АСТАНА, 8 фев — Sputnik. Пользователь электронно-цифровой подписи (ЭЦП) не защищен от злоумышленников, считает IT-специалист Марат Калибеков, который проанализировал систему получения услуг с ЭЦП на возможные уязвимости.
— На «Хабрахабре» вы написали сложную для простого читателя статью. Скажите, в чем заключается опасность использования ЭЦП?
— Опасности в самом по себе использовании ЭЦП нет. Просто есть проблема механизма — в том, как сейчас это работает. Проблема в том, что если злоумышленниками создается какой-то сайт, где предлагается использование ЭЦП, нечистые на руку лица, используя присутствие пользователя на своем сайте, могут получить доступ и на другие ресурсы требующие ЭЦП. Для примера, на портал egov.kz, ресурсы ЕНПФ, Первого кредитного бюро, вообще, везде, где предполагается использование NCALayer.
— Когда вы начали изучать этот вопрос?
— Я не занимаюсь информационной безопасностью. Я разрабатываю программы. Просто так все сложилось. С элементами ЭЦП активно начал заниматься с 2010 года. С тех пор было много изменений в механизмах использования ЭЦП на сайтах. Внедрение NCALayer — последний вариант. Люди зачастую не понимают всей серьезности вопроса. Основная мысль при использовании ЭЦП в Казахстане — ваша ЭЦП приравнивается к собственноручной подписи. Например, даже за передачу ЭЦП кому-то предполагается административная ответственность. Можете посмотреть, в КоАП, статья 640. Просто вы не должны передавать свои ключи ЭЦП никому — ни другу, ни брату, ни помощнику, ни кому-то еще.
— Но каким образом это может произойти?
— Вот тут сразу становится непонятно.
— Вопросов к egov.kz и другим сайтам использующие в работе ЭЦП нет. Там все нормально. Саму ЭЦП тоже взломать невозможно. Там все строго, за ней стоит математика. Также нет ничего плохого в NCALayer. Идея нормальная. Проблемы начинаются тогда, когда появляется сайт-злоумышленник. Правильней будет сказать — текущая схема использования ключей ЭЦП через NCALayer не совсем безопасна. По крайней мере, в текущей реализации этой программы. Стоит учесть пару моментов и, думаю, проблема будет решена.
— Вы написали: «Путь к файлу и паролю доступен любому разработчику сайта, где используется ЭЦП». То есть, злоумышленник может разработать свой сайт, где запросит ЭЦП и…
— Я приведу такой пример. Сделали какой-то красивый сайт-злоумышленник, где предлагается использовать ЭЦП. Люди туда ходят. Или же есть много других ресурсов, например, портал egov.kz или Cудебный кабинет Верховного Суда, да и много других сайтов, также есть какие-то биржи, где ЭЦП используется. Если какой-то из этих сайтов взломают, встроят туда код, который реализует зловредный функционал, то автоматически все ресурсы с использованием NCALayer станут потенциально уязвимыми. Дело, получается, только в желании заполучить какие-то данные.
— А зачем злоумышленникам это может понадобиться?
— Подведем итог: пути у злоумышленников два — или сделать сайт, где пользователь должен использовать ЭЦП, или встроить код в уже существующие сайты?
— Да.
— То есть, теоретически, можно даже в egov.kz встроить свой код и собирать данные?
— Теоретически, да. Но я не думаю — там все относительно серьезно. При этом, все-таки, проверить все сайты где нужна ЭЦП, очень затруднительно. Все на совести разработчиков. Все под честное слово.
— Сделаем шаг назад. Скажите, пожалуйста, простыми словами: зачем вообще нужен этот NCALayer?
— То есть, эта программа нужна только для доступа к тем самым двум файлам, которые получаем через ЦОН?
— Да, к хранилищу ключей для постановки ЭЦП. И сейчас дилемма: как-то нужно выходить из ситуации. Есть и другие механизмы, но они тоже, если разобраться, не совсем безопасны. Например, не использовать NCALayer и аналогичные инструменты, а использовать специальные библиотеки в браузерах. Но я считаю это более уязвимо, чем использовать NCALayer. Там возможно получить доступ к самим ключам ЭЦП. А через NCALayer это невозможно. Вообще, сейчас все что касается постановки ЭЦП в браузерах, сделано под честное слово разработчиков. Можно сказать, браузеры сейчас «незрелые».
— Незрелые с точки зрения безопасности?
— Незрелые в том, что сейчас они такое не поддерживают. Какие-то шаги делаются, но очень медленно. Сейчас разрабатываются какие-то стандарты, механизмы для браузеров. Но пока их нет, выходят из ситуации наработками типа NCALayer. Что могли бы сделать разработчики NCALayer, чтобы улучшить ситуацию? Они могли сделать так, чтобы при каждом обращении к хранилищу с ключами для ЭЦП, запрашивался пароль. Тогда проблема бы решилась. В общем переложить ответственность с плеч разработчиков браузеров, на плечи NCALayer.
— Это тяжело сделать?
— Нет, это не тяжело, но это не так удобно для пользователя.
— То есть, на разных чашах весов удобство и безопасность?
— Да. Обычно эти два понятия противоречат друг другу — тебе удобно, но небезопасно, или наоборот.
— Вы сказали, что можно получить доступ к справкам, а могут ли быть еще более серьезные последствия?
— Можете зарегистрировать на человека ТОО… ну, я не знаю: можете через сайт госзакупок заявку подать. Вообще все, что можно сейчас делать с помощью ЭЦП. Но уточню, это требует определенных навыков, желания и времени.
— И человек даже не будет знать об этом?
— Если в историю (обращений — прим.) зайдет — увидит. Слышали же, как в конце прошлого года девушка узнала: в ЦОНе на ее имя выдавали какие-то справки другим людям — был скандал, уволили сотрудника ЦОНа. Проблема минимум из того же класса.
— Как думаете, разработчики НУЦ, где выдают ЭЦП, знают о проблеме?
— По моему мнению, знают. Ну я надеюсь теперь, что примут решение в ближайшее время.
Источник