Comments 42
Достали если честно. Тогда хотя бы сделали бы галочку "запомнить меня на этом компьютере".
Они же уже "ввели её с 1 октября, реклама чуть ли не с каждого утюга шла:
С 1 октября 2023 года портал «Госуслуги» усилит защиту личного кабинета пользователей. С этой даты двойная верификация станет обязательной. То есть, помимо пароля и логина, вам нужно будет вводить код, который будет приходить по СМС. Есть и альтернатива: одноразовые коды из приложения либо вход по биометрии.
Что то пошло не так? Или с 1 октября 2023 года оно было "обязательное"?
Или большинство проигнорировало/не поняло уведомление и с 1.10, когда отключили, устроили ддос атаку на тех поддержку?
Я так понял, с 1.10 - обязательна для новых аккаунтов, с 28.10 - для всех.
UPD. Не, всё действительно бестолковее. Для новых она обязательна с августа. 1.10 объявили об обязательности, но юридического документа не было. А сейчас постановление появилось.
Ну не знаю. По мне так, дать дополнительный grace period людям - это скорее благо чем бестолковость. Какая бы причина ни была.
Лучше бы смс разослали, где простым языком разъяснили, зачем это нужно и как это сделать. Но даже так, минимум для 50% населения это "высокие" технологии.
На почту можно и не писать. У 90% она или левая или они её никогда не читают.
ГУ почту проверяют в процессе привязки. Без привязанной почты некоторые госуслуги не получить.
Её какое то время можно было просто указать без подтверждения, из за чего людям приходили чужие уведомления, плюс некоторые зелёные банки привязывали без подтверждения, а то и вовсе указывали почту по умолчанию.
Плюс она обычно одноразовая, создали акк, почту подтвердили и всё, большинство её даже не помнит. Да что уж там, большинство даже пароль от своей учётки в госуслугах не помнит, заходят в приложение, а там только короткий пин. А когда их деавторизовывают(в прошлом году массово было), потом скребут когтями мозг, силясь вспомнить почту, пароль или куда они кинули бумажку с ними. Хорошо если есть знакомый тыжпрограммист, который им восстановит вход(и то не всегда). А так идут восстанавливать в места где им могут сбросить пароль. У нас в деревне, к примеру администрация может это сделать.
«Мужик сказал — мужик сделал. А не сделал — снова сказал!» (Народная мудрость.) :-)
СМС не сильно удобен, так как требует наличие телефона под рукой. Код 2FA требует переключаться в стороннюю программу генератор кода. Биометрия входа через WebAuthn для меня самая удобная, постоянно использую на гитхабе ее.
Хотелось бы чтобы ГосУслуги поддерживали стандарт WebAuthn.
Как-то аргументация не сочетается. Если 'требует наличие телефона под рукой' - приводит к ' не сильно удобен', то почему биометрия для WebAuthn, которая для подавляющего числа людей тоже будет требовать наличия телефона - к такому не приводит?
Что, конечно, не отменяет того, что WebAuthn Госуслугам хорошо бы уметь. Но я подозреваю, будут проблемы с (не)наличием российской криптографии.
Код 2FA требует переключаться в стороннюю программу генератор кода
Bitwarden после автозаполнения логина и пароля сразу же копирует в буфер обмена код TOTP, на следующем экране достаточно нажать Ctrl+V
Пришли с паспортом в МФЦ, вам сбросили пароль. Обмазать логами и хорошо.
Тут все просто.
Хорошо если с паспортом(бумажным). А вот тут в предлагаемых правилах использования смартфона вместо паспорта есть пункт 5 в списке возможных применений:
Установление личности гражданина Российской Федерации при личном приеме в целях предоставления государственных и муниципальных услуг, а также в случаях, когда предоставление паспорта гражданина Российской Федерации является необходимым...
Возможно, там в сумме все хорошо получается, но написано так мутно, что меня сомнения берут.
А что не так? Вроде нормально же всё.
Электронный паспорт он в госуслугах. Как-то не сходится с потерей пароля.
У меня сомнения к устойчивости этого приложения к злодеям и разным хитрым обходным способам, основанных на кольцевых зависимостях.
Где-то так:
Изготавливаем фальшивое приложение, которое твою фотографию умеет показывать (а по формулировкам она не из Госуслуг проверяющим тащится, а локально хранится), устраиваем где-нибудь MitM как технологический так и социальный для перехвата разных одноразовых кодов. Идем в МФЦ, где говорим 'я тут пароль забыл, можно новый поставить и телефон в учетке сменить, вот видите, это я' (показываем фальшивое приложение)
Ну да, тут есть вопрос "а как тогда ты в приложение зашел?", но оно, если я правильно помню, пароль хочет только при привязке, а потом по другому в себя пускает. Да и не будет(не всегда будет) там никто думать. Сказано - можно приложение использовать, значит будут верить.
