Пра культ карго и ЭЦП
Aug. 3rd, 2019 03:44 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
don_katalanStanislav Kukareka
Итак, наши диджитализаторы довольно массово с большим энтузиазмом ставят во главе угла "электронной державы" мобильный телефон и всякие там технологии на тему "электронной подписи". В принципе их можно понять, миллионы устройств которые уже на руках у населения (и которые то население регулярно покупает за свои деньги) это большой соблазн, и очень бы хотелось тут нашару поиметь все это. На елку влезть и жопу сохранить. Тут логика понятна.
Сложнее тут с последствиями. Ибо они непредсказуемы по сути. Мобильный телефон и вся инфраструктура что вокруг него, начиная с индустрии ПО и собственно опсосов, и заканчивая всяким "шаровым вайфаем" что нынче у нас есть везде по сути - никогда под это не затачивалась, и проектировалась совсем для других задач, с другими требованиями безопасности. И да, некоторые там есть уже приложения "чувствительные к безопасости", как например всякие аппле и гугле пеи, и прочие там сервисы такси и хавчика доставки. Но это другое.
Принципиальная архитектурная тут разница в том что там ЛОКАЛЬНАЯ идентификация. Ну то есть если у тебя аккаунт в "Глово", то у тебя аккаунт в "Глово", и даже если у тебя его угонят в том нет трагедии. И даже приложения мобильной всяческой оплаты (как и самих кредитных карт, пусть даже самых бесконтактных) они "локальны", там есть идентификация всего лишь КАРТЫ, есть лимит и т.д. То есть последствия при нарушении безпеки, при взломе там, "угоне" и таком прочем носят характер достаточно локальный. В тех же сервисах оплаты там лимит как правило не превышает нескольких тысяч, ну в пике - десятков тысяч гривен, и это не смертельно. Как минимум не смертельно для тех кто сам себе такой лимит поставил. Но для человека с пенсией в 1600 или пусть даже 3400 залет в такое дело - это больно. Пусть даже на 14 900. Такие люди таки в массе своей с айфонами не ходят и апликух таких не ставят кстати.
Совсем другое дело с "электронной подписью", которая имеет у нас уже даже (по закону) спектр действия достаточно широкий, и "лимит ответственности" почти ничем не ограниченный. Что представляет из себя уже гораздо большую проблему. По сути дела это позволяет просто тебя встретив под ларьком и креативно применив терморектальный криптоанализ отжать ну например квартиру. Тем или иным путем. И это еще без всякого хакерства, тупо в ручную. А если с хакерством то еще намного интереснее. При этом следует учитывать специфику этой страны, если ты потом бросишься это обжаловать и "возвращать все взад" то скучно не будет никому, и дешево это тоже не будет. Один только залог при подаче судебного иска (про например отжим квартиры) уже по сути превышает чисто финансовые возможности большинства населения. То есть лох пересичный даже обжаловать не сможет. Даже если захочет. Это уже не говоря о вероятности (и самих путях) и сроках получения какого-то там внятного решения. Это проблема. Серьезная проблема.
Касаемо секьюрити, мобильный телефон как на сегодня представляет из себя средство скорее развлечения. И это многомилиардный бизнес, глобальный бизнес. Какие либо там шаги направленные на повышение секьюрити просто не будут предприняты если это хоть в малейшей степени будет в ущерб его именно что "развлекательной" роли. Просто потому что это деньги, очень много денег. Какие то там яндекс-мапы или аппликухи что могут состарить твою фотографию там появляться будут постоянно (ибо в том суть индустрии) но не какие-либо меры которые позволят воспрепятствовать несанкционированному использованию устройства вместе со всем что в нем есть, от сим-карты до "секретных ключей". И это тоже очевидно.
Да, на самом деле те смартфоны уже имеют часть "секьюрных" функций и таковые будут появляться далее. Но тут проблема в чем? А в том что эти функции направлены на сохранение возможностей извлекать прибыль для участников того рынка. В первую очередь для производителей самих железок (или операционок), возможно на защиту интересов создателей контента (от игр до фильмов), но никак не на "защиту пересичного", тем более на таком мягко говоря "не главном" рынке которым есть там Украина. Даже если там появятся вменяемые например механизмы хранения ключей или еще чего то там, именно что под аппаратной защитой (а оно частично там уже есть) то доступа к тем механизмам не получит ни уряд Украины, ни уж тем более всякие наши грантоеды. Ибо таки реально не по Сеньке шапка. Их туда просто аж никто не пустит, и доступ к таким механизмам и возможностям будет стоить просто бешеных денег.
