ООО «Миранда» Черный список Украины

ООО «Миранда» — выйграла тендер на разработку програмного обеспечения по декларированию. Сейчас стартовала кампания по явному давлению на запуск приняте системы в ущербном виде.

Ниже приложу пост с разъяснениями о происходящем.

И просьба, ребята не делайте говнокод — даже если вас об этом просит заказчик!

Это как с гречкой на выборах — береш пакет гречки, а платишь своим будущим...

А главное — не работайте с теми кто делает говнокод, тем более в такой важной для Украины теме...

Олеся Яхно-Белковская
45 мин. ·

О проблеме старта электронного декларирования
Решение любой проблемы начинается с понимания ее причин. Понимание причин, в свою очередь, позволяет исправить те или иные позиции, а не скатываться к поверхностным оценкам или что еще хуже — к старой привычке объяснять все происходящее в логике «зрад и перемог».

Запуск электронного декларирования действительно является важным нововведением для Украины. Не только с точки зрения безвизового режима или привязки к траншу МВФ, но прежде всего — с точки зрения практики, снижающей политическую коррупцию в стране уже на стадии мотивации (зачем идти в политику с коррупционными целями, если все прозрачно) и, соответственно, работающей на взросление и ответственность украинского политического класса. Исходя из этого, тем более необходимо указать на реальные причины проблем со стартом этой нормы 15 августа, как это предполагается.

На мой взгляд, они следующие.

Во-первых, политических препятствий нет — есть препятствия техничегого характера. Хочу напомнить, что президент создал политические и юридические условия для старта системы электронного декларирования (имею в виду активное участие президента как субъекта законодательной инициативы и совместную работу с представителями гражданского общества и европейскими экспертами в разработке закона). Да, мы помним, с какого раза парламент проголосовал за эту норму. И, тем не менее, в итоге закон был принят и подписан.

Во-вторых, задержка со стартом носит сугубо технический характер, связанный с некачественным программным обеспечением, разработанным частной компанией, и незащищенностью системы декларирования от внешнего вмешательства. Руководство НАЗК признало, что качество программного обеспечения таково, что систему может взломать любой среднестатистический хакер. С таким качеством электронные декларации не могут быть правовым документом, и превращаются где-то в компьютерную игру.

В-третьих, полноценный старт системы возможен только в том случае, если разработчики софта как можно скорее устранят недостатки, являющиеся препятствием для сертификации. Разработчик, ООО «Миранда», занял деструктивную позицию, и не идет на устранение недостатков. И пока фактическим владельцем программы является частная структура, она не передала НАЗК ни ключи, ни коды. То есть, эта частная структура некачественно выполнила роботу, и, по сути, срывает старт процесса.

В-четвертых, общественные организации и активисты, которые нередко вполне справедливо критикуют власть, по идее, должны были в этой ситуации проявить объективность, и непредвзято оценить работу разработчиков софта, требовать от них немедленного устранения недостатков. Вместо этого — в данном случае действуют, скорее, исходя из принципа корпоративной солидарности.

В-пятых, нарушения со стороны разработчиков софта содержат признаки саботажа борьбы с коррупцией, и должны стать предметом расследования правоохранительных органов.

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn

Найкращі коментарі пропустити

Сперва, вот вам краткий обзор по отечественной проблематике систем защиты информации для тех, кто (поверьте — к вашему же счастью и душевному спокойствию) не имел практического опыта их создания и атестации согласно нашего дивного законодательства.
КСЗИ — stands for Комплексная система защиты информации. Подразумевает комплекс организационных и технических мероприятий, обеспечивающий реализацию определенной технологии обработки информации. Огрубляя для простоты — некоторое количество коробок документов с описаниями того, как обеспечить целостность, доступность, конфиденциальность информации, обрабатываемой в этих ваших инторнетах.
Порядок создания описан в НД ТЗІ 3.7-003-2005 dstszi.kmu.gov.ua/...atalog/document?id=106350. Чисто ради интереса читать его бессмысленно и даже опасно для вашего душевного здоровья. Так что, вот вам спойлер — создается Техническое Задание (ТЗ), согласовуется с Госспецсвязью, согласно ТЗ разрабатывается проект КСЗИ, реализуется, далее созданное КСЗИ всячески анализируется разработчиком и персоналом заказчика на предмет его соответствию ТЗ и попутно допиливается. И когда все стороны этого увлекательного процесса вроде бы согласны, что нужный результат достигнут — остается убедить государство в лице Госспецвязи в том, что если что-либо с информацией и случится, то их — Госспецсвязь — за это не накажут. Можно, впрочем и не убеждать, что правда входит в противоречие с Законом Украины “Про захист інформації в інформаційно-телекомунікаційних системах” zakon5.rada.gov.ua/laws/show/80/94-вр.
Процесс убеждения Госспецсвязи, при удачном раскладе, состоит из двух этапов — Экспертиза и Атестация. При неудачном — экспертизу прийдётся перездавать неоднократно. Отказ же в атестации при полноценной экспертизе — ну просто реальный epic fail.
Экспертизу организовывает заказчик КСЗИ согласно “Положення про державну експертизу в сфері технічного захисту інформації” zakon4.rada.gov.ua/laws/show/z0820-07. Выполняется экспертиза сторонним подрядчиком из числа тех, у кого есть лицензия Госспецсвязи на оценку защищенности информации. Необходимость наличия такой лицензии — требование Закона Украины “Про ліцензування видів господарської діяльності” zakon4.rada.gov.ua/laws/show/222-19 и постановления КМУ “Про ліцензування видів господарської діяльності” zakon4.rada.gov.ua/laws/show/222-19. Выбор исполнителя экспертизы согласовывается с Госспецсвязью.
Счастливчик, определенный экспертом, потрошит коробки с документацией на КСЗИ, изучает, пишет методику её тестирования, согласовывает с Госспецсвязью, проводит согласно методики экспертные исследования КСЗИ, пишет заключение и, если оно таки положительное — отправляет КСЗИ на Атестацию в Госспецсвязь.
Госспецсвязь собирает комиссию и та проверяет заключение эксперта на синтаксические и орфографические ошибки, сверяет соответствие списка документов в коробках с описанием новосозданной КСЗИ требованиям вороха методичек и отправляет кого-нить помоложе распечатать и заламинировать Атестат соответствия.
Всю эту стройную последовательность множим на объём производимой в процессе бумаги в метрах кубических, добавляем издержки на режимно-секретные ритуалы и пересылку непрозрачных, прошитых суровыми нитками, пакетов туда и обратно курьером — и на выходе получаем средне-статистическую Экспертизу+Атестацию длиной от пары недель до многих месяцев.

Теперь, кратко, почему КСЗИ секретится (а для систем без гос. тайны — служебится — присвоением грифа ДСК). Описательная часть КСЗИ содержит детальные сведения о всем комплексе защиты — от персонала, до технических средств. По модели угроз, плану защиты, структуре службы защиты и прочим документам КСЗИ очень удобно подыскивать способ как взломать это всё попроще либо, например, к кому лучше всего незаметно подкатить с деньгами или паяльником. Примерьте пункты 1, 2 и 3 части 2 статьи 6 Закона Украины “Про доступ до публічної інформації” zakon3.rada.gov.ua/laws/show/2939-17 на бенефиты доступа общественности к коробкам с кучей узкоспециальной хуеты в сравнении с потенциальным импактом от доступа к ней же недружелюбных пидарасов из какой-нить Федеральной Службы Баночек, и одной теорией заговора Госспецсвязи против прогрессивной общественности, надеюсь, станет меньше. По той же причине служебятся Экспертные и Атестационные заключения — причем в особенности это касается отказов, так как в них фактически содержится перечень брешей в безопасности КСЗИ.

Не менее коротко — о результатах стороннего тестирования функционированя реестра специалистами TestLab2 и PricewaterhouseCoopers. То, что его провели — позитивный сигнал и, значит, есть шанс что Реестр не свалится под нагрузкой и, может быть даже его не сломают сильные или раздавят тяжелые программисты. К экспертизе же либо атестации КСЗИ данные тестирования не относятся по определению, так как без лицензии Госспецсвязи любая оценка не будет экспертной в терминах действующего законодательства.

Теперь к хронологии драмы с НАЗК, Мирандой, Госспецсвязью, Порошенко, Турчиновым и прочими доброжелателями.
Проследовав к набросу Сергея Сидоренко “Хто зірвав електронне декларування статків: хронологія та документи” в “Европейской правде” www.eurointegration.com.ua/...icles/2016/08/14/7053339 вы сможете приоткрыть завесу тайны над тем, как же происходила реализация этого, без какой либо иронии, чрезвычайно важного Государственного проекта.
Пройдемся по ссылкам на документы из фельетона господина Сидоренко и посортируем даты & события.
2015-12-02 ПРООН заключает договор с Мирандой
2015-12-10 Сдан результат № 1 (СУБД с тестовыми данными, поисковик, публичный API)
2015-12-11 Заседание № 1 группы контроля за качеством (результат № 1)
2016-01-20 Сдан результат № 2 (публичный сайт, АРМ сотрудников НАЗК, формы ввода, средства аутентификации)
2016-02-02 Заседание № 2 группы контроля за качеством (результат № 2)
2016-02-29 Заседание № 3 группы контроля за качеством (результат № 2)
2016-02-29 Сдан результат № 3 (документация, справочная информация, рекламки, буклетики и прочая)
2016-05-10 Заседание № 4 группы контроля за качеством (результат № 3)
2016-07-01 Письмо НАЗК в Госспецсвязь — согласование графика создания КСЗИ ?
2016-07-05 Согласование графика создания КСЗИ Госспецсвязью
2016-07-22 Приемные испытания результатов 1, 2 и 3 комиссией НАЗК
2016-07-25 Принятие выводов по результатам приемных испытаний результатов 1, 2 и 3 комиссией НАЗК
2016-07-27 Передача результатов 1, 2 и 3 НАЗК
2016-07-28 НАЗК просит Госспецсвязь согласовать ТОВ “Криптософт” в качестве эксперта по КСЗИ (как окажется в последствии то же ТОВ участвовало в работах по созданию КСЗИ и потому не может проверять свою же работу)
2016-08-02 НАЗК, по настоянию Госспецсвязи, определяет экспертом ГЦ киберзащиты, и принимает решение о проведении экспертизы КСЗИ
2016-08-03 Госспецсвязь согласовывает ТЗ на КСЗИ
2016-08-05 КСЗИ проходит предварительные испытания
2016-08-08 НАЗК передало КСЗИ на экспертизу
2016-08-10 Программный код и документация получены для экспертизы Госспецсвязью
2016-08-11 Госспецсвязь ведут на 2х-часовую экскурсию по объекту без возможности жать на педали
2016-08-12 Экспертный совет Госспецсвязи отказывает в атестации КСЗИ
2016-08-13 Торжественное вручение НАЗК отказа в атестации

Первый очевидный, и, пожалуй, самый главный проеб — НАЗК должен был умолять Госспецсвязь согласовать им хоть какую-нибудь экспертную организацию ещё в феврале месяце.
Второе, что бросается в глаза — это обилие событий с 29 февраля по 1 июля. Целых 4 месяца работы над нихуя!? С перерывом на выездное заседание, разумеется. Ну, если, конечно, поверить в то, что последний из 3х результатов 1го этапа был таки передан в ПРООН 29 февраля, а не спешно допиливался вплоть до конца июля.
Последнее — на экспертизу и атестацию ГЦ киберзащиты и Госспецсвязи было щедро отвешено целых 5 дней — с 8 по 12 августа включительно. И это при условии безотлагательного изобретения моментальной телепортации бумаги. Для представления об объеме работ для экспертов можно насладиться фоткой тех самых коробок на fb НАЗК www.facebook.com/.../1112586892134567/?type=3
На fb ленте Юрия Новикова из Миранды можно найти коммент Mykola Kulieshov с оценкой объема документации на КСЗИ — “более 1500 стр.” www.facebook.com/...mment_tracking={"tn":"R“
Тоесть, за 4 дня ГЦ киберзащиты нужно было составить целостное мнение о созданной КСЗИ, создать методику экспертных испытаний её частями и целиком, согласовать, провести испытания, заполнить протоколы, написать экспертное заключение, чтобы 12 августа Госспецсвязь могла с чистой душой воспользоваться ламинатором. Странно что прогрессивная общественность, и особенно домохозяйки, удивились, что чуда не случилось и, то что ГЦ киберзащиты в судорогах родило за 4 дня атестацию не прошло.
На этом месте правдолюбы и просто внимательные к деталям граждане, вероятно, возмутятся тем, что Госспецсвязь же подписало календарный план и обязалось провести атестацию 12 августа!
Так вот — Госспецсвязь пообещало провести Атестацию КСЗИ — и провело. Правда ровно с тем же победным результатом, что провел экспертизу выбранный изначально НАЗК 28 июля в качестве эксперта ТОВ “Криптософт”.
Печально, конечно, что результат оказался неудовлетворительным, но кто ж мешал НАЗК согласовать Эксперта заранее, месяца эдак за 4-5 ?

Last but not least — какая связь Порошенко и Турчинова с КСЗИ реестра НАЗК ?
Отвечу откровенно — хуй его знает. Но в набросе от Сидоренко все было так интригующе и детективно, что меня до сих пор мучает мысль — держались ли они за руки, когда стояли за спиной у НАЗК и Госспецсвязи.

И да, хохмы ради, загляните на страницу 8 “Рішення про затвердження висновку приймальних випробувань програмного забезпечення системи електронного декларування України” www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf.
Согласно расписанию реализации проекта, задания 1, 2 и 3 должны были быть выполнены подрядчиком до 2015-12-30. Дополнительные же 2 задания (которые, кстати, выполнены небыли) по связи с внешними реестрами — до 2016-07-30.

Расскажу подробнее, о том как в странах третьего мира работают известные организации. Про откаты которые давали Интел думаю слышали.
А вот что за пивом, на семинаре Тасиса ответил консалтер из известной британской фирмы на вопрос
— а вот скажите, почему все таки после тшательных предпроектных обследований происходят провалы проектов.
— ну, давайте я вам расскажу байку, которой конечно не было, и не со мной...

Есть африканская страна. В рамках помощи развитию выигрывает тендер консалтинговая компания. Специализирующаяся в проектах по разработке полезных ископаемых. Ей ставят задачу — ответить на вопрос — рентабельно ли будет хоть что из того что есть добывать.
Несколько месяцев большая группа колесит по стране, анализирует. Аналитики в офисе тоже трудятся. Черновой вариант подается правительству этой страны, потому что контракт с ним. А в нем грусть — в силу таких причин нерентабельно добывать то. В силу вот таких,это. Морпорты далеко, дорог нет, содержание в руде потребует электроэнергии, воды, ... которых нет. И т.п

Правительство читает, и говорит.
— вот у нас переписка с фондом оон по. А вот с инвест ассоциацией. А вот внепротокольные разговоры с министром экономики из, премьером Х
И видите, нам готовы дать денег, надолго, под приятные ставки, но просят план развития хоть какой-то отрасли, подтвержденный авторитетной аналитической компанией.
У нас кроме ископаемых идей нет.
И, если вы покажете этот отчет — мы вам не заплатим. Судитесь, нам терять нечего, денег и перспектив у нас все равно нет.
А если вы покажете что можно что-то добывать нам дадут деньги. И мы вам еще и премиальные выплатим. И будем и другие компании приглашать. И им тоже будем платить. А через 10 лет, на которые рассчитаны план — кто знает что будет.
....
Поэтому когда вам говорят, что какая-то авторитетная организация, компания, сделала позитивное заключение о проекте в стране третьего мира, вспоминаете эту байку, когда через 10 лет тот проект окажется пшиком

Вернулся я в этот трид потешить свое тщеславие подсчетом лайков под настеленными мной простыням, и что же я вижу — о ужас — вновь Правда В Интернете апасности и кто как не я встанет на её защиту.

Сей псто посвящается адептам теории саботажа Госспецсвязью внедрения антикоррупционного реестра и Кассиопее — моей черной и глупой кошке.

В комментах неоднократно по делу и всуе было упомянуты CSRF, SSL и другие модные и не очень аббревиатуры, успешно защищающие сайты, сайтики и сайтищи по всему миру и точно, наверное, может быть, наверняка внедренные разработчиком Реестра дабы обезопасить творение рук своих от взлома с проникновением и без оного. У новорожденного Реестра есть вот это вот все на днях ещё и многократно усиленное шифровальной машиной, внезапно купленной НАЗК. И ренегатам из Госспецсвязи всего-то оставалось проверить, открывается ли сайт через https:// в IE какой там у них, старичков-дурачков, есть версии, дампануть заголовки на предмет левых хидеров, пейлоады на иньекции, покрутить педали Энигмы и, вуаля — победа, бежим ламинировать Атестат! Но подлые саботажники из Госспецсвязи отказались идти в типографию наотрез и даже навала всех сортов говна в СМИ, сам Президент, Премьер и укоризненно качающий головою Пастор им не помеха.

И вправду, ведь все перечисленные и не очень технологии, приемы и алгоритмы спасут реестр от того, чтобы его поломали любым из следующих перечисленных и ещё 1001 неперечисленных методов, доступных любому мотивированному обывателю:
— снять ключи/явки/пароли с вышедшего из строя диска, выброшенного на помойку
— спиздить в метро рюкзак с ноутбуком админа ради пароля на офисный вайфай или брутфорснуть его, заглянув невзначай в офис «чиста посмортеть»
— развести секретаршу вставить в комп начальника флешку, для смищной 1апрельской шутки, которая установит ему на десктоп фотку Черного властелина, ну и прицепит кейлоггер заодно
— подружиться и свозить админа на шашлыки, а вместо этого устроить ему шантаж, угрозы и сеанс терморектальной криптографии

С выходом на сцену иностранных разведок и отделов по безопасности крупных ФПГ спектр доступных приемов внезапно расширяется в разы, и уже всяческие MITM, −1day эксплоиты, чтение нажатий педалей с эфира и прочие штучки из импортных боевиков вдруг совершенно теряют свой волшебный кинематографический флёр проникая в реальность. Не говоря уж о рутинной для северян пенетрации заборов, понастроенных интелектуалами с учетками на mail.ru, rambler, вкантактике и одноглазиках.

Та самая КСЗИ, что притащили на чудесный гибрид экспертизы с атестацией в Госспецсвязь 8 апреля, должна была включать в себя не только упоминание всяких разных там аббревиатур, а подтверждение грамотного их применения/реализации, меры противодействия вот этому вот всему упомянутому мной и нет в комплексе (кроме, пожалуй, защиты педалей) и много чего ещё, включая защиту от стихийных бедствий в виде отпусков ключевых специалистов, проебанных бэкапов, плохих дорог и дураков. То, что подразумевает под Защитой Информации некоторая, надеюсь не слишком многочисленная, часть уважаемой аудитории, есть всего лишь ЗИ, и до КСЗИ ей категорически нехватает К — комплексности и С — Системности.

Позволю себе ещё раз процитировать себя и учебник:
КСЗИ это комплекс организационных и технических мероприятий, обеспечивающий реализацию определенной технологии обработки информации (впрочем, кажыся, там ещё было чё-то про целостный и непрерывную, ну да и фик с ним, зачем же нам усложнять такие простые вещи).

Экспертиза КСЗИ это сложный, многоэтапный, рутинный процесс, а не ветхозаветная формальность. И атестацию проводит комиссия экспертов, а не подмахивает глава Службы или его зам, потому что эксперты они в различных узкопрофильных областях, а не только для количества чтоб размазать ответственность на всех.

Те, кто в условиях тотальной огласки скандала топят, что мол, давайте — подмахните же скорее этот ебучий атестат, а потом разберемся — чутка забывают, что в отличие от госслужащих НАСК или гражданских ПРООН и Миранды, чуваки из Госспецсвязи есть служащие военизированной организации, и чуть что ими займется не ласковый и самый справедливый на печерске Печерский же суд, а военные прокуратура и трибунал.

И не забывайте в конце концов — вы вините электриков за отказ включить рубильник метафорического завода из поста нижее, тогда как исходная проблема старательно взращивалась шабашниками, прорабом и сильрадой.

От этого сайтика прям с первой же секунды несет государственным рукожопием. Тут надо или делать заказ в забугороной компании, а разрабатывать будут все те же наши программисты, и/или отдать в опенсорс, возможно с призовым фондом для важных коммитов каждый месяц, как то так :).

Ну и надеюсь у них будет распределенные серверные кластеры, далеко забугром- что попало в систему выпиленным быть не может, а не «у нас техничка ведро перекинула на наш сервер» все декларации Ахметова где то пропали:)

Как оказалось, антология зрады с Реестром в моей ранней телеге оказалась распедаленной не полностью, и оставшиеся белые пятна продолжают бередить умы твёрдо знающих что следует делать, но всё ещё не решивших с кем.
Определенно, кто-то же должен быть колесован и усажен на кол за дурно пахнущее коричневое пятно на белоснежном белье репутации Государства. Но кто же этот счастливчик ?

Разберем, упущенные мной ранее аргументы сторон.

Учитывая самоотверженные усилия, предпринятые для перевода всех стрелок на себя, предоставим первое слово разрабам.

Q: Госспецсвязь засекретила претензии, исправить замечания невозможно.
A: У “Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію” zakon5.rada.gov.ua/laws/show/1893-98-п на сей счет совершенно другое мнение — желающие в этом убедиться читают п. 37. Также, при должном подходе, п. 39 той же инструкции не возбранял разрабам даже обзавестись собственной копией, хотя это и заняло бы некоторое время.

Q: Госспесцсвязь могла бы и выдать уже этот атестат чтобы все успокоились.
A: Могла бы и может быть даже и выдала бы, если б со 2го августа не начались жырные набросы на вентилятор отдельными лицами от НАСК и Миранды. Как только сие стало достянием гласности, и уже тем более с момента захвата инициативы с позволения сказать “прессой” и вовлечения в набросы фамилий Порошенко, Турчинова и Гройсмана, постановка вопроса о возбуждении шумного и очень криминального дела стала неизбежной.
В таких условиях, чтобы не стать крайним, люди с наличием хотя бы зачатков интелекта и чувства самосохранения постарались бы затаиться, не делать резких телодвижений и педантично следовали бы нормам законодательства. С этой точки зрения формализм Госспецсвязи и стоическое спокойствие НАЗК удивления не вызывает. И то, что комиссия экспертов Госспецсвязи в условиях давления со стороны НАЗК, разрабов, пристального внимания политикума, отечественной и зарубежной общественности отказала в атестации — значит, что с переданными им на атестацию материалами все было очень и очень печально, и тихой заменой отдельных листов в коробках отделаться было уже невозможно.

Теперь один из аргументов Госспецсвязи.

Q: Программное обеспечение реализовано не полностью.
A: Благодаря творчеству Сергея Сидоренко из УП достоянием гласности стали некоторые документы, согласно которых поставленных задач было таки не 3, а 5, из коих последние 2 должны были быть завершены и сданы ПРООН не позднее 30 июля. При этом фамилия 4й задачи — “Розробка приватного API, перевірка підсистеми (модуль верифікації), інтеграція з зовнішніми реєстрами”.
Юрий Новиков из Миранды топит за то, что невозможность включиться в другие реестры — исключительная вина НАЗК, в оправдание чего даже опубликовал в своем fb письмо от НАЗК www.facebook.com/....119534.1066464109&type=3.
Окей, давайте из названия 4й задачи вычтем интеграцию с внешними реестрами. Остались “Розробка приватного API, перевірка підсистеми (модуль верифікації)” — и где же они ?

Ну и, наконец, НАЗК.

Q: Национальным агенством разработаны утверждены все решения, необходимые для запуска системы электронного декларирования.
A: Статья 8 Закона Украины “Про захист інформації в інформаційно-телекомунікаційних системах” zakon3.rada.gov.ua/laws/show/80/94-вр с удивлением смотрит на статью 11.

С момента начала раскручивания скандала всё указывало на патологическую некомпетентность кого-то из НАЗК, ответственного за внедрение Реестра. Однако, ценой неимоверных усилий, блоггеры из Миранды переключили таки весь фокус внимания на себя. В качестве целиком заслуженного ими приза вангую показательную порку и мучительную смерть этого некогда одного из старейших предприятий отечественной порно ИТ индустрии.

Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Вот хоть перемога! В Украине побороли коррупцию, коррупционеров нет, сажать некого.
Еще чуть чуть поднажать и скоро вы сможете про меня написать в топике про вернувшихся из эльфии.

А що ви хотіли. Фактично задосили деклараціями. забов’язали декларуватись всіх-всіх, хто хоч
якось дотичний до дежслужбовців.

Нацполиция и ГФС обыскивают офис компании «Миранда», которая разрабатывала ПО для системы электронного декларирования.

zn.ua/...​anii-miranda-249861_.html

Развешивание макаронных изделий на слуховые органы доверчивых читателей — таки очень интеллектуальное занятие, требующее от исполнителя высокой степени аккуратности и точности.
После того, как прочитал тут internetua.com/...​ergaet-obvineniya-lucenko
фразу «прочитали почти 2000 страниц документации и больше 600 тысяч страниц кода», задумался, как можно НАПИСАТЬ даже за 6-7 месяцев 600 тысяч страниц кода? (Страниц, не строк!!!!) Коллективом разработчиков около 10 человек. Или считается весь код, начиная с кода использованной операционной системы? А 2000 страниц документации — кто и когда успел написать?
После таких заявлений оборот «Сколько и какие компании принимали участие в торгах, мне неизвестно. Информация для участников торгов является закрытой.» уже даже не удивляет. Процедура открытых торгов предусматривает открытое-же объявление победителя.
На кого рассчитаны эти фразы?

Господин Новиков сюда как-то захаживал. У любопытных был шанс составить о нем свое мнение по содержанию и манере общения.

Статья же сама по себе — просто явка с повинной о мошенничестве слегка разбавленная ложью и ахинеей, если, конечно ПРООН письменно не согласовал им субподряд Apolineja OÜ, специализирующейся на Non-specialised wholesale trade и Organising conventions and trade shows

Btw, это многостраничное и охулиардстрочное все Миранда передала ПРООН ещё 29 февраля 2016, после чего пара взялась за руки и пол-года ждала августа, чтобы проснуться и внезапно начать пытаться замутить экспертизу.

И впрямь, на кого это расчитано ?

З огляду на все, що виявилося з серпня 2016 року, я тим бамажкам ВАЩЕ ні вірю. І взагалі нічому, що писали тоді на тому сайті :)

Тим не менш хронологія подій а також ці бамажкі легко пояснюються тим, що данський грант був траншевим. І транш 2016 був би заблокований до тих пір, поки ПРООН не відзвітував би про «освоєння» $200K+ траншу 2015. Тому й прийняли «на папері» все, що тілько можна, 29 лютого, а Держспецзв’язок покликали лише на прикінці липня, бо до того демонструвати не було чого, а серпневий піздець був надто близько й далі тянути було вже нікуди.

Зважаючи на фаховий рівень Міранди — подєліє вийшло на таксобі, КСЗІ нішмаглі, тому стали ліпити крайньою Державу взагалі й Держспецзв’язок зокрема. Тим більше, що транш на 2016 р був понад $1.5M і бабла на адвокацію гімна було овердосхочу.

