"Дія" є одним з найбільш розпіарених проектів нинішньої влади, яка обіцяла створити в Україні «державу в смартфоні». Чому я згадала про державний застосунок "Дія"? Тому, що минулої суботи в Україні пройшов національний відбір на Євробачення – і глядачі "голосували" саме в цьому застосунку. Про адекватність такого голосування зараз писати не буду, це – інша тема. Але саме тоді мені спало на думку, що таким "голосуванням" цифрова влада України вирішила прорепетирувати чи потренуватися, як вона буде проводити наступні вибори в Україні. Вибори в смартфоні! Конспірологія? Вирішуйте самі, прочитавши, що думає про "державу в смартфоні" один з найвідоміших в Україні експертів з кібербезпеки Костянтин Корсун.
"Главком" опублікував матеріал, у якому колишній керівник підрозділу CБУ у боротьбі із кіберзлочинністю Костянтин Корсун розповів, що не так із застосунком "Дія" та як лишитися максимально невидимим в нинішньому цифровому світі, коли всі стежать за всіма. Попри дурні питання "Главкома", які я не буду публікувати, Костянтин Корсун розповів все чітко і ясно.
Як відомо, окрім сертифіката про вакцинацію, в "Дії" можна зберігати фактично всю інформацію про людину – паспорти, ідентифікаційний код, водійські права, свідоцтво про народження дитини… Але така концентрація даних в одному місці, на його думку, містить великі ризики.
"Дія" розроблялася на хвилі та під прапором полегшення надання державою цифрових послуг громадянам. Але в нинішній команді нема і ніколи не було серйозних фахівців з кібербезпеки. Тобто як вони це розуміли, так і вирішили реалізувати.
Якщо брати світову практику, то жодна країна подібним чином цифровізацію не проводила. Є багато прикладів, коли у різних країнах (Швейцарія, Німеччина, Франція, Молдова) розробляли щось подібне типу додатку для голосування онлайн і практично всі від цього відмовилися. Жодна країна у світі не пішла цим шляхом, і команда розробників "Дії" навіть не замислилася – чому. Вони просто захотіли бути першими.
У країнах Західної Європи рівень державних електронних цифрових послуг значно розвинутіший, ніж у нас. Але нема нічого подібного у смартфоні. Бо виникає купа ризиків, хоча б тому, що смартфони є дуже різними. Різні виробники, різні операційні системи – тобто дуже складно розробити уніфіковане рішення. Але навіть не це головне. Безпекова проблема полягає в тому, що усі гаджети можна вважати потенційно скомпрометованими, бо дуже мало людей дійсно знає і дотримується правил цифрової гігієни.
Тому цей застосунок містить купу ризиків. Починаючи з того, що розробники операційних систем смартфона можуть мати якийсь прихований доступ чи приховані функції, які періодично випливають. Випадків і прикладів таких дуже багато.
Він вважає, що тримати в одному смартфоні всю інформацію про себе – небезпечно.
В цивілізованіших країнах уряди залучають для розробки складних технологічних рішень провідні компанії, провідних експертів. І якщо подібний застосунок і намагалися розробити в цих країнах, то в результаті відмовилися через великі ризики.
Якщо в "Дії" є ваш електронний паспорт або закордонний паспорт з чіпом, то автоматично без вашої згоди підтягуються усі інші документи.
«Дія» – не стільки технологічний, скільки політичний проект
Насправді "Дією" не хоче користуватися колосальна кількість людей, бо не довіряють владі та вважають, що це є засобом стеження, що частково є правдою, каже Костянтин Корсун. Він не радить встановлювати "Дію" та нею користуватися.
"Просто ти сам таким чином вдягаєш на себе цифрові кайданки і даєш можливість державі слідкувати за тобою та збирати дані. «Дієві» заявляють, що додаток встановили десь 6–7 мільйонів, але насправді це перевірити ніяк не можна. Багато хто, може, встановив додаток, покористувався і зніс його", – каже Костянтин Корсун.
Є ще одна гучна історія з "Дією". Якісь шахраї зареєструвалися у цьому додатку під виглядом киянки Людмили і взяли на неї кредит. Після цього інциденту був вигаданий так званий "Дія"-підпис», який зліпили швиденько на коліні. Люди, що намагалися ним користуватися, півроку крутили головами, обурювалися, підтримка абсолютно ніяк не реагувала, і від цього підпису відмовилися. Тепер в дію можна зайти через BankID. Звісно, ризики використання BankID також існують, але головний з них – спосіб першого отримання. Якщо людина прийшла ніжками у відділення банку з фізичним паспортом, там її ідентифікували та згодом присвоїли BankID – ризики мінімальні, і більшість їх знаходяться на боці банку, який має його належно та безпечно зберігати.
