Так. Давайте про е-выборы ещё раз, а то жижитализатор всея страны Федоров накидывает, а о последствиях никто не думает. Разбираемся по порядку. Начиная с Конституции: "Стаття 71. Вибори до органів державної влади та органів місцевого самоврядування є вільними і відбуваються на основі загального, рівного і прямого виборчого права шляхом таємного голосування." Не нужно наяривать на DARPA, то система аудита, а не голосования, она запчасть от оффлайнового механизма. Свидетелей блокчейна буду сразу посылать нахер, потому что они не понимают как работает блокчейн и для чего он нужен. Поехали. Действующие системы е-голосования построены на "двойном конверте" (double envelope). Как можно построить такую систему? Один из вариантов, вы подключаетесь к серверу Миграционной службы, используя данные паспорта, она может его проверить, и сквозь этот сервер, соединение внутри соединения, подключаетесь к ЦИК, который принимает соединения только от ДМС. И туда сбрасываете идентификатор, который отнюдь не тождественен паспорту и голос. ДМС всего этого не видит из-за шифрования, но идентифицирует вас по паспорту, это и есть двойной конверт. Чтобы обеспечить однократность придётся или натянуть онлайн на оффлайн и выдавать токены (MAC, аналог бюллетеня, и там всё не просто, но возможно) вместе с бумажными бюллетенями, или наоборот - предварительная регистрация на "электронном участке", как при изменении места голосования (кстати, адрес из ДРВ нужно выкинуть, меньше знаешь - крепче спишь). Если вы не понимаете почему предварительная, то не стоит и начинать, не суйтесь в е-выборы. Вроде придумали, НО. Во-первых, в Интернете никто не знает что вы кот. ID-карта не имеет активной аутентификации и может быть украдена ("ксерокопия тождествена оригиналу") и использована против вас. Никто не узнает как вас пиздили битой и кормили гречкой для получения нужного голоса. Во-вторых, в этой схеме нет наблюдателей, их просто некуда воткнуть. И, в-треть их, вы должны полностью доверять тем двум серверам. Иначе никак. Именно так и в Швейцарии, и в Эстонии - вы должны всецело верить почте, двойной там конверт или одинарный, что она его доставит, не вскроет и не подкинет своих. В-четвертых, в оффлайне у нас тридцать тысяч участков, а электронный только один. И если там будет хоть один поддельный голос, то выборы навернулись целиком и полностью, в том числе и в оффлайне. Задача не решена нигде в мире, и ни одна зеленая петрушка даже не понимает всей сложности задачи. Тот редкий случай, когда бумага лучше.
«А однажды Минобороны попросило рассчитать, как авария на какой-то одной украинской электростанции скажется на всей электросети страны. То есть если мы „отключаем“ в одном месте, не случится ли [от перераспределения мощностей] веерное отключение целого ряда электростанций?»
Мне одному кажется, что МО РФ только что спалилось на атаке на украинские энергообъекты? #terrorussia
Меня что-то ещё со вчерашнего дня беспокоило в этой новости и я её не шарил, а теперь сообразил. Каким нужно быть непроходимым тупицей, чтобы просить смоделировать энергосистему разведчиков, а не энергетиков? "И вот так у них всё", "Скажите государю, что у англичан ружья кирпичом не чистят"
Мне одному кажется, что МО РФ только что спалилось на атаке на украинские энергообъекты? #terrorussia
Меня что-то ещё со вчерашнего дня беспокоило в этой новости и я её не шарил, а теперь сообразил. Каким нужно быть непроходимым тупицей, чтобы просить смоделировать энергосистему разведчиков, а не энергетиков? "И вот так у них всё", "Скажите государю, что у англичан ружья кирпичом не чистят"
И если они нас, то и мы их, если мы их, то они нас. Так что пора прекращать круглостоление и омеморанживание и защитой тоже заниматься, только очень вас прошу (to whom it may concern) не по российскому образцу. Я знаю, что вы в одних институтах учились, так вот как на России делать не нужно никогда. https://www.facebook.com/permalink.php?story_fbid=701470956962528&id=100012988902113
Facebook
Jeoffrey Dahmer
Смотрите, сейчас на одном простом примере я попробую показать вам успех взаимных кибер-операций между Украиной и раиссей, почему они эффективны, почему у нас отключают подстанции, а мы у них ходим...
Шон Таунсенд, хакер, учасник Ukrainian Cyber Alliance, пояснює: "Основний конфлікт в онлайн-голосуванні між анонімністю голосу та ідентифікацією громадянина. Не анонімні вибори провести легко, але це може відбити бажання голосувати, або ж людей можуть примусити голосувати "як треба". Інакше - заяву на стіл. Прийнятного рішення, яке б задовольнило всі вимоги, немає ніде. Тому онлайн-вибори досі екзотика". <...>
BBC News Україна звернулася за коментарями до Михайла Федорова, як радника президента з digital-напряму, та до Державного агентства з питань електронного урядування. На момент виходу матеріалу коментарів ми не отримали. https://www.bbc.com/ukrainian/features-49297700
BBC News Україна звернулася за коментарями до Михайла Федорова, як радника президента з digital-напряму, та до Державного агентства з питань електронного урядування. На момент виходу матеріалу коментарів ми не отримали. https://www.bbc.com/ukrainian/features-49297700
BBC News Україна
У Зеленського обіцяють онлайн-голосування: чим це загрожує?
Одразу кілька західних країн відмовилися від онлайн-голосування. Водночас українська влада обіцяє вибори президента через інтернет. Навколо цього є певні міфи, про які ми розповідаємо.
Ору и икаю от смеха. На сайте РНБО параметр URL открывается во фрейме (не помню как называется такая дыра, я уже даже успел забыть что бывают фреймы), а ещё там XSS. Нашел Serhiy Guryev. Это не просто дыра, это громчайшейшее орейро. Вы там вместо меня Pornhub впишите, ага? Чтобы сделать фото на память. Национальная безопасность, которую мы заслужили. Если меня не выгонят из рабочей группы по кибербезопасности, то я так уж и быть расскажу, что нужно делать в таких случаях #FuckResposnibleDisclosure
УХВАЛА
Клопотання мутного мусора підоргского відділу Святошинського управління єбаніни Головного охуїння Національної хуйні у місті Києві старшого лейтенанта поліції Заєбащєнко Романа Васильовича про тимчасовий доступ до речей і документів у досудовому розслідуванні - задовольнити.