На виході — Державі — суцільні фінансові й репутаційні збитки, НАЗК — паралізовано й перетворено на посміховисько, суспільство — поляризовано на прагматиків та адептів різноманітних conspiracy, Міранді — піздець, данське бабло — попиляно, антикорупціонери — в білому, всі інші — підараси, реєстр — з гівна й палок викинули всі палки й додали гівна.

Так і живем.

Унижено признаюсь в том, что я был не прав, обвиняя «Миранду» в говнокодинге е-каталога деклараций — это все не их State of Art, а «Аполинеи».
Прастити если сможети.

А все кто не понимает что это мошенничество приглашаю внимательно прочитать разделы V-VI пресловутого RFP от ПРООН.

Продолжение не заставили себя ждать.
www.facenews.ua/news/2017/361815

А от тепер питання. Якщо почитати навіть просто тут то стає очевидним факт, що Міранда виглядала дуже підозріло з самого початку, просто по зовнішнім ознакам. Чому у ЗАМОВНИКІВ не виникло підозр у шахрайстві?

Я тя прошу... Якщо навіть на цьому форумі купа народу те г... відмивала, то що хотіти від замовників? Резюме прочитали, хтось зсередини порадив і всьо

Ну ця купа народу не платила гроші. Тутешня куап народу не має досвіду або навіть здорового глузду для проведення тендеру, конкурсу. А там буцім профі в ПРООН, нє?

Тут в мене підігнали деталі про ролі КПІ тут і навіть дисер Новікова є www.facebook.com/...​1/posts/10154570898788148

Ааааааааааааа!!!!!!

Откройте шахматки из поста по ссылке.
НАЗК выполнил целых 0 проверок деклараций за период с сентября 2016 по март 2017.

Ноль проверенных из уже более чем миллиона деклараций за восемь месяцев.

Досужий пиздежь руководства НАЗК с голубых экранов о том, что якобы проверено более 3000 деклараций — не более чем манипуляция ушлых пиздаболов, рассчитанная на доверчивого среднестатистического обывателя. За этим умалчивается, что за 8 месяцев по упрощенной схеме проверили 3000 претендентов на должности в госслужбе. Ключевое здесь — претенденты. 3 блять тысячи соискателей из уже 38615. НАЗК не только собственную работу просрал. Он к тому же блокирует кадровые конкурсы на госслужбу отсутствующими результатами спецпроверок.

Переданная же в суды дюжина административных дел, о которых со скромной гордостью повествовал журналистам Радецкий — дела о квартирах Залищук, Лещенко и ещё десяток заяв о не вовремя поданных декларациях. За 8 месяцев проверено то ли 14, то ли 25 деклараций — все на предмет своевременности их подачи.

Это неимоверный и ошеломительный успех!

Кто-то там в телебакере обещал вам забороть НАЗК’ом коррупцию ? Так вот хуй вам, а на сдачу ещё и никому неподконтрольный тормозок на пути обновления кадрового состава госслужбы.

Однако не только и не столько руководители НАЗК являются творцами сего победного результата. Этот успех в виде 0 хуй десятых проверенных деклараций был бы невозможен без Лещенко, Наема, Соболева, Шабунина, Бумажного Унитаза, «СМИ» и многочисленной паствы секты свидетелей антикоррупции, своим августовским шантажом безвиза целой страны впихнувшие Государству е-каталог деклараций, бережно собранный ПРООН и Мирандой из говна и палок.

Это работу именно этого неимоверно продуктивного НАЗК в августе 2016 якобы блокировали Госспецсвязь, Порошенко и Турчинов ? Это, блять, в страхе именно от этого НАЗК так срались в портки коррупционеры, что, якобы, препятствовали внедрению детища ПРООН и Миранды ?

Кто повелся на камлания про спротив злочинної влади — вас наебали, хотя те, кого вы презрительно называли порохоботами — предупреждали о результате заранее.

Наслаждайтесь.

О чудо! Мы ж об этом писали хер знает когда! Оказывается зп шоколадками дает +100 к аналитическим способностям. ;)

Ну зато у них ФОТ, говорят, очень даже европейский!

Яка ж несподіванка! Хто б міг подумати? :)

Ща нам втолкують, що це вже нє падєлка Міранди, а взагалі інша програма, яку сперше зламав Держспецзв’язок своїм КСЗІ, а потім СБУ перекодило з нуля.

Власник Міранди Yuriy Novikov вже втолковує в коментарях в фейсбуці www.facebook.com/…​yn/posts/1445726528811198 На додачу цікава позиція учасника перфомансу з унітазом Yaroslav Yurchyshyn — держава сама винна що прийняла в експлуатацію.

Не, ну винна ж, 100%!

Корчак терміново треба перечитувати книгу Майкл К. "Эффективная работа с унаследованным кодом" і швиденько закривати проблеми з роботою системи під наватнаженям.
Хоча там ситуація досить заплутана. Здається власник системи є НАЗК проте адмініструє її Держспецзв’язок. Тобто Гройсман відчитував Корчак але логічно булоб і голову Держспецзв’язку'язку пожурити. Теоретично вони могли створити проблеми елементарним недбальством не кажучі вже про саботаж (в чому у них є досвід на прикладі компроментації центру сертифікації).

Не можна так просто дати померти системі за 3 млн. баксів.

Вы в курсе того что нынешний софт не имеет нечего общего к программе ТОВ Миранда?

угу, Шоколад ни в чем не виноват!

Ну это же common knowledge уже, что е-каталог за пару недель августа и сентября переписали с нуля скиловые анонимусы из СБУ и Госспецсвязи.
А программистам ПРООН не смотря ни на что даже удалось написать к этому черному ящику 4й и 5й модули, по досадному недоразумению ранее не выполненные Мирандой.

И вообще Миранда тут не при чем, так как е-каталог писала Apolineja OÜ, специализирующаяся на Agile, Non-specialised wholesale trade и даже Organising conventions and trade shows.
А в вот эти вот все //todo показати, що щось відбувається — coding standard эстонских программистов, принципиально пишущих комментарии по украински.

Тоесть да, мы в курсе. Тем не менее благодарю за ваше беспокойство.

У человпка 2 коммента на ДОУ и оба в этой теме...

Господи, секта досі не заспокоїлася?

Апну тему.
Нещодавно було відкрите кримінальне провадження проти УСС, але не за фальсифікацію цифрового підпису — а за перешкоджання діяльності народного депутата Павла Костенко, який писав зверненя в УСС щоб з’ясувати питання з приводу ключа Рябошапки.
www.facebook.com/...k/posts/10210152467120568

Всем привет,

Недавно выпустил первую версию библиотеки для вычитывания деклараций чиновников: github.com/javadev/nazk-client

Пример запроса декларации по id:

NazkClient client = HttpClient.createDefault();
Map<string, object=""> declaration = client.getDeclaration("043c6b5d-a470-4fb0-bc3b-3332af7fe10e");
System.out.println($.toJson(declaration));

Буду рад новым пользователям.

С уважением, Валентин

Корчак заявила о хакерской атаке против Реестра. На часах — заполночь. Впрочем в Штатах — вторая половина дня. Почему я упомянул США ? Потому, что на картинке мы имеем счастье лицезреть некие 1200 соединений. И адреса из видимой части списка — General Electrics и Level 3 в США.
Целый микротик сообщает о траффике: TX 97.1 kbps, RX 13.8 Mbps
На 1200 узлов это ниразу не SUN flood.
Зато очень похоже на амплификацию. И RX 13.8 Mbps каг-бэ намекает в которую сторону.

Я думаю, что система зависает, когда Порошенко, Тимошенко, Луценко и Яценюк одновременно пытаются заполнить электронную декларацию. Памяти не хватает и пропускной способности канала...

Программа “Наші Гроші” попыталась доступным языком описать ситуацию с декларированием и подделкой сертификата www.youtube.com/watch?v=FIkHvfRq4MY . Передачу недавно демонстрировали на канале 2+2. Есть комментарии от “хакеров” Винника, Геращенко и главы УСС Олийника. Также немного проливают свет на проблемамы с бессперебойным питанием в датацетре УСС во время развертывания системы летом.

Известный "порохобот"-"ыксперт" сереженька факас, который бегает тут, по всему фейсбуку и статьям на тему декларирования ответил бы — «вы все врете». А скорее всего промолчит. Крыть то нечем. Или новой методички еще не выдали :)

Дурналистов комментировать — себя не уважать. За известного спасибо.
А так на мудачные посты отвечать не вижу смысла — все уже видели все еще летом. Сколько бы вы там не врали — гавносистему все видели и обсудили.

Секьюрити с точки зрения обычных людей:

Моя помощница работала над декларацией несколько недель, внесла все, что могла самостоятельно. И сегодня я решила дополнить ту часть, которую знаю только я, и проверить все поля. Но выяснилось, что на моем компьютере все поля пустые. И только на ее компьютере можно вносить дополнения. Или все перезаполнять заново. Кроме того, коллеги говорят, что есть даже привязка к конкретному браузеру

Мыльная опера, серия 287-я. “ПРООН підвела з допрацюванням e-декларування”:
www.pravda.com.ua/news/2016/09/29/7122149
Продолжение следует.

Ну так понятно, если б бюджет Украины дал бы денег на систему, то Корчак их бы попилила. А так не интересно было систему создавать, скучно) В блоге Шабунина на УП много интересных ссылок есть по теме: blogs.pravda.com.ua/...s/shabunin/57ea465c28b58 а также здесь: blogs.pravda.com.ua/...thors/drik/57ec2f31097d2 Радует что депутаты не забывают о как-бы ключе, как-бы Рябошапки. Не как-бы сфальсифицированном ДП УСС

С больной на здоровую? Шабунин рассказывает как они датские деньги распили?

Распили или распилили?)) Требую уточнения)

А як вам такий прикол від НАЗК: www.facebook.com/NAZKgov/?fref=ts Цитата: «Світова практика свідчить про те, що не існує інформаційно-телекомунікаційних систем, які з моменту розроблення та запуску, не потребували б удосконалення чи оновлення. Це завжди пов’язано з низкою різних факторів та обставин, що виникають у процесі їх експлуатації користувачами. Як приклад, операційна система Windows компанії Microsoft з якою працюють мільйони користувачів по всьому світу, випускає оновлення майже щоденно, що аж ніяк не свідчить про низьку якість такого програмного продукту.»
Порівняли супер-какашку (Вінду), з нано-какашкой (система е-декларування))) Оновлення Вінди щоденно? Нє, не чув)) Чи це НАЗК так із Шимківим заграє?)

3-ю неделю кто-то делает пагинацию, которая уже была. Видимо, очень дырявая пагинация была, надо было писать с нуля.

Ну что ж, пани и панове. Защита грантопилов ожидаемо откатилась на запасные позиции. В очередном, наспех запатченном релизе реальности, Реестр e-декларирования, это если сдержанно(тм), оказался «ниочень», ПРООН (какой такой ПРООН?) не при чем, а Миранда немного слажала, но в сущности это не важно. Ведь вся эта беда нам на головы свалилась из-за НАЗК и, безотносительно былого, всяко у Госспецсвязи не было законного повода отказывать в сертификации Реестра.

Так уж в человеческой природе сложилось, что в не отягощенные опытом принятия ответственных самостоятельных решений головах легко уживаются противоречащие одна другой мысли. В такие сосуды с пустотами ловкий фокусник способен заложить любые иллюзии. Благо фантазии талантливым престидижитаторам, разогревавшим почтенную публику пред столь неординарным событием как рождение первенца ПРООН и Миранды, было не занимать. И вот волшебные личинки их иллюзий — эдакие мысличинки — несут теперь нам стройным рефреном чужих голосов, что Госспецсвязь не способна докостылить этот порочный плод инцеста освоителей грантов. Ведь нет же в Госспецсвязи для этого неонатологов программистов. Ведь нету же? Хоть раньше это совсем не мешало тем же мысличинконосителям возмущаться, что, понимаешь ли, нет никаких замечаний к коду Реестра и, значит несуразность форм малыша нам — близоруким болванам — привиделась. Оставляя при этом за скобками, кто же, собственно поименно из отсутствующих в Госспецсвязи программистов должен был эти исходные коды экспертизить.

Впрочем и этого глума над собственной паствой иерархам церкви цирка свидетелей законно заслуженного аттестата КСЗИ Реестра e-декларирования оказалось мало. Так-что в компанию к предыдущим добавилась жырная мысличинка переписывания хуйзнаеткем в Госспецсвязи Реестра с нуля, заботливо анонсированная нам в этом триде братьями Миранды по разуму за несколько дней до этого поста.

В виду, надеюсь временного, недостатка информации не стану впадать в конспироложество и пытаться постичь происходящее сейчас с переношенным детищем гранторубов. Да, быть может его неудачно клонировали. Или который день оперируют ампутируя палки и оставляя только говно, задроченные и неопытные хирурги посменно сменяясь в реанимации. А может заезжий доктор Франкенштейн проворно и беспристрастно кромсает его по-живому являя изумленной публике уродца во все более ужасных и причудливых формах.

Могу лишь бегло осветить вам период вынашивания нашего байстрючка, информации о течении которого у нас уже вполне достаточно для достоверного анамнеза.

Госспецсвязь — регулятор и надзорный орган Государства в сфере защиты информации. Он не пишет программ и даже не проверяет их исходные коды, которые в основной массе своей обусловлены Техническим Заданием на Программное Обеспечение, тогда как Госспецвязь интересует Техническое же Задание, но на Комплексную Систему Защиты Информации и производные от него. Госспецсвязь — если уважаемая и не очень аудитория не против очередной всегда смешно звучащей метафоры — главврач роддома. Ему после родов приносят справки, листы назначений, результаты анализов и, бегло взглянув на юного пациента, наш сильно бородатый дядя-главдоктор углубляется в исследование работы своих аспирантов, интернов и ординаторов. Ибо ему более важно не вытянуть ещё одну жалобно орущую и сучащую ножками бестию, а убедиться что никто из его халдеев не накосячил и, значит, больничку за весь этот бардак не накажут. Здесь следует понимать, что наш доктор будучи плодом индустрии отечественной «медицины» не тянет местами не то, что на уровень номинантов Нобелевки по медицине, но даже с напрягом на приз зрительских симпатий брадобреев. Что вовсе не означает, что кто-либо из подчиненных, либо тем более посетителей и прочих лиц без белых халатов, может позволить себе послать этого корифея без последствий для себя или немовляты. В этом случае уж лучше было бы резким и хамовитым батькам больничку обойти стороной и тихонько родить на дому, как это скромно, без ярких говнометаний и даже летальных легальных последствий сделано вот уже многократно с другими, вполне себе здравствующими и не очень, цифровыми детями.

Заботливые и ответственные родители сопровождают беременность с момента, когда о ней им становится известно. Иные, планируя свою жизнь наперед или сообразно медицинских показаний и вовсе зачатие производят под строгим и профессиональным контролем. Подобный контроль за беременностью Госспецсвязью кодируется уровнем гарантий Г-3. Многодетные Г-3-семьи в качестве поощрения и признания ответственности их перед обществом и уровня доверия докторов к принимаемым ими решениям могут добиться Г-4 и выше, беря на себя за каждое повышение определенные обязательства, но и получая взамен некоторые положительные плюшки. Когда же дитё в период вынашивания не получало даже амбулаторного наблюдения, то максимально-престижный штампик в углу истории болезни на который родители могли бы расчитывать был бы Г-2.

В нашем случае несчастную жертву кровосмесительства близких по духу родственников с соседних купюродробилок родители прятали от докторов как от чумы до последнего. Повивальная бабка, с которой забились по рукам наши залетелы к назначенному сроку роды принять нишмагла. В виду отсутствия не то, что стационарного, но даже амбулаторного контроля историю болезни малюка оформляли как Г-2 (кстати, насладитесь целостностью и непротиворечивостью мысли одного из родителей по ссылке в пункте под номером 2). За неделю до родов назначенный ординатор собрал у родителей справки, нахерачил анализов, но в итоге это все не нашло понимания и сочувствия у глав-доктора.

В реальности все немного сложнее (или проще, как, вероятно, возразят мне бывалые родители реальных человеческих детёв). Уровень гарантий выше Г-2 вовсе не означает, что Госспецсвязь внезапно обрастает программистами как Тузик блохами и начинает проверять исходные коды налево и направо. Отнюдь, это лишь значит, что начиная с Г-3 регулятор осуществляет надзор за целостностью производственного процесса исполнителя. Поскольку только при должной организации производства можно с высокой достоверностью получить ожидаемый результат. Что, очевидно, не стояло в главе угла да и вовсе было не самой интересной статьей расходов в этом эпохальном уже проекте по распилу датского гранта.

ДСТЗИ и УСС в этой истории отнюдь не Дартаньяны. Так как до подачи системы на атестацию они активно ставили палки в колеса(не указывали на ошибки, а как могли затягивали): не предоставляли сервера, история с отключением питания в датацентре, при первой подаче замечаний к коду небыло и ,с вашего описания атестации, немогло быть, так как код и ТЗ по функционалу они не проверяют. Скорее всего ДСТЗИ должна была выдать атестат в августе либо после устранения недочетов, если такие были, в сентябре.

В свою очередь несоответвие ТЗ и проблемы с сессией должно было проверять НАЗК во время приемки каждого этапе и потом в самом конце.
После пресс-конференции с депутатами и НАЗК выяснилось, что курирующего менеджера от НАЗК не было либо все попрятались: подписи при приемке делал член от НАЗК, но он утверждал что курировал только юридический аспект и с точки зрения работы системы внутри НАЗК, галава НАЗК не смогла назвать ответсвенного и сама не призанала себя ответсвенной (раз нет ответсвенного — значит отвечает весь НАЗК, в частности голова Корчак).

Мое мнение, что ДСТЗИ и УСС своими шагами хотели перехватить контроль над системой, что им и удалось — Миранду полностью отсранили и дописывали систему уже УСС.

Поэтому были истории с серверами, с питанием, а после того как не вышло — компроментация центра сертификации УСС ключом Рябошапки.
УСС заранее писали систему сами на случай ,если удастся дискредитировать систему от Миранды, либо более вероятнее — уже дорабатывали код Миранды после того как им внезапно понадобился код системы на флешках для атестации Г2.
Так к примеру появилась возможность удалять декларации: декларации Рябошапки и Джеймса Бонда висели в системе Миранды, а в УСС системе уже была тестовая декларация с тестовым ключом, которую потом удалили.

ДСТЗИ и УСС в этой истории отнюдь не Дартаньяны.
Если кому-то здесь кажется что целью моего присутствия здесь является обеление ДСССЗИ либо УСС, то он ошибается. Так что я не считаю вышеперечисленные госструктуры Д’артаньянами, как и не вижу возможным закрыть глаза на «художества» всех других солистов просто из-за возмутительного факта зашквара с «ключем Рябошапки». Я здесь лишь потому, что чертовски зол и искренне уверен, что за умышленно нанесенный моей Родине вред в результате грязных августовских публичных безобразий с Реестром кто-то должен очень и желательно сильно пострадать для профилактики подобных эксцессов в будущем. Равно как и за произошедшие за этими безобразиями и вследствие в том числе их игры с АЦСК УСС.
Так как до подачи системы на атестацию они активно ставили палки в колеса(не указывали на ошибки, а как могли затягивали): не предоставляли сервера, история с отключением питания в датацентре, при первой подаче замечаний к коду небыло и ,с вашего описания атестации, немогло быть, так как код и ТЗ по функционалу они не проверяют.
Хотел бы ещё раз отметить, что Госспецсвязь не кошка, которая ходит сама по себе. И не их работа бесплатно указывать подрядчику на ошибки с КСЗИ (тем более уровня гарантий Г-2) в процессе разработки без официального к ним обращения. Кроме того, по результатам событий прошедшего месяца и учитывая горы вранья, манипуляций и просто неискренности фигурантов (не принимайте, пожалуйста, на свой счет) а также местами весьма дивное содержимое ставших доступными нам документов, я сейчас не верю на слово ровным счетом никому из участников и лиц аффилированных с ними. Посему при анализе использую сам и также от других прошу в качестве доказательств только и лишь документы, поскольку они хоть местами по содержанию и странные, но хотя-бы не меняют своих показаний с течением временени. Так, в ситуации с бесперебойниками в ДЦ УСС, я пока не видел этому каких-либо заслуживающих доверия свидетельств. Что до Госспецсвязи, то из доступных мне первоисточников самым ранним я вижу даже не вход, а некое приближение их к проекту начиная с «Заключения межведомственной группы, которая засвидетельствовала готовность системы к эксплуатации», датированного 25 июля 2016. Можете ли Вы, Сергей, подтвердить документами более раннее участие Госспецсвязи во внедрении Реестра, либо если не можете, то аргументировать почему этого не произошло на пол-года раньше этой даты ?
Скорее всего ДСТЗИ должна была выдать атестат в августе либо после устранения недочетов, если такие были, в сентябре.
Я кратко описывал процедуру экспертизы и атестации в своем первом посте и я пока не вижу смысла на этом фокусироваться.
После пресс-конференции с депутатами и НАЗК выяснилось, что курирующего менеджера от НАЗК не было либо все попрятались: подписи при приемке делал член от НАЗК, но он утверждал что курировал только юридический аспект и с точки зрения работы системы внутри НАЗК, галава НАЗК не смогла назвать ответсвенного и сама не призанала себя ответсвенной (раз нет ответсвенного — значит отвечает весь НАЗК, в частности голова Корчак).
Не могли бы Вы сделать достоянием общественности ФИО этого, курировавшего юридический аспект и феерически его проебавшего, члена НАЗК ? Со мной также можно связаться в частном порядке через fb — в этом случае я обязуюсь не делиться этой информацией с кем-либо без Вашего разрешения.
Мое мнение, что ДСТЗИ и УСС своими шагами хотели перехватить контроль над системой, что им и удалось — Миранду полностью отсранили и дописывали систему уже УСС.

Поэтому были истории с серверами, с питанием, а после того как не вышло — компроментация центра сертификации УСС ключом Рябошапки.

У меня несколько более другая теория на сей счет, которую я пока, полагаю также как и Вы, не в состоянии аргументированно подтвердить либо опровергнуть.
УСС заранее писали систему сами на случай ,если удастся дискредитировать систему от Миранды, либо более вероятнее — уже дорабатывали код Миранды после того как им внезапно понадобился код системы на флешках для атестации Г2.
С Вами спорит Юрий Новиков и мой здравый смысл. Если, как Вы полагаете, им так нужен был код, зачем они его теряли 5 раз ? Я скорее готов поверить, что он был им не нужен, пока Порошенко не сделал их окончательно крайними. Впрочем Вы можете укрепить это свое предположение документально.
Так, в ситуации с бесперебойниками в ДЦ УСС, я пока не видел этому каких-либо заслуживающих доверия свидетельств.
Вот у меня четкая ассоциация этой ситуации со студентом, кот-й прибегает на кафедру и жалуется что у него на чертежи вылили кофе за день до защиты. Но на самом деле чертежей нет. Ну т.е. сильное впечатление детской попытки оттянуть попадалово.

Я пользуюсь только то что есть в открытых источниках, публикациях и фейсбуке. А конспирологию уже сам додумываю.
По поводу раннего участия УСС ориентируясь на www.eurointegration.com.ua/...ticles/2016/09/2/7054085
сервера запрашивались у УСС в конце апреля, тоесть взаимодействие контор началось как минимум с этой даты.
К атестации КСЗИ это напрямую не относилось, но УСС в подчинении ДСТЗИ и пока не захостиш у них систему — подавать на атестацию то нечего, возможно и согласовывать эксперта можно только после физического размещения системы.

С бесперебойниками в датацентре УСС было уже в середине агуста. www.facebook.com/...4698749913132?pnref=story
www.depo.ua/...zhivlennya-12082016202400
Но там спорная ситуация, был ли вообще этот инцидент и на сколько он серъезен(я не эексперт по хостингу и тяжело сказать — это штатная ситуация или ЧП)

Не могли бы Вы сделать достоянием общественности ФИО этого, курировавшего юридический аспект и феерически его проебавшего, члена НАЗК ?
Это со слов в видео, где члены НАЗК перекидывали горячую картошку друг-другу www.youtube.com/watch?v=jVdapYkY80s
Рудецький 0:50 и 4:35 но я спутал — он не по юредическому, а техническому обеспечению.

А по самим подписям кураторов
25.07.2016 Висновок приймальних випробувань Міжвідомчої робочої групи, подписи нескольких от НАЗК, один от Держспецзвязку.И еще два от Держспецзвязку не присутсвовали, удачно попав в отпуск и службове відрядження.
www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf
Акт приема передачи от ПРООН к НАЗК, подпись Корчак
www.eurointegration.com.ua/...cceptance-certificate.pdf

По поводу раннего участия УСС ориентируясь на www.eurointegration.com.ua/...ticles/2016/09/2/7054085
сервера запрашивались у УСС в конце апреля, тоесть взаимодействие контор началось как минимум с этой даты.
К атестации КСЗИ это напрямую не относилось, но УСС в подчинении ДСТЗИ и пока не захостиш у них систему — подавать на атестацию то нечего, возможно и согласовывать эксперта можно только после физического размещения системы.
Коротко, то что Вы написали: без создания КСЗИ нельзя в ДЦ УСС, создавать КСЗИ можно только после размещения в ДЦ УСС. Видите противоречие ? Это как раз из разряда навязываемых нам “мысличинок” — манипуляторам очень удобно переключаться между ними для поддержания своей позиции в зависимости от обстоятельств.

КСЗИ можно и нужно было создавать до размещения в ДЦ. Просто ответственные за это физ- и юр-лица должны были заниматься этим заблаговременно.

С бесперебойниками в датацентре УСС было уже в середине агуста. www.facebook.com/...4698749913132?pnref=story
www.depo.ua/...zhivlennya-12082016202400
Но там спорная ситуация, был ли вообще этот инцидент и на сколько он серъезен(я не эексперт по хостингу и тяжело сказать — это штатная ситуация или ЧП)
ИМХО даже если и предположить, что нечто подобное и имело место — речь идет о начале августа, тогда как неясно чем все эти люди занимались с февраля.
Это со слов в видео, где члены НАЗК перекидывали горячую картошку друг-другу www.youtube.com/watch?v=jVdapYkY80s
Рудецький 0:50 и 4:35 но я спутал — он не по юредическому, а техническому обеспечению.
Спасибо за ролик. Крайне печальное зрелище. Можно смело ванговать, что под руководством Корчак НАЗК’у, как государственному институту, пизда.
Я, признаться, был уверен что контроль за внедрением завалил кто-то из её замов.
А по самим подписям кураторов
25.07.2016 Висновок приймальних випробувань Міжвідомчої робочої групи, подписи нескольких от НАЗК, один от Держспецзвязку.И еще два от Держспецзвязку не присутсвовали, удачно попав в отпуск и службове відрядження.
www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf
Акт приема передачи от ПРООН к НАЗК, подпись Корчак
www.eurointegration.com.ua/...cceptance-certificate.pdf
Я учитывал содержательную часть этих документов при подготовке хронологии событий из моего первого поста. К сожалению это все опять же не объясняет причин полугодового бездействия с началом работ по КСЗИ.

I have a dream. Не бачити цей форум, не бачити цю кляту тему, але... воно наркота. Я подивилася відео. Це реальні піздаріки. Це все системний саботаж ВСЬОГО процесу включно з тим НАЗК. Тобто реальна гра в імітацію реформ, і це ні разу ні метафора.

