Рассекреченные документы проливают свет на случившийся десять лет назад кризис с ID-картами
В феврале следующего года эстонской ID-карте исполнится 20 лет, и на прошлой неделе были обнародованы касающиеся ее засекреченные ранее документы. Они подтверждают подозрения экспертов – за эти годы с очень успешной в масштабе Эстонии картой все же были большие проблемы.
Все помнят кризис с ID-картой 2017 года, но на самом деле серьезные проблемы были и раньше, сообщила выходящая на канале ETV передача журналистских расследований "Очевидец". Где гарантия, что такое не повторится?
"По моему мнению, эстонская ID-карта – настоящее чудо. Ее используют тысячи людей. Пусть и дальше так будет. И я очень рад, что государство наконец-то рассекретило некоторые детали", – сказал эксперт по кибербезопасности, бывший работник Департамента государственной инфосистемы (RIA) Анто Вельдре, который за время своей службы имел непосредственное отношение к инцидентам с ID-картой.
На основании решения заместителя гендиректора RIA Маргуса Арма, недавно был рассекречен ряд документов, которые проливают свет на эти проблемы. По словам Арма, лучше обнародовать инциденты, чем их замалчивать.
По оценке исследователя кибербезопасности из Тартуского университета Арниса Паршова, государство по-прежнему не до конца понимает, что производитель ID-карт делает ради их безопасности.
Родом из Латвии и живущий десять лет в Эстонии Паршов весной защитил в Тартуском университете докторскую диссертацию на тему проблем с безопасностью ID-карт. Его работа считается самым тщательным независимым исследованием на эту тему.
Вельдре, Арм и Паршов заверили, что учитывая масштаб использования и роль, эстонская ID-карта является уникальной среди подобных в мире. Но 20-летний путь эстонской разработки без неприятностей не обошелся.
"Во-первых, следует понять, что безопасность ID-карты не ограничивается безопасностью самой карты и ее чипа. Есть и другие аспекты, публичная инфраструктура, программное обеспечение и так далее. Так называемая экосистема ID-карты огромная, и в ней многое может пойти не так", – пояснил Паршов.
"Если знать поведение технологии, то в этом большого сюприза нет. Меня бы больше обеспокоило, если бы мы сказали, что в течение 20 лет с технологией вообще не было никаких проблем. Это означало бы, что мы просто их не заметили", – считает заместитель гендиректора Департамента полиции и погранохраны Криста Аас.
Крупнейший инцидент случился десять лет назад
В декабре 2011 года в ходе тестирования безопасности сотрудники RIA обнаружили в программном обеспечении ID-карты ошибку.
"Ошибка, которую допустили совершенно случайно, означала, что карту можно использовать без PIN-кода. То есть ID-карта, устройство безопасности, на самом деле не выполняло своих функций в качестве устройства безопасности, а было просто ... вещью", – вспоминает Вельдре.
Арм в свою очередь пояснил, что для нецелевого использования было достаточно завладеть картой: "Если ID-карта была у человека под контролем, в кошельке, то никто ею воспользоваться бы не мог".
Проще говоря, проблема заключалась в том, что при определенной длинной команде карта не запрашивала PIN-код. Выяснилось, что проблема касалась примерно 120 000 карт, все они были выданы в 2011 году. Тогда карты производила швейцарская фирма Trüb, которую затем поглотил французский концерн Gemalto. Представителем обеих фирм в Эстонии был Андреас Леманн. Швейцарец согласился поговорить с репортером "Очевидца", но не на камеру, сославшись на конфиденциальность и пережитую в результате тех событий травму.
По его мнению, отчасти виноваты изначальные условия тендера и изменившиеся со временем желания Эстонского государства. Тем не менее, он признает, что ошибка все же была допущена.
Проблема была в реакции государства
По словам критиков, в уязвимости системы нет ничего удивительного, проблемой является то, как это было затем представлено. Спустя девять месяцев, то есть в сентябре 2012 года, и обиняками людям сообщили о необходимости обновить сертификаты: "В ходе рутинного анализа было обнаружено, что один из защитных элементов карт 2011 года нуждается в обновлении. Пользователям не стоит беспокоиться. Карта безопасна, а все совершаемые с ее помощью сделки надежны".