Накласти арешт на права людини, які виникають у користувачів мережі Інтернет, шляхом зобов`язання українців, що здійснюють проживання на території України, і які відповідно закону «Про Єдиний державний демографічний реєстр» включені до реєстру, негайно зробити себе виделкою в глаз або в жопу раз.
Ухвала оскарженню не підлягає.
Это я к вот этому https://nkrzi.gov.ua/index.php?r=site%2Findex&pg=99&id=1759&language=uk
Мусорье трижды проклятое, неверное и поганое не унимается в своём желании портить Интернет. Суды им подмахивают, а отраслевой рагулятор НКРЗІ стоит в коленно-локтевой и делает глазки котиком. Только из-за одной такой новости, тот сраный реестр нужно уничтожить. А рагулятора расформировать и отпиздить ногами.
Мусоров пиздить поздно, тех уже только сжигать на площади вместе с судьями #цензура #ACAB
Клопотання мутного мусора підоргского відділу Святошинського управління єбаніни Головного охуїння Національної хуйні у місті Києві старшого лейтенанта поліції Заєбащєнко Романа Васильовича про тимчасовий доступ до речей і документів у досудовому розслідуванні - задовольнити.
Накласти арешт на права людини, які виникають у користувачів мережі Інтернет, шляхом зобов`язання українців, що здійснюють проживання на території України, і які відповідно закону «Про Єдиний державний демографічний реєстр» включені до реєстру, негайно зробити себе виделкою в глаз або в жопу раз.
Ухвала оскарженню не підлягає.
Это я к вот этому https://nkrzi.gov.ua/index.php?r=site%2Findex&pg=99&id=1759&language=uk
Мусорье трижды проклятое, неверное и поганое не унимается в своём желании портить Интернет. Суды им подмахивают, а отраслевой рагулятор НКРЗІ стоит в коленно-локтевой и делает глазки котиком. Только из-за одной такой новости, тот сраный реестр нужно уничтожить. А рагулятора расформировать и отпиздить ногами.
Мусоров пиздить поздно, тех уже только сжигать на площади вместе с судьями #цензура #ACAB
Дело которое затронуло "Энигму" и Галущенко слишком сложное - там тебе и ДБР, и ДЗЕ и Лео гейминг вкупе с высокопоставленными чиновниками, чтобы брать его для примера, потому хочу поговорить ещё раз спокойно про последний случай запретов. Тем кто интересуется "блокировками вобще", о том почему это незаконно и зло в чистом виде, хочу порекомендовать лонгрид на Забороне https://zaborona.com/interactive/nash-onlajn-leviafan/ А пока разберёмся, что не так с обменниками, с указом Порошенко, с которого всё началось и с порочной судейской логикой.
Что такое е-деньги, классическая платежка мало чем отличается от банков древности. Вы отдаёте им обычные деньги, а взамен получаете расписку, не именную даже, а на предъявителя и самое интересное с теми расписками, что их можно получить в одном месте, а обналичить в другом, или оплатить ей что-нибудь полезное, если торговец вкусняхами доверяет эмитенту. В Украине финтех зарегулирован по самое не улыбайся, для вашего вроде блага. И не спроста.
Потому что мы берём грязные деньги, пулим их в LibertyReserve (светлая ему память), где они перемешиваются, и получаем уже в чистом виде. Но умные люди не пытаются зафискалить каждый доллар, потому что чтобы отследить каждый доллар нужно потратить ещё два, а ловят только крупную рыбу. У нас же логика советская, разрешительная, и перед запретом все равны и мелкое ООО, и крупный банк. Банк даже немного ровнее, потому и пропихивает запреты, чтобы потоки мелких платежей за воду и интернет шли через кеш-ин терминалы, а не непонятно через кого.
Потому пейпала вам тут не видать, не хотят они играть с шулерами, хотя могут конечно и банк свой собственный открыть и потянуть рагуляцию. Подводя итоги, регулятор борется не с отмыванием денег, а с самой возможностью гонять деньги мимо подслеповатого ока государева, то есть просто хочет уничтожить индустрию или загнать её в стойло. И справа открыта по статье 200 (Незаконні дії з документами на переказ, платіжними картками та іншими засобами доступу до банківських рахунків, електронними грошима, обладнанням для їх виготовлення)
А чтобы мотивировать как-то ту незаконность, суд ссылается на то, что у биткоинов нет банка-эмитента с разрешением НБУ. А Яндекс вобще вражина из Российской Федерации, тут и указ появляется. И мы возвращаемся к санкциям. Обычно за нарушение санкционного режима назначаются штрафы и есть специальный отдел (в США - OFAC), который ведёт списки негодяев, объясняет риски своим гражданам и штрафует нарушителей. У нас такого отдела нет, и ответственности за нарушение санкций тоже нет. Не предусмотрено.
Недалекий рагулятор не понимает, что не нужно требовать уставщины, тотального соблюдения законов, а достаточно сделать так чтобы крупные торговые сети и банки не пользовались данным инструментом. Потому что за каждым пересичным с 10 рублями ЯДа гоняться бессмысленно и контрпродуктивно. И тот самый Лефиафан об этом прекрасно знает, но у крупняка клыки и когти, там где залезешь - сразу слезешь, а мелочь гнуть об колено легко и приятно. И тут уже начинается вобще безумие и крышесрыв.
Представьте, что на улице стоит обменный пункт "Лёня Голубков и партнеры", и чем-то он товарищу мусору не угодил, не потому что там сто тысяч миллионов украли или помыли, а просто так, под руку попался. И наплевать же конечно и на арестованные счета и прочее, надо ещё какую-нибудь подляну сделать, чтобы сразу было видно кто тут власть. И они придумали такой фокус. Если вы только увидели ту вывеску про Лёню Голубкова, то вы как бы уже им партнер, и у вас на вывеску возникли некие "права", которых вас можно принудительно лишить. То есть, если Лёне Голубкову ограничивают доступ к вам, то вы подсанкционный товар. А если у вас возникают права собственности, то вы ещё и соучастник по той самой статье.
