Comments 68
Насколько я заню ходят слухи о возможной смене адреса прописки целых массивов учетных записей в период проведения голосования.
Или например в процессе суда над чиновником — все его имущество переписывается в цифровых реестрах на подставных граждан, а потом обратно.
Все же понимают, что с такими друзьями как старший брат — никаких врагов не нужно.
Когда у меня в Госуслугах появился баннер с выборами, то я обнаружил, что приписан к избирательному участку на другом конце города (СПб). Создал запрос об изминении избирательного участка в соответствии с моей регистрацией (которая не менялась 38 лет). Мне даже не отписку написали, со мной связывался "живой" сотрудник, уверил, что проверил, действительна ли у меня регистрация, получил ответ из избиркома, что я приписан к избирательному участку около дома. На вопрос, почему в госуслугах отображается другой адрес он не дал внятного ответа (даже не сказал, что это просто технический сбой), тикет закрыли с резолюцией "исправлено".
Когда я крайний раз приходил на избирательный участок, то меня действительно не было в списках избирателей по адресу регистрации. Посмотрим, что будет на этих выборах.
Да вот получается, что возможно https://habr.com/ru/post/568842/
вот вот. Так носятся с этими ПД Навальнят, как будто это сверхсекретная информация какая то. Паспортные данные практически на каждого уже давно слиты с тех или иных источников.
Да и сам Навальный в своих расследованиях добывает хрен знает какими методами столько явно закрытой информации, что встает вопрос о том с чьим участием он её получал.
Замечу что капча элементарно разгадывается за деньги в автоматическом режиме через краудсорсинг, и есть не один и не два таких сервиса. То есть для брута, который защищён только капчей достаточно иметь немного денег — актуальная цена около 40 центов за 1000 успешно разгаданных капч.
Нет. Брутфорс через разгадывание картечи это сверх дорого и, главное, сверх долго.
Рекаптча даже при указании максимальной стоимости решается около минуты(плюс минус). Для перебора это слишком долго. Там это делается вручную, а работников не так чтобы уж много. Разве что если вы это автоматизируете или наймёте своих решальщиков.
Насчет скорости - в случае с рекапчей можно немного заранее решить несколько капч и держать решения в буфере, пополняя его по мере необходимости. Так что вопрос только в стоимости и наличии достаточного количества решальщиков.
Заранее - это 15 минут. Несколько - это очень мало, когда вам нужно брутфорсить что-то :)
У той же анти-каптчи это называется разогрев и включается на уровне сервиса, на сколько я знаю (сам использую именно ваш, "локальный" метод)
Стоимость аккаунта будет слишком дорогой, проще купить готовые/с фишинга.
Чистый брутфорс с перебором конечно долго и дорого, а словарный или по специфическим комбинациям с всякими годами рождения и прочими штуками, которые люди так любят использовать против паролей -- может быть и нет. А ещё там может быть что-ниюбудь интересное в учёте счётчиков на капчу в плане балансировщиков, как с AppleID недавно было например...
Не помню кто и где первым догадался замутить сайт с порно/варезом в котором для доступа к искомому нужно решать капчи - транслирующиеся туда из нужных мест.
Проверка теневых форумов также не выявила возможностей получить/купить доступ или аккаунты.
Вы серьезно? Сервисы по продаже акков специально от таких ленивых пользователей добавляют\заменяют символы и получается типо «g0sluslug», по вам видно как это удалось.
Нашёл акки по 15р\шутку за менее чем минуту.
Миф четвертый. Берем кредит на госуслугах
Их скорее берут для регистрации в ЦУПИС и у брокеров.
Я имел ввиду массовые продажи, единичные аккаунты продаются даже в мессенджере, вы правы.
Откуда знаю? Пришлось помогать человеку в начале 2021 года.
Вот примерные цены на опт (приснились, конечно же):
— нетронутые акки ГУ — 80-100р,
— отработка (есть рега в цупис, у брокеров и кое-что ещё) — 20-40р,
— выжженные (их только под голосования и симки берут) 10-15р
В видео показывается наглядно, что аккаунты на ГосУслуги реальных людей и правда продают по 15-30 рублей за штуку (также, показывают, что можно купить сразу десяток/сотню) и описывают, что злоумышленники могут сделать, имея доступ к данным аккаунтам.
Так что, считаю, проблема очень даже актуальна.
