ПРО СОВОК В СМАРТФОНЕ
(трудовыебудни державного електронного охуювання)
Сегодня вышел указ президента №558/2019 "О некоторых мерах". Очень не люблю язык тупых и безответственных вахтеров, прячущих за нагромождением слов собственную некомпетентность, так что указ об "электронных услугах". У жижитализторов немедленно случилось головокружение от успехов и острые припадки охуения вплоть до "электронных выборов" (которые на данный момент невозможны чуть менее, чем совсем)
Ничего особенно сложного в электронных услугах и реестрах нет. Для начала отметим, что держава собирает очень много избыточных данных и ведёт огромное количество говнореестров, которые никому не нужны. Реестр провайдеров (НКРЗІ), реестр издателей (мин. культ). И их не нужно аудитить и автоматизировать. Их нужно уничтожить целиком и полностью. Сжечь на площади прилюдно вместе с распорядителем. Или просто уволить дармоедов.
Вторая не менее очевидная мысль. Не нужно автоматизировать бардак. В результате может получится только автоматизированный бардак. Наведите порядок в тех реестрах, которые не сожгли в предыдущем пункте, чтобы они хотя бы не текли. Потому что течет всё. И торгуют ими как раз те люди, которые ими и пользуются. Таможенник торгует таможенными базами, мусор - ментовскими. Автоматизация позволит им делать тоже самое бесконтрольно и массово.
В-третьих, то что чиновничья грибница называет услугами - это никакие не услуги. Мне не нужна электронная очередь на получение справки, которая мне не нужна. Покажите мне человека, которому нужна справка? В рамку её повесить? Жопу ей подтереть? Идите нахуй! Мне не нужны ваши справки, ваши выписки, ваши дырявые by design цифровые подписи. И ваша перепись мне не нужна. И регистрация. И справка о составе семьи. Я пока ещё в здравом уме и помню, кто моя семья. И е-хуятко себе засуньте в жопу и в пизду.
В авторитарной России те госуслуги существуют уже лет десять, и являются первейшим способом для пробива особо зловредного населения. На граждан им насрать. Очень удобный сервис. Потому что базы объединены. Именно это и предлагает сделать наш припиздент, пообъединять все базы, ввести сквозную идентификацию, чтобы наборы данных было удобнее сопоставлять между собой. Мне оно не надо. Оно надо дяде-мусору, дяде-фискалу, дяде-пожарнику, чтобы выебать вас, продать и снова выебать. Там у них живая очередь стоит по вашу душу.
Тем не менее, потребность в обмене информацией внутри державы всё-таки есть и с этим нужно что-то делать. Резюмирую.
- Уничтожить избыточную информацию, зачастую, вместе с ведомствами, которые её собирают. Самый надежный способ сохранить информацию - не собирать её.
- Навести порядок в тех реестрах, которые останутся, помятуя о том, что главная угроза данным, не злобный хакер, а добрый мусор
- Отказаться от сквозной идентификации, и объединения, а вместо этого наладить межведомственное взаимодействие, если хотите даже автоматическое, но чтобы четко фиксировался факт "кто, что, когда, с какой целью запрашивал информацию". Это будет ответ на вопрос "кого потом пиздить?"
- Влажные фантазии об электронном охуевании, "е-выборах" и прочий болезненный бред отложить в самый долгий ящик. Прежде чем запихивать державу в заведомо ненадежный смартфон, нужно хотя бы вытащить из неё полуразложившися совок.
Спасибо за внимание.
(трудовыебудни державного електронного охуювання)
Сегодня вышел указ президента №558/2019 "О некоторых мерах". Очень не люблю язык тупых и безответственных вахтеров, прячущих за нагромождением слов собственную некомпетентность, так что указ об "электронных услугах". У жижитализторов немедленно случилось головокружение от успехов и острые припадки охуения вплоть до "электронных выборов" (которые на данный момент невозможны чуть менее, чем совсем)
Ничего особенно сложного в электронных услугах и реестрах нет. Для начала отметим, что держава собирает очень много избыточных данных и ведёт огромное количество говнореестров, которые никому не нужны. Реестр провайдеров (НКРЗІ), реестр издателей (мин. культ). И их не нужно аудитить и автоматизировать. Их нужно уничтожить целиком и полностью. Сжечь на площади прилюдно вместе с распорядителем. Или просто уволить дармоедов.
