Володимир Зеленський обговорив з Моді можливості мирної угоди, яка б забезпечила припинення бойових дій.
25.09 — 322