Не понимаю почему двухфакторка и контрольный вопрос не являются принудительными
Интересно, а почему тогда у сбербанка порог не считается не преодолим уже сколько лет? Разницы нет - достаточно просто включить принудительно как требование к защите ГИС со стороны пользователей. Т.е. просто так положено и все.
У них много денег, покупают отличных специалистов
Ещё бы сделали возможность опционально поставить нормальную двухфакторную аутентификацию через TOTP и с ограничением на число неудачных вводов на стороне сервера. Ибо коды по SMS можно перехватить, а вот устройство для генерации кодов TOTP может быть полностью оффлайн (лишь бы время на нём не сильно отличалось от эталонного) - тогда для компрометации придётся физически его утащить.
контрольный вопрос не являются принудительными
Возможно потому, что ответы на них находятся в профилях людей в соцсетях.
Ну про контрольный вопрос это вы погорячились, он уж точно не нужен. Или действительно не понимаете, что он только ухудшает безопасность, и по современным критериям является устаревшим и вредным подходом.
даже без 2ФА народ не осиляет
Лучше и не скажешь.
Единственное - рашсирил бы рекомендацию "присылать уведомления". Мало того, что их там куча (по крайней мере в новой версии вплоть до подписи, не только про вход), та кеще и время для пушей задается. Наверное, лучше его с 00:00 до 23:00 установить, а не только "в рабочее время".
И вопрос по поводу "контрольного вопроса". Обычно его заполняют чем-то гораздо более простым, чем пароль. Как это на госуслугах реализовано? Может лучше вообще не заполнять? Забыл пароль, дистанционно не восстановить, только ножками в МФЦ - не более безопасно?
Короче, как всегда, если вы не совсем овошЪ и додумались поставить пароль не "12345678", и двухфакторную авторизацию, то всё ок
Второй миф. Не совсем корректно. Веб-прилождение не уязвимо на момент проверки. Госуслуги конечно не так часто обновляются, но всё равно некоторая вероятность, что критичные уязвимости в веб-прилрожении появятся (или были) есть.
Третий миф. Мне кажется, что гораздо проще организовать утечку данных через сотрудника. Тем более, если в этой утечке будет задействована группа сотрудников с разными правами доступа и административными возможностями.
Вероятность уязвимостей конечно есть, но она компенсируется СЗИ/средствами мониторинга. В качестве рекомендаций я указал на возможность использования Bug Bounty программы для выявления уязвимостей, это даст дополнительную возможность выявлять баги.
Про утечку данных через сотрудника - я скорее поверю в локальную утечку через какой-нибудь МФЦ, нежели через госпортал. О внутренней утечке существуют только ничем и никак не подтвержденные слухи.
На самом деле я думаю обычно заражаются какие-то машины, напрямую не связанные с госуслугами - по типу терминалов в МФЦ, где людям предлагают вбить свои учетные данные, чтобы по-быстрому что-то сделать. Не знаю, как сейчас с этим обстоит дело, но года 4 назад просто скучая в ожидании очереди я получил полный физический доступ к терминалу - мог браузить, скачивать и запускать исполняемые файлы. Вполне вероятно что лица более заинтересованные и мотивированные могут навтыкать туда кейлоггеров, и дело в шляпе.
Конечно, тут ещё нужно не включить 2FA и не побояться вводить свои данные на каком-то публичном устройстве, так что полную базу так не собрать, но кое-что добыть скорее всего можно.
Да не будут ломать госуслуги. Просто позвонит пенсионерам старший специалист из спербанка, и заставит для безопасности регистрацию там пройти. Ну а дальше кредиты и все все все.
У них есть еще мобильное приложение, его не пробовали поизучать?
Ничего не понял.
Автор попробовал известные ему векторы атак, у него не получилось, и делает вывод:
взлом сайта госуслуги является мифом
То, что автор не смог найти/проэксплуатировать уязвимость не значит, что это невозможно. Тезис не опровергнут.
Затем автор погулял по известным ему "теневым" сайтам в поиске утечек, ничего не нашёл, и делает вывод:
Массовая утечка аккаунтов это миф
То что автор не нашёл утечки не значит, что она не возможна/её не было. Тезис не опровергнут.
Затем автор убедился, что госуслуги (вот уж внезапно!) не выдают кредиты, а подтверждают личность для сторонних кредитных организаций, и делает вывод:
выдача кредитов госуслугами это миф. Кредиты выдают микрозаймовые организации
Поздравляю автора с удивительным открытием. А кто спорил?