Вторая не менее очевидная мысль. Не нужно автоматизировать бардак. В результате может получится только автоматизированный бардак. Наведите порядок в тех реестрах, которые не сожгли в предыдущем пункте, чтобы они хотя бы не текли. Потому что течет всё. И торгуют ими как раз те люди, которые ими и пользуются. Таможенник торгует таможенными базами, мусор - ментовскими. Автоматизация позволит им делать тоже самое бесконтрольно и массово.
В-третьих, то что чиновничья грибница называет услугами - это никакие не услуги. Мне не нужна электронная очередь на получение справки, которая мне не нужна. Покажите мне человека, которому нужна справка? В рамку её повесить? Жопу ей подтереть? Идите нахуй! Мне не нужны ваши справки, ваши выписки, ваши дырявые by design цифровые подписи. И ваша перепись мне не нужна. И регистрация. И справка о составе семьи. Я пока ещё в здравом уме и помню, кто моя семья. И е-хуятко себе засуньте в жопу и в пизду.
В авторитарной России те госуслуги существуют уже лет десять, и являются первейшим способом для пробива особо зловредного населения. На граждан им насрать. Очень удобный сервис. Потому что базы объединены. Именно это и предлагает сделать наш припиздент, пообъединять все базы, ввести сквозную идентификацию, чтобы наборы данных было удобнее сопоставлять между собой. Мне оно не надо. Оно надо дяде-мусору, дяде-фискалу, дяде-пожарнику, чтобы выебать вас, продать и снова выебать. Там у них живая очередь стоит по вашу душу.
Тем не менее, потребность в обмене информацией внутри державы всё-таки есть и с этим нужно что-то делать. Резюмирую.
- Уничтожить избыточную информацию, зачастую, вместе с ведомствами, которые её собирают. Самый надежный способ сохранить информацию - не собирать её.
- Навести порядок в тех реестрах, которые останутся, помятуя о том, что главная угроза данным, не злобный хакер, а добрый мусор
- Отказаться от сквозной идентификации, и объединения, а вместо этого наладить межведомственное взаимодействие, если хотите даже автоматическое, но чтобы четко фиксировался факт "кто, что, когда, с какой целью запрашивал информацию". Это будет ответ на вопрос "кого потом пиздить?"
- Влажные фантазии об электронном охуевании, "е-выборах" и прочий болезненный бред отложить в самый долгий ящик. Прежде чем запихивать державу в заведомо ненадежный смартфон, нужно хотя бы вытащить из неё полуразложившися совок.
Спасибо за внимание.
DISCLAIMER В КАТЕГОРИИ PG-13
(об использовании мата в описании информационных систем)
С удовольствием наблюдаю за тем, как под многочисленными перепостами пробегают игриво-стыдливые державные профурсетки с накокаинеными технологиями носами, и поседевшие на скрипучих бюрократических стульях ветераны всплескивают руками: отчего же столько мата, мата-то столько почему? Кругом серьёзные, уважаемые люди. Стараются - ночей недосыпают, сладкий хлеб недоедают. Что же ты, Шон, такой невоспитанный и неспособный к конструктивному диалогу? И знаете, я им когда-то верил, писал аналитические записки, ходил на встречи, от чего у меня теперь прогрессирующая метанойя (если не хотите во второй раз лезть в словарь, то рекомендую очень короткое эссе философа Крылова о феноменологии акматических сдвигов https://bit.ly/2OEHZtw А если совсем просто, то я напомню, перефразируя Пелевина, что окончательную правду советскому человеку всегда сообщают матом, и про сакрально-двусмысленный статус там тоже что-то было. Так уж вышло, уважаемые начальники столов, что я разбираюсь немного в сетях, защите информации и ваш безудержный и стремительный как домкрат полёт мысли вызывает во мне то самое чувство, отчасти сравнимое с фазами этногенеза Гумилёва. Вы думаете что продолжают ездить автобусы, люди ходят в присутственные места и получают жалованье, жизнь продолжается и так будет, если не всегда, но достаточно долго, чтобы и домик в Жаворонках и может даже благодарность от вышестоящих за безупречную службу. А меня в пустыню реальности выпихнули очень давно, и с тех пор я её вижу без украшений, и не сквозь призму формуляров, предписаний и прочие симулякры институциональной памяти, а непосредственно, как на картинах Бориса Гроха. Она именно такая. Запас прочности был, да весь вышел, и наш общий вагон, громыхая ржавыми дверями, несётся в пустоту. Как специалист по информационным системам, я обещаю, что будет не как в Венесуэлле, нас ждёт системный отказ, чудовищный удар, после которого искореженный металл, шипя искрами, протащится куда-то по инерции и застынет навсегда. Подумайте об этом на досуге. Спасибо.