По мнению Паршова, призыв к общественности противоречил деятельности государства: зачем обновлять сертификаты, если проблемы нет?
Арм согласен с тем, что могло сложиться впечатление, будто замолчали серьезную проблему. "Тот факт, что атака была теоретически возможна в случае 120 000 карт, это настоящая проблема. Тогда провели оценку безопасности, проанализировали ситуацию", – рассказал он.
По словам Вельдре, во внутренних кругах проблему обсуждали жарко: "Во-первых, честно и этично ли такое поведение? Во-вторых, если мы дали людям устройство безопасности и оно не работает, то нужно ли нам сообщить им об этом? Или пусть живут в блаженном неведении? Для официального посыла избрали нечто среднее".
Несколько источников подтвердили, что о проблеме известили правительство, которое тогда возглавлял Андрус Ансип. В итоге решили, что теоретическая опасность не перевешивает дискомфорт пользователей и удар по репутации, если бы действие карт пришлось со дня остановить. Последние проблемные сертификаты были аннулированы лишь в июле 2013 года. Все касающиеся инцидента документы засекретили на пять лет, потом еще на столько же.
"Сейча ситуация иная. Больше говорят о недочетах, уязвимости, проблемы с безопасностью исправляют, затем оповещают о них, чтобы были прозрачность и доверие. Десять лет назад общество, может быть, было бы к такому не готово", – рассуждает Арм.
За обновлением карт последовала другая проблема
История на этом не заканчивается. При обновлении карт возникла новая технологическая проблема. Приватный ключ, используемый при аутентификации подписей, должен был генерироваться внутри карты.
"Для гарантии уникальности ключа должна быть только одна версия, и она должна находиться внутри ID-карты. Для безопасности ключ должен создаваться в карте", – рассказал Паршов.
По словам Вельдре, требование генерации ключей внутри карты было всегда, но производитель выбрал прямой путь. "Производитель ID-карт нарушил требование безопасности. После обновления программного обеспечения ключи генерировались не внутри карты, а где-то на сервере производителя и копировались на карту через интернет", – добавил Паршов.
Такой путь и тот факт, что об этом не оповестили государство, является большой проблемой, отметил Арм.
Андреас Леманн сообщил, что решение разработал местный партнер фирмы, поскольку заказчик, то есть Департамент полиции и погранохраны, требовал, чтобы обновление не занимало более пяти минут. По словам Леманна, он не был в курсе, что это требование выполнили за счет генерации ключа вне чипа карты.
"Это явно было проблемой производителя. Вместо того, чтобы сказать заказчику о том, что требования и объемы завышены, он согласился и продолжал печатать карты при помощи метода, который, к сожалению, никуда не годился", – констатировал Вельдре.
Паршов считает, что, по всей видимости, проблему бы не обнаружили, если бы производитель не допустил роковую ошибку: "В нескольких случаях из-за сбоя в программном обеспечении один и тот же приватный ключ скопировали с разных карт на карты производителя. То есть пользователи карт могли бы использовать электронную личность друг друг".
Паршов начал задавать вопросы и даже продемонстрировал, как Тойво может залогиниться под именем Юлле и наоборот, но в течение долгого времени проблему признавать не хотели. "Когда я это обнаружил, то первой мыслью было, что правительство и производитель в курсе. Потом узнал, что государство не проинформировано", – вспоминает он.
Правда обнаруживалась частями. В конце лета 2017 года кризис с ID-картами затронул 750 000 человек. Производителем тех карт была та же фирма, но суть проблемы была иной.
Если в 2011 году для атаки нужно было иметь физическую карту, то в 2017 году электронную личность можно было теоретически захватить без нее и PIN-кода.
Эксперты были в курсе проблем
"Для многих людей этой сферы проблема 2011 года секретом не была. Это был опыт, каждому пришлось подумать над тем, что можно делать, как поступить в случае проблем. Этот опыт потребовался в 2017 году, когда стало известно о проблеме производителя", – рассказал бывший работник RIA. По его словам, поэтому в 2017 году и не возникло мысли скрывать ошибку: "Если бы не скандал 2011 года, мы бы не были готовы к проблеме в 2017 году".