Отдельным аргументом там есть еще и "связь мобильная" со всеми ее особенностями. И в-частности возможностью ментам к примеру делать там "что угодно". Это считается сейчас довольно важным требованием и упирается аж куда-то в борьбы с терроризмом, но если учесть нравы и обычаи наших ментов, и то что никакое по сути серьезное мошенничество без их не только "крыши" но и прямого участия не происходит, то в данной сфере возникают очень специфические риски. Если учесть что и сегодня они совершенно не стесняются например просто в дурдом или в могилу списывать всиляких одиноких стариков з цикавым имуществом, то как они используют счастливую возможность манипулировать тем ЭЦП и прочим трудно себе даже представить. Тем более что никого там убивать не надо, а все последствия можно легко списать на "злобных хакеров". И вы потом ищите, господа.
Говоря о самой инфраструктуре ЭЦП то там есть тоже довольно интересные моменты. Это довольно старая и развитая технология, но она никогда не была ориентирована на "широкие загалы". То есть подразумевала определенный уровень квалификации пользователя и кстати требования к локальной инфраструктуре клиента. В частности - защиту секретного ключа и организацию к нему "правильного" доступа что посильно либо IT-фахивцям, либо подразумевает локального администратота и внутренние там процедуры, которые тоже должны соблюдаться. И тут попытки "упрощения", вернее даже профанации - не принесут добра, а только преумножат риски. Человек который этого всего не понимает (а к ним относится и большинство наших жижитализаторов как оказалось) это там все равно что обезьяна с гранатой. То есть буквально и дословно.
Уже сегодня мы имеем достаточно серьезные эксцессы со всеми теми вот реестрами, ключами, доступами и таким подобным. Уже сегодня. И нельзя сказать что мы успешно как то там то "преодолеваем". Вместо того имеет место стремление расширить и углубить, и собственно усугубить. Что черевато не только правовыми, экономическими, административными и прочими эксцессами, но и глубокой дискредитацией самих этих идей и технологий. Что у нас уже произошло и с "правовой державой" например, а уж "державу электронную" тут ждет участь гораздо худшая и много быстрее. Ибо там уже на низком старте стоит немало пасанов которые "точно знают что нужно делать", и уже имеют кстати опыт. Бабла они себе нарубят, в этом нет сомнения. И не только себе но и детям, и внукам и "тому дяде" без которого тоже никак. И даже "внукам того дяди". Но нам это зачем, шановни?
Итак, наши диджитализаторы довольно массово с большим энтузиазмом ставят во главе угла "электронной державы" мобильный телефон и всякие там технологии на тему "электронной подписи". В принципе их можно понять, миллионы устройств которые уже на руках у населения (и которые то население регулярно покупает за свои деньги) это большой соблазн, и очень бы хотелось тут нашару поиметь все это. На елку влезть и жопу сохранить. Тут логика понятна.
Сложнее тут с последствиями. Ибо они непредсказуемы по сути. Мобильный телефон и вся инфраструктура что вокруг него, начиная с индустрии ПО и собственно опсосов, и заканчивая всяким "шаровым вайфаем" что нынче у нас есть везде по сути - никогда под это не затачивалась, и проектировалась совсем для других задач, с другими требованиями безопасности. И да, некоторые там есть уже приложения "чувствительные к безопасости", как например всякие аппле и гугле пеи, и прочие там сервисы такси и хавчика доставки. Но это другое.
Принципиальная архитектурная тут разница в том что там ЛОКАЛЬНАЯ идентификация. Ну то есть если у тебя аккаунт в "Глово", то у тебя аккаунт в "Глово", и даже если у тебя его угонят в том нет трагедии. И даже приложения мобильной всяческой оплаты (как и самих кредитных карт, пусть даже самых бесконтактных) они "локальны", там есть идентификация всего лишь КАРТЫ, есть лимит и т.д. То есть последствия при нарушении безпеки, при взломе там, "угоне" и таком прочем носят характер достаточно локальный. В тех же сервисах оплаты там лимит как правило не превышает нескольких тысяч, ну в пике - десятков тысяч гривен, и это не смертельно. Как минимум не смертельно для тех кто сам себе такой лимит поставил. Но для человека с пенсией в 1600 или пусть даже 3400 залет в такое дело - это больно. Пусть даже на 14 900. Такие люди таки в массе своей с айфонами не ходят и апликух таких не ставят кстати.
