СБУ та «вибори в смартфоні»
Чи здогадуються в київському міському управлінні СБУ, що вони необачно підклали свиню Федорову – всемогутній лівій руці Зеленського? А заодно і Самому Найвеличнішому.
Здавалося б, все виглядало як справжня перемога: ГУ СБУ в м. Києві зловили цілу групу злих хацкерів, які віддалено крали дані зі смартфонів жертв. Вартість зламу – 200 доларів за смартфон, а жертвами стали кілька сотень людей.
Але давайте зупинимося на одному моменті: хакери віддалено (!) крали усю інформацію зі смартфона, навіть фінансову, цитую:
«Спеціалізувалися» на дистанційному зламуванні мобільних пристроїв та незаконному збиранні персональних даних».
«…Потім зловмисники копіювали інформацію, що зберігалася на зламаному телефоні. Отримані у такий спосіб дані дозволяли зловмисникам знімати кошти з рахунків громадян та продавати третім особам інформацію про їхнє приватне життя».
З цього можна зробити висновок, що отримати тотальний контроль за смартфоном досить просто і коштує це всього $200.
А тепер думаємо цю думку далі.
Уявімо, що вискуби не збрехали (це складно, але напружимося), і до наступних виборів ЗеКоМанда свавільно таки продавила «вибори у смартфоні» попри категоричну незгоду суспільства, а голосувати на виборах дозволять через Дію.
І тут нас чекає організований та структурований хаос.
Якщо зловмисник має доступ до усіх даних смартфона – це означає такий самий доступ, як і легальний користувач (і навіть більше). У тому числі доступ і до Дії.
200 баксів за голос – це якось дорогувато, як на мене, хоча я не спец у передвиборчих технологіях. Але якщо найняти власну команду хакерів, то собівартість можна цілком знизити до 20-30 доларів за голос. Причому такі «власні хак-команди» будуть і у партії влади, і у проросійський партій, і у самих лаптеногих, і у американських спецслужб, і у європейських, і у злочинних картелей, і у великих корпорацій.
З урахуванням тотальної кібер-безграмотності наших співвітчизників, хакнуто буде не менше 73% смартфонів виборців. Причому деякі смартфони хакать будуть різні групи по кілька разів, одна після одної, як це часто трапляється вже зараз з незахищеними серверами та мережами, переважно госушних установ (не тільки українських). І, відповідно, цей смартфон «голосуватиме» кілька разів, кожного разу змінюючи прізвище проголосованого кандидата.
І тут почнеться батл – чия «хак-команда» буде швидшими та кваліфікованішими, той і переможе у таких «виборах». І «зелені» займуть останнє місце у цих змаганнях, оскільки у них і досі «роль кібербезпеки перебільшена». Дбл блд, невиліковні.
Думаєте, це аж занадто фантастичний сценарій? А я вважаю його цілком реалістичним. Тому що я прекрасно знаю, як працює підпільний кібер-ринок, що можуть і чого не можуть хакери, шопачьом, і хто більше заплатить за високорівневі послуги (спецслужби, але це секрет, тссс).
І ось нам київське управління СБУ задокументувало кілька сотень випадків віддалених (віддалених, Карл!) зламів смартфонів з викраденням інформації. Бажаючі журналісти-дослідники можуть запитати СБУ: на скількох з них було встановлено Дію? Але щось мені підказує, що відповіді не буде. 🙂
Я вже неодноразово чув потужний контраргумент «дієвих»: «У кожного користувача Дії є персональний пін-код! Він надійно захистить вхід у Дію!»
OMFG.
Зазвичай у мене немає шо сказати на подібне фантастичне невігластво, але цього разу дозволю собі дати одну підказку: keylogger. Нехай погуглять, що це таке і як працює, бо з термінології кібербезу вони поки що вивчили лише Security through Obscurity. Та той термін – хибний, гг.
Стосовно ж «перемоги» ГУ СБУ в м. Києві: більше скидається на те, що недолугі онуки дзержинського просто гоп-стопнули майстерні з ремонтів мобільних телефонів, деякі працівники яких зловживали довірою та копіювали собі дані користувачів. А дехто навіть надавав послуги «розблокування» смартфонів сумнівного походження. Також цілком ймовірно, що кількість реальних жертв сильно перебільшена, а асоціація затриманих з міжнародним хакерським угрупованням «Phoenix» – це лише їхнє самопозиціювання (так і написано: «позиціонують себе»).
Між іншим, груп з назвою Phoenox у світі доволі багато, більшість з них цілком легальні, це так звані «етичні хакери» з різних країн, погугліть фразу Phoenix hacking group. Але для сучасних чекістів не існує поняття «етичний хакер». Хакер – значить злочинець, крапка.
Уфф. Повторюється історія з Антоном Тимохіним та гучним затриманням хакерської групи Avalanche, коли за грати кинули людину, яка мала однаковий з підозрюваним нік в Інтернеті, а «резонансна справа» закінчилася рівно нічим.
І ще один смішний нюанс: де ви бачили, що «хакерське злочинне угруповання» мало офіси та магазини, у яких приймало клієнтів? Ну дурь же ж, і не соромно таке писати у прес-релізі.
Боротися з ремонтниками телефонів, які викрадають дані клієнтів, – це ок, це корисно для суспільства. Але це рівень райвідділку поліції та аж ніяк не національної контррозвідки. Можна для солідності назвати дрібних злодюжок «міжнародним хакерським угрупованням», яке віддалено зламувало смартфони, але тут важливо не перегнути палку і випадково не дати копняка інтересам вищого політичного керівництва країни.
Тому сьогодні давайте просто зафіксуємо у своїй пам’яті факт, підтверджений СБУ: віддалено хакати телефона цілком можливо, ось вам приклад. Ясделаль, шеф.
Чи може уся ця історія впливати на «вибори у смартфоні» – однозначно може, і вплине.
Чи врахують цю загрозу «дієві» – однозначно проігнорують, до ворожки не ходи. Вони вже заявили про «технічну готовність».
А все тому, що проект Дія – це не про технології та не про безпеку громадян чи, недайбоже, їхні права.
Це про політтехнології. Передвиборчі.
Ілюстрація © petit.pi