Але якщо перше отримання відбувалося віддалено (наприклад, через пандемію), а ідентифікація особи проводилася через відеозв’язок – тут потенційна поверхня атаки значно ширша і ризики значно вищі.
Також можна зайти через портал "Дія" просто через браузер. Тобто це можна зробити альтернативними шляхами без самого додатку. Є ще один нюанс: якщо у вас з якоїсь причини нема інтернету, втрачається весь сенс застосунку.
Якщо в "Дії" є ваш електронний паспорт або закордонний паспорт з чіпом, то автоматично без вашої згоди підтягуються усі інші документи. Звісно, вся ця інформація і так є у держави, але вона фактично додає ще один цифровий метод можливої крадіжки цих документів, які й так крадуть. Тобто не вирішивши одної проблеми, створюють додаткову.
Програму розпізнавання облич, яка нібито має забезпечити додаткову безпеку, почали запроваджувати якраз після тієї історії з фейковим кредитом у пожежному порядку. Подібні технології є у Apple, але це – компанія з мільярдною капіталізацією і командою найкращих фахівців. Вони розробляли ці технології дуже ретельно та довго. І коштувало це дуже дорого. А у розробників "Дії" не було ані грошей, ані ресурсів, ані часу. Тому що "Дія" – не стільки технологічний, скільки політичний проєкт. Плюс – до якихось державних ідентифікаційних документів Apple у своїй країні жодного стосунку не має.
Костянтин Корсун радить менше давати будь-яких даних про себе рідній державі. Особливо нинішній, якій ми не дуже довіряємо, владі. У соціальних мережах, в магазинах, якимсь органам бажано не оприлюднювати свій е-мейл, телефон, хоча вас можуть спокушати різними знижками. Хтось може вважати, що він – звичайна людина, е-мейл якої нікому не потрібен. Але у випадку слабкого пароля його можуть зламати та розіслати вашій базі контактів повідомлення, що у мене мама захворіла – скинь гроші. Це примітивний приклад, який на поверхні лежить. Ще з вашого аккаунту можуть провести якісь протиправні дії, і до вашої оселі завітають «маски-шоу». Знову-таки – можуть кредит на вас оформити. Тому треба дбати про власну кібербезпеку. Наше життя все більше переходить у цифрову інформаційну площину, коли у кожного є мінікомп’ютер в кишені. А тут ще й треба певні сумнівні додатки встановлювати через епідемію.
Костянтин Корсун розповів, що є організовані групи, які пишуть спеціальні злочинні програми і займаються так званим «фішингом». Вони закидають сіті та чекають, яка рибка припливе. Імовірність того, що це спрацює – 1-2%, але це виправдовує затрати.
А є взагалі злочинці найвищої хакерської кваліфікації, яких практично ніколи не ловлять. Вони ламають мережі банків, компаній. Переважно їхніми цілями є США та Західна Європа, де багато можна взяти. Вони шукають вразливі місця в мережах, там закріплюються, можуть читати листування директора і бухгалтера. Вони буквально за кілька місяців з’ясовують, що гендиректор у певний момент їде на Мальдіви, у нього буде обмежений зв'язок. Або бухгалтер кудись поїхала. І в цей момент пишуть гендиректору від імені бухгалтера: підпишіть, будь ласка, терміновий платіж на два мільйони доларів. Так навіть центральні банки деяких країн ошукують.
Костянтин Корсун не радить встановлювати застосунки, окрім тих, які вам просто конче необхідні. Якщо взагалі вже нема інших альтернатив. Ви ніколи не можете знати, наскільки можна довіряти розробнику цього застосунку. Навіть якщо він спочатку був доброчесним, його потім могли купити, уряд якоїсь країни на нього натиснув... І з новим оновленням вам прилетить якийсь «бекдор», який ви навіть не помітите. При цьому навіть видалення додатку може не допомогти, бо в операційній системі вже закріпився шпигун.
Застосунок, який є шпигунським, кудись регулярно віддалено передає дані та використовує ресурс батареї. При цьому раптово включається камера чи мікрофон, чи якась лампочка. Це є ознакою, що ваш гаджет треба перезавантажити. Шпигунські програми часто використовують оперативну пам’ять, а при перевантаженні вона очищується.