(об использовании мата в описании информационных систем)
С удовольствием наблюдаю за тем, как под многочисленными перепостами пробегают игриво-стыдливые державные профурсетки с накокаинеными технологиями носами, и поседевшие на скрипучих бюрократических стульях ветераны всплескивают руками: отчего же столько мата, мата-то столько почему? Кругом серьёзные, уважаемые люди. Стараются - ночей недосыпают, сладкий хлеб недоедают. Что же ты, Шон, такой невоспитанный и неспособный к конструктивному диалогу? И знаете, я им когда-то верил, писал аналитические записки, ходил на встречи, от чего у меня теперь прогрессирующая метанойя (если не хотите во второй раз лезть в словарь, то рекомендую очень короткое эссе философа Крылова о феноменологии акматических сдвигов https://bit.ly/2OEHZtw А если совсем просто, то я напомню, перефразируя Пелевина, что окончательную правду советскому человеку всегда сообщают матом, и про сакрально-двусмысленный статус там тоже что-то было. Так уж вышло, уважаемые начальники столов, что я разбираюсь немного в сетях, защите информации и ваш безудержный и стремительный как домкрат полёт мысли вызывает во мне то самое чувство, отчасти сравнимое с фазами этногенеза Гумилёва. Вы думаете что продолжают ездить автобусы, люди ходят в присутственные места и получают жалованье, жизнь продолжается и так будет, если не всегда, но достаточно долго, чтобы и домик в Жаворонках и может даже благодарность от вышестоящих за безупречную службу. А меня в пустыню реальности выпихнули очень давно, и с тех пор я её вижу без украшений, и не сквозь призму формуляров, предписаний и прочие симулякры институциональной памяти, а непосредственно, как на картинах Бориса Гроха. Она именно такая. Запас прочности был, да весь вышел, и наш общий вагон, громыхая ржавыми дверями, несётся в пустоту. Как специалист по информационным системам, я обещаю, что будет не как в Венесуэлле, нас ждёт системный отказ, чудовищный удар, после которого искореженный металл, шипя искрами, протащится куда-то по инерции и застынет навсегда. Подумайте об этом на досуге. Спасибо.
Я сейчас друзьям попытался объяснить, как именно заблокировали Энигму. Я ту ухвалу https://bit.ly/30ZBzXs несколько раз перечитывал, чтобы понять. В ленте тоже вижу, что многие просто не понимают. Смотрите. В Интернете появляется бяка-закаляка ужасная http://archive.is/dNaAl , которая очень не нравится дяде-мусору, замазанному в коррупции на самом высоком уровне и отмывании грязных денег. Потому неверный мент-крышеватель из Департамента по защите экономики открывает пачку уголовных дел. И работает по "бяке". И дальше Л - логика. Где находится бяка? На сайте. А что есть сайт? Сайт - интеллектуальная собственность. И когда вы или я заходим на сайт, мы, типа, получаем имущественные права на интеллектуальную собственность. Отчуждаем их путем открытия страницы в сети Интернет. Не владелец сайта теперь собственник и не автор статьи, а мы с вами. А неверный мусорок ту собственность хочет временно арестовать, как вещественное доказательство. И поэтому он перечисляет штук двадцать провайдеров в ухвале, чтобы они вам отрезали доступ к сайту, чтобы вы потеряли право распоряжаться "приобретенной" собственностью, а потом весь этот бред публикует национальный регулятор НКРЗІ, в надежде на то, что остальные операторы совсем уж дурни (или всё понимают как надо) и заблокируют сайты добровольно. Всё это просто бред сумасшедшего, противоречащий всему - Конституции, законам о копирайте и телекоммуникацих. КПК, в конце-то концов. А подмахивает всё Печерский районный суд посредством зашкваренного судьи Вовка, который уже один раз попадал под 375 (заведомо неправосудное решение). Ссыте на них, плюйте на них, бейте их ногами в живот. Мусора - не люди. #тиндер #гейминг #одеяло
Ухвала по Энигме. Такого лютого треша и угара я ещё не видел никогда. Статья из-за которой началось мочилово "В Украине многие правоохранители объединяются в ОПГ для борьбы с правозащитниками" http://archive.is/dNaAl ("Вещественные доказательства" нужно сохранять, а не блокировать) Не знаю как там со статьей, но всё это дело очень дурно пахнет. И мусорско-судейскому ОПГ стоит надавать по рукам, а заодно и нац. комиссии, которая подмахивает злодеям. Мне даже трудно комментировать ухвалу, потому что я просто в шоке. #ACAB #Enigma #цензура #НКРЗІ Вовка - на нары!
