Ще одне юне обдарування та чергова «фейкова Дія»

Костянтин Корсун

3 листопада 2021 року.

Ще одне юне обдарування було схоплене крутим спецназом за чергову «фейкову Дію». Але цього разу продавав вже за 200 грн, а не за 120 як його попередник. І QR-код вже «пробивався», хоча знов не по-справжньому, а лише імітуючи “правильну” відповідь сервера Дії.

І знов людям з базовими уявленнями про юриспруденцію та право нічого не зрозуміло, яку статтю будуть «шити» автору підробки:

– ст. 361 («хакерська») – мимо, тому що Дію ніхто не ламав.
– ст. 190 (шахрайство) – також мимо, тому що не було зловживання довірою, адже саморобний продукт не позиціонував себе як справжня Дія.
– ст. 358 («підробка документів») – аналогічно не працює, оскільки Дія не є електронним документом: юридичний статус Дії та її обов’язкові реквізити (які зловмисник «підробив») ніде і нічим не визначені.

То що ж підроблено?

Тепер юридичні генії з кіберполіції намагаються пришити розробнику чергової фейк-Дії статтю 361-2 (“збут або розповсюдження інформації з обмеженим доступом”).

Це взагалі юридичний нонсенс, оскільки ця стаття працює лише для людей (посадових осіб), допущених до ІзОД, а це працівники установ, які працюють із державними базами даних та реєстрами. Сильно сумніваюся, що 17-річний юнак мав доступ до такої інформації.

Теоретично також можливо якось прив’язати наївного хлопця до статті про порушення авторських прав, але кримінальне провадження можливе лише за заявою постраждалої сторони з точною оцінкою суми нанесених збитків. А хто володіє авторськими правами на Дію? МЦТ? Особисто Федоров? Чи може народ України, оскільки за наші гроші розроблено Дію? І як обрахована сума збитків, якщо Дія розповсюджується безкоштовно? Сумнівна судова перспектива, кароч.

Несплата податків? К’мон, декларування доходів за 2021 рік стартує лише у 2022 році.

Кажуть, поліцейські умніки додумалися інкримінувати ст. 325 ККУ (“Порушення санітарних правил і норм щодо запобігання інфекційним хворобам та масовим отруєнням”). Цікаво, шо вони там курять? Де розробник фейк-Дії, і де порушення санітарних норм? Які саме норми він порушив?

Отже виходить, що розробка «клонів» Дії не підпадає під жодну зі статей Кримінального кодексу України. Тому проведення обшуків та вилучення техніки та майна явно незаконні, а увесь склад оперативно-слідчої групи ймовірно здійснив злочин, передбачений статтею 365 ККУ («Перевищення влади або службових повноважень працівником правоохоронного органу»).

А ще під час обшуку працівник кіберполіції з телефону обшукуваного відправив у його Телеграм-канал повідомлення «цей канал заблоковано кіберполіцією». І ось це вже повне свавілля. Ось це і є стаття 361 «Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку». Причому злочин скоєно працівником поліції при виконанні службових обов’язків. Додаткових років п’ять до вироку.

А поки Федоров думає, чи знов брати собі на роботу свіжеспійманого «хакера», давайте поставимо собі питання: якщо вже вдруге уся федорівська рать дико збуджується (з автоматчиками та маски-шоу) на чергову (але не останню) фейк-Дію та вдається до явно незаконних дій, аби зменшити свої репутаційні втрати, – чи все гаразд зі справжньою Дією? Можливо, є якісь помилки у її концепції? Шось не так з принципами? Про «роль кібербезпеки» ще раз подумати?

Можливо, «у консерваторії щось треба підправити»? © М. Жванецький.

Озброєнні поліціянти вламуються до 17-річного пацана лише тому, що його було легко вирахувати та спіймати. Чи він і не ховався, хтозна.

Але якщо за справу візьмуться серйозні, справжні хакери? Які знаються на методах конспірації. Які запиляють додаток на основі сучасних безпекових практик з шифруванням та обфускацією, а грамотно побудовану інфраструктуру заховають у булет-пруфах? А продаватимуть за криптовалюту десь за 100 доларів? Тоді залишиться лише зібрати РНБО та заявити, «айя-йяй, ось ці ТГ-канали ми не схвалюємо, вони погані, хочемо їх заборонити, будемо думати як».

Замість боротися з випуском нелегальних сертифікатів (які кришуються ментами), «дієві» щотижня крутять руки необізнаній зі своїми правами пацанві без нормальних адвокатів. А тим часом справжній європейський сертифікат вакцинації можна купити за 300 євро. До речі, сертифікат на ім’я Hitler Adolf, 01.01.1930 року народження, досі валідний і прекрасно приймається Дією.

Коли протягом останніх двох років розумні люди попереджали «дієвих» про, м’яко кажучи, непродуманість принципів запровадження державного додатку як основного засобу ідентифікації громадян та як основний спосіб надання через нього державних е-послуг, товкмачили про численні потенційні ризики застосування такого підходу, вони відмахувалися («покажіть ваші докази»), морозилися («та кто ти такой, чтоб с тобой разговаривать») та в цілому поводилися як агресивні гопніки (якими вони, по суті, і є).