Ну и получаем угон учетки.
В общем, мне сходу не ясно, что таким способом этого сделать нельзя.
Приложение показывает быстро протухающий qr. Не подделаете. Ну или надо угонять реальный токен с которым оно в АПИ ходит. Считаем это примерно невозможным.
В МФЦ посмотрят на ваше приложение и попросят показать qr из него. На этом всё закончится.
Ну или надо угонять реальный токен с которым оно в АПИ ходит. Считаем это примерно невозможным.
Это почему? Объяснений-то нигде нет, как он создается и где хранится. И рассчитывать на то, что у злодея на руках смартфона жертвы нет - как-то очень оптимистично.
В МФЦ посмотрят на ваше приложение и попросят показать qr из него.
Оно и покажет. Потому что его злодей точно таким же способом запросит, как оригинальные 'госуслуги'.
Потому. Если у вас есть разблокированный телефон кого-то, то вы можете примерно все. Нынче вся жизнь в телефоне. Это не тот вектор атаки от которого Госуслугам надо защищаться.
Это не так. На iOS без реальной морды лица вы током ничего не сделаете. На Андроиде важные приложения требуют либо биометрию, либо код.
Разблокированная приложенька, если она требует разблокировки. Не придирайтесь.
По секрету: во многих случаях (зависит от настроек безопасности аккаунта) ios разблокируется путем перестановки симки в другой девайс и сброса через смс доступа к icloud. Сейчас мало у кого стоит PIN код на сим-карте.
По секрету: во многих случаях (зависит от настроек безопасности аккаунта) ios разблокируется путем перестановки симки в другой девайс и сброса через смс доступа к icloud. Сейчас мало у кого стоит PIN код на сим-карте.
Уже написали в Эппл? 250.000 долларов почти ваши.
Писать сюда https://security.apple.com/bounty/categories/ Там сверху кнопочка.
Изготавливаем фальшивое приложение, которое твою фотографию умеет показывать
Ну, это же не так работает. Ваше фальшивое приложение должно сгенерировать (или получить от сервера) одноразовый/короткоживущий qr-код, который будет провалидирован на том же сервере специальным приложением на мфц. Идентификация там не по фоточке работает. Вернее, не только по фоточке.
В общем, мне сходу не ясно, что таким способом этого сделать нельзя
Поэтому, такой способ и не используется. Это как попытаться идентифицироваться по скану паспорта. Фотография там тоже ваша, но в проверка подразумевает И валидность физического носителя.
Ваше фальшивое приложение должно сгенерировать (или получить от сервера) одноразовый/короткоживущий qr-код, который будет провалидирован на том же сервере специальным приложением на мфц.
Оно и получит. Перехватив у 'настоящего' приложения. Я не зря в своем описании MitM упомянул.
Вы готовы показать работающий митм? Или хотя бы его теоретическое описание, которое можно реализовать на практике? При условии что сертификат в приложеньку зашивают. И валидируют при обращении к серверу.
Если у вас есть возможность проведения таких атак, то зачем вам эти Госуслуги? Все деньги всего мира ваши.
Да пускай проверяются и зашиваются. Я про сценарии(согласен, я неправильно его MitM назвал), когда тем или иным способом используется 'законное' приложение Госуслуг жертвы и тот QR, что уже получен(да хоть камерой снять с экрана) - передается в фальшивое приложение. Да, степень контроля на смартфоном жертвы - должна быть велика. Но, в отличии от собеседника выше, я не считаю, что Госуслуги должны такой сценарий игнорировать.
Сняли вы qr, он протухнет ну через пару минут. Что дальше? Атака должна выглядеть как-то совсем сложно.
Получить доступ к телефону жертвы, снять qr, в течении секунд передать его сообщнику в МФЦ, там моментально попасть на прием и показать этот qr из фальшивого приложения, убедиться что ваш сообщник сидящий в МЦФ хотя бы похож на фотку с которой его сотрудник сверит. Любая задержка на минуту в любом месте и ваш план провалился. И чтобы что? Сменить пароль Госуслуг попавшись на кучу камер? Выглядит так что это изначально не имеет смысла. Есть множество более простых и безопасных способов мошенничества. Звонки из службы безопасности Сбербанка и то надежнее выглядят.
Атака должна выглядеть как-то совсем сложно.
