Solo Developer
11 subscribers
652 photos
350 videos
9 files
820 links
Канал соло-разработчика. Немного обо всем. Больше про работу и IT. #iOS #Swift #Python #Golang #Docker etc.
Download Telegram
Forwarded from RUH8
Apple и Google продолжают работать над водительскими правами в телефоне. В Украине уже есть "Дія", и кое-то удивляется почему специалисты ноют и отказываются поздравлять Федорова и Ко с оглушительным технологическим прорывом. Так что поговорим о том, чем отличается ISO/IEC от хуяк-ермак.

Сделать цифровой документ тяжело. Даже не столько из-за того, что люди не умеют писать безопасные программы, а потому что нужно выполнить целый ряд взаимоисключающих требований. Начнем с того, что сделать что-то в телефоне безопасным практически невозможно без помощи производителя. В начале эпидемии все носились с идеей отслеживания контактов и британская NHS потратила миллионы на разработку приложения, которое оглушительно провалилось просто потому, что доступ к BLE в телефоне ограничен по соображениям приватности.

Вернемся к документам. Чтобы телефон работал документом, нужно привязать вас к документу, а документ к телефону. Как и электронном паспорте, данные подписаны цифровой подписью (пассивная аутентификация используется для подтверждения целостности), а чтобы документ нельзя было клонировать в самом документе должен быть еще один ключ, который связывает набор данных и физический носитель (это называется активная аутентификация), и наконец фотография подтверждает, что вы - владелец документа.

То что диевые называют "паспортом в телефоне" - это вобще не документ, а выписка из реестра. Дию можно сравнить с посадочным талоном, все данные находятся у авиакомпании, и там это работает, потому что проверка проводится в тщательно охраняемом и контролируемом здании аэропорта, а не на мутном сервере непонятно где. Обо всем этом можно почитать в черновой редакции стандарта ISO 18013-5, разработкой которого занимаются технологические альянсы куда входят монстры вроде Infineon и JP Morgan. Почему-то не вижу в списке учаснтников ДП "Дія" со своим революционным поделием.

При этом первейшая задача, которая рассматривается в стандарте, как сделать документ не отслеживаемым, чтобы он работал без Интернета, а Google еще думает, как сделать его так, чтобы телефон работал документом при разряженной батарее (все это естественно требует аппаратной поддержки, приложений заряжающих батарею еще не придумали).

Дия же напротив сразу связывает телефон, email и IP с паспортными данными. Телефон с установленной Дией или Дий.Вдома ничем не отличается от мобильного маячка для гео-зонирования, который полиция цепляет на ногу. То есть когда мусора пытаются продавить SIM-ки по паспорту или отслеживать пользователей по IP на сайтах вы возмущаетесь, и возмущаетесь правильно. А тут вам предлагают добровольно прицепить себе браслет на ногу и вы радуетесь как дети. Ура, ура, мы первые в мире! Конечно первые, даже в Китае такого нет.

Технические проблемы, это даже не середина. Еще сложнее документы выпускать (issue) и выдавать (provisioning), для этого сейчас готовится еще один стандарт ISO 23220-3. Когда вы получаете обычный документ, вы делаете это лично. И если что-то пошло не так, то всегда можно будет найти тот ЦНАП, где документ был выдан и кого-нибудь из сотрудников посадить. Или вас за подделку документов. Но кто-то должен сесть. Это называется ответственность. Ради этого-то все и затевалось. Чтобы документам можно было доверять.

Так как "Дия не хранит данные" (что прямая ложь), то идентификацию они перекидывают на банки. Но функции банка сильно ограничены, банк рискует только заранее известной суммой денег, потому там используются пароли и СМС-ки. Для документов этого недостаточно, о чем прямо написано в стандарте (для банков по-хорошему тоже, но там еще есть службы безопасности, оценки рисков и возможные потери от мошенничества уже заложены в стоимость услуг). У Дии уже есть "кредит Людмилы" и "подпись Байдена", и это только самое начало, потому что сама архитектура broken by design, если конечно хипстерские рисунки на салфетках и видосики можно назвать "архитектурой".
Forwarded from RUH8
Вся диевая дендро-фекальная конструкция: не выполняет свои основные функции, размывает доверие и ответственность, недокументирована и ни с чем не совместима. Не говоря уже о том, что министерство вместо того, чтобы трансформировать народное хозяйство, просто перенимает на себя функции других министерств.