Мені здається це не гра — звичайна фахова неспроможність. Щоправда масова.

Також дякую за відео про «гарячу картошку» (вона ж — ВІДПОВІДАЛЬНІСТЬ НАЗК). Але не має чому дивуватися. Адже на держслужбі найти винуватого дуже важко. Відповідальність навмисно розмивається. А враховуючи, що НАЗК — КОЛЕГІАЛЬНИЙ орган (рішення приймаються голосуванням членами (каламбур, однако)) НАЗК), то відповідального знайти ну дуууже важко. Можна провести аналогію з радами. Виділила сільська рада незаконно землю на своїй сесії. Хто винуватий? Депутати, які голосували. Але ж їх багато, спробуй їх всіх посади))

Ось ще відео. Може комусь буде цікаво. Предупреждение срыва запуска онлайн-декларирования имущества, — тема совещания НАПК, 13.08.2016. www.youtube.com/watch?v=EeDO5C-_dTs На відео, Новіков (Міранда) якось недобре на Євдоченка (Держспецзв’язку) дивиться) Може не треба було їх поруч садити?)))

Цікавий діалог із відео наради від 13.08.2016:
Новіков: Для обговорення зауважень від Держспецзв’язку ми запросимо технічних експертів.
Євдоченко: У них допуск є?
Новіков: У нас не ДСК-ашная Система, у нас «персоналка».
Євдоченко: Зрозуміло (ухмиляється).

Персоналка ? О.о
Это типа АС-1 или как ?
Вот бы господин Новиков удостоил нас комментария по этому поводу.

А объясните прикол, бо я то больше писиай-дээсэсах
Я так понимаю персоналка это система оперирующая с PII ? Так в Европе за такое глаз вырвут на сервер натянут. В Штатах не так эмоционально но тоже.

Просто Новіков та Євдоченко мали на увазі різні речі. Євдоченко питав, чи є в Міранди люди, в яких оформлений допуск до матеріалів з грифом ДСК (службова інформація), для того щоб вони могли ознайомитися з недоліками, які на той момент в терміновому порядку писала Держспецзв’язку, та присвоїла їм гриф ДСК. А Новікав мав на увазі, що вони створили Систему, в якій обробляється інформація з обмеженим доступом (персональні дані про фізичних осіб), що не є службовою інформацією. АС е-декларування, я думаю, класу 3, так як там є доступ до Інтернету. Було б добре побачити Атестат відповідності. Але, наскільки мені відомо, НАЗК не хоче викладати його скан-копію на своєму сайті (який до речі зараз лежить))

Да, похоже что Евдоченко и Новиков вели таки речь о PII.
При этом, видимо, последний просто искренне не понимал взаимосвязь между грифом ДСК на материалах КСЗИ и системы, оперирующей данными, являющимися собственностью Государства.

Надзвичайно цікаве відео, дякую!
Євдоченко на початку доповіді каже, що «2 місяці тому ... почали роботу, складені плани». Цікаво було б побачити документальні свідчення цьому. Чи може це мається на увазі вже відоме листування від 2016-07-01 та погоджений 2016-07-05 Графік створення КСЗІ ? Який, власне, за своїм змістом (в першу чергу надзвичайно стислі терміни експертизи й атестації) вельми як на мене дивний.
Ще цікавий світлявий дядько в окулярах, що сидів ліворуч і відрекомендувався як «відповідальний за перевірку декларацій, координатор департамента» (до речі, підкажіть будьласка хто в курсі — які його ПІБ/посада) — згадував, що іще в квітні проводилися наради у Держспецзв’язку та НАЗК щодо КСЗІ. Але чомусь КСЗІ, до того ж без залучення регулятора, схоже фактично почали пиляти лише у липні.

Знайшов світлявого дядька — Радецький Руслан Станіславович, заступник Голови НАЗК

Так, це Радецький. Саме його прізвище декілька разів згадувала Корчак на засіданні антикорупційного комітету ВР, на запитання Берези, так хто ж все-таки відповідальний за провал впровадження системи е-декларування. Вона якось невпевнено його озвучувала, тому Береза все повторював і повторював своє запитання))

Прекрасний текст. Особливо порівняння проходження експертизи з лікарнею. Хто ні разу не мудохався з Держспецзв’язком та її сателітами під час експертиз, навряд чи зрозуміє даний текст)) Видно, що автор «в теме») Але все-таки хотілося б знати, хто «доточує» систему е-декларування в даний час. Якісь субпідрядники? А хто їм тоді платить? Також буде цікаво поспостерігати за системою в останній тиждень 60-денного терміну внесення декларацій відповідальними чиновниками. У разі падіння системи, УСС знову скаже, що «електрічество» в акумуляторах ББЖ закінчилось?))

Починаючи з гібріда експертизи, що в темпі вальсу перейшла у атестацію, починаючи з 8 серпня я, зізнаюся, перестав й намагатись натягнути «об’єктивну реальність», що дана там через публічні матеріали насамперед «ЗМІ», на існуючу нормативно-правову базу та усталені практики в тих місцях, де ця база суперечлива.

І власне, як схоже і Ви, я у повній розгубленості щодо того, яким чином і якими ресурсами відбуваєтся допилювання Реєстру наразі, та що з цього зрешті вилізе згодом.

Так, я в розгубленості) Але для себе я розставив (в порядку “убывания вины”) учасників цього трилеру в такому порядку:
1 місце — НАЗК (повний залет, абсолютна відсутність контролю за процесом, низька кваліфікація працівників); 2 місце- Держспецзв’язку (небажання брати участь в проекті, вставляння палок в колеса, дрібні пакості, попередня згода на використання БанкАйДі, а потім — ігнор) ; 3 місце — ПРООН (непрозора процедура тендеру, недостатній контроль за процесом); 4 місце — Міранда (продукт написали неякісний, не розрахували свої сили, але старались)))

Так, НАЗК в плані організації власної же роботи — це якась беспросвітна пічаль. Держспецзв’язок дійсно відмітився повною неготовністю до важких політичних наслідків своєї звичної пасивності, щоправда без юридичного залучення їх з боку принаймні НАЗК ця пасивність відповідає чинному законодавству. А от ПРООН... Важко недооцінити їх роль зважаючи на счинений та роздмуханий ними ж міжнародний скандал, вельми цікава (і поки невідома через відсутність публічних звітів щодо використання грантових коштів) вартість якого.

Щодо BankID, його могли спробувати провести через експертизу в якості частини КЗЗ. Сумнівно чи це вдалося б, але навіть й такої спроби, схоже, не було зроблено. Тож за нормативно-правовою базою він був несертифікованим засобом й не міг використовуватися для автентифікації/ідентифікації.

Ну а Міранда — креатура ПРООН. Якій ПРООН же з якогось дива «спустив на гальмах» багатомісячний зрив строків впровадження, при тому прийнявши від них продукт у лютому з запізненням на місяць, у стані що не відповідав RFP навіть у серпні.

То ж у моїй «табелі о рангах» переможці посіли наступні місця:
1. НАЗК
2. ПРООН
3. Міранда
4. Держспецзв’язок

А як вам такий захист персональних даних від НАЗК: public.nazk.gov.ua/...1c-4418-ac73-25cb101b5993

Ви щодо доступності домашньої адреси особи, оскільки при введенні об’єктів нерухомості необхідно вводити їх адреси, які в подальшому відображаються в декларації нецензурованими ?

Ну концепція неправильна. Це не система контролю, це її імітація. Мета системи — збирати і аналізувати декларації на відповідність реальності відображеній у різних реєстрах. Функція он-лайн вводу декларацій вторинна і не потрібно її було на першому етапі реалізувати від слова зовсім.
Ну а тепер йде віяна за функціонал який насправді не потрібен...

Чому ж імітація? Декларант задекларував 1 млн. грн. А хату купив за 2 млн.грн. От вже НАБУ може запитаннячка задавати (такі ж як і воєнному прокуророві Кулику). Невідповідність видатків доходам.

Без автоиматичного пошуку і верифікації що паперова декларація, що електронна — вшистко єдно.

Сергій правий в тому, що обмежені ресурси НАЗК за відсутності автоматичної аналітики й даних сторонніх реєстрів не зроблять можливим здійснення системної роботи. А от вибірково — по конкретних персоналіях — звісно НАЗК працюват зможе. Щоправда для цього було б достатньо існуючих паперових декларацій.
Тому з точки зору системності боротьби з корупційними проявами НАЗК’ом — як би це не було сумно, але це ні що інще, як її імітація.

Питання знатокам. Чи є у цих Реєстрів (нерухомості, транспортних засобів, земельних ділянок) КСЗІ з підтвердженою Держспецз’язком відповідністю? А якщо не має, то хто буде проводити їм експертизи?)

Наскільки відомо — є. І через це сиру гімняшку не дали до них підключати.

Реєстри, що обслуговуються ДП ІЦ Мінюсту за їхніми ж твердженнями мають атестати відповідності від Держспецзв’язку.

Безперечно, без аналітичної частини, яка б мала доступ до інших релевантних реєстрів, незрозуміло яким чином НАЗК буде використовувати Реєстр для системного виявлення потенційних корупціонерів. В нинішньому вигляді принаймні декларації доступні для загалу і всі охочі можуть простежити хоча б тих персонажів, щодо яких є питання.

Щодо ж он-лайн вводу, то це принаймні вивільнило (чи скоріше не витребувало додаткових) ресурси НАЗК що були б необхідні для самостійного їх введення, що навіть за умови OCR по усталеним формам вмагало б додаткового обладнання та фахівців.

Навіщо OCR? Ну хоча б PDF Forms. Там і ЕЦП є AFAIK. Не тратили би час на непотріюний функціонал.

Тут є питання відповідності цього ЕЦП чинній нормативно-правовій базі.

Та не проблема — можна підписівати як податкові підписуються. Суть в тому ще з жовтня по серпень писали он-лайн введення декларацій яке на справді... непотрібне і його можна (у треба) було зробити офф-лайн.

Це ще одне питання до НАЗК та ПРООН. А зважаючи на таку «неймовірну цінність» проштовхуваного останнімі Реєстру ще й про адекватність наслідків счиненого скандалу кінцевій меті. Якщо, звичайно, цією метою було саме впровадження цих непересічних в своїй досконалості засобів редагування каталогу декларацій.

Ну я думаю тут бажання попилити бабла спарувалося з ІТ-дилетантизмом — це стандартна помилка дилетантів: малювати красиві формочки з дзвіночками і свистками замість виріжувати бізнес-задачу.
І так — флоу off-line edidting — upload — parsing — знижує небезпеку від пікового навантаження при закінченні терміну подачі — фактом подачі декларації вважається підписання і upload до системи. А парсити і заводити в БД можна у фоні і на доступність системи це мало впливає.

$95K як для попиляти бабла впродовж більше ніж пів-року надзвичайно сумнівний «приз» зважаючи на необхдність представити який-не-який, а результат.
Медіа-бюджет же дійсно міг бути надзвичайно вигідним, враховуючи що (якщо) його вбухали для «подолання зради» за, приблизно, 2 тижні. Але якщо це так, то особи що винайшли такий креативний спосіб засвоєння бюджетів — беспринципні мудаки.

Але ж ми надіємося, що 4 та 5 етапи впровадження системи е-декларування будуть закінчені в самі короткі терміни) Чи не так?)

Обіцяти не значить одружитися(тм)
На моє суто суб’єктивне переконання, ситуація що склалася у НАЗК з ніби і існуючим мєго-реєстром, а натомість даючим можливість лише вибіркового переслідування корупціонерів, надто вигідна широкому колу осіб з різного спектру міркувань (в тому числі гравцям не з складу НАЗК), щоб розраховувати на вирішення проблеми доступу до сторонніх реєстрів та автоматизування аналітики у стислі терміни.

Тому то я і поставив смайлик, так як і сам в це не вірю! Це був тролінг НАЗК з моєї сторони) Тим більше, мабуть, у сторонніх реєстрів не має Атестатів відповідності КСЗІ. Отже, до супер-системи, яка має Супер Атестат Супер бляха-муха Відповідності, зась підключати не атестовані Системи! Алілуя!))

Ми ходимо по колу © Євдоченко Л. О.

Знайшов прикольний комент від 27.08.2016 на Ютубі (під відео з прес-конференції Геращенко/Вінника):
Андрей Мамай
Хроника “зрады” или дерьмо на вентилятор.
Трагикомедия в двух актах
Президент: — Система е-декларирования должна заработать 15 августа.
Шабунин: — Власть будет срывать е-декларирование и не даст вовремя сертификат на программу
Госпецсвязь: — Так мы дадим, только ошибки исправьте
Разработчики: — Нету у нас ошибок. Все работает. ПРООН и независимым экспертам все нравится.
Госпецсвязь: — да как нет, вот же список
Разработчики: — говно ваш список. ПРООН и независимым экспертам все нравится.
Европейская правда: — Власть сделала это специально. Руками Кровавого Пастора. Не давайте Порошенке “безвизовый” и транш МВФ.
Борцуны: — Это Порошенко срывает е-декларирование
Шабунин: — Конечно Порошенко, кто ж еще?
Кровавый Пастор: — Власть здесь не причем — у вас программа — говно. И разработчик ваш стремный типочек с улицы. Если нужно — мои хакеры в момент сверзают качественный софт.
Шабунин: — Хороший софт. Правильный! И защита там хорошая. Поэтому сертификат безопасности должны были дать. А не даете, потому что Порошенко хочет сорвать е-декларирование. Чтобы его кенты под шумок заполнили декларации, скрыли там ведомости, а их потом нельзя было привлечь, так как сертификата нет.
(Тем временем “кенты Порошенко”, а также министры и нардепы до сих пор не заполнили ни одной декларации в незащищенной программе, чтобы чего-то там избежать)
ЕС: — Не, Украина, ну сертификат нужен. Нам тут борцуны, независимые эксперты и ПРООН сказали, что программа защищенная. Дайте им сертификат, а то не будет безвизового и транша.
МВФ: — без сертификата безопасности транш не дадим.
Климкин: — да без проблем, до конца августа все исправим, дадим сертификат и запустим;
НАЗК: — декларации будут заполнятся с сентября, когда система будет сертифицирована, чтобы никто от ответственности не ушел.
Европейская правда: — мы специально рискнули репутацией и сделали провакативное заявление, чтобы подстегнуть власть, чтоб она не сорвала е-декларирование. Сейчас уже все будет хорошо.
Борцуны: — Ага! Победа! Порошенко — зассал! Думал что в МВФ и ЕС враера сидят и поверят в сказки про незащищенную программу! Это мы власть додавили. Так что безвизовый будет со дня на день и только благодаря нам.
Геращенко: — Хакеры сломали программу е-декларирования и заполнили на сайте фэйковую декларацию от имени члена НАЗК. При этом иронично указали, что он заработал 25 лямов работая на фирме под названием “Некачественный разработчик”.
Борцуны: ... молчат...
Шабунин: ...молчит...
Европейская правда: ...молчит...
Разработчик: ...молчит...
Власть: не ссыте, до конца августа все заработает и будет работать правильно.
Занавес? Неееееет. Ждем офигительных историй от разработчика и Борцунов. Ждем 2 акта.

Не отражена роль юных (и не очень) археологов-тестировщиков-любителей (и не очень) кот-е ковыряли поделие палкой и наковыряли дыр и гавняшек.
Ну и болеьщиков миранды с борцунами кот-е доказывали что «это не гавно ! Это изюм! Просто слежался!».

До речі, хтось знає як проходить розслідування НАБУ стосовно фейкового ЕЦП як би Рябошапки? Здається Бігус ще 20 серпня заяву до них подав. Які там терміни розгляду? І чому саме заяву було подана в НАБУ? а не в прокуратуру чи ще кудись? Хіба НАБУ розслідує фальшування електронних ключів? Нє панімай)

Ну у НАБУ очевидно есть правовая база кот-я позволяет какие то логи и какие то высказывания использовать как улики. Они там помнится по словам Наема ну просто доки в инфобезопасности и таскают ДСП информацию на личных ноутах...

ДСК на особистих ноутах — це квіточки, а ягідки — це таємна інформація на флешках, які виносяться за територію контрольованої зони, а потім губляться) volodymyrboyko.com/.../казкарі-з-набу/#more-135

Уййййй.... А Наєм ще жалівся що злі ГПУшники забрали «особистий!» ноут. Ну це капець якийсь...

Хакеры сломали программу е-декларирования

Если бы они систему е-декларирования сломали. Они «сломали» всю гос. систему ЕЦП. Но всем пофиг такие мелочи, главное покидатся говном в систему е-декларирования и ее разработчиков.

Правильно буде сказати не зламали всю державну систему ЕЦП, а «нагнули». Так як ЕЦП як би Рябошапки, на мою думку, видавався хакерам «срєднєй руки» (на думку Геращенка та Вінника) ДП УССом без підтверджуючих документів.

Мммм... Проблема в тому що доказів що цей ключ видали саме їм, а не іншим немає. Бо ні Геращенко не продемонстрував методику зламу, ні НАЗК з Мірандою не надали доказів бо спочатку вони розповідали про тестовий ключ. А версія з лівим ключем з’явилася через досить таки помітний час.

Так розслідування і повинно проводитися для того, щоб зібрати докази. Що заважає «розслідувачам» підійти в УСС і розпитати, хто робив ЕЦП якби для Рябошапки? Але хто захоче «стріляти собі в ногу»?))

Саме так. Адже прийшовши до чиновника до дому, обідєть його зможе кожен (сказав би Лесь Подерев’янський))

Феерия плюрализма мнений в одной отдельно взятой голове. Весьма, для меня, отрезвляюще. Признаться, был неплохого мнения о Мустафе, теперь уж и не пойму — а, собственно, почему ?

Щедро разливая вокруг многие ушата помоев трудно ожидать остаться в последствии чистым.
Такое впечатление, что чувакам замутившим вот эту вот всю феерическую историю теперь удивительно, что выполнение проекта должно было быть первичным, и не следовало пытаться решать проблемы закладывая бюджеты на продавливание неудовлетворительного качества результатов через СМИ и иностранцев.

Подростковый инфантилизм оказался не в курсе, что такое репутация.

Учитывая вчера же разразившийся квартирный вопрос и бурление аффилированных говн вокруг него, подростковый инфантилизм в определенных кругах — явление массовое, если только не заразное.

Заразное. В этой герметической тусовке это имеет индуктивный характер.

Перечень проблем, внесенных уже красными связистами, тут:
www.eurointegration.com.ua/...ticles/2016/09/2/7054085

Там же описание того, что происходило в течении 2-3 месяцев после окончания разработки: искали деньги на сервера и хостинг.

На мой взгляд, «Европейская правда» освещает эту историю наиболее подробно и непротиворечиво.

Выглядит всё таким образом: техническим администратором системы де-юре является НАЗК, которое не содержит технически компетентных сотрудников, поэтому де-факто задачи по системному администрированию выполняла Миранда, а теперь ДЦКЗ. Фактически, НАЗК отстранено от управления системой.

Комментарии, которые НАЗК делает на своей официальной странице, по своей сути, таковы:
gist.github.com/...9c79e90794196ead4b777e257
То есть вместо того, чтобы решить проблему, НАЗК советует... сменить браузер, сменить почтовый сервис.

Судя по проблемам с попаданием почты в спам, массовые рассылки они раньше не делали, иначе бы знали о проблеме заранее. Вместе с бесконечной сесией это ставит вопрос об квалификации и опыте разработчиков системы.

Вы наверное не следите. Тут столько шума было про «Почта идет через сервера Миранды», полистайте, тут где-то советовали настроить sendmail, на что разработчики ответили, что в этом случае почта будет попадать спам. Так что вопрос о квалификации надо ставить ДЦКЗ. Если разбираетесь, вот причина: gist.github.com/...52722488c1a1e0bb8d774ca78

А вечную сессию пофиксили, да. Теперь на каждо действие нужно вводить ключ и пароль.

правильно, почта в спам — это ужас ужас, а почта. гос ресурса, которая идет через сервер левой говноконторы — это норма

На мой взгляд, “Европейская правда” освещает эту историю наиболее подробно и непротиворечиво.

Офигенно незаангажированный обзор:

Для тих, хто слідкував за темою — йдеться про “проблему кукіз” — на комп’ютері, де заповнювали декларацію, лишалася технічна інформація. Через це інша людина, сівши за цей комп’ютер, могла проглянути закриті персональні дані.
До слова, ця вразливість не дозволяла змінити чужу декларацію, для підпису декларації потрібен електронний ключ, та й довільна зміна вже поданої декларації не є можливою. Але все одно, можливість витоку персональних даних — неприйнятна.

Как обычно, дырка есть, но вы держитесь все хорошо, только про то, что можно отредактировать черновик чужой декларации упомянуть забыли.

Ответсвеность экспертов ПРООН, которые должны были проверить на уязвимости и протестировать, попытки продавить атестацию системы с багами «Европейская правда» тоже не замечает.

«Европейская правда» подает информацию с смягчением вины ПРООН и с акцентом на ответсвенность госорганов и Президента.Также остается вопрос: знали ли журналисты про проблемы декларирования заранее еще весной и молчали или же инсайдерсую информацию они получили уже в момент публичного скандала в конце августа.
А вот «порохоботы» в фейсбуке наоборот — в ситуации аргументировано обвиняют грантоедов и ПРООН с полным игнором подлога ключа Рябошапки со стороны УСС.

Также остается вопрос: знали ли журналисты про проблемы декларирования заранее еще весной и молчали или же инсайдерсую информацию они получили уже в момент публичного скандала в конце августа.
Вот, что следует знать о готовности реестра состоянием на 15 марта 2016. При том что ПРООН ещё 29 февраля 2016 его у Миранды приняло. Хоть разрабы и должны были сдать его до 31 января 2016. Не смотря на срок выполнения 1й очереди до 30 декабря предыдущего, 2015 г.

Встречайте:

15 березня о 13:30 у конференц-центрі “Щастя HUB”, вул. Паньківська 14 у рамках стратегічної дискусійної панелі “Прозорість та доброчесність публічного сектору: 2016 — визначальний час для України” вперше, для широкого кола громадськості відбудеться презентація прототипу Системи електронного декларування в Україні.

И, как мне кажется, весьма наивно думать, что “журналисты” лишь благодаря некоему инсайду выкатили #зраду, тогда как для её распедаливания в одном лишь датском гранте была куча денег. И чем сложнее запускалось e-декларирование — тем больше их приходилось осваивать. И куда уж осваивать больше, чем когда продукт откровенное говно. О чем сегодня даже Найем сообщил.

При установленной датчанами норме админ-затрат 8% от освоенной суммы даже при безоткатной технологии это весьма недурно, учитывая временной промежуток работы кочегарки в 2 недели и затраты за отправку “инсайдов” электронкой.

Иван, вот вы на самом деле не замечаете очевидного, ли это такой тонкий троллинг, недоступный по-крайней мере моему пониманию ?

Реестр по ТЗ тендера от ПРООН должен был быть сдан (без доступа к другим реестрам) 30 декабря 2015. По документам ПРООН его принял 29 февраля 2016. По тендерной же документации ещё до 30 марта он должен был уже функционировать в достаточном для массового приема деклараций. Вы все ещё не видите с происходившим с начала августа никаких противоречий ?

Вы пишете — искали деньги на сервера ? В тендерной документации об этом исчерпывающе — если у подрядчика нет собственной материально-технической базы — он включает затраты на необходимое оборудование в стоимость предложения.

Если ещё 13 августа я был уверен что г-н Сидоренко, поспешив и не разобравшись толком в предоставленным им же на суд общественности документах, невзначай вводит нас в заблуждение. То уж сейчас то интересовавшимся произошедшим предметно должно быть очевидно, что статьи Сергея по-крайней мере о Реестре — причудливый и избирательный микс вольно интерпретируемых фактов, разбавленный домыслами, конспироложеством и, местами, откровенной ахинеей.
И то, что типо «допиленный» за две недели Госспецсвязью Реестр из говна так и остался говном никак не превращает набросы Сидоренко в правду, Миранду из старателей в программистов, ПРООН из грантопилов и манипуляторов в борцов с коррупцией, и не вправляет руки и мозги некомпетентным немащам из НАЗК.
И, разумеется, это никак не умаляет идиотского зашквара Геращенко, Винника и УСС вместе с преступной бездеятельностью Минюста, Госспецсвязи и правоохранителей.

Да как бы по воплям и унитазу было понятно что «евроинтеграторы» и «антикоррупционеры» прекрасно понимали уровень факапа и делали все что бы перевести стрелки подальше от себя. Особо мне понравился (теперь уже — тогда я вообще прикола не понял) финт Преснякова кот-й поднял шум по поводу бесперебойников в датацентре. Теперь это выглядит как попытка студента найти поводу не защищать курсач по причине пробелм со светом в аудитории когда в курсаче на самом деле конь не валялся.

Предоставьте другой источник, объясняющий ситуацию. Кроме УСС и ДССЗЗИ.

Во-первых, источник НЕ объясняет, источник предоставляет факты.
Во-вторых, упячка это вообще не источник и не сми а галимый пропагандисткий листок Григоришина.
Ну и в третьих — на данной ветке ДОСТАТОЧНО и информации и анализа что бы составить свое мнение и без проплаченных рирайтеров кот-е по ошибке называют себя журналистами.

Вот вам факт: систему переписывают практически с нуля. Можете сами убедиться, перейдя на public.nazk.gov.ua и сравнив с тем, что было ранее.

Так остальным не причастным и не допущенным как бы объясняться и поясняться и не надо в приключившемся. Чуток юмора накопипастю.

Аналитик — это специалист, который завтра будет знать, почему то, что он предсказывал вчера, сегодня не случилось.

Жена попросила наглядно объяснить, что значит действия ЦБ правилные, но запоздалые. Объяснил: Ну это как бы ты в дерево уже врезалась, но руль потом всё-таки повернула!

Предоставьте другой источник, объясняющий ситуацию. Кроме УСС и ДССЗЗИ.
Уфф. Надеюсь, Иван, вы не на бейсике до сих пор программируете, хотя это могло бы объяснить ваш отказ оперировать фактами из первоисточников неизбежной профессиональной деформацией.

Откройте тендерные материалы ПРООН «RFP UKR/2015/97 — Development of Software of Electronic Asset Declaration System of Ukraine» на их же сайте. На странице 4 RFP найдите Latest completion date — это 30 декабря 2015. На странице 4 QA RFP в п. 19 написано, что тестирование системы должно быть завершено до конца января 2016. В п. 25 QA RFP написано, что главным заданием является возможность подачи и опубликования деклараций в электронном виде до конца января 2016, а к моменту массовой подачи деклараций в марте 2016 задачи первого этапа должны быть полностью боеготовы.

В набросе Сидоренко найдите акт приема-передачи комплекса (pdf, 4 страницы), в котором ПРООН свидетельствует, что не имеет претензий к первой части.. В таблице на страницах 1 и 2 убедитесь, что все 3 задачи первого этапа были приняты ПРООН до 29 февраля включительно, что уже на 29 дней позже конца января.

Первый документ, в котором появляется Госспецсвязь — Заключение межведомственной группы, которая засвидетельствовала готовность системы к эксплуатации, и датирован он 25 июля. От «конца января 2016», определенного как срок готовности Реестра в ТЗ, до 25 июля — когда его готовность была подтверждена фактически — без малого 6 полных месяцев.