С этим согласен. Но учитывая объем потенциальных жертв и возможность каких-нибудь дурных багов, позволяющих разные ключики украсть - выглядит нехорошо.
Во всяком случае, если любые манипуляции с Госуслугами(в смысле, с атрибутами доступа к ним) разрешить только по бумажному паспорту - всей этой потенциальной головной боли можно избежать.
Это не очень просто, MItM должен работать в отношении устройства сотрудника, который по полученному валидному коду сделает запрос в свою БД и получит оттуда те же данные, что у вас. Если вы взломали эту систему, то глупо идти палиться в МФЦ, где камеры наблюдения.
который по полученному валидному коду сделает запрос в свою БД и получит оттуда те же данные, что у вас.
Проблема в том, что проект постановление правительства про 'паспорта в телефоне' очень мутен по этому поводу как раз по поводу фотографии. Если бы они требовали смотреть фотографию из БД (т.е. из единой биометрической системы) - это более-менее нормально.
Но там конкретно написано, что "Хранение фотографии гражданина, предоставленной гражданином в мобильное приложение в соответствии с пунктом 3 настоящих Правил, осуществляется на индивидуальном мобильном устройстве гражданина."
Что предполагает, что показывать будут именно эту фотографию. Т.е. фактически, любую.
Чушь несёте. На примере гугл аутентификатора (который если что поддерживается).
Поставщик услуг генерирует 80-битный секретный ключ для каждого пользователя (хотя RFC 4226 § 4 требует минимум 128 бит и рекомендует 160 бит).[36] Ключ предоставляется в виде 16-, 26-, 32-значной строки в кодировке Base32 или в виде QR-кода. С помощью секретного ключа клиент создает HMAC-SHA1 от:
количества 30-секундных интервалов с начала «эры UNIX» для варианта TOTP
счётчика, который увеличивается с каждым новым кодом для варианта HOTP.
Затем часть HMAC извлекается и преобразуется в 6-значный код.
Т.е. госуслуги выдают тебе персональный секретный ключ через QR-код, который считывается приложением (однократно, при настройке). Приложение уже этот код использует, чтобы генерировать по актуальному времени коды.
На серваке госуслуг тот же код делает то же самое. Код сверяется.
Как тут можно сделать атаку, не зная секретный ключ?
Как тут можно сделать атаку, не зная секретный ключ?
Никак. Но можно спереть ключ (возможно, вместе с телефоном).
И одно дело, когда это создает риски только для онлайна (злодей может от имени жертвы что-то в Госуслугах делать) -- этот сценарий не чинится.
Но другое, когда риски вытягивают еще и в оффлайн, позволяя злодею изготовить фальшивый 'паспорт в телефоне' и представляясь жертвой уже и при личном присутствии.
можно спереть ключ (возможно, вместе с телефоном).
Но если злодей спёр ключ зачем ему идти в мфц, светить свой портрет и получать еще один ключ? Чем первый хуже?
Это как ограбить банк, в потом прийти в него попросить пересчитать банкноты (с записанными номерами).
Но другое, когда риски вытягивают еще и в оффлайн, позволяя злодею изготовить фальшивый 'паспорт в телефоне' и представляясь жертвой уже и при личном присутствии.
Если ваша фальшивая чудо-программа имеет ключ и умеет подделывать запросы на сервер, то вы УЖЕ можете представляться жертвой. И ходить в мфц не надо. И где хранится фото не важно (важно в другом - не утечёт при массовом сливе). Да, до тех самых пор, пока жертва не отзовёт ключ. В общем, этот вектор "атаки" более, чем бессмысленен.
Но если злодей спёр ключ зачем ему идти в мфц, светить свой портрет и получать еще один ключ? Чем первый хуже?
Чтобы надежнее отрезать жертву от учетки(меняем в МФЦ атрибуты доступа) - чтобы она, например, не могла зайти в Госуслуги (потому что пароль помнит) через сайт и не отключила авторизацию украденного телефона. Ну и потом, после смены атрибутов, сам злодей может уже не украденным телефоном пользоваться, который можно выкинуть, а прямо сайтом Госуслуг.
А непосредственно в приложении сменить пароль и узнать его нельзя нельзя даже украв телефон (надеюсь) - потому что для смены пароля нужно ввести старый, а он не хранится и не используется нигде кроме как при привязке приложения к порталу.
Если ваша фальшивая чудо-программа имеет ключ и умеет подделывать запросы на сервер, то вы УЖЕ можете представляться жертвой....И где хранится фото не важно
В онлайне. В оффлайне зависит от того, как все сделают.
