ООО «Миранда» Черный список Украины

ООО «Миранда» — выйграла тендер на разработку програмного обеспечения по декларированию. Сейчас стартовала кампания по явному давлению на запуск приняте системы в ущербном виде.

Ниже приложу пост с разъяснениями о происходящем.

И просьба, ребята не делайте говнокод — даже если вас об этом просит заказчик!

Это как с гречкой на выборах — береш пакет гречки, а платишь своим будущим...

А главное — не работайте с теми кто делает говнокод, тем более в такой важной для Украины теме...

Олеся Яхно-Белковская
45 мин. ·

О проблеме старта электронного декларирования
Решение любой проблемы начинается с понимания ее причин. Понимание причин, в свою очередь, позволяет исправить те или иные позиции, а не скатываться к поверхностным оценкам или что еще хуже — к старой привычке объяснять все происходящее в логике «зрад и перемог».

Запуск электронного декларирования действительно является важным нововведением для Украины. Не только с точки зрения безвизового режима или привязки к траншу МВФ, но прежде всего — с точки зрения практики, снижающей политическую коррупцию в стране уже на стадии мотивации (зачем идти в политику с коррупционными целями, если все прозрачно) и, соответственно, работающей на взросление и ответственность украинского политического класса. Исходя из этого, тем более необходимо указать на реальные причины проблем со стартом этой нормы 15 августа, как это предполагается.

На мой взгляд, они следующие.

Во-первых, политических препятствий нет — есть препятствия техничегого характера. Хочу напомнить, что президент создал политические и юридические условия для старта системы электронного декларирования (имею в виду активное участие президента как субъекта законодательной инициативы и совместную работу с представителями гражданского общества и европейскими экспертами в разработке закона). Да, мы помним, с какого раза парламент проголосовал за эту норму. И, тем не менее, в итоге закон был принят и подписан.

Во-вторых, задержка со стартом носит сугубо технический характер, связанный с некачественным программным обеспечением, разработанным частной компанией, и незащищенностью системы декларирования от внешнего вмешательства. Руководство НАЗК признало, что качество программного обеспечения таково, что систему может взломать любой среднестатистический хакер. С таким качеством электронные декларации не могут быть правовым документом, и превращаются где-то в компьютерную игру.

В-третьих, полноценный старт системы возможен только в том случае, если разработчики софта как можно скорее устранят недостатки, являющиеся препятствием для сертификации. Разработчик, ООО «Миранда», занял деструктивную позицию, и не идет на устранение недостатков. И пока фактическим владельцем программы является частная структура, она не передала НАЗК ни ключи, ни коды. То есть, эта частная структура некачественно выполнила роботу, и, по сути, срывает старт процесса.

В-четвертых, общественные организации и активисты, которые нередко вполне справедливо критикуют власть, по идее, должны были в этой ситуации проявить объективность, и непредвзято оценить работу разработчиков софта, требовать от них немедленного устранения недостатков. Вместо этого — в данном случае действуют, скорее, исходя из принципа корпоративной солидарности.

В-пятых, нарушения со стороны разработчиков софта содержат признаки саботажа борьбы с коррупцией, и должны стать предметом расследования правоохранительных органов.

👍ПодобаєтьсяСподобалось1
До обраногоВ обраному0
LinkedIn

Найкращі коментарі пропустити

Сперва, вот вам краткий обзор по отечественной проблематике систем защиты информации для тех, кто (поверьте — к вашему же счастью и душевному спокойствию) не имел практического опыта их создания и атестации согласно нашего дивного законодательства.
КСЗИ — stands for Комплексная система защиты информации. Подразумевает комплекс организационных и технических мероприятий, обеспечивающий реализацию определенной технологии обработки информации. Огрубляя для простоты — некоторое количество коробок документов с описаниями того, как обеспечить целостность, доступность, конфиденциальность информации, обрабатываемой в этих ваших инторнетах.
Порядок создания описан в НД ТЗІ 3.7-003-2005 dstszi.kmu.gov.ua/...atalog/document?id=106350. Чисто ради интереса читать его бессмысленно и даже опасно для вашего душевного здоровья. Так что, вот вам спойлер — создается Техническое Задание (ТЗ), согласовуется с Госспецсвязью, согласно ТЗ разрабатывается проект КСЗИ, реализуется, далее созданное КСЗИ всячески анализируется разработчиком и персоналом заказчика на предмет его соответствию ТЗ и попутно допиливается. И когда все стороны этого увлекательного процесса вроде бы согласны, что нужный результат достигнут — остается убедить государство в лице Госспецвязи в том, что если что-либо с информацией и случится, то их — Госспецсвязь — за это не накажут. Можно, впрочем и не убеждать, что правда входит в противоречие с Законом Украины “Про захист інформації в інформаційно-телекомунікаційних системах” zakon5.rada.gov.ua/laws/show/80/94-вр.
Процесс убеждения Госспецсвязи, при удачном раскладе, состоит из двух этапов — Экспертиза и Атестация. При неудачном — экспертизу прийдётся перездавать неоднократно. Отказ же в атестации при полноценной экспертизе — ну просто реальный epic fail.
Экспертизу организовывает заказчик КСЗИ согласно “Положення про державну експертизу в сфері технічного захисту інформації” zakon4.rada.gov.ua/laws/show/z0820-07. Выполняется экспертиза сторонним подрядчиком из числа тех, у кого есть лицензия Госспецсвязи на оценку защищенности информации. Необходимость наличия такой лицензии — требование Закона Украины “Про ліцензування видів господарської діяльності” zakon4.rada.gov.ua/laws/show/222-19 и постановления КМУ “Про ліцензування видів господарської діяльності” zakon4.rada.gov.ua/laws/show/222-19. Выбор исполнителя экспертизы согласовывается с Госспецсвязью.
Счастливчик, определенный экспертом, потрошит коробки с документацией на КСЗИ, изучает, пишет методику её тестирования, согласовывает с Госспецсвязью, проводит согласно методики экспертные исследования КСЗИ, пишет заключение и, если оно таки положительное — отправляет КСЗИ на Атестацию в Госспецсвязь.
Госспецсвязь собирает комиссию и та проверяет заключение эксперта на синтаксические и орфографические ошибки, сверяет соответствие списка документов в коробках с описанием новосозданной КСЗИ требованиям вороха методичек и отправляет кого-нить помоложе распечатать и заламинировать Атестат соответствия.
Всю эту стройную последовательность множим на объём производимой в процессе бумаги в метрах кубических, добавляем издержки на режимно-секретные ритуалы и пересылку непрозрачных, прошитых суровыми нитками, пакетов туда и обратно курьером — и на выходе получаем средне-статистическую Экспертизу+Атестацию длиной от пары недель до многих месяцев.

Теперь, кратко, почему КСЗИ секретится (а для систем без гос. тайны — служебится — присвоением грифа ДСК). Описательная часть КСЗИ содержит детальные сведения о всем комплексе защиты — от персонала, до технических средств. По модели угроз, плану защиты, структуре службы защиты и прочим документам КСЗИ очень удобно подыскивать способ как взломать это всё попроще либо, например, к кому лучше всего незаметно подкатить с деньгами или паяльником. Примерьте пункты 1, 2 и 3 части 2 статьи 6 Закона Украины “Про доступ до публічної інформації” zakon3.rada.gov.ua/laws/show/2939-17 на бенефиты доступа общественности к коробкам с кучей узкоспециальной хуеты в сравнении с потенциальным импактом от доступа к ней же недружелюбных пидарасов из какой-нить Федеральной Службы Баночек, и одной теорией заговора Госспецсвязи против прогрессивной общественности, надеюсь, станет меньше. По той же причине служебятся Экспертные и Атестационные заключения — причем в особенности это касается отказов, так как в них фактически содержится перечень брешей в безопасности КСЗИ.

Не менее коротко — о результатах стороннего тестирования функционированя реестра специалистами TestLab2 и PricewaterhouseCoopers. То, что его провели — позитивный сигнал и, значит, есть шанс что Реестр не свалится под нагрузкой и, может быть даже его не сломают сильные или раздавят тяжелые программисты. К экспертизе же либо атестации КСЗИ данные тестирования не относятся по определению, так как без лицензии Госспецсвязи любая оценка не будет экспертной в терминах действующего законодательства.

Теперь к хронологии драмы с НАЗК, Мирандой, Госспецсвязью, Порошенко, Турчиновым и прочими доброжелателями.
Проследовав к набросу Сергея Сидоренко “Хто зірвав електронне декларування статків: хронологія та документи” в “Европейской правде” www.eurointegration.com.ua/...icles/2016/08/14/7053339 вы сможете приоткрыть завесу тайны над тем, как же происходила реализация этого, без какой либо иронии, чрезвычайно важного Государственного проекта.
Пройдемся по ссылкам на документы из фельетона господина Сидоренко и посортируем даты & события.
2015-12-02 ПРООН заключает договор с Мирандой
2015-12-10 Сдан результат № 1 (СУБД с тестовыми данными, поисковик, публичный API)
2015-12-11 Заседание № 1 группы контроля за качеством (результат № 1)
2016-01-20 Сдан результат № 2 (публичный сайт, АРМ сотрудников НАЗК, формы ввода, средства аутентификации)
2016-02-02 Заседание № 2 группы контроля за качеством (результат № 2)
2016-02-29 Заседание № 3 группы контроля за качеством (результат № 2)
2016-02-29 Сдан результат № 3 (документация, справочная информация, рекламки, буклетики и прочая)
2016-05-10 Заседание № 4 группы контроля за качеством (результат № 3)
2016-07-01 Письмо НАЗК в Госспецсвязь — согласование графика создания КСЗИ ?
2016-07-05 Согласование графика создания КСЗИ Госспецсвязью
2016-07-22 Приемные испытания результатов 1, 2 и 3 комиссией НАЗК
2016-07-25 Принятие выводов по результатам приемных испытаний результатов 1, 2 и 3 комиссией НАЗК
2016-07-27 Передача результатов 1, 2 и 3 НАЗК
2016-07-28 НАЗК просит Госспецсвязь согласовать ТОВ “Криптософт” в качестве эксперта по КСЗИ (как окажется в последствии то же ТОВ участвовало в работах по созданию КСЗИ и потому не может проверять свою же работу)
2016-08-02 НАЗК, по настоянию Госспецсвязи, определяет экспертом ГЦ киберзащиты, и принимает решение о проведении экспертизы КСЗИ
2016-08-03 Госспецсвязь согласовывает ТЗ на КСЗИ
2016-08-05 КСЗИ проходит предварительные испытания
2016-08-08 НАЗК передало КСЗИ на экспертизу
2016-08-10 Программный код и документация получены для экспертизы Госспецсвязью
2016-08-11 Госспецсвязь ведут на 2х-часовую экскурсию по объекту без возможности жать на педали
2016-08-12 Экспертный совет Госспецсвязи отказывает в атестации КСЗИ
2016-08-13 Торжественное вручение НАЗК отказа в атестации

Первый очевидный, и, пожалуй, самый главный проеб — НАЗК должен был умолять Госспецсвязь согласовать им хоть какую-нибудь экспертную организацию ещё в феврале месяце.
Второе, что бросается в глаза — это обилие событий с 29 февраля по 1 июля. Целых 4 месяца работы над нихуя!? С перерывом на выездное заседание, разумеется. Ну, если, конечно, поверить в то, что последний из 3х результатов 1го этапа был таки передан в ПРООН 29 февраля, а не спешно допиливался вплоть до конца июля.
Последнее — на экспертизу и атестацию ГЦ киберзащиты и Госспецсвязи было щедро отвешено целых 5 дней — с 8 по 12 августа включительно. И это при условии безотлагательного изобретения моментальной телепортации бумаги. Для представления об объеме работ для экспертов можно насладиться фоткой тех самых коробок на fb НАЗК www.facebook.com/.../1112586892134567/?type=3
На fb ленте Юрия Новикова из Миранды можно найти коммент Mykola Kulieshov с оценкой объема документации на КСЗИ — “более 1500 стр.” www.facebook.com/...mment_tracking={"tn":"R“
Тоесть, за 4 дня ГЦ киберзащиты нужно было составить целостное мнение о созданной КСЗИ, создать методику экспертных испытаний её частями и целиком, согласовать, провести испытания, заполнить протоколы, написать экспертное заключение, чтобы 12 августа Госспецсвязь могла с чистой душой воспользоваться ламинатором. Странно что прогрессивная общественность, и особенно домохозяйки, удивились, что чуда не случилось и, то что ГЦ киберзащиты в судорогах родило за 4 дня атестацию не прошло.
На этом месте правдолюбы и просто внимательные к деталям граждане, вероятно, возмутятся тем, что Госспецсвязь же подписало календарный план и обязалось провести атестацию 12 августа!
Так вот — Госспецсвязь пообещало провести Атестацию КСЗИ — и провело. Правда ровно с тем же победным результатом, что провел экспертизу выбранный изначально НАЗК 28 июля в качестве эксперта ТОВ “Криптософт”.
Печально, конечно, что результат оказался неудовлетворительным, но кто ж мешал НАЗК согласовать Эксперта заранее, месяца эдак за 4-5 ?

Last but not least — какая связь Порошенко и Турчинова с КСЗИ реестра НАЗК ?
Отвечу откровенно — хуй его знает. Но в набросе от Сидоренко все было так интригующе и детективно, что меня до сих пор мучает мысль — держались ли они за руки, когда стояли за спиной у НАЗК и Госспецсвязи.

И да, хохмы ради, загляните на страницу 8 “Рішення про затвердження висновку приймальних випробувань програмного забезпечення системи електронного декларування України” www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf.
Согласно расписанию реализации проекта, задания 1, 2 и 3 должны были быть выполнены подрядчиком до 2015-12-30. Дополнительные же 2 задания (которые, кстати, выполнены небыли) по связи с внешними реестрами — до 2016-07-30.

Расскажу подробнее, о том как в странах третьего мира работают известные организации. Про откаты которые давали Интел думаю слышали.
А вот что за пивом, на семинаре Тасиса ответил консалтер из известной британской фирмы на вопрос
— а вот скажите, почему все таки после тшательных предпроектных обследований происходят провалы проектов.
— ну, давайте я вам расскажу байку, которой конечно не было, и не со мной...

Есть африканская страна. В рамках помощи развитию выигрывает тендер консалтинговая компания. Специализирующаяся в проектах по разработке полезных ископаемых. Ей ставят задачу — ответить на вопрос — рентабельно ли будет хоть что из того что есть добывать.
Несколько месяцев большая группа колесит по стране, анализирует. Аналитики в офисе тоже трудятся. Черновой вариант подается правительству этой страны, потому что контракт с ним. А в нем грусть — в силу таких причин нерентабельно добывать то. В силу вот таких,это. Морпорты далеко, дорог нет, содержание в руде потребует электроэнергии, воды, ... которых нет. И т.п

Правительство читает, и говорит.
— вот у нас переписка с фондом оон по. А вот с инвест ассоциацией. А вот внепротокольные разговоры с министром экономики из, премьером Х
И видите, нам готовы дать денег, надолго, под приятные ставки, но просят план развития хоть какой-то отрасли, подтвержденный авторитетной аналитической компанией.
У нас кроме ископаемых идей нет.
И, если вы покажете этот отчет — мы вам не заплатим. Судитесь, нам терять нечего, денег и перспектив у нас все равно нет.
А если вы покажете что можно что-то добывать нам дадут деньги. И мы вам еще и премиальные выплатим. И будем и другие компании приглашать. И им тоже будем платить. А через 10 лет, на которые рассчитаны план — кто знает что будет.
....
Поэтому когда вам говорят, что какая-то авторитетная организация, компания, сделала позитивное заключение о проекте в стране третьего мира, вспоминаете эту байку, когда через 10 лет тот проект окажется пшиком

Вернулся я в этот трид потешить свое тщеславие подсчетом лайков под настеленными мной простыням, и что же я вижу — о ужас — вновь Правда В Интернете апасности и кто как не я встанет на её защиту.

Сей псто посвящается адептам теории саботажа Госспецсвязью внедрения антикоррупционного реестра и Кассиопее — моей черной и глупой кошке.