Что такое е-деньги, классическая платежка мало чем отличается от банков древности. Вы отдаёте им обычные деньги, а взамен получаете расписку, не именную даже, а на предъявителя и самое интересное с теми расписками, что их можно получить в одном месте, а обналичить в другом, или оплатить ей что-нибудь полезное, если торговец вкусняхами доверяет эмитенту. В Украине финтех зарегулирован по самое не улыбайся, для вашего вроде блага. И не спроста.
Потому что мы берём грязные деньги, пулим их в LibertyReserve (светлая ему память), где они перемешиваются, и получаем уже в чистом виде. Но умные люди не пытаются зафискалить каждый доллар, потому что чтобы отследить каждый доллар нужно потратить ещё два, а ловят только крупную рыбу. У нас же логика советская, разрешительная, и перед запретом все равны и мелкое ООО, и крупный банк. Банк даже немного ровнее, потому и пропихивает запреты, чтобы потоки мелких платежей за воду и интернет шли через кеш-ин терминалы, а не непонятно через кого.
Потому пейпала вам тут не видать, не хотят они играть с шулерами, хотя могут конечно и банк свой собственный открыть и потянуть рагуляцию. Подводя итоги, регулятор борется не с отмыванием денег, а с самой возможностью гонять деньги мимо подслеповатого ока государева, то есть просто хочет уничтожить индустрию или загнать её в стойло. И справа открыта по статье 200 (Незаконні дії з документами на переказ, платіжними картками та іншими засобами доступу до банківських рахунків, електронними грошима, обладнанням для їх виготовлення)
А чтобы мотивировать как-то ту незаконность, суд ссылается на то, что у биткоинов нет банка-эмитента с разрешением НБУ. А Яндекс вобще вражина из Российской Федерации, тут и указ появляется. И мы возвращаемся к санкциям. Обычно за нарушение санкционного режима назначаются штрафы и есть специальный отдел (в США - OFAC), который ведёт списки негодяев, объясняет риски своим гражданам и штрафует нарушителей. У нас такого отдела нет, и ответственности за нарушение санкций тоже нет. Не предусмотрено.
Недалекий рагулятор не понимает, что не нужно требовать уставщины, тотального соблюдения законов, а достаточно сделать так чтобы крупные торговые сети и банки не пользовались данным инструментом. Потому что за каждым пересичным с 10 рублями ЯДа гоняться бессмысленно и контрпродуктивно. И тот самый Лефиафан об этом прекрасно знает, но у крупняка клыки и когти, там где залезешь - сразу слезешь, а мелочь гнуть об колено легко и приятно. И тут уже начинается вобще безумие и крышесрыв.
Представьте, что на улице стоит обменный пункт "Лёня Голубков и партнеры", и чем-то он товарищу мусору не угодил, не потому что там сто тысяч миллионов украли или помыли, а просто так, под руку попался. И наплевать же конечно и на арестованные счета и прочее, надо ещё какую-нибудь подляну сделать, чтобы сразу было видно кто тут власть. И они придумали такой фокус. Если вы только увидели ту вывеску про Лёню Голубкова, то вы как бы уже им партнер, и у вас на вывеску возникли некие "права", которых вас можно принудительно лишить. То есть, если Лёне Голубкову ограничивают доступ к вам, то вы подсанкционный товар. А если у вас возникают права собственности, то вы ещё и соучастник по той самой статье.
Zaborona
Наш онлайн-Левіафан
Чим загрожує блокування інтернету – на пальцях
Но дотянуться до того обменника у них руки коротки, и потому они просят все дорожные службы, какие только ни есть в стране, затруднить обычным гражданам доступ к обменнику, чтобы вы случайно не стали партнером. Регулятор публикует ту кромешую тупорылую ебанину (это единственное матерное слово и без него никак нельзя обойтись), а так как по закону регулятор осуществляет регуляцию, то и его решения как бы являются обязательными, несмотря на то что вопрос "а че, блин, если нет?" повисает в воздухе без ответа.
И дорожные службы начинают уродовать общее городское пространство, кто-то дороги перекапывает на пути к тому обменнику, кто-то подделывает дорожные знаки. Сильно усложняя передвижение по дорогам и провоцируя автокатастрофы. Гениальное решение, не так ли? То есть вместо того, чтобы поставить под контроль денежные потоки их загоняют в тень и криминал, вместо того чтобы собирать плату за пользование дорогами, перекапывают их (за чужой счет) и заставляют ездить в объезд. И менты, суды, и регуляторы (экономический и телекомовский) действуют слаженно и заодно, на полное уничтожение частной инициативы.
Если и дальше продолжать упорно издеваться над здравым смыслом, то у нас скоро будет сверхдержава. Охотничье-собирательская. С передовыми технологиями каменного века. Оно вам надо? Потому нужно бить не обменники, пусть даже подсанкционные, а регуляторов, суды и правоохранителей, доведших всё из жадности и глупости до полного и окончательного маразма. Своей преступной деятельностью они причиняют колоссальный ущерб, не только материальный, но и разрушают самые основы социального договора.
И дорожные службы начинают уродовать общее городское пространство, кто-то дороги перекапывает на пути к тому обменнику, кто-то подделывает дорожные знаки. Сильно усложняя передвижение по дорогам и провоцируя автокатастрофы. Гениальное решение, не так ли? То есть вместо того, чтобы поставить под контроль денежные потоки их загоняют в тень и криминал, вместо того чтобы собирать плату за пользование дорогами, перекапывают их (за чужой счет) и заставляют ездить в объезд. И менты, суды, и регуляторы (экономический и телекомовский) действуют слаженно и заодно, на полное уничтожение частной инициативы.
Если и дальше продолжать упорно издеваться над здравым смыслом, то у нас скоро будет сверхдержава. Охотничье-собирательская. С передовыми технологиями каменного века. Оно вам надо? Потому нужно бить не обменники, пусть даже подсанкционные, а регуляторов, суды и правоохранителей, доведших всё из жадности и глупости до полного и окончательного маразма. Своей преступной деятельностью они причиняют колоссальный ущерб, не только материальный, но и разрушают самые основы социального договора.