Департамент не ваших собачьих дел
Ведь, если дела возбуждают - значит - это кому-нибудь нужно? Кримінальне провадження № 12018060020001159, словно черная дыра втягивает в себя всё больше и больше людей. Месяц назад к нашему волонтеру Александру Галущенко явился Департамент захисту економіки Національної Полиції, парализовали бизнес, пограбили немножко и сорвали перевозку его больного сына из Вьетнама в Украину (часть документов всё-таки вернули и резонанс был, и даже президент вмешался). https://www.facebook.com/ruheight/posts/684038212044540
На днях по той же справе, нарушив всё, что только можно было нарушить, полиция пытается заблокировать пачку украинских сайтов, на которых висит статья "В Украине многие правоохранители объединяются в ОПГ для борьбы с правозащитниками". https://www.facebook.com/ruheight/posts/708673866247641
И чего пацаны в погонах так нервничают, что кидаются на активистов и на сайты в Интернете? В статье речь идёт о коррупции в ДФС. Все мы помним страдания бывшего главы фискалов Романа Насирова, завернутого в одеяло и его тяжелую болезнь. Как говорят злые языки, Роман Михайлович тесно, чуть ли не интимно, связан с компанией LeoGaming, принадлежащей Алёне Дегрик, по мужу Шевцовой. Гемблинг часто используется для отмывания денег. А муж Алёны Шевцов Евгений Александрович, до того как подаваться на руководителя первого управления ДБР, по странному стечению обстоятельств работал опером в Департаменте по защите экономики.
Рулят славным отделом (протидії злочинам у сфері інформаційних систем управління протидії злочинності у фінансовій сфері та галузях економіки), люди которых до этого выгнали из Киберполиции. Александр Гринчак, Сергей Кропива, Иван Тимошенко. Ещё в этом департаменте можно найти и других примечательных людей, например Варченко Александра Михайловича. Фамилия какая-то знакомая. Его жена Ольга Варченко, первый заместитель директора ДБР. Как-то странно получается, искали вымогателей каких-то, посягающих на здоровье правоохренительных органов (Я уже догадываюсь на кого именно посягали. Лукавлю. Знаю, конечно), а куда ни плюнь, то ДЗЕ НП, то ДБР.
И складывается впечатление, что в этом хитросплетении ведомственно-половых связей просматривается не слабая такая организованная группа из сотрудников Департамента по защите насировской экономики, озверевших настолько, что лупят своим печерским судом и ручными Вовкáми уже просто всех подряд и без разбора.
Ведь, если дела возбуждают - значит - это кому-нибудь нужно? Кримінальне провадження № 12018060020001159, словно черная дыра втягивает в себя всё больше и больше людей. Месяц назад к нашему волонтеру Александру Галущенко явился Департамент захисту економіки Національної Полиції, парализовали бизнес, пограбили немножко и сорвали перевозку его больного сына из Вьетнама в Украину (часть документов всё-таки вернули и резонанс был, и даже президент вмешался). https://www.facebook.com/ruheight/posts/684038212044540
На днях по той же справе, нарушив всё, что только можно было нарушить, полиция пытается заблокировать пачку украинских сайтов, на которых висит статья "В Украине многие правоохранители объединяются в ОПГ для борьбы с правозащитниками". https://www.facebook.com/ruheight/posts/708673866247641
И чего пацаны в погонах так нервничают, что кидаются на активистов и на сайты в Интернете? В статье речь идёт о коррупции в ДФС. Все мы помним страдания бывшего главы фискалов Романа Насирова, завернутого в одеяло и его тяжелую болезнь. Как говорят злые языки, Роман Михайлович тесно, чуть ли не интимно, связан с компанией LeoGaming, принадлежащей Алёне Дегрик, по мужу Шевцовой. Гемблинг часто используется для отмывания денег. А муж Алёны Шевцов Евгений Александрович, до того как подаваться на руководителя первого управления ДБР, по странному стечению обстоятельств работал опером в Департаменте по защите экономики.