В комментах неоднократно по делу и всуе было упомянуты CSRF, SSL и другие модные и не очень аббревиатуры, успешно защищающие сайты, сайтики и сайтищи по всему миру и точно, наверное, может быть, наверняка внедренные разработчиком Реестра дабы обезопасить творение рук своих от взлома с проникновением и без оного. У новорожденного Реестра есть вот это вот все на днях ещё и многократно усиленное шифровальной машиной, внезапно купленной НАЗК. И ренегатам из Госспецсвязи всего-то оставалось проверить, открывается ли сайт через https:// в IE какой там у них, старичков-дурачков, есть версии, дампануть заголовки на предмет левых хидеров, пейлоады на иньекции, покрутить педали Энигмы и, вуаля — победа, бежим ламинировать Атестат! Но подлые саботажники из Госспецсвязи отказались идти в типографию наотрез и даже навала всех сортов говна в СМИ, сам Президент, Премьер и укоризненно качающий головою Пастор им не помеха.

И вправду, ведь все перечисленные и не очень технологии, приемы и алгоритмы спасут реестр от того, чтобы его поломали любым из следующих перечисленных и ещё 1001 неперечисленных методов, доступных любому мотивированному обывателю:
— снять ключи/явки/пароли с вышедшего из строя диска, выброшенного на помойку
— спиздить в метро рюкзак с ноутбуком админа ради пароля на офисный вайфай или брутфорснуть его, заглянув невзначай в офис «чиста посмортеть»
— развести секретаршу вставить в комп начальника флешку, для смищной 1апрельской шутки, которая установит ему на десктоп фотку Черного властелина, ну и прицепит кейлоггер заодно
— подружиться и свозить админа на шашлыки, а вместо этого устроить ему шантаж, угрозы и сеанс терморектальной криптографии

С выходом на сцену иностранных разведок и отделов по безопасности крупных ФПГ спектр доступных приемов внезапно расширяется в разы, и уже всяческие MITM, −1day эксплоиты, чтение нажатий педалей с эфира и прочие штучки из импортных боевиков вдруг совершенно теряют свой волшебный кинематографический флёр проникая в реальность. Не говоря уж о рутинной для северян пенетрации заборов, понастроенных интелектуалами с учетками на mail.ru, rambler, вкантактике и одноглазиках.

Та самая КСЗИ, что притащили на чудесный гибрид экспертизы с атестацией в Госспецсвязь 8 апреля, должна была включать в себя не только упоминание всяких разных там аббревиатур, а подтверждение грамотного их применения/реализации, меры противодействия вот этому вот всему упомянутому мной и нет в комплексе (кроме, пожалуй, защиты педалей) и много чего ещё, включая защиту от стихийных бедствий в виде отпусков ключевых специалистов, проебанных бэкапов, плохих дорог и дураков. То, что подразумевает под Защитой Информации некоторая, надеюсь не слишком многочисленная, часть уважаемой аудитории, есть всего лишь ЗИ, и до КСЗИ ей категорически нехватает К — комплексности и С — Системности.

Позволю себе ещё раз процитировать себя и учебник:
КСЗИ это комплекс организационных и технических мероприятий, обеспечивающий реализацию определенной технологии обработки информации (впрочем, кажыся, там ещё было чё-то про целостный и непрерывную, ну да и фик с ним, зачем же нам усложнять такие простые вещи).

Экспертиза КСЗИ это сложный, многоэтапный, рутинный процесс, а не ветхозаветная формальность. И атестацию проводит комиссия экспертов, а не подмахивает глава Службы или его зам, потому что эксперты они в различных узкопрофильных областях, а не только для количества чтоб размазать ответственность на всех.

Те, кто в условиях тотальной огласки скандала топят, что мол, давайте — подмахните же скорее этот ебучий атестат, а потом разберемся — чутка забывают, что в отличие от госслужащих НАСК или гражданских ПРООН и Миранды, чуваки из Госспецсвязи есть служащие военизированной организации, и чуть что ими займется не ласковый и самый справедливый на печерске Печерский же суд, а военные прокуратура и трибунал.

И не забывайте в конце концов — вы вините электриков за отказ включить рубильник метафорического завода из поста нижее, тогда как исходная проблема старательно взращивалась шабашниками, прорабом и сильрадой.

От этого сайтика прям с первой же секунды несет государственным рукожопием. Тут надо или делать заказ в забугороной компании, а разрабатывать будут все те же наши программисты, и/или отдать в опенсорс, возможно с призовым фондом для важных коммитов каждый месяц, как то так :).

Ну и надеюсь у них будет распределенные серверные кластеры, далеко забугром- что попало в систему выпиленным быть не может, а не «у нас техничка ведро перекинула на наш сервер» все декларации Ахметова где то пропали:)

Как оказалось, антология зрады с Реестром в моей ранней телеге оказалась распедаленной не полностью, и оставшиеся белые пятна продолжают бередить умы твёрдо знающих что следует делать, но всё ещё не решивших с кем.
Определенно, кто-то же должен быть колесован и усажен на кол за дурно пахнущее коричневое пятно на белоснежном белье репутации Государства. Но кто же этот счастливчик ?

Разберем, упущенные мной ранее аргументы сторон.

Учитывая самоотверженные усилия, предпринятые для перевода всех стрелок на себя, предоставим первое слово разрабам.

Q: Госспецсвязь засекретила претензии, исправить замечания невозможно.
A: У “Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію” zakon5.rada.gov.ua/laws/show/1893-98-п на сей счет совершенно другое мнение — желающие в этом убедиться читают п. 37. Также, при должном подходе, п. 39 той же инструкции не возбранял разрабам даже обзавестись собственной копией, хотя это и заняло бы некоторое время.

Q: Госспесцсвязь могла бы и выдать уже этот атестат чтобы все успокоились.
A: Могла бы и может быть даже и выдала бы, если б со 2го августа не начались жырные набросы на вентилятор отдельными лицами от НАСК и Миранды. Как только сие стало достянием гласности, и уже тем более с момента захвата инициативы с позволения сказать “прессой” и вовлечения в набросы фамилий Порошенко, Турчинова и Гройсмана, постановка вопроса о возбуждении шумного и очень криминального дела стала неизбежной.
В таких условиях, чтобы не стать крайним, люди с наличием хотя бы зачатков интелекта и чувства самосохранения постарались бы затаиться, не делать резких телодвижений и педантично следовали бы нормам законодательства. С этой точки зрения формализм Госспецсвязи и стоическое спокойствие НАЗК удивления не вызывает. И то, что комиссия экспертов Госспецсвязи в условиях давления со стороны НАЗК, разрабов, пристального внимания политикума, отечественной и зарубежной общественности отказала в атестации — значит, что с переданными им на атестацию материалами все было очень и очень печально, и тихой заменой отдельных листов в коробках отделаться было уже невозможно.

Теперь один из аргументов Госспецсвязи.

Q: Программное обеспечение реализовано не полностью.
A: Благодаря творчеству Сергея Сидоренко из УП достоянием гласности стали некоторые документы, согласно которых поставленных задач было таки не 3, а 5, из коих последние 2 должны были быть завершены и сданы ПРООН не позднее 30 июля. При этом фамилия 4й задачи — “Розробка приватного API, перевірка підсистеми (модуль верифікації), інтеграція з зовнішніми реєстрами”.
Юрий Новиков из Миранды топит за то, что невозможность включиться в другие реестры — исключительная вина НАЗК, в оправдание чего даже опубликовал в своем fb письмо от НАЗК www.facebook.com/....119534.1066464109&type=3.
Окей, давайте из названия 4й задачи вычтем интеграцию с внешними реестрами. Остались “Розробка приватного API, перевірка підсистеми (модуль верифікації)” — и где же они ?

Ну и, наконец, НАЗК.

Q: Национальным агенством разработаны утверждены все решения, необходимые для запуска системы электронного декларирования.
A: Статья 8 Закона Украины “Про захист інформації в інформаційно-телекомунікаційних системах” zakon3.rada.gov.ua/laws/show/80/94-вр с удивлением смотрит на статью 11.

С момента начала раскручивания скандала всё указывало на патологическую некомпетентность кого-то из НАЗК, ответственного за внедрение Реестра. Однако, ценой неимоверных усилий, блоггеры из Миранды переключили таки весь фокус внимания на себя. В качестве целиком заслуженного ими приза вангую показательную порку и мучительную смерть этого некогда одного из старейших предприятий отечественной порно ИТ индустрии.

Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Коментар порушує правила спільноти і видалений модераторами.

Вот хоть перемога! В Украине побороли коррупцию, коррупционеров нет, сажать некого.
Еще чуть чуть поднажать и скоро вы сможете про меня написать в топике про вернувшихся из эльфии.

А що ви хотіли. Фактично задосили деклараціями. забов’язали декларуватись всіх-всіх, хто хоч
якось дотичний до дежслужбовців.

Коментар порушує правила спільноти і видалений модераторами.

Коментар порушує правила спільноти і видалений модераторами.

Коментар порушує правила спільноти і видалений модераторами.

Коментар порушує правила спільноти і видалений модераторами.

Коментар порушує правила спільноти і видалений модераторами.

Нацполиция и ГФС обыскивают офис компании «Миранда», которая разрабатывала ПО для системы электронного декларирования.

zn.ua/...​anii-miranda-249861_.html

Развешивание макаронных изделий на слуховые органы доверчивых читателей — таки очень интеллектуальное занятие, требующее от исполнителя высокой степени аккуратности и точности.
После того, как прочитал тут internetua.com/...​ergaet-obvineniya-lucenko
фразу «прочитали почти 2000 страниц документации и больше 600 тысяч страниц кода», задумался, как можно НАПИСАТЬ даже за 6-7 месяцев 600 тысяч страниц кода? (Страниц, не строк!!!!) Коллективом разработчиков около 10 человек. Или считается весь код, начиная с кода использованной операционной системы? А 2000 страниц документации — кто и когда успел написать?
После таких заявлений оборот «Сколько и какие компании принимали участие в торгах, мне неизвестно. Информация для участников торгов является закрытой.» уже даже не удивляет. Процедура открытых торгов предусматривает открытое-же объявление победителя.
На кого рассчитаны эти фразы?

Господин Новиков сюда как-то захаживал. У любопытных был шанс составить о нем свое мнение по содержанию и манере общения.

Статья же сама по себе — просто явка с повинной о мошенничестве слегка разбавленная ложью и ахинеей, если, конечно ПРООН письменно не согласовал им субподряд Apolineja OÜ, специализирующейся на Non-specialised wholesale trade и Organising conventions and trade shows

Btw, это многостраничное и охулиардстрочное все Миранда передала ПРООН ещё 29 февраля 2016, после чего пара взялась за руки и пол-года ждала августа, чтобы проснуться и внезапно начать пытаться замутить экспертизу.

И впрямь, на кого это расчитано ?

З огляду на все, що виявилося з серпня 2016 року, я тим бамажкам ВАЩЕ ні вірю. І взагалі нічому, що писали тоді на тому сайті :)

Тим не менш хронологія подій а також ці бамажкі легко пояснюються тим, що данський грант був траншевим. І транш 2016 був би заблокований до тих пір, поки ПРООН не відзвітував би про «освоєння» $200K+ траншу 2015. Тому й прийняли «на папері» все, що тілько можна, 29 лютого, а Держспецзв’язок покликали лише на прикінці липня, бо до того демонструвати не було чого, а серпневий піздець був надто близько й далі тянути було вже нікуди.

Зважаючи на фаховий рівень Міранди — подєліє вийшло на таксобі, КСЗІ нішмаглі, тому стали ліпити крайньою Державу взагалі й Держспецзв’язок зокрема. Тим більше, що транш на 2016 р був понад $1.5M і бабла на адвокацію гімна було овердосхочу.

На виході — Державі — суцільні фінансові й репутаційні збитки, НАЗК — паралізовано й перетворено на посміховисько, суспільство — поляризовано на прагматиків та адептів різноманітних conspiracy, Міранді — піздець, данське бабло — попиляно, антикорупціонери — в білому, всі інші — підараси, реєстр — з гівна й палок викинули всі палки й додали гівна.

Так і живем.

Унижено признаюсь в том, что я был не прав, обвиняя «Миранду» в говнокодинге е-каталога деклараций — это все не их State of Art, а «Аполинеи».
Прастити если сможети.

А все кто не понимает что это мошенничество приглашаю внимательно прочитать разделы V-VI пресловутого RFP от ПРООН.

Продолжение не заставили себя ждать.
www.facenews.ua/news/2017/361815

А от тепер питання. Якщо почитати навіть просто тут то стає очевидним факт, що Міранда виглядала дуже підозріло з самого початку, просто по зовнішнім ознакам. Чому у ЗАМОВНИКІВ не виникло підозр у шахрайстві?

Я тя прошу... Якщо навіть на цьому форумі купа народу те г... відмивала, то що хотіти від замовників? Резюме прочитали, хтось зсередини порадив і всьо

Ну ця купа народу не платила гроші. Тутешня куап народу не має досвіду або навіть здорового глузду для проведення тендеру, конкурсу. А там буцім профі в ПРООН, нє?

Тут в мене підігнали деталі про ролі КПІ тут і навіть дисер Новікова є www.facebook.com/...​1/posts/10154570898788148

Ааааааааааааа!!!!!!

Откройте шахматки из поста по ссылке.
НАЗК выполнил целых 0 проверок деклараций за период с сентября 2016 по март 2017.

Ноль проверенных из уже более чем миллиона деклараций за восемь месяцев.

Досужий пиздежь руководства НАЗК с голубых экранов о том, что якобы проверено более 3000 деклараций — не более чем манипуляция ушлых пиздаболов, рассчитанная на доверчивого среднестатистического обывателя. За этим умалчивается, что за 8 месяцев по упрощенной схеме проверили 3000 претендентов на должности в госслужбе. Ключевое здесь — претенденты. 3 блять тысячи соискателей из уже 38615. НАЗК не только собственную работу просрал. Он к тому же блокирует кадровые конкурсы на госслужбу отсутствующими результатами спецпроверок.

Переданная же в суды дюжина административных дел, о которых со скромной гордостью повествовал журналистам Радецкий — дела о квартирах Залищук, Лещенко и ещё десяток заяв о не вовремя поданных декларациях. За 8 месяцев проверено то ли 14, то ли 25 деклараций — все на предмет своевременности их подачи.

Это неимоверный и ошеломительный успех!

Кто-то там в телебакере обещал вам забороть НАЗК’ом коррупцию ? Так вот хуй вам, а на сдачу ещё и никому неподконтрольный тормозок на пути обновления кадрового состава госслужбы.

Однако не только и не столько руководители НАЗК являются творцами сего победного результата. Этот успех в виде 0 хуй десятых проверенных деклараций был бы невозможен без Лещенко, Наема, Соболева, Шабунина, Бумажного Унитаза, «СМИ» и многочисленной паствы секты свидетелей антикоррупции, своим августовским шантажом безвиза целой страны впихнувшие Государству е-каталог деклараций, бережно собранный ПРООН и Мирандой из говна и палок.

Это работу именно этого неимоверно продуктивного НАЗК в августе 2016 якобы блокировали Госспецсвязь, Порошенко и Турчинов ? Это, блять, в страхе именно от этого НАЗК так срались в портки коррупционеры, что, якобы, препятствовали внедрению детища ПРООН и Миранды ?

Кто повелся на камлания про спротив злочинної влади — вас наебали, хотя те, кого вы презрительно называли порохоботами — предупреждали о результате заранее.

Наслаждайтесь.

О чудо! Мы ж об этом писали хер знает когда! Оказывается зп шоколадками дает +100 к аналитическим способностям. ;)

Ну зато у них ФОТ, говорят, очень даже европейский!

Коментар порушує правила спільноти і видалений модераторами.

Яка ж несподіванка! Хто б міг подумати? :)

Ща нам втолкують, що це вже нє падєлка Міранди, а взагалі інша програма, яку сперше зламав Держспецзв’язок своїм КСЗІ, а потім СБУ перекодило з нуля.

Власник Міранди Yuriy Novikov вже втолковує в коментарях в фейсбуці www.facebook.com/…​yn/posts/1445726528811198 На додачу цікава позиція учасника перфомансу з унітазом Yaroslav Yurchyshyn — держава сама винна що прийняла в експлуатацію.

Не, ну винна ж, 100%!