Тепер потроху оті ризики почали реалізовуватися. Не найнебезпечніші і навіть не зовсім очікувані. Але вже почали. І ще не вечір. А тільки ранок.

Бажаю щастя-здоровля усім щасливим користувачам Дії.
Багато смачних та влучних коментарів ще є у дописі Sean Brian Townsend.

* * *

22 листопада 2021 р.

Цього разу поліція вдерлася до миколаївського парубка, який продавав програму, яка зовнішньо схожа на додаток Дія.

Але цього разу «фейкова Дія» прогресувала: додаток генерує довільний QR-код, який, щоправда, нікуди не вів. Все одно ті коди ніхто ніколи не сканує. Вартість додатку цього разу була вже від 250 до 650 грн. І гроші платилися не тупо з картки-на-картку, а через мордорьский платіжний сервіс. Скоро еволюція фейкоДій і до криптовалют дійде.
І вік затриманого був вже не 21, і не 17, а 15 років. Так вірнопіддані пси режиму проводитимуть свої маскі-шоу у пологових будинках.

Інкримінували, як і під час попередніх двох випадків, «хакерську» статтю 361 Кримінального кодексу «Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку». Виговорити складну назву статті головний миколаївський поліціянт на прізвище Шайхет не зміг, тому вийшло лише «електро-обчислювальних машин».

Але що ж тоді хакнули? Дію? Елементи її інфраструктури? АРІ? Мобільну частину?

Я абсолютно переконаний, що оригінальний додаток Дія аж ніяк не постраждав, жодним чином. І не міг постраждати. Точно не в цьому випадку.

То в які ж автоматизовані системи було «несанкціоноване втручання»? І чи було хоч якесь втручання? Сильно сумніваюся.

Мені цікаво, яка логіка аргументацій була викладена в ухвалі суду на проведення обшуку? Особа1 розробила додаток, зовні схожий (!) на Дію, а тому це доводить факт несанкціонованого втручання в ту ж Дію? Тоді треба хапати на вулиці усіх, зовні схожих на путіна, і тягти в буцегарню. Потім відпустимо, але під час обшуку вкрадемо цінні речі та вилучимо техніку. Таваріщ майор просив собі новий ноутбук якраз.

Якщо китайські кристаліки з підземного переходу «зовні копіюють» діаманти, чи цього достатньо, щоб інкримінувати продавцю пограбування ювелірної крамниці? Миколаївська кіберполіція керується саме такою логікою.

Хоча стоп, несанкціоноване втручання все ж таки було. Але здійснив його поліцейський, який несанкціоновано втрутився у смартфон обшукуваного. Це чітко видно на 24-й секунді відео.

Поліцейське свавілля класично-українське: обшук проведено безпідставно, за політичними мотивами (проект «Дія» є політичним), натомість під час обшуку скоєно злочин самими поліцейськими.

Загалом ситуація з «Фейковою Діює №3» майже повністю аналогічна до двох попередніх:

«Фейкова Дія №1».
«Фейкова Дія №2» (див. вище).

За одним лише виключенням, що розробника «фейкової Дії» №1 начебто взяли на роботу до Мінцирку, попри відсутність рішення суду. Але це не точно.

Поєднує усі ці три випадки головне: в них немає жодного складу злочину. Ніякого.

Загибаємо пальці разом:

– ст. 361 («хакерська») – тут не працює, тому що ніхто нічого не ламав, жодній Дії не нанесено ніякої шкоди, крім морального приниження.
– ст. 190 (шахрайство) – також мимо, тому що не було зловживання довірою, адже саморобний продукт не позиціонував себе і не продавався в якості справжньої Дії.
– ст. 358 («підробка документів») – не працює, оскільки Дія не є електронним документом: юридичний статус Дії та її обов’язкові реквізити (які зловмисник «підробив») ніде і нічим не визначені, крім «експериментальної» постанови Кабміну на півсторінки.

Стосовно використання підроблених документів: тут трохи складніше, адже якщо вас просять пред’явити якийсь документ, а ви свідомо показуєте очевидну підробку, тут явно шось неправомірне. Але ж, знов таки, Дія не є електронним документом, і вона юридично нічим не відрізняється від будь-якої іншої картинки у вашому смартфоні.

Стаття 361-2 (“збут або розповсюдження інформації з обмеженим доступом”)? Маячня, яку розірве на шмаття кожен першокурсник юридичного вишу, тут навіть нема чого коментувати.

Порушення авторських прав? Не є настільки тяжким злочином, щоб проводити обшук. Та і хто правовласник? Як він постраждав? Як порахована шкода?

«Несплата податків»? В сад, тому що декларування доходів за 2021 рік стартує лише навесні 2022 року.

