Почему использовать цифровую подпись может быть опасно в Казахстане

АСТАНА, 8 фев — Sputnik. Пользователь электронно-цифровой подписи (ЭЦП) не защищен от злоумышленников, считает IT-специалист Марат Калибеков, который проанализировал систему получения услуг с ЭЦП на возможные уязвимости.

В результате, на специализированном российском сайте "Хабрахабр" на днях он опубликовал статью под заголовком "В Казахстане опасно использовать ЭЦП". И объяснил почему. Камнем преткновения, по версии Калибекова, является специальная "программа-посредник" между браузером и ключами ЭЦП, хранящимися на компьютере пользователя. Называется программа NCALayer и ее установка обязательна для доступа к услугам электронного правительства. Sputnik Казахстан поговорил с IT-cпециалистом Калибековым и выяснил, какие последствия, по мнению собеседника, может принести использование ЭЦП.

- На "Хабрахабре" вы написали сложную для простого читателя статью. Скажите, в чем заключается опасность использования ЭЦП?

— Опасности в самом по себе использовании ЭЦП нет. Просто есть проблема механизма – в том, как сейчас это работает. Проблема в том, что если злоумышленниками создается какой-то сайт, где предлагается использование ЭЦП, нечистые на руку лица, используя присутствие пользователя на своем сайте, могут получить доступ и на другие ресурсы требующие ЭЦП. Для примера, на портал egov.kz, ресурсы ЕНПФ, Первого кредитного бюро, вообще, везде, где предполагается использование NCALayer.

- Когда вы начали изучать этот вопрос?

— Я не занимаюсь информационной безопасностью. Я разрабатываю программы. Просто так все сложилось. С элементами ЭЦП активно начал заниматься с 2010 года. С тех пор было много изменений в механизмах использования ЭЦП на сайтах. Внедрение NCALayer — последний вариант. Люди зачастую не понимают всей серьезности вопроса. Основная мысль при использовании ЭЦП в Казахстане — ваша ЭЦП приравнивается к собственноручной подписи. Например, даже за передачу ЭЦП кому-то предполагается административная ответственность. Можете посмотреть, в КоАП, статья 640. Просто вы не должны передавать свои ключи ЭЦП никому — ни другу, ни брату, ни помощнику, ни кому-то еще.

- Но каким образом это может произойти?

- Механизм, сейчас использует NCALayer – в нем потенциально уязвимое место. Пароль и путь к хранилищу ключей ЭЦП передается от сайта в открытом виде в NCALayer. По идее, это строго защищенная информация. Никто кроме хозяина ключей не должен владеть этой информацией. При наличии этой информации у сайтов злоумышленников, возможна постановка ЭЦП на различные документы без ведома пользователя.

- Вот тут сразу становится непонятно.

— Вопросов к egov.kz и другим сайтам использующие в работе ЭЦП нет. Там все нормально. Саму ЭЦП тоже взломать невозможно. Там все строго, за ней стоит математика. Также нет ничего плохого в NCALayer. Идея нормальная. Проблемы начинаются тогда, когда появляется сайт-злоумышленник. Правильней будет сказать — текущая схема использования ключей ЭЦП через NCALayer не совсем безопасна. По крайней мере, в текущей реализации этой программы. Стоит учесть пару моментов и, думаю, проблема будет решена.

- Вы написали: "Путь к файлу и паролю доступен любому разработчику сайта, где используется ЭЦП". То есть, злоумышленник может разработать свой сайт, где запросит ЭЦП и…

— Я приведу такой пример. Сделали какой-то красивый сайт-злоумышленник, где предлагается использовать ЭЦП. Люди туда ходят. Или же есть много других ресурсов, например, портал egov.kz или Cудебный кабинет Верховного Суда, да и много других сайтов, также есть какие-то биржи, где ЭЦП используется. Если какой-то из этих сайтов взломают, встроят туда код, который реализует зловредный функционал, то автоматически все ресурсы с использованием NCALayer станут потенциально уязвимыми. Дело, получается, только в желании заполучить какие-то данные.

- А зачем злоумышленникам это может понадобиться?