Корчак терміново треба перечитувати книгу Майкл К. "Эффективная работа с унаследованным кодом" і швиденько закривати проблеми з роботою системи під наватнаженям.
Хоча там ситуація досить заплутана. Здається власник системи є НАЗК проте адмініструє її Держспецзв’язок. Тобто Гройсман відчитував Корчак але логічно булоб і голову Держспецзв’язку'язку пожурити. Теоретично вони могли створити проблеми елементарним недбальством не кажучі вже про саботаж (в чому у них є досвід на прикладі компроментації центру сертифікації).

Не можна так просто дати померти системі за 3 млн. баксів.

Вы в курсе того что нынешний софт не имеет нечего общего к программе ТОВ Миранда?

угу, Шоколад ни в чем не виноват!

Ну это же common knowledge уже, что е-каталог за пару недель августа и сентября переписали с нуля скиловые анонимусы из СБУ и Госспецсвязи.
А программистам ПРООН не смотря ни на что даже удалось написать к этому черному ящику 4й и 5й модули, по досадному недоразумению ранее не выполненные Мирандой.

И вообще Миранда тут не при чем, так как е-каталог писала Apolineja OÜ, специализирующаяся на Agile, Non-specialised wholesale trade и даже Organising conventions and trade shows.
А в вот эти вот все //todo показати, що щось відбувається — coding standard эстонских программистов, принципиально пишущих комментарии по украински.

Тоесть да, мы в курсе. Тем не менее благодарю за ваше беспокойство.

У человпка 2 коммента на ДОУ и оба в этой теме...

Господи, секта досі не заспокоїлася?

Апну тему.
Нещодавно було відкрите кримінальне провадження проти УСС, але не за фальсифікацію цифрового підпису — а за перешкоджання діяльності народного депутата Павла Костенко, який писав зверненя в УСС щоб з’ясувати питання з приводу ключа Рябошапки.
www.facebook.com/...k/posts/10210152467120568

Всем привет,

Недавно выпустил первую версию библиотеки для вычитывания деклараций чиновников: github.com/javadev/nazk-client

Пример запроса декларации по id:

NazkClient client = HttpClient.createDefault();
Map<string, object=""> declaration = client.getDeclaration("043c6b5d-a470-4fb0-bc3b-3332af7fe10e");
System.out.println($.toJson(declaration));

Буду рад новым пользователям.

С уважением, Валентин

Корчак заявила о хакерской атаке против Реестра. На часах — заполночь. Впрочем в Штатах — вторая половина дня. Почему я упомянул США ? Потому, что на картинке мы имеем счастье лицезреть некие 1200 соединений. И адреса из видимой части списка — General Electrics и Level 3 в США.
Целый микротик сообщает о траффике: TX 97.1 kbps, RX 13.8 Mbps
На 1200 узлов это ниразу не SUN flood.
Зато очень похоже на амплификацию. И RX 13.8 Mbps каг-бэ намекает в которую сторону.

Я думаю, что система зависает, когда Порошенко, Тимошенко, Луценко и Яценюк одновременно пытаются заполнить электронную декларацию. Памяти не хватает и пропускной способности канала...

Программа “Наші Гроші” попыталась доступным языком описать ситуацию с декларированием и подделкой сертификата www.youtube.com/watch?v=FIkHvfRq4MY . Передачу недавно демонстрировали на канале 2+2. Есть комментарии от “хакеров” Винника, Геращенко и главы УСС Олийника. Также немного проливают свет на проблемамы с бессперебойным питанием в датацетре УСС во время развертывания системы летом.

Известный "порохобот"-"ыксперт" сереженька факас, который бегает тут, по всему фейсбуку и статьям на тему декларирования ответил бы — «вы все врете». А скорее всего промолчит. Крыть то нечем. Или новой методички еще не выдали :)

Дурналистов комментировать — себя не уважать. За известного спасибо.
А так на мудачные посты отвечать не вижу смысла — все уже видели все еще летом. Сколько бы вы там не врали — гавносистему все видели и обсудили.

Секьюрити с точки зрения обычных людей:

Моя помощница работала над декларацией несколько недель, внесла все, что могла самостоятельно. И сегодня я решила дополнить ту часть, которую знаю только я, и проверить все поля. Но выяснилось, что на моем компьютере все поля пустые. И только на ее компьютере можно вносить дополнения. Или все перезаполнять заново. Кроме того, коллеги говорят, что есть даже привязка к конкретному браузеру

Мыльная опера, серия 287-я. “ПРООН підвела з допрацюванням e-декларування”:
www.pravda.com.ua/news/2016/09/29/7122149
Продолжение следует.

Ну так понятно, если б бюджет Украины дал бы денег на систему, то Корчак их бы попилила. А так не интересно было систему создавать, скучно) В блоге Шабунина на УП много интересных ссылок есть по теме: blogs.pravda.com.ua/...s/shabunin/57ea465c28b58 а также здесь: blogs.pravda.com.ua/...thors/drik/57ec2f31097d2 Радует что депутаты не забывают о как-бы ключе, как-бы Рябошапки. Не как-бы сфальсифицированном ДП УСС

С больной на здоровую? Шабунин рассказывает как они датские деньги распили?

Распили или распилили?)) Требую уточнения)

А як вам такий прикол від НАЗК: www.facebook.com/NAZKgov/?fref=ts Цитата: «Світова практика свідчить про те, що не існує інформаційно-телекомунікаційних систем, які з моменту розроблення та запуску, не потребували б удосконалення чи оновлення. Це завжди пов’язано з низкою різних факторів та обставин, що виникають у процесі їх експлуатації користувачами. Як приклад, операційна система Windows компанії Microsoft з якою працюють мільйони користувачів по всьому світу, випускає оновлення майже щоденно, що аж ніяк не свідчить про низьку якість такого програмного продукту.»
Порівняли супер-какашку (Вінду), з нано-какашкой (система е-декларування))) Оновлення Вінди щоденно? Нє, не чув)) Чи це НАЗК так із Шимківим заграє?)

3-ю неделю кто-то делает пагинацию, которая уже была. Видимо, очень дырявая пагинация была, надо было писать с нуля.

Ну что ж, пани и панове. Защита грантопилов ожидаемо откатилась на запасные позиции. В очередном, наспех запатченном релизе реальности, Реестр e-декларирования, это если сдержанно(тм), оказался «ниочень», ПРООН (какой такой ПРООН?) не при чем, а Миранда немного слажала, но в сущности это не важно. Ведь вся эта беда нам на головы свалилась из-за НАЗК и, безотносительно былого, всяко у Госспецсвязи не было законного повода отказывать в сертификации Реестра.

Так уж в человеческой природе сложилось, что в не отягощенные опытом принятия ответственных самостоятельных решений головах легко уживаются противоречащие одна другой мысли. В такие сосуды с пустотами ловкий фокусник способен заложить любые иллюзии. Благо фантазии талантливым престидижитаторам, разогревавшим почтенную публику пред столь неординарным событием как рождение первенца ПРООН и Миранды, было не занимать. И вот волшебные личинки их иллюзий — эдакие мысличинки — несут теперь нам стройным рефреном чужих голосов, что Госспецсвязь не способна докостылить этот порочный плод инцеста освоителей грантов. Ведь нет же в Госспецсвязи для этого неонатологов программистов. Ведь нету же? Хоть раньше это совсем не мешало тем же мысличинконосителям возмущаться, что, понимаешь ли, нет никаких замечаний к коду Реестра и, значит несуразность форм малыша нам — близоруким болванам — привиделась. Оставляя при этом за скобками, кто же, собственно поименно из отсутствующих в Госспецсвязи программистов должен был эти исходные коды экспертизить.

Впрочем и этого глума над собственной паствой иерархам церкви цирка свидетелей законно заслуженного аттестата КСЗИ Реестра e-декларирования оказалось мало. Так-что в компанию к предыдущим добавилась жырная мысличинка переписывания хуйзнаеткем в Госспецсвязи Реестра с нуля, заботливо анонсированная нам в этом триде братьями Миранды по разуму за несколько дней до этого поста.

В виду, надеюсь временного, недостатка информации не стану впадать в конспироложество и пытаться постичь происходящее сейчас с переношенным детищем гранторубов. Да, быть может его неудачно клонировали. Или который день оперируют ампутируя палки и оставляя только говно, задроченные и неопытные хирурги посменно сменяясь в реанимации. А может заезжий доктор Франкенштейн проворно и беспристрастно кромсает его по-живому являя изумленной публике уродца во все более ужасных и причудливых формах.

Могу лишь бегло осветить вам период вынашивания нашего байстрючка, информации о течении которого у нас уже вполне достаточно для достоверного анамнеза.

Госспецсвязь — регулятор и надзорный орган Государства в сфере защиты информации. Он не пишет программ и даже не проверяет их исходные коды, которые в основной массе своей обусловлены Техническим Заданием на Программное Обеспечение, тогда как Госспецвязь интересует Техническое же Задание, но на Комплексную Систему Защиты Информации и производные от него. Госспецсвязь — если уважаемая и не очень аудитория не против очередной всегда смешно звучащей метафоры — главврач роддома. Ему после родов приносят справки, листы назначений, результаты анализов и, бегло взглянув на юного пациента, наш сильно бородатый дядя-главдоктор углубляется в исследование работы своих аспирантов, интернов и ординаторов. Ибо ему более важно не вытянуть ещё одну жалобно орущую и сучащую ножками бестию, а убедиться что никто из его халдеев не накосячил и, значит, больничку за весь этот бардак не накажут. Здесь следует понимать, что наш доктор будучи плодом индустрии отечественной «медицины» не тянет местами не то, что на уровень номинантов Нобелевки по медицине, но даже с напрягом на приз зрительских симпатий брадобреев. Что вовсе не означает, что кто-либо из подчиненных, либо тем более посетителей и прочих лиц без белых халатов, может позволить себе послать этого корифея без последствий для себя или немовляты. В этом случае уж лучше было бы резким и хамовитым батькам больничку обойти стороной и тихонько родить на дому, как это скромно, без ярких говнометаний и даже летальных легальных последствий сделано вот уже многократно с другими, вполне себе здравствующими и не очень, цифровыми детями.

Заботливые и ответственные родители сопровождают беременность с момента, когда о ней им становится известно. Иные, планируя свою жизнь наперед или сообразно медицинских показаний и вовсе зачатие производят под строгим и профессиональным контролем. Подобный контроль за беременностью Госспецсвязью кодируется уровнем гарантий Г-3. Многодетные Г-3-семьи в качестве поощрения и признания ответственности их перед обществом и уровня доверия докторов к принимаемым ими решениям могут добиться Г-4 и выше, беря на себя за каждое повышение определенные обязательства, но и получая взамен некоторые положительные плюшки. Когда же дитё в период вынашивания не получало даже амбулаторного наблюдения, то максимально-престижный штампик в углу истории болезни на который родители могли бы расчитывать был бы Г-2.

В нашем случае несчастную жертву кровосмесительства близких по духу родственников с соседних купюродробилок родители прятали от докторов как от чумы до последнего. Повивальная бабка, с которой забились по рукам наши залетелы к назначенному сроку роды принять нишмагла. В виду отсутствия не то, что стационарного, но даже амбулаторного контроля историю болезни малюка оформляли как Г-2 (кстати, насладитесь целостностью и непротиворечивостью мысли одного из родителей по ссылке в пункте под номером 2). За неделю до родов назначенный ординатор собрал у родителей справки, нахерачил анализов, но в итоге это все не нашло понимания и сочувствия у глав-доктора.

В реальности все немного сложнее (или проще, как, вероятно, возразят мне бывалые родители реальных человеческих детёв). Уровень гарантий выше Г-2 вовсе не означает, что Госспецсвязь внезапно обрастает программистами как Тузик блохами и начинает проверять исходные коды налево и направо. Отнюдь, это лишь значит, что начиная с Г-3 регулятор осуществляет надзор за целостностью производственного процесса исполнителя. Поскольку только при должной организации производства можно с высокой достоверностью получить ожидаемый результат. Что, очевидно, не стояло в главе угла да и вовсе было не самой интересной статьей расходов в этом эпохальном уже проекте по распилу датского гранта.

Коментар порушує правила спільноти і видалений модераторами.

ДСТЗИ и УСС в этой истории отнюдь не Дартаньяны. Так как до подачи системы на атестацию они активно ставили палки в колеса(не указывали на ошибки, а как могли затягивали): не предоставляли сервера, история с отключением питания в датацентре, при первой подаче замечаний к коду небыло и ,с вашего описания атестации, немогло быть, так как код и ТЗ по функционалу они не проверяют. Скорее всего ДСТЗИ должна была выдать атестат в августе либо после устранения недочетов, если такие были, в сентябре.

В свою очередь несоответвие ТЗ и проблемы с сессией должно было проверять НАЗК во время приемки каждого этапе и потом в самом конце.
После пресс-конференции с депутатами и НАЗК выяснилось, что курирующего менеджера от НАЗК не было либо все попрятались: подписи при приемке делал член от НАЗК, но он утверждал что курировал только юридический аспект и с точки зрения работы системы внутри НАЗК, галава НАЗК не смогла назвать ответсвенного и сама не призанала себя ответсвенной (раз нет ответсвенного — значит отвечает весь НАЗК, в частности голова Корчак).

Мое мнение, что ДСТЗИ и УСС своими шагами хотели перехватить контроль над системой, что им и удалось — Миранду полностью отсранили и дописывали систему уже УСС.

Поэтому были истории с серверами, с питанием, а после того как не вышло — компроментация центра сертификации УСС ключом Рябошапки.
УСС заранее писали систему сами на случай ,если удастся дискредитировать систему от Миранды, либо более вероятнее — уже дорабатывали код Миранды после того как им внезапно понадобился код системы на флешках для атестации Г2.
Так к примеру появилась возможность удалять декларации: декларации Рябошапки и Джеймса Бонда висели в системе Миранды, а в УСС системе уже была тестовая декларация с тестовым ключом, которую потом удалили.

ДСТЗИ и УСС в этой истории отнюдь не Дартаньяны.
Если кому-то здесь кажется что целью моего присутствия здесь является обеление ДСССЗИ либо УСС, то он ошибается. Так что я не считаю вышеперечисленные госструктуры Д’артаньянами, как и не вижу возможным закрыть глаза на «художества» всех других солистов просто из-за возмутительного факта зашквара с «ключем Рябошапки». Я здесь лишь потому, что чертовски зол и искренне уверен, что за умышленно нанесенный моей Родине вред в результате грязных августовских публичных безобразий с Реестром кто-то должен очень и желательно сильно пострадать для профилактики подобных эксцессов в будущем. Равно как и за произошедшие за этими безобразиями и вследствие в том числе их игры с АЦСК УСС.
Так как до подачи системы на атестацию они активно ставили палки в колеса(не указывали на ошибки, а как могли затягивали): не предоставляли сервера, история с отключением питания в датацентре, при первой подаче замечаний к коду небыло и ,с вашего описания атестации, немогло быть, так как код и ТЗ по функционалу они не проверяют.
Хотел бы ещё раз отметить, что Госспецсвязь не кошка, которая ходит сама по себе. И не их работа бесплатно указывать подрядчику на ошибки с КСЗИ (тем более уровня гарантий Г-2) в процессе разработки без официального к ним обращения. Кроме того, по результатам событий прошедшего месяца и учитывая горы вранья, манипуляций и просто неискренности фигурантов (не принимайте, пожалуйста, на свой счет) а также местами весьма дивное содержимое ставших доступными нам документов, я сейчас не верю на слово ровным счетом никому из участников и лиц аффилированных с ними. Посему при анализе использую сам и также от других прошу в качестве доказательств только и лишь документы, поскольку они хоть местами по содержанию и странные, но хотя-бы не меняют своих показаний с течением временени. Так, в ситуации с бесперебойниками в ДЦ УСС, я пока не видел этому каких-либо заслуживающих доверия свидетельств. Что до Госспецсвязи, то из доступных мне первоисточников самым ранним я вижу даже не вход, а некое приближение их к проекту начиная с «Заключения межведомственной группы, которая засвидетельствовала готовность системы к эксплуатации», датированного 25 июля 2016. Можете ли Вы, Сергей, подтвердить документами более раннее участие Госспецсвязи во внедрении Реестра, либо если не можете, то аргументировать почему этого не произошло на пол-года раньше этой даты ?
Скорее всего ДСТЗИ должна была выдать атестат в августе либо после устранения недочетов, если такие были, в сентябре.
Я кратко описывал процедуру экспертизы и атестации в своем первом посте и я пока не вижу смысла на этом фокусироваться.
После пресс-конференции с депутатами и НАЗК выяснилось, что курирующего менеджера от НАЗК не было либо все попрятались: подписи при приемке делал член от НАЗК, но он утверждал что курировал только юридический аспект и с точки зрения работы системы внутри НАЗК, галава НАЗК не смогла назвать ответсвенного и сама не призанала себя ответсвенной (раз нет ответсвенного — значит отвечает весь НАЗК, в частности голова Корчак).
Не могли бы Вы сделать достоянием общественности ФИО этого, курировавшего юридический аспект и феерически его проебавшего, члена НАЗК ? Со мной также можно связаться в частном порядке через fb — в этом случае я обязуюсь не делиться этой информацией с кем-либо без Вашего разрешения.
Мое мнение, что ДСТЗИ и УСС своими шагами хотели перехватить контроль над системой, что им и удалось — Миранду полностью отсранили и дописывали систему уже УСС.

