Минцифры анонсировало сервис для онлайн-оформления сделок с недвижимостью на Госуслугах Статьи редакции

Вам подсказать места, где люди массово носят при себе загранпаспорта?
Загранпаспорт в любом случае плохой фактор аутентификации, потому что, являясь, по сути, фактором владения (фактором знания он не является, как и фактором свойства в ситуации удаленной аутентификации), допускает копирование, что уничтожает всю его ценность в таком качестве.

Потому я написал в предыдущем сообщении про 2FA.

Это всё ещё отвратительно плохо, поскольку позволяет, завладев статическим набором данных, получить полный аналог собственноручно подписи. Не требуется, по сути, ни обладание какими-то нереплицируемыми токенами, ни иметь уникальные биометрические свойства. Достаточно иметь меньше килобайта данных, чтобы иметь возможность подписывать от лица человека любые документы.

Ну аэропорт, допустим. Т.е. по вашему какой то мошенник поедет в аэропорт напичканный камерами и сотрудниками правоохранительных органов считывать паспорта в карманах людей?
И про считывание загранпаспорта (в кармане) с полуметра есть какие-то пруфы?
Просто там настолько мелкий чип, что чтобы его смартфоном считать, нужно паспорт открыть и мееедленно возить по нему устройством, приложив вплотную.
Но пускай он даже его считал, дальше ему нужно:
-сделать фото раскрытого паспорта.
-подделать селфи с паспортом и лицом жертвы.
-украсть данные учетки ГУ именно этого человека.
Плюс, если у человека включена 2FA, все еще сложнее становится.
Вам не кажется, что слишком много возни ради сомнительной выгоды?

А в чем проблема? Нахождение в аэропорту с рюкзаком в толпе как-то должно привлечь внимание охраны?

Пруфов полный интернет по запросу "rfid read distance", а также "rfid security"

Смартфоном массово считывать, конечно, не выйдет. Нужен специализированный считыватель с более мощной антенной. Собрать такой - небольшая проблема для подкованного злоумышленники, впрочем, думаю, можно и готовые на алиэкспрессе найти.

Создатели биометрических паспортов обо всем позаботились: все данные для подделки паспорта (даже фотография) доступны по rfid.

Можно и лицо на фейковый паспорт чужое поместить, и селфи по фотографии с того же паспорта подделать. Deepfake уже давно не новая технология.

Это самое сложное, да. Но, если базы данных биометрических паспортов будут массово создаваться и продаваться, то вся защита сведется к надёжности учётки госуслуг. Которую, во-первых, вы сами выше критиковали. И, во-вторых, добавление легко копируемого заграна не сильно-то повышает защищенность в целом, которая, в общем-то сведется к надёжности госуслуг.

2FA, да, осложняется дело (особенно, если бы оно было на госуслугах не через СМС, а через OATH-TOTP). Но текущая ситуация не позволяет сказать, что в массе с безопасностью учеток ГУ всё так благополучно (на что вы сами же обращали внимание).

Почему выгода сомнительна? Получить кредиты на чужое имя, забрать себе чью-то недвижимость и т.д. Граждан можно так довольно неплохо обчищать. Причём, даже общаться с ними не нужно.
Возможности для злоумышленника УКЭП даёт такие же, как и пачка белых листов бумаги с подписями жертвы.

Ну да, считыватель в рюкзаке, паспорт в кармане, или даже в поясной сумке/пуховике, может даже на нем чехол... Как-то слабо верится в успех операции.
Плюс еще это все надо через рентген на входе прокатить.

Не знаю как там в ГК, по опыту прохождения верификаций в финтехах, далеко не все дают что-то загружать с устройства, как правило селфи делается прямо через интерфейс приложения.
Делать проф грим под жертву?)

Текстиль и кожа плохо блокируют электромагнитное излучение. Считыванию они не мешают.

Возить в багаже профессиональное оборудование пока не запрещено.

Выдача сохраненного изображения под видом съёмки с камеры возможна какна андроид-эмуляторе, так и
через сторонние приложения на андроид телефонах.

Да зачем профгрим-то. 2022 год на дворе, дипфейки сейчас даже на телефонах можно делать, не говоря уже о более мощных системах.

Видел на youtube пару видео, где считывают метки в прямой видимости с приличного расстояния, но ничего с условиями приближенным к тем, что я выше описывал.
Если поделитесь такими, буду признателен.

