Электронное декларирование: серьезные технические «дыры» портала

Электронное декларирование: серьезные технические «дыры» портала

26 августа 2016

Надежда Сорокина

Однако после призыва изданий Украинской правды и Европейской Правды не давать Украине транш МВФ и не вводить безвизовый режим немало программистов начали бесплатно проверять портал, на котором должны были публиковаться декларации.

В Украине достаточно специалистов соответствующего уровня, наша IT-отрасль эффективно работает на экспорт, так в 2015 году экспорт IT-услуг из Украины вырос до 2,1 млрд. долларов. После того, как в сети начала раздаваться обоснована техническая критика, портал закрылся.

Так сейчас выглядит «открытый» портал, на который чиновники должны были бы заливать е-декларации

По результатам проверок добровольцев-тестеров происходило много обсуждений в сети. Мы попытаемся объяснить их сообщения человеческим языком.

Очевидные признаки недоделанной системы можно было увидеть прямо в коде веб-страниц, когда уже первые пользователи нашли несколько сообщений в коде типа //todo показать, что что-то происходит” (доделать: показать, что что-то происходит). Однако ради справедливости стоит отметить, что подобные комментарии можно найти в коде многих программ, даже “полностью разработанных”.

Далее волонтеры (программисты и ИТ-специалисты) начали находить в системе значительно более серьезные проблемы. Приводим неполный список того, что было найдено состоянию на 22 августа:

1. Информация, которая заносится пользователем, фактически не проверяется. Можно вводить любые данные. Чиновник может записать любой год, хоть 1800-й. Также система не проверяет введенные данные на логичность. Например, возраст родителей может быть меньше детей: ситуация, когда родители родились в 1980-м, а дети — в семидесятых — является вполне приемлемой для системы. Не проверяются данные, имеющие ограничения по формату, например, номер телефона.

Более того, можно менять в своем “кабинете” такие основополагающие данные, как индивидуальный налоговый номер. То есть, зайти с личным ключом, который выдан на один номер, а потом внутри системы исправить его на другой.

Был бы я коррупционером, так бы и делал. И потом долго заставлял доказывать правоохранителей, что я — это я.

2. Некорректно настроенная система по работе с сертификатами на ключи цифровой подписи. Если я хочу загрузить свою декларацию, то сначала авторизуюся, или с помощью банковского ID или цифровой подписи.

Во время авторизации, для получения сертификатов ключей, мой браузер обращается к программы-посредника (прокси) на сервере системы е-деклараций.

Эта программа-посредник с сервера НАЗК обращается за сертификатом ключа к одному из других серверов, что принадлежит специализированным центрам сертификации. Если полученный сертификат подтверждает ключ, то меня пускают на портал. Так, в общем, работает защищенная система.

Однако на момент тестирования портал е-деклараций настроен таким образом, что подготовленный пользователь может направить прокси на любой адрес, скажем на сайт president.gov.ua Таким образом сайт НАЗК можно использовать для ДДОС-атак.

Теоретически, если настроить свой собственный сервер и на него направлять прокси с сайта НАЗК, то какой-то хакер сам себе сможет выдавать сертификаты на придуманные ключи.

3. Cookie (печенье): система содержит большую дыру в безопасности во время работы с сессиями. Сессию для пользователя открывает сервер, на котором тот авторизовался.

Например, если вы вошли на свой счет в Приват24 и там долго ничего не нажимали, вам придется входить еще раз — так настроена программа для вашей безопасности.

Сессия начинается, когда пользователь успешно авторизуется в системе — информацию об этом браузер (это такие известные инструменты, как Хром, Фаерфокс, Mozilla) обычно сохраняет в специальной структуре данных с названием cookie (печенье).

Для качественной защиты, в момент окончания сессии, после долгого перерыва без активности, или после логина с другого устройства такой cookie должен становиться недействительным и уничтожаться.

Однако, в системе для е-деклараций, которую Национальное агентство по вопросам предотвращения коррупции (собственник), Программа развития ООН (финансировала проект) и другие важные учреждения в своем решении представили, как полностью готовую, такого не происходит — cookie хранится неограниченный период времени, и является действительным.

Если вы получили каким-то образом куки другого пользователя, что начал сессию в системе (среди таких путей — перехват, взлом, социальная инженерия) – то легко можете зайти в его кабинет без авторизации. Всего лишь нужно скопировать cookie на свой компьютер. Кстати, в технических требованиях к тендеру есть ссылка на правила, требующие корректной работы с сессиями (то есть, требования конкурса не выполнены).

Вот видео с демонстрацией того, как выглядит использование чужой cookie на портале деклараций.

4. Еще несколько других проколов, которые представители разработчика, а это ООО “Миранда”, обещают ликвидировать после окончания “тестового режима”:

a. По крайней мере часть почтовых серверов, которые используются для отправки писем для подтверждения данных пользователей после регистрации на сайте е-деклараций, относятся “Миранде”. Они должны принадлежать НАЗК, чтобы не было внешнего вмешательства в сервер.

b. На момент запуска портала можно было заходить на него и добавлять декларации, используя тестовые ключи.
Сравним эти серьезные недоработки с тем, что писали/заявляли НАЗК, ПРООН, и политики, которые занимаются борьбой с коррупцией:

Призыв Украинской правды / Европейской правды отказать Украине в безвизовом режиме и транши МВФ, за то, что по мнению редакции, руководство страны организовало спецоперацию Госспецсвязи с умышленного срыва аттестации системы. (Не исключено, что указание отказать в аттестации действительно была, однако с другой стороны. Систему в таком состоянии, как сейчас, нельзя запускать в работу, хотя бы потому что после первых взломов произойдет ее полная дискредитация).