Якісь примітивні додатки, які поводять себе якось не так, можна «вирахувати». Але якщо шпигунське обладнання робили професіонали, воно обійде все. Це не буде показуватися у ваших штатних засобах.
Якщо це якась примітивна нелегальна реклама чи збір комерційних даних і за вами стежать через браузер, які товари ви переглядаєте, – це одна категорія. Такі собі напівзлочинні програми. Але можуть і потихеньку шпигувати. Якісь іноземні спецслужби, злочинці, власний уряд, правоохоронці...
До якоїсь великої людини – політика, бізнесмена – напряму не підлізеш. Бо у є нього охорона, захист, все-все-все, але при цьому є друзі, родичі, знайомі, люди, яких він поважає, з ким зустрічається. Можуть бути якісь випадкові контакти, бо всі великі люди – все ж люди. І рано чи пізно можна підібратися через його оточення. Якщо у вас немає друзів-олігархів, це не означає, що у друга вашого друга нема знайомого олігарха. Тобто ланцюжок працює потихеньку. Особливо якщо за справу береться ворожа спецслужба з необмеженим бюджетом і часом на цю операцію.
На ваш телефон встановлять певний софт – є різні технології, коли у звичайний файл зашивається малесенька програма, яка ніяк себе не проявляє і жоден антивірус її не виявить. І ця неактивна програма буде раз на добу за пів секунди відсилати один байт інформації на віддалений сервер керування. Хоча це буде зовні мати вигляд абсолютно безневинного додатка, в якому є кілька байтиків ось цього бота. Навіть фахівець, розібравши телефон на атоми, цей бот не знайде.
Будь-який електронний девайс – це потенційний засіб стеження за тобою. А коли ти ще й сам собі встановлюєш застосунок з усіма документами, реєструєшся та ще й фото туди додаєш, я не знаю навіть, як це коментувати.
Треба оцінювати, наскільки ти важливий для потенційних спецслужб. Своїх чи ворога. Якщо ти звичайна людина, то, в принципі, тобі нема чого боятися. Єдине, що цікавить Google, Facebook, щоб ти щось купив. Скоріше, треба боятися випадково спіймати вірус та нарватися на примітивну шахрайську злочинність, якій потрібні лише твої гроші. Якщо ж ти представляєш інтерес для політичного життя, для іноземних спецслужб, тут зовсім інший рівень безпеки має бути.
Розуміти переваги та небезпеки світу цифрових технологій.
"Дія" взагалі непотрібний додаток. Можна спокійно обходитися без нього. Нас затягують у болото цифрових технологій для встановлення контролю, хочуть забрати готівку, щоб ми оплачували послуги тільки через цифрові сервіси. Цьому потрібно протистояти й залишати альтернативу, наприклад, у вигляді тієї ж готівки.
У нас є вічність!
Радіймо життю граючи!
Коментарі
"Дія" взагалі непотрібний додаток. Можна спокійно обходитися без нього. Нас затягують у болото цифрових технологій для встановлення контролю, хочуть забрати готівку, щоб ми оплачували послуги тільки через цифрові сервіси. Цьому потрібно протистояти й залишати альтернативу, наприклад, у вигляді тієї ж готівки.
У нас є вічність!
Радіймо життю граючи!
На крайній випадок - споживчі кооперативи та бартерні операції. Юля колись навчила
Я не маю "Дію" і не збираюся її ставити. Після ковідоепопеї та вакцинотиранії я зрозуміла, до чого все йде...
Тут проведене дослідження, згідно з яким "Дія" – це шахрайство і диверсія https://youtu.be/UDNVFjbl8f4
Все, що робиться з власної волі, – добро!
Як з'ясувалося, міністр цифрової трансформації Михайло Альбертович Федоров має тривалий шлейф шахрайства. Мабуть, за це його і зробили віцепрем'єром. Ось тут ціле розслідування https://youtu.be/P10GktX8wPc
Ще один кандидат у список корпоративних психопатів. І в чергу на добровільно-примусову МРТ головного мозку.
Все, що робиться з власної волі, – добро!
Але, найбільш важливе те, що застосунок "Дія" створювала та ж сама російська фірма, яка створює програмне забезпечення для Яндекса та Сбербанка. І, вона й досі має повний доступ до всієї інформації з "Дії". А, це означає, що і ФСБ має доступ до всіх особистих данних 18-ти млн. українців, які є в "Дії".
Якщо прагнеш чуда - створюй його!
Дива не відбулося – вундеркінд Федоров засвітився у масштабній шахрайській схемі – розповідає Костянтин Корсун.
Все, що робиться з власної волі, – добро!