Про регуляцию
Думаю стоит немного отвлечься от ментов поганых и продажных судей и напомнить зачем нужна регуляция как таковая. Есть такая полезная экономическая фикция, наподобие абсолютно черного тела, как "эффективный рынок", который позволяет узнать реальную стоимость вещей и на колебаниях которого можно заработать только случайно. А если есть монополист, который всех пожрал или существуют неравенство в правилах игры, то вмешивается регулятор for teh justice. И если что-то работает достаточно эффективно, то регуляции следует бояться как огня, потому что правила можно придумать всякие, включая право первой ночи и церковную десятину, что может снова сделать рынок неэффективным и позволит избранным заработать выше рынка. Не нужно чинить то что не сломано. А вот пост-советское государство хочет быть единственным капиталистом, а бизнес воспринимает как подрядчика, а себя как источник всех благ для последующего их "справедливого" распределения. The only game in town. И делает всё с точностью до наоборот, ограждая своё исключительное положение и право на арбитраж, как только может, включая такие животрепещущие области, как половые отношения домашних котов и просмотр сайтов в Интернете. И держава искренне не понимает, как может быть иначе-то? Как же мы бедные обойдёмся без укринтернетвидобування? Ведь если бабку с пучком петрушки не обложить тремя мусорами с пулемётами и фискалами, то не видать нам социального государства. А вот и не надо. Потому что не нужно. И уж не знаю как это ещё можно объяснить, так чтобы наконец-то дошло. Пора кончать с этой странной экономической моделью.
Думаю стоит немного отвлечься от ментов поганых и продажных судей и напомнить зачем нужна регуляция как таковая. Есть такая полезная экономическая фикция, наподобие абсолютно черного тела, как "эффективный рынок", который позволяет узнать реальную стоимость вещей и на колебаниях которого можно заработать только случайно. А если есть монополист, который всех пожрал или существуют неравенство в правилах игры, то вмешивается регулятор for teh justice. И если что-то работает достаточно эффективно, то регуляции следует бояться как огня, потому что правила можно придумать всякие, включая право первой ночи и церковную десятину, что может снова сделать рынок неэффективным и позволит избранным заработать выше рынка. Не нужно чинить то что не сломано. А вот пост-советское государство хочет быть единственным капиталистом, а бизнес воспринимает как подрядчика, а себя как источник всех благ для последующего их "справедливого" распределения. The only game in town. И делает всё с точностью до наоборот, ограждая своё исключительное положение и право на арбитраж, как только может, включая такие животрепещущие области, как половые отношения домашних котов и просмотр сайтов в Интернете. И держава искренне не понимает, как может быть иначе-то? Как же мы бедные обойдёмся без укринтернетвидобування? Ведь если бабку с пучком петрушки не обложить тремя мусорами с пулемётами и фискалами, то не видать нам социального государства. А вот и не надо. Потому что не нужно. И уж не знаю как это ещё можно объяснить, так чтобы наконец-то дошло. Пора кончать с этой странной экономической моделью.
Реестровое козлячество
Знание - не только сила, как утверждают пожелтевшие обложки журналов для юных индустриализаторов, знание - власть, и тут большевики наебали. Я заготовил массу живительных примеров на тему реестров, и из реестра судебных решений, и палантиры закакеанские, и из личного опыта - ломаются те чудо-информационные системы на раз-два. И даже пространные размышления о том, как вся эта автоматизация, минуя телефонизацию, затрагивает права собственности и прочие болезненные вопросы, но увидел в ленте как к трембитоманам присоединились хмарочосы. От идеи собрать всю информацию, накопленную государством, и свалить её в облако мне совсем плохо стало. Ограничусь выводами. Если есть хоть малейшая возможность не собирать информацию, то не нужно её собирать. Лучший способ защиты. Раньше для выдачи открепительных ДРВ требовал подтверждающие документы, а теперь просто отменил. И ничего не поменялось. А если ещё и адрес выкинуть, то совсем хорошо. Не менее интересный вопрос: куда делись сканы паспортов из обменников? Второе. Данные в реестрах нужно защищать в первую очередь от сотрудников. Особенно от "я только посмотреть". Как-то приходило очень важное министерство, зазывало на рюмку кофе, и вопрос у них был один. Как сделать так, чтобы базы перестали течь? От такой наивности я только руками всплеснул и немедленно приложил их к лицу. Им уже ничем не помочь. Третье. Если запись в базе содержит другие гос. данные и не порождает никаких последствий, то это не электронная услуга, а электронная заебь. "Ни одного отказа" означает, что KPI = 0 И самое очевидное: любой обмен расширяет аудиторию и снижает цены на рынке данных; обогащение данных путем объединения наоборот повышает их стоимость (взяткоёмкость), и то и другое ускоряет процессы, но на их суть не влияет. Если можно отрейдерить оффлайн, то можно и онлайн, только ещё быстрее, проще и с большей безнаказанностью. Заявления в стиле "оставьте телефон мы вам позвоним, когда вас будут грабить" - это уже такая клиника, что я даже не знаю запредельная ли это тупость или сознательная подлость. С моей точки зрения указ 558-2019 - прямая угроза национальной безопасности.