Да и в целом я ваш посыл понял, но вы описываете схемы достойные Оушена с друзьями.
При их выполнимости можно уже сейчас людей без штанов оставлять. И это уже видится не как проблема ГК, а развития технологий в целом.

Это не самая сложная схема, из тех, что уже существуют у компьютерной преступности, которая давно использует разделение труда для достижения своих целей.
Просто будут прыткие ребята с RFID-сканерами, фармящие паспорта в транспортных узлах, другие ребята, специализирующиеся на создании дипфейков по данным этих паспортов, третьи ребята, которые собираю базы ломанных учеток госуслуг, и, наконец, те, кто покупает на черном рынке инструменты у остальных и, собственно, проворачивают выпуск УКЭП-ов. А использованием этих УКЭП-ов для кражи и мошенничества будут заниматься, вообще, пятые люди.
С тем же самым фродом в области кредитных карт это уже лет тридцать примерно так происходит. Сейчас преступники обычно не занимаются всем от начала и до конца, а вместо этого специализируются на том, что лучше всего получается у каждого, а затем объединяют усилия на черном рынке.

Проблема же ГК будет в том, что закон предпишет реализовать изначально уязвимую схему аутентификации граждан для выпуска УКЭП. Законы нельзя писать для выдуманного мира без оглядки на реальность.

Я все еще считаю, что в этой схеме мошенника ждет фиаско на первом же этапе, при попытке удаленно считать паспорт.
Вероятно, собрать в итоге "полный комплект", необходимый для злоумышленника, получится по единицам граждан.
И тогда уровень мошенничества будет не выше, чем при "нецифровых" продажах.

Но ведь нет массовых требований запретить их. Общество сочло уровень мошенничества примлемым для использования технологии.
С ГК или аналогами (если они будут), скорее всего, будет тоже самое. Со временем все настолько привыкнут к удаленным сделкам, что отдельные инциденты с ними большинство не будут волновать.
Уже сейчас очное взаимодействие с госорганами при продаже квартиры можно исключить за счет того же Домклика, собственно это был вопрос времени, когда и Домклик можно будет исключить.

Тут встает вопрос, а есть ли неуязвимая?
Возможно, хорошая идея была бы требовать от пользователя обязательно включить 2fa в ГУ при старте получения КЭП в ГК.
Но может быть что-то подобное и будет реализовано. Со временем хотя бы.

Так не нужно собирать полный комплект компетенций. Преступники успешно применяют разделение труда.

Лол, нет. Общество понакрутило разных защит вокруг кредитных карт, начиная от PIN-кодов и 3D-secure, и заканчивая фрод-детекторами на стороне банков, анализирующими транзакции в реальном времени.
Найти сейчас возможность совершить крупную покупку, просто имея на руках одну лишь карту в качестве фактора аутентификации "владение", нужно очень сильно постараться. Из доступного есть только PayPass, но лишь для небольших сумм. К слову, модель угроз в случае paypass довольно похожа на модель угроз для биометрических паспортов, но у финансовой индустрии хватает разума ограничивать риск 1000 рублями. Вы же предлагаете сделать риск неограниченным.

Неуязвимых не бывает. Но это не значит, что нужно делать откровенно дырявые системы.

Это очевидный шаг, который необходимо сделать. Только второй фактор нужно заменить с уязвимых СМС на, например, OATH-TOTP.

А какой смысл откладывать меры, закрывающие очевидные уязвимости?

Ну так "финальному" мошеннику все равно придется скупить базы у всех "нижестоящих" и держать пальчики, что в каждой из них будут нужные данные на подходящего кандидата (с квартирой/машиной без обременений).
Да и еще и молиться, чтобы у него 2fa не была включена.

На это ушел не один десяток лет. А ГК это все еще пока эксперимент.

Вот это я вам не скажу)

Подходящие кандидаты выявляются по этим самым базам. Если речь не идёт про целевые атаки, то взламывают тех, кого получается взломать.

Я не очень понимаю, это такое оправдание тому, чтобы делать на незащищенной технологии удалённый выпуск аналога собственноручной подписи?
По-моему, то, что это эксперимент - наоборот повод для того, чтобы НЕ делать на его базе выпуск УКЭП.