eDoklady očima etického hackera
V neděli (21.1.2024) mne pozvali do pořadu 90‚ na ČT24, abych se vyjádřil ke kybernetické bezpečnosti aplikace eDoklady. Každé takové příležitosti si vážím a snažím se na ni svědomitě připravit. Jelikož jsem posbíral více postřehů a myšlenek, než jsem stihl v televizi sdělit, řekl jsem si, že k nim napíšu krátký souhrnný článek.
Vsuvka: Přestože přednáším už roky, stále jsem při každém vystoupení nervózní. O to více, když se vysílá živě. Cítím se, jak při zkoušení na střední škole u tabule… čekání na první otázku, která určí následný průběh.😅
Poté si vždy říkám, co jsem mohl říct jinak, lépe a co vše se dalo dodat. Ale tak to prostě je „learning by doing“.
Co jsou to eDoklady
Pokud někoho minula víkendová smršť na téma eDoklady, zde je krátký popis vytvořený ChatGPT (máme firemní předplatné a zkoumáme možnosti pro naši práci. Do budoucna o tom také rád napíšu článek 😁).
eDoklady jsou mobilní aplikace pro občany České republiky, která umožňuje digitalizovat a bezpečně uchovávat údaje z občanských průkazů. Aplikace zajišťuje snadné prokazování totožnosti a sdílení osobních údajů v digitální podobě. Nabízí kontrolu nad tím, které údaje jsou sdíleny, a zabezpečení biometrií a šifrováním.
eDoklady jsou akceptovány na ústředních správních úřadech a v budoucnu se rozšíří na další místa. Pro ověřovatele jsou k dispozici mobilní a webové aplikace pro snadné ověření údajů občanů. Více informací najdete na webových stránkách eDoklady.
Čeho se lidí bojí
Při přípravě jsem procházel komentáře pod články o eDokladech a vyjádření na X (Twitteru). Chtěl jsem poznat a moci reagovat na to, z čeho mají ve spojitosti s eDoklady lidé obavy.
Krádež eDokladu (digitální občanky)
Nejčastěji se objevoval strach z odcizení (krádeže) digitální občanky z mobilu. Řada lidí si ji tedy nepořídí proto, aby jim ji nemohli kyberzločinci ukrást. Samozřejmě je to logická úvaha.
Nicméně, dovolte mi trochu rozvířit vody. Nepořídit si digitální občanku (eDoklady) je před její krádeží neochrání. A zde je vysvětlení (myšlenkový pochod):
- Představme si hypoteticky, že útočník ovládne mobilní telefon oběti. Ta však eDoklady nemá.
- Jak se o digitální občanku (eDoklady) žádá? Elektronicky. Desetitisíce lidí to o tomto víkendu udělalo z pohodlí domova skrze bankovní identitu (případně Datovou schránku, NIA ID či Mobilní klíč eGovernmentu).
- Je vysoce pravděpodobné, že na napadaném zařízení bude mít oběť mobilní bankovnictví (případně Mobilní klíč eGovernmentu) a útočník tak získá přístup k bankovní identitě oběti.
- Díky tomu si bude moci útočník na libovolném zařízení nechat vydat digitální občanku na jméno oběti a libovolně s ní disponovat.
- Vzhledem k tomu, že při vydání digitální občanky nevzniká žádná notifikace (mail, SMS, datová zpráva), oběť se nejspíše ani nedozví, že si ní nechal někdo vydat digitální občanku.
- Paradoxně se tak ve větším bezpečí budou nacházet lidé, kteří digitální občanku mají. Ve chvíli, kdyby si ji útočník zaregistroval na jiném zařízení, přestane na tom původním fungovat (dokud bude platit pravidlo pouze jednoho zařízení) a oni si toho mohou všimnout.
Důležité je však dodat, že mobilní telefony jsou poměrně bezpečná zařízení (izolace aplikací, „secure enclave“) a útoky nejsou tak jednoduché (alespoň z mého pohledu) jako vůči PC.
Dále bych rád dodal, že pokud už by útočník získal takovouto kontrolu nad mobilním zařízením, spíše by
- oběti vybílil bankovní účet (případně krypto/investice/akcie – nejrychlejší způsob, jak svůj zločin zpeněžit),
- volal, psal na prémiové služby (forma monetizace a něco, co umí),
- založil jí datovou schránku, nebo mobilní klíč eGovernmentu (podle mě mnohem mocnější nástroj než digitální občanka),
- ukradl účty na sociálních sítích (použil pro další podvody).
