понедельник, 22 октября 2012 г.

КС оппозиции и иже с ним

Я не против оппозиции как образования. "За" идею с выборами среди них. Но..

Когда оппозицию поливают грязью в разнообразных "анатомиях" или кошмарят в камерах, это только увеличивает симпатии к ней. Мы себя ассоциируем с объектом который подвергается травле. Данный феномен был использован когда затюканного в СМИ Ельцина выбрали президентом. Уже по одному этому можно понять что механизм хорошо известен. Но при всех прочих не надо опускаться до конкретной лжи (или раздолбайства. на что хотелось бы, но не могу надеяться).

Во-первых, выборы в КС online с верификацией через предоставление фотографии с паспортом это настоящий achtung. Мне интересно чем думают люди предоставляющие свои персональные данные дяде под честное заверение о том, что "дядя хороший"? Даже создал опрос в twitter "чем думают все эти люди?". На него проставлены хорошие ссылки с хорошо посещаемых ресурсов. Кол-во ответов говорит само за себя: с самокритикой у людей плохо, не хотят отвечать на неудобные вопросы. Не хватает одного ответа: мы ни о чём не думали. Этих "не думали" у нас более 100 тыс.чел. в стране. Хороших не думающих людей...

В последствиях это потенциально будет иметь базу "Кто есть кто в оппозиции?" продаваемую в переходах и метро. База будет снабжена удобным контекстным поиском по паспортным данным и фотографиям, номерам счетов Яndex-кошельков, Webmoney, e-mail и тому за кого человек проголосовал. С фотографиями Навального, Чириковой и Удальцова на обложке. И это будет очередной закономерный Fail. Легкомысленно ждать чего-то иного от организаций создаваемых человеком, который с упорством дятла хранит свою почту в Web, невзирая на свою публичность и последствия которые не раз для него от этого наступали. Если Вы ждёте чего-то иного, Вы - неисправимый оптимист.

Во-вторых, кто обеспечивает информационную безопасность всего этого мероприятия? Не знаю ни одного специалиста, эксперта-инфобезника или хакера который бы на это подписался, сотрудничал бы с ЦВК на этот счёт и т.д. Однако, в FAQ на сайте ЦВК этому вопросу уделили внимание. Давайте прочитаем:

10. Как вы гарантируете, что мои личные данные не попадут в руки злоумышленников, или, еще хуже, государства?

Мы добиваемся этого единственным возможным способом — мы вообще не храним персональные данные ни в каком виде. Сразу после регистрации, каждый избиратель представляется в базе данных ЦВК с помощью уникального кода, который вычисляется по его ФИО и дате рождения, но восстановить исходные персональные данные избирателя с помощью этого кода невозможно.
Сервера, на которых проводится голосования, размещены в современных датацентрах за пределами России, и снабжены надежными системами защиты от DDoS-атак.

Это редкая чушь. И хуже того - ложь.

Если ЦВК не хранит персональные данные (ПНд), то что такое фотографии с паспортом (очевидно, всё-таки персональные данные) и как (главное, зачем?) их верифицировать без хранения? Очевидная ложь. Система хранит ПНд и это понятно любому. Иначе, как они используются для подтверждения по телефону (клик на картинке для увеличения) и для кого предназначено "получать рассылку"? Хранится только e-mail? Это тоже ПНд, кроме того - не верю. Отдельный вопрос: как хотя бы даже и только e-mail вычисляются из необратимого хэша "уникального кода" восстановление из которого "невозможно"?


Fake-аккаунты успешно регистрировались, см. например "историю с Porno-актрисой". Ещё одно заключение: вся эта регистрация с верификацией совершенно не способна защитить от злоупотреблений. Что видим: ЦВК не хочет тратиться на соблюдение Закона "О персональных данных" (152-ФЗ) и вместо этого рассказывает сказку настолько шитую "белыми нитками", что наверное пятиклассник и то выдумал бы что-нибудь более убедительное.

Всё? Нет не всё. Нам утверждают что "Сервера, на которых проводится голосования, размещены в современных датацентрах за пределами России.". Это проверяется одной командой:
$ whois cvk2012.org

Domain ID:D166282688-LROR
Domain Name:CVK2012.ORG
Created On:07-Aug-2012 04:53:37 UTC
Last Updated On:07-Oct-2012 03:50:52 UTC
Expiration Date:07-Aug-2013 04:53:37 UTC
Sponsoring Registrar:Regional Network Information Center, JSC dba RU-CENTER (R148-LROR)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:QAM08PL-RU
Registrant Name:Leonid M Volkov
Registrant Organization:Leonid M Volkov
Registrant Street1:Michurina, 46A-9
Registrant Street2:
Registrant Street3:
Registrant City:Ekaterinburg
Registrant State/Province:Sverdlovskaya obl.
Registrant Postal Code:620075
Registrant Country:RU
Registrant Phone:+7.9222055500
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:lv@leonidvolkov.ru
Admin ID:QAM08PL-RU
Admin Name:Leonid M Volkov
Admin Organization:Leonid M Volkov
Admin Street1:Michurina, 46A-9
Admin Street2:
Admin Street3:
Admin City:Ekaterinburg
Admin State/Province:Sverdlovskaya obl.
Admin Postal Code:620075
Admin Country:RU
Admin Phone:+7.9222055500
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:lv@leonidvolkov.ru
Tech ID:QAM08PL-RU
Tech Name:Leonid M Volkov
Tech Organization:Leonid M Volkov
Tech Street1:Michurina, 46A-9
Tech Street2:
Tech Street3:
Tech City:Ekaterinburg
Tech State/Province:Sverdlovskaya obl.
Tech Postal Code:620075
Tech Country:RU
Tech Phone:+7.9222055500
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:lv@leonidvolkov.ru
Name Server:NS1.MASTERHOST.RU
Name Server:NS.MASTERHOST.RU
Name Server:NS2.MASTERHOST.RU
DNSSEC:Unsigned
Господа, ну вот кого Вы лечите?

