У десяти няньок кіберзахист із дірками

Вибори нового прем’єр-міністра Великої Британії відкладено на півтори тижні через загрозу хакерської атаки. Затримка сталася через попередженням тамтешньої спецслужби GCHQ про можливе стороннє втручання та підміну результатів голосування. При цьому конкретної загрози не існувало, попередження GCHQ було загальним та змальовувало лише теоретичні вразливості процедури онлайн-голосування. GCHQ – головна структура у Великій Британії, яка відповідає за національну кібербезпеку. Її місія викладена зрозуміло та лаконічно: Making the UK the safest place to live and do business online. А не як у нас: десять різних державних інституцій «відповідає» за кібербезпеку країни, але по факту не відповідає ніхто.

Читати далі

«22 гріхи Дії». Прем’єра

Нарешті ми з колегами раді презентувати майже повне зібрання усіх головних недоліків додатку Дія. Мова йде саме про додаток, не про веб-портал. Але не слід забувати, що і додаток Дія, і портал Дія є частинами однієї системи. Мовчати про це ми вже не можемо. Тому що проблеми Дії набувають загрозливого масштабу, а зауваження фахівців ігноруються. Влада безпорадна, некомпетентна і постійно приховує правду. Тому настав час вирішувати проблему, а не просто її обговорювати. І відкрите озвучення проблем – це перший, але важливий крок. Ми вирішили зробити такий собі путівник по проблемах Дії, щось на кшталт довідника або глосарія. Копіюйте, завантажуйте, друкуйте, поширюйте посилання. А також обговорюйте, у тому числі з нами.

Читати далі

Знайомтеся, це кредит через Дію №5

Провина у подібних випадках лежить не на користувачах, які використовують слабкі паролі, не пильнують свій смартфон чи нехтують правилами персональної кібербезпеки. Усі вони не підписували «правила користування Дією» – цих правил просто не існує у природі, як і документів на додаток Дія. Розробники додатку ніколи не думали про безпеку користувачів. Бо нічим думати. І тому провина лежить саме на них – на тих, хто набрався нахабства впровадити проект з персональними даними мільйонів українців, не маючи найменшого уявлення про кібербезпеку та захист цих самих даних. SMM-жижиталізатори примусили нас тримати усі наші цінності в сейфі, який стоїть на вулиці та зачиняється на трухляву гілочку.

Читати далі

Нищівний удар по зелених мріях про «державу в смартфоні»

Не виключено, що сьогодні Росія почала активну кібервійну в рамках можливого нового нападу. Хакери змінили перші сторінки 16 провідних урядових сайтів і зробили написи, в тому числі польською мовою. Останнє може бути прикриттям, щоб заплутати сліди. Постраждали сайти Кабміну, МЗС, ДСНС, Міносвіти, Мінмолодьспорту, Міненерго, Мінагрополітики, Мінветеранів, Мінзахисту довкілля та Держказначейства. Виглядає так, що влада загралася в утримання самої влади і у підготовку до виборів. Цей випадок ще раз підтвердив: просувати онлайн-вибори в наших умовах – це дуже, дуже небезпечна маячня.

Читати далі

«Дія» як зародок нової Матриці

Градус сюрреалізму наростає… Мінцирк повідомив радісну новину: нібито, тепер у Дію приходитимуть сповіщення у разі, якщо хтось оформив на ваше ім’я кредит. Перше, що приходить на думку: це чергова спроба вирішити проблеми з численними «кредитами через Дію»: спочатку для боротьби з цим явищем запровадили підпроект «Дія.Підпис», який успішно (та очікувано) провалився. Тепер оці пуш-повідомлення. Начебто виглядає як корисна функція, яка начебто мала б вирішити проблему. Але цей Світ трохи складніший, ніж це виглядає у накурених мізках «дієвих». А тут ще й продуктові картки у Дії хочуть ввести. Тож давайте розбиратися шо тут не так.

Читати далі

Чому німці відмовились від державного застосунку типу «Дії»

Схожий за функціоналом на Дію німецький додаток ID-Wallet було запущено буквально пару місяців тому: 23 вересня 2021. Його єдиною функцією було лише зчитування інформації з чіпу у справжньому, пластиковому водійському посвідченні з використанням технології NFC. На випадок, якщо забув справжні права вдома. І якщо все піде без критичних проблем, згодом ці е-версії водійських посвідчень зможуть замінити собою оригінали. І ще планувалося (якщо все буде гаразд!) підключити ID-Wallet до державних баз даних, які містять особисті документи громадян Німеччини. Але не встигли. Буквально за кілька днів після запуску застосунок було відізвано, а інфраструктуру деактивовано. Шо ж пішло не так?

Читати далі

Мінцифра запропонувало мільйон гривень за злам застосунку «Дія»

1 мільйон гривень або 35 тисяч доларів тим, хто знайде вразливість у Дії. Це буде челендж для білих хакерів з усього світу на платформі Bugcrowd. Чим серйозніша ​​вразливість, тим більша виплата. У кожній категорії складності може бути кілька спеціалістів, які знайдуть уразливості. Тому комісія розробників прийматиме рішення щодо виділення коштів після того, як баги будуть виявлені. Відповідно винагороду буде поділено за декількома категоріям складності уразливості: перший рівень складності – до $3,500, другий – до $1,200, третій – до $600, а четвертий – до $250. Тестування триватиме до 15 грудня. 

Читати далі