«Резерв+» у перші дні роботи зазнав кількох кібератак, — Міноборони
«Резерв+» у перші дні роботи зазнав кількох кібератак, — Міноборони
Міністерство оборони України було готове до того, що ворог намагатиметься зірвати роботу застосунку «Резерв+» та запустить DDоS-атаки.
Про це в коментарі «Укрінформу» повідомила заступниця міністра оборони з питань цифрового розвитку, цифрових трансформацій і цифровізації Катерина Черногоренко.
«Найбільше навантаження на систему, очікувано, відбулося у перші години запуску застосунку, адже цифровий сервіс — це завжди зручніше для людей», — зазначила вона.
За словами заступниці, саме в перші години роботи «Резерв+» відбулася велика кількість одночасних запитів на авторизацію.
«Водночас ми були готові до того, що ворог буде намагатися зірвати наші плани та запустить DDоS-атаки, тому розробили функціонал для захисту від цих спроб із закриттям певних каналів трафіку. Такі контрдії дещо сповільнили вхід для всіх, що викликало певні незручності. Зокрема, через це були труднощі з авторизацією через BankID. Однак це дало нам можливість впоратися з кількома потужними атаками у перші дні роботи застосунку в суботу та неділю», — зазначила заступниця міністра оборони.
Також у Міноборони додали, що зламати систему застосунку «Резерв+» і отримати бази даних з нього неможливо, бо вони там не зберігаються.
«Застосунок «Резерв+» отримав атестат відповідності КСЗІ (комплексної системи захисту інформації). Над застосунком працювали найкращі команди з кібербезпеки та використовували найкращі успішні практики зі створення державних застосунків. Можемо запевнити, що зламати систему застосунку та отримати дані з неї неможливо, бо вона не зберігає їх», — заявила Катерина Черногоренко.
Вона пояснила, що застосунок працює за принципом «Дії» та отримує дані за запитом з реєстру в зашифрованому вигляді.
«Ті компрометації, що вже гуляють в мережі, — фейк та намагання зірвати мобілізаційні процеси і підірвати довіру до державних застосунків», — заявила Черногоренко.
Однак деякі експерти сфери ІТ наголошую на проблемах цього мобільного застосунку.
Зокрема, один з засновників «Українського кіберальянсу» Андрій Баранович (відомий під ніком «Шон Таунсенд») розкритикував «Резерв+».
Він виявив, що цей мобільний додаток був перероблений з іншого застосунку. Мова йде про анонсований раніше додаток «Мрія» для українських школярів, у якому зокрема можна було б дивитись розклад уроків і вести щоденник.
«Ви просто з глузду з'їхали з цим перехаканим нашвидкуруч шкільним щоденником», — написав Баранович у фейсбуку і виклав програмний код, що доводить правильність його слів.
«Лайфхак для СБУ, СЗР та ГУР: призовників із встановленим додатком на службу не брати. Поки що це найкращий тест», — саркастично пожартував він.
Розробник військового програмного забезпечення, зокрема месенджера MilChat, айтівець Ярослав Шерстюк теж розкритикував «Резерв+».
«Вже більше десяти років я займаюся розробкою та впровадженням програмного забезпечення для військових. За цей час жодного разу не допустив такої халепи, як у випадку з Резерв+», — зазначив він в Linkedin.
Шерстюк звертає увагу на проблеми з авторизацією клієнтів через мобільний банкінг, а також на відсутність обфускації коду (obfuscate — «робити заплутаним»), тобто його може прочитати будь-який сторонній користувач.
Він сумнівається, що «Резерв+» був достатньо якісно перевірений державними фахівцями з кібербезпеки. Також його бентежить, що технічна підтримка додатку здійснюється через месенджер «Телеграм».
«Це небезпечно, враховуючи можливу співпрацю Telegram із російськими спецслужбами. Попри значні ресурси і високий рівень керівництва, якість додатку викликає серйозні питання», — резюмує Шерстюк.
Нагадаємо, 18 травня Міністерство оборони України запустило мобільний застосунок «Резерв+», який дасть змогу оновити свої облікові дані військовозобов'язаним, призовникам та резервістам.
Також 19 травня Міністерство оборони запустило тестування електронної черги до територіальних центрів комплектування та соціальної підтримки (ТЦК та СП).