Ещё раз, надеюсь что в последний — ПРООН и Миранда сорвали сроки внедрения Реестра на пол-года! После чего обвинили Госспецсвязь в провале сделать нечто физически невозможное либо уголовно наказуемое за 2 недели.
Как только вы, Иван, найдете в статьях Сидоренко упоминание хотя-бы об этом прискорбном факте, я буду готов попытаться пересмотреть свое мнение о том, что его «творчество» не является некомпетентными, однобокими и манипулятивными набросами.

Вы тут ещё ДЦКЗ не упомянули.
Это нормально когда, одна организация сама пишет ТЗ, сама его выполняет, сама хостит, сама проверяет КЗСИ? Причем правит и тестирует по-живому, на боевом серваке, попутно удаляя результаты неудачных экспериментов?

Вы так зациклились на Миранде, ПРООН и борцах с коррупцией, что упускаете главное — система декларирования не работает. И вместо того, чтобы её доработать, спецсвязь выкинула её на помойку, надеясь за 2 недели имплементировать заново. А крайний срок подачи деклараций — октябрь! А если закон о декларировании не заработает в этом году, то безвизовый режим в 2017 не дадут.

Вы тут ещё ДЦКЗ не упомянули.
Это нормально когда, одна организация сама пишет ТЗ, сама его выполняет, сама хостит, сама проверяет КЗСИ? Причем правит и тестирует по-живому, на боевом серваке, попутно удаляя результаты неудачных экспериментов?
ДЦКЗ — Державний центр кіберзахисту та протидії кіберзагрозам. ТЗ КСЗИ писал не ДЦКЗ, формальным автором его был НАЗК. Также ДЦКЗ не согласовывал ТЗ КСЗИ — это обязанность Госспецсвязи. ДЦКЗ проводил экспертизу КСЗИ (в вашей терминологии — проверял) и это единственная неоспоримая истина среди остальной, явленой вами выше, ахинеи.
Вы так зациклились на Миранде, ПРООН и борцах с коррупцией, что упускаете главное — система декларирования не работает. И вместо того, чтобы её доработать, спецсвязь выкинула её на помойку, надеясь за 2 недели имплементировать заново. А крайний срок подачи деклараций — октябрь! А если закон о декларировании не заработает в этом году, то безвизовый режим в 2017 не дадут.
У Миранды и ПРООН было пол-года на то, чтобы привлечь к разработке регулятора, согласовать эксперта, выполнить работы хоть и не в заявленный срок до конца января 2016, то хотя-бы без аврала, вранья, манипуляций, международного скандала и тяжелых репутационных потерь Государства разразившихся в августе. Тот самый Реестр, который должен был быть готовым для массовго приема деклараций ещё в марте, продолжал быть говном не соответствующим первичному ТЗ даже в начале августа. Отказ в безвизовом режиме — исключительно и только следствие криворукости Миранды, халатности ПРООН и некомпетентности НАЗК.

Я более не стану пытаться переубеждать вас, Иван. По-крайней мере до тех пор, пока вы не прекратите искаженно транслировать через себя набросы Сидоренко и компании.

Прошло более суток с запуска. Можно констатировать, что система таки да стала защищенной:
никто не может ни заполнить декларацию, ни просмотреть ранее заполненные.

Всех поздравляю.

Я сегодня два раздела осилил в этом квесте. Стопорнулся на идентификационном/регистрационном номере квартиры (перегляжу ордера, документы, договора, обойду дом по периметру, может где инвентарный накалякали и может им через дробь с номером квартиры это надо) и на дате и стоимости на момент приобретения (как бы приватизировалась на всех прописанных в равных долях, потом выделяли доли и собирали по частям через дарение на меня от родственников 1-й и 2-й линии, с уплатой только налогов), теперь в непонятках какую же дату из .. и каку оценку из ... писать, что в сумму приобретения писать. На машине тоже какой-то идентификационный номер спрашивают (видать номер машины, хотя и шасси можно вписать). В шоке от интерфейса (некоторые селекты пришлось из кода выдирать, чтоб до конца варианты выбора почитать). А так то вхожу, то выхожу, черновик постепенно заполняю. Хоть бы тултипы к каждому полю наделали, с разжевыванием чего хотим, так как порядка заполнения пока не получали и все не так как в сданной на бумаге. Так что не заполнение, а прохождение квеста получается.

Закон «Про державну реєстрацію речових прав на нерухоме майно та їх обтяжень», ст. 15:

Реєстраційним номером об’єкта нерухомого майна є індивідуальний номер, який присвоюється кожному індивідуально визначеному об’єкту нерухомого майна при проведенні державної реєстрації права власності на нього вперше, не повторюється на всій території України і залишається незмінним протягом усього часу існування такого об’єкта.

Вікіпедія:

Ідентифікаційний номер транспортного засобу (англ. Vehicle identification number — VIN), або VIN-код — це унікальний серійний номер, що застосовується в автомобільній промисловості для індивідуального розпізнавання кожного механічного транспортного засобу, причіпного транспортного засобу, мотоцикла та мопеда, визначення яких подані в міжнародному стандарті ISO 3833.

У меня еще старая БТИшная регистрация квартиры, что автоматом не переносилось в новый реестр недвижимости, государство решило, что кому печет что-то с ней делать, пусть сам за деньги переносит. А гараж вообще в кооперативе, из документов на руках только членская книжечка со взносами, в бумажном варианте требовался только адрес и площадь, что не составляло труда заполнять. Ребус. Тут не про софт «кричать» надо, а про методику заполнения напридуманных полей оторванных от реальности, а как оно работает, то уже переживем.

Вітаю. Ми це все пройшли два тижні тому. Ту форму взагалі заповнити неможливо, і це не баг, а фіча. І не тільки софтіни, а і дизайну. Трохи тут maidan.org.ua/...il-pekla-e-deklaruvannya
І спроби виробників робити вигляд, що то все дрібниці, заокпують їх ще більше.

А это там где — помічник системи по заповненню? Интуитивно его нигде не заметил.

Концепция неправильная с самого начала. Главное должно быть не он-лайн заполнение, а публичность и автоматическая сверка с другими реестрами.

Какие реестры. Я при прохождении люстрации по вызову в налоговую предоставлял все оригиналы и сканы в дело им для подтверждения всех строчек декларации. У них реально не получалось это получить от держателей информации по папкам из архивов. Максимум что они могут автоматом проверить без документальной сверки по тем, что покупали все не сейчас, это правильно ли переписывают декларанты доходы за год, из справки заблаговременно взятой у них же. Ну, и надеяться на чтецов, что будут вычитать сданное нами в общем доступе и сигнализировать на верхи.

Та ваще не треба було ніфіга робити, крім сканів декларацій, завірених нотаріусом. Як в Румунії наприклад. І всьо

То, что сейчас запущено под видом системы подачи деклараций является фикцией, и это не та система, которая была разработана Мирандой под эгидой ООН.
Евдощенко нанял команду студентов из КПИ, и они за две недели скопипастили формы с оригинальной системы. За текущей обверткой нет ничего. Ни валидаций, ни проверок, ни предпросмотров, ни запросов в НАЗК, про систему помощи я уже вообще молчу.
Естественно ни про какие визуальные формы представления декларации, на данный момент, вообще речь не идет.
Можно еще написать про неработающую подпись поданного документа, но там еще печальнее. Судя по коду, подписывается не целостный документ, а отдельные данные из него, в результате в суд передать эту якобы декларацию не получится. Чиновниками цель достигнута. Система «сертифицированная» якобы есть, а на выходе «пшик» :(

Валидация говорите... Проверки говорите... Вот уже точно — иногда лучше промолчать :).

Кто-то ожидал, что за неделю, которую дали на доработку системы, случится чудо? Как и предполагалось, никакого чуда не случилось.

Евроинтеграторам и Миранде отдельное спасибо за срыв запуска е-декларирования.

Кто-то ожидал, что по-крайней мере не станет хуже. Почтовый сервер они не могут настроить, связисты...

Факт в том, что система без аттестата-серификата худо-бедно работала. С аттестатом — нет.

Ага, то что миранда не смогла сделать за полгода за бабло от ПРООН, студенты должны были сделать за неделю бесплатно.

А кто их тянул за язык? И с каких пор в госструктурах работают студенты?

А их никто за язык не тянул, им Порошенко сказал до 1 сентября пофиксить все косяки, допущенные говноконторой И сертифицировать приложение. И напомню, что предыдущая попытка это сделать заняла пол года и закончилась эпическим фейлом.

Вышло то, что вышло, и это пример, который должен войти в аналы управления проектами в области безопасности.

ловко ты его поправил. мы гордимся тобой.

TLDR версия:

Все IT-специалисты уехали из страны, е-декларацию писать некому.

Так сами и кричали кому не нравится — валите

Ну что же, взял свой ДФС-ный ключ, вошел сегодня на сайт, к ФИО и ИИН довел почтовый ящик и номер мобильного. Пришло письмо о подтверждении регистрации. Подтвердил. Пока инициировать начало заполнения своей декларации не стал.
Хотя по новостям все как бы не работает, какие-то белые пустые страницы. Да, и все про какого-то

Рябошапку
кричат, ни тебе инициалов его, ни его ИИН не приводят. Возможно, на обратной стороне сайта не в курсе того, кто из регистрирующихся действительно госслужащий и относится ли его посада к категории «B», так что отлавливаем бомжа с подходящим ФИО, получаем с ним на него ключ и вперед делать повторные сенсации.

Не «вохможно» а таки да — никакой проверки является ли декларант чиновником (или кандидатом) там НЕТ. И в этом один из главных концептуальных недостатков.

Тидищь!
www.dsszzi.gov.ua/...t_id=261007&cat_id=240232
«Надане розробником програмне забезпечення та у цілому побудована КСЗІ мали суттєві недоліки і прорахунки, які не дозволяли би експлуатувати систему електронного декларування відповідно до ТЗ та захистити інформацію належним чином, зокрема через ризики та загрози, що пов’язані з проблемами:

авторизації (автентифікації) декларантів,

несанкціонованого (зловмисного) доступу до відомостей декларантів при їх подачі через незахищені персональні комп’ютери,

уразливостей відомостей Реєстру через можливості прямого доступу до баз даних з браузерів користувачів,

можливості несанкціонованого внесення в систему сторонніх файлів,

реалізації не задокументованих функцій, пов’язаних із використанням зовнішніх сервісів,

ряду інших уразливостей та системних недоліків, які стали загальновідомими для фахівців ІТ-галузі за лічені дні роботи Реєстру.

Підкреслюємо, що до 23 серпня розробником не були усунуті виявлені за результатами державної експертизи недоліки, а тому співробітництво з ТОВ „Міранда“ припинено.

Також у ході дороблення КСЗІ Реєстру було виявлено принципові проблеми стосовно технологічного обладнання Реєстру. Зокрема, фактично в наявності була лише третина задекларованого обладнання.»

Вы лучше расскажите какой сертификат Геращенко сгенерировал, тестовый или настоящий?

Мне не докладывали.

Что-то Свидетелей Идеального Кода Миранды в волнах не видать... Идеальный Код Миранды — вот что должно быть предметом обсуждения, ибо он, Код, первичен, тогда как Сертификат Геращенко — вторичен.

Ага, компрометация всей государственной системы ЕЦП вторична и не сравнится по масштабу с кодом каталога чиновьичих деклараций.

А прямо всю государственную систему ЕЦП скомпрометировали?

То, что некоторые депутаты оказались недалекими кретинами не делает из компьютерщегов Миранды программистов и не фиксит баги/бреши в Реестре.

Тут вот какая штука... Наивно думать что Геращенко или Винник вламывались собственноручно.
Два... Шото много времени прошло с момента прессухи до момента появления в народе левого «ключа Рябошапки». А судя по протоколу комиссии в мирандовской гавняшке нифига не понятно ни когда с этим ключем зашли, ни IP с кот-го зашли.
Зная кол-во и типы дыр я все таки задумался а был ли мальчик.

Какая разница собственноручно или нет?
Это дыры в «мирандовской гавняшке» создали левый ключ подписанный АЦСК УСС?

Это дыры в «мирандовской гавняшке» создали левый ключ подписанный АЦСК УСС?
Нет конечно. Но они позволяли (как минимум теоретически) получить продемонстрированный Геращенко результат.
Технических доказательств того что именно «Геращенко» использовал этот ключ в виде логов и дампов базы я так понимаю предоставленно не было.
Т.о. если даже если кто-то достаточно умный что бы скомпрометировать систему но достаточно глупый что бы подставиться с ключем действительно получил незаконный ключ и использовал его для подписи левой декларации то я так понимаю (исходя из текста протокола НАЗК по расследованию инцидента) ЮРИДИЧЕСКИ весомых доказательств этого (дампы баз, логов и т.п. — см. Computer Forensic Incident handling кот-е в свою очередь должно являться частью КСЗИ) НЕТ.
Вот такая вот петрушка как ни грустно... И о том, что система не пригодна к эксплуатации в т.ч. и из-за этого (отсутствия аудитабилити) писалось тут же с самого начала.

Есть в приложениях, но они под грфом ДСК и не публикуются. www.eurointegration.com.ua/.../b/4bd4f01-4-original.jpg

Там страницйей раньше написано что установление с какого именно IP это сделали требует времени и ресурсов.
Кароче — есть доказательства — велькам УК, прокуратура и т.п. Но сдается мне что из нет. Потому что вечером после прессухи (а не сразу же) начали про тестовый ключ а где то через сутки ключ пеерстал быть тестовым.
В суд. Нафиг.

НАЗК просто может быть не заинтересовано в расследовании и суде, госконторы все тихо порешали между собой.

А почему это НАЗК не заинтересовано если там а)люди от активистов б)злобный Порошенко и Госспецсвязь не дали запустить классную систему вовремя?

Потому что НАЗК такая же часть государства как и госспецсвязь, и там не «люди от активистов», а такие же чиновники от государства. Возможно не хотят признавать компрометацию государственной системы ЕЦП, надеются что большинство людей не компетентно и не поймет что произошло.

Низачет
uk.wikipedia.org/...D.D0.BE.D1.81.D1.82.D1.96
28 серпня 2015 року були визначені 4 представники громадськості, які обиратимуть членів Нацагентства з питань запобігання корупції — Андрій Марусов, Леся Шевченко, Віктор Шлінчак та Віктор Таран[11] До складу комісії також увійшли представник Президента України у Кабінеті Міністрів Олександр Данилюк, голова Нацдержслужби Костянтин Ващенко[12], представник від Верховної Ради, доцент НаУКМА Володимир Сущенко[13].
Рябошапка — «Жовтень 2013 — березень 2014 — керівник Департаменту аналізу антикорупційної політики у неурядовій організації „Transparency International Україна“.»
Упс...

И что? От того что их выбирали какие-то грантоеды, чьи имена мне ни о чем не говорят, причем даже не сами а вместе с чиновниками, члены НАСК не перестают быть госслужащими со всеми вытекающими.

Итого три чиновника против одного активиста.

Вывсёврёти!

Еврокомиссия и ПРООН не могут ошибаться!

Иван Пресняков — лучший в мире эксперт из лучшего в мире Центра Противодействия Коррупции, выбрал лучшую в мире фирму ООО «Миранда», и она сделала идеальный код к 15 августа.

Система была остановлена по указке Вальцмана-Гройсмана руками нечистоплотных деляг из ГСЗССЗСЗСЗСЗСЗСЗС!

Вы распространяете изменённую реальность по наущению рептилоидов, Ротшильдов, Сороса, и Каценеленбогена!

На українському сабреддіті вже 2й день ідуть срачі про баги в системі із частковим скатуванням в неадекват. На будь-який аргумент про баги знаходяться «спеціалісти», які назвуть тебе ворогом, зрадником і хіба не агентом кремля))) Коротше весело і занятно.

Тред #1

Тред #2

Кому нема чого робити і є бажання втратити трохи часу на отаку дивну розвагу — ласкаво просимо. І взагалі приєднуйтесь до сабреддіту — нам потрібні адекватні і освічені люди.

І з Днем Незалежності !

Боротьба жаби та гадюки триває.

22.08.2016 НАЗК проводит комиссию чтобы разобраться с декларацией Рябошапко(по сути собирают улики) www.facebook.com/...k/posts/10209233696791884

Из чего узнаем от главного специалиста НАЗК что 05.08.2016 было сформировано заявление на получение ключа для Рябошапко, передано в ДП “НАІС” и по сотоянию на 22.08 Рябошапко получил цифровую подпись(может это и есть так называемый тестовый ключ).
ДП “НАІС” и УСС разные центры сертификации, хотя сотрудник мог ошибиться в абривиатурах, в принципе легко проверить если есть ИИН или номер сертификата ca.informjust.ua/certificates-search (конечно же если ДП “НАІС” не чистил данные вручную)
Здесь подозрительно вообще наличие такого ключа, так как Рябошапко в фейсбуке утверждал что у него нет цифровой подписи, а в итоге их может оказаться целых две.

В системе нет явного отслеживания IP адресов с занесением в базу, есть только лог-файлы.

Подача декларації Рябошапки Р.Г. 19.08.2016 до системи була здійснена за допомогою дійсного електронного цифрового підпису, що не належить члену Національного агентства з питань запобігання корупції Рябошапці Руслану Георгійовичу. При цьому файл підпису цієї декларації містить гіпер-посилання на акредитований центр сертифікації ключів Державного підприємства “Українські спеціальні системи”.
Не совсем понятна формулировка про “не належить Рябошапке” так как не дает четкого ответа — ключ с его данными, но он не вкурсе о его существовании и не обладает им или же был ключ с данными другого человека и значит система декларирования позволяет публиковать декларации от чужого имени.

В дополнениях отчета информация которая помогла бы паралельно проверять всем желающим, но она под грифом ДСК: лог-файл, распечатка декларации, распечатка содержимого цифровой подписи декларанта на декларации.

Глава НАЗК озвучила выводы в фейсбуке, но зачем-то упомянула что присутсвовали специалисты от ПРООН, что не отвечает действительности www.eurointegration.com.ua/news/2016/08/23/7053690

23.08.2016 УСС опровергают выводы комиссии НАЗК
www.uss.gov.ua/...ent/content/article/178-1

Нас безумовно здивувало повідомлення Н.Корчак про створення комісії з представників виключно однієї із зацікавлених сторін і без залучення фахівців Держспецзв’язку та/або інших компетентних державних органів. Так само, як і про участь представників ПРООН, які, за нашою інформацією, участь у комісії не брали.
Нам невідомо про прийняття НАЗК рішення про створення означеної “комісії”. Але навіть у повідомленні Наталії Корчак йдеться тільки про наявність у фейковому підписі гіперпосилання на ДП “УСС”, яке, власно, може підробити будь-який досвідчений програміст.
Ще раз заявляємо: ДП “УСС” не причетне до фейкового підпису громадянина Р.Рябошапки.
В выводах НАЗК прямого обвинения УСС нет, а есть информация при помощи которой можно будет обвинять в соответсвующих органах.
Но УСС все-равно реагирует и вместо использования профессиональных терминов и объяснений аппелирует к обывателям “може підробити будь-який досвідчений програміст”.

23.08.2016 НАЗК отключает доступ к системе декларирования до 1 сентября и обещает устранить все недостатки.

Мне кажется, НАЗК и УСС играют на публику, чтобы дать последним уйти от ответственности.
Либо и там, и там работают жуткие непрофессионалы. Другого объяснения не найти...

Zed’s dead baby, Zed’s dead ©
portal.nazk.gov.ua
Обратите внимание на статус.

У них рабочий день в 16:00 заканчивается вот и сайт в дауне, попробуйте с 8 часов утра заходить.

Он такой с утра.

НАЗК официально выключил до 1 сентября, чтобы за неделю все починить и выкатить готовый сайт.

за неделю все починить и выкатить готовый сайт
Когда мы достигли дна, снизу постучался НАЗК

Кстати, почему заглушка на английском языке, а не на украинском?

Sorry
Server is in maintenance mode now. Please try again later.
Непорядок, срочно кастую в топик украинизатора linkedin

Щоб закрити питання про кукі і про безумовний редірект і тд бо ширяться думки по ФБ та інтернетам шо то нічого страшного не знайдено .Еммм я тут вимоги до проекту прочитав(pocurement-notices.undp.org/...ew_file.cfm?doc_id=65269. Так от я цитую
“Постачальник повинен перевірити систему електронного декларування на захищеність за списком
вразливостей OWASP Top 10 vulnerabilities 2013.” Неважко перейти за посиланням www.owasp.org/...ex.php/Top_10_2013-Top_10 і побачити що порушено
1) www.owasp.org/...on_and_Session_Management
В пунктах
5 Session IDs don’t timeout, or user sessions or authentication tokens, particularly single sign-on (SSO) tokens, aren’t properly invalidated during logout.
6 Session IDs aren’t rotated after successful login.
це танці з куками

2) www.owasp.org/...Security_Misconfiguration
в пунктах
2. Are any unnecessary features enabled or installed (e.g., ports, services, pages, accounts, privileges)? Я знайшов яйце з генерацією + криво налаштована ліба
3. Are default accounts and their passwords still enabled and unchanged?
Тестові ключі “забули” вимкнути
4. Does your error handling reveal stack traces or other overly informative error messages to users?
Ми всі пам’ятаємо 500 з трейсбеком payara

3)www.owasp.org/...ed_Redirects_and_Forwards
ПОВНІСТЮ по суті див приклад атаки
Scenario #1: The application has a page called “redirect.jsp” which takes a single parameter named “url”. The attacker crafts a malicious URL that redirects users to a malicious site that performs phishing and installs malware.

www.example.com/...redirect.jsp?url=evil.com
Це безумовний редірект на проксі для ключів

Питання до Юрий Новиков и інші товаріші з міранди WTF?

Упреждая, ставший уже обыденным на непрофильных ресурсах и плавно перебирающийся сюда, бесценный флейм на предмет того, что “это то же самое, что украли ключ” или “а вы дадите кому-нить свою кредитку??7семь” — не делитесь, пожалуйста, с сообществом своим бесценным мнением по этому поводу, пока не найдете действующий Закон о куках такой, как, например, ЗУ “Про електронний цифровий підпис” или “Про платіжні системи та переказ коштів в Україні”

Да как бы уж где где а здесь OWASP top 10 должны бы чтить как Моисеевы скрижали...
Но да, я тоже предсказываю флейм :).

Да причём тут закон? В Тех задании есть проверки по топ 10? есть. Дырки по топ 10 есть? Есть задание выполнено? нет. О чём мы говорим тогда? Там ещё прекрасное про
Система має попереджати суб’єкта декларування про наявність будь-яких логічних
невідповідностей у його декларації під час її збереження — наприклад, якщо місце фактичного
проживання не збігається з жодною з адрес об’єктів нерухомості, якими суб’єкт декларування
володіє на правах власності або оренди.

А я могу указать свой год рождения 1800 а год рождения моей матери 2016 это как с точки зрения “логічних невідповідностей” норм? И далее по тексту:):):):)

Просто берём ТЗ включаем чиновника и давай проверять много пунктов не выполнено и по мат контролю(я могу ввести −500 грн стоимость акций выпущенных в 1800 году моей матерью 2016 года) И много ещё чего интересного

Закон при том, что юридически воровство электронного ключа наказуемо. А кук — нет.
А RFP (формально тот документ не ТЗ и я могу ожидать что эти фокусники вытащат на свет божий какого то кастрированного ублюдка по которому поделие сие и кодилось) таки не выполнено. Это видно невооруженным глазом. Если конечно его не залить...

Написано будет «пацаны похер на овасп-шмовасп» херячте как угодно?:)

Воровство кук и получение с помощью них несанкционированного доступа такое же преступление как и воровство ключа и получение с помощью него несанкционированного доступа, никакой специальный закон про куки тут не нужен.

Там в форму не можливо ввести назву організації з держреєстру, копійки (які досі актуальні в зп держсектора). І я підозрюю, що це теж програмниий баг.
А про діючий закон про кукі, так в нас же євроінтеграція і ми приводимо законодавство у відповідність з європейським. І до куків дійде.

Из примечаний бланка декларации за 2015 год, что сдавали на бумаге
«9. Відомості щодо фінансових сум заокруглюються до гривні.»

Не хватало еще закона о куках. Может еще принять законы про восход солнца и про закат солнца, и про времена года?

Хм... Иногда лучше жевать... www.cookielaw.org/the-cookie-law

И что? Директивы евросовка это уже истины в последней инстанции? А еще в евросовке есть директивы про размер огурцов и про то что нельзя говорить что вода предотвращает обезвоживание. Иногда лучге думать, чем принимать практики евробюрократии.

Постоянно раздражает этот тултип на евросайтах, который ты можешь только закрыть. Никакой пользы он не несет.

Питання до Юрий Новиков и інші товаріші з міранди WTF?
а они уже отвечали всепобедимым аргументом

Kод проверяла и тестировала международная компания PricewaterhouseCoopers!

и всё, все должны заткнуться и пасть ниц.

А спорим что выяснится что PWC аудит только тех док выполняла + тз возможно. А не самого кода и реализации?

Ну вот насколько я знаю именно техническим security audit с пентестами и код-ревью они не занимаются.
Буду рад узнать что я не прав :). Но тогда вопрооооосы :).

PwC тестировал только первые три части разработки, а система безопасности разрабатывалась на 4-5-м этапах. Тестироватьбезопасность предполагалось в Криптософте. Но к моменту сдачи продукта уже было решение суда, что Криптософт — фиктивная контора. Поэтому отдали на проверку ДСКЗИ. Дальше Вы знаете.

Система безопасности скорее 6й этап о необходимости которого, похоже, ПРООН и не думал. Задачи 4-5, документального подтверждения реализации которых в публичном доступе пока не обнаружено — средства интеграции с другими реестрами и описательная часть на них.

RFP писав світовий банк. Реконструкція подій показує, що взяли аналогічне з Румунії і на якомусь етапі всунули в нього bank id

PwC занимается тестированием софта?

Ну, если верить межведомственной рабочей группе — то таки да, они этим занимаются:
www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf , стр.2: " ... враховуючи ... результати незалежних тестувань на функціональність та проникнення, проведені PeicewaterhouseCoopers".

Вот поэтому очень интересно было бы глянуть на отчет PwC т.к. в то, что любой более менее серьезный security audit пропускает уязвимость из OWASP top 10 я просто не верю. Ну для меня это так же дико как и история с ключем УСС.

Це безумовний редірект на проксі для ключів

Так редирект или прокси?

Система работает в тестовом режиме?

Еще на почитать на сон грядущий procurement-notices.undp.org/...iew_file.cfm?doc_id=65025

8) Чи залишаються авторські права у розробника?
— Ні, авторські права повністю передаються ПРООН
Шта?
12) ... подальший супровід та можливі вдосконалення системи могли виконувати будь-які інші ІТ розробники чи ІТ підтримка НАЗК...
Как можно будет допиливать систему Г-2 после положительной аттестации ?
15) ...Важливо мати модуль системи електронного декларування, який буде готовий до подальшої інтеграції з реєстрами... Здійснення інтеграції з конкретними реєстрами в рамках реалізації проекту за цим тендером не є необхідною.
Задачи 4 и 5 кто-нить наблюдал вживую ?
19) ... На ст. 13-14 ТЗ зазначається, що «нова системаелектронного декларуваннямає бути розроблена та піддана необхідним тестам (зокрема, пройти стрес-тестування, випробування користувачем і випробування на захищеність від проникнення (stress-test, useracceptance test, penetration test))до кінця січня 2016 року». При цьому слід врахувати, що проведення тестувань системи та виправлення недоліків буде здійснюватися упродовж січня 2016 року.
...
25) ... Головне завдання — після тестування системи забезпечити до кінця січня 2016 р. можливість подання і опублікування декларацій у електронному вигляді. На момент масового подання декларацій (березень 2016 р.) має бути налагоджено такі складові — автентифікація, форма декларації і публічний сайт.
И снова вопрос — что же происходило 4 месяца с марта по июнь включительно?