Маргус Арм приступил к работе в RIA в 2016 году, а Криста Аас стала заместителем гендиректора Департамента полиции и погранохраны весной 2017 года, то есть оба напрямую столкнулись с проблемой. Замена электронной идентичности половины населения стала громкой новостью и в других странах.
В разгар кризиса вернулись к инциденту 2011 года и обнаружили, что приватный ключ генерировался вне карты. "Мы узнали об этом в конце апреля 2018 года, благодаря ученым", – сообщила Аас.
Паршов отметил, что производитель генерировал приватный ключ вне карты в течение пяти лет, и все это время ошибку не замечали ни в ходе внутренних, ни внешних аудитов: "Благодаря этому выяснили, что никто не знает, что производитель карт делает с приватными ключами. Что нет никого, кто бы это контролировал".
Проблема генерирования ключа вне чипа касалась 74 000 карт, на тот момент использовались примерно 12 000, к июню 2018 года они были заменены. Насколько известно, ни одна карта атаке из-за вышеописанных ошибок не подверглась.
В суде достигли соглашения
Департамент полиции и погранохраны подал в суд два иска: один касался так называемого кризиса с ID-картами, второй – генерирования ключей вне чипа. Ущерб в связи с последней ошибкой оценили в 152 млн евро. Тем не менее в рамках внесудебного соглашения в этом году сошлись на 2,2 млн евро.
По словам Аас, 152 млн евро были не ущербом, а максимально возможной суммой штрафа: "Что касается нанесенного Эстонскому государству ущерба, то удар по репутации деньгами не исчисляется. На ликвидацию ошибок и быстрого обеспечения безопасности карт ушло 2,2 млн евро".
В компромиссе были заинтересованы обе стороны. Ответчиком в суде выступал концерн Thales Group, который стал собственником прошлых фирм. Точная суть иска и соглашения конфиденциальны, и представители Thales ограничились дипломатичным комментарием: "Мы пришли к компромиссу, который позволяет закрыть тему удовлетворительно для обеих сторон".
Андреас Леманн утверждает, что Эстонское государство само проспало несколько предупреждений и с целью избежать потенциально неловкого и затратного судебного разбирательства пошло на компромисс.
"Мы пошли в суд с одной целью – чтобы были выявлены нарушения со стороны нашего партнера и назначены возмещение ушерба или штрафы. Мы не считаем, что Эстонское государство само виновато в этих проблемах с безопасностью", "– прокомментировала слова Леманна Криста Аас.
Государство решило обнародовать документы
Почему вообще зашла речь об этих проблемах? В конце года заканчивается срок, на который были засекречены документы, и Департамент государственной инфосистемы решил перестать играть в прятки, передав документы Паршову для независимого анализа.
Крупное судебное дело завершилось компромиссом, и эстонские ID-карты производит новая фирма Idemia. Говорят, что производство ведется на основании подвергающихся большему контролю стандартов. И если, по мнению ученого, производителю карт не стоит слепо доверять, то практики уверяют, что в реальной жизни Эстонское государство не может контролировать абсолютно все.
По словам Аас, ни Эстония, ни другие государства не в состоянии сами полностью проверять надежность и требования безопасности всей технологии: "Это то доверие, которого мы ждем от крупных производителей во всем мире. Мы можем только очень тщательно составлять договоры на покупку этого доверия".
Вельдре считает, что Эстония – дигитальная система и ее размер сродни маленькому чуду: "Чтобы этого достичь, по всей видимости, нужно было ошибиться, пройти по неверному пути. А сейчас мы достигли того, что имеем. По-моему, это прекрасное достижение".
Примириться с тем, что в стремительно развивающемся кибермире нет вечной безопасности, может быть трудно, а проблемы и даже кризисы возможны и впредь. Это одна из причин, почему срок действия ID-карты составляет всего пять лет. Все герои этой истории, по их словам, используют ID-карту. Были ли вытащены из шкафов все скелеты – покажет время.
Редактор: Евгения Зыбина