На сайте Президента Украины в разделе электронных петиций 26 марта 2021 года опубликована петиция №22/114822-еп с требованием немедленно уволить Олега Татарова — заместителя головы офиса президента Зеленского. Автор данной петиции — Шабунин Виталий Викторович, председатель правления общественной организации «Центр противодействия коррупции». И среди перечня подписантов данной петиции 17 июня появилась запись “Biden Joe”.
Этот факт был замечен многими, в том числе и в кругу украинских экспертов по кибербезопасности.
Так, пользователь Kir Vaznitcky в Facebook написал:
«Vitaliy Shabunin очень наглядно демонстрирует нам то, о чем я и мои коллеги взываем с самого начала - имеющаяся модель государственных доверительных услуг крайне ненадежна. Что мы видим на скрине? Мы видим "Кейс Рябошапки №2". Коротко - неважно, как надежно защищены какой-то узел системы, если входные данные в этот узел не имеют той же степени защищенности.
Итак, кто подписал петицию от имени некоего Джо Байдена. Я сейчас не хочу думать о том, зачем это было сделано и кому выгодно, я хочу поговорить о том, как и что из этого следует.
Это можно было сделать разными путями:
1. Сымитировать сам факт подписи на сервере петиций, подставив любые реквизиты человека. Сейчас уже известно, что это было не так и авторизация была проведена (как и любая другая) с сервера ID.gov.ua (друг, я не буду тебя здесь вспоминать, но еще раз спасибо, что подтвердил этот факт).
2. Создав "левую" подпись в каком-то АЦСК.
3. Создав "левый" АЦСК используя, например, тестовые ключи (обычно используются для отладки процесса обмена данными и не должны действовать в обычных процессах, но кому они и должны ...)
4. Тоже самое, но с участием какого-то банка - создав "левые" реквизиты для записи BankID
5. Тоже самое, что в п.3, но для BankID.
В настоящее время, вероятно, не известно как именно это было использовано, но я бы ставил на пункт 2. Почему? Потому что этот способ почти невозможно проследить. И потому, что это возможно сделать так, чтобы юридически у исполнителей не было никаких угроз наказания.
Итак, я предлагаю еще раз задуматься - если в следующий раз используют реквизит не тезки президента США, а ваши реквизиты? И не в какой-то петиции, а в сделке, которой будет иметь финансовые последствия? Ведь документ с наложенным отпечатком КЭП имеет ту же юридическую силу, что и лично подписанный лицом, личность которой проверена».
В комментариях под этим постом разгорелась жаркая дискуссия среди экспертов кибербезопасников, фрагмент из которой приведем ниже:
Константин Корсун, сооснователь и исполнительный директор компании Berezha Security Group, которая занимается кибербезопасностью, отметил:
«Авторизованный и верифицированный гражданин Украины Joe Biden подписал петицию на сайте Президента Украины об отставке Татарова.
Вопрос: каким образом это могло произойти, технически?
Подделанная ID-карта?
Фейковый Bank-ID?
Фейковый сертификат?
Инсайдер или внешнее вмешательство в одну из АЦСК?
В любом случае этот инцидент является уже вторым громким прецедентом после "случая Рябошапки", который подрывает доверие к PKI и систему доверительных услуг в целом...»
Таким образом, эксперты сходятся во мнении, что подобные действия подрывают доверие к построенной в Украине инфраструктуре открытых ключей PKI и системе доверительных услуг в целом. Кибербез продолжит следить за развитием событий.