Вот вот. Более того — я так понимаю предполагалось что декларации туда уже будут вносить в марте.

И снова вопрос — что же происходило 4 месяца с марта по июнь включительно?
Agile очевидно.

По поводу п8

В среде внедренцев систем уровня ерп, по поводу итогов мутных тендеров есть крылатое

Кто-то не тот купил что-то не то.

Зазначена система повинна підтримувати не менше 5 000 одночасних з’єднань.
Только один вопрос: почему писали на php а не на nodejs?

На чем умели на том и писали.

На го надо было писать, а то не круто

если бы технический выбор для такой системы лежал на мне — nodejs — рассматривал бы в последнюю очередь, из-за незрелости комьюнитии и инфраструктуры.

недавно на хабре была очередная статья, какой пипец творится в npmах.

у пыха же проблемы известны вдоль и поперек. то есть к ним есть решения.

если не пых то — java.
если не джава — то .net

у пыха же проблемы известны вдоль и поперек. то есть к ним есть решения.
А главное, патчи в области безопасности выходят регулярно

то есть вы намекаете что раз патчи в области безопасности выходят нерегулярно, то это преимущество? ;)

берем джаву, например последнее обновление
В выпусках Java SE 8u101 и 8u102 устранено 13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации. Четырём уязвимостям присвоен уровень опасности (CVSS Score) больше 9

ужас. толи дело надежный Node.js где в библиотеках фоточки, тянется раздел британики, а психанувший программер может увалить по миру тьму сборок мелкой пакостью.

Про британнику была шутка, как и вся остальная статья.
(не оправдываю недостатки ноды и npm в целом)

Кука в тезе. Пруф. procurement-notices.undp.org/...iew_file.cfm?doc_id=64914 стор 26.
Честь першовикриття і ймовірно першочитання тезе очевидно належить Сергію Факасу.
Аплодуйте

всі дев’ять сотень коментарів переглядати не хочеться (тему не з початку відслідковую), тому запитаю окремо: невже ніхто в межах цивілізованого світу не має системи декларування? а якщо має, то хіба не можна її придбати? навряд чи вона буде дорожчою за якусь інсталяцію ораклу для чергового банку.

Мабуть тому що у кожній країні своя система? Ну придбаєшь ти інсталяцію: база, веб-сервер, поштовий сервер і далі все рівно треба буде конфігурувати її під наші реалії... Що за часом займе те ж саме.

так в тому то й річ, що у нас в країні системи електронного декларування не було, а адаптери до інших систем писати треба хоч так хоч так. Продається ж та сама один це, продається банківське програмне забезпечення (хоча фінанси це, мабуть, одна з найбільш вимогливих до кастомізації речей). В усякому разі ядро (бд, сервер, пошта, захист, облік, моніторинг) від реально працюючої і перевіреної системи могло бути використане, і цього топіку би не було.

Цього топіку б не було на комп’ютерному форумі, це так, бо баги б були не в софті.

Власне маєшь рацію, але то не допоможе. Без нормальних фахівців, load testing, penetration testing і т.п. — жопа буде така сама, але вид збоку.

і цього топіку би не було.
был бы другой.
И под “система” нужно понимать не исключительно — “информационная система”, а уровнем повыше, в который входит ИС+законодательство+практика применения и т.д.
ядро (бд, сервер, пошта, захист, облік, моніторинг) від реально працюючої і перевіреної системи
точно так же не прошло бы сертификацию как не проходят очень много других интересных современных вещей

Тому що це система, в якій програмний комплекс є тільки частиною, і навіть не найбільшою. Бо цепередовсім система частини державного управління (контроля), а у всіх країнах то різне.

А можна я типу половину людей, котрі демагогію розводять по реформування чиновників, дєрєбан бабла і «міранда бу-у-ууу» назву шоблом клоунів і скажу таке ...

Якщо дуже розумні, чого самі давно не написали систему? Люди працювали, люди її створили, першу в країни. Система є, пилили гроші чи ні. Система працює: криво косо, говонокод чи ні. Систему можна довести до належного рівня і запустити. Вона потрібна і має бути. Аніж її зливати краще б хтось конструктивне щось запропонував.

Цій жіночкі з її смішним відео: нащо було робити цирк розрахований на тих хто від слова «кука» має панічну атаку і випадання матки? Я так влегку ваш вебмейл, гмейл, фейсбук, твіттер і райффайзен банк того другого чоловіка зкомпроментую. Зкиньте мені куку і програмуйте далі калькулятор. Технології в руках тих хто не розуміє як і навіщо вони працюють — палка, банани збивати.

Якщо дуже розумні, чого самі давно не написали систему? Люди працювали, люди її створили, першу в країни. Система сцуко є, пилили гроші чи ні. Система працює: криво косо, говонокод чи ні. Систему можна довести до належного рівня і запустити. Вона потрібна і має бути. Аніж її зливати краще б хтось конструктивне щось запропонував.
А зачем писать систему с нуля? Мое предложение: использовать готовое решение, мы не только сэкономим время, но еще и кучу бабла, так как не нужно будет платить за серверы, сертификацию и т.п.

Система уже готова и работает с 2000 года (в тестовом режиме, но вы держитесь). Уже, кстати, первый чиновник внес свою декларацию: pastebin.com/eCRK8TsS

Прошу аргументированно объяснить, почему мы не можем использовать эту систему, и должны запускать новую, привлекая, ПРОН, миранду и прочие левые структуры с непонятной репутацией.

Сарказм защитан. От дивись, десь з 10 років тому Австралія запустила гавняну систему податкового обліку. Яка в мене на компутері казала чистою англійською мовою: шановний, а я чось не петраю ваш український формат часу; і падала на спинку вкриваючись труханами.

За 10 років вони її довели до ладу, перенесли «в хмарки» і зараз роблять гарний статистичний аналіз. Зводять разом дані від компанії де працюєшь, банку, де маєшь рахунок, всі медичні послуги, партнерів що на тебе звіти подавали і розглядають у купі разом з родичами та у проекції на всі минулі роки. І якщо у 12тирічного племінника від триюрідної тітки раптом сплива вєлік за два мільйона баксів, якийсь він купив на заробіток від продажу скаутських значків — це все гарно видно.

Треба з чогось починати і це важко. А то як розумні наші Геращенко, Арієв, Дзиндзя і гопкомпанія дурниками ржуть по фейсбуках над цією ситуацією, свідчить що їм краще не мати ніякої системи. Мабуть їм є чого боятися прозорості, так?

Сарказм защитан.
Чем принципиально решение миранды будет отличаться от того, что предложил я?

Кстати, без всякого пиара и криков о зраде чиновники постепенно добавляют свои декларации pastebin.com/RpmP5ahn

Я, кстати, даже могу сказать, что мне под это выделило грант 50 песо посольство Уругвая в Гондурасе, значит тут по определнию ничего непрозрачного быть не может, а тот, кто имеет что-то против — коррупционер и порохобот.

От дивись, десь з 10 років тому
#$&^%$^, так нам целых 10 лет эту говняшку кушать???
Треба з чогось починати і це важко. А то як розумні наші Геращенко, Арієв, Дзиндзя і гопкомпанія дурниками ржуть по фейсбуках над цією ситуацією, свідчить що їм краще не мати ніякої системи. Мабуть їм є чого боятися прозорості, так?
Геращенко? А я вроде слышал как он говорил — говняшку, которую сделали, надо выпилить, и вместо нее запустить нормальную безопасную систему.

В перший же день мій товариш запропонував поставити то всьо на гугль форми. Звісно pastebin крутіша ідея, визнаю. Але... А де тут бабки пиляють, я не зрозуміла?

Ну дядьо, ти те ж не народився стрункий і прокачаний до lv80 як Арні і з ключами від Бентлі в лапці. Треба буде — 10 років говняшку кушать будем, поки з неї щось путнє не вийде :)

Якби ті ідійоти погодилися, можно було б запустити систему в open-source як народний проект. З групою яка б контролювала всі pull requests, bug bounty і тому подібне. Цікаво б що з того вийшло?

Нічого б не вийшло. Наприклад, є народна бібліотека криптоалгоритмів ДСТУ: github.com/dstucrypt
Основна проблема не в коді, а в тому, що для її сертифікації ДССЗЗІ просить $10k.

А чим те що в openssl не влаштовує? І підтримується і оновлюється, і де-факто стандарт.

Пардон, ДССЗЗІ просить баблішко?

Це питання до ДССЗЗІ, яка видумує оті українські алгоритми та стандарти.

Це добре, що існують свої крипто-алгоритми, бо це є науковоємкі технології, які ряд держав не мають взагалі.
Інша справа, що для ряду речей треба було б значно пом’якшити вимоги і дозволити використання міжнародних стандартів.

Це добре, що існують свої крипто-алгоритми
Если бы... На 80% там советско-КГБшные технологии и стандарты все еще рулят. Вспомните какого года тот же ГОСТ.
В последние 2 года вроде одумались, наконец, но путь к свету еще долог и тернист.

Стандарт и алгоритм по ЭЦП уже давно свой, симметричный уже так же новый есть (ДСТУ 7624:2014)

Стандарт и алгоритм по ЭЦП уже давно свой
Пожалуйста хоть один пример аппаратной реализации PKCS#11 приведите. Без которой на сегодня любое мало-мальски продвинутое APT ворует приватный ключ на раз из памяти клиента.
Да, я знаю про токены Автора, но вот есть такое шокирующее мнение по поводу всего набора подобных ключей:
habrahabr.ru/post/276057
симметричный уже так же новый есть (ДСТУ 7624:2014)
Калина сама по себе, безусловно, позитивное событие. Но не отменяет увы старых граблей — нет (и не предвидится) аппаратных реализаций.
Без которых, например, построение метрокластеров просто невозможно для госструктур (они никогда не сертифицируют КСЗИ без шифрования in-transit, а латенси при софтовой реализации не позволит построить никакой storage-replication).

Не говорю что их следует навязывать использовать везде (для военных и гостайны — пожалуйста), потому что инфраструктура для них неразвита и скорей всего развита на достаточном уровне никогда не будет.
Думаю Горбенко и Ко таки сделают в какой-то момент IP-шифратор с Калиной.
И да, текущее нормативное законодательство в этой сфере тормозит все что можно связанное с электронным правительством.

ГОСТ 28147-89 — радянський і російський стандарт симетричного шифрування, введений в 1990 році, також є стандартом СНД
by uk.wikipedia.org/wiki/ГОСТ_28147-89
Якби ті ідійоти погодилися, можно було б запустити систему в open-source як народний проект. З групою яка б контролювала всі pull requests, bug bounty і тому подібне. Цікаво б що з того вийшло?
для успіху опенсорс проекта все одно потрібен менеджмент, стабільний core team фахівців та експертів.

тобто потрібно заснувати фундацію та налагодити її фінансування.

я не бачу хто в Україні на це спроможен, хоча б на старті.

Подала декларацію теж.
Там та сама кука повністю.
Копілефт pastebin.com/3EYsMH3t

Система є, пилили гроші чи ні. Система працює: криво косо, говонокод чи ні.

Образцов столь тонкого сарказма в этом триде невероятно мало, снимаю шляпу.

Аргумент — Сперва добейся — в хрестоматийный список демагогии внесен еще римлянами.

Но ладно, можно пояснить очевидное.
Чтобы написать систему — нужны во-первых ресурсы, во-вторых официальное признание писателя гос учреждениям. Вопрос — у кого есть команда разработчиков готовая за бесплатно работать от 3ех месяцев и больше? И будут ли общаться гос структуры с командой с улицы?

Про дописать, конструктивно и прочие бла-бла-бла
Во-первых прикольно — деньги получили одни, а другие за так должны переписывать, дописывать? Во-вторых а где исходники? Под какой они лиценщией чтобы желающие помочь стране за бесплатно могли поучаствовать?

Третье — система работает, говконкод она или нет, почему бы не использовать ее как базис.
Технический долг.
Ищите на доу или гуглите, если не знаете что это такое

Ну от дивися, берешь очевидне і трансформуєшь його у вирогідні проблеми:

1. Взяти існуючу систему за базис
2. Визначитися з
2.1 Команда
2.2 Умови роботи команди
2.3. Співпраця з держорганами
3. Фінансування
4. Аналіз системи: що планували? що зробили? що лишилося? технічний борг?

І один по одному конструктивно їх вирішуєшь ... Це назівається, сцуко, менеджмент! А оте зверху — дємаґоґія. Нація треплов і споживачів, вашу мать.

Старое, крылатое у Жванецкого
«Все знают как оно надо. Все знают как оно есть. А вот как из этого как есть сделать как надо — не знает никто»

причем когда я пишу в обсуждении о «юности и наивности» — то намекаю что даже не знают «как оно есть». пытаюсь, в меру сил рассказать, как оно есть.

Нація треплов і споживачів, вашу мать.
і ідеалістів.
Українці — їжачки в тумані

а от кого, бракує — так це прагматиків, емпірикив та поміркованих циніків.
хоча... ті ще йо є — не обтяжені совістю, а тому успішно збільшують свої статки.

Долар по 8 сцуко є, пилили бюджет чи ні. Бюджет працює: криво косо etc...

Кстати, еще два вопроса, мой ключ используется только для аутентификации или так же для подписи самой декларации? Если только для первого, что делать если злочинна влада изменит данные моей декларации на бекенде и посадат?
Если для второго, как я могу быть уверен, что мой приватный ключ с паролем не будет слит в НАЗК нужным людям (внедрить нужный js код со стороны НАЗК, js имеет досутп к сертификату и паролю) и там от моего имени не пере-подадут совсем другую декларацию, опять меня посадят?

Второй — НАЗК подписывает полученную декларацию со своей и дает мне подпись? Если нет, опять же, злочинна влада просто выпилит мою декларацию из системы и я никак не смогу доказать, что подавал ее. Меня опять посадят.

Судя по видосу от пани Натилии, где декларацию редактируют, аутентифицировав соединение по чужому куки — авторизации доступа и удостоверения декларации с применением ЭЦП нет совсем от слова вообще.
По второму вопросу — Государство априори является добросовестной стороной, вследствие чего доказать его преступные намерения крайне непросто. Отличный пример — действия неустановленных (надеюсь временно) лиц из ДП УСС. Посмотрим по развитию событий, насколько ваше предположение имеет под собой почву.

Не вижу на видео что происходит при нажатии на кнопку «Подати документ», при котором и должно происходить удостоверение декларации.

Ну я банально подправлю черновик чужой декларации, добавлю или удалю где-то лишний нолик. Чувак вернется, дозаполнит декларацию. Вероятно, не заметит, что уже внесенные данные поменялись. Подпишет, и привет 5 лет халявной баланды.

Это понятно. Непонятно что вы предлагаете. Убрать веб-интерфейс вообще?

Учитывая события последней недели:

1. Отключить из продакшна это позорище и забыть о нем.
2. Разобраться в том, как произошла генерация фейкового ключа. Вероятно, это говорит о том, что сама идея электронных ключей, выпускаемых гос органом, скомпрометирована, и нужно будет найти решение, которое будет менее уязвимо для такой атаки.
3. Выбрать решение, связанное с подписью электронными ключами, безопасное для веба. Загрузка приватного ключа в веб-приложение — это небезопасно, так как пользователь не может контролировать как этот ключ будет использоваться. И, учитывая пункт 2, возможности для злоупотреблений здесь очень много.

1. Отключить из продакшна это позорище и забыть о нем.
Все ещё можно привести в божеский вид. Конечно, займет некоторое время, но полагаю будет быстрее чем писать с нуля.
2. Разобраться в том, как произошла генерация фейкового ключа. Вероятно, это говорит о том, что сама идея электронных ключей, выпускаемых гос органом, скомпрометирована, и нужно будет найти решение, которое будет менее уязвимо для такой атаки.
Печаль в том, что ключ не фейковый, и кто-то таки должен быть принесен в жертву ради дальнейшего доверия к ЦЗО, иначе это профанация.
ИМХО кроме ЦЗО, находящегося во власти Минюста, все АЦСК должны быть либо исключительно частными структурами, либо гос. площадками ежегодно через открытый тендер отдаваемыми во внешнее управление с обязательным ежегодным же аудитом.
3. Выбрать решение, связанное с подписью электронными ключами, безопасное для веба. Загрузка приватного ключа в веб-приложение — это небезопасно, так как пользователь не может контролировать как этот ключ будет использоваться. И, учитывая пункт 2, возможности для злоупотреблений здесь очень много.
Все упирается в необходимость использования ДСТУ 4145-2002 с доморощенными алгоритмами хеширования.
Все ещё можно привести в божеский вид. Конечно, займет некоторое время, но полагаю будет быстрее чем писать с нуля.
Нет, именно выпилить из продакшна, уничтожить данные и код, а авторов творения желательно отправить в биореактор, чтоб принесли хоть какую-то пользу.

Что происходит, если при решении проблем безопасности беспокоятся только о дате запуска, мы уже увидели. Если это займет еще пол года, значит пол года.

Все упирается в необходимость использования ДСТУ 4145-2002 с доморощенными алгоритмами хеширования.
Это офигенно, но даже в этом случае можно решить проблему. Например, банальное standalone приложение, в которое копипастится декларация с веб-странички, подписывается, потом подпись копипастится обратно.

Вероятно, в течение следующих 10 лет запилят еще кучу веб-сайтов, где используются электронные подписи, и безопасность всех этих веб-сайтов будет зависеть от безопасности самого дырявого веб-сайта, через который будут воровать приватные ключи (и не факт, что мирандовская поделка среди них будет самой дырявой)

Все упирается в необходимость использования ДСТУ 4145-2002 с доморощенными алгоритмами хеширования.

Что именно упирается?

Законодательные требования выписаны таким образом, что, фактически, единственным признаваемым государством алгоритмом ЭЦП является ДСТУ 4145-2002.
Кроме того, законодательно же введены требования по экспертизе других криптоалгоритмов (экспертизы эти весьма дороги и не проводятся), а также корректности реализаций функций криптозащиты с их применением (что, по-сути, требует проведения экспертизы всех и каждого используемых браузеров и т. д.).
Ну и финальным аккордом — работы по криптографической защите информации у нас являются лицензируемым видом деятельности, впрочем я не работал в этой сфере отечественного народного хозяйства и не берусь утверждать, что для проектов типа e-декларирования она требуется, так как в нормативной базе прописано исключение «кроме услуг ЭЦП».

Ну, я не это спрашивал. Вот вы на тезис

3. Выбрать решение, связанное с подписью электронными ключами, безопасное для веба. Загрузка приватного ключа в веб-приложение — это небезопасно, так как пользователь не может контролировать как этот ключ будет использоваться. И, учитывая пункт 2, возможности для злоупотреблений здесь очень много.

отвечаете

Все упирается в необходимость использования ДСТУ 4145-2002 с доморощенными алгоритмами хеширования.

И создается впечатление, что по вашему мнению, если бы не доморощенные алгоритмы все было бы ок. А именно (я такой вывод делаю) — можно было выбрать решение безопасное для веба. Вот мне и интересно узнать, в чем причина такого мнения.

Загрузка приватного ключа что в кейстор ОС, что в самостоятельно реализующее его приложение — суть загрузка в оперативную память (за исключением SecurID и аналогов о которых я сейчас упоминать не буду в виду очевидной неспособности Государства предоставить/навязать их всех и каждому прямо здесь и сейчас) устройства. С этой точки зрения надежность предоставляемых программным обеспечением услуг юридически-значимого ЭЦП эквивалентно доверию Государства в лице органа-регулятора к корректности реализации разработчиком обеспечивающих её функций. Положительное решение о наличии такого доверия выражается в аттестации. Для отдельных аттестованных версий Windows, например, при условии установки весьма причудливых настроек, этот уровень доверия в терминах отечественных критериев оценки защищенности составляет Г-2 — что означает доверие регулятора на уровне «честного пионерского слова» к заявленным гарантиям по корректности реализации функциональных услуг защиты. Поэтому речь не о фактической безопасности и даже не о сомнительных «удобствах» или сохранности кучи кейсторов для каждого отдельного средства ЭЦП любой, рождаемой в муках, электронной услуги Государства. А в том, что законодатель нам не оставил никаких других юридически-значимых опций ЭЦП кроме ДСТУ 4145-2002
И, чтобы по-возможности развеять создавшееся у вас впечатление — с моей точки зрения проблема не в алгоритмах криптографии, будь они доморощенные или нет, а в довольно серьезном количестве лиц, обладающих властными полномочиями, целиком удовлетворенными созданной ими небольшой монополией. ИМХО ответственное Государство либо должно наконец озаботиться международной стандартизацией ДСТУ 4145-2002 & friends, либо сделать легальным использование других алгоритмов, уже являющихся международными стандартами.

Это все конечно да, но не про то. Решения, в которых логика обработки документа каждый новый раз приходит со стороны сервера будет принципиально не безопасным с точки зрения массового нарушения аутентичности вследствие злонамеренных действий лиц, которые могут влиять на эту логику так или иначе. От рса или дсту тут ничего не зависит

Делать веб ресурс только для предоставления данных наблюдателям. А сами данные формировать отдельным ПО. Да хоть вердом, а потом подписать. У клиента, с его аппаратным ключом. Это ж радикально упросит требования к ИС. К тому же подобный подход уже давно используется с той же налоговой.

не вникал, да и есть недостатки и у такого решения

на taxer.ua для хранения ключей и файлов подписи используется джава клиент, и таксеры клятвенно заверяют что себе они эти файлы не копируют, а находятся они в локальном хранилище(на клиенте) этого джава довеска к сервису.

клиент банки также часто используют jnlp.
о недостатках jnlp думаю знают все кто хоть немного в теме, поэтому опускаю.

сталкивался и с российскими тендерными гос биржами.
там подход как у вебманей.

причем настолько суровый, что бывает работает только в IE :)

Я вам гірше скажу. Я з привата зарегілася в той гадюшник. Так там ваще ецп ні на якому етапі нема.

Пані Наталя, чи ви не могли б спробувати здійснити подачу декларації з сеансу, що автентифікувався за допомогою кукі, щоб можна було нарешті зрозуміти наскільки сер’йозною є проблема з реалізацією ідентифікації у реєстрі ?
Заздалегідь дякую за Ваш час.

Це неможливо підчас подачі декларації треба знову ключ з паролем подавати або банк айді проходити. АЛЕ те що в системі при логауті не дохне сессія це НОУХАУ високих технологій..... + Я можу почитати ПРИВАТНУ інфу о людині СПИСОК декларацій відкрити їх і та і тп... А це неприпустимий бок. І не важливо як хтось спер ту куку це повний фейл...... І на суді (за не заповнену декларацію без ауді) що скаже експерт якшо адвокат покаже вічну сессію?

Як можливий side-effect чи пробували ви підписати чужу декларацію іншим ключем ?

Я ні. Пані наталя каже шо хтось пробував написало «подано на опублікування ми з вами зв’яжемося» чи шось таке. Поки більше нічого публікації нема чекаємо:)

Проблема в тому що ви можете своїм ключем виданим на George Kashperko іін 123 налабати декларацію на Шевело Олексія з іін 321 і все буде ок:)

Ні, пані Наталя уявлення не має про правовий статус цього бардака і не збирається нічого подавати ні з реальною інформацією, ні з котами і мопедами.

Как я понимаю, там еще есть и черновик, т.е. я залогинился со своим ключем, заполнил половину декларации, нажал «Выход», пошел покушать, в это время злоумышленник оживил сессию моим куки, удалил из первого раздела информацию о мотороллере, я вернулся, довнес вторую половину декларации, не заметил, что в первой что-то поменялось, и нажал «Отправить».

Через неделю журналисты находят чувака, который мне продал моторллер, находят, что у меня в декларации мотороллера нет, и все, суд, расстрел.

Ви все правильно розумієте.

Не расстрел, а штраф. Уголовное наказание только если мотороллер стоит миллион гривен, а у вас официальный доход всего 20.000 в год и вы не можете объяснить откуда деньги или почему купили его по цене дешевле рыночной.

А-а, всего лишь штраф. То есть, главное, не иметь имущества на миллион гривень — и тогда отделаешься просто штрафом. Гуманно.

Главное в этом контексте — это статья 20 конвенции ООН против коррупции:

незаконное обогащение, то есть значительное увеличение активов публичного должностного лица, превышающее его законные доходы, которое оно не может разумным образом обосновать

Кстати, уголовная ответственность наступает за сокрытие в декларации имущества стоимостью более 345 000 грн.

Не заметить или забыть более $10k — это как-то подозрительно.

Кстати, еще два вопроса, мой ключ используется только для аутентификации или так же для подписи самой декларации?
Если он у вас есть (а не банкИД), то и для того и другого.
Если для второго, как я могу быть уверен, что мой приватный ключ с паролем не будет слит в НАЗК нужным людям
А никак. Потому что гребаный ГОСТ. У которого нет аппаратных реализаций PKCS#11, только в виде флешки с паролем. И посему приватный ключ всегда поднимается в оперативку и может быть оттуда снят хоть аплетом, хоть малварью.
Второй — НАЗК подписывает полученную декларацию со своей и дает мне подпись?
Теоретически да — вы должны иметь возможность скачать подписанную НАЗК декларацию. Практически — стоит уточнить, вопрос хороший.

Я не очень понимаю мотивацию, тех людей которые активно топят систему е-декларирования.
На данный момент в Украине чиновники заполняют декларации в бумажном виде и публикуют их скан на 1000+ различных ресурсах. Что делает не возможным (или очень проблематичным) общественный контроль, особенно на местах. У меня создается впечатление, что ряд личностей вообще против появления в Украине единого, централизованного, обязательного хранилища деклараций. И для всех кто понимает важность внедрения подобной системы, дискуссия должна строится вокруг того как сделать продукт более качественным. Но он должен быть!! И здесь не вопрос о симпатиях или антипатиях к «грантоедам» или «Миранде».
Вопрос вообще о будущем е-декларирования.

Так никто не говорит что а) система не нужна; б) не надо ее делать качественной.
С моей точки зрения для профильного форума важен именно кейс — насколько важно соблюдение bests practices и что происходит когда к проектированию, разработке и развертыванию mission critical системы подходят спустя рукава.
Второй момент интересный именно здесь — вот он, заказ для внутреннего рынка ИТ. И тут оказывается что его давно уже окучивают специфические фирмы у которых главное не качество а связи. В такой ситуации сложно говорить о честной конкуренции и применении экспертизы наработанной на зарубежных контрактах на благо страны.

Чрезвычайно важно по запуску реестра в эксплуатацию не дать забыть чиновникам о подключении его к другим государственным реестрам.