Поэтому были истории с серверами, с питанием, а после того как не вышло — компроментация центра сертификации УСС ключом Рябошапки.

У меня несколько более другая теория на сей счет, которую я пока, полагаю также как и Вы, не в состоянии аргументированно подтвердить либо опровергнуть.
УСС заранее писали систему сами на случай ,если удастся дискредитировать систему от Миранды, либо более вероятнее — уже дорабатывали код Миранды после того как им внезапно понадобился код системы на флешках для атестации Г2.
С Вами спорит Юрий Новиков и мой здравый смысл. Если, как Вы полагаете, им так нужен был код, зачем они его теряли 5 раз ? Я скорее готов поверить, что он был им не нужен, пока Порошенко не сделал их окончательно крайними. Впрочем Вы можете укрепить это свое предположение документально.
Так, в ситуации с бесперебойниками в ДЦ УСС, я пока не видел этому каких-либо заслуживающих доверия свидетельств.
Вот у меня четкая ассоциация этой ситуации со студентом, кот-й прибегает на кафедру и жалуется что у него на чертежи вылили кофе за день до защиты. Но на самом деле чертежей нет. Ну т.е. сильное впечатление детской попытки оттянуть попадалово.

Я пользуюсь только то что есть в открытых источниках, публикациях и фейсбуке. А конспирологию уже сам додумываю.
По поводу раннего участия УСС ориентируясь на www.eurointegration.com.ua/...ticles/2016/09/2/7054085
сервера запрашивались у УСС в конце апреля, тоесть взаимодействие контор началось как минимум с этой даты.
К атестации КСЗИ это напрямую не относилось, но УСС в подчинении ДСТЗИ и пока не захостиш у них систему — подавать на атестацию то нечего, возможно и согласовывать эксперта можно только после физического размещения системы.

С бесперебойниками в датацентре УСС было уже в середине агуста. www.facebook.com/...4698749913132?pnref=story
www.depo.ua/...zhivlennya-12082016202400
Но там спорная ситуация, был ли вообще этот инцидент и на сколько он серъезен(я не эексперт по хостингу и тяжело сказать — это штатная ситуация или ЧП)

Не могли бы Вы сделать достоянием общественности ФИО этого, курировавшего юридический аспект и феерически его проебавшего, члена НАЗК ?
Это со слов в видео, где члены НАЗК перекидывали горячую картошку друг-другу www.youtube.com/watch?v=jVdapYkY80s
Рудецький 0:50 и 4:35 но я спутал — он не по юредическому, а техническому обеспечению.

А по самим подписям кураторов
25.07.2016 Висновок приймальних випробувань Міжвідомчої робочої групи, подписи нескольких от НАЗК, один от Держспецзвязку.И еще два от Держспецзвязку не присутсвовали, удачно попав в отпуск и службове відрядження.
www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf
Акт приема передачи от ПРООН к НАЗК, подпись Корчак
www.eurointegration.com.ua/...cceptance-certificate.pdf

По поводу раннего участия УСС ориентируясь на www.eurointegration.com.ua/...ticles/2016/09/2/7054085
сервера запрашивались у УСС в конце апреля, тоесть взаимодействие контор началось как минимум с этой даты.
К атестации КСЗИ это напрямую не относилось, но УСС в подчинении ДСТЗИ и пока не захостиш у них систему — подавать на атестацию то нечего, возможно и согласовывать эксперта можно только после физического размещения системы.
Коротко, то что Вы написали: без создания КСЗИ нельзя в ДЦ УСС, создавать КСЗИ можно только после размещения в ДЦ УСС. Видите противоречие ? Это как раз из разряда навязываемых нам “мысличинок” — манипуляторам очень удобно переключаться между ними для поддержания своей позиции в зависимости от обстоятельств.

КСЗИ можно и нужно было создавать до размещения в ДЦ. Просто ответственные за это физ- и юр-лица должны были заниматься этим заблаговременно.

С бесперебойниками в датацентре УСС было уже в середине агуста. www.facebook.com/...4698749913132?pnref=story
www.depo.ua/...zhivlennya-12082016202400
Но там спорная ситуация, был ли вообще этот инцидент и на сколько он серъезен(я не эексперт по хостингу и тяжело сказать — это штатная ситуация или ЧП)
ИМХО даже если и предположить, что нечто подобное и имело место — речь идет о начале августа, тогда как неясно чем все эти люди занимались с февраля.
Это со слов в видео, где члены НАЗК перекидывали горячую картошку друг-другу www.youtube.com/watch?v=jVdapYkY80s
Рудецький 0:50 и 4:35 но я спутал — он не по юредическому, а техническому обеспечению.
Спасибо за ролик. Крайне печальное зрелище. Можно смело ванговать, что под руководством Корчак НАЗК’у, как государственному институту, пизда.
Я, признаться, был уверен что контроль за внедрением завалил кто-то из её замов.
А по самим подписям кураторов
25.07.2016 Висновок приймальних випробувань Міжвідомчої робочої групи, подписи нескольких от НАЗК, один от Держспецзвязку.И еще два от Держспецзвязку не присутсвовали, удачно попав в отпуск и службове відрядження.
www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf
Акт приема передачи от ПРООН к НАЗК, подпись Корчак
www.eurointegration.com.ua/...cceptance-certificate.pdf
Я учитывал содержательную часть этих документов при подготовке хронологии событий из моего первого поста. К сожалению это все опять же не объясняет причин полугодового бездействия с началом работ по КСЗИ.

I have a dream. Не бачити цей форум, не бачити цю кляту тему, але... воно наркота. Я подивилася відео. Це реальні піздаріки. Це все системний саботаж ВСЬОГО процесу включно з тим НАЗК. Тобто реальна гра в імітацію реформ, і це ні разу ні метафора.

Мені здається це не гра — звичайна фахова неспроможність. Щоправда масова.

Також дякую за відео про «гарячу картошку» (вона ж — ВІДПОВІДАЛЬНІСТЬ НАЗК). Але не має чому дивуватися. Адже на держслужбі найти винуватого дуже важко. Відповідальність навмисно розмивається. А враховуючи, що НАЗК — КОЛЕГІАЛЬНИЙ орган (рішення приймаються голосуванням членами (каламбур, однако)) НАЗК), то відповідального знайти ну дуууже важко. Можна провести аналогію з радами. Виділила сільська рада незаконно землю на своїй сесії. Хто винуватий? Депутати, які голосували. Але ж їх багато, спробуй їх всіх посади))

Ось ще відео. Може комусь буде цікаво. Предупреждение срыва запуска онлайн-декларирования имущества, — тема совещания НАПК, 13.08.2016. www.youtube.com/watch?v=EeDO5C-_dTs На відео, Новіков (Міранда) якось недобре на Євдоченка (Держспецзв’язку) дивиться) Може не треба було їх поруч садити?)))

Цікавий діалог із відео наради від 13.08.2016:
Новіков: Для обговорення зауважень від Держспецзв’язку ми запросимо технічних експертів.
Євдоченко: У них допуск є?
Новіков: У нас не ДСК-ашная Система, у нас «персоналка».
Євдоченко: Зрозуміло (ухмиляється).

Персоналка ? О.о
Это типа АС-1 или как ?
Вот бы господин Новиков удостоил нас комментария по этому поводу.

А объясните прикол, бо я то больше писиай-дээсэсах
Я так понимаю персоналка это система оперирующая с PII ? Так в Европе за такое глаз вырвут на сервер натянут. В Штатах не так эмоционально но тоже.

Просто Новіков та Євдоченко мали на увазі різні речі. Євдоченко питав, чи є в Міранди люди, в яких оформлений допуск до матеріалів з грифом ДСК (службова інформація), для того щоб вони могли ознайомитися з недоліками, які на той момент в терміновому порядку писала Держспецзв’язку, та присвоїла їм гриф ДСК. А Новікав мав на увазі, що вони створили Систему, в якій обробляється інформація з обмеженим доступом (персональні дані про фізичних осіб), що не є службовою інформацією. АС е-декларування, я думаю, класу 3, так як там є доступ до Інтернету. Було б добре побачити Атестат відповідності. Але, наскільки мені відомо, НАЗК не хоче викладати його скан-копію на своєму сайті (який до речі зараз лежить))

Да, похоже что Евдоченко и Новиков вели таки речь о PII.
При этом, видимо, последний просто искренне не понимал взаимосвязь между грифом ДСК на материалах КСЗИ и системы, оперирующей данными, являющимися собственностью Государства.

Надзвичайно цікаве відео, дякую!
Євдоченко на початку доповіді каже, що «2 місяці тому ... почали роботу, складені плани». Цікаво було б побачити документальні свідчення цьому. Чи може це мається на увазі вже відоме листування від 2016-07-01 та погоджений 2016-07-05 Графік створення КСЗІ ? Який, власне, за своїм змістом (в першу чергу надзвичайно стислі терміни експертизи й атестації) вельми як на мене дивний.
Ще цікавий світлявий дядько в окулярах, що сидів ліворуч і відрекомендувався як «відповідальний за перевірку декларацій, координатор департамента» (до речі, підкажіть будьласка хто в курсі — які його ПІБ/посада) — згадував, що іще в квітні проводилися наради у Держспецзв’язку та НАЗК щодо КСЗІ. Але чомусь КСЗІ, до того ж без залучення регулятора, схоже фактично почали пиляти лише у липні.

Знайшов світлявого дядька — Радецький Руслан Станіславович, заступник Голови НАЗК

Так, це Радецький. Саме його прізвище декілька разів згадувала Корчак на засіданні антикорупційного комітету ВР, на запитання Берези, так хто ж все-таки відповідальний за провал впровадження системи е-декларування. Вона якось невпевнено його озвучувала, тому Береза все повторював і повторював своє запитання))

Прекрасний текст. Особливо порівняння проходження експертизи з лікарнею. Хто ні разу не мудохався з Держспецзв’язком та її сателітами під час експертиз, навряд чи зрозуміє даний текст)) Видно, що автор «в теме») Але все-таки хотілося б знати, хто «доточує» систему е-декларування в даний час. Якісь субпідрядники? А хто їм тоді платить? Також буде цікаво поспостерігати за системою в останній тиждень 60-денного терміну внесення декларацій відповідальними чиновниками. У разі падіння системи, УСС знову скаже, що «електрічество» в акумуляторах ББЖ закінчилось?))

Починаючи з гібріда експертизи, що в темпі вальсу перейшла у атестацію, починаючи з 8 серпня я, зізнаюся, перестав й намагатись натягнути «об’єктивну реальність», що дана там через публічні матеріали насамперед «ЗМІ», на існуючу нормативно-правову базу та усталені практики в тих місцях, де ця база суперечлива.

І власне, як схоже і Ви, я у повній розгубленості щодо того, яким чином і якими ресурсами відбуваєтся допилювання Реєстру наразі, та що з цього зрешті вилізе згодом.

Так, я в розгубленості) Але для себе я розставив (в порядку “убывания вины”) учасників цього трилеру в такому порядку:
1 місце — НАЗК (повний залет, абсолютна відсутність контролю за процесом, низька кваліфікація працівників); 2 місце- Держспецзв’язку (небажання брати участь в проекті, вставляння палок в колеса, дрібні пакості, попередня згода на використання БанкАйДі, а потім — ігнор) ; 3 місце — ПРООН (непрозора процедура тендеру, недостатній контроль за процесом); 4 місце — Міранда (продукт написали неякісний, не розрахували свої сили, але старались)))

Так, НАЗК в плані організації власної же роботи — це якась беспросвітна пічаль. Держспецзв’язок дійсно відмітився повною неготовністю до важких політичних наслідків своєї звичної пасивності, щоправда без юридичного залучення їх з боку принаймні НАЗК ця пасивність відповідає чинному законодавству. А от ПРООН... Важко недооцінити їх роль зважаючи на счинений та роздмуханий ними ж міжнародний скандал, вельми цікава (і поки невідома через відсутність публічних звітів щодо використання грантових коштів) вартість якого.

Щодо BankID, його могли спробувати провести через експертизу в якості частини КЗЗ. Сумнівно чи це вдалося б, але навіть й такої спроби, схоже, не було зроблено. Тож за нормативно-правовою базою він був несертифікованим засобом й не міг використовуватися для автентифікації/ідентифікації.

Ну а Міранда — креатура ПРООН. Якій ПРООН же з якогось дива «спустив на гальмах» багатомісячний зрив строків впровадження, при тому прийнявши від них продукт у лютому з запізненням на місяць, у стані що не відповідав RFP навіть у серпні.

То ж у моїй «табелі о рангах» переможці посіли наступні місця:
1. НАЗК
2. ПРООН
3. Міранда
4. Держспецзв’язок

А як вам такий захист персональних даних від НАЗК: public.nazk.gov.ua/...1c-4418-ac73-25cb101b5993

Ви щодо доступності домашньої адреси особи, оскільки при введенні об’єктів нерухомості необхідно вводити їх адреси, які в подальшому відображаються в декларації нецензурованими ?

Ну концепція неправильна. Це не система контролю, це її імітація. Мета системи — збирати і аналізувати декларації на відповідність реальності відображеній у різних реєстрах. Функція он-лайн вводу декларацій вторинна і не потрібно її було на першому етапі реалізувати від слова зовсім.
Ну а тепер йде віяна за функціонал який насправді не потрібен...

Чому ж імітація? Декларант задекларував 1 млн. грн. А хату купив за 2 млн.грн. От вже НАБУ може запитаннячка задавати (такі ж як і воєнному прокуророві Кулику). Невідповідність видатків доходам.

Без автоиматичного пошуку і верифікації що паперова декларація, що електронна — вшистко єдно.

Сергій правий в тому, що обмежені ресурси НАЗК за відсутності автоматичної аналітики й даних сторонніх реєстрів не зроблять можливим здійснення системної роботи. А от вибірково — по конкретних персоналіях — звісно НАЗК працюват зможе. Щоправда для цього було б достатньо існуючих паперових декларацій.
Тому з точки зору системності боротьби з корупційними проявами НАЗК’ом — як би це не було сумно, але це ні що інще, як її імітація.

Питання знатокам. Чи є у цих Реєстрів (нерухомості, транспортних засобів, земельних ділянок) КСЗІ з підтвердженою Держспецз’язком відповідністю? А якщо не має, то хто буде проводити їм експертизи?)

Наскільки відомо — є. І через це сиру гімняшку не дали до них підключати.

Реєстри, що обслуговуються ДП ІЦ Мінюсту за їхніми ж твердженнями мають атестати відповідності від Держспецзв’язку.

Безперечно, без аналітичної частини, яка б мала доступ до інших релевантних реєстрів, незрозуміло яким чином НАЗК буде використовувати Реєстр для системного виявлення потенційних корупціонерів. В нинішньому вигляді принаймні декларації доступні для загалу і всі охочі можуть простежити хоча б тих персонажів, щодо яких є питання.

Щодо ж он-лайн вводу, то це принаймні вивільнило (чи скоріше не витребувало додаткових) ресурси НАЗК що були б необхідні для самостійного їх введення, що навіть за умови OCR по усталеним формам вмагало б додаткового обладнання та фахівців.