A zároveň chci dodat, že i kdyby ke krádeži digitální občanky stejně došlo, její použití je limitované (viz dále v článku).
Špehování státu
Následuje strach z toho, že stát by měl o uživatelích více informací. Plastová kartička žádná data o nositeli neodesílá.😊
Je pravda, že mobilní aplikace mohou na pozadí posílat telemetrii, ze které se dá vyčíst: kdy, kde a jak uživatel aplikaci používá (při jejím používání a částečně, když se nepoužívá). Věřím, že v tomto by měl být stát transparentní a zároveň se telemetrie dá detekovat (resp. zda-li k ní dochází, odhalit její obsah je však již složitější). Stát by v tomto měl být transparentní.
Některá data (IP adresa) se pak dají získat i z jejího běžného provozu. Například žádostí o „obnovu“ digitální občanky (tuším, že bych k ní mělo docházet každých 24 hodin).
K některým datům mohou mít různé státní složky přístup již nyní. Např. informace o pohybu a komunikaci mobilních telefonů od mobilních operátorů. Či z používání jiných státních služeb – Datové schránky, Mobilní klíč eGovernmentu, aplikace Tečka.
Je tedy na každém z nás si vyhodnotit, jaký to pro něj představuje problém.
Co když se mi vybije mobil / nebudu mít mobilní data
Aplikace by měla fungovat i takzvaně offline. Mobilní data by tedy být problém neměla. Zbývá nám situace, kdy se vybije baterie. To už je však vlastnost řešení. Stejně jako si někdo může zapomenout plastovou verzi občanského průkazu. Obě řešení tu budou existovat vedle sebe a je na každém, jaká mu bude vyhovovat více.
Já roky používám mobil jako platební kartu, vícefaktorové ověřování (bez něj se v práci nepřihlásím) a klíče od auta (bez něj neodjedu). Jsem zvyklý mít telefon stále s sebou a udržovat ho nabitý.
Zároveň vnímám pozitivně, že se standardizovala rozhraní telefonů na USB-C a člověku tak stačí jedna nabíječka na většinu elektroniky. V případě plného vybití telefonu je jednodušší najít „pomoc“.
Jaké spatřuji výhody
Lepší práce s osobními daty
Moc se mi líbí, že díky digitální občance můžeme s protistranou sdílet jen relevantní údaje (místo předání celé občanky). Například pro ověření dosažení plnoletosti se sdílí pouze fotografie a potvrzení o dosažení věku 18 let. Není nutné, aby protistrana znala naše jméno a bydliště.
V telefonu (pokud si to uživatel zapne) také bude zůstávat historie o tom, kdo si jeho doklad ověřoval.
Přijde mi to konečně posun vpřed. Velký kontrast vůči pozůstatkům, kterými jsou například: veřejně dostupné datum narození osob v justici, jejich trvalé bydliště, rodná čísla v katastru nemovitostí nebo DIČ u fyzických osob (naštěstí už nemusí být).
Bezpečnější a jednodušší verifikace
Fyzický občanský průkaz má platnost 10 let. Pokud ho někomu ukradnou, je číslo daného průkazu přidáno do databáze neplatných dokladů. Nicméně plastová kartička se stále „tváří“ jako validní. Je na ověřovateli (na tom, komu se někdo prokazuje občanským průkazem) ověřit, zdali se nejedná o kradený/zneplatněný doklad. Obdobně by měl být ověřovatel schopen rozpoznat falsifikáty. Obojí vyžaduje čas a úsilí.
U digitální občanky je výhodou, že o tuto validaci se postará sama aplikace. Je to tedy rychlejší, méně pracné a spolehlivější. Úkolem ověřovatele je pouze porovnat fotografii na digitální občance s podobou osoby, která se prokazuje.
Potenciál pro více zabezpečení
Myslím, že největším problémem současný plastových občanek je jejich nepřipravenost na digitální dobu. Různé společnosti/instituce nabízí zřizování účtů on-line s tím, že stačí poslat/pořídit sken občanky/pasu/řidičáku.