Рулят славным отделом (протидії злочинам у сфері інформаційних систем управління протидії злочинності у фінансовій сфері та галузях економіки), люди которых до этого выгнали из Киберполиции. Александр Гринчак, Сергей Кропива, Иван Тимошенко. Ещё в этом департаменте можно найти и других примечательных людей, например Варченко Александра Михайловича. Фамилия какая-то знакомая. Его жена Ольга Варченко, первый заместитель директора ДБР. Как-то странно получается, искали вымогателей каких-то, посягающих на здоровье правоохренительных органов (Я уже догадываюсь на кого именно посягали. Лукавлю. Знаю, конечно), а куда ни плюнь, то ДЗЕ НП, то ДБР.
И складывается впечатление, что в этом хитросплетении ведомственно-половых связей просматривается не слабая такая организованная группа из сотрудников Департамента по защите насировской экономики, озверевших настолько, что лупят своим печерским судом и ручными Вовкáми уже просто всех подряд и без разбора.
Я внесу поправки в праздник жизни.
* Подписей больше и среди них много таких, которые выдавались как попало и кому попало, в случае чего вам скажут, что е-подпись ваша вы и е-битесь
* Защищенным можно назвать только такое устройство, из которого подпись нельзя извлечь
* Если вам подпись выдали или она хранится в облаке, то это больше не ваша подпись, вы выдали генеральную доверенность облаку (и тем кто его взломает тоже). Судиться будете с облаком
* Подпись идентифицирует устройство, а не вас
* Аутсорс идентификации приводит к эпическим отказам, таким как Equifax, без работающей судебной системы, вы заплатите за всё. Лох не мамонт.
Приятных вам е-услуг
P.S. Беженцев из страны эльфов, не понимающих самых базовых вещей о криптографии, нужно гнать прочь ссаными тряпками - назад в резервации.
С ув. ваш КЕП-очевидность.
* Подписей больше и среди них много таких, которые выдавались как попало и кому попало, в случае чего вам скажут, что е-подпись ваша вы и е-битесь
* Защищенным можно назвать только такое устройство, из которого подпись нельзя извлечь
* Если вам подпись выдали или она хранится в облаке, то это больше не ваша подпись, вы выдали генеральную доверенность облаку (и тем кто его взломает тоже). Судиться будете с облаком
* Подпись идентифицирует устройство, а не вас
* Аутсорс идентификации приводит к эпическим отказам, таким как Equifax, без работающей судебной системы, вы заплатите за всё. Лох не мамонт.
Приятных вам е-услуг
P.S. Беженцев из страны эльфов, не понимающих самых базовых вещей о криптографии, нужно гнать прочь ссаными тряпками - назад в резервации.
С ув. ваш КЕП-очевидность.
"Цифровая экономика" занятный выверт магического мышления. Ко мне часто подходят и спрашивают "а что бумажные документы разве не несут угрозы мошенничества или злоупотреблений?" "Неужели вы хотите как в Барышевском районном?" И ответ очень прост. Проблема не в том бумажная подпись или цифровая, а в Барышевском районном суде. Именно в нём. Энтузиасты по сути пытаются обойти неэффективные государственные механизмы, переводя их в цифровую форму. Наплевав на то как работают бумажные системы (там есть свои предохранители со времён античности) и как работают электронные системы (там есть свои встроенные риски, о которых все знают с конца семидесятых). И отдавая все рычаги управления тому самому государству, которое пытаются обойти. Makes perfect sense. Фестиваль кретинизма. #идиократия
Хорошо публиковать уязвимости летним прохладным утром. Администраторы спят в тёпленьких кроватках, впереди ещё целое воскресенье для отдыха от праведных трудов по озалупливанию населения, которое мы им сейчас попробуем безнадёжно испортить. Уязвимость #SQLi в одном из реестров Міністерство юстиції України, прерасная точка входа, позволяющая подобраться ко всему прочему ценному майну без КЕП и MobileID. А какой именно не скажу. Вы же там аудит реестров затеяли в трехмесячный срок? Е-бите(сь)!