с помощью портала «Госуслуг» можно подтвердить личность любому кредитному учреждению и брать займы
Тезис не опровергнут.
Итого: ни один из тезисов (мифов), которые автор пытался опровергнуть, не был опровергнут.
Ваш субъективный опыт, конечно, любопытен, но декларированная цель
выяснить что из этого миф и выдумки, а что является правдой
не достигнута.
Так, собственно, о чем статья?
У меня крадут комменты на Хабре - неужели этого недостаточно чтобы понять что можно красть акки на Госуслугах?! :-D
Читая статью я сначала начал готовить развернутый комментарий, но дочитав до конца, я понял что мне придется сказать на все пункты решительное «не пройдено, ввиду недостающей технической грамотности», и как итог про статью «не верно практически полностью». Но так как хабр не любит голословности, мне пришлось бы долго расписывать причины (не умею коротко). А писать много мне лень.
Спасибо Вам, за то что избавили меня от этого. Полностью поддерживаю (добавил бы карму, но пользователям без публикации карму выше +4 не поднять, публикуйтесь, у вас получится)
Так, собственно, о чем статья?
Мне показалось о bugbounty.ru :)
У товарища майора есть административный доступ. Зачем ломать?.
P.S.
Сервис госуслуг себя наглядно показывает в описании установки плагина на Firefox для входа по УКЭП. Заявлена поддержка, но плагина нет.
Миф четвертый. Берем кредит на госуслугах
Особое возмущение Ивана Цыбина вызвал тот факт, что с помощью портала «Госуслуг» можно подтвердить личность любому кредитному учреждению и брать займы. Fontanka.ru
Не понимаю где в этой цитате написано что госуслуги выдают займ?
Выводы: выдача кредитов госуслугами это миф. Кредиты выдают микрозаймовые организации.
Сами придумали миф и сами его опровергли?
В целом хорошее подтверждение, что ценность аккаунта госуслуг растёт, а без нормальной баунти программы никому не интересно заниматься потенциальным техническими дырами, не говоря уже об административных.
Примерно год назад мой аккаунт в госуслугах взломали. Зашли, пароль поменяли. Учитывая, что пароли от разных сервисов у меня не повторяются, они все достаточно сложные, чтобы брутфорс не дал результатов, что взлом произошел только на госуслугах, и что я вроде бы не слишком глупый, чтобы попасться на фишинг - где-то в госуслугах была дыра. Может и осталась - я им в поддержку написал, но получил в ответ стандартную отписку. С тех пор включил 2fa, но с технической точки зрения, принять sms злоумышленнику тоже особого труда не составит, если кто-то целенаправлено захочет заняться именно мной.
Миф:
За написание этой статьи были заплачены вполне конкретные деньги и ее можно считать скорее маркетингом чем статьей связанной с безопасностью.
Опровергать будете?
Честно говоря, достаточно много громких выводов, не смотря на проведение эксперимента фактически в песочнице и с весьма ограниченным спектром атак.
Авторизация уж точно не первая в списке эндпоинтов, обычно отдающих критические данные.
вот уж панацея двухфакторная аутентификация, номер при желании так же уведут. Причем средств для противодействию этому не особо видно, максимум можно постараться сократить ущерб.
Что интересно раньше у сбера например были одноразовые пароли (всегда предпочитал ими пользоваться), отменили оставили только sms.
Используйте сложный, уникальный пароль от аккаунта.
Который сбрасывается методом угадывания (снифанья, доставания из логов опсоса, заменой симки ...) 4-цифирьного кода из СМСки. Тадам!
Ворота стальные, а забор из гипсокартона.
Хорошо, "Госуслуги" защищены, но...
Кто такая ООО НКО «Мобильная карта» и откуда она появилась в списках "Выданные разрешения"?
Сам ничего не делал, да и три месяца назад показывал коллеге(на его компе) почему он не может войти в ЛК ФЛ ИФНС (разрешения он не дал). После чего у себя проверил - были только ИФНС и ГИБДД...
Пару месяцев назад начал периодически получать СМС с кодом подтверждения для входа на Госуслуги.
Это означает только одно - кто-то узнал мой пароль. Каким образом - я без понятия.
Логином является номер телефона.
После смены пароля попытки прекратились.
Изучал ли автор описанные ранее проблемы с Госуслугами, а именно внедрение в отдельные страницы JS кода со сторонних ресурсов? Ответ отрицательный.