Знание - не только сила, как утверждают пожелтевшие обложки журналов для юных индустриализаторов, знание - власть, и тут большевики наебали. Я заготовил массу живительных примеров на тему реестров, и из реестра судебных решений, и палантиры закакеанские, и из личного опыта - ломаются те чудо-информационные системы на раз-два. И даже пространные размышления о том, как вся эта автоматизация, минуя телефонизацию, затрагивает права собственности и прочие болезненные вопросы, но увидел в ленте как к трембитоманам присоединились хмарочосы. От идеи собрать всю информацию, накопленную государством, и свалить её в облако мне совсем плохо стало. Ограничусь выводами. Если есть хоть малейшая возможность не собирать информацию, то не нужно её собирать. Лучший способ защиты. Раньше для выдачи открепительных ДРВ требовал подтверждающие документы, а теперь просто отменил. И ничего не поменялось. А если ещё и адрес выкинуть, то совсем хорошо. Не менее интересный вопрос: куда делись сканы паспортов из обменников? Второе. Данные в реестрах нужно защищать в первую очередь от сотрудников. Особенно от "я только посмотреть". Как-то приходило очень важное министерство, зазывало на рюмку кофе, и вопрос у них был один. Как сделать так, чтобы базы перестали течь? От такой наивности я только руками всплеснул и немедленно приложил их к лицу. Им уже ничем не помочь. Третье. Если запись в базе содержит другие гос. данные и не порождает никаких последствий, то это не электронная услуга, а электронная заебь. "Ни одного отказа" означает, что KPI = 0 И самое очевидное: любой обмен расширяет аудиторию и снижает цены на рынке данных; обогащение данных путем объединения наоборот повышает их стоимость (взяткоёмкость), и то и другое ускоряет процессы, но на их суть не влияет. Если можно отрейдерить оффлайн, то можно и онлайн, только ещё быстрее, проще и с большей безнаказанностью. Заявления в стиле "оставьте телефон мы вам позвоним, когда вас будут грабить" - это уже такая клиника, что я даже не знаю запредельная ли это тупость или сознательная подлость. С моей точки зрения указ 558-2019 - прямая угроза национальной безопасности.
ШАПОЧКА ИЗ ФОЛЬГИ ДЛЯ PKI
Давайте немного поговорим о паспортах и PKI не в теории, а на практике. Я иногда ошибаюсь в своих выводах о людях из-за того, что думаю о них слишком хорошо. "Ну, не могут же они? (быть такими долбоёбами)" Могут. Ещё как. Представьте, что вы сидите в Монреале в штаб-квартире ICAO (Международная организация гражданской авиации) и вам нужно придумать новый формат паспортов.
Удобный.
Такой, чтобы можно было положиться на электронику и оставить перед дверцей только вахтёра, чтобы "наркобароны" через неё не перелазили по двое. Кого вы позовёте? Ясное дело, чудаков, которые печатают бланки, кого же ещё. Только те в IT не рубят. А кого те позовут? Производителей радио-чипов, вот эти вот все метро-карточки и прочий урбанистический хайтек. Безопасников никто конечно не позвал. Гнусные люди, обсирают весь город-сад и тормозят прогресс, мешая продажам и принудительному осчастливливанью лохоктората.
Что они сделали, ну конечно же асимметричная криптография и PKI (если попросите, то я запощу в комментариях ссылки на основы), а ещё ISO/IEC ASN.1, BER, TLV, чтобы по-взрослому. И сразу поломали стандарт так, чтобы нельзя было пользоваться стандартными хорошо отлаженными инструментами. Вроде X.690, а вроде и не совсем. (Это очень-очень плохо, потому если чудо-софту подсунуть что-то чего он не ждёт, то он просто станет раком, а заодно станет вектором атаки на пограничников. Всё равно что флешку незнакомую сунуть в Виндовс Хр-р-р)
Основные усилия международного ансамбля песни и пляски "Ебанушки Интернешнл" сосредоточены на защите от прослушки. Чтобы у вас ксерокопию паспорта не сняли сразу сквозь штаны. И сделана она настолько криво, что к американским паспортам даже предлагали шапочки из фольги. Буквально. Чехол-клетка Фарадея.
Потом выяснилось, что стандартные средства PKI позволяют отозвать подпись ЦСК, но не потерянный паспорт например. И реестры пропотерянных паспортов вернулись на место. Ладно, хоть данные паспорта надежно подписаны RSA, корневые сертификаты доставляются дипломатической почтой, и не смотря на необходимость тяжелого онлайна всё худо-бедно работает.
Но потом понадобилось сличать морду с содержимым паспорта, что тяжело, и добавилась биометрия (отпечатки), что проще. Но отпечатки - вторжение в личную жизнь и они должны быть зашифрованы, на смену BAC приходит EAC, пытающийся доказать, что Алиса - это Пудинг, Пудинг - это Алиса. Доказать паспорту, что терминал имеет право читать отпечатки. DG4 запланировали под сетчатку, но до этого, слава Богу, пока не дошло. Когда терминалов много - в каждом полицейском участке, на каждом пропускном пункте, то ключи потекут целиком и сразу. Можно сделать их коротко-живущими, вот только беда-беда, у паспорта нет часов. То не "Боб" (так в криптографии называют стороны (А)лиса - (Б)об), а нежный и безответственный пудинг.
Уже с биометрическими паспортами праздник происходит нешуточный, именно поэтому ЕС вводит новые правила, вот те вот пять евро, онлайн-регистрация - это всё последствия родовых травм стандарта.
И тут появляются они.
Провинциальные энтузиасты.
И они с криками "А вот в Европе!" выкатывают новый внутренний паспорт исполненный со всеми косяками родной технологии, плюс ошибки перевода. И косячат технологию ещё глубже. Ломают "активную аутентификацию". Ломают даже сам PKI. Как выглядит обычный паспорт? "Кем выдан", "Где выдан". ФИО (кто подписал? кого сажать?), Место (где искать, кого сажать?). Что у нас написано в ID-карте? CSCA и signing authority - "полиграфический комбайн "Украина". Найти крайнего в такой схеме невозможно, она централизованная, а в случае пробоя "комбайна" всем паспортам пиздец.
И вот в это самое говнейро, которое без пограничника с реестрами не работает (а помните какие были мечты?) наши жижитализаторы пытаются воткнуть КЕП (юридически значимую электронную подпись).
Давайте немного поговорим о паспортах и PKI не в теории, а на практике. Я иногда ошибаюсь в своих выводах о людях из-за того, что думаю о них слишком хорошо. "Ну, не могут же они? (быть такими долбоёбами)" Могут. Ещё как. Представьте, что вы сидите в Монреале в штаб-квартире ICAO (Международная организация гражданской авиации) и вам нужно придумать новый формат паспортов.
Удобный.