Навіщо OCR? Ну хоча б PDF Forms. Там і ЕЦП є AFAIK. Не тратили би час на непотріюний функціонал.

Тут є питання відповідності цього ЕЦП чинній нормативно-правовій базі.

Та не проблема — можна підписівати як податкові підписуються. Суть в тому ще з жовтня по серпень писали он-лайн введення декларацій яке на справді... непотрібне і його можна (у треба) було зробити офф-лайн.

Це ще одне питання до НАЗК та ПРООН. А зважаючи на таку «неймовірну цінність» проштовхуваного останнімі Реєстру ще й про адекватність наслідків счиненого скандалу кінцевій меті. Якщо, звичайно, цією метою було саме впровадження цих непересічних в своїй досконалості засобів редагування каталогу декларацій.

Ну я думаю тут бажання попилити бабла спарувалося з ІТ-дилетантизмом — це стандартна помилка дилетантів: малювати красиві формочки з дзвіночками і свистками замість виріжувати бізнес-задачу.
І так — флоу off-line edidting — upload — parsing — знижує небезпеку від пікового навантаження при закінченні терміну подачі — фактом подачі декларації вважається підписання і upload до системи. А парсити і заводити в БД можна у фоні і на доступність системи це мало впливає.

$95K як для попиляти бабла впродовж більше ніж пів-року надзвичайно сумнівний «приз» зважаючи на необхдність представити який-не-який, а результат.
Медіа-бюджет же дійсно міг бути надзвичайно вигідним, враховуючи що (якщо) його вбухали для «подолання зради» за, приблизно, 2 тижні. Але якщо це так, то особи що винайшли такий креативний спосіб засвоєння бюджетів — беспринципні мудаки.

Але ж ми надіємося, що 4 та 5 етапи впровадження системи е-декларування будуть закінчені в самі короткі терміни) Чи не так?)

Обіцяти не значить одружитися(тм)
На моє суто суб’єктивне переконання, ситуація що склалася у НАЗК з ніби і існуючим мєго-реєстром, а натомість даючим можливість лише вибіркового переслідування корупціонерів, надто вигідна широкому колу осіб з різного спектру міркувань (в тому числі гравцям не з складу НАЗК), щоб розраховувати на вирішення проблеми доступу до сторонніх реєстрів та автоматизування аналітики у стислі терміни.

Тому то я і поставив смайлик, так як і сам в це не вірю! Це був тролінг НАЗК з моєї сторони) Тим більше, мабуть, у сторонніх реєстрів не має Атестатів відповідності КСЗІ. Отже, до супер-системи, яка має Супер Атестат Супер бляха-муха Відповідності, зась підключати не атестовані Системи! Алілуя!))

Ми ходимо по колу © Євдоченко Л. О.

Знайшов прикольний комент від 27.08.2016 на Ютубі (під відео з прес-конференції Геращенко/Вінника):
Андрей Мамай
Хроника “зрады” или дерьмо на вентилятор.
Трагикомедия в двух актах
Президент: — Система е-декларирования должна заработать 15 августа.
Шабунин: — Власть будет срывать е-декларирование и не даст вовремя сертификат на программу
Госпецсвязь: — Так мы дадим, только ошибки исправьте
Разработчики: — Нету у нас ошибок. Все работает. ПРООН и независимым экспертам все нравится.
Госпецсвязь: — да как нет, вот же список
Разработчики: — говно ваш список. ПРООН и независимым экспертам все нравится.
Европейская правда: — Власть сделала это специально. Руками Кровавого Пастора. Не давайте Порошенке “безвизовый” и транш МВФ.
Борцуны: — Это Порошенко срывает е-декларирование
Шабунин: — Конечно Порошенко, кто ж еще?
Кровавый Пастор: — Власть здесь не причем — у вас программа — говно. И разработчик ваш стремный типочек с улицы. Если нужно — мои хакеры в момент сверзают качественный софт.
Шабунин: — Хороший софт. Правильный! И защита там хорошая. Поэтому сертификат безопасности должны были дать. А не даете, потому что Порошенко хочет сорвать е-декларирование. Чтобы его кенты под шумок заполнили декларации, скрыли там ведомости, а их потом нельзя было привлечь, так как сертификата нет.
(Тем временем “кенты Порошенко”, а также министры и нардепы до сих пор не заполнили ни одной декларации в незащищенной программе, чтобы чего-то там избежать)
ЕС: — Не, Украина, ну сертификат нужен. Нам тут борцуны, независимые эксперты и ПРООН сказали, что программа защищенная. Дайте им сертификат, а то не будет безвизового и транша.
МВФ: — без сертификата безопасности транш не дадим.
Климкин: — да без проблем, до конца августа все исправим, дадим сертификат и запустим;
НАЗК: — декларации будут заполнятся с сентября, когда система будет сертифицирована, чтобы никто от ответственности не ушел.
Европейская правда: — мы специально рискнули репутацией и сделали провакативное заявление, чтобы подстегнуть власть, чтоб она не сорвала е-декларирование. Сейчас уже все будет хорошо.
Борцуны: — Ага! Победа! Порошенко — зассал! Думал что в МВФ и ЕС враера сидят и поверят в сказки про незащищенную программу! Это мы власть додавили. Так что безвизовый будет со дня на день и только благодаря нам.
Геращенко: — Хакеры сломали программу е-декларирования и заполнили на сайте фэйковую декларацию от имени члена НАЗК. При этом иронично указали, что он заработал 25 лямов работая на фирме под названием “Некачественный разработчик”.
Борцуны: ... молчат...
Шабунин: ...молчит...
Европейская правда: ...молчит...
Разработчик: ...молчит...
Власть: не ссыте, до конца августа все заработает и будет работать правильно.
Занавес? Неееееет. Ждем офигительных историй от разработчика и Борцунов. Ждем 2 акта.

Не отражена роль юных (и не очень) археологов-тестировщиков-любителей (и не очень) кот-е ковыряли поделие палкой и наковыряли дыр и гавняшек.
Ну и болеьщиков миранды с борцунами кот-е доказывали что «это не гавно ! Это изюм! Просто слежался!».

До речі, хтось знає як проходить розслідування НАБУ стосовно фейкового ЕЦП як би Рябошапки? Здається Бігус ще 20 серпня заяву до них подав. Які там терміни розгляду? І чому саме заяву було подана в НАБУ? а не в прокуратуру чи ще кудись? Хіба НАБУ розслідує фальшування електронних ключів? Нє панімай)

Ну у НАБУ очевидно есть правовая база кот-я позволяет какие то логи и какие то высказывания использовать как улики. Они там помнится по словам Наема ну просто доки в инфобезопасности и таскают ДСП информацию на личных ноутах...

ДСК на особистих ноутах — це квіточки, а ягідки — це таємна інформація на флешках, які виносяться за територію контрольованої зони, а потім губляться) volodymyrboyko.com/.../казкарі-з-набу/#more-135

Уййййй.... А Наєм ще жалівся що злі ГПУшники забрали «особистий!» ноут. Ну це капець якийсь...

Хакеры сломали программу е-декларирования

Если бы они систему е-декларирования сломали. Они «сломали» всю гос. систему ЕЦП. Но всем пофиг такие мелочи, главное покидатся говном в систему е-декларирования и ее разработчиков.

Правильно буде сказати не зламали всю державну систему ЕЦП, а «нагнули». Так як ЕЦП як би Рябошапки, на мою думку, видавався хакерам «срєднєй руки» (на думку Геращенка та Вінника) ДП УССом без підтверджуючих документів.

Мммм... Проблема в тому що доказів що цей ключ видали саме їм, а не іншим немає. Бо ні Геращенко не продемонстрував методику зламу, ні НАЗК з Мірандою не надали доказів бо спочатку вони розповідали про тестовий ключ. А версія з лівим ключем з’явилася через досить таки помітний час.

Так розслідування і повинно проводитися для того, щоб зібрати докази. Що заважає «розслідувачам» підійти в УСС і розпитати, хто робив ЕЦП якби для Рябошапки? Але хто захоче «стріляти собі в ногу»?))

Саме так. Адже прийшовши до чиновника до дому, обідєть його зможе кожен (сказав би Лесь Подерев’янський))

Феерия плюрализма мнений в одной отдельно взятой голове. Весьма, для меня, отрезвляюще. Признаться, был неплохого мнения о Мустафе, теперь уж и не пойму — а, собственно, почему ?

Щедро разливая вокруг многие ушата помоев трудно ожидать остаться в последствии чистым.
Такое впечатление, что чувакам замутившим вот эту вот всю феерическую историю теперь удивительно, что выполнение проекта должно было быть первичным, и не следовало пытаться решать проблемы закладывая бюджеты на продавливание неудовлетворительного качества результатов через СМИ и иностранцев.

Подростковый инфантилизм оказался не в курсе, что такое репутация.

Учитывая вчера же разразившийся квартирный вопрос и бурление аффилированных говн вокруг него, подростковый инфантилизм в определенных кругах — явление массовое, если только не заразное.

Заразное. В этой герметической тусовке это имеет индуктивный характер.

Перечень проблем, внесенных уже красными связистами, тут:
www.eurointegration.com.ua/...ticles/2016/09/2/7054085

Там же описание того, что происходило в течении 2-3 месяцев после окончания разработки: искали деньги на сервера и хостинг.

На мой взгляд, «Европейская правда» освещает эту историю наиболее подробно и непротиворечиво.

Выглядит всё таким образом: техническим администратором системы де-юре является НАЗК, которое не содержит технически компетентных сотрудников, поэтому де-факто задачи по системному администрированию выполняла Миранда, а теперь ДЦКЗ. Фактически, НАЗК отстранено от управления системой.

Комментарии, которые НАЗК делает на своей официальной странице, по своей сути, таковы:
gist.github.com/...9c79e90794196ead4b777e257
То есть вместо того, чтобы решить проблему, НАЗК советует... сменить браузер, сменить почтовый сервис.

Судя по проблемам с попаданием почты в спам, массовые рассылки они раньше не делали, иначе бы знали о проблеме заранее. Вместе с бесконечной сесией это ставит вопрос об квалификации и опыте разработчиков системы.

Вы наверное не следите. Тут столько шума было про «Почта идет через сервера Миранды», полистайте, тут где-то советовали настроить sendmail, на что разработчики ответили, что в этом случае почта будет попадать спам. Так что вопрос о квалификации надо ставить ДЦКЗ. Если разбираетесь, вот причина: gist.github.com/...52722488c1a1e0bb8d774ca78

А вечную сессию пофиксили, да. Теперь на каждо действие нужно вводить ключ и пароль.

правильно, почта в спам — это ужас ужас, а почта. гос ресурса, которая идет через сервер левой говноконторы — это норма

На мой взгляд, “Европейская правда” освещает эту историю наиболее подробно и непротиворечиво.

Офигенно незаангажированный обзор:

Для тих, хто слідкував за темою — йдеться про “проблему кукіз” — на комп’ютері, де заповнювали декларацію, лишалася технічна інформація. Через це інша людина, сівши за цей комп’ютер, могла проглянути закриті персональні дані.
До слова, ця вразливість не дозволяла змінити чужу декларацію, для підпису декларації потрібен електронний ключ, та й довільна зміна вже поданої декларації не є можливою. Але все одно, можливість витоку персональних даних — неприйнятна.

Как обычно, дырка есть, но вы держитесь все хорошо, только про то, что можно отредактировать черновик чужой декларации упомянуть забыли.

Ответсвеность экспертов ПРООН, которые должны были проверить на уязвимости и протестировать, попытки продавить атестацию системы с багами «Европейская правда» тоже не замечает.

«Европейская правда» подает информацию с смягчением вины ПРООН и с акцентом на ответсвенность госорганов и Президента.Также остается вопрос: знали ли журналисты про проблемы декларирования заранее еще весной и молчали или же инсайдерсую информацию они получили уже в момент публичного скандала в конце августа.
А вот «порохоботы» в фейсбуке наоборот — в ситуации аргументировано обвиняют грантоедов и ПРООН с полным игнором подлога ключа Рябошапки со стороны УСС.

Также остается вопрос: знали ли журналисты про проблемы декларирования заранее еще весной и молчали или же инсайдерсую информацию они получили уже в момент публичного скандала в конце августа.
Вот, что следует знать о готовности реестра состоянием на 15 марта 2016. При том что ПРООН ещё 29 февраля 2016 его у Миранды приняло. Хоть разрабы и должны были сдать его до 31 января 2016. Не смотря на срок выполнения 1й очереди до 30 декабря предыдущего, 2015 г.

Встречайте:

15 березня о 13:30 у конференц-центрі “Щастя HUB”, вул. Паньківська 14 у рамках стратегічної дискусійної панелі “Прозорість та доброчесність публічного сектору: 2016 — визначальний час для України” вперше, для широкого кола громадськості відбудеться презентація прототипу Системи електронного декларування в Україні.

И, как мне кажется, весьма наивно думать, что “журналисты” лишь благодаря некоему инсайду выкатили #зраду, тогда как для её распедаливания в одном лишь датском гранте была куча денег. И чем сложнее запускалось e-декларирование — тем больше их приходилось осваивать. И куда уж осваивать больше, чем когда продукт откровенное говно. О чем сегодня даже Найем сообщил.

При установленной датчанами норме админ-затрат 8% от освоенной суммы даже при безоткатной технологии это весьма недурно, учитывая временной промежуток работы кочегарки в 2 недели и затраты за отправку “инсайдов” электронкой.

Иван, вот вы на самом деле не замечаете очевидного, ли это такой тонкий троллинг, недоступный по-крайней мере моему пониманию ?

Реестр по ТЗ тендера от ПРООН должен был быть сдан (без доступа к другим реестрам) 30 декабря 2015. По документам ПРООН его принял 29 февраля 2016. По тендерной же документации ещё до 30 марта он должен был уже функционировать в достаточном для массового приема деклараций. Вы все ещё не видите с происходившим с начала августа никаких противоречий ?

Вы пишете — искали деньги на сервера ? В тендерной документации об этом исчерпывающе — если у подрядчика нет собственной материально-технической базы — он включает затраты на необходимое оборудование в стоимость предложения.

Если ещё 13 августа я был уверен что г-н Сидоренко, поспешив и не разобравшись толком в предоставленным им же на суд общественности документах, невзначай вводит нас в заблуждение. То уж сейчас то интересовавшимся произошедшим предметно должно быть очевидно, что статьи Сергея по-крайней мере о Реестре — причудливый и избирательный микс вольно интерпретируемых фактов, разбавленный домыслами, конспироложеством и, местами, откровенной ахинеей.
И то, что типо «допиленный» за две недели Госспецсвязью Реестр из говна так и остался говном никак не превращает набросы Сидоренко в правду, Миранду из старателей в программистов, ПРООН из грантопилов и манипуляторов в борцов с коррупцией, и не вправляет руки и мозги некомпетентным немащам из НАЗК.
И, разумеется, это никак не умаляет идиотского зашквара Геращенко, Винника и УСС вместе с преступной бездеятельностью Минюста, Госспецсвязи и правоохранителей.

Да как бы по воплям и унитазу было понятно что «евроинтеграторы» и «антикоррупционеры» прекрасно понимали уровень факапа и делали все что бы перевести стрелки подальше от себя. Особо мне понравился (теперь уже — тогда я вообще прикола не понял) финт Преснякова кот-й поднял шум по поводу бесперебойников в датацентре. Теперь это выглядит как попытка студента найти поводу не защищать курсач по причине пробелм со светом в аудитории когда в курсаче на самом деле конь не валялся.

Предоставьте другой источник, объясняющий ситуацию. Кроме УСС и ДССЗЗИ.

Во-первых, источник НЕ объясняет, источник предоставляет факты.
Во-вторых, упячка это вообще не источник и не сми а галимый пропагандисткий листок Григоришина.
Ну и в третьих — на данной ветке ДОСТАТОЧНО и информации и анализа что бы составить свое мнение и без проплаченных рирайтеров кот-е по ошибке называют себя журналистами.

Вот вам факт: систему переписывают практически с нуля. Можете сами убедиться, перейдя на public.nazk.gov.ua и сравнив с тем, что было ранее.

Так остальным не причастным и не допущенным как бы объясняться и поясняться и не надо в приключившемся. Чуток юмора накопипастю.