А реестров е-говноманы наплодили 341 штуку. Врут конечно, их гораздо больше. Реестромания начинается уже в ЖЭКе https://www.facebook.com/ruheight/posts/399163227198708 и вся держава пропитана неуёмным желанием чиновников всё знать. Есть даже экзотика вроде "реестра промышленного оборудования для производства сигарет". Проект закона 8602 предусматривает в том числе создание триста сорок второго "реестра реестров". Любопытный теоретико-множественный вопрос - должен ли реестр реестров включать самое себя, оставлен законодателем без внимания. А жаль.
Всё нужно делать с точностью до наоборот, но об этом поговорим отдельно. А пока #FuckResponsibleDisclosure
А реестров е-говноманы наплодили 341 штуку. Врут конечно, их гораздо больше. Реестромания начинается уже в ЖЭКе https://www.facebook.com/ruheight/posts/399163227198708 и вся держава пропитана неуёмным желанием чиновников всё знать. Есть даже экзотика вроде "реестра промышленного оборудования для производства сигарет". Проект закона 8602 предусматривает в том числе создание триста сорок второго "реестра реестров". Любопытный теоретико-множественный вопрос - должен ли реестр реестров включать самое себя, оставлен законодателем без внимания. А жаль.
Всё нужно делать с точностью до наоборот, но об этом поговорим отдельно. А пока #FuckResponsibleDisclosure
"С «Трембитой» бегать начинают данные, а не люди"
ОДЕЯЛО УБЕЖАЛО, УЛЕТЕЛА ПРОСТЫНЯ
Кто про что, а я про безопасность. Почитал о "Трембите" (эстонская система X-Road для обмена документами), обзор архитектуры, руководство к "серверу защиты" (security server), потом уже просто плюнул и скачал исходники с Гитхаба. Read the source, Luke. Всё по заветам святого Линуса, документация - отстой. И у меня для вас новости плохие и очень плохие, то есть всё в общем-то как всегда. Есть одна хорошая. Хорошая новость заключается в том, что X-Road - это неиспорченная Ubuntu 10 LTS + собственно пакеты с софтом. Security not included. Самое общее соображение на этот счёт - если реестры текут и там лазят все кому не лень, то они и будут течь, и там по-прежнему будут лазить все кому не лень, независимо от документооборота. Информация течёт не потому, что злодеи перехватывают на почте заказные письма между гос. учреждениями. Визионеры думают, что гос. городушки выглядят примерно так. В поле сидит спецназ СБУ и гос. спец. связи с пулемётами, останавливая врагов на подступах к непробиваемому периметру. На заборе в позе срущих голубей сидят сертифицированные администраторы, и смотрят как внизу аудиторы простукивают бетон, в поисках слабых мест, а глупенькие хакеры бьются головой о стену и уходят не солоно хлебавши. Через специальные амбразуры "серверов безопасности", обклеенных КСЗІ сверху донизу, фельдегерю на коне выдаются секретные приказы и он скачет как подорваный Чапаев, осуществлять документооборот. Так вот это всё безумная херня. В покосившемся деревянном заборе, который именуется периметром сотрудники давно проломили дыры, чтобы удобнее было ходить мимо проходной. А хакеры, насрав на эшелонированную бумажную "оборону", просто заходят там где проще, а не там где их ждут. КСЗІ - больше всего напоминает згоду на принудительный секс, с длинным перечнем опций. И начать стоило бы с того, что тот "security server" должен стоять между чиновником, который хочет барыжить данными и самими данными. Так что всё выглядит как на КДПВ, и даже ещё хуже, потому что чтобы закрывать калитку неплохо бы ещё построить забор.
