На сайте Президента Украины в разделе электронных петиций 26 марта 2021 года опубликована петиция №22/114822-еп с требованием немедленно уволить Олега Татарова — заместителя головы офиса президента Зеленского. Автор данной петиции — Шабунин Виталий Викторович, председатель правления общественной организации «Центр противодействия коррупции». И среди перечня подписантов данной петиции 17 июня появилась запись “Biden Joe”.

Этот факт был замечен многими, в том числе и в кругу украинских экспертов по кибербезопасности.

Так, пользователь Kir Vaznitcky в Facebook написал:

«Vitaliy Shabunin очень наглядно демонстрирует нам то, о чем я и мои коллеги взываем с самого начала - имеющаяся модель государственных доверительных услуг крайне ненадежна. Что мы видим на скрине? Мы видим "Кейс Рябошапки №2". Коротко - неважно, как надежно защищены какой-то узел системы, если входные данные в этот узел не имеют той же степени защищенности.

Итак, кто подписал петицию от имени некоего Джо Байдена. Я сейчас не хочу думать о том, зачем это было сделано и кому выгодно, я хочу поговорить о том, как и что из этого следует.

Это можно было сделать разными путями:

1. Сымитировать сам факт подписи на сервере петиций, подставив любые реквизиты человека. Сейчас уже известно, что это было не так и авторизация была проведена (как и любая другая) с сервера ID.gov.ua (друг, я не буду тебя здесь вспоминать, но еще раз спасибо, что подтвердил этот факт).

2. Создав "левую" подпись в каком-то АЦСК.

3. Создав "левый" АЦСК используя, например, тестовые ключи (обычно используются для отладки процесса обмена данными и не должны действовать в обычных процессах, но кому они и должны ...)

4. Тоже самое, но с участием какого-то банка - создав "левые" реквизиты для записи BankID

5. Тоже самое, что в п.3, но для BankID.

В настоящее время, вероятно, не известно как именно это было использовано, но я бы ставил на пункт 2. Почему? Потому что этот способ почти невозможно проследить. И потому, что это возможно сделать так, чтобы юридически у исполнителей не было никаких угроз наказания.

Итак, я предлагаю еще раз задуматься - если в следующий раз используют реквизит не тезки президента США, а ваши реквизиты? И не в какой-то петиции, а в сделке, которой будет иметь финансовые последствия? Ведь документ с наложенным отпечатком КЭП имеет ту же юридическую силу, что и лично подписанный лицом, личность которой проверена».

В комментариях под этим постом разгорелась жаркая дискуссия среди экспертов кибербезопасников, фрагмент из которой приведем ниже:

 


Константин Корсун, сооснователь и исполнительный директор компании Berezha Security Group, которая занимается кибербезопасностью, отметил:

«Авторизованный и верифицированный гражданин Украины Joe Biden подписал петицию на сайте Президента Украины об отставке Татарова.

Вопрос: каким образом это могло произойти, технически?

Подделанная ID-карта?

Фейковый Bank-ID?

Фейковый сертификат?

Инсайдер или внешнее вмешательство в одну из АЦСК?

В любом случае этот инцидент является уже вторым громким прецедентом после "случая Рябошапки", который подрывает доверие к PKI и систему доверительных услуг в целом...»

Таким образом, эксперты сходятся во мнении, что подобные действия подрывают доверие к построенной в Украине инфраструктуре открытых ключей PKI и системе доверительных услуг в целом. Кибербез продолжит следить за развитием событий.


Друзі! Запрошуємо підписатися на наш канал "Кібербезпека важлива" в телеграмі: @cybersec2021. Слідкуй за публікаціями з сайту в своєму смартфоні.