Сейчас появились сертификаты вакцинации, хорошая штука (правила есть правила, не нравится, не ездите в ЕС). Есть eHealth (косой, кривой но уже есть). Дия-то тут причем? Проблемы с PKI ICAO? Так я могу подсказать где взять такой PKI. Загранпаспорта и внутренние ID-карты работают именно так. То есть что можно было сделать? Отказаться от чудес отечественной криптографии и начать пользоваться RSA/ECC, как и весь остальной мир (передовую науку можно оставить внутри гос. сектора, на подобие NSA Suite A). Прикрутить PKI к eHealth, где уже собраны необходимые данные и спокойно получать те самые сертификаты хоть в бумажном виде, хоть в цифровом. То что хочет сделать МЦТ - замкнуть все информационные потоки на себя, и построить мега-реестр, цифровой украинский гуглаг наподобие китайского. И так чтобы отвественных за неизбежные злоупотребления и ошибки нельзя было найти и привлечь к отвественности.

Так что там права в смартфоне, и тут права в смартфоне, но разница такая же, как между прототипом настоящего самолета и соломенным алтарем с тушонкой.
Упала «Дія». При этом вылогинила всех и ПОЧИСТИЛА все локальные данные и документы.

Насколько нужно быть тупым чтобы спроектировать систему которая удаляет локальный COVID-сертификат при возникновении проблем на удаленном сервере?

В общем цирковая трансформация в дие.
Forwarded from DC8044 F33d
При попытке проверить страховой полис в МТСБУ (моторно-транспортном страховом бюро Украины) вываливается такое. Поговаривают, что до сих пор не восстановились после атаки. Судя по всему, базы нет (уже или еще). А если базы нет, то ее снесли. А если ее смогли снести, то смогли и спиздить. В общем, дело дрянь.
UPD: добавим, что это самая главная база полисов авто, которая содержит всю информацию по всем страховым полисам автомобилей в Украине за всю историю. ФИО владельцев, телефоны, госномера, даты регистрации авто, VIN-коды, в общем все, что вы можете себе только представить.
😵‍💫Напоминаю. Это министр цифровой трансформации и папа Дії. Выводов не будет.
Forwarded from RUH8
Вчера пытался объяснить журналисту далекому от кибер, что не так с системой "кибербезопасности". Хорошо, что хоть опыт с пост-советскими странами есть, иначе некотоые местные обычаи необъяснимы. Предположим, что собрались все объекты и субъекты кибербезопасности на одном корабле и он чудом не пошел на дно в тот же момент, что мы от них услышим? Министерсто скажет, что не может себе позолить собстенную IT-инфраструктуру (то фигня, что компьютеры нужны для того, чтобы удешевлять процессы, а не удорожать их, и что тоже самое министерсто может поддерживать тысячи оффлайновых объектов), и они практикуют частно-государстенное партнерство, что вроде бы не плохо. Частная фирма скажет, что то, что у них заказали, то они и сделали. Вот договора и акты выполненных работ. Госпредприятия скажут, что действуют исключительно в рамках действующего законодательства и соблюдают нормативы. Центры кибербезопасности скажут, что они активность мониторят и предупреждения рассылают, вот тысяча исходящих писем. Киберполиция скажет, что производство открыто и работа кипит. Контрразведка, что достоверных данных нет, но это без сомнения российская федерация. Совет безопасности - вот доктрина, мы советовали. Парламент - вот законы. Где-то на периферии слышны накокаиненные визги Выскуба о том, что это была не Дия, и бубнение Федорова о том, что оный продукт якобы не хранит данные. Ага, ага, а потом происходит "дискредитація усіх надбань у галузі цифрової трансформації нашої держави". И остается один очень простой вопрос. Кто, блядь, за все это отвечает? Who is in charge, суки? И тишина.
Forwarded from RUH8
Мне кажется, или пора начинать беспокоиться?
(Шесть часов назад неизвестные выложили на RaidForums данные из (предположительно) Дии, которая (предположительно) ничего не хранит. Около дадцати гигабайт архивов) Хотелось бы услышать какой-нибудь утешительный комментарий на этот счет. Я действительно не знаю откуда данные, не могу проверить. Но их много. И они очень похожи на настоящие.
Анонімуси ломанули Міноборони РФ і виклали базу даних по співробітникам
Вчерашняя ночь прошла как-то так.
This media is not supported in your browser
VIEW IN TELEGRAM
У Сумах триває бій в районі кадетського корпусу та аграрного університету. Зайнялася пожежа.
Но были и хорошие новости.
Forwarded from FEDOROV
Звернувся до СЕО компанії Apple, Тіма Кука, заблокувати для громадян РФ Apple Store, підтримати пакет санкцій уряду США, забронити завантажувати свої продукти в маркети! Дозволяєте обирати собі президентом вбивцю, тоді доведеться насолоджуватися сайтом росія 24.