Аналитик — это специалист, который завтра будет знать, почему то, что он предсказывал вчера, сегодня не случилось.

Жена попросила наглядно объяснить, что значит действия ЦБ правилные, но запоздалые. Объяснил: Ну это как бы ты в дерево уже врезалась, но руль потом всё-таки повернула!

Предоставьте другой источник, объясняющий ситуацию. Кроме УСС и ДССЗЗИ.
Уфф. Надеюсь, Иван, вы не на бейсике до сих пор программируете, хотя это могло бы объяснить ваш отказ оперировать фактами из первоисточников неизбежной профессиональной деформацией.

Откройте тендерные материалы ПРООН «RFP UKR/2015/97 — Development of Software of Electronic Asset Declaration System of Ukraine» на их же сайте. На странице 4 RFP найдите Latest completion date — это 30 декабря 2015. На странице 4 QA RFP в п. 19 написано, что тестирование системы должно быть завершено до конца января 2016. В п. 25 QA RFP написано, что главным заданием является возможность подачи и опубликования деклараций в электронном виде до конца января 2016, а к моменту массовой подачи деклараций в марте 2016 задачи первого этапа должны быть полностью боеготовы.

В набросе Сидоренко найдите акт приема-передачи комплекса (pdf, 4 страницы), в котором ПРООН свидетельствует, что не имеет претензий к первой части.. В таблице на страницах 1 и 2 убедитесь, что все 3 задачи первого этапа были приняты ПРООН до 29 февраля включительно, что уже на 29 дней позже конца января.

Первый документ, в котором появляется Госспецсвязь — Заключение межведомственной группы, которая засвидетельствовала готовность системы к эксплуатации, и датирован он 25 июля. От «конца января 2016», определенного как срок готовности Реестра в ТЗ, до 25 июля — когда его готовность была подтверждена фактически — без малого 6 полных месяцев.

Ещё раз, надеюсь что в последний — ПРООН и Миранда сорвали сроки внедрения Реестра на пол-года! После чего обвинили Госспецсвязь в провале сделать нечто физически невозможное либо уголовно наказуемое за 2 недели.
Как только вы, Иван, найдете в статьях Сидоренко упоминание хотя-бы об этом прискорбном факте, я буду готов попытаться пересмотреть свое мнение о том, что его «творчество» не является некомпетентными, однобокими и манипулятивными набросами.

Вы тут ещё ДЦКЗ не упомянули.
Это нормально когда, одна организация сама пишет ТЗ, сама его выполняет, сама хостит, сама проверяет КЗСИ? Причем правит и тестирует по-живому, на боевом серваке, попутно удаляя результаты неудачных экспериментов?

Вы так зациклились на Миранде, ПРООН и борцах с коррупцией, что упускаете главное — система декларирования не работает. И вместо того, чтобы её доработать, спецсвязь выкинула её на помойку, надеясь за 2 недели имплементировать заново. А крайний срок подачи деклараций — октябрь! А если закон о декларировании не заработает в этом году, то безвизовый режим в 2017 не дадут.

Вы тут ещё ДЦКЗ не упомянули.
Это нормально когда, одна организация сама пишет ТЗ, сама его выполняет, сама хостит, сама проверяет КЗСИ? Причем правит и тестирует по-живому, на боевом серваке, попутно удаляя результаты неудачных экспериментов?
ДЦКЗ — Державний центр кіберзахисту та протидії кіберзагрозам. ТЗ КСЗИ писал не ДЦКЗ, формальным автором его был НАЗК. Также ДЦКЗ не согласовывал ТЗ КСЗИ — это обязанность Госспецсвязи. ДЦКЗ проводил экспертизу КСЗИ (в вашей терминологии — проверял) и это единственная неоспоримая истина среди остальной, явленой вами выше, ахинеи.
Вы так зациклились на Миранде, ПРООН и борцах с коррупцией, что упускаете главное — система декларирования не работает. И вместо того, чтобы её доработать, спецсвязь выкинула её на помойку, надеясь за 2 недели имплементировать заново. А крайний срок подачи деклараций — октябрь! А если закон о декларировании не заработает в этом году, то безвизовый режим в 2017 не дадут.
У Миранды и ПРООН было пол-года на то, чтобы привлечь к разработке регулятора, согласовать эксперта, выполнить работы хоть и не в заявленный срок до конца января 2016, то хотя-бы без аврала, вранья, манипуляций, международного скандала и тяжелых репутационных потерь Государства разразившихся в августе. Тот самый Реестр, который должен был быть готовым для массовго приема деклараций ещё в марте, продолжал быть говном не соответствующим первичному ТЗ даже в начале августа. Отказ в безвизовом режиме — исключительно и только следствие криворукости Миранды, халатности ПРООН и некомпетентности НАЗК.

Я более не стану пытаться переубеждать вас, Иван. По-крайней мере до тех пор, пока вы не прекратите искаженно транслировать через себя набросы Сидоренко и компании.

Прошло более суток с запуска. Можно констатировать, что система таки да стала защищенной:
никто не может ни заполнить декларацию, ни просмотреть ранее заполненные.

Всех поздравляю.

Я сегодня два раздела осилил в этом квесте. Стопорнулся на идентификационном/регистрационном номере квартиры (перегляжу ордера, документы, договора, обойду дом по периметру, может где инвентарный накалякали и может им через дробь с номером квартиры это надо) и на дате и стоимости на момент приобретения (как бы приватизировалась на всех прописанных в равных долях, потом выделяли доли и собирали по частям через дарение на меня от родственников 1-й и 2-й линии, с уплатой только налогов), теперь в непонятках какую же дату из .. и каку оценку из ... писать, что в сумму приобретения писать. На машине тоже какой-то идентификационный номер спрашивают (видать номер машины, хотя и шасси можно вписать). В шоке от интерфейса (некоторые селекты пришлось из кода выдирать, чтоб до конца варианты выбора почитать). А так то вхожу, то выхожу, черновик постепенно заполняю. Хоть бы тултипы к каждому полю наделали, с разжевыванием чего хотим, так как порядка заполнения пока не получали и все не так как в сданной на бумаге. Так что не заполнение, а прохождение квеста получается.

Закон «Про державну реєстрацію речових прав на нерухоме майно та їх обтяжень», ст. 15:

Реєстраційним номером об’єкта нерухомого майна є індивідуальний номер, який присвоюється кожному індивідуально визначеному об’єкту нерухомого майна при проведенні державної реєстрації права власності на нього вперше, не повторюється на всій території України і залишається незмінним протягом усього часу існування такого об’єкта.

Вікіпедія:

Ідентифікаційний номер транспортного засобу (англ. Vehicle identification number — VIN), або VIN-код — це унікальний серійний номер, що застосовується в автомобільній промисловості для індивідуального розпізнавання кожного механічного транспортного засобу, причіпного транспортного засобу, мотоцикла та мопеда, визначення яких подані в міжнародному стандарті ISO 3833.

У меня еще старая БТИшная регистрация квартиры, что автоматом не переносилось в новый реестр недвижимости, государство решило, что кому печет что-то с ней делать, пусть сам за деньги переносит. А гараж вообще в кооперативе, из документов на руках только членская книжечка со взносами, в бумажном варианте требовался только адрес и площадь, что не составляло труда заполнять. Ребус. Тут не про софт «кричать» надо, а про методику заполнения напридуманных полей оторванных от реальности, а как оно работает, то уже переживем.

Вітаю. Ми це все пройшли два тижні тому. Ту форму взагалі заповнити неможливо, і це не баг, а фіча. І не тільки софтіни, а і дизайну. Трохи тут maidan.org.ua/...il-pekla-e-deklaruvannya
І спроби виробників робити вигляд, що то все дрібниці, заокпують їх ще більше.

А это там где — помічник системи по заповненню? Интуитивно его нигде не заметил.

Концепция неправильная с самого начала. Главное должно быть не он-лайн заполнение, а публичность и автоматическая сверка с другими реестрами.

Какие реестры. Я при прохождении люстрации по вызову в налоговую предоставлял все оригиналы и сканы в дело им для подтверждения всех строчек декларации. У них реально не получалось это получить от держателей информации по папкам из архивов. Максимум что они могут автоматом проверить без документальной сверки по тем, что покупали все не сейчас, это правильно ли переписывают декларанты доходы за год, из справки заблаговременно взятой у них же. Ну, и надеяться на чтецов, что будут вычитать сданное нами в общем доступе и сигнализировать на верхи.

Та ваще не треба було ніфіга робити, крім сканів декларацій, завірених нотаріусом. Як в Румунії наприклад. І всьо

То, что сейчас запущено под видом системы подачи деклараций является фикцией, и это не та система, которая была разработана Мирандой под эгидой ООН.
Евдощенко нанял команду студентов из КПИ, и они за две недели скопипастили формы с оригинальной системы. За текущей обверткой нет ничего. Ни валидаций, ни проверок, ни предпросмотров, ни запросов в НАЗК, про систему помощи я уже вообще молчу.
Естественно ни про какие визуальные формы представления декларации, на данный момент, вообще речь не идет.
Можно еще написать про неработающую подпись поданного документа, но там еще печальнее. Судя по коду, подписывается не целостный документ, а отдельные данные из него, в результате в суд передать эту якобы декларацию не получится. Чиновниками цель достигнута. Система «сертифицированная» якобы есть, а на выходе «пшик» :(

Валидация говорите... Проверки говорите... Вот уже точно — иногда лучше промолчать :).

Кто-то ожидал, что за неделю, которую дали на доработку системы, случится чудо? Как и предполагалось, никакого чуда не случилось.

Евроинтеграторам и Миранде отдельное спасибо за срыв запуска е-декларирования.

Кто-то ожидал, что по-крайней мере не станет хуже. Почтовый сервер они не могут настроить, связисты...

Факт в том, что система без аттестата-серификата худо-бедно работала. С аттестатом — нет.

Ага, то что миранда не смогла сделать за полгода за бабло от ПРООН, студенты должны были сделать за неделю бесплатно.

А кто их тянул за язык? И с каких пор в госструктурах работают студенты?

А их никто за язык не тянул, им Порошенко сказал до 1 сентября пофиксить все косяки, допущенные говноконторой И сертифицировать приложение. И напомню, что предыдущая попытка это сделать заняла пол года и закончилась эпическим фейлом.

Вышло то, что вышло, и это пример, который должен войти в аналы управления проектами в области безопасности.

ловко ты его поправил. мы гордимся тобой.

TLDR версия:

Все IT-специалисты уехали из страны, е-декларацию писать некому.

Так сами и кричали кому не нравится — валите

Ну что же, взял свой ДФС-ный ключ, вошел сегодня на сайт, к ФИО и ИИН довел почтовый ящик и номер мобильного. Пришло письмо о подтверждении регистрации. Подтвердил. Пока инициировать начало заполнения своей декларации не стал.
Хотя по новостям все как бы не работает, какие-то белые пустые страницы. Да, и все про какого-то

Рябошапку
кричат, ни тебе инициалов его, ни его ИИН не приводят. Возможно, на обратной стороне сайта не в курсе того, кто из регистрирующихся действительно госслужащий и относится ли его посада к категории «B», так что отлавливаем бомжа с подходящим ФИО, получаем с ним на него ключ и вперед делать повторные сенсации.

Не «вохможно» а таки да — никакой проверки является ли декларант чиновником (или кандидатом) там НЕТ. И в этом один из главных концептуальных недостатков.

Тидищь!
www.dsszzi.gov.ua/...t_id=261007&cat_id=240232
«Надане розробником програмне забезпечення та у цілому побудована КСЗІ мали суттєві недоліки і прорахунки, які не дозволяли би експлуатувати систему електронного декларування відповідно до ТЗ та захистити інформацію належним чином, зокрема через ризики та загрози, що пов’язані з проблемами:

авторизації (автентифікації) декларантів,

несанкціонованого (зловмисного) доступу до відомостей декларантів при їх подачі через незахищені персональні комп’ютери,

уразливостей відомостей Реєстру через можливості прямого доступу до баз даних з браузерів користувачів,

можливості несанкціонованого внесення в систему сторонніх файлів,

реалізації не задокументованих функцій, пов’язаних із використанням зовнішніх сервісів,

ряду інших уразливостей та системних недоліків, які стали загальновідомими для фахівців ІТ-галузі за лічені дні роботи Реєстру.

Підкреслюємо, що до 23 серпня розробником не були усунуті виявлені за результатами державної експертизи недоліки, а тому співробітництво з ТОВ „Міранда“ припинено.

Також у ході дороблення КСЗІ Реєстру було виявлено принципові проблеми стосовно технологічного обладнання Реєстру. Зокрема, фактично в наявності була лише третина задекларованого обладнання.»

Вы лучше расскажите какой сертификат Геращенко сгенерировал, тестовый или настоящий?

Мне не докладывали.

Что-то Свидетелей Идеального Кода Миранды в волнах не видать... Идеальный Код Миранды — вот что должно быть предметом обсуждения, ибо он, Код, первичен, тогда как Сертификат Геращенко — вторичен.

Ага, компрометация всей государственной системы ЕЦП вторична и не сравнится по масштабу с кодом каталога чиновьичих деклараций.

А прямо всю государственную систему ЕЦП скомпрометировали?

То, что некоторые депутаты оказались недалекими кретинами не делает из компьютерщегов Миранды программистов и не фиксит баги/бреши в Реестре.

Тут вот какая штука... Наивно думать что Геращенко или Винник вламывались собственноручно.
Два... Шото много времени прошло с момента прессухи до момента появления в народе левого «ключа Рябошапки». А судя по протоколу комиссии в мирандовской гавняшке нифига не понятно ни когда с этим ключем зашли, ни IP с кот-го зашли.
Зная кол-во и типы дыр я все таки задумался а был ли мальчик.

Какая разница собственноручно или нет?
Это дыры в «мирандовской гавняшке» создали левый ключ подписанный АЦСК УСС?

Это дыры в «мирандовской гавняшке» создали левый ключ подписанный АЦСК УСС?
Нет конечно. Но они позволяли (как минимум теоретически) получить продемонстрированный Геращенко результат.
Технических доказательств того что именно «Геращенко» использовал этот ключ в виде логов и дампов базы я так понимаю предоставленно не было.
Т.о. если даже если кто-то достаточно умный что бы скомпрометировать систему но достаточно глупый что бы подставиться с ключем действительно получил незаконный ключ и использовал его для подписи левой декларации то я так понимаю (исходя из текста протокола НАЗК по расследованию инцидента) ЮРИДИЧЕСКИ весомых доказательств этого (дампы баз, логов и т.п. — см. Computer Forensic Incident handling кот-е в свою очередь должно являться частью КСЗИ) НЕТ.
Вот такая вот петрушка как ни грустно... И о том, что система не пригодна к эксплуатации в т.ч. и из-за этого (отсутствия аудитабилити) писалось тут же с самого начала.

Есть в приложениях, но они под грфом ДСК и не публикуются. www.eurointegration.com.ua/.../b/4bd4f01-4-original.jpg

Там страницйей раньше написано что установление с какого именно IP это сделали требует времени и ресурсов.
Кароче — есть доказательства — велькам УК, прокуратура и т.п. Но сдается мне что из нет. Потому что вечером после прессухи (а не сразу же) начали про тестовый ключ а где то через сутки ключ пеерстал быть тестовым.
В суд. Нафиг.

НАЗК просто может быть не заинтересовано в расследовании и суде, госконторы все тихо порешали между собой.

А почему это НАЗК не заинтересовано если там а)люди от активистов б)злобный Порошенко и Госспецсвязь не дали запустить классную систему вовремя?

Потому что НАЗК такая же часть государства как и госспецсвязь, и там не «люди от активистов», а такие же чиновники от государства. Возможно не хотят признавать компрометацию государственной системы ЕЦП, надеются что большинство людей не компетентно и не поймет что произошло.

Низачет
uk.wikipedia.org/...D.D0.BE.D1.81.D1.82.D1.96
28 серпня 2015 року були визначені 4 представники громадськості, які обиратимуть членів Нацагентства з питань запобігання корупції — Андрій Марусов, Леся Шевченко, Віктор Шлінчак та Віктор Таран[11] До складу комісії також увійшли представник Президента України у Кабінеті Міністрів Олександр Данилюк, голова Нацдержслужби Костянтин Ващенко[12], представник від Верховної Ради, доцент НаУКМА Володимир Сущенко[13].
Рябошапка — «Жовтень 2013 — березень 2014 — керівник Департаменту аналізу антикорупційної політики у неурядовій організації „Transparency International Україна“.»
Упс...