Будущее е-декларирования зависит от его инициаторов. А это Запад, в первую очередь. Значит оно будет.
А вот какое...
Нынешний скандал показал что участники реформ, независимо от истинного к этим реформам отношения — пока не реформировались сами, а действуют привычными, отработанным методами. Например мирандовцы, — решили что раз обрели покровителей — могут нахрапом продавить что угодно. Пиливать на всех. От такой наглости офигели те кто должен был сертифицировать (наверняка даже были восклицания — да ни при яныке, ни при кучме так наплевательски к нам не относились
Разумеется радостно вмешались и те кто хочет оттянуть, или дискредитировать неизбежное, и просто самопиарщики

Суть же проблемы, повторюсь в том, что все главные участники ведут себя типично и типичными методами. Можно ли старыми методами создать новое — большой такой вопрос.

И тут интересна роль сотрудников ПР ООН. Их роль априорно правильная.
Я все ждал, кто ж рискнет то задать простой вопрос им.
И вот, наконец задали. На сайте Миротворец появилось их мнение, и в нем обращение к ПР ООН открыть тайну — подробности тендера. Кто участвовал, почему был отсеян.
Ждем-с, может «небожители» расскажут.
То есть — они сами готовы действовать — прозоро?

На сайте Миротворец
Контролируемом Антоном Геращенко?

Извините, но меня интересуют не личности, а способность мыслить.
И поэтому я не обращаю внимания кто сказал толковую, а кто бестолковую мысль. Еще и потому что один и тот же может продублировать оба вида.

Примитивные же личности да, смотрят не что сказано а кем, не что написано, а на каком сайте.

Вопрос прозвучал. Думаю его подхватят, потому что он очевиден. Не хватало просто борзости его задать.

Хватало. Вы невнимательны.

Та лана. Вопрос кто еще участвовал в конкурсе ПРООН уже НЕДЕЛЮ просто орут уже. Ответа нет.

Я писал на «Хвыле» об участниках конкурса.

Да, но хотелось бы официального ответа от ПРООН. А то получается анекдотичная ситуация что тендер по программе “Підвищення прозорості і доброчесності у публічному секторі” и не прозрачный и не публичный.

Дістали мене і Алекса ці ламери і дебіли. Для спеців — нате грайтеся.
Якщо мені хтось скаже що це не дірка від бубліка....
www.youtube.com/watch?v=TLPP4IRBcK8
Для широкої публіки я вантажу вступ і виступ :)

Это не дыра. Такое работает и для аккаунтов Facebook и Google. И вообще на любом сайте, где используютя cookies. Что тут хотели продемонстрировать — непонятно. Может это к тому, что сессия должна быть привязана к IP?

Наталья не понимает в коде. Ее спрашивать нет смысла.
Украсть куки это атака на пользователя, таким же образом могут украсть ключ, подкинуть кейлогер и т.д. И вопрос больше в плоскости предусмотрел ли механизм реагирования на такие вызовы. Именно в юридически-организационном поле.
Но это таки дыра. Время сессии, IP и т.д.

Наталья не понимает в коде.
- ета 5. Я просто колекцію таких висловлювань зібрала вже.

Главное о том, что Вы говорили не забывайте.
pp.vk.me/...518/23dbd/CKDa7m7nGoI.jpg

І що тут сказано? Що я тестувала юзабіліті? Так. І досі продовжую. Бо цим взагалі НІХТО не опікувався, крім мене. Ви досі за тиждень не зроузміли з ким ви маєте справу? Ну і ладно

Ну да, что Вы по календарикам, а не по коду. Тоже нужное дело.

Я ніде не писала, що я код читати не вмію. Чи писати.

Такое работает и для аккаунтов Facebook и Google. И вообще на любом сайте, где используютя cookies.
Есть целый комплекс причин, преимущественно правовых, по которым декларации размещаются не на персональных аккаунтах Facebook и Google.
Что тут хотели продемонстрировать — непонятно.
С использованной схемой аутентификацией нет достоверного способа установить субъект правоотношений. Намеренная передача либо случайная утеря куки броузера нашим законодательством не регулируется, со всеми вытекающими из этого последствиями (или, если изволите, их отсутствием).
Может это к тому, что сессия должна быть привязана к IP?
К ключу ЭЦП.

То есть нужно обязать вводить пароль ключа на каждый чих?

Оставлю ваш вопрос, Иван, без ответа как недоразумение.

Полагаю, это значит, что у вас нет идей как технически привязать сессию

К ключу ЭЦП.

Погуглите session key, в отдельности и в применении с ЭЦП.

И воспользуйтесь, пожалуйста,

Восполняю как могу. Только вот как только доходит до самой сути, восполняторы куда-то убегают.

Поясните свою мысль.

session key
 — это вы про https?

Попробую попроще. С того момента, как нажали кнопку «выход», единственным возможным способом восстановить сессию и продолжить работу должна быть полная процедура аутентификации с использованием ключа.

Как это реализуется — вопрос десятый, в данном случае мы видим, что миранда это никак не реализовала, и для восстановления сессии достаточно просто спереть чей-то session id и все (кстати, я правильно понимаю, что он вообще не экспайрится?)

Я все же хочу услышать что имеется в виду под привязыванием сессии

К ключу ЭЦП.

И как это помогает если пользователь передал свои куки злоумышленнику.

О госпиди. Уважаемый ПРИ ЛОГАУТЕ можно сессию убивать ну хоть ЭТО можно сделать? Или вы снова мне расскажете что куки продолждат работать в ФБ после того как оттуда выйти?

Не тратьте куме сили.
Не учится ничему человек...
И да, гораздо опаснее кук не убитая сессия на серваке.

Можно. Но это не относится к этой ветке обсуждения.

Про время жизни, IP, геолокацию, версию браузера и т. п. — понятно. А вот ЭЦП — нет. Возможно, автор имел в виду, что в браузере должен постоянно храниться приватный ключ? Тоже в куках?

Если вам нужна информация для общего развития — посмотрите, например, как работает mutual SSL authentication.

Конкретно в данном случае речь идет о том, что сессия должна умирать в тот момент, когда пользователь нажимает кнопку «выход», и восстанавливаться только после выполнения входа с использованием ключа.

Более того, схема, когда я должен передать свой приватный ключ и пароль другому приложению, мягко говоря, немножко дырявая. Так как этот ключ может быть в тот же момент использован для того, чтоб подписать документы в десяти других системах, принимающих его.

По аналогии — вы приходите заполнять декларацию. Оператор говорит — дайте мне ваш паспорт и ИНН, и заполняйте декларацию. Берет паспорт, идет в банк через дорогу и получает на него кредит. Но этот подтопик не об этом.

Так взагалі не закінчується. Можете вязти мою куку від вчора під відео. Все працює. :)

Вы хотели сказать, так работает на любом сайте, написанном на PHP, что после логаута можно «оживить» сессию с левого компьютера, имея на руках лишь ID строй сессии? Вам за 5 минут спроектировать решение управления сессиями, в котором не будет такой проблемы, или вы сами сможете?

Не на будь-якому. Там, де вміють користуватись session_destroy() (чи як він там називається) — не запрацює.

Боже, врятуй світ від ламерів.

Качественная и предметная дискуссия на fb Max Marchenko
Отметился (правда почти сразу и бесследно знык) Шабунин, участвовали разработчики.
Также заходил Сергей #зрада Сидоренко.

Как и следовало ожидать, вот то что следовало продемонстрировать для подтверждения наличия проблем с безопасностью, которых очевидно и не могло не быть, учитывая бессистемность и бесконтрольность происходившего.
Отдельные депутаты же просто эпически создали новый скандал на ровном месте.

Йшла сьома доба, як той сайт онлайн. ТОВ Рога і копита досі не пофіксила пдфки, не знайшло звідки емейл посилати, не додумалося як пофіксити епічне session never expires, не вимкнуло 3rd party фігню і пр. Навіщо вони сюди взагалі приходили, хтось пойняв?

Йшла 8 доба. Зі мною вже проводили публічні дебати не тільки представники рогів і копит, а і світового банку (не дуже зрозуміла причому він таv, але він фігурував в прес релізах про state-of-the-art). Відбулося професійне обговорення тем чи є кука паспортом, кредиткою, ключем від квартири.
А та клята кука так і не минула....

Какой смысл считать сутки? Миранда 20-го начала передавать систему НАЗК. Цитата: «Мы имеем возможность работать с системой только в помещении НАЗК и только в присутствии сотрудников НАЗК.» Врядли в таком случае можно ожидать оперативных исправлений.

До цього було 4 дні для виправлення помилки рівня дитсадок. 5 хвилин включно з щгадуванням пароля від серверу

В них ті пдфи всі такі з першого дня

Для історії залишу тут, фінансова і юридична частина.
Щодо вимог законодавства — там прямі порушення.
zakon3.rada.gov.ua/laws/show/80/94-вр Стаття 8 и Стаття 10 з посиланням на
zakon3.rada.gov.ua/laws/show/373-2006-п Стаття 20 и Стаття 23.
www.dstszi.gov.ua/...lish/article?art_id=46074
Розділ 1 «Встановлений цим НД ТЗІ порядок є обов’язковим для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІТС яких обробляється інформація, яка є власністю держави»
www.ac-rada.gov.ua/...../16747671/Zvit_11-6.pdf
Абзац 1 «Виконавцем робіт із створення комплексної системи захисту інформації (далі — КСЗІ) в інформаційно-телекомунікаційній системі (далі — ІТС) може бути суб’єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації»
dstszi.kmu.gov.ua/...rt_id=111330&cat_id=94061
В Переліку немає ТОВ Міранда.
Висновок — Тендер, предметом якого є система обробки, обміну і зберігання інформації, яка є власністю держави, не мала права виграти фірма без ліцензії або дозволу ДССЗЗИ. Але в Тендері в частині щодо кваліфікаційних вимог до виконавця повна тиша.
Законом дані держреестрів визначено як власність держави — це ключове. Далі всі мають виконувати корпус Законів — «для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІТС яких обробляється інформація, яка є власністю держави»

Отут от про ТОВ Миранда и ТОВ САПР
www.facebook.com/...2838336:0?hc_location=ufi
тут на стр 23 можно ознакомиться с финансовыми отношениями (и нарушениями) ДП «Зовнішторгвидав України», ТОВ Миранда и ТОВ САПР и Мінекономрозвитку еще в 2014
www.ac-rada.gov.ua/...nt/16747671/Zvit_11-6.pdf

Пише www.facebook.com/galina.hagen?fref=ufi

Абзац 1 «Виконавцем робіт із створення комплексної системи захисту інформації (далі — КСЗІ) в інформаційно-телекомунікаційній системі (далі — ІТС) може бути суб’єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації»
У 2011 році КМУ приймав зміни до переліку видів діяльності, що вимагають ліцензування у сфері захисту. Наразі їх тільки 2 — оцінка захищеності та виявлення закладок тож, Міранда могла й не мати ліцензії Держспецзв’язку. Тут швидше невідповідність етапам розробки/впровадження інформаційної системи та КСЗІ ГОСТам/ДСТУ.

А лінк можна? Я збираю всі дотичні документи

Закон Украины «Про ліцензування видів господарської діяльності»
Постановление КМУ «Про затвердження переліку послуг у галузі технічного захисту інформації, господарська діяльність щодо надання яких підлягає ліцензуванню»
Также есть постановление КМУ «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах», смотрите пункт23 правил.
Загляните в «НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі последний абзац 5.2 (насколько я знаю, эта методичка не согласована с Минюстом).
Указ Президента «Про Положення про технічний захист інформації в Україні», интересен пункт 16.

Законодательство весьма архаично и не системно, релевантных законов и подзаконных актов тьма тьмущая.
Чем именно авторы КСЗИ руководствовались — можно почерпнуть из соответствующего раздела ТЗ на разработку КСЗИ.

Після того як Алекс куку угнав мені раптом перехотілося вникати в законодавчу базу.... www.youtube.com/watch?v=TLPP4IRBcK8

А яким законом визначено, що власником держреєстрів є держава?

власником держреєстрів

Если имеется в виду информационная система, то ни в каком. Система может быть арендована.

А вот термин

інформація, яка є власністю держави

не имеет здравого смысла. Судя по всему, под этим понятием преполагается информация, которую в соответствии с какими-либо законами обрабатывают государственные структуры. Информацию в реестре деклараций в соответствии с законом “Про запобігання корупції” собирает и обрабатывает НАЗК. Поэтому в терминологии законодательства, информация, содержащаяся в декларациях является собственностью государства. Но это не означает, что эту информацию не может обрабатывать кто-то другой, если это не запрещено законом.

Хорошая статья про проблему отсутствия четкого определения для “інформації, яка є власністю держави”: nc.nusta.com.ua/...6_Bogdanov_Bakalynsky.htm

Я знаю, что ветку читают и разработчики и другие заинтересованные лица.
Как предложение.
Возможно в рамках мероприятий для восстановления доверия к системе и направления дискуссии в более конструктивное русло, стоит сделать прямой канал связи комьюнити с разработчиками? Куда можно будет посылать, найденные баги, уязвимости и т.д.
В конце концов все заинтересованы в имплементации проекта и его качестве.

Проанализировал озвученные проблемы:
github.com/...declaration-system/issues

Проанализировал озвученные проблемы:
github.com/...declaration-system/issues
Очень порадовало, что автор анализа нифига не biased
While there’s no security threat demonstrated, a public open proxy can be used to execute malicious actions on behalf of declaration system’s servers.
Погуглите плиз что такое threat, vulnerability, exploit и т.п. в контексте информационной безопасности, чтоб не писать такую ерунду в следующий раз.

Исправил на vulnerability. Какие ещё замечания?

Например:

While there are no security issues with using BankID for authentication
Откуда вы знаете, что нет никаких проблем с безопасностью, связанных с BankID?

Утверждение верно, пока не доказано обратное.

Я считаю, это нужно занести в textbook в области максимально объективного и беспристрастного анализа модели безопасности.

Разом з нуну.
Правило Міранди.
Неформальна логіка

тогда и утверждение что в системе полно проблем с безопасностью

верно, пока не доказано обратное

Несуществование чего-либо не может быть доказано. Доказательное программирование умерло.

Можно провести тщательное тестирование, но это не докажет что проблем нет.

В случае невозможности опровергнуть ни одно из утверждений при бесконечном множестве условий, необходимо какое-то из утверждений принять за истину априори. Поэтому считается, что проблем нет, пока они не выявлены. Это научный подход.

Бремя доказательства лежит на том, кто утверждает о существовании чего-либо, а не наоборот.

Трагедия в том, что именно с такой аргументацией миранда серьезно надеялась пройти сертификацию ДСТСЗИ.

А зачем тогда эта служба, если не для поиска и мониторинга уязвимостей?

Я так полагаю, что туда можно было скинуть тонну говнокода на javascript и php и чтоб они за ночь проанализировали его и сообщили говнокоедрам список уязвимостей

Беда... Тут уже 20 раз писали о Комплексной Системе Защиты Информации. Комплексной. Системе.
PS
Где найти эмоджи «махнул рукой и покачивая головой ушел в горизонт»?

Лучше поменять на «... are no known security issues ...».
Хотя и это будет не очень верным, т.к. уже известны случаи угона кодов подтверждения SMS через оператора мобильной связи.

Так что, куда делись специалисты по ЭЦП? Почему не проверяют цепочку сертификатов ключа «Рябошапки», с помощью которого депутаты «взломали» реестр? Неудобненько получилось?

После конференции Геращенко-Винника, с кем из знакомых кодеров не общался, то всем была очевидна манипулятивность.
Но эту ветку зафлудили персонажи, которые не могут отличить политику от тестирования на внешнее проникновение.

Поддельный сертификат, кстати, тут: dropmefiles.com/Yt6Kl
Поддельный он, конечно, с юридической точки зрения. С технической стороны он валидный.
На несколько часов он был добавлен в список отозванных. Теперь удален из списка отозванных. Цирк.

404 по линку
но я его видел уже

На fb Дениса Бигуса есть рабочая (по-крайней мере на момент когда я оттуда скачивал) ссылка на архив с сертификатом, списком отзыва и дампом oсsp.

Сертификат ключа, опубликованный Денисом Бигусом, судя по дампу OCSP из архива с сертификатом действительно был подписан ЦСК УСС.
Кто-то не очень умный (а вернее очень не умный) одним махом убил кучу зайцев и застрелился, попутно скомпрометировав ЦСК УСС.
Просто, блять, нет слов. Пойду чего-нить выпивать.

По ссылке на fb-ленте Дениса Бигуса в архиве лежит сертификат ключа CN=Рябошапка Р.Г., SN=Рябошапка, GN=Руслан Георгійович/serialNumber=3810, C=UA, L=Київ
с идентификатором субъекта 19:FD:B3:9C:F1:A5:2D:66:F1:01:17:52:CA:4E:AA:6C:FD:A3:14:B0:69:D1:95:B4:0D:1A:AB:FC:17:68:6F:2C, подписанный ключом с идентификатором 42:5D:4B:C6:E4:4F:FB:10:68:BA:B3:12:5B:95:86:A9:71:8E:DF:68:4B:8A:3D:E3:7A:A0:DD:AA:5B:93:6A:58
и он совпадает с идентификатором субъекта сертификата ключа O=ДП «Українські спеціальні системи», OU=Центр сертифікації ключів, CN=АЦСК ДП "УСС"/serialNumber=UA-32348248-2014, C=UA, L=Київ
Судя по статье не только Геращенко с Винником не поняли, что произошло.

Жаба гадюку... Для меня все еще вопрос откуда ключ у Бигуса и действительно ли этим ключом полдписана фейковая декоарация или Рябошапка своим настоящим поделился (Вы исключаете такой вариант полностью?).
Вобщем я подожду пока пыль уляжется.

Бигус не публиковал ключа, только его сертификат. Безотносительно того, тем ли ключом была подписана фейковая декларация или нет, сертификат ключа однозначно был подписан ключом АЦСК УСС. А тут ещё просто невероятный зашквар с утверждением того, что ключа, сертификат которого мы наблюдаем, на имя Руслана Рябошапки не выдавали.

Ждем пока пыль усядется. Вопли Шабунина у игуса про то что НАБУ всех посадит говорят как минимум об истерике (вот уж точно взлом это не подследственность НАБУ).
Я подожду инфы. Качетсво поделки от Миранды уже и так понятно.

Денис Бигус абсолютно прав в своей оценке произошедшего в одном из многочисленных ответов Антону Геращенко

Антон, я славлюсь своей выдержкой, однако — да ебаный же стыд. Система может работать хоть в тестовом режиме, хоть в рабочем, хоть в режиме текилы и сальсы. Государственная структура выдала вам на государственном бланке поддельный паспорт и заверила его своей печатью. А вы этим паспортом воспользовались (или всем сказали, что это вы). Это уголовное преступление. И оно было совершено еще ДО подачи фальшивой декларации. Подача — уже второе преступление. Что еще хуже — это компрометация госАЦСК.
Агенству по госслужбе добавили работы, если, конечно, они успеют добежать до ДП УСС раньше СБУ, НАБУ и ГПУ.

это да, теперь попиариться налетят многие.
это обычный этап.

интересный, важный будет — первые месяцы после сертификации и работы в боевом режиме.
а сейчас будет шум и гвалт, со всех сторон.
причем, он полезный :)

потому что теперь втихую причастным вряд ли что удасться прокрутить.

А поехали по второму кругу!
Выясняем кто проводил экспертизу и выдавал аттестат на КСЗИ для АЦСК УСС?
(Сарказм мод он) Или педалящие здесь за всемогущее КСЗИ думают, что там она не строилась и не аттестовалась?(сарказм мод офф).

Будучи из числа педалящих не могу не отметить, что наличие атестованного КСЗИ не делает систему не уязвимой. Равно как и отсутствие КСЗИ не делает её априори дырявой.
И хоть тут прослеживается прямая причинно-следственная связь, полагаю проеб АЦСК УСС заслуживает своей отдельной ветки.

И хоть тут прослеживается прямая причинно-следственная связь,
Боюсь, что подобные связи можно легко проследить в большинстве государственных ИС.
А «КСЗИ» для данной дискуссии все же следовало бы разделить на требования к разработке (ака CC-ISO15408 с бантиками) и к эксплуатации (что у здоровых людей обычно ISO27001 или PCIDSS для конкретики), а у нас винегрет из как относительно толковых норм, так и пост-КГБшных развлекалок с уровнями ЭМИ (в то числе оптики), расово верно прошитыми журналами и формами бланков допуска к копировальной технике.

Миранду можно (и нужно) бить исключительно в разрезе 15408 (и их маппинга на НД ТЗИ от 15-16 годов), остальное — пламенный привет НАБК сотоварищи. Давайте не смешивать.

А «КСЗИ» для данной дискуссии все же следовало бы разделить на требования к разработке (ака CC-ISO15408 с бантиками) и к эксплуатации (что у здоровых людей обычно ISO27001 или PCIDSS для конкретики), а у нас винегрет из как относительно толковых норм, так и пост-КГБшных развлекалок с уровнями ЭМИ (в то числе оптики), расово верно прошитыми журналами и формами бланков допуска к копировальной технике.
Отечественное законодательство в сфере ТЗИ, бесспорно, запутанно и архаично. У некоторых норм типа цвета буферов (либо баллончиков с краской для расово-неверных образцов) нет адекватного прикладного объяснения. За многими другими стоят годы исследований, лабораторных и полевых испытаний, а иногда очень и очень дорогие ошибки.
Но в любом случае, апелляция к незнанию (не принимайте на свой счет) или отсталости действующего законодательства не оправдание для избирательного его игнорирования в тех местах, где оно terra incognita, не нравится либо даже не совпадает с лучшими мировыми практиками.
Миранду можно (и нужно) бить исключительно в разрезе 15408 (и их маппинга на НД ТЗИ от 15-16 годов), остальное — пламенный привет НАБК сотоварищи. Давайте не смешивать.
Как я искренне уверен, Миранда не есть первопричиной — они лишь следствие порочных процессов внутри ПРООН. Сама же ситуация в целом даже с ними была бы невозможной при должном подходе к своей собственной работе со стороны ответственных лиц НАЗК. И в шельмовании Госспецсвязи (при всех их очевидных недостатках) я склонен видеть попытку переложить ответственность с ПРООН и НАЗК за (не)вовремя (не)принятые решения.
Отечественное законодательство в сфере ТЗИ, бесспорно, запутанно и архаично.
Беда в том, что инфобезопасность это не проект, а процесс. И применять к нему подход как к строительству (построили и проверили, что все по СНиПам и стандартам и успокоились) нельзя в принципе. И в ИТ даже пятилетней давности стандарт уже может быть (и часто бывает) неактуальным в каких-то разделах. И нужно либо иметь очень мощную и высокооплачиваемую команду (типа BSI) для постоянного поддержания «своих» стандартов в актуальном состоянии, переобучении аудиторов и т.д. либо забыть этот «we shell go another way» как страшный сон и принять набор стандартных международных практик. И тогда не будет вопросов ни по аудиторам, ни по работе с международными органами (и донорами в т.ч.) ни по поддержке со стороны оборудования.
И в шельмовании Госспецсвязи (при всех их очевидных недостатках) я склонен видеть попытку переложить ответственность с ПРООН и НАЗК за (не)вовремя (не)принятые решения.
А я наоборот рад, что весь этот ворох тщательно консервированных проблем наконец вылез наружу и вызвал такую широкую огласку. Ибо наконец есть возможность подвижек в положительную сторону и начали слышать реальных экспертов, а не только людей «из узкого круга».
Проблемы вскрылись у всех: у ПРООН как организации, заказавшей и оплатившей практически пустой «фасад» вместо полезной системы, у НАЗК как службы с недостаточно квалифицированным персоналом, у ДСТЗЗИ как все еще закостенелой пост-советской службы, чьи аттестаты не значат на практике практически ничего (это к АЦСК УСС и к еще огромному количеству госсистем, о которых я по понятным причинам рассказывать не буду).

Результаты, кстати, уже есть и умеренно радуют — профи занялась архитектурой безопасности системы (и этот опыт можно будет переиспользовать), ответственных с НАЗК уже вытащили на свет божий и песочат, ДСТЗЗИ хоть и небыстро, но все же переползает на международные стандарты и теперь призадумается — можно ли в принципе использовать ДСТУ 28147 безопасно при отсутствии аппаратных реализаций PKCS#11, не сажая при этом каждого пользователя в свинцовый бункер с особистом за плечом.

PCIDSS
скорее у нездоровых людей

в том смысле, что данный ритуал исключительно для платежных карт

Нет. Я работал с системой сертифицированной с PCIDSS хотя в ней не было никакой платежной информации — так было проще продавать ее тем кто хотел интегрировать с биллингом и прочими системами сертифицированными по PCIDSS. Так что было проще пройти сертификацию чем каждый раз доказывать что ты не дурак и сессии у тебя отсыхают ;).

в том смысле, что данный ритуал исключительно для платежных карт
Вообще-то это на сегодня единственный публично доступный абсолютно конкретный стандарт безопасности ИС или набора ИС. И посему он очень легко реализуется и проверяется.
Просто подставив вместо PAN-ов любую другую категорию информации, которую вы хотите защитить, и вуаля.
Сертифицироваться же по нему официально, разумеется, не для мерчантов или процессингов, смысла не имеет.

Я написал когда имеет — нам оказалось так проще с биллингами всякими интегрироваться. Ну а имплементация его полезнейшая вещь сама по себе.

Вы кому верите, дядям из спецсвязи или криптоалгоритму?

криптоалгоритму
Кстати, а что если декларации сдавать в биткоиновских блокчейнах ? Вот там точно фиг поправишь потом ....

А кто их генерить будет вы задумывались? И что будет через 5-10 лет, когда сложность генерации подрастет до фабрик асиков в десятки лямов ценой?

Сложность генерации не растет со временем, она растет с увеличением вычислительной мощности сети. Впрочем блокчейн для государства действительно не нужен.

Сертификат ключа, которым удостоверили сертификат из поста Дениса Бигуса — на странице УСС
O=ДП «Українські спеціальні системи», OU=Центр сертифікації ключів, CN=АЦСК ДП "УСС"/serialNumber=UA-32348248-2014, C=UA, L=Київ

Декодер сертификата онлайн: lapo.it/asn1js
Программулина для винды: acskidd.gov.ua/korustyvach_csk

Что имеется ввиду под «гет параметром пост запроса»? Запрос на сервер все таки GET или POST?
С чего вы решили, что сервер не проводит проверку данных с клиента?

«Alex Shevelo» и «Artyom Krivokrisenko» — очень похожие имена, легко спутать?

Мопед не мой я просто разметил обьяву?))

Очень просто. Пост запрос с гет параметром. Технически это возможно, тут реализовано на практике

Да Вы правы. Но это,на мой взгляд,странное решение.

С чего вы решили, что сервер не проводит проверку данных с клиента?
Кстати, не удивлюсь, если уже проводит, способности Миранды в «дайте список дырок, исправим за один вечер» мы уже наблюдали

www.facebook.com/..."}читайте&hc_location=ufi

Конкретно про эту проблему от автора библиотеки валидации ключей

В мене абсолютно єретичне питання — а звідки той ключ ваще взявся? Відповідь — Фльонц виставив на ФБ не приймається.
Хтось ваще задавав це питання? Я от не бачу

Нардепа Геращенка неодноразово питали в коментах. Він морозиться відповідати.
www.facebook.com/...ment_tracking={"tn":"R9″

Геращенко навряд чи знає, що таке ключ. Що він вам відповість?