- Ну, например, вы злоумышленник, и вам захотелось узнать о своих пользователях, где они работают, какая у них зарплата, какая недвижимость есть в наличии, где зарегистрированы. А это есть только на egov.kz. У себя на сайте подключаете вход по ЭЦП, ну или подпись ЭЦП каких-то документов. Пользователю достаточно всего один раз указать ключи ЭЦП, после чего вы можете ставить подписи на любые документы от этого пользователя, без его ведома. А это позволит, как минимум, войти на другие ресурсы с данными этого пользователя. Это может понадобится для сбора информации, ее можно потом продавать или как-то использовать незаконно.

- Подведем итог: пути у злоумышленников два – или сделать сайт, где пользователь должен использовать ЭЦП, или встроить код в уже существующие сайты?

— Да.

- То есть, теоретически, можно даже в egov.kz встроить свой код и собирать данные?

— Теоретически, да. Но я не думаю — там все относительно серьезно. При этом, все-таки, проверить все сайты где нужна ЭЦП, очень затруднительно. Все на совести разработчиков. Все под честное слово.

- Сделаем шаг назад. Скажите, пожалуйста, простыми словами: зачем вообще нужен этот NCALayer?

- Браузеры – Internet Explorer, Chrome, Firefox – сами по себе защищенные. То есть, когда вы открываете какую-то страничку, браузер "гарантирует", что открытый сайт не имеет доступ к вашим файлам в компьютере, да и другим ресурсам на компьютере, куда сайту не положено. Но здесь возникает такая проблема. Чтобы использовать ключи ЭЦП, нам все-таки нужно получить доступ к файлам на компьютере, либо доступ к USB-порту (в случае с флешкой-хранилищем ЭЦП Kaztoken – прим.). Для этого и создали NCALayer. NCALayer, с одной стороны, открывает порт, куда вы можете подключиться с браузера, с другой стороны, он имеет доступ к вашей файловой системе. Можно сказать, это прослойка между браузером и хранилищем ЭЦП со своим функционалом.

- То есть, эта программа нужна только для доступа к тем самым двум файлам, которые получаем через ЦОН?

— Да, к хранилищу ключей для постановки ЭЦП. И сейчас дилемма: как-то нужно выходить из ситуации. Есть и другие механизмы, но они тоже, если разобраться, не совсем безопасны. Например, не использовать NCALayer и аналогичные инструменты, а использовать специальные библиотеки в браузерах. Но я считаю это более уязвимо, чем использовать NCALayer. Там возможно получить доступ к самим ключам ЭЦП. А через NCALayer это невозможно. Вообще, сейчас все что касается постановки ЭЦП в браузерах, сделано под честное слово разработчиков. Можно сказать, браузеры сейчас "незрелые".

- Незрелые с точки зрения безопасности?

— Незрелые в том, что сейчас они такое не поддерживают. Какие-то шаги делаются, но очень медленно. Сейчас разрабатываются какие-то стандарты, механизмы для браузеров. Но пока их нет, выходят из ситуации наработками типа NCALayer. Что могли бы сделать разработчики NCALayer, чтобы улучшить ситуацию? Они могли сделать так, чтобы при каждом обращении к хранилищу с ключами для ЭЦП, запрашивался пароль. Тогда проблема бы решилась. В общем переложить ответственность с плеч разработчиков браузеров, на плечи NCALayer.

- Это тяжело сделать?

— Нет, это не тяжело, но это не так удобно для пользователя.

- То есть, на разных чашах весов удобство и безопасность?

— Да. Обычно эти два понятия противоречат друг другу – тебе удобно, но небезопасно, или наоборот.

- Вы сказали, что можно получить доступ к справкам, а могут ли быть еще более серьезные последствия?

— Можете зарегистрировать на человека ТОО… ну, я не знаю: можете через сайт госзакупок заявку подать. Вообще все, что можно сейчас делать с помощью ЭЦП. Но уточню, это требует определенных навыков, желания и времени.

- И человек даже не будет знать об этом?

— Если в историю (обращений – прим.) зайдет – увидит. Слышали же, как в конце прошлого года девушка узнала: в ЦОНе на ее имя выдавали какие-то справки другим людям – был скандал, уволили сотрудника ЦОНа. Проблема минимум из того же класса.

- Как думаете, разработчики НУЦ, где выдают ЭЦП, знают о проблеме?

— По моему мнению, знают. Ну я надеюсь теперь, что примут решение в ближайшее время.