И что? От того что их выбирали какие-то грантоеды, чьи имена мне ни о чем не говорят, причем даже не сами а вместе с чиновниками, члены НАСК не перестают быть госслужащими со всеми вытекающими.

Итого три чиновника против одного активиста.

Вывсёврёти!

Еврокомиссия и ПРООН не могут ошибаться!

Иван Пресняков — лучший в мире эксперт из лучшего в мире Центра Противодействия Коррупции, выбрал лучшую в мире фирму ООО «Миранда», и она сделала идеальный код к 15 августа.

Система была остановлена по указке Вальцмана-Гройсмана руками нечистоплотных деляг из ГСЗССЗСЗСЗСЗСЗСЗС!

Вы распространяете изменённую реальность по наущению рептилоидов, Ротшильдов, Сороса, и Каценеленбогена!

На українському сабреддіті вже 2й день ідуть срачі про баги в системі із частковим скатуванням в неадекват. На будь-який аргумент про баги знаходяться «спеціалісти», які назвуть тебе ворогом, зрадником і хіба не агентом кремля))) Коротше весело і занятно.

Тред #1

Тред #2

Кому нема чого робити і є бажання втратити трохи часу на отаку дивну розвагу — ласкаво просимо. І взагалі приєднуйтесь до сабреддіту — нам потрібні адекватні і освічені люди.

І з Днем Незалежності !

Боротьба жаби та гадюки триває.

22.08.2016 НАЗК проводит комиссию чтобы разобраться с декларацией Рябошапко(по сути собирают улики) www.facebook.com/...k/posts/10209233696791884

Из чего узнаем от главного специалиста НАЗК что 05.08.2016 было сформировано заявление на получение ключа для Рябошапко, передано в ДП “НАІС” и по сотоянию на 22.08 Рябошапко получил цифровую подпись(может это и есть так называемый тестовый ключ).
ДП “НАІС” и УСС разные центры сертификации, хотя сотрудник мог ошибиться в абривиатурах, в принципе легко проверить если есть ИИН или номер сертификата ca.informjust.ua/certificates-search (конечно же если ДП “НАІС” не чистил данные вручную)
Здесь подозрительно вообще наличие такого ключа, так как Рябошапко в фейсбуке утверждал что у него нет цифровой подписи, а в итоге их может оказаться целых две.

В системе нет явного отслеживания IP адресов с занесением в базу, есть только лог-файлы.

Подача декларації Рябошапки Р.Г. 19.08.2016 до системи була здійснена за допомогою дійсного електронного цифрового підпису, що не належить члену Національного агентства з питань запобігання корупції Рябошапці Руслану Георгійовичу. При цьому файл підпису цієї декларації містить гіпер-посилання на акредитований центр сертифікації ключів Державного підприємства “Українські спеціальні системи”.
Не совсем понятна формулировка про “не належить Рябошапке” так как не дает четкого ответа — ключ с его данными, но он не вкурсе о его существовании и не обладает им или же был ключ с данными другого человека и значит система декларирования позволяет публиковать декларации от чужого имени.

В дополнениях отчета информация которая помогла бы паралельно проверять всем желающим, но она под грифом ДСК: лог-файл, распечатка декларации, распечатка содержимого цифровой подписи декларанта на декларации.

Глава НАЗК озвучила выводы в фейсбуке, но зачем-то упомянула что присутсвовали специалисты от ПРООН, что не отвечает действительности www.eurointegration.com.ua/news/2016/08/23/7053690

23.08.2016 УСС опровергают выводы комиссии НАЗК
www.uss.gov.ua/...ent/content/article/178-1

Нас безумовно здивувало повідомлення Н.Корчак про створення комісії з представників виключно однієї із зацікавлених сторін і без залучення фахівців Держспецзв’язку та/або інших компетентних державних органів. Так само, як і про участь представників ПРООН, які, за нашою інформацією, участь у комісії не брали.
Нам невідомо про прийняття НАЗК рішення про створення означеної “комісії”. Але навіть у повідомленні Наталії Корчак йдеться тільки про наявність у фейковому підписі гіперпосилання на ДП “УСС”, яке, власно, може підробити будь-який досвідчений програміст.
Ще раз заявляємо: ДП “УСС” не причетне до фейкового підпису громадянина Р.Рябошапки.
В выводах НАЗК прямого обвинения УСС нет, а есть информация при помощи которой можно будет обвинять в соответсвующих органах.
Но УСС все-равно реагирует и вместо использования профессиональных терминов и объяснений аппелирует к обывателям “може підробити будь-який досвідчений програміст”.

23.08.2016 НАЗК отключает доступ к системе декларирования до 1 сентября и обещает устранить все недостатки.

Мне кажется, НАЗК и УСС играют на публику, чтобы дать последним уйти от ответственности.
Либо и там, и там работают жуткие непрофессионалы. Другого объяснения не найти...

Zed’s dead baby, Zed’s dead ©
portal.nazk.gov.ua
Обратите внимание на статус.

У них рабочий день в 16:00 заканчивается вот и сайт в дауне, попробуйте с 8 часов утра заходить.

Он такой с утра.

НАЗК официально выключил до 1 сентября, чтобы за неделю все починить и выкатить готовый сайт.

за неделю все починить и выкатить готовый сайт
Когда мы достигли дна, снизу постучался НАЗК

Кстати, почему заглушка на английском языке, а не на украинском?

Sorry
Server is in maintenance mode now. Please try again later.
Непорядок, срочно кастую в топик украинизатора linkedin

Щоб закрити питання про кукі і про безумовний редірект і тд бо ширяться думки по ФБ та інтернетам шо то нічого страшного не знайдено .Еммм я тут вимоги до проекту прочитав(pocurement-notices.undp.org/...ew_file.cfm?doc_id=65269. Так от я цитую
“Постачальник повинен перевірити систему електронного декларування на захищеність за списком
вразливостей OWASP Top 10 vulnerabilities 2013.” Неважко перейти за посиланням www.owasp.org/...ex.php/Top_10_2013-Top_10 і побачити що порушено
1) www.owasp.org/...on_and_Session_Management
В пунктах
5 Session IDs don’t timeout, or user sessions or authentication tokens, particularly single sign-on (SSO) tokens, aren’t properly invalidated during logout.
6 Session IDs aren’t rotated after successful login.
це танці з куками

2) www.owasp.org/...Security_Misconfiguration
в пунктах
2. Are any unnecessary features enabled or installed (e.g., ports, services, pages, accounts, privileges)? Я знайшов яйце з генерацією + криво налаштована ліба
3. Are default accounts and their passwords still enabled and unchanged?
Тестові ключі “забули” вимкнути
4. Does your error handling reveal stack traces or other overly informative error messages to users?
Ми всі пам’ятаємо 500 з трейсбеком payara

3)www.owasp.org/...ed_Redirects_and_Forwards
ПОВНІСТЮ по суті див приклад атаки
Scenario #1: The application has a page called “redirect.jsp” which takes a single parameter named “url”. The attacker crafts a malicious URL that redirects users to a malicious site that performs phishing and installs malware.

www.example.com/...redirect.jsp?url=evil.com
Це безумовний редірект на проксі для ключів

Питання до Юрий Новиков и інші товаріші з міранди WTF?

Упреждая, ставший уже обыденным на непрофильных ресурсах и плавно перебирающийся сюда, бесценный флейм на предмет того, что “это то же самое, что украли ключ” или “а вы дадите кому-нить свою кредитку??7семь” — не делитесь, пожалуйста, с сообществом своим бесценным мнением по этому поводу, пока не найдете действующий Закон о куках такой, как, например, ЗУ “Про електронний цифровий підпис” или “Про платіжні системи та переказ коштів в Україні”

Да как бы уж где где а здесь OWASP top 10 должны бы чтить как Моисеевы скрижали...
Но да, я тоже предсказываю флейм :).

Да причём тут закон? В Тех задании есть проверки по топ 10? есть. Дырки по топ 10 есть? Есть задание выполнено? нет. О чём мы говорим тогда? Там ещё прекрасное про
Система має попереджати суб’єкта декларування про наявність будь-яких логічних
невідповідностей у його декларації під час її збереження — наприклад, якщо місце фактичного
проживання не збігається з жодною з адрес об’єктів нерухомості, якими суб’єкт декларування
володіє на правах власності або оренди.

А я могу указать свой год рождения 1800 а год рождения моей матери 2016 это как с точки зрения “логічних невідповідностей” норм? И далее по тексту:):):):)

Просто берём ТЗ включаем чиновника и давай проверять много пунктов не выполнено и по мат контролю(я могу ввести −500 грн стоимость акций выпущенных в 1800 году моей матерью 2016 года) И много ещё чего интересного

Закон при том, что юридически воровство электронного ключа наказуемо. А кук — нет.
А RFP (формально тот документ не ТЗ и я могу ожидать что эти фокусники вытащат на свет божий какого то кастрированного ублюдка по которому поделие сие и кодилось) таки не выполнено. Это видно невооруженным глазом. Если конечно его не залить...

Написано будет «пацаны похер на овасп-шмовасп» херячте как угодно?:)

Воровство кук и получение с помощью них несанкционированного доступа такое же преступление как и воровство ключа и получение с помощью него несанкционированного доступа, никакой специальный закон про куки тут не нужен.

Там в форму не можливо ввести назву організації з держреєстру, копійки (які досі актуальні в зп держсектора). І я підозрюю, що це теж програмниий баг.
А про діючий закон про кукі, так в нас же євроінтеграція і ми приводимо законодавство у відповідність з європейським. І до куків дійде.

Из примечаний бланка декларации за 2015 год, что сдавали на бумаге
«9. Відомості щодо фінансових сум заокруглюються до гривні.»

Не хватало еще закона о куках. Может еще принять законы про восход солнца и про закат солнца, и про времена года?

Хм... Иногда лучше жевать... www.cookielaw.org/the-cookie-law

И что? Директивы евросовка это уже истины в последней инстанции? А еще в евросовке есть директивы про размер огурцов и про то что нельзя говорить что вода предотвращает обезвоживание. Иногда лучге думать, чем принимать практики евробюрократии.

Постоянно раздражает этот тултип на евросайтах, который ты можешь только закрыть. Никакой пользы он не несет.

Питання до Юрий Новиков и інші товаріші з міранди WTF?
а они уже отвечали всепобедимым аргументом

Kод проверяла и тестировала международная компания PricewaterhouseCoopers!

и всё, все должны заткнуться и пасть ниц.

А спорим что выяснится что PWC аудит только тех док выполняла + тз возможно. А не самого кода и реализации?

Ну вот насколько я знаю именно техническим security audit с пентестами и код-ревью они не занимаются.
Буду рад узнать что я не прав :). Но тогда вопрооооосы :).

PwC тестировал только первые три части разработки, а система безопасности разрабатывалась на 4-5-м этапах. Тестироватьбезопасность предполагалось в Криптософте. Но к моменту сдачи продукта уже было решение суда, что Криптософт — фиктивная контора. Поэтому отдали на проверку ДСКЗИ. Дальше Вы знаете.

Система безопасности скорее 6й этап о необходимости которого, похоже, ПРООН и не думал. Задачи 4-5, документального подтверждения реализации которых в публичном доступе пока не обнаружено — средства интеграции с другими реестрами и описательная часть на них.

RFP писав світовий банк. Реконструкція подій показує, що взяли аналогічне з Румунії і на якомусь етапі всунули в нього bank id

PwC занимается тестированием софта?

Ну, если верить межведомственной рабочей группе — то таки да, они этим занимаются:
www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf , стр.2: " ... враховуючи ... результати незалежних тестувань на функціональність та проникнення, проведені PeicewaterhouseCoopers".

Вот поэтому очень интересно было бы глянуть на отчет PwC т.к. в то, что любой более менее серьезный security audit пропускает уязвимость из OWASP top 10 я просто не верю. Ну для меня это так же дико как и история с ключем УСС.

Це безумовний редірект на проксі для ключів

Так редирект или прокси?

Система работает в тестовом режиме?

Еще на почитать на сон грядущий procurement-notices.undp.org/...iew_file.cfm?doc_id=65025

8) Чи залишаються авторські права у розробника?
— Ні, авторські права повністю передаються ПРООН
Шта?
12) ... подальший супровід та можливі вдосконалення системи могли виконувати будь-які інші ІТ розробники чи ІТ підтримка НАЗК...
Как можно будет допиливать систему Г-2 после положительной аттестации ?
15) ...Важливо мати модуль системи електронного декларування, який буде готовий до подальшої інтеграції з реєстрами... Здійснення інтеграції з конкретними реєстрами в рамках реалізації проекту за цим тендером не є необхідною.
Задачи 4 и 5 кто-нить наблюдал вживую ?
19) ... На ст. 13-14 ТЗ зазначається, що «нова системаелектронного декларуваннямає бути розроблена та піддана необхідним тестам (зокрема, пройти стрес-тестування, випробування користувачем і випробування на захищеність від проникнення (stress-test, useracceptance test, penetration test))до кінця січня 2016 року». При цьому слід врахувати, що проведення тестувань системи та виправлення недоліків буде здійснюватися упродовж січня 2016 року.
...
25) ... Головне завдання — після тестування системи забезпечити до кінця січня 2016 р. можливість подання і опублікування декларацій у електронному вигляді. На момент масового подання декларацій (березень 2016 р.) має бути налагоджено такі складові — автентифікація, форма декларації і публічний сайт.
И снова вопрос — что же происходило 4 месяца с марта по июнь включительно?

Вот вот. Более того — я так понимаю предполагалось что декларации туда уже будут вносить в марте.

И снова вопрос — что же происходило 4 месяца с марта по июнь включительно?
Agile очевидно.

По поводу п8

В среде внедренцев систем уровня ерп, по поводу итогов мутных тендеров есть крылатое

Кто-то не тот купил что-то не то.

Зазначена система повинна підтримувати не менше 5 000 одночасних з’єднань.
Только один вопрос: почему писали на php а не на nodejs?

На чем умели на том и писали.

На го надо было писать, а то не круто

если бы технический выбор для такой системы лежал на мне — nodejs — рассматривал бы в последнюю очередь, из-за незрелости комьюнитии и инфраструктуры.

недавно на хабре была очередная статья, какой пипец творится в npmах.

у пыха же проблемы известны вдоль и поперек. то есть к ним есть решения.

если не пых то — java.
если не джава — то .net

у пыха же проблемы известны вдоль и поперек. то есть к ним есть решения.
А главное, патчи в области безопасности выходят регулярно

то есть вы намекаете что раз патчи в области безопасности выходят нерегулярно, то это преимущество? ;)

берем джаву, например последнее обновление
В выпусках Java SE 8u101 и 8u102 устранено 13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации. Четырём уязвимостям присвоен уровень опасности (CVSS Score) больше 9

ужас. толи дело надежный Node.js где в библиотеках фоточки, тянется раздел британики, а психанувший программер может увалить по миру тьму сборок мелкой пакостью.

Про британнику была шутка, как и вся остальная статья.
(не оправдываю недостатки ноды и npm в целом)

Кука в тезе. Пруф. procurement-notices.undp.org/...iew_file.cfm?doc_id=64914 стор 26.
Честь першовикриття і ймовірно першочитання тезе очевидно належить Сергію Факасу.
Аплодуйте

всі дев’ять сотень коментарів переглядати не хочеться (тему не з початку відслідковую), тому запитаю окремо: невже ніхто в межах цивілізованого світу не має системи декларування? а якщо має, то хіба не можна її придбати? навряд чи вона буде дорожчою за якусь інсталяцію ораклу для чергового банку.

Мабуть тому що у кожній країні своя система? Ну придбаєшь ти інсталяцію: база, веб-сервер, поштовий сервер і далі все рівно треба буде конфігурувати її під наші реалії... Що за часом займе те ж саме.

