Новости
Политика
Лучшее за



154
В пену

Как получить ЭЦП на любого человека

47news.ru — 47news.ru провел эксперимент по получению ЭЦП на человека без его присутствия и передаёт привет тем камрадам, которые утверждали (тут в комментах - https://vott.ru/entry/547345 ), что это категорически невозможно.
Новости, Политика | Dliv227 21:30 20.05.2019
8 комментариев | 154 за, 0 против |
KRash »
#1 | 03:21 21.05.2019 | Кому: Всем
>Не нужны связи, хватит фотошопа и [пары тысяч рублей]

Далее

>Для этого не нужны ни деликатные связи, ни специальные навыки, ни властный ресурс, достаточно иметь в кармане [до десяти тысяч рублей].

Далее про сам ЭПЦ

>Журналист 47news на собственном опыте убедился в лёгкости, с которой можно получить ЭЦП, причём, за любого человека.

И

>Заполнить все бланки может любой сотрудник фирмы, заплатить можно со своего личного или любого другого.

Т.е. за любого человека у которого есть своя фирма?

>Наловчиться подделывать роспись было непривычно, и тренинг занял четверть часа.

И нужна оригинальная подпись, как-то круг сужается.

>на доверенности на получение ЭЦП другим человеком. Заверять у нотариуса эти документы не нужно, достаточно росписи и печати

Печать у физ лица? Интересненько.

>Итого. ЭЦП можно получить на любого человека. Главное — выяснить его паспортные данные и СНИЛС. В таком случае для получения ключа нужен лишь фотошоп и [7,5 тысяч рублей. ]

Блин, со стоимостью они добивают, никак не могут определиться.
Безусловно дыра в системе есть, но если вы говорите о ЭПЦ, то уточняйте что попробовали сделать для юр. лица с подлогом документов и у вас всё получилось. Ну так вы и обычную подпись подделали.
Что мешает проделать операции которые делаются с помощью ЭПЦ проделать с обычной подписью и вашей поддельной доверенностью?
KRash »
#2 | 07:27 21.05.2019 | Кому: dse
> Которые по фотошопу паспорта и пенсионного удостоверения выдают кому попало сертификат усиленной квалифицированной электронной подписи, и даже оригиналов документов не спрашивают? Туда им и дорога.

проблема в том, что фото в паспорте не сравнили с копией которая у них должна была бы быть. ну и получается, что подпись тоже могли отфотошопить, для упрощённой подделки доверенности.
в остальном ЭП разрешено давать по доверенности, доверенность подделали, по ней и получили ЭП.
о каких оригиналах документов спрашивается, если всё делается по доверенности - хз.

дыра здесь в принятии подложной доверенности, т.е. это ровно тоже самое что придти в МФЦ с такой же доверенностью и начать делать по ней свои злоумышленные операции.
KRash »
#3 | 23:50 21.05.2019 | Кому: dse
> Собственно, именно это я и написал: по моему глубокому убеждению, те УЦ, которые выпускают (выдают) сертификат ключа ЭП, не получая на руки оригинал удостоверения личности государственного образца для сличения фотографии в нём с личностью будущего владельца сертификата, следует в полном составе топить в бочках с говном. Сертификат ЭП — это, фактически, ещё одно удостоверение личности, его по скан-копии удостоверения личности выпускать нельзя.

> Внимательно ли ты прочёл статью? По доверенности им выдали не ЭП, а токен с сертификатом ключа ЭП и закрытым ключом. А вот выпустили этот сертификат по фотошопу паспорта и пенсионного.

С чего это нельзя инициировать создание ключа по копии? В чём тогда заключается процедура упрощённого получения ЭП если тебе всё равно нужно будет лично показать оригинальный документ и только потом через определенный срок снова идти за ключом? В этом же и смысл, что ты заказываешь услугу, потом получаешь её когда тебе все документы подготовят.
Паспортные данные они использовали оригинальные, СНИЛС тоже.
Несмотря на фотошоп, цифры они предоставили оригинальные.

>Нахер такую инфраструктуру, с возможностью получения сертификата ЭП без личного присутствия владельца с оригиналом удостоверения личности. Они бы ещё паспорта по доверенностям выдавать додумались.

Ну т.е. нужно отменить все доверенности и получать документы только лично? Удобно, да.

>У журналистов всё получилось очень просто

Настолько просто, что у них оказались данные паспорта, СНИЛСа, печать организации.
А так да, всё просто.
Эта претензия касается не сколько УЦ и ЭП, сколько самого института доверенности.

Получив данные паспорта, СНИЛС, печать организации, доверенность - ты можешь всё делать и без ключа. Но только с ключом будет проще потом все операции отменить, в теории.
KRash »
#4 | 02:47 22.05.2019 | Кому: dse
> Конечно же можно! Но вот потом надо выдать токен с этим сертификатом и ключом ЭП законному владельцу ключа ЭП, а как его можно правильно идентифицировать по отфотошопленной копии паспорта? Ну и, считаю, верх идиотизма — выдавать этот токен совершенно левому гражданину с поддельной доверенностью от организации, морфема! Доверенность на получение токена должна быть как минимум нотариально заверенной и на бланке, потому что токен с закрытым (секретным) ключом ЭП для усиленной квалифицированной ЭП — это не канцтовар какой-то, это, фактически, второй паспорт гражданина и он должен выдаваться только ему лично в руки, причём только сотрудником УЦ, который обязан подтвердить его личность по общегражданскому удостоверению. По-другому никак нельзя.