Такой, чтобы можно было положиться на электронику и оставить перед дверцей только вахтёра, чтобы "наркобароны" через неё не перелазили по двое. Кого вы позовёте? Ясное дело, чудаков, которые печатают бланки, кого же ещё. Только те в IT не рубят. А кого те позовут? Производителей радио-чипов, вот эти вот все метро-карточки и прочий урбанистический хайтек. Безопасников никто конечно не позвал. Гнусные люди, обсирают весь город-сад и тормозят прогресс, мешая продажам и принудительному осчастливливанью лохоктората.
Что они сделали, ну конечно же асимметричная криптография и PKI (если попросите, то я запощу в комментариях ссылки на основы), а ещё ISO/IEC ASN.1, BER, TLV, чтобы по-взрослому. И сразу поломали стандарт так, чтобы нельзя было пользоваться стандартными хорошо отлаженными инструментами. Вроде X.690, а вроде и не совсем. (Это очень-очень плохо, потому если чудо-софту подсунуть что-то чего он не ждёт, то он просто станет раком, а заодно станет вектором атаки на пограничников. Всё равно что флешку незнакомую сунуть в Виндовс Хр-р-р)
Основные усилия международного ансамбля песни и пляски "Ебанушки Интернешнл" сосредоточены на защите от прослушки. Чтобы у вас ксерокопию паспорта не сняли сразу сквозь штаны. И сделана она настолько криво, что к американским паспортам даже предлагали шапочки из фольги. Буквально. Чехол-клетка Фарадея.
Потом выяснилось, что стандартные средства PKI позволяют отозвать подпись ЦСК, но не потерянный паспорт например. И реестры пропотерянных паспортов вернулись на место. Ладно, хоть данные паспорта надежно подписаны RSA, корневые сертификаты доставляются дипломатической почтой, и не смотря на необходимость тяжелого онлайна всё худо-бедно работает.
Но потом понадобилось сличать морду с содержимым паспорта, что тяжело, и добавилась биометрия (отпечатки), что проще. Но отпечатки - вторжение в личную жизнь и они должны быть зашифрованы, на смену BAC приходит EAC, пытающийся доказать, что Алиса - это Пудинг, Пудинг - это Алиса. Доказать паспорту, что терминал имеет право читать отпечатки. DG4 запланировали под сетчатку, но до этого, слава Богу, пока не дошло. Когда терминалов много - в каждом полицейском участке, на каждом пропускном пункте, то ключи потекут целиком и сразу. Можно сделать их коротко-живущими, вот только беда-беда, у паспорта нет часов. То не "Боб" (так в криптографии называют стороны (А)лиса - (Б)об), а нежный и безответственный пудинг.
Уже с биометрическими паспортами праздник происходит нешуточный, именно поэтому ЕС вводит новые правила, вот те вот пять евро, онлайн-регистрация - это всё последствия родовых травм стандарта.
И тут появляются они.
Провинциальные энтузиасты.
И они с криками "А вот в Европе!" выкатывают новый внутренний паспорт исполненный со всеми косяками родной технологии, плюс ошибки перевода. И косячат технологию ещё глубже. Ломают "активную аутентификацию". Ломают даже сам PKI. Как выглядит обычный паспорт? "Кем выдан", "Где выдан". ФИО (кто подписал? кого сажать?), Место (где искать, кого сажать?). Что у нас написано в ID-карте? CSCA и signing authority - "полиграфический комбайн "Украина". Найти крайнего в такой схеме невозможно, она централизованная, а в случае пробоя "комбайна" всем паспортам пиздец.
И вот в это самое говнейро, которое без пограничника с реестрами не работает (а помните какие были мечты?) наши жижитализаторы пытаются воткнуть КЕП (юридически значимую электронную подпись).
У той ID-карты mandatory BAC (для другого её делали) и пароль на обложке. У неё сломанный AA, и возможность клонирования. Там legacy (обратная совместимость), которая позволяет отключить всё говно-security в ноль и свести защищенность девайса до уровня карты для проезда в метро (буквально. до MIFARE, иногда).
Пока выяснял как всё это работает, орал так, что даже пост не мог с первого раза написать. И правильно! И ну его нафиг! Не зовите безопасников, они только продажи портят. :-)
Пока выяснял как всё это работает, орал так, что даже пост не мог с первого раза написать. И правильно! И ну его нафиг! Не зовите безопасников, они только продажи портят. :-)
Посмотрел краем глаза на один важный реестр. Один только перечень документов (половина из них ДСК) нанёс непоправимый урон моей нежной психике:
"Вимоги що до розгортання", "Наказ про призначення адміністратора", "Наказ про закріплення технічних засобів", "Наказ про призначення коміссії з категорювання", "Акт категорювання", "Акт обстеження", "Список, доступ до приміщень", "Формуляр клієнтської частини", "Журнал обліку", "Журнал видачи паролів" (лол што?), "Методика разгортання", "Положення про службу захисту", "Наказ про введення в дію" (попереднього положення), "Витяг з "плану захисту", "Інструкція" (інсталяція), "Інструкція" (конфігурування безпеки), "Інструкція" (антивирусний захист), "Інструкція" (безпека), "Інструкція" (НСД), "Інструкція" (довірчі), "Інструкція" (криптографичний захист), "Інструкція" (налаштування заліза), "Розпорядження на розгортання", "Наказ на розгортання", "Заявка на підключення" (у двох примірниках), "Заявка на отримання ключів", "Журнал обліку" (КЗІ), "Опис" (КЗІ), "Журнал" (зв'язок), "Наказ про застосуання ЕЦП", "Копія атестату" (КСЗІ), "Акт інсталяції", "Акт завершення робіт", "Наказ про введення в експлуатацію", "Пам'ятка коритувачу", "Інструкція" (пожежа), ще якась хєрня, "Інструкція" (функціонування), "Тимчасові правила користування", бірки, "Наказ на допуск".
И всё это конечно же бесполезная хуйня, когда у вас есть скуля прямо в форме входа. Прямо, сука, в поле "login".
