Podľa ministra vnútra SR Roberta Kaliňáka predstavuje riziko hacknutia elektronického podpisu v rámci elektronického OP v dôsledku nedávno nájdenej kritickej zraniteľnosti iba „potenciálnu hrozbu a marginálne riziko“. V Hacktrophy si naopak myslíme, že bezpečnosť občanov SR by mala byť vždy na prvom mieste a preto by sa mal štát postaviť k tomuto riziku zodpovedne.
Ak minister či jeho úradníci tvrdia, že „(na hacknutie) potrebujete výpočtovú silu a následne by ste potrebovali bezpečnostný ochranný kód, (pričom) bezpečnostný ochranný kód nie je súčasťou čipu ale vašej hlavy,“ je zrejmé, že ide o nepochopenie tejto problematiky a zásadné podcenenie rizík pre občanov.
Na získanie privátneho kľúča totiž nie je potrebné mať fyzicky k dispozícii občiansky preukaz ani jeho ochranný kód. Privátny kľúč je možné získať z verejného kľúča akéhokoľvek digitálne podpísaného dokumentu. Preto je dôležité, čo najskôr prijať adekvátne opatrenia, ako o tom napokon hovorí i dnešné prehlásenie IT security odborníkov „VYZÝVAME MINISTERSTVO VNÚTRA„.
Aj preto sme sa rozhodli prijať verejnú výzvu ministra vnútra a vytvorili sme náš verejný bug bounty program s odmenou 1337 eur (edit: 2000 eur) za hacknutie verejného kľúča Roberta Kaliňáka. Tohto programu na Hacktrophy sa môže zúčastniť každý, kto sa zaregistruje na Hacktrophy, myslí si, že má zodpovedajúce zručnosti a dodrží pravidlá tohto programu.
EDIT: Projekt bol zrušený! Vysvetlenie nájdete tu.
Zadanie bug bounty projektu
Cieľom projektu je na základe verejnej výzvy ministra vnútra SR. R. Kaliňáka získať jeho privátny kľúč prelomením jeho verejného kľúča, ktorý sa nachádza v každom verejnom dokumente, ktorý digitálne podpísal svojím eID občianskym preukazom.
Postup:
- Získať verejný kľúč ministra vnútra SR. Roberta Kaliňáka z akéhokoľvek certifikátu kvalifikovaného elektronického podpisu dokumentu, ktorý v minulosti digitálne podpísal svojim občianskym preukazom. Verejný kľúč musí pochádzať z verejne dostupných zdrojov (zverejnený oficiálne MVSR alebo tlačovým odborom R. Kaliňáka, príp. získaný info zákonom alebo z verejných internetových zdrojov). Je zakázané ho získať nepovoleným hackovaním (napr. útok na servery štátnej správy alebo počítač R. Kaliňáka).
- Z tohto verejného kľúča kryptoanalýzou získať (cracknúť) jeho privátny kľúč.
Pre vyplatenie odmeny sa ako dôkaz akceptuje súbor s textom „hacktrophy bounty“, podpísaný privátnym kľúčom R. Kaliňáka. Žiadateľ o vyplatenie odmeny nemôže byť samotný R. Kaliňák ani nikto, kto má prístup k jeho občianskemu preukazu.
Odmena – zvýšená na: 2000 € alebo 0,40 BTC
Obmedzenia tohto projektu:
Možnosť využívať a spracovať iba verejne dostupné informácie. Zakázané je akékoľvek nepovolené hackovanie (s výnimkou hore uvedenej kryptoanalýzy), s cieľom získať jeho verejný či privátny kľúč.
Link na bug bounty projekt (po registrácii na Hacktrophy) nájdete tu.