25 июля 2016 года НАЗК, ПРООН, представители Всемирного Банка и Государственная служба специальной связи и защиты информации (ДСТСЗИ) подписали заключение: “Результаты приемных испытаний ПО системы электронного декларирования считаем полными и позитивными”. Для заключения использовались результаты тестирования PricewaterhouseCoopers и TestLab.

“На самом деле не имеет никаких проблем с софтом, разработанным за деньги Мирового Банка и Программы развития ООН”, писал — Виталий Шабунин, Председатель правления в Центре Противодействия Коррупции.

Заявление Представительства Евросоюза и посольства стран-членов ЕС в Киеве по запуску в Украине электронной системы декларирования без сертификации:

“Утверждение о том, что неудачная выдача технического сертификата вовремя вызвана техническими недостатками, является противоположным публичных заявлений, сделанных ПРООН и другими надежными экспертами. Они четко подчеркивают: система полностью соответствует международным стандартам и уже сейчас может быть использована для сбора и публикации деклараций в совершенно законный способ. Это — задача, которую теперь должен выполнить НАЗК”.

Следовательно, утверждение о полной готовности системы, так сказать, были слишком оптимистичными.

Противодействие

При этом существуют доказательства и того, что со стороны представителей правящей коалиции были попытки сорвать своевременное введение полноценного е-декларирования. Кто именно был инициатором этих попыток пока сказать трудно.

Однако можно утверждать, что существует группа влиятельных чиновников и политиков, которые хотят завалить или затормозить запуск системы электронных деклараций. Вот несколько аргументов в пользу такого видения:

Верховная Рада отсрочила введение е-деклараций на 2017 год. Эта норма была спрятана в поправки к закону о госбюджете-2016 (автор — Вадим Денисенко, БПП). Решение ветировал Президент Петр Порошенко.

Депутаты (главным образом от Опоблоку) подали в Конституционный суд с просьбой признать неконституционными положения закона о е-декларирования.

Наконец свежая пресс-конференция нардепов Антона Геращенко (фракция Народный фронт, близкий к министру МВД Арсена Авакова) и Ивана Винника (БПП) на которой они объявили о якобы слом системы е-декларирования.

Впоследствии выяснилось, что мифический «хакер», о котором говорил Геращенко, просто получил настоящий электронный ключ на «Рябошапку Г.» Более того, его выдало госпредприятие Центр сертификации УСС — дочь ДСТСЗИ. Детали читайте здесь

Эта пресс-конференция рассматривается нами, как доказательство заинтересованности чиновников в срыве е-декларирование, потому что нардепы не могли получить настоящий ключ без содействия со стороны руководства УСС. То есть, есть признаки уголовного преступления. Нужен был кто-то влиятельный, который бы заставил руководителей УСС предоставить другим лицам ключ на конкретную фамилию.

УСС — учреждение, которое выдает электронные подписи имеют юридическую силу. Ними подписывают контракты и могут закреплять сделки купли-продажи недвижимости и других активов.

Вдруг выяснилось, что при определенной политической весы можно получить электронную подпись любой человека. В этом смысле Геращенко хакнул гораздо больше чем систему е-деклараций, он хакнул весь государственный механизм, который гарантирует право собственности.

Заинтересованной группе было важно затянуть введение системы на два месяца, которые предусмотрены законом на обнародование деклараций. Таким образом они добились того, что об их имущество общественность узнала бы уже в следующем году.

Два вывода

1. В стране, где IT-продукты занимают третье место в структуре экспорта, стыдно для серьезного государственного проекта нанимать фирму, которая допускает такие ошибки.

Предполагаем, что ООО «Миранда», которая разрабатывала портал, ничем не хуже других ИТ-компаний, работающих с украинскими госорганами. Стоит посмотреть на большинство государственных сайтов, чтобы убедиться в этом.

Более продвинутые компании, скорее всего, не хотят связываться с множеством бюрократической волокиты, которая идет «в нагрузку» к госзаказу. В конце концов, чтобы общаться с госорганами, нужны определенные навыки, которые очевидно и имеет Мірінда и подобные ей фирмы.

2. Активисты в этом случае нагнетали эмоции, чтобы добиться своей цели и не всегда достаточно основательно проверяли факты. Даже если цель благородная, то это скорее методы из арсенала действующих политиков. Ведущие медиа с готовностью включаются в такие эмоциональные кампании.

В данном случае через сопротивление политиков, плохой менеджмент НАЗК, который должен был контролировать ход работ, и плохое техническое исполнение проекта разработчиком Украина может лишиться транша МВФ и безвизового режима. Хорошо, если партнеры по ЕС на МВФ поймут, что е-декларирование срывается в том числе и через важные технические проблемы.

В чем важность е-деклараций

Антикоррупционное законодательство, которое принято в значительной степени стараниям Центра противодействия коррупции, который возглавляет Виталий Шабунин предусматривает, что с 15 августа 2016 года все чиновник будут сдавать свои декларации о доходах в электронном виде.

Это очень практично, ведь можно легко анализировать их имущество. И, что очень важно, закон предусматривает уголовную ответственность за неточные данные в декларации. Несоответствие декларации стиля жизни — это повод, чтобы чиновником заинтересовалось Национальное антикоррупционное xqiquiukiqzukmp бюро.

fttc.com.ua