"Вимоги що до розгортання", "Наказ про призначення адміністратора", "Наказ про закріплення технічних засобів", "Наказ про призначення коміссії з категорювання", "Акт категорювання", "Акт обстеження", "Список, доступ до приміщень", "Формуляр клієнтської частини", "Журнал обліку", "Журнал видачи паролів" (лол што?), "Методика разгортання", "Положення про службу захисту", "Наказ про введення в дію" (попереднього положення), "Витяг з "плану захисту", "Інструкція" (інсталяція), "Інструкція" (конфігурування безпеки), "Інструкція" (антивирусний захист), "Інструкція" (безпека), "Інструкція" (НСД), "Інструкція" (довірчі), "Інструкція" (криптографичний захист), "Інструкція" (налаштування заліза), "Розпорядження на розгортання", "Наказ на розгортання", "Заявка на підключення" (у двох примірниках), "Заявка на отримання ключів", "Журнал обліку" (КЗІ), "Опис" (КЗІ), "Журнал" (зв'язок), "Наказ про застосуання ЕЦП", "Копія атестату" (КСЗІ), "Акт інсталяції", "Акт завершення робіт", "Наказ про введення в експлуатацію", "Пам'ятка коритувачу", "Інструкція" (пожежа), ще якась хєрня, "Інструкція" (функціонування), "Тимчасові правила користування", бірки, "Наказ на допуск".
И всё это конечно же бесполезная хуйня, когда у вас есть скуля прямо в форме входа. Прямо, сука, в поле "login".
👍1
Я вынесу из комментариев одну чудесную цитату для закрепления материала. "Да, верно, недоработки в защите могут нанести ущерб информационным системам, но мы должны помнить, что электронный паспорт - защищенный документ, и не имеет ничего общего с информационными системами". Не я придумал, в ICAO так говорят, именно они разрабатывали стандарт для ID-карт.
ID-карты защищены (ну почти) от скимминга, чтобы нельзя было снять незаметно копию (тут стандарт поломан в технической части) и от подделки (а тут в организационной). Токены ЕЦП сделаны так, что из них нельзя (скорее всего) извлечь ключи, но в них нет идентифицирующей информации. Банковский двуфактор - ящик с двумя ключами для хранения денег, и то ваш риск сколько там хранить денег - сотку или миллион. Банк вызывает больше доверия чем опсос, но строго делит ответственность.
Я совсем простой пример приведу из онлайн-мира, где вопросы аутентификации стоят давно и жестко. Восстанавливая доступ к аккаунту вам может понадобится всё и сразу, и телефон и какой-нибудь хотя бы из паролей, и фото с паспортом в руках, и возможно с бумажкой "двачик 21.08.2019", пруфпик и есть идентификатор, там можно что-то сравнивать между собой, а бумажка с надписью - защита от клонирования и скоростного фотошопа. И то бесплатный сервис, вроде почты, не банк даже и не нотариус.
MobileID уже теплее, но там за аутентификацию (подтверждение идентификации) отвечает продавец из салона с IQ 70 и примерно такой же зарплатой, если считать в банках с собачьими кормом. Конец будет так же предсказуем, как и "симки по паспорту" в зазеркальной федерации. И раз аутентификация поломана и изуродована безмозглыми энтузиастами ещё в колыбели, то хотя бы авторизацию не нужно доламывать, и оставить возможность не участвовать в электронном гадюшнике на колёсиках.
Второй вопрос - учет и ответственность. Потому помимо документа, где-то в далёком райотделе лежит "форма 1" со всеми многочисленными приложениями. И десять форм могут потечь, но не все сразу. А в документе серия и номер, и примерно известно, где те бланки лежат. (Если в идеале. Децентрализация) И всё это как раз для того, чтобы искать ментов неверных и наказывать их за выдачу левых документов и попытку сунуть нос куда не надо. А когда CSCA и SA совпадают, то тем самым вы снимаете ответственность со всей вертикали.
Расчёт в такой системе идёт на сравнение данных в многочисленных реестрах (которых вобще быть не должно), для чего их приходится объединять и они превращаются в единую точку отказа, утечки и подделки. Источник большой власти и больших денег. Бесконтрольной власти и бесконтрольных денег. И это настолько элементарные и очевидные вещи, что я просто не понимаю, насколько же нужно быть непроходимо, блядь, тупым и жадным, чтобы одновременно портить и бумажную систему и электронную.
ID-карты защищены (ну почти) от скимминга, чтобы нельзя было снять незаметно копию (тут стандарт поломан в технической части) и от подделки (а тут в организационной). Токены ЕЦП сделаны так, что из них нельзя (скорее всего) извлечь ключи, но в них нет идентифицирующей информации. Банковский двуфактор - ящик с двумя ключами для хранения денег, и то ваш риск сколько там хранить денег - сотку или миллион. Банк вызывает больше доверия чем опсос, но строго делит ответственность.
Я совсем простой пример приведу из онлайн-мира, где вопросы аутентификации стоят давно и жестко. Восстанавливая доступ к аккаунту вам может понадобится всё и сразу, и телефон и какой-нибудь хотя бы из паролей, и фото с паспортом в руках, и возможно с бумажкой "двачик 21.08.2019", пруфпик и есть идентификатор, там можно что-то сравнивать между собой, а бумажка с надписью - защита от клонирования и скоростного фотошопа. И то бесплатный сервис, вроде почты, не банк даже и не нотариус.
MobileID уже теплее, но там за аутентификацию (подтверждение идентификации) отвечает продавец из салона с IQ 70 и примерно такой же зарплатой, если считать в банках с собачьими кормом. Конец будет так же предсказуем, как и "симки по паспорту" в зазеркальной федерации. И раз аутентификация поломана и изуродована безмозглыми энтузиастами ещё в колыбели, то хотя бы авторизацию не нужно доламывать, и оставить возможность не участвовать в электронном гадюшнике на колёсиках.
Второй вопрос - учет и ответственность. Потому помимо документа, где-то в далёком райотделе лежит "форма 1" со всеми многочисленными приложениями. И десять форм могут потечь, но не все сразу. А в документе серия и номер, и примерно известно, где те бланки лежат. (Если в идеале. Децентрализация) И всё это как раз для того, чтобы искать ментов неверных и наказывать их за выдачу левых документов и попытку сунуть нос куда не надо. А когда CSCA и SA совпадают, то тем самым вы снимаете ответственность со всей вертикали.