Сценарий может работать и так:
Злодей показывает qr, полученный из взломанной учетки. (собственно, вроде бы достаточно какого-нибудь номера СНИЛС, вроде бы)
Сотрудник МФЦ вытаскивает фотографию из единой биометрической системы (а не с смартфона злодея, как я понимаю из того, что предлагается).
Сотрудник видит, что фотография как-то не совпадает с человеком.
И делает то, что ему в подобных случаях делать нужно (вызывать полицию?)
Чтобы надежнее отрезать жертву от учетки(меняем в МФЦ атрибуты доступа) - чтобы она, например, не могла зайти в Госуслуги (потому что пароль помнит) через сайт и не отключила авторизацию украденного телефона
Зачем? Вся эта возня с мфц займёт пару дней минимум. За это время жертва заблокирует акк либо самостоятельно, либо путём обращения в полицию. Тогда пришедшего в мфц злодея возьмут тёпленьким.
после смены атрибутов, сам злодей может уже не украденным телефоном пользоваться, который можно выкинуть, а прямо сайтом Госуслуг.
Угу, то есть если его не успели взять на выходе из мфц он засветит остальные свои девайсы для более удобного выхода на него. Гениально!
В онлайне. В оффлайне зависит от того, как все сделают
Почему в онлайне? Если ваша чудо-программа может обмануть оператора мфц она точно таким же способом может обмануть в оффлайне любого другого. Так зачем, говорите, злодею подставляться на камеры мфц?
Сотрудник МФЦ вытаскивает фотографию из единой биометрической системы
Любой злодей вытаскивает вашу фотографию из слива единой биометрической системы. Любой каратель вытаскивает вашу фотографию из слива единой биометрической системы.
Никогда,.. нет, НИКОГДА и нигде не оставляйте вашу идентифицирующую биометрию. С её помощью вам можно навредить куда больше и куда сильнее, чем в вашем неправдоподобном сценарии.
Кражи идентичности не так же работают. Там главное быстрота - быстрее проделать действия, пока идентификатор не заблокировали. А тут вы рассказываете о каком-то длительном процессе с засвечиванием себя и всего что только можно во всех возможных местах. Ну, в принципе, бывают чрезвычайно глупые преступники (способные при этом создать или хотя бы использовать мифическую чудо-программу, взламывающую аутх протокол подобных систем?) но зачем о них беспокоиться? Их отловят первыми ;).
Сотрудник МФЦ вытаскивает фотографию из единой биометрической системы
Если бы вы сталкивались с процедурой подтверждения идентичности в случае утери документов, то знали бы, что это не просто "посмотреть на фоточку" :). Нужно предоставить другие документы в простейшем случае и/или надёжных идентифицированных свидетелей вдобавок в менее очевидных. Поэтому, повторяю - идентификация происходит не только по фоточке.
Никогда,.. нет, НИКОГДА и нигде не оставляйте вашу идентифицирующую биометрию. С её помощью вам можно навредить куда больше и куда сильнее, чем в вашем неправдоподобном сценарии.
С этим, я, в общем, согласен. Но вот нас усиленно тащат в будущее (в том числе в введением этой системы 'смартфонов вместо паспорта'), когда не делать этого будет все сложнее и сложнее.
Да просто МВД может оцифровать фотографии, что при выдаче бумажных паспортов сдавались, и туда залить. Или что там можно сделать с той биометрией, что в загранпаспортах есть? Она только чипе паспорта есть или как?
Потому и агитирую за то, чтобы в некоторых критических сценариях только бумажный паспорт использовался.
И да, если ты никакой биометрии не сдавал - то 'паспорт в смартфоне' пока, к счастью, вроде бы не получается. Поэтому автоматически придется пользоваться бумажным документом.
Нужно предоставить другие документы в простейшем случае и/или надёжных идентифицированных свидетелей вдобавок в менее очевидных.
Вот если все это нужно будет в сценарии 'я тут пароль от Госуслуг забыл, можно сменить?' - то я от (ну да сложного и подозрительного) сценария атаки откажусь.
А до тех пор - продолжу настаивать, что любая смена/восстановление атрибутов доступа в Госуслуги, производимая в оффлайне (т.е. в этом самом МФЦ и, кажется еще банки пытаются добавить), должна происходить строго по бумажному паспорту.
позволяя злодею изготовить фальшивый 'паспорт в телефоне'
И как ГУ, по Вашему, должны защитить от этого? 🤔
На «Госуслугах» с 28 октября введут обязательную двухфакторную аутентификацию для всех пользователей