Совсем другое дело с "электронной подписью", которая имеет у нас уже даже (по закону) спектр действия достаточно широкий, и "лимит ответственности" почти ничем не ограниченный. Что представляет из себя уже гораздо большую проблему. По сути дела это позволяет просто тебя встретив под ларьком и креативно применив терморектальный криптоанализ отжать ну например квартиру. Тем или иным путем. И это еще без всякого хакерства, тупо в ручную. А если с хакерством то еще намного интереснее. При этом следует учитывать специфику этой страны, если ты потом бросишься это обжаловать и "возвращать все взад" то скучно не будет никому, и дешево это тоже не будет. Один только залог при подаче судебного иска (про например отжим квартиры) уже по сути превышает чисто финансовые возможности большинства населения. То есть лох пересичный даже обжаловать не сможет. Даже если захочет. Это уже не говоря о вероятности (и самих путях) и сроках получения какого-то там внятного решения. Это проблема. Серьезная проблема.
Касаемо секьюрити, мобильный телефон как на сегодня представляет из себя средство скорее развлечения. И это многомилиардный бизнес, глобальный бизнес. Какие либо там шаги направленные на повышение секьюрити просто не будут предприняты если это хоть в малейшей степени будет в ущерб его именно что "развлекательной" роли. Просто потому что это деньги, очень много денег. Какие то там яндекс-мапы или аппликухи что могут состарить твою фотографию там появляться будут постоянно (ибо в том суть индустрии) но не какие-либо меры которые позволят воспрепятствовать несанкционированному использованию устройства вместе со всем что в нем есть, от сим-карты до "секретных ключей". И это тоже очевидно.
Да, на самом деле те смартфоны уже имеют часть "секьюрных" функций и таковые будут появляться далее. Но тут проблема в чем? А в том что эти функции направлены на сохранение возможностей извлекать прибыль для участников того рынка. В первую очередь для производителей самих железок (или операционок), возможно на защиту интересов создателей контента (от игр до фильмов), но никак не на "защиту пересичного", тем более на таком мягко говоря "не главном" рынке которым есть там Украина. Даже если там появятся вменяемые например механизмы хранения ключей или еще чего то там, именно что под аппаратной защитой (а оно частично там уже есть) то доступа к тем механизмам не получит ни уряд Украины, ни уж тем более всякие наши грантоеды. Ибо таки реально не по Сеньке шапка. Их туда просто аж никто не пустит, и доступ к таким механизмам и возможностям будет стоить просто бешеных денег.
Отдельным аргументом там есть еще и "связь мобильная" со всеми ее особенностями. И в-частности возможностью ментам к примеру делать там "что угодно". Это считается сейчас довольно важным требованием и упирается аж куда-то в борьбы с терроризмом, но если учесть нравы и обычаи наших ментов, и то что никакое по сути серьезное мошенничество без их не только "крыши" но и прямого участия не происходит, то в данной сфере возникают очень специфические риски. Если учесть что и сегодня они совершенно не стесняются например просто в дурдом или в могилу списывать всиляких одиноких стариков з цикавым имуществом, то как они используют счастливую возможность манипулировать тем ЭЦП и прочим трудно себе даже представить. Тем более что никого там убивать не надо, а все последствия можно легко списать на "злобных хакеров". И вы потом ищите, господа.
Говоря о самой инфраструктуре ЭЦП то там есть тоже довольно интересные моменты. Это довольно старая и развитая технология, но она никогда не была ориентирована на "широкие загалы". То есть подразумевала определенный уровень квалификации пользователя и кстати требования к локальной инфраструктуре клиента. В частности - защиту секретного ключа и организацию к нему "правильного" доступа что посильно либо IT-фахивцям, либо подразумевает локального администратота и внутренние там процедуры, которые тоже должны соблюдаться. И тут попытки "упрощения", вернее даже профанации - не принесут добра, а только преумножат риски. Человек который этого всего не понимает (а к ним относится и большинство наших жижитализаторов как оказалось) это там все равно что обезьяна с гранатой. То есть буквально и дословно.
Уже сегодня мы имеем достаточно серьезные эксцессы со всеми теми вот реестрами, ключами, доступами и таким подобным. Уже сегодня. И нельзя сказать что мы успешно как то там то "преодолеваем". Вместо того имеет место стремление расширить и углубить, и собственно усугубить. Что черевато не только правовыми, экономическими, административными и прочими эксцессами, но и глубокой дискредитацией самих этих идей и технологий. Что у нас уже произошло и с "правовой державой" например, а уж "державу электронную" тут ждет участь гораздо худшая и много быстрее. Ибо там уже на низком старте стоит немало пасанов которые "точно знают что нужно делать", и уже имеют кстати опыт. Бабла они себе нарубят, в этом нет сомнения. И не только себе но и детям, и внукам и "тому дяде" без которого тоже никак. И даже "внукам того дяди". Но нам это зачем, шановни?
no subject
Date: 2019-08-03 01:22 pm (UTC)