Расчёт в такой системе идёт на сравнение данных в многочисленных реестрах (которых вобще быть не должно), для чего их приходится объединять и они превращаются в единую точку отказа, утечки и подделки. Источник большой власти и больших денег. Бесконтрольной власти и бесконтрольных денег. И это настолько элементарные и очевидные вещи, что я просто не понимаю, насколько же нужно быть непроходимо, блядь, тупым и жадным, чтобы одновременно портить и бумажную систему и электронную.
👍1
Страна розовой криптографии
Смотрю на то, как полным ходом проходит одубилечивание населения, и хочу вам рассказать, как должен был бы работать PKI, сферический и в вакууме. Итак, связывать субъекты (юридические и физические лица) с подписью должны не продавцы симок в супер-маркете и не низкооплачиваемые безымянные клерки ДФС (их легко подкупить), а специально уполномоченные люди, несущие полную (уголовную) ответственность за процесс аутентификации.
Вы приходите к регистратору подписей с чистым токеном, который самостоятельно генерирует ключевую пару (это не e-ID, не "Автор", не флешка и не симка), и после того как вводите пароль разблокировки (никаких "USB-хабов", привет Медок), тот отдаёт регистратору на подпись публичный ключ. Регистратор проверяет паспорт и подписывает ваш публичный ключ, своей собственной *именной* подписью. Если что-то пойдёт не так, то кто-то должен сесть за подделку документов.
Или он. Или вы. Без вариантов. Неотвратимо. В тюрьму.
Потом он печатает fingerprint и добавляет ваше фото с бумажкой в руках в архив на память. Если вы мошенник, то это фото появится на стендах "их разыскивает полиция". Если регулятор (а регуляция должна быть жесткой и непрерывной, никаких мораториев) не найдёт такой бумажки в архиве, то это будет фото регистратора.
Потом ключ подписанный регистратором (Signing Authority), заверяется подписью ЦСК (по-английски CA), тем самым ЦСК свидетельствует, что SA - его сотрудник, и они вместе несут солидарную ответственность. И за действие и за бездействие, и за халатность, и за утечку PII - за все возможные негоразды. Ключ CA подписан государством CSCA. Если нагнётся CSCA, то всем конец. Даже судьям и прокурорам.
Возникает цепочка доверия, и везде, на каждом уровне есть ответственный за то, что не будут созданы левые подписи, что они выданы тем кому надо, и у каждой ошибки есть имя, для пополнения "реестра заключенных" (одновремнно с конфискацией имущества и запретом занимать посады).
Бумажная система, по крайней мере, как она задумывалась, работает похожим образом. Если вы забыли, то загляните в свой паспорт, или вспомните как Приват фотографирует вас с картой в руках, а Фейсбук с паспортом. И это только ЭЦП.
О фактах и документах, о том зачем нужны посредники, о разрешении конфликтов и почему нельзя заменить отношения между людьми алгоритмом поговорим в следующий раз.
Смотрю на то, как полным ходом проходит одубилечивание населения, и хочу вам рассказать, как должен был бы работать PKI, сферический и в вакууме. Итак, связывать субъекты (юридические и физические лица) с подписью должны не продавцы симок в супер-маркете и не низкооплачиваемые безымянные клерки ДФС (их легко подкупить), а специально уполномоченные люди, несущие полную (уголовную) ответственность за процесс аутентификации.
Вы приходите к регистратору подписей с чистым токеном, который самостоятельно генерирует ключевую пару (это не e-ID, не "Автор", не флешка и не симка), и после того как вводите пароль разблокировки (никаких "USB-хабов", привет Медок), тот отдаёт регистратору на подпись публичный ключ. Регистратор проверяет паспорт и подписывает ваш публичный ключ, своей собственной *именной* подписью. Если что-то пойдёт не так, то кто-то должен сесть за подделку документов.
Или он. Или вы. Без вариантов. Неотвратимо. В тюрьму.
Потом он печатает fingerprint и добавляет ваше фото с бумажкой в руках в архив на память. Если вы мошенник, то это фото появится на стендах "их разыскивает полиция". Если регулятор (а регуляция должна быть жесткой и непрерывной, никаких мораториев) не найдёт такой бумажки в архиве, то это будет фото регистратора.
Потом ключ подписанный регистратором (Signing Authority), заверяется подписью ЦСК (по-английски CA), тем самым ЦСК свидетельствует, что SA - его сотрудник, и они вместе несут солидарную ответственность. И за действие и за бездействие, и за халатность, и за утечку PII - за все возможные негоразды. Ключ CA подписан государством CSCA. Если нагнётся CSCA, то всем конец. Даже судьям и прокурорам.
Возникает цепочка доверия, и везде, на каждом уровне есть ответственный за то, что не будут созданы левые подписи, что они выданы тем кому надо, и у каждой ошибки есть имя, для пополнения "реестра заключенных" (одновремнно с конфискацией имущества и запретом занимать посады).
Бумажная система, по крайней мере, как она задумывалась, работает похожим образом. Если вы забыли, то загляните в свой паспорт, или вспомните как Приват фотографирует вас с картой в руках, а Фейсбук с паспортом. И это только ЭЦП.
О фактах и документах, о том зачем нужны посредники, о разрешении конфликтов и почему нельзя заменить отношения между людьми алгоритмом поговорим в следующий раз.
Всю ночь в редакции Главком горел свет. Программисты и журналисты, уборщицы и корректоры, и даже главред Viktor Shlinchak пересчитывали на счетах голоса в онлайн опросе по поводу оценки первых ста дней зелебобы. Выкидывали голоса тысячами, капчу цепляли, по IP вычисляли, что та Антонина, и даже один раз снесли и создали заново, но не справились. Приторочил я сегодня утром к броузеру socks/VDS с белым ипом, чтобы электронно, смартфонно и демократично волеизъявиться, но голосовалку уже доломали до полностью неработающего состояния. Оказывается, что я уже проголосовал. Значит будет как в той шутке про безопасника и "резюме на рабочем столе". Исправленному прошу верить #XSS #FuckResponsibleDisclosure Архив http://archive.is/mT5O1