какая нотариальная доверенность если речь о юр лице? юр. лицо правомочно делать доверенность без участия нотариуса, об этом говорится в ГК.
в данном "расследовании" речь про ключ не физ лица, а организации, это не "второй паспорт" гражданина.
данные о владельце есть в базах, на предоставленных копиях есть все цифры для его идентификации.
паспорт кстати они не фотошопили, а изменили только фотку, для полноты эксперимента нужно было бы конечно полностью паспорт рисовать

А вот для физ лица нужна как раз нотариальная доверенность, либо лично присутствие.

> Всё для упрощения жизни мошенников, естественно.

ага, условно ЭП получили 5-7 млн. организаций, 100 тыщ. из них подверглись атаке, естественно это нужно считать, что сделано для упрощения жизни мошенников.
особенно интересно сравнить количество атак с помощью ЭП против традиционных бумажных носителей, ну естественно в процентном соотношении.

> Где ж оригинальные? Фотографию-то в картинку паспорта они вфотошопили поддельную. А фотография — это тоже, как бы, реквизит паспорта.
> facepalm.jpg

нахрена один и тот же тезис делить на два? оверквотинг - зло.

цифры оригинальные по ним и сверяют. надо будет, доработают систему чтобы она автоматом сравнивала и фото.
сейчас видимо полагаются только на цифры, вот если бы цифры не соответствовали и им бы всё-равно выдали бы ЭП, тогда это была бы дыра.

> Законом об ЭП и прочими подзаконными актами в настоящее время сертификат ключа ЭП, выданный аккредитованным УЦ, фактически приравнен к общегражданскому удостоверению личности. Давайте теперь и паспорта тоже будем получать по доверенности, чего уж там.

паспорт невозможно получить по доверенности т.к. там необходимо ставить подпись в самом документе.
и ЭП не приравнивается к общегражданскому удостоверению личности, если говорить об аналогах, то это скорее та же самая доверенность, которую можешь получить у не очень чистого на руку нотариуса или бухгалтера организации.

> Трояны, угоняющие реквизиты доступа к порталу госуслуг, на котором они все лежат, не могут существовать просто принципиально?

проще бухгалтера организации подкупить, кмк. чем ждать, что условный атакуемый зайдёт на портал госуслуг или сервис который требует получение доступа к порталу.

> Что, неужто деньги, с3,14зженные с помощью поддельной ЭП, будет проще вернуть обратно?

посмотреть какие операции совершались с помощью ЭП точно можно будет быстрее.
соответственно и отменять будет проще, ну или хотя бы заморозить.
само рассмотрение дел, естественно зависит от судей.
KRash »
#5 | 09:52 22.05.2019 | Кому: dse
> В сертификаты на организацию уже перестали включать фамилию имя и отчество владельца закрытого ключа?

включают и что? это становится "вторым паспортом гражданина"?
а по нему можно квартиру себе купить? а машину продать и пр. кучу вещей делать?
или документы где указаны имя и фамилия автоматом становятся вторым паспортом?

> [Временно теряет дар речи] Изменили фотку в скане паспорта — это теперь уже не фотошоп? Хорошо, буду знать.

в контекст умеешь?
для чистоты эксперимента нужно было полностью паспорт рисовать, а не взять оригинал поменять там только фотку и сказать, что они отфотошопили паспорт.

> Зачем чего-то ждать в случае строяном? Если жертва не спешит, её можно завлечь куда надо методами социнженерии.

попробуй, потом расскажешь насколько это легко.
ну и в принципе, получил злоумышленник данные и в чём будет заключаться в таком случае преимущество бумажных документов перед ЭП?
он пойдёт по этим же документам сделает доверенность и будет проводить те же самые операции, что и делал бы, если бы у него был ЭП.
KRash »
#6 | 10:30 22.05.2019 | Кому: dse
> Меня интересует не купить, а продать, и желательно чужое ;) Шучу, меня интересует, чтобы моё мимо меня не продали.

нужно оформить в МФЦ запрет на регистрации без личного участия собственника.

> Например, в отсутствии необходимости личного присутствия злоумышленника в месте вручения документов, разве нет?

эм.. если злоумышленник такой продвинутый. что подделывает доверенность на получение ЭП, то что ему мешает не получать ЭП, а просто подделать такую же доверенность на проведение ряда операций, в том числе и на получение документов?
KRash »
#7 | 10:42 22.05.2019 | Кому: dse
> Если большим начальникам некогда и они сами ничего не делают, они выдают доверенность конкретному человеку. Так? Так вот пускай и выдают бумажную доверенность на право простановки ЭП конкретному человкку который потом сам получит сертификат ЭП на своё имя и будет эту самую ЭП проставлять, а не сдают ему токен на выпущенный на их начальственное имя сертификат и ключ без всякой доверенности.

а что меняется то?

>Суть сертификата ключа ЭП заключается в том, что он заверяет принадлежность закрытого ключа ЭП конкретному человеку, который обязан обеспечить невозможность попадания этого своего закрытого ключа в чужие руки. Если это не так, весь смысл усиленной квалифицированной ЭП улетучивается, как дым.

почему конкретному человеку, если речь об организации?
из организации ключ не должен никуда попадать. но здесь такая же ситуация как и у печати с подписью руководителя, и то и другое подделывается.
KRash »
#8 | 10:55 22.05.2019 | Кому: dse
> Получение сертификата ключа усиленной квалифицированной ЭП на чужое имя привлекает гораздо меньше внимания, чем личный поход с поддельной доверенностью в налоговую.

думаешь в налоговых более пристально проверяют ксерокопии паспортов?
чем там больше внимания то?
Войдите или зарегистрируйтесь чтобы писать комментарии.
Наверх

© 2024 vott.ru

Новости сайта
Правила
Полезные ссылки
Обновления в RSS
Интеграция с vott.ru
Мобильная версия
  Рейтинг@Mail.ru