Скандал з фальшивим "зламом" е-декларацій: хронологія подій

Понеділок, 22 серпня 2016, 15:05 - Володимир Фльонц, eGov

Подій навколо нібито "хакерського зламу системи е-декларування" вже сталося достатньо багато, щоб в них заплутатись, тому є сенс зафіксувати їх хронологію.

Йдеться про історію з появою в реєстрі електронних декларацій фальшивого запису, зробленого від імені члена НАЗК Руслана Рябошапки. Нині є дві думки про те, що відбулося. Ініціатори скандалу кажуть, що він дискредитував систему е-декларацій.

Їхні противники наполягають, що дискредитована влада, але не система, оскільки зламу бази даних не було.

Володимир Фльонц підготував виклад подій минулих днів, з якого читач може винести власні висновки.

* * * * *

В п’ятницю 19 серпня, близько 13:30 агенція "Укрінформ" поширила анонс спільної прес-конференції народних депутатів Івана Вінника та Антона Геращенка. Заявлена тема: "Зламування системи електронного декларування для "чайників". (Зала 1, час 16:00)

Важливий момент: "злам" відбувся вже після оголошення прес-конференції.

За метаданими PDF-файлу декларації №160819132637602 на ім’я Рябошапка Р.Г., цей файл був створений того ж дня, 19 серпня, в 15:48.

О 16:05 починається прес-конференція, де депутати демонструють скріншоти процесу заповнення цієї декларації та результат розміщення декларації на сайті НАЗК, на одному зі скріншотів видно код ДРФО (індивідуальний податковий номер) 1234567892.

Щоб робити анонс прес-конференції до успішного заповнення декларації, треба бути впевненим, що все вийде, для цього бажано мати доступ до коду сайту або ще одного екземпляру системи, на якому можна переконатись заздалегідь. Постає питання: хто мав доступ до кодів сайту, крім розробників?

О 16:54 представник компанії-розробника Михайло Кавун стверджує на Facebook, що декларацію заповнили з використанням тестового ключа, який можна офіційно виписати на будь-яке ім’я: "Это не хак. Профанация. Система находится в опытной эксплуатации. Разрешено использование тестовых ключей ЭЦП".

О 21:30 на сайті "Європейська правда" з’являється новина, в якій народний депутат Олексій Рябчин, що відвідав приміщенні НАЗК, повідомив, що електронний цифровий підпис, яким підписана фальшива декларація від імені члена НАЗК Руслана Рябошапки, є "тестовим" і був сертифікований державним підприємством "Українські спеціальні системи".

Наступного дня, в суботу, 20 серпня, Руслан Рябошапка робить пост, в якому повідомляє деталі: "Отримав ключ, яким підписали фальсифіковану декларацію від мого імені в системі. Публікую його (номер), може, хтось із спеціалістів допоможе перевірити, хто його видав: 425D4BC6E44FFB1004000000E20E000026190000".

За цим номером ключа до 10 години ранку 20 серпня можна було отримати повний посилений сертифікат відкритого ключа з сайту csk.uss.gov.ua. В сертифікаті зазначалось, що ключ належить власнику Рябошапка Р.Г. з кодом ДРФО 1234567892. Тобто йдеться саме про той запис у реєстрі е-декларацій, який було продемонстровано на прес-конференції 19 серпня.

Однак після 10 ранку 20 серпня сертифікат з таким номером вже був відсутній на сайті ДП УСС, а

його номер з’явився в офіційному переліку ключів, що були визнані недійсними.

Точний час припинення дії сертифіката ключа - 20.08.2016 10:00.

О 15:37 20 серпня Володимир Фльонц (тобто автор даної хроніки) робить пост у професійній фейсбук-групі щодо роботи електронних ключів та електронній ідентифікації (eIDAS-UA), в якому публікує сертифікат відкритого ключа і просить профільних фахівців перевірити його справжність.

Разом з ним публікується і перелік відкликаних ключів, де цей реєстраційний номер присутній на той момент.

В коментарях до цього посту декілька різних фахівців підтвердили, що цей сертифікат ключа засвідчений (підписаний) офіційним ключем АЦСК ДП УСС, а відтак є чинним. Про тестовий ключ вже не йдеться: в скіншотах до цього посту наведено вигляд тестового сертифікату ключа від АЦСК ДП УСС.

АЦСК ДП УСС (http://csk.uss.gov.ua) — це Акредитований центр сертифікації ключів, що діє у складі Державного підприємства "Українські спеціальні системи". Цей орган видає (засвідчує) посилені сертифікати ключів посадовим особам Кабінету міністрів України, Міграційної служби, інших державних органів та навіть працівникам посольств України за кордоном.

О 16:17 з’являються повідомлення, що офіційний перелік відкликаних сертифікатів (CRL) більше не існує на сайті csk.uss.gov.ua (помилка 404).

За кілька годин перелік знов з’являється на сайті csk.uss.gov.ua, але вже без згадки в ньому сертифікату фальшивого ключа, виданого на ім'я Рябошапки.

Разом з ним з переліку відкликаних було вилучено ще декілька схожих за номерами (і відповідно часом створення) ключів. На кого були виписані інші видалені ключі, на жаль, невідомо.

Оскільки сертифікат ключа більше не присутній у переліку відкликаних, то формально ключ знов стає дійсним (окрім онлайн перевірки OCSP).

О 16:21 журналіст Денис Бігус робить пост, в уточненні до якого о 16:40 повідомляє, що

за виявленими обставинами подана заява в НАБУ про кримінальний злочин.

О 16:59 на офіційній сторінці ДССЗЗІ в Facebook з’являється заява прес-служби ДП "УСС", в якій повідомляється: "За час функціонування АЦСК ДП "УСС", з 2014 по теперішній час громадянин Рябошапка В.В. не звертався до ДП "УСС" за посиленим сертифікатом відкритого ключа".

Якщо уважно придивитись то формально це нічому не суперечить. Зокрема, через те, що опублікований сертифікат виданий на ім’я Рябошапка Р.Г., а в повідомленні ДП УСС вказаний Рябошапка В.В.

Що це – помилка чи умисне маніпулювання – не відомо. Станом на 14:20 22 серпня цю заяву не змінювали і не уточнювали, попри те, що це неспівпадіння активно висвітлювалося в ЗМІ.

Цікава деталь: перевіряти діяльність будь-якого АЦСК та карати порушників має саме ДССЗЗІ. Між тим Держспецзв’язок є засновником ДП "УСС" і відразу підтримав позицію цього підприємства, опублікувавши його заяву на сторінці ДССЗЗІ.

Тому вже зараз можна говорити про конфлікт інтересів під час можливого розслідування.

Близько 19:30 того ж дня з хостингу ex.ua були видалені опубліковані файли сертифікатів, але добрі люди відновили їх на GitHub.

В понеділок 22 серпня о 13:50 з’явилася заява глави НАЗК Наталії Корчак щодо ситуації, яка склалася. "Мова йде не про злам системи, а про спосіб верифікації, який був закладений в самій програмі. Корчак зазначила, що для розслідування обставин псевдозламу в агентстві вже створено робочу групу, до якої увійшов сторонній спостерігач – народний депутат Павло Костенко.

"Європейська правда" продовжує стежити за розвитком подій щодо втручання до роботи системи електронних декларацій.

 

Автор: Володимир Фльонц,

засновник ГО "Електронна демократія"

Початково опубліковане на Facebook (включно зі скріншотами), републікація з дозволу автора.

Публікується на ЄП з редакційними правками


Публікації в рубриці "Експертна думка" не є редакційними статтями і відображають виключно точку зору автора