ОДЕЯЛО УБЕЖАЛО, УЛЕТЕЛА ПРОСТЫНЯ
Кто про что, а я про безопасность. Почитал о "Трембите" (эстонская система X-Road для обмена документами), обзор архитектуры, руководство к "серверу защиты" (security server), потом уже просто плюнул и скачал исходники с Гитхаба. Read the source, Luke. Всё по заветам святого Линуса, документация - отстой. И у меня для вас новости плохие и очень плохие, то есть всё в общем-то как всегда. Есть одна хорошая. Хорошая новость заключается в том, что X-Road - это неиспорченная Ubuntu 10 LTS + собственно пакеты с софтом. Security not included. Самое общее соображение на этот счёт - если реестры текут и там лазят все кому не лень, то они и будут течь, и там по-прежнему будут лазить все кому не лень, независимо от документооборота. Информация течёт не потому, что злодеи перехватывают на почте заказные письма между гос. учреждениями. Визионеры думают, что гос. городушки выглядят примерно так. В поле сидит спецназ СБУ и гос. спец. связи с пулемётами, останавливая врагов на подступах к непробиваемому периметру. На заборе в позе срущих голубей сидят сертифицированные администраторы, и смотрят как внизу аудиторы простукивают бетон, в поисках слабых мест, а глупенькие хакеры бьются головой о стену и уходят не солоно хлебавши. Через специальные амбразуры "серверов безопасности", обклеенных КСЗІ сверху донизу, фельдегерю на коне выдаются секретные приказы и он скачет как подорваный Чапаев, осуществлять документооборот. Так вот это всё безумная херня. В покосившемся деревянном заборе, который именуется периметром сотрудники давно проломили дыры, чтобы удобнее было ходить мимо проходной. А хакеры, насрав на эшелонированную бумажную "оборону", просто заходят там где проще, а не там где их ждут. КСЗІ - больше всего напоминает згоду на принудительный секс, с длинным перечнем опций. И начать стоило бы с того, что тот "security server" должен стоять между чиновником, который хочет барыжить данными и самими данными. Так что всё выглядит как на КДПВ, и даже ещё хуже, потому что чтобы закрывать калитку неплохо бы ещё построить забор.
НАША ПІСНЯ ГАРНА, НОВА
Наши эмиссары от UCA и Д7 замаскировались сегодня под комиссаров и прокрались, аки тать в ночи, в СНБО, чтобы послушать о том, что же у нас с киберберзопасностью, с безопасностью же у нас что? Перессказывать содержание рабочих встреч дело весьма неблагодарное и неблагословляемое, однако, понимание о том, что "надо же что-то делать", всё-таки есть. Его не может не быть. Костя написал хороший основательный Tl;DR https://www.facebook.com/kostiantyn.korsun/posts/1128795980638835 А я хочу немного поговорить о том, что можно сделать.
Начнем с е-выборов. Давно хотелось, безотносительно встреч. Я сейчас расскажу, что это такое. Как бы выглядели электронные выборы в реальной жизни. Вы вызываете курьера из ближайшей доставки пиццы. Отдаёте ему паспорт и запечатанный конверт с волеизъявлением. Курьер садится на велик и едет в черный-пречерный дом. Там открывается окошко и он туда суёт паспорт и конверт. Черная рука в окошке не видит, кто его суёт. Что происходит в черном-пречерном здании никто не знает. Оно выдаёт результат - 73% или 146%, как повезёт. Никаких наблюдателей нет. Нравится? Если вы не знаете, как работает аутентификация, то попробуйте зайти в СНБО и сказать "я хочу сюда зайти, потому что у меня есть паспорт и не важно кто его держит в руках". На ём цифровая подпись и няонка. С е-выборами разобрались. Нахуй их, как противоречащие 71 статье Конституции и законам математики.
Поехали дальше. Господин Данилов, который (как модератор) произвёл приятное впечатление, напомнил о том, что наши 100 000 (сто тысяч) субъектов кибербезопасности более или менее распределены по 30 000 (тридцати тысячам) локаций. Что делает задачу по проведению аудитов, пен-тестов и прочим директивным "ать-два" (сверху-вниз) чуть менее бесполезной, чем совсем. Национальная система безопасности у нас не просто болеет, её у нас нет никакой. На той же помойке живет "Національна мережа". И если где-то есть немного безопасности, то только вопреки и превозмогая. Там нечего улучшать. И люди не могут нести ответственность за то, чего они не понимают. Нельзя приставить к тем субъектам по два админа, просто потому, что у нас их столько нет. Двести тысяч ойтишнегов может быть будет в следующем году и их нельзя всех запрячь в госуху. Тут не в зарплатах даже дело, просто нету.
