Электронное декларирование. Промежуточные итоги.

Сергей Бардин. 23 серпня 2016 року Оригінал з фото тут

Если на выходных вы проводили время вдали от соцсетей, и совсем не в курсе, что там творилось с электронным декларированием, то ниже краткая выжимка произошедшего с пруфлинками.
Прежде всего, следует четко разделять разные ситуации, возникшие вокруг разработки этой системы, так как у них разные причины, бенефициары и возможные последствия. Я делю эти ситуации таким образом:

1. Злой умысел в госструктурах, ставящий целью недопустить введения электронного декларирования.

Тут все просто, поскольку в данный момент мы не можем четко определить, был ли это “злой умысел” или “добросовестное выполнение обязанностей”, эта ситуация ставится на паузу. На данный момент чиновники остановили введение системы в эксплуатацию, и как мы увидим из последующих строк – у них были на это все основания. Следует помнить, что ответственность за пропуск уязвимости в государственный сайт у этих чиновников намного выше, чем у рядового программиста, который максимум рискует своей зарплатой и увольнением.

2. Качество реализации открытой нам части системы. Тут будет много ссылок.

В принципе, все участники дискуссий уже пришли к общему мнению и не отрицают, что сайт написан крайне небрежно. Множество примеров в этом альбоме.
Наиболее вопиющие уязвимости, как по мне, это:
а) Алгоритм работы с кукис, что при неотключаемой сессии позволяет на том же компьютере без присутствия владельца (или на другом, если удалось их украсть) просмотреть его конфиденциальную информацию и отредактировать черновик его декларации. И да, при выходе из системы на одном компьютере, сервер продолжает считать эти кукис действующими на другом компьютере. Видеодоказательства ниже.
б) В сайт встроен модуль общения с пользователем SiteHeart
Начнем с того, что на подобных защищенных сайтах не должно быть вообще ничего, что не размещено внутри “охраняемого периметра”, т.е. на серверах владельца. А закончим, пожалуй, цитатой из соглашения о порядке предоставления услуг сервисом SiteHeart.com “Предприниматель имеет право хранить информацию обо всех подключениях Пользователя, включая IP-адреса, cookies и адреса запрошенных страниц, если такая информация была получена в ходе оказания Услуг;”, что в комплексе с предыдущей уязвивостью смотрится особенно мило.
Правда, у меня нет 100% уверенности, что онлайн-чат, запущенный с сайта е-деклараций сможет получить доступ к кукисам самого сайта е-деклараций. Поправьте меня, если я ошибаюсь.
в) Возможность подмены ответа центра авторизации ЭЦП. Плюс возможность с помощью сервера е-декларирования ддосить/спамить любой неугодный ресурс.
Разработчик библиотеки по работе с ЭЦП утверждает здесь и ниже по ветке комментариев, что эта дырка легко закрывается изменением настроек, поскольку весь необходимый функционал в системе есть.
Плюс вот еще очень важное уточнение, так и оставшееся без ответа от разработчика.
г) Письма о регистрации ходят через mail-сервер Миранды. Один из разработчиков в комментариях (ссылка утеряна) утверждает, что сам сервер находится внутри охраняемого периметра, но если это было бы так, то разработчик не имел бы возможности доступа к нему. А иметь почтовый сервер организации, не имея к нему доступа – это нонсенс.
Плюс, довольно подробная хронология драмы на DOU от George Kashperko. Обратите внимание на ТОВ “Криптософт”, который сначала должен был принимать работу, а потом выяснилось, что он участвовал в разработке. По ссылке намного больше текста, советую сходить и прочитать:

3. Тендер. Про него мало кто говорит вообще.