Problém však je, že jakmile vznikne byť jen jediný takový sken (fotka), ztrácíme kontrolu nad jejím šířením. Někdo ji může ukrást z našeho počítače, nebo může utéct ze systému dané instituce.
Podvodníci/zločinci ji pak zpravidla použijí k otevření jiného účtu (nákupu, půjčce, registraci domény, objednání služeb) na naše jméno.
Digitální občanka zatím slouží pouze k „místnímu“ (tzn. obě dvě strany se nachází fyzicky ve své blízkosti) ověření. Nicméně jsou plány na to umožnit její použití i pro vzdálené ověření (viz eDoklady: Technické standardy a protokoly a jejich užití v uživatelských scénářích). Obrazně a zjednodušeně řečeno, ten komu byste se v budoucnu prokázali, by vaše prokázání nemohl použít dále (tzn. provést něco vaším jménem/vydávat se za vás).
Výpadky systémů
Během víkendu a pondělí se systém eDokladů (Identity občana) potýkal s výpadky. Je možné, že to bude pokračovat i následující dny. Nasazování nových systémů je vždy výzva a výpadky se stávají.
Pokud by se mne někdo ptal, co si o tom myslím technicky/manažersky, potřeboval bych pro hodnocení znát – povahu výpadků, na jakou zátěž byl systém navržen, testován a jaká byla zátěž během víkendu.
Věřím, že se situace brzy vyřeší a budu se těšit na nějaký report/zpětnou vazbu/přednášku (o výpadcích), ze které budeme moci čerpat znalost a zkušenosti.
Závěr
Napadá vás něco, co jsem nezmínil? Budu rád za komentář.😊
A přeji vám, přátelé, ať jsou vaše sítě i eDoklady bezpečné.
Martin
Diskuze k článku
Tom Kanok
23. 01. 2024 v 14:24
Realizace OK, ale obsahuje jednu výraznou chybu. Bez Chrome v zařízení nelze zprovoznit/registrovat (alespoň mne se nepodařilo dokud jsem jej nedoinstaloval).
IMHO vývojáři volají při registraci Chrome „natvrdo“, místo aby použili WebView.
Odpovědět
Martin Haller
23. 01. 2024 v 15:02
Zajímavé, díky za info. Na iOSu to bylo bez „problémů“ (až na to přetížení systémů a různé dočasné chyby). Je možné, že není tolik telefonu s Androidem bez Chrome a proto to neodhalili 🤷♂️.
Odpovědět
Josef Kocourek
25. 01. 2024 v 00:10
Chápu že jsem paranoidní, ale vůbec nezmiňujete fyzickou bezpečnost.
Pokud o telefon přijdu, tak už tu byl nejeden útok kdy se dalo dostat do zmáčeného zařízení, postranními kanály. U naší občanky to je asi fuk ale do dvou let dorazí EU verze, a pak to bude stejně zajímavé jako přístup k bankovnictví.
A to se nebavím ani o tom, že Skovej Samsung, manželce otisk prstu odemkne dcera , která ani pořádně nechodí do školky) 1 z dvaceti případů. ( ten počet je hrubej odhad, podle toho jak se divíme že je zas v telefonu který sebrala ze stolu. )
Ale jinak za mne moc pěkný rozbor 🙂
Ps.: Netvrdil bych že občanka je „nedůležitá“ protože e-mail, banka, fb atp… Přijde mi to jako stejný argument kdy mi rodiče tvrdí že nepotřebují silná hesla protože nikoho nezajímají. To že si přesně neumíme představit proč by se s tím zdržovaly neznamená že to útočníci nebudou dělat 🙂
A nikde jsem neviděl že by stát dělal pen testy, v jaké kvalitě a popřípadě s jakým úspěchem.
Odpovědět
Martin Haller
25. 01. 2024 v 16:25
Dobrý den, děkuji za komentář. Nad tím co zmiňujete jsem také přemýšlel, ale nakonec jsem to nechal být (aby ten článek nebyl příliš dlouhý).