Вопрос не в том, как был сгенерен ключ, а в том, как открытая часть ключа попала на дропбокс (ссылки в этом топике есть).

Например, в публичной части портала этот ключ не светится: public.nazk.gov.ua/...ic/#/view/160819132637602

Клоунов в этой истории много, одни используют админресурс, чтоб генерить левые ключи, другие сливают информацию из закрытой части типа секьюрной системы хрен знает куда.

Я уже почти готов смириться с тем, что надо всех нахрен причастных к этой истории уволить и посадить, нанять Microsoft с каким-то интегратором, чтоб они сами запилили систему электронных деклараций по всем индустриальным стандартам, запустили у себя в Azure и не допускали местных обезьян до процеса.

Ось, а клієнт Вовк навіть не зрозумів про що я питаю. Крім Майкрософта є і Приватбанк. В них взагалі Папка24 практично готова. А як вам Джеймс Бонд з підписом якогось розробника, який так щось довести хотів?

Нанять кого?! Тех, которые вот только что private key для SecureBoot случайно слили?

Предложите вариант получше (никого из каким-то образом замешанным в истории с электронными декларациями, разумеется, не предлагать)

да в любой комрпании из большой 3-5- ки в Украине есть и экспертиза и резурс что бы сделать НОРМАЛЬНУЮ, безопасную, высоконагруженную систему. И за нормальные деньги или вообще pro bono publico. Но после такого скандала вряд ли кто-то хахочет пихать голову в огонь...

Вопрос не в том, как был сгенерен ключ, а в том, как открытая часть ключа попала на дропбокс (ссылки в этом топике есть).
Из закрытой части никто не сливал: в архиве публичный ключ(сертификат) Рябошапки. Сам по себе файл не является секретным. И со слов расследователей, сертификат поначалу был опубликован на сайте УСС для общего доступа(проверки подлинности секртеного ключа другими программами). Но потом начали подчищать и сертификат был добавлен в список отозванных и потом удален.
Так что обвинения в «рассекречивании» публичного ключа необоснованны. Зато теперь мы в курсе про компроментацию УСС и до какой степени криминала готовы идти госчиновники чтобы дискредетировать декларирование при всех его и так имеющихся технических проблемах.

Якщо це так і саме цей сертифікат був використаний для внесення декларації Рябошапки, а він публічно заявив, що нічого не робив, то ясно, що його мали відкликати.

Отзыв скомпроментированого сертификатa — стандартная процедура.
А вот официальное заявление, что такой ключ никогда не выдавали и вообще: у вас негров линчуют(Джеймс Бонд публикует декларацию) — это уже заметание следов после факапа и перевод стрелок.

Там офіційна заява про Рябошапку В.В.
Про Рябошапку як його там — ніякої офіційної зави не було

Значит они сказали полуправду, медиа разнесли не проверяючи, а читатели не вичтывались внимательно(в том числе и я) и восприняли заявление УСС как отрицание в выдаче ключа Рябошапко Р.Г.

www.facebook.com/...zku/posts/546053442261387

В базі АЦСК ДП «УСС» інформація щодо видачі громадянину Рябошапці В.В. посиленого сертифіката відкритого ключа відсутня.
У зв`язку з розповсюдженням брехливої інформації щодо причетності Державного підприємства «Українські спеціальні системи» до видачі фейкового (несправжнього) електронного цифрового підпису Руслана Рябошапки заявляємо.

Акредитований центр сертифікації ключів Державного підприємства «Українські спеціальні системи» завжди діяв і діє виключно у чіткій відповідності з законодавством України, в тому числі, правил посиленої сертифікації.
За час функціонування АЦСК ДП «УСС», з 2014 по теперішній час, громадянин Рябошапка В.В. не звертався до ДП «УСС» за послугою, щодо видачі йому посиленого сертифікату відкритого ключа, тому інформація щодо можливого використання для взлому автоматизованої системи електронного декларування ключа, виданого ДП «УСС», не відповідає дійсності.

В архиве сертифкат на имя Рабошапко Р.Г. , на прес-конференции Геращенко демонтрировал декларацию Рабошапко Р.Г. public.nazk.gov.ua/...ic/#/view/160819132637602

Каким образом в обсуждении появился однофамилец Рябошапко В.В., не имеющий отношения к конфликту непонятно.

УСС не соврали, но и на вопрос не ответили, тоесть применили манипуляцию: вполне действительно к ним мог не обращаться какой-то Рябошапко В.В. как и Джордж Буш за выдачей ключей.
Нас интересуют данные по ключам Рябошапко Р.Г.

OCSP УСС на запрос выданного (и это неоспоримый факт) ими сертификата ключа (хоть на имя Дедушки Мороза) говорит что он не валиден, при этом его нет в списке отзыва.
Будь ещё сертификат в списке отзыва, можно было бы говорить о том, что УСС не соврали, а манипулировали. То, что они выдали даже не полуправда — я вчера пытался натянуть их заявление на здравый смысл и сдался. Это по-крайней мере служебный подлог, если только не хуже.

Из закрытой части никто не сливал: в архиве публичный ключ(сертификат) Рябошапки. Сам по себе файл не является секретным. И со слов расследователей, сертификат поначалу был опубликован на сайте УСС для общего доступа(проверки подлинности секртеного ключа другими программами).
С чего вы взяли, что именно с ключем, выпущенным УСС, был выполнен вход в систему? Я при логине могу выбрать штук 20 разных поставщиков ключей, плюс еще есть пункт «iнший».

Если публично на портале не показывает с каким ключем был выполнен вход, то только сотруднки миранды/НАЗК могли подтвердить, что вход был выполнен с использованием конкретного сертификата. И тогда у меня возникает вопрос, почему эти товарищи сливают инфу из закрытой системы.

Есть еще один вопрос. Если они получили информацию по взлому то следовали ли они security incident responce plan, если он конечно есть, но он должен быть т.к. это часть той самой КСЗИ к сертификации которой они были готовы и только злобные чинуши их не пустили. Сняли ли они дампы баз, логов, зафиксировали ли они факт взлома и когда он произошел?

следовали ли они security incident responce plan
Security incident response plan:

1. Заявить что ничего не было
2. Отправить армию ботов на ФБ и ДОУ отбеливать Миранду и НАЗК, поливать говном остальных

Похоже что следовали

Оххх. Спасибо, оторжался от души! :)
У ДП УСС походу тот же план. Так что есть шанс что родители их КСЗИ если не те же лица, то по-крайней мере близкие родственники.

Судя по посту на fb нардепа Alex Ryabchyn — он получил по депутатскому запросу в НАЗК серийный номер сертификата ключа, которым авторизовались для создания декларации.
Далее его запросили по ocsp у УСС и понеслась.

Если верить www.facebook.com/...s/posts/10209198714018440 и прочим отрывистым данным от разработчиков системы: после заполнении декларации при сабмите она подписывается и есть информация кто подписал (номер ключа) плюс озвучивали, что кроме полей в публичных деклараций ведется доплнительное логирование(возможно и сертификат входяшего пользователя сохраняется).
Расследователи утверждают что сам сертификат был взят с сайта УСС по номеру ключа (они там публикуются).
Но даже, если сертификат был взят из логов системы, то все равно можно опредалить кто его выдал и проследить цепочку доверия.
По указанной ссылке есть инструкция, как установить программу и воочию убедиться кто выдал ключ.
На данный момент можно смело утверждать что ключ был выдан УСС.
Это не отменяет других багов в системе декларирования, но снимает довод про плохую Миранду и хорошую ДСТЗІ(АЦСК ДП “УСС” находиться в подчинении ДСТЗІ).
Виноваты оба и каждый в своем: Миранда в непрофиссионализме, а ДСТЗІ в саботаже и подлоге.
Но в случае с исполнителем его можно заменить, а вот другой госслужбы у нас нет.

Не спешите пока набрасывать на Госспецсвязь. Если идти от подчинения, то виноватым окажется вообще Гройсман.
ДП УСС зашкварилась по полной, надеюсь этому будет дана должная оценка публично.

Возможно и так, но пока я вижу что заявления об «Рауфик неувиноват» опубликованы на сайте и фейсбуке ДСТЗИ, вместо заявления что проверяем-разбираемся-покараем.
Что для меня свидетельствует в поддержке УСС, а не выступлении в роли арбитра.

ггг. так именно это «не допустить местных обезьян до процесса» и задумывалось, когда все это проводили через ПРООН за деньги иностранных правительств. Но местные обезьяны все равно влезли.

Сразу как увидел первые набросы про «вони заважають» написал «что-то это очень напоминает налоговый кодекс Макеевой». И не ошибся. Одна контора.

Вот журналисты утверждают что хакерскую декларацию Рабошапки с ИИН 123456 с прес-конференции Геращенко-Винника добавили с использованием официального ключа с заведомо неправильным ИИН www.facebook.com/...s/posts/10206470105542689
Если это правда, то это подлог со стороны центра сертификации и показывает еще одну точку отказа: даже если систему идеально напишут и идеально атестуют КСЗИ, то остануться еще центры сертификации, которые могут выдавать цифровые подписи на чужие имена(раз с левым ИИН выдали, что их остановит от выдачи на левые имя фамилию). В Украине таких центров несколько, а не один: есть у налоговой, минюста, укрзализниці, приватбанка и несколько коммерческих.
В целом складывается впечателение, что систему валят со всех сторон: исполнители, приемщики, общественники и неравнодушные чиновники.

У всех доверенных ЦСК есть собственные КСЗИ атестованные Госспецсвязью. Если ключ был сертифицирован таким ЦСК, то этому нельзя не найти подтверждение в защищенном журнале. Если так и есть — значит фазу цирка мы проехали окончательно.

Уви, цирк уєхав. Сервер відібрали в обіззян і вливають туди двих на яве. Що і зробив би хто завгодно з елементами мозгу. А напоследок я скажу.
Отутот public.nazk.gov.ua/...clarations-public/#/about

Проект має на меті спростити подання публічними службовцями їх декларацій майнового стану, доступ до них та їх перевірку. Для цього система електронного декларування передбачає виконання таких задач:

● спрощення введення даних суб’єктом декларування; — DONE result ZERO
● забезпечення захищеного протоколу автентифікації для входу в систему електронного декларування;
● запобігання помилкам з боку суб’єкта декларування під час введення даних; — DONE result ZERO
Вахту здала

І тиша, і мертві з косами. При тому, що в цій частині ВАЩЕ нема двозначності і нема що заперечити. Всі переключилися на змагання хакерів. При тому що я весь час пишу про user experience. І повну невідповідність продукту тезе в цій частині. Нецікаво нікому?

Как я понимаю, речь о двух разных в сущности ТЗ.
Один дала ПРООН исходя из принципа «минимальной достаточности» для выполнения требований ЕС для безвиза, а вторую уже нафантазировали в НАЗК в процессе разработки первой.
Первая система, которая и была, в сущности, реализована, практически не выполняет пп.1 и 3 (разве что на уровне автоподстановки при вводе), но чисто формально выполняет требование ЕС. Практически. Если не считать BankID, который, просочившись в процессе разработки одним махом уничтожает систему юридически. Ибо юридически декларация должна быть обязательно подписана лично декларантом (на бумаге либо ЭЦП) и никакой другой вариант не катит.
Как простенький пример почему в данном случае — некто, скажем, Луценко подает через банкид декларацию с одной квартирой и одним авто, честно и подробно ее заполняет. А тут к власти приходит Янык-2, меняет главу УСС или НАБК на своего младшего внука и тот дает приказ убрать из декларации Луценко квартиру и авто. Если целостность декларации Луценко обеспечивается только ЭЦП УСС, то приватный ключ находится у его админов и им ничего не стоит переподписать им что угодно.

Что же касается системы, которую хочет НАБК, то это некий полуавтомат, в который автоматически попадают все данные об имуществе декларантов и ближайших родственников из других реестров (недвижимости, автомобилей-яхт-самолетов-етц), а сам декларант только в сущности подтверждает раз в год, что «да, мое» и довносит то, что не попало.
Идея, конечно, красивая, но требует на несколько порядков больше усилий и разработки, чем первая. И денег, разумеется. Ибо даже если все остальные реестры уже существуют и в централизованном виде, то совершенно не факт что у них есть API на госшину и его не нужно разрабатывать тоже. Также совершенно не факт что они все имеют одно и то же ключевое поле для идентнификации физлица (и даже если там везде есть ИНН, то в половине он может быть текстовым полем или необязательным) и велика вероятность, что те системы тоже придется предварительно править.

Самое смешное в этом другое. Для реальной борьбы с коррупцией оба варианта несут околонулевую пользу, но первый как бы и не претендует. Почему?
А просто посмотрите где живут те же Юлька и Ляшко, например. И на чем ездят. Т.е. подобные реестры очень легко обойти, если все имущество тупо «арендовать за копейки» у «друзей, знакомых, поклонников, сопартийцев-бизнесменов» и т.д.
Взятка ведь необязательно идет деньгами — это вполне может быть договор на аренду какого-нибудь дворца лет на 50 за 500грн в месяц.
Времена тупых жлобов типа Лозинского давно прошли — сейчас коррупционер сильно поумнел.

если все имущество тупо «арендовать за копейки»

Это прямой признак неправомерной выгоды. И если такое попадет в декларацию (равно как и не попадет), отделаться не получится. Именно поэтому Винник так нервничает.

Намагаюсь знайти фінансові звіти про діяльність ПРООН за 2015 та хоч якусь достовірну інформацію щодо первинного гранту Данії, виділеного на створення Реєстру, та його подальшого бюджетного розпису та марно. Чи є в кого чим зі мною та загалом поділитись з цього приводу ?
Тільки будь ласка по-можливості посилання на надійні джерела.
Дякую.

P. S. Також неймовірно цікаво, чому-ж все таки був заміненй експерт 2 серпня.

Завтра зашлю такий запит, якщо є доповнення то велкам www.facebook.com/...1/posts/10153797455648148

В першу чергу цікавить фінансова звітність проекту — перелік донорів, суми їх внесків та власних коштів ПРООН, структура та хронологія видатків тощо, включно з 2015 роком.
Вчора я витратив значний, як на мене, час на пошуки цих даних англійською, українською та російською, але жодних, заслуговуючих на довіру, документів так і не знайшов.

Добре, я додам це до запиту

Агент Алекс Шевело передає з засади. ІПН елементарно міняється. в мене в альбомі тут скрін www.facebook.com/...7171128148&type=3&theater
А ще він знайшов в коді гугль аналітикс. Конец связи

Кому цікаво — ксерокопії тут www.facebook.com/...1/posts/10153796418448148

Безотносительно самой системы, а что плохого в использовании Google Analytics? Разве это как-то компрометирует систему? Просто интересно. Мы и на ДОУ и на Джинне используем. Оба по HTTPS.

ви правда програмер?

госдєп буде шпіоніть?

тут же задача не закрити відперегляду, а закрити від неконтрольованого внесення зміни. Ціль системи як раз відкрити інфу.

спасибо за ответ, теперь ясно.

Сервера гугл не освячены спецсвязью. Поэтому очевидно, что сервера гугл рано или поздно взломают, а значит приватные ключи чиновников окажутся в опасности.
Не, не так. ЦРУ встроит JavaScript, который будет воровать приватные ключи.
А. Вот ещё: госдеп подделает декларации, чтобы неоправданно обвинить невиновных в коррупции.

А если серьезно: безотносительно системы и Google Analytics, использование стороннего CDN действительно может привести к компрометации. Такое было, если не ошибаюсь, с CDN серверами jQuery. Но маловероятно, что такое случится с серверами Google.

Теоритически, через гугл аналитику может сделать инъекцию любого javascript кода и выполнить его на веб-сайте жертвы. Как я понимаю, в случае данной системы, через эту дырку можно будет даже просто спереть приватный ключ с паролем и отправить его злоумышленникам, о последствиях можете подумать сами.

Практически, я подозреваю, что стандарты безопасности гугла выше стандартов безопасности госорганов Украины, и вероятность взлома с этой стороны крайне мала.

Однако, при сертификации системы, гугл аналитика окажется одним из компонентов системы. И тот, кто ее сертифицирует, должен также сертифицировать саму гугл аналитику. По понятным причинам, сделать это будет невозможно. Поэтому, если на эту систему будет выдан сертификат, это будет значить, что это не сертификат, а туалетная бумажка, которой хороший адвокат сможет подтереться в суде.

Вы немного не поняли прикола.
1) На типа защищенную счасть сайта ставят чатик от привата siteheart.
2) тот притягивает за собой гугланалитику.
3) что еще будет притескивать с собой siteheart известно только разработчикам. siteheart

Внимание вопрос насколько можно считать безопасной страницу js на которой управляется людьми которые которые не имеют к НАЗК вообще отношения и могут инджектить любые js которые с радостью выполняться на странице:) если завтра там будут все данные о пользователе включая его иин улетать на серваки siteheart или будут превью деклараций у открытом виде улетать.

А ну и в догонку при всем уважении но за пост на ДОУ или за резюме на джине не светит 2-5 лет:):):):)(ну коль скоро мы не в РФ) И для доступа на ДОУ мне не пришлось свои ключи подписи в локал сторедж браузера отдавать. По этому извините конечно но ДОУ и ДЖИНН не те проекты где нужно переживать за гугль аналитику. Или еще какие левые считалки:)

Ну вообще то это система работающая с конфиденциальными данными. Т.е. слать с нее аналитику как бы и безсмысленно и рискованно.
Но прикол еще и в том, что похоже что разработчики сами не знают куда их код лазит.

Прикол в тому, що розробники задають питання, які показують їх повну некомпетентність.

Там еще забавная строчка в html есть:

    <!--<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/font-awesome/4.4.0/css/font-awesome.min.css">-->

Ничего криминального, но если бы при мероприятиях, связанных с запуском системы, эту штуку не закомментировали бы, то достаточно было бы ломануть какой-то левый CDN и найти браузер, в котором есть непропатченые CSS vulnerabilities, и вуаля.

Приколы нашего городка серия уже хер занет какая — секьюрный (по идее) сайт деклараций шлет данные в Гугл аналитику...

Вероятно, почтовый сервер миранды там же хостится, так что ничего страшного

не не там, не додумалися, в зоні уа , я викладала айпі

!!?? При чем тут почтовый сервер? В коде сайта гугл-аналитика. Нихера себе прикольчик для секьюрного сайта?

Давайте я буду перша, хто запостить цей цирк, який переїхав в телевізор www.youtube.com/watch?v=-AzAWy3lKE4

Найкраще в тому шоу було, коли чувак з Міранди (ви тут є, а?) почав кричати «а то тестовий ключ використали!»
тестовий ключ. state-of-the-art

Ждем пресуху айтишников, которые вскрывают все дыры в любом антикоррупционном законе, принятом депутатами. :)

Ну вот, первый пошел
espreso.tv/...m_systemy_e_deklaruvannya
«Народний депутат Антон Геращенко заявив про злам системи електронного декларування»
Кто смотрел конференцию — видел, как представитель Миранды пытался объяснить, что ничго страшного не произошло, что это не тот Рябошапка. Потом к нему присоединилась «представитель общественности», которая... опять заявила, что именно государство, НАЗК и ДССЗЗИ и виноваты во всем.
Забавно, рекомендую всем на досуге глянуть ролик.

Подивимось. Не факт, що це справді взлом, а не підстава з боку чиновників.

А что значит — подстава? Сами залезли, сами чего-то там написали? Даже если допустить, что это так и есть, то это означает только, что система дает это сделать. А не должна. Ни хакерам, ни чиновникам.

Система знаходиться в дослідній експлуатації. Дозволено використання тестових ключів ЕЦП
www.eurointegration.com.ua/news/2016/08/19/7053585

Як чесний бета тестер я облазила майже все. НІДЕ не написано, що це дослідна експлуатація.

Систему взломали. Сомнений в этом нет. Причину и способ описывали даже тут. У Шабунина естественно подгорело. Я не думаю что профильный ресурс должен обращать внимание на статью чувака кот-й боровшегося за преподавание креационизма в школах.

Блин, заколебали уже, систему делала контора, которая делает исключительно гос-заказ.
Кто-то с кем-то не поделился, поэтому и началось.
все.

держзамовлення робить причому криво, я бачила їх state-of-the-art систему субсидій до всього. навіть ліби не змінили

Судя по прессконференции и комментариям разработчика в системе просто нет (или отключена проверка) белого списка валидных корневых центров сертификации. И это не очень хорошо, но не то, что нельзя было бы исправить. Но запускать в продакшн систему с такой дыркой — нельзя.

Так они классически — херак, херак — продакшен. Это еще с мылом стало понятно, не сомтря на отмазки про отсутствие сервера.

замечу, как и списка валидных ИНН. А вот это — уже странно.
Хотя ниже писали, что и телефон на валидность не проверяется.

Я чесно писала ІНН 12344567 і всі подібні інші числові параметри

А где можно скачать такой список?

А с какой целью интересуетесь? ©

Насколько я знаю есть алгоритм валидации ИНН. Список не список но реестр есть.

Он работает для 99% случаев, однако бывают ошибки при выдачи ИНН, т.е. выдвается номер изначально не проходящий валидацию по смещению от дня рождения и/или четности по полу, а поменять его после этого нельзя, т.к. он является валидным.

Во-первых, поменять можно. Наложка и не такое делает. А во-вторых, всё ещё хуже — до сих пор встречаются дубликаты ИНН. Хотя уже и очень редко. А ещё в некоторых районах особо одарённые рекомендовали гражданам идти и получать ИНН после каждой смены работы. И наложка выдавала. И теперь в таких полумусорных базах как реестр гражданских актов (загсовский) вполне можно найти и ошибки, и множество документов на одного реально человека с разными реальными ИНН... А уж что творится в пенсионных отделах, когда туда такие дятлы приходят, особо если стажи приходятся на период после 2001 года...

Там системи нема. Взагалі. Це видно з першого погляду. А з другого і третього взагалі УУУУУ. Це Шнобель по програмуванню. Я чого всіх запрошувала самим лізти і дивитися?

Ща будет прикол, если народ туда кинется смотреть декларацию Рябошапки и завалит этот «высоконагруженный» портал :).

Руководство НАЗК признало, что качество программного обеспечения таково, что систему может взломать любой среднестатистический хакер.

Они разбираются в среднестатистических хакерах?
Законы пишутся так чтобы их обязательно было не возможно соблюсти., попробуйте пройти проверку у ДСТЗи.

Ооопс
m.censor.net.ua/...o_sdelat_vinnik_o_zapuske

"На комитете состоялась конструктивная дискуссия. Мы пришли к выводу, что в связи с тем, что работа по созданию программного обеспечения для электронного декларирования была осуществлена и заказана не государственным органом, а за счет грантовых средств, компанией, которая была непрозрачно выбрана... Сейчас уже есть многочисленные замечания от участников рынка, что, например, их предложения просто не рассматривались по какой-то выдуманной причине. К примеру, якобы как файл с предложением содержал вирус. Таким образом непрозрачно была выбрана компания. Она самостоятельно написала себе техническое задание, которое де-факто не утверждалось ни НАПК, ни Госспецсвязи. Под это техническое задание была написана программа, по своей сути не отвечающая задаче, которая ставилась для программного обеспечения электронного декларирования. Суть ее заключается в том, что государству, НАПК нужен мощный аналитический программный инструмент, который в режиме реального времени может не только хранить данные госслужащих об их имущественном состоянии, а анализировать их в связи с другими реестрами и принимать соответствующие решения в форме отчетов, докладов работникам НАПК, как только данные в других реестрах меняются.
Например, купил особняк в Конча-Заспе — это сразу на следующее утро будет отражено в соответствующем отчете ответственному работнику НАПК, который сможет в этом отчете увидеть, какое было состояние у служащего в предыдущие периоды и текущие, и направить соответствующий запрос через НАБУ по подтверждению источников финансирования этого приобретения. Такой программы пока нет. У нас есть программа, которая способна принять персональные данные, которые частично являются конфиденциальными, гражданина Украины, госслужащего на сегодня, и эти данные хранить. Эта программа имеет сомнительный уровень защиты, и никак она сегодня не интегрирована с другими государственными реестрами. Поэтому получить исполнение главной задачи — быстрой аналитики имущественного состояния государственных служащих в режиме реального времени — программа пока не может.

Пффф.
У НАЗК же теперь есть Энигма, зачем им новая программа ??7
Ничонипанимаю

Шютки юмора не понял :(.

Полагаю, вы пропустили, с моей точки зрения лучший пост этого треда, в краткой и невероятно ироничной форме подчеркивающий все что общественности следует знать о компетентности строителей КСЗИ Реестра и их кураторов.

Нет конечно — Ваши посты я не пропускаю. Я не понял прикол про Энигму. Вот как бы уровень бредовости новости про шифровальную машину просто вынес мозг. Что они имели в виду? Циску какую то?

Тем не менее уровень абсурда для меня не спал :).

Попробую пояснить.

Например, купил особняк в Конча-Заспе
А много кто ещё не купил особняк в Конча-Заспе.
А с новой программой — глядишь, кто-нить и купит — и тут-то она же и пригодится!
Я не понял прикол про Энигму. Вот как бы уровень бредовости новости про шифровальную машину просто вынес мозг. Что они имели в виду? Циску какую то?
Что бы за чудо-устройство они не имели в виду, оно не может самим своим наличием компенсировать отсутствие системного комплекса.
К тому же, в контексте происходивших событий, появление этой новости делало возможной трактовку её как спонтанного решения о покупке Энигмы, принятого для усиления PR-эффекта.
От того, это было ещё смешнее читать, особенно в изложении пана Егора.

Ой ну что Вы хотите от гражданских если даже тут не все до конца понимают...
Вон Мустафа сегодня возмущенно написал что гадкое ГПУ отобрало ЛИЧНЫЙ ноут у сотрудника НАБУ на кот-м ДСП информация о персонале НАБУ. Т.е. уровень кхгм... инцидента безопасности он не понимает ни на секунду. Хоть бы уже человека так не палил...

То есть полгода Миранда занималась непонятно чем и никого это не волновало? И почему они сами себе писали ТЗ? Как понять действия заказчика, который платит деньги, но не говорит что ему надо сделать и просто спокойно ждет полгода?

Спросите ПРООН кот-е является заказчиком:
15
Метою завдання є розробка програмного забезпечення електронних активів декларації системи
України на основі затвердженої методології, як описано в цьому ТЗ.
Кінцевим бенефіціаром і одержувачем результатів завдання є ПРООН. ПРООН буде
затверджувати кінцеві результати після консультацій з групою контролю якості у складі представників ПРООН, МЮ,Світового банку та інших партнерів.

procurement-notices.undp.org/...iew_file.cfm?doc_id=65269

И почему они сами себе писали ТЗ
Вы, видимо, не в курсе, но на госзаказах (и им подобным) так принято ибо конечная цель не получить продукт, а попилить бабло и прикрыть жопку бумажками.
главной задачи — быстрой аналитики имущественного состояния государственных служащих в режиме реального времени

Это личное мнение нардепа Винника. Большую часть нафантазировал. Плюс тут кто-то тут говорил, что РНБО не при чем? Посмотрите, какой комитет он возглавляет.

В ТЗ procurement-notices.undp.org/...iew_file.cfm?doc_id=65268
прописаны 3 задачи:

1. Упростить подачу деклараций чиновниками
2. Предоставить публичный доступ к этим декларациям
3. Создать систему верификации поданных данных об имуществе

То есть верификация — это лишь третья часть от задач. И нет смысла её делать, пока нечего верифицировать.