Деньги выделялись правительством Дании, тендер проводило ПРООН, а в результате такой вот результат.
Участники тендера засекречены, процесс прохождения тендера засекречен, имена экспертов, сказавших, что система полностью готова к эксплуатации – засекречены.
На все вопросы причастные либо не отвечают, либо отвечают в стиле “а что ты сделал для страны?”
Имена экспертов, установивших, что софт полностью работоспособен, до сих пор неизвестны. Также обратите внимание, как на скриншоте ниже осуществляется давление на государственную организацию.
Кстати, желающие могут в них покопаться и сравнить с получившимся результатом.
Я нашел следующее на стр 26: “При кожному вході система створює для суб’єкта декларування короткостроковий сеанс із посиланням на Cookies, який дає суб’єктові декларування можливість залишатися авторизованим на сайті до моменту закриття вікна або вкладки в браузері. Суб’єкт декларування може перервати сеанс роботи з системою, вийшовши з неї. При наступній спробі входу в систему автентифікація проводиться заново.”
Помните, что было описано выше про кукис? :) Налицо явное невыполнение требований.
Алексей Шевело также нашел следующее:
Очень хочется, чтобы ПРООН таки рассекретило имена этих экспертов и причины, по которым было выбрано ТОВ “Миранда”.

4. Взлом, продемонстрированный Антоном Геращенко и Иваном Винником на примере “декларации Рябошапко”.

Тут вообще отдельная ситуация, которая должна быть рассмотрена вне зависимости от предыдущих.
Наиболее полный разбор ситуации с хронологией сделал Владимир Фльонц, и выглядит она весьма неприятно.
Очень похоже на то, что кто-то из УкрСпецСвязи выдал ключ физлицу без проверки его личности, а это очень серьезно компрометирует весь Акредитованный центр сертификации ключей.
Учитывая то, что Антон Геращенко заявил на конференции, что скриншоты они делали сами, а скриншоты эти были сделаны из под аккаунта декларанта (т.к. там видны конфиденциальные данные, которые видны только декларанту), то вопросы, откуда появился этот ключ, следует адресовать непосредственно ему.
Ссылка на сертификат для специалистов и способ проверки (кто захочет проверить валидность сертификата по инструкции из pastebin делайте это в виртуалке, т.к. инсталляция openssl кастомной сборки ломает openssh сервер)
Пост, где УкрСпецСвязь ловят за руку
Денис Бигус сообщает, что от имени ГО подано заявление в НАБУ.

Резюме:

  1. Сайт не готов и не удовлетворяет даже минимальным требованиям к безопасности.
  2. Разработчики на замечания не реагируют, хотя может там //todo показати що багрепорт прийнято
  3. Причастные к тендеру ПРООН и просто делавшие громкие заявления, зарабатывая себе антикоррупционные баллы, сейчас просто отмалчиваются.
  4. “Взлом Геращенко” оказался еще хуже, так как скомпрометировал сам АЦСК, а это еще серьезнее, чем недоделанный сайт электронных деклараций.
  5. Очень надеюсь, что будут заведены дела про “ключ Рябошапки” и “тендер ПРООН”.
За сбор и предоставление информации, её анализ, выводы и структурирование, а также удобные площадки для обмена мнениями и их модерацию, выражаю благодарность Dmytro Potekhin Nataliya Zubar Алексей Шевело Владимир Фльонц George Kashperko @jsc.iit  Max Marchenko Денис Бигус
Дополнения и уточнения приветствуются
Полезные ссылки для чтения по теме:

5 Comments

  1. Скандал довкола декларування продовжується, я вважаю, те що держспецзв’язку відмовила в атестації е-декларування, абсолютно правильне рішення, випускати на ринок не якісний продукт, це не нормально, тим більше тут, де програма далека від досконалості і будь-який бажаючий може її зламати. Тепер єдине питання кому було вигідно запускати не працюючу програму?!

    • Якесь питання в вас трохи дивне. Невигідно нікому. І повірте, вони б ту систему зробили нормально, але якось вже так вийшло, що нікому невідома фірма, де працюють самі лише студенти на зарплатню в 4 штуки грн, ну не може написати нормальну захищену систему без дірок. А от те, що гроші попиляли, тому і не вистачило на розробку нормального ПО – то вже інше питання.

  2. Скандал довкола декларування продовжується, я вважаю, те що держспецзв’язку відмовила в атестації е-декларування, абсолютно правильне рішення, випускати на ринок не якісний продукт, це не нормально, тим більше тут, де програма далека від досконалості і будь-який бажаючий може її зламати. Тепер єдине питання кому було вигідно запускати не працюючу програму?!

Comments are closed.