Дурниці про провайдеров, как первый рубеж обороны, я просто пропускаю. То какие-то секретные агенты ДССЗЗІ придумали, чтобы перевалить с больной головы на здоровую. И мы плавно переходим к регуляторам. Госспецсвязь не только ничего не делает, но она делает кибернихуя за 125 миллионов долларов в год. Вредит, сертифицирует, комплаит и всё это не более, чем гигантская коррупционная кормушка, полностью отбившаяся от рук. Там нельзя ничего исправить, Господь жги. Расформировать. О чём имел смелость сказать Костя Корсун, слава ему. И вот да, начинать нужно с осознания реальности, что мы находимся посреди нигде, звать нас никак и у нас всё плохо. И потихонечку о том, что будет дальше. Начиная с самых простых вещей.
(To be continued...)
Наши эмиссары от UCA и Д7 замаскировались сегодня под комиссаров и прокрались, аки тать в ночи, в СНБО, чтобы послушать о том, что же у нас с киберберзопасностью, с безопасностью же у нас что? Перессказывать содержание рабочих встреч дело весьма неблагодарное и неблагословляемое, однако, понимание о том, что "надо же что-то делать", всё-таки есть. Его не может не быть. Костя написал хороший основательный Tl;DR https://www.facebook.com/kostiantyn.korsun/posts/1128795980638835 А я хочу немного поговорить о том, что можно сделать.
Начнем с е-выборов. Давно хотелось, безотносительно встреч. Я сейчас расскажу, что это такое. Как бы выглядели электронные выборы в реальной жизни. Вы вызываете курьера из ближайшей доставки пиццы. Отдаёте ему паспорт и запечатанный конверт с волеизъявлением. Курьер садится на велик и едет в черный-пречерный дом. Там открывается окошко и он туда суёт паспорт и конверт. Черная рука в окошке не видит, кто его суёт. Что происходит в черном-пречерном здании никто не знает. Оно выдаёт результат - 73% или 146%, как повезёт. Никаких наблюдателей нет. Нравится? Если вы не знаете, как работает аутентификация, то попробуйте зайти в СНБО и сказать "я хочу сюда зайти, потому что у меня есть паспорт и не важно кто его держит в руках". На ём цифровая подпись и няонка. С е-выборами разобрались. Нахуй их, как противоречащие 71 статье Конституции и законам математики.
Поехали дальше. Господин Данилов, который (как модератор) произвёл приятное впечатление, напомнил о том, что наши 100 000 (сто тысяч) субъектов кибербезопасности более или менее распределены по 30 000 (тридцати тысячам) локаций. Что делает задачу по проведению аудитов, пен-тестов и прочим директивным "ать-два" (сверху-вниз) чуть менее бесполезной, чем совсем. Национальная система безопасности у нас не просто болеет, её у нас нет никакой. На той же помойке живет "Національна мережа". И если где-то есть немного безопасности, то только вопреки и превозмогая. Там нечего улучшать. И люди не могут нести ответственность за то, чего они не понимают. Нельзя приставить к тем субъектам по два админа, просто потому, что у нас их столько нет. Двести тысяч ойтишнегов может быть будет в следующем году и их нельзя всех запрячь в госуху. Тут не в зарплатах даже дело, просто нету.
Дурниці про провайдеров, как первый рубеж обороны, я просто пропускаю. То какие-то секретные агенты ДССЗЗІ придумали, чтобы перевалить с больной головы на здоровую. И мы плавно переходим к регуляторам. Госспецсвязь не только ничего не делает, но она делает кибернихуя за 125 миллионов долларов в год. Вредит, сертифицирует, комплаит и всё это не более, чем гигантская коррупционная кормушка, полностью отбившаяся от рук. Там нельзя ничего исправить, Господь жги. Расформировать. О чём имел смелость сказать Костя Корсун, слава ему. И вот да, начинать нужно с осознания реальности, что мы находимся посреди нигде, звать нас никак и у нас всё плохо. И потихонечку о том, что будет дальше. Начиная с самых простых вещей.
(To be continued...)