В задачи НАПК входит:
1. государственная политика по борьбе с коррупцией (разработка стратегии, изменений в законодательство)
2. выявление несоответствий между стилем жизни и официальной зарплатой (реагирование на заявления СМИ вроде «прокурор приехал на новом лексусе», допросы «откуда взял деньги на задекларированную дачу в той самой Конче-заспе»)
3. ведение реестра деклараций (в целях их подачи, публикации и верификации)
4. непосредственно верификация деклараций
и многие другие, о которых можете почитать в соотв. законе. Заметьте, что самому реестру и верификации там уделена меньшая часть. Использовать средства верификации реестра деклараций НАПК не обязана. Этот реестр — не единственный инструмент НАПК. Есть множество других, не только технических, но и юридических инструментов.

де-факто не утверждалось ни НАПК

А это манипуляция. ТЗ было согласовано с МинЮстом. НАПК ещё не существовало, соответственно, не с кем было согласовывать: ain.ua/2015/10/01/607103 (заметьте, какой ажиотаж в комментариях среди «ылиты» ИТ, которая сейчас брызжет слюной «я бы сделал лучше»)

ни Госспецсвязи.

С чего бы это у них необходимо было утверждать ТЗ?

Мне кажется, происходит сознательное затягивание начала работы НАПК.
Причем явно не разработчиками софта. Нас водят за нос.

Запропонувана система не спрощує подачу декларацій, а утруднює.

.... утруднює процес приховування доходів?)))

А ти не воруй! ©

вы бы предпочли бумажную заполнять?

де-факто не утверждалось ни НАПК

А это манипуляция. ТЗ было согласовано с МинЮстом. НАПК ещё не существовало

Ну хоть в Вики залезьте.... НАПК образовано в марте 2015-го, тендер — сентябрь-октябрь 2015.
ни Госспецсвязи.

С чего бы это у них необходимо было утверждать ТЗ?

Ну хотя бы для того что бы получить сертификацию (и быть юридически безупречными) и не делать теперь луп-луп глазами по поводу BankID, кот-й таки да прописан в ТЗ.
Задачи приписанные в ТЗ Вы уж как то лихо урезали. Вот они со страницы 15

Проект має на меті спростити подання публічними службовцями їх декларацій майнового стану,
доступ до них та їх перевірку. Для цього система електронного декларування має бути спроможна
виконувати такі задачі:
● спрощення введення даних суб’єктом декларува
ння;
● забезпечення захищеного протоколу автентифікації для входу в систему електронного
декларування;
● запобігання помилкам з боку суб’єкта декларування під час введення даних;
● виконання перехресної перевірки інформації з використанням баз даних інш
их державних
органів;
● надання доступу до системи електронного декларування іншим державним базам даних;
● забезпечення захищеного зберігання введених даних;
● надання відкритого онлайнового доступу та засобів пошуку по відкритих даних, що містяться в
деклараціях, і можливості їх звантаження;
● створення відкритого API для розробників для забезпечення захищеного доступу до відкритих
даних із декларацій майнового стану та їх звантаження в різних форматах;
● оптимізація процедур обробки декларацій майнового стану персоналом НАЗК і створення
ефективного бізнес-процесу перевірки декларацій.
Упрощение процесса ввода деклараций никого особо не волнует. Главное это верификация и поиск.
Ну хоть в Вики залезьте.... НАПК образовано в марте 2015-го, тендер — сентябрь-октябрь 2015.
Март 2015-го — дата решения Кабмина. Но ведь организация появляется не после издания какой-то бумажки. А после появления уполномоченного лица. Нет представителя — нет организации.
Вы уж как то лихо урезали.
Что же я упустил? Задачи делятся на 3 категории: заполнение, публикация и верификация. Это было сказано в контексте целей созданий реестра, а не детального описания экранов и формочек.
Упрощение процесса ввода деклараций никого особо не волнует. Главное это верификация и поиск.

Для разных категорий лиц разное понятие о «главном». Декларантам главное — защититься от претензий НАПК (упрощение подачи). Общественности главное — подотчетность декларантов (поиск и просмотр). Членам НАПК главное — выявление несоответствий (верификация).

Все было уже в сентябре-октябре. Я проверял.

Что «все»? Право подписывать документы от НАПК кто имел?

Спросите в НАПК. Организация на этот момент существовала и вела свою деятельность.

Организация на этот момент существовала и вела свою деятельность.

Это неверное утверждение. Бремя доказательства лежит на вас. До избрания главы существовала лишь конкурсная комиссия НАПК. Никакую деятельность НАПК вести до этого не могло.

Опять... А стулья и оборудование кто закупал? И т.д. Ну зачем опять недумавши писать...

Нету у НАПК ни стульев, ни оборудования. Об этом не раз сообщалось.

заметьте, какой ажиотаж в комментариях среди «ылиты» ИТ, которая сейчас брызжет слюной «я бы сделал лучше»
А что вас во фразе «я бы сделал лучше» смущает, если реально сделать хуже — надо еще постараться?

Меня смущает, что когда объявляли тендер (тут, на DOU и на AIN), было 0 целых 0 десятых желающих. А сейчас вдруг хвастуны подтянулись.

Де оголошували? Дайте лінки

Була якась тема, здається, датована вереснем. Але тема то тема, треба було взяти топ-25 ДОУ та розіслати всім запрошення.

Вже свідчень того, що подавалися, і їх бортанули, в тому числі через те. що «файл не відкрився»

Что за компании? Из ТОП-25 DOU?

To be continued. В медіа

>Пытался заполнить тдерную заявку, понял что ее не возможно заплнить честно :)
Хоч я Карпенка не поважаю за деякі його зашквари, проте, він не перший хто на це вказує, а тому є всі підстави сумніватись у честності тендеру.

Карпенко мене репостить

Дабы не бегать по веткам, постараюсь ответить здесь на все претензии к системе
Начнем с истеричной особы, т.к. в фб у нее комментарии закрыты не от друзей (теперь понимаю почему), то буду отвечать здесь и на ее претензии из фб.
1. Тяжело листать календарь
Обычная манипуляция — т.к. достаточно кликнуть на название месяца (при наведении он подсвечивается), и будет доступен выбор месяцов и годов. Что же, добавим этот кейс в инструкцию к системе.
2. В коде страницы есть код siteheart, и это «ужас».
Действительно есть, и есть он там изначально — когда сотрудники НАЗК научаться пользоваться онлайн помощью он будет активирован.
Кстати, кто не знал, это приватовская разработка. И приват не боится ее использовать у себя в системах.
3. В коде страницы есть данные о человеке.
Сделано это было намеренно, для снижения нагрузки на сервера. Минус один запрос с фронта, к бекенду. Кто-то конечно скажет, что это экономия на спичках, но при планируемой нагрузке на систему, это много.
Кстати, аргументацию почему это плохо, с удовольствием выслушаю. Кроме аргументации по кешированию браузерами страниц. Решается это заголовками.
4. Нашла, что если в качестве ключа указать файл с картинкой, выскакивает окно «undefined».
Уже передали разработчикам либы вопрос. Видимо, до этого дня, не одному человеку не приходило такое в голову. Иначе это было бы давно закрыто.
5. Что еще забыл?
Теперь перейдем к вопросу еще очень активного писателя («специалиста» по безопасности, который так и не ответил на вопрос про SSL, ну да ладно, может гуглит)

Ну т.е. на локалхост Sendmail поднять это подвиг меценатсва? Ну тут то не надо людей обманывать, все прекрасно знают что SMTP сервер это не железяка.
С какой скоростью ваши письма будут улетать в спам при такой настройке?

Вроде все собрал. Что из вышеперечисленного как-то ломает систему, или делает ее не безопасной?
Я не спорю, что могут быть нюансы в юзабилити, которые вылезут во время эксплуатации системы. И возможно даже критические ошибки.
Но со всеми большими системами так. Не бывает программ без ошибок, и мы это прекрасно понимаем.

Один маленький вопросик а когда уже придумаете "як сказать, що email пройшов перевірку"© у вас уже есть какое то глобальное решение или необходимо собрать пару тройку митингов?

До речі перевірка телефону там досі не працює

Звичайно не працює бо last-modified:Thu, 04 Aug 2016 15:50:23 GMT Якшо вірити заголовку то той js не мінявся з цієї дати:)

Та знаю. Це я так. Для підтримання розмови з пацієнтом.

Ну что ж господин-стесняющийся-своей-работы. Вопрос с SSL мило разрешился. Vanya Yani извинился и признал мою правоту. dou.ua/...aign=reply-comment#974347
Конечно же я не надеюсь на какие то извинения от Вас но давайте продолжим тему SMTP сервера. ОК, я допускаю что по эстетическим соображениям Sendmail не очень красиво (не надо про нагрузку только — она счас я думаю мизерна) но что бы вы делали если бы систему поставили бы в наглухо закрытый для исходящих соединений периметр, как это делают параноидальные европейцы? Упали бы с ошибкой наверно?
Ну и самое смешное это утверждение что у НАСК нету почтовика. А вы не могли использовать mail.gov.ua к примеру? Нет?

извинился и признал мою правоту

Вам бы в политику, тонко манипулируете фактами :)

Сделано это было намеренно, для снижения нагрузки на сервера. Минус один запрос с фронта, к бекенду. Кто-то конечно скажет, что это экономия на спичках, но при планируемой нагрузке на систему, это много.
А какая планируемая нагрузка на систему? Исходя из открытых данных, это порядка 50000 госчиновников, которые гарантированно не кинутся заполнять декларации одновременно и еще нескольких ботов которые якобы будут собирать статистику в фоновом режиме.
Это просто смешно. Даже предлагаемая коллегой «горизонтальная масштабированность» тут в принципе не нужна.

Вы сильно ошибаетесь в количестве чиновников. По разным оценкам под закон попадает от 400000 до 700000 человек. Это только первый этап порядка 50 т.ч. А если учесть, что народ у нас тянет до последнего, то неделя под конец сроков будет очень жаркая. А система изначально построена под горизонтальное масштабирование.

Вы сильно ошибаетесь в количестве чиновников.
возможно.
По разным оценкам под закон попадает от 400000 до 700000 человек.
А есть пруфлинки на эти цифры?
Но давай возьмем цифру в 700000 и «последнюю неделю», как максимальную нагрузку и попытаемся попроектировать. Допустим что все чиновники внезапно кинутся декларировать свою недвижимость в последнюю неделю. И будут это делать 12 часов в сутки.
Итого имеем 700000/7/12=8300 сессий в час. Допустим что средняя декларация — это 10 http реквестов(логин, ввод данных, сабмит). Итого имеем 83000 реквестов в час или же 1400 реквестов в минуту. Что в принципе является смешной нагрузкой для любого из современных веб серверов, со сколько нибудь вменяемым бекендом, которые тянут порядка 5000 конкурентных подключений на сервак без дополнительных оптимизаций.
Зачем тут горизонтальное масштабирование???
со сколько нибудь вменяемым бекендом
Судя по всему, там спагетти на PHP без какого-либо каркасного фреймворка. Так что не факт, что выдержит.

Сразу видно, что судите Вы о системе по статьям наших недожурналистов. 10 реквестов говорите? Декларация это 17 разделов, в каждом из которых указываются субъекты и объекты дакларирования (которые тоже сразу отправляются на сервер, и это не только сам декларант, а и его все родственники, и все люди с которыми он имеет любые денежные, имущественные и т.п. отношения), постоянное автосохранение данных со страницы заполнения декларации, и самое тяжелое ЕЦП. При подписи декларации ЕЦП, мало того что выполняется порядка 10 реквестов (как к серверу, так и от него к АЦСК), так она еще и очень ресурсоемкая (крипта все же не по каким-то там стандартам международным, а наше родное ДСТУ).

Теперь про цифры, для начала biz.liga.net/...god-sokratilos-na-0-4.htm
А потом открываем zakon0.rada.gov.ua/...-18/print1418806248462072 и смотрим сколько народу еще приравнено к госслужащим.

Если ты читал мой пост выше внимательно, то не мог не заметить что расчеты были сделаны по максимуму, исходя из приведенных тобой же цифр, и все равно оставался приличный запас. Но ок, допустим я чего то недоучел — дело хозяйское. Тебя не затруднит выложить свои прикидки?

Банковские программисты смотрят с недоумением на тебя. А потом смеются над вашей нагрузкой. ))

Появились реальные цифры:

Лише протягом останньої доби системою було зафіксовано 3,8 млн запитів. На сьогодні кількість запитів на годину становить понад 200 тисяч

То есть реальность оказалась более чем в 2 раза выше ваших расчетов “по максимуму”. А с учетом того, что нагрузка навряд ли распределена равномерно, в пике она может намного превышать 5000 в минуту.

Зачем тут горизонтальное масштабирование

Действительно, пока что вертикального хватает:

На даний момент проводяться роботи з розширенню пропускної здатності фізичних каналів зв’язку та збільшення обчислювальної потужності серверного обладнання (віртуальної інфраструктури) офіційного сайту nazk.gov.ua

И заметьте, по сообщению НАЗК, это лишь сайт-визитка, используемый для поиска ссылки на портал. Можно предположить, что на сам портал нагрузка гораздо выше.

P.S. Впрочем, не исключено, что это DDoS

То есть реальность оказалась более чем в 2 раза выше ваших расчетов «по максимуму». А с учетом того, что нагрузка навряд ли распределена равномерно, в пике она может намного превышать 5000 в минуту.
Этого я не понял. Будучи человеком совершенно никак не связанным с госконторами, я сделал некоторые предположения, исходя из моих ограниченных представлений о предметной области. И заметь, попросил людей связанных с разработкой, уточнить их — ведь они же должны же должны лучше знать каких нагрузок ожидать.
Ответа не получил.
И при всем при этом, исходя из цифр в твоей статье получаем 200000/60=3333 реквестов в минуту.
Что дает нам запас в ~40% на одном серваке без оптимизации. Если пофиксать ботлнеки и сконфигурить все правильно, то 10000 вполне реальная цифра. Это дает нам 300% запаса от нагрузки.
И?

угу, это как с ЭРДР. Который в 13\14 году ложился в конце каждого квартала :)

Смешная нагрузка свалила новую систему, написанную УСС
zik.ua/...kist_zapytiv__nazk_979502

ну я не знаю, посмотри статистику какого нить инет магазина популярного в предновогодний период к примеру. Просто чтобы понять что такое средняя нагрузка.

Посмотрел

Гугл ~300 млн в сутки
Фейсбук ~200 млн в сутки
Википедия ~100 млн в сутки
Яндекс — ~40 млн в сутки
Вконтакте — ~30 млн в сутки

OLX ~ 5 млн в сутки
Розетка ~ 3 млн в сутки

3 млн в сутки — каждый день. А что там про в пиковые нагрузки(мы же сравнимое сравниваем, правильно), предновогодние распродажи, черные пятницы...

Это НЕ новая система. Оно конечно удобная позицуия мирандистов но это мирандовская ситема, хоть и молифицировання в части закрытия вопиющих дыр.

Ну и еще по поводу нагрузки. Согласно документу на сайте ПРООН ситема должна была бтыть готова к .... (барабанная дробь) марту 2016-го года (т.е. периоду сдачи деклараций в налоговую). Но талантливые ПМы очевидно прощеглкали сроки и смогли выкатить ублюдка только летом (ну вся история тут как на ладони). Ну как бы ой — изначально предполагалось протестироывать нагрузку в реальном проде но без политического давления.
И еще... Сама концепция системы радикально неправильна (и кстати ЭТО как раз хороший кейс для ДОУ) — не стояла задача сделать он-лайн заполнялку, стояла задача собирать, публиковать и верифицировать декларации. Сделали бы офф-лайн заполнялку — не было бы этих проблем с нагрузкой сейчас.

Я бы не был таким категоричным.

css — слизан
html — частично совпадает
javascript — отличается
url, ajax запросы — отличаются значительно

В публичной части — значительно изменен функционал. Так, например, API заменен полностью.

Всё это не похоже на «молифицировання».

Чому ви вирішили, що нову систему написали в УСС? В них не має програмістів. Система у них тільки хоститься

Есть у них и админы и программисты.
www.uss.gov.ua/itoutsourcing
www.uss.gov.ua/...-of-tzi-and-cryptographic

Метою проведення науково-дослідних і дослідно-конструкторських робіт є впровадження нових засобів (зразків) технічного або криптографічного захисту інформації, створення програмних засобів захисту інформації, розробка апаратних та програмно-апаратних засобів технічного або криптографічного захисту інформації, методик до них.
В добавок для КСЗИ им предоставляли флешки с кодом и они публично сообщали про уязвимости в коде — соотвественно кто-то должен был тот код ревьювить.
Также могли элементарно зааутсорсить — если нашлась мотивация компрометирвоать центр сертификации, то деньги на нескольких программистов тоже могли найти.

А хто ще?
У НАЗК немає технічних спеціалістів. НАЗК визначило ДП «УСС» адміністратором Держреєстру е-декларацій
ua.interfax.com.ua/news/general/377945.html

Технічний адміністратор — це юридичне визначення того, що ми називаємо «мейнтейнер». Тобто фактично — розробник.

Якщо це ви про мене, раптом, то
0. в мене не закриті коментарі в ФБ ні від кого, це брехня
1. ви щось про user-friendly interface чули? по вашому той календар — це воно? В мережі дофіга коду для календарів, лом шукати чи що?
2. в самому stieheart нічого поганого, крім www.siteheart.com/ru/rules з усіма витікаючими
3. вже без мене впоралися
4. картинку ніхто не вставляв, помилка про інше, і все ще там, шукайте краще
5. що ще забули?
5.1. головне — емейл (який досі гуляє через ваш сервер), питання — як ви сподівалися отримати сертифікацію з таким «захистом»?
5.2. неіснуючі адміністративні одиниці (ви взяли без змін код з сайту субсидій)
5.3 і дофіга більше

Ваш продукт дійсно є state-of-art халтури. Він вже морально застарів.

ПС. Мені глибоко плювати на персональні інвективи, мене вчили, що лайка від ворога — це хвала.

коменти в фб у тебе закриті для всіх кроми друзів. Особисто я не можу коментувати псля того, як ти викинула мене з друзів

Вот-вот. Настройки приватности в Facebook ошенама сложные...

Що правда? Зараз перевірю

дякую що сказав, в мене після 100500 бана якісь дивні налаштування

В коде страницы есть код siteh...

Посмотрите пожалуйста мой комментарий dou.ua/...orums/topic/18252/#974920

Там ще є гугль аналітикс є, від сайтнарта

Учасники термінової наради щодо вирішення проблеми з е-декларуванням, проведеної президента Петром Порошенком, повідомляють про домовленість щодо термінового оформлення атестата відповідності системи електронного декларування.

За даними повідомлення, винною у виникненні проблем оголошено компанію-розробника, ООО «Міранда».

З повідомлення можна зробити висновок, що допрацювання буде відбуватися без участі розробника ПО.

Бабло то уже рапилено.

Заметьте, Миранда используют самые сертифицированные спецсвязью ЭЦП-библиотеки

Для начала, надо подвесить за тестикулы тех, кто отдал Миранде этот заказ.
Там убили 2-х зайцев: зафакапили заказ и попилили бабло.

Без эшафотов не обойтись: hvylya.net/...-vse-godyi-vyizhival.html

В Европе «сознательность» воспитывалась в XVII — XIX вв только так.
И в Грузии — тоже,
кстати, вато-грузины до сих пор Миху простить не могут, им лучше совок и нищета.

Могу примерно рассказать как это работает на основе опыта работы с похожей конторой только в другой сфере.

1. Кто-то из универа(кафедры) узнает про тендер и возможность попилить бабки.
2. Собирается несколько дружественных контор и подаются на тендер с такими предложениями, чтобы выиграла конкретная контора, через которую будет производится попил.
3. Контора выигрывает тендер не имея ни специалистов ни возможностей.
4. На кафедре оформляется хоз тема.
5. В хоз тему записываются все шановные с кафедры (профессура и нужные доценты), а так же несколько аспирантов и, возможно, студентов (исполнители).
6. Бабки по хозтеме пилятся шановными, а до исполнителей доезжает болт денег и миллион пи8дюлей.
7. Хозтема закрывается через прикормленную приемку и откат.
8. Профит.

Будучи студентом попадал в похожие расклады.

узнает про тендер
При проведении тендера можно хотя бы указать необходимость иметь лицензии по КЗИ и ТЗИ. В данном же случае, когда деньги просто дают тому, на кого покажет прикормленный перст судьбы.

«хоз тема»? Это такой официальный термин?

Видимо вы просто не сталкивались) Такой же официальный как и помощь кафедре.

таки студент.... чи взагалі школяр?

Я більше не буду. Це останнє. State of art календар. Я до свого місяця народження хвилин 10 клацатиму, я не переживу www.facebook.com/...6093147&type=3&permPage=1

Та ні, продовжуйте. І, якщо можна, якесь резюме: по пунктах і просто, для непосвячених.

Да уже из этого примера можно сделать два вывода.
1. Система (вот конкретно этот модуль) создавался в лучшем случае студентом-недоучкой, в худшем — школьником, вчера начавшим осваивать JS.
2. Система (вот конкретно этот модуль) никаким образом никем и никак не тестировалась.
И эти выводы — на поверхности. И по ним, самым простым и легким вещам, можно догадываться, а что-же там скрывается от нашего взгляда под предлогом великой государственной тайны “внутри”, и даже лучше не задумываться, как там обстоит дело с тем самым КСЗИ.
И самое интересное. В этой теме таких проколов уже насобиралось наверное с десяток. На каждый из них поступает ответ от “разработчиков” типа “да это частная небольшая недоделка, исправим, а вы там работайте, ищите ошибки и сообщайте нам”. Хотя по результатам заседания 15 августа от тех-же разработчиков мы слышали, что технически система идеальна, но вот только в документации “надо поменять местами пункты”.
Но своего разработчики уже достигли.

ДССЗЗІ як державний орган не має іншого варіанту дій, крім як взяти.... відповідальність та забезпечити сертифікований старт системи
А как, если там такой “идеальный код”?

Спасибо. Но как пояснить эти проблемы непрограммисту?

Какие именно?
1. Программа имеет низкое качество кода.
(Аналогия для неспециалиста — автомобиль качественной и некачественной сборки. Специалист понимает это глядя на сам процесс сборки. Неспециалист — только наткнувшись на эту проблему в ходе эксплуатации, хотя может и довериться мнению специалиста заранее и в такую машину не садиться, что-бы не оказаться с отвалившимися колесами посреди дороги)
2. Попытка выдать свое изделие за технически идеальное и свалить вину на орган сертификации (Аналогия для неспециалиста — крэш-тест автомобиля. Производитель говорить «все супер, машина же ездит», а в реальности — шансов на выживаемость в случае аварии почти нет).
3. Заставить ДССЗИ «допиливать систему» — это как заставить орган, проводящий тест на соответствие мотора авто стандартам «ЕВРО-N» заниматься перепроектированием и ПЕРЕИЗГОТОВЛЕНИЕМ автомобиля, причем всего — от колес до выхлопной трубы. Причем «в кратчайшие сроки».
Вот так, для «непрограммиста».

Да очень просто пояснить. Вы будете ездить на машине где колеса квадратные, спидометр крутиться в обратную сторону а вместо лампочки о том что бенз заканчивается приклеена бумажка «надо поридумать как нам показать что бензин заканчивается»?:)

Ага, апним народный багтрекер, и разложим все по полочкам...
Уже прям волонтерство)

А що буде, якщо клацнути по отим двом стрілочкам зліва від назви місяця?

Это вы ещё не видели внутрикорпоративные продукты вполне уважаемых контор.

Используй силу клавиатуру, Люк!

Оскільки в ту клоаку, здається, ходжу тільки я всередину, то повідомляю новини сайту декларацій. Хтось прикрутив всередину siteheart.com

Это может быть уязвимостью — посредством такой связи (например, взломав s...) можно, как минимум, с помощью социальной инженерии получить приватные ключи и даже пароли тех, кто заходит на сайт для деклараций.

Не должно быть никакой связи с посторонними сайтами, убрать такую привязку — минутное дело, пускай уж лучше чат не работает.

Поправьте меня пожалуйста, если я ошибаюсь.

Та звісно що ви не помилляєтеся. Тут просто якийсь ацкій цирк.

IMHO: нерідко в аутсорсингу розробка йде роками — ітеративно, поступово виправляються огріхи, деякі дірки в безпеці можуть не виправлятися роками, нерідко — нормальний спокійний менеджмент; розробка ж для гос. сектору має бути більш складна, відповідальна і більш інтенсивна (більш нервова) ніж для звичайного аутсорсингу, а от яка там зарплатня і умови, в даному випадку, — я не знаю (думаю що гірші), тому я сьогодні просто щиро співчуваю розробникам (саме розробникам, як там вище — я не знаю), бо ж критикувати в сотні разів легше ніж писати щодня код. Правильно і чесно оцінити термін виконання робіт — це майстерність і не всі це вміють навіть у аутсорсингу, не те що в гос. секторі.

Це приватна контора, яка писала на замовлення іноземного донора. Де ви тут бачите державний сектор? Він в темі з’явивися десь так кілька тижнів тому

Тем временем..

www.facebook.com/...lya/posts/316018245398572

TL;DR

ДССЗЗІ должна усунуть недолики :)
Роботу над цими модулями ДССЗЗІ має виконати самостійно в стислі терміни.

Ждем продолжения драмы 1го сентября

Какой феерический бред.
Признали, что “компанія-підрядник несумлінно виконала свої зобов’язання”. И вывод —

“ДССЗЗІ як державний орган не має іншого варіанту дій, крім як взяти ініціативу і відповідальність та забезпечити сертифікований старт системи.”
Каким образом??? А почему не АЗПК?
Міністр фінансів Олександр Данилюк, у свою чергу, заявив про готовність ініціювати оперативне рішення щодо фінансування робіт із забезпечення четвертого та п’ятого модулів системи електронного декларування. Роботу над цими модулями ДССЗЗІ має виконати самостійно в стислі терміни.

Поручить ДССЗЗИ, по сути органу власти, а не фирме, специализирующаяся на разработке ПО “самостійно в стислі терміни” виполнить работу, с которой облажалась фирма-разработчик с офигительнім опытом “успешных проектов” для государственных учреждений Украины — это таки путь к окончательному угроблению проекта, вывода действительно виноватых из-под удара и назначение такими невиновных.

Ну и последний гвоздь. Теперь ДССЗЗИ должна сама разработать систему и сама-же ее сертифицировать.
Все, занавес.

Это очередное подтверждение версии, по которой уязвимостей не найдено, а есть только недоработки в документации КСЗИ.

Смотрите сами:

1. ДССЗЗИ и ДЦКЗ выполняют только экспертизу и аттестацию КСЗИ. Хостится система в УСС.
2. ДССЗЗИ не имеет правовых оснований для вмешательства в систему. Разве что НАЗК определит ДССЗЗИ как технического администратора реестра, что вызовет ещё больше подозрений.
3. Если ДССЗЗИ занимается разработкой КСЗИ и одновременно его экспертизой, то не является ли это нарушением, из-за которого отстранили ТОВ «Криптософт»?

Ну Гарант сказал запилить — значит запилить! Зак