Из расширенного dig видим, что всё также проект беззаветно верен googlemail.com в качестве MX. Для afilias.info было бы не плохо настроить DNSSec, но он к сожалению в силу криворучия Unsigned...

Далее. По поводу "снабжены надежными системами защиты от DDoS-атак".

Скажите, это не Навальный ли пишет: "Голосование было запущено сегодня в ноль часов. [..] После чего на все сервера голосования началась масштабная атака, продолжающаяся до сих пор. Ну уж если случится что-то совсем экстраординарное и Путин лично перегрызет провода, чтобы отключить интернет по всей стране, то Центральный Выборный Комитет рассмотрит вопрос о продлении сроков голосования. [..] В связи с техническими проблемами вчерашнего дня Выборный Комитет продлил голосование до 20-00 Мск понедельника, 22 октября. Так что времени хватит всем."?

Это не СМИ кричат: Петербуржцы не могут проголосовать на выборах в КС оппозиции из-за DDoS-атаки, На сайт КС оппозиции обрушилась DDOS-атака и т.д.?

А был вообще мальчик? Давайте ещё одну команду вобьём:

$ whois 178.248.237.47

% Information related to '178.248.237.47 - 178.248.237.47'

inetnum:         178.248.237.47 - 178.248.237.47
netname:         QRATOR-861
descr:           Sverdlovskaya regionalnaya obshchestvennaya organizatsiya Dobrovolcheskoe Dvizhenie
descr:           620075, g.Ekaterinburg, prospekt Lenina, d.41, ofis 509
country:         RU
admin-c:         LA27-RIPE
tech-c:          AA8879-RIPE
status:          ASSIGNED PA
mnt-by:          MNT-QRATOR
source:          RIPE # Filtered

person:          Alexander Asimov
address:         Denegnyi lane 18
address:         119002 Moscow
address:         Russian Federation
mnt-by:          MNT-QRATOR
phone:           +7-499-241-81-92
nic-hdl:         AA8879-RIPE
source:          RIPE # Filtered

person:          Lyamin Alex
address:         Denegnyi lane 18
address:         119002 Moscow
address:         Russian Federation
phone:           +7-499-241-8192
nic-hdl:         LA27-RIPE
mnt-by:          MNT-QRATOR
source:          RIPE # Filtered

% Information related to '178.248.237.47/32AS197068'

route:           178.248.237.47/32
descr:           "HLL" LLC
origin:          AS197068
mnt-by:          MNT-QRATOR
source:          RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.35 (WHOIS2)
По крайней мере с защитой от DDoS не соврали, это - QRator Networks. Почему хост валился раньше? Да потому что только подключили. А сама история с DDoS больше всего напоминает историю с другим одиозным ресурсом: bashne.net, о "DDoS" которого я писал в 2009 г.. Разница в хостинге: там был Majordomo, а здесь - Masterhost. =)

UPD: Только что получил ответ от лица осуществляющего верификацию. Никакого смысла в ней нет и не нужно его искать. Немного неожиданно, но получается что те кто высылал фотографии и иными способами проходил верификацию на выборах в КС - занимались хернёй. Это был фактически официальный ответ на вопрос о хранении Ваших персональных данных. Сродни грустному мальчику из произведения "Золотой Телёнок" носившему по кругу воду вёдрами.

2 комментария:

  1. Экая чушь. Письма с фотками и паспортами удалялись сразу после верификации. Сейчас их нет. Таким способом верифицироваться прибегло менее половины. Остальные предпочли иной способ верификации. на cvk2012.org голосования не ведётся, оно ведётся на других площадках. А головной сервер из интернета пользователю вообще не виден, его знают только площадки.

    ОтветитьУдалить
  2. Каким образом производится верификация, если нам неизвестны данные регистрации и мы не можем сличать фотографию с этими данными? Смысл где? Я беру фотографию первого попавшегося паспорта в Google.Картинки, например. А в регистрации пишу Джон Валентинович Смит. Если это проходит верификацию - нет смысла в верификации. Если не проходит - значит персональные данные хранятся. Других вариантов нет. Вы можете попробовать убедить меня в том что в ЦВК нет смысла, я пока полагаю что он есть. =)



    Другие способы верификации ещё хуже и однозначней. Поверьте я знаю соглашение ЯД и Webmoney. Вопрос где хранятся данные голосования отношения к хранению ПНд не имеет. Они могут храниться хоть на Луне. ;) Опять же, Вы не убедите меня что не хранятся e-mail, бо на мои левые аккаунты приходит рассылка. Галка же есть в интерфейсе, она не просто так там. Собирается база e-mail оппозиции. Это как минимум. ))

    ОтветитьУдалить