Případ krádeže telefonu, nebo odemknutí někým jiným. Je podle mne obdobné riziko, jako fyzická krádež občanského průkazu. U digitální občanky jsou pak následující výhody:
* I když mi fyzicky ukradnou telefon, stále se do něj musí dostat. Jedná se o zabezpečení navíc oproti plastové občance. Jasný, není neobejdutelné, ale většinu běžných zlodějů [kapsář, vykradení auta] to zastaví (stejně jako šifrování disku Bitlockerem – většinou se dá také prolomit když je člověk odborník [ve chvíli kdy tam je jen TPM a ne TPM+PIN]).
* Platnost digitální občanky je pouze 48 hodin (oproti 10 letům u fyzické občanky) – tzn. i „revokace“ je rychlejší a spolehlivější.
Máte pravdu, občanka je důležitá. Jen mi šlo o to poukázat na to, že: řada lidí má pocit, že riziko vzniká až s digitální občankou – přitom už teď mají v mobilu spoustu údajů, které jsou stejně, nebo více důležité.
Výhoda občanky je ještě v tom, že ověřující osoba by měla zkontrolovat fotografii osoby oproti realitě – tzn. „nemůže“ zneužít úplně libovolnou občanku :).
Odpovědět
Josef Kocourek
25. 01. 2024 v 17:05
To jo ale vy předpokládáte že občanku nosím u sebe. Což opravdu nedělám 🙂 Takže třeba v mém případě přibude další věc. Na kterou se dá útočit. Chápu že kapsáři zatím nemají znalost a nevidí potenciál, ale to vše může změnit:)
„Výhoda občanky je ještě v tom, že ověřující osoba by měla zkontrolovat fotografii osoby oproti realitě – tzn. „nemůže“ zneužít úplně libovolnou občanku :)“
Tady si myslím že jste optimista, za mých mladých let se nalévalo na cizí občanky běžně a tady se to nezmění, ukaž mi občanku jo tady máš 😀
Já jen chtěl upozornit na to že se dnes pořád řeší online bezpečnost, ale ta fyzická stále nezmizela 🙂
Odpovědět
Martin Haller
27. 01. 2024 v 22:04
To máte pravdu, já mám doklady stále u sebe a nějak jsem se nezamýšlel, že bych je nenosil 😅 – ale asi už je na čase to pomalu přehodnotit a tahat toho sebou zase méně (zvlášť když teď není potřeba nosit řidičák). Jinak souhlasím s tím co píšete.
Odpovědět
Jindřich Cieślicki
26. 01. 2024 v 09:48
dobrý den přeji a děkuji za komentář. Je mi hodně jsem přes 60át a jsem příznivcem digitálních technologií od mládí, jako jeden z prvních jsem měl občanku s čipem, vlastním crypto, mobil, myslím dobře zabezpečen, je tam vše – banky, wallets, zatím všechny možné digitální doklady a mladým musím vysvětlovat proč jo proč ne. A teď ten dotaz – v zahraničbích odborných fórech se diskutuje CBDC a digitální identita. Neboli strach, že když nebudu sr státem souhlasit – vypne mě. Jednoduchou formou, zamezí přístup k účtům a může teoreticky pozastvit platnost a funkčnost občanky – ted, nebudu existovat do té doby, dokud se nepodvolím. Už teď mám strach, že mohu být šmírován a být na seznamu nežádoucích. Seriál Mr.Robot vyníkající a lidé se mě ptají, to je možné? Vymazat občana je dnes mnohem jednodušší… co Vy na to jako možnost nátlaku ze strany státu? Své jméno uvedu, i když se bojím. Nebudu to dále rozvádět.
Odpovědět
Martin Haller
27. 01. 2024 v 22:15
Dobrý den, chápu Vaše obavy a scénář co popisujete také nechci zažít. Historie ukázala, že zlo lze páchat i bez digitalizace (ta to dokáže zrychlit/zefektivnit). Technologie jsou dvousečná zbraň a bude na nás (lidech), jak s tím naložíme.
Na jednu stranu, bez digitalizace (mobilního bankovnictví, platebních karet, e-mailů, internetu, e-commerce) by naše ekonomická úroveň značně klesla (díky nižší efektivitě naší práce). Na druhou stranu centralizuje data a „moc“.
Občas se však objeví i zajímavá technologie, která může přispívat k větší svobodě – jako Vámi zmiňované crypto.
Nejsem futurolog, netuším co bude, ale stejně jako Vy doufám ve svobodnou budoucnost.
Odpovědět