Стаття 325 ККУ “Порушення санітарних правил і норм щодо запобігання інфекційним хворобам та масовим отруєнням”? Ну тоді вже і вбивство Кеннеді можна вішати, чо уж там.

Отже, усі ці обшуки мають стільки ж з спільного із законністю, як відро іржавих гайок із французьким балетом.

Схожих додатків буде виготовлятися все більше, знаходити продавців та розробників буде все складніше, аж поки жорстока реальність не ляпне «дієвим» по їхнім недалеким мармизам: малограмотна концепція реалізації ідеї «країна у смартфоні» – додаток Дія – від самого початку була примітивним та непродуманим (закреслено «ідіотським») рішенням.

Якщо всі дані про всіх громадян і так є у державних базах даних, нахіба переміщати ключовий елемент системи у мільйони неконтрольованих смартфонів? Кожен такий смартфон потенційно містить купу ризиків компрометації – операційна система, апаратні закладки, якісь інші лайно-додатки, фішингові листи, лінки у повідомленнях месенджерів тощо. Кожен з цих факторів може стати причиною знищення інформації у девайсі, а значить позбавить власника можливості довести, що він – людина і громадянин. Або просто розрядиться смартфон. Поки родичі привезуть паперовий документ, у камері відділку поліції всяке може трапитися.

У такому разі, логічно буде припустити, що на додачу до Дії з собою постійно має бути справжній паперовий/пластиковий документ. Але що це в такому разі змінює? У чому тоді сенс «країни у смартфоні»? Плюс до звичайних документів треба ще й підозрілий додаток мати у телефоні з непрозорим кодом, мутною безпекою та засекреченою документацією.

То у чому ж тоді ключова помилка додатку Дія, спитаєте? Концептуально скажу, про тактичні помилки реалізації вже не буду сьогодні.

Уся цифрова магія повинна відбуватися з мінімальною участю громадянина. Максимальним завданням цього громадянина має бути лише ідентифікувати себе та пояснити, яку послугу він/вона хоче від держави. Все інше має робити умовна «держава» на своєму боці без участі громадянина.

Перевірити водійське посвідчення? Я назву вам мої ПІБ і покажу свою прекрасну фізію – звіряйте та перевіряйте, чи мої права дійсні.

Якщо йдеться про різні державні послуги чи довідки – у багатьох країнах це чудово реалізовано без всяких Дій, іншими рішеннями та механізмами, більш надійними та безпечними.

А якщо сильно хочеться швидко цифровізувати державні послуги, почніть зсередини, з себе, нешановне чиновництво.

Мінімізуйте безлад у державних базах даних, викорінить там кілька-десятилітню корупцію, виключіть «фактор чиновника» при прийнятті рішень, зробіть все прозорим та перевіряємим, з механізмами логування та документування. Зловіть та показово посадіть пару десятків чиновників-зловживальщиків, примусьте поліцію дійсно розслідувати кібер-злочини (а не виконувати політичні замовлення), позбавте суддів можливості займатися корупцією, підвищіть загалом шанованість державної служби – і аж тоді вимагайте довіри від громадян. Ні, не вимагайте і навіть не просіть – несміливо розраховуйте на неї, бо це тендітна субстанція, яка розвіється при першому ж подиху зловживання.

А перекинути на громадян відповідальність, примусивши їх встановити собі додаток, до якого немає ніякої довіри, та ще й крутити головою до хрусту у хребцях, – це шалопайство найвищого рівня. Нехлюйство, негідне владних повноважень.

Тримати у вигляді додатку усі свої документи, щоб у разі потреби назвати їх номер та серію, – прекрасна ідея. Але законодавчо прирівнювати цей довідковий додаток до офіційних ідентифікаційних документів найвищого ступеню довіри – чисто інфантилізм, безвідповідальна ілюзія укуреного підлітка.

Паперовий паспорт підробити дуже складно. Там спеціальний папір з купою ступенів захисту, водяні знаки, перфорація, особливі таємні мітки.

Пластик підробити трохи простіше, але складно махлювати з вбудованим криптографічним чипом. До безпеки якого теж існує безліч питань, але то окрема історія.

А ось підробити додаток Дія – як два пальці.

Що нам вже втрете демонструють народні умільці.

Повторю те, що я казав, ще коли з’явилася перша «фейкова Дія», – це тільки початок.

Якщо дія-розробники не хочуть дослухатися попереджень експертів про вірогідні ризики, якщо ігнорується міжнародний досвід (чи його відсутність через ризикованість самої моделі), якщо красивенький флюгер на даху важливіший за гнилий фундамент будівлі, і якщо політичні інтереси б’ють науково-технологічні підходи – тоді хибність ідеї буде доведена «вулицею».

Що ми усі зараз і спостерігаємо.

Думаю, вже час почати розробляти план де-дієвізації суспільства: як рятувати країну після того, коли агресивних цифро-підлітків подадуть у міжнародний розшук (не забути про посіпак).

І, до речі, комусь щось відомо про долю авторів двох попередніх «фейкових Дій»?

 

Усі відео