Не надо ломать учетки, нужно ломать тех, кто заполняет страницы на этом сайте ;-)
Описанные кем? Про внедрение js и компрометацию third-party сервисов тоже прекрасно понимаю, например почти весь js тянется с gu-st.ru и т.д., но статья не претендует объять необъятное и никто мне не платил (хотя выше в каментах свечку держали) ни за написание, ни за полноценный аудит приложения и смежных сервисов.
никто мне не платил
Можете тогда объяснить, как человек с вашим портфолио смог написать настолько безграмотную статью на тему ИБ?
Общий стаж работы в области практической информационной безопасности более 15 лет. Эксперт совета Института Развития Интернета (секция «информационная безопасность»). Контрибьютор OWASP. Преподаватель МИРЭА — тестирование на проникновение.
Автор и техлид разработок решений в области ИБ:
Киберполигон — мультифункциональный программно-аппаратный комплекс для проведения киберучений.
Bug Bounty Ru — платформа №1 в РФ для выплаты награды за обнаружение уязвимостей сервисов и приложений.
Сова — система обнаружения вредоносной активности.
АнтиЛокер — защита системы от вирусов-шифровальщиков.
статья проплачена — самое разумное, что приходит в голову.
Описанные, например, тут https://www.rbc.ru/technology_and_media/13/07/2017/596792f99a7947a7ada72d82
Если ваша статься не претендует на полноценный аудит - выводы в ней смотрятся несколько смехотворно
Средний обыватель далёк от IT и может не сообразить, что неудача умного человека в очках не доказывает ровным счётом ничего.
А умному человеку в очках должно быть стыдно прилюдно обмазываться таким г. в попытках обелить решето.
Рекомендации: внедрение bug bounty программы для выявления логических уязвимостей.
Народная мудрость: Не тронь говно — вонять не будет.
Сегодня наивный юноша в белой шляпе сообщает о дыре на госсайте, а завтра в 6 утра в его дверь стучатся люди в балаклавах.
А зачем нужна рекомендация использования контрольного вопроса? Зачастую выбор контрольных вопросов такой, что ответ на него содержит сведения, легко добываемые. То есть, его наличие способно сильно понизить защищенность учетки. В своё время даже ходила шутка, что для взлома почты человека достаточно просто спросить у него девичью фамилию матери.
Если же вместо ответа указать какую о левую инфу, то это ничем не отличается от пароля, который можно забыть и, таким образом, он никак не поможет при восстановлении пароля (а обычно необходимость в контрольном вопросе мотивируется именно возможностью забыть пароль).
Автор, может вы объясните развёрнуто, от какого вектора атаки защищает контрольный вопрос? Потому как мне это видится как всеобщее заблуждение, типа рекомендаций по созданию сложных паролей.
видел на сайте госуслуг вакансии, с такими мизерными зп сотрудники скорее всего чтобы не умереть с голоду клепают пачками бэкдоры и продают кому могут
шутка конечно, хотя может и нет.. я уже однажды так пошутил а попал метенько..
система просто не даст создать простой пароль.
только не учитывается еще, что аккаунт могут создавать через МФЦ и вряд ли через вебморду. И всего пару лет назад мне не давали добавить символ # или !, не помню точно.
Ну и вообще наверняка есть много мест, откуда есть доступ к учёткам на ГУ.
Тема фишинга и поддельных сайтов не раскрыта. А также кейлоггеры и т.п.
Как человек, которому по долгу службы приходится работать с сайтом госуслуги и прочими государственными информационными ресурсами могу сказать - в большинстве случаев они работают безобразно. Нестабильно, медленно, очень неинтуитивно. Зачастую требуют строго определенной комбинации из ос, браузера и ворох стороннего ПО, еще и определенных версий. Исходя из общего качества системы с трудом верится в отсутствие проблем с информационной безопасностью.
Раньше ПФР регистрировал пенсионеров (близкого родственника) на госуслугах по шаблону ниже, угадайте что рекомендовалось вносить в поле пароля? По моему мнению при массовых сливах перс. данных с других источников всё же существует вероятность успешного подбора такого пароля.
Интересен опыт получения данных через ЭЦП организации (например здесь ООО «Киберполигон»). Авторизация на сайте через ЭЦП юр. лица позволяет «заодно» посмотреть данные физ. лица. По крайней мере, ранее так было. А сейчас?
Когда комментарии полезнее самой статьи....Браво, ребята!
Взлом госуслуг: мифы и реальность