так в тому то й річ, що у нас в країні системи електронного декларування не було, а адаптери до інших систем писати треба хоч так хоч так. Продається ж та сама один це, продається банківське програмне забезпечення (хоча фінанси це, мабуть, одна з найбільш вимогливих до кастомізації речей). В усякому разі ядро (бд, сервер, пошта, захист, облік, моніторинг) від реально працюючої і перевіреної системи могло бути використане, і цього топіку би не було.

Цього топіку б не було на комп’ютерному форумі, це так, бо баги б були не в софті.

Власне маєшь рацію, але то не допоможе. Без нормальних фахівців, load testing, penetration testing і т.п. — жопа буде така сама, але вид збоку.

і цього топіку би не було.
был бы другой.
И под “система” нужно понимать не исключительно — “информационная система”, а уровнем повыше, в который входит ИС+законодательство+практика применения и т.д.
ядро (бд, сервер, пошта, захист, облік, моніторинг) від реально працюючої і перевіреної системи
точно так же не прошло бы сертификацию как не проходят очень много других интересных современных вещей

Тому що це система, в якій програмний комплекс є тільки частиною, і навіть не найбільшою. Бо цепередовсім система частини державного управління (контроля), а у всіх країнах то різне.

А можна я типу половину людей, котрі демагогію розводять по реформування чиновників, дєрєбан бабла і «міранда бу-у-ууу» назву шоблом клоунів і скажу таке ...

Якщо дуже розумні, чого самі давно не написали систему? Люди працювали, люди її створили, першу в країни. Система є, пилили гроші чи ні. Система працює: криво косо, говонокод чи ні. Систему можна довести до належного рівня і запустити. Вона потрібна і має бути. Аніж її зливати краще б хтось конструктивне щось запропонував.

Цій жіночкі з її смішним відео: нащо було робити цирк розрахований на тих хто від слова «кука» має панічну атаку і випадання матки? Я так влегку ваш вебмейл, гмейл, фейсбук, твіттер і райффайзен банк того другого чоловіка зкомпроментую. Зкиньте мені куку і програмуйте далі калькулятор. Технології в руках тих хто не розуміє як і навіщо вони працюють — палка, банани збивати.

Якщо дуже розумні, чого самі давно не написали систему? Люди працювали, люди її створили, першу в країни. Система сцуко є, пилили гроші чи ні. Система працює: криво косо, говонокод чи ні. Систему можна довести до належного рівня і запустити. Вона потрібна і має бути. Аніж її зливати краще б хтось конструктивне щось запропонував.
А зачем писать систему с нуля? Мое предложение: использовать готовое решение, мы не только сэкономим время, но еще и кучу бабла, так как не нужно будет платить за серверы, сертификацию и т.п.

Система уже готова и работает с 2000 года (в тестовом режиме, но вы держитесь). Уже, кстати, первый чиновник внес свою декларацию: pastebin.com/eCRK8TsS

Прошу аргументированно объяснить, почему мы не можем использовать эту систему, и должны запускать новую, привлекая, ПРОН, миранду и прочие левые структуры с непонятной репутацией.

Сарказм защитан. От дивись, десь з 10 років тому Австралія запустила гавняну систему податкового обліку. Яка в мене на компутері казала чистою англійською мовою: шановний, а я чось не петраю ваш український формат часу; і падала на спинку вкриваючись труханами.

За 10 років вони її довели до ладу, перенесли «в хмарки» і зараз роблять гарний статистичний аналіз. Зводять разом дані від компанії де працюєшь, банку, де маєшь рахунок, всі медичні послуги, партнерів що на тебе звіти подавали і розглядають у купі разом з родичами та у проекції на всі минулі роки. І якщо у 12тирічного племінника від триюрідної тітки раптом сплива вєлік за два мільйона баксів, якийсь він купив на заробіток від продажу скаутських значків — це все гарно видно.

Треба з чогось починати і це важко. А то як розумні наші Геращенко, Арієв, Дзиндзя і гопкомпанія дурниками ржуть по фейсбуках над цією ситуацією, свідчить що їм краще не мати ніякої системи. Мабуть їм є чого боятися прозорості, так?

Сарказм защитан.
Чем принципиально решение миранды будет отличаться от того, что предложил я?

Кстати, без всякого пиара и криков о зраде чиновники постепенно добавляют свои декларации pastebin.com/RpmP5ahn

Я, кстати, даже могу сказать, что мне под это выделило грант 50 песо посольство Уругвая в Гондурасе, значит тут по определнию ничего непрозрачного быть не может, а тот, кто имеет что-то против — коррупционер и порохобот.

От дивись, десь з 10 років тому
#$&^%$^, так нам целых 10 лет эту говняшку кушать???
Треба з чогось починати і це важко. А то як розумні наші Геращенко, Арієв, Дзиндзя і гопкомпанія дурниками ржуть по фейсбуках над цією ситуацією, свідчить що їм краще не мати ніякої системи. Мабуть їм є чого боятися прозорості, так?
Геращенко? А я вроде слышал как он говорил — говняшку, которую сделали, надо выпилить, и вместо нее запустить нормальную безопасную систему.

В перший же день мій товариш запропонував поставити то всьо на гугль форми. Звісно pastebin крутіша ідея, визнаю. Але... А де тут бабки пиляють, я не зрозуміла?

Ну дядьо, ти те ж не народився стрункий і прокачаний до lv80 як Арні і з ключами від Бентлі в лапці. Треба буде — 10 років говняшку кушать будем, поки з неї щось путнє не вийде :)

Якби ті ідійоти погодилися, можно було б запустити систему в open-source як народний проект. З групою яка б контролювала всі pull requests, bug bounty і тому подібне. Цікаво б що з того вийшло?

Нічого б не вийшло. Наприклад, є народна бібліотека криптоалгоритмів ДСТУ: github.com/dstucrypt
Основна проблема не в коді, а в тому, що для її сертифікації ДССЗЗІ просить $10k.

А чим те що в openssl не влаштовує? І підтримується і оновлюється, і де-факто стандарт.

Пардон, ДССЗЗІ просить баблішко?

Це питання до ДССЗЗІ, яка видумує оті українські алгоритми та стандарти.

Коментар порушує правила спільноти і видалений модераторами.

Це добре, що існують свої крипто-алгоритми, бо це є науковоємкі технології, які ряд держав не мають взагалі.
Інша справа, що для ряду речей треба було б значно пом’якшити вимоги і дозволити використання міжнародних стандартів.

Це добре, що існують свої крипто-алгоритми
Если бы... На 80% там советско-КГБшные технологии и стандарты все еще рулят. Вспомните какого года тот же ГОСТ.
В последние 2 года вроде одумались, наконец, но путь к свету еще долог и тернист.

Стандарт и алгоритм по ЭЦП уже давно свой, симметричный уже так же новый есть (ДСТУ 7624:2014)

Стандарт и алгоритм по ЭЦП уже давно свой
Пожалуйста хоть один пример аппаратной реализации PKCS#11 приведите. Без которой на сегодня любое мало-мальски продвинутое APT ворует приватный ключ на раз из памяти клиента.
Да, я знаю про токены Автора, но вот есть такое шокирующее мнение по поводу всего набора подобных ключей:
habrahabr.ru/post/276057
симметричный уже так же новый есть (ДСТУ 7624:2014)
Калина сама по себе, безусловно, позитивное событие. Но не отменяет увы старых граблей — нет (и не предвидится) аппаратных реализаций.
Без которых, например, построение метрокластеров просто невозможно для госструктур (они никогда не сертифицируют КСЗИ без шифрования in-transit, а латенси при софтовой реализации не позволит построить никакой storage-replication).

Не говорю что их следует навязывать использовать везде (для военных и гостайны — пожалуйста), потому что инфраструктура для них неразвита и скорей всего развита на достаточном уровне никогда не будет.
Думаю Горбенко и Ко таки сделают в какой-то момент IP-шифратор с Калиной.
И да, текущее нормативное законодательство в этой сфере тормозит все что можно связанное с электронным правительством.

ГОСТ 28147-89 — радянський і російський стандарт симетричного шифрування, введений в 1990 році, також є стандартом СНД
by uk.wikipedia.org/wiki/ГОСТ_28147-89
Якби ті ідійоти погодилися, можно було б запустити систему в open-source як народний проект. З групою яка б контролювала всі pull requests, bug bounty і тому подібне. Цікаво б що з того вийшло?
для успіху опенсорс проекта все одно потрібен менеджмент, стабільний core team фахівців та експертів.

тобто потрібно заснувати фундацію та налагодити її фінансування.

я не бачу хто в Україні на це спроможен, хоча б на старті.

Подала декларацію теж.
Там та сама кука повністю.
Копілефт pastebin.com/3EYsMH3t

Система є, пилили гроші чи ні. Система працює: криво косо, говонокод чи ні.

Образцов столь тонкого сарказма в этом триде невероятно мало, снимаю шляпу.

Аргумент — Сперва добейся — в хрестоматийный список демагогии внесен еще римлянами.

Но ладно, можно пояснить очевидное.
Чтобы написать систему — нужны во-первых ресурсы, во-вторых официальное признание писателя гос учреждениям. Вопрос — у кого есть команда разработчиков готовая за бесплатно работать от 3ех месяцев и больше? И будут ли общаться гос структуры с командой с улицы?

Про дописать, конструктивно и прочие бла-бла-бла
Во-первых прикольно — деньги получили одни, а другие за так должны переписывать, дописывать? Во-вторых а где исходники? Под какой они лиценщией чтобы желающие помочь стране за бесплатно могли поучаствовать?

Третье — система работает, говконкод она или нет, почему бы не использовать ее как базис.
Технический долг.
Ищите на доу или гуглите, если не знаете что это такое

Ну от дивися, берешь очевидне і трансформуєшь його у вирогідні проблеми:

1. Взяти існуючу систему за базис
2. Визначитися з
2.1 Команда
2.2 Умови роботи команди
2.3. Співпраця з держорганами
3. Фінансування
4. Аналіз системи: що планували? що зробили? що лишилося? технічний борг?

І один по одному конструктивно їх вирішуєшь ... Це назівається, сцуко, менеджмент! А оте зверху — дємаґоґія. Нація треплов і споживачів, вашу мать.

Старое, крылатое у Жванецкого
«Все знают как оно надо. Все знают как оно есть. А вот как из этого как есть сделать как надо — не знает никто»

причем когда я пишу в обсуждении о «юности и наивности» — то намекаю что даже не знают «как оно есть». пытаюсь, в меру сил рассказать, как оно есть.

Нація треплов і споживачів, вашу мать.
і ідеалістів.
Українці — їжачки в тумані

а от кого, бракує — так це прагматиків, емпірикив та поміркованих циніків.
хоча... ті ще йо є — не обтяжені совістю, а тому успішно збільшують свої статки.

Долар по 8 сцуко є, пилили бюджет чи ні. Бюджет працює: криво косо etc...

Кстати, еще два вопроса, мой ключ используется только для аутентификации или так же для подписи самой декларации? Если только для первого, что делать если злочинна влада изменит данные моей декларации на бекенде и посадат?
Если для второго, как я могу быть уверен, что мой приватный ключ с паролем не будет слит в НАЗК нужным людям (внедрить нужный js код со стороны НАЗК, js имеет досутп к сертификату и паролю) и там от моего имени не пере-подадут совсем другую декларацию, опять меня посадят?

Второй — НАЗК подписывает полученную декларацию со своей и дает мне подпись? Если нет, опять же, злочинна влада просто выпилит мою декларацию из системы и я никак не смогу доказать, что подавал ее. Меня опять посадят.

Судя по видосу от пани Натилии, где декларацию редактируют, аутентифицировав соединение по чужому куки — авторизации доступа и удостоверения декларации с применением ЭЦП нет совсем от слова вообще.
По второму вопросу — Государство априори является добросовестной стороной, вследствие чего доказать его преступные намерения крайне непросто. Отличный пример — действия неустановленных (надеюсь временно) лиц из ДП УСС. Посмотрим по развитию событий, насколько ваше предположение имеет под собой почву.

Не вижу на видео что происходит при нажатии на кнопку «Подати документ», при котором и должно происходить удостоверение декларации.

Ну я банально подправлю черновик чужой декларации, добавлю или удалю где-то лишний нолик. Чувак вернется, дозаполнит декларацию. Вероятно, не заметит, что уже внесенные данные поменялись. Подпишет, и привет 5 лет халявной баланды.

Это понятно. Непонятно что вы предлагаете. Убрать веб-интерфейс вообще?

Учитывая события последней недели:

1. Отключить из продакшна это позорище и забыть о нем.
2. Разобраться в том, как произошла генерация фейкового ключа. Вероятно, это говорит о том, что сама идея электронных ключей, выпускаемых гос органом, скомпрометирована, и нужно будет найти решение, которое будет менее уязвимо для такой атаки.
3. Выбрать решение, связанное с подписью электронными ключами, безопасное для веба. Загрузка приватного ключа в веб-приложение — это небезопасно, так как пользователь не может контролировать как этот ключ будет использоваться. И, учитывая пункт 2, возможности для злоупотреблений здесь очень много.

1. Отключить из продакшна это позорище и забыть о нем.
Все ещё можно привести в божеский вид. Конечно, займет некоторое время, но полагаю будет быстрее чем писать с нуля.
2. Разобраться в том, как произошла генерация фейкового ключа. Вероятно, это говорит о том, что сама идея электронных ключей, выпускаемых гос органом, скомпрометирована, и нужно будет найти решение, которое будет менее уязвимо для такой атаки.
Печаль в том, что ключ не фейковый, и кто-то таки должен быть принесен в жертву ради дальнейшего доверия к ЦЗО, иначе это профанация.
ИМХО кроме ЦЗО, находящегося во власти Минюста, все АЦСК должны быть либо исключительно частными структурами, либо гос. площадками ежегодно через открытый тендер отдаваемыми во внешнее управление с обязательным ежегодным же аудитом.
3. Выбрать решение, связанное с подписью электронными ключами, безопасное для веба. Загрузка приватного ключа в веб-приложение — это небезопасно, так как пользователь не может контролировать как этот ключ будет использоваться. И, учитывая пункт 2, возможности для злоупотреблений здесь очень много.
Все упирается в необходимость использования ДСТУ 4145-2002 с доморощенными алгоритмами хеширования.
Все ещё можно привести в божеский вид. Конечно, займет некоторое время, но полагаю будет быстрее чем писать с нуля.
Нет, именно выпилить из продакшна, уничтожить данные и код, а авторов творения желательно отправить в биореактор, чтоб принесли хоть какую-то пользу.

Что происходит, если при решении проблем безопасности беспокоятся только о дате запуска, мы уже увидели. Если это займет еще пол года, значит пол года.

Все упирается в необходимость использования ДСТУ 4145-2002 с доморощенными алгоритмами хеширования.
Это офигенно, но даже в этом случае можно решить проблему. Например, банальное standalone приложение, в которое копипастится декларация с веб-странички, подписывается, потом подпись копипастится обратно.

Вероятно, в течение следующих 10 лет запилят еще кучу веб-сайтов, где используются электронные подписи, и безопасность всех этих веб-сайтов будет зависеть от безопасности самого дырявого веб-сайта, через который будут воровать приватные ключи (и не факт, что мирандовская поделка среди них будет самой дырявой)

Все упирается в необходимость использования ДСТУ 4145-2002 с доморощенными алгоритмами хеширования.

Что именно упирается?

Законодательные требования выписаны таким образом, что, фактически, единственным признаваемым государством алгоритмом ЭЦП является ДСТУ 4145-2002.
Кроме того, законодательно же введены требования по экспертизе других криптоалгоритмов (экспертизы эти весьма дороги и не проводятся), а также корректности реализаций функций криптозащиты с их применением (что, по-сути, требует проведения экспертизы всех и каждого используемых браузеров и т. д.).
Ну и финальным аккордом — работы по криптографической защите информации у нас являются лицензируемым видом деятельности, впрочем я не работал в этой сфере отечественного народного хозяйства и не берусь утверждать, что для проектов типа e-декларирования она требуется, так как в нормативной базе прописано исключение «кроме услуг ЭЦП».

Ну, я не это спрашивал. Вот вы на тезис

3. Выбрать решение, связанное с подписью электронными ключами, безопасное для веба. Загрузка приватного ключа в веб-приложение — это небезопасно, так как пользователь не может контролировать как этот ключ будет использоваться. И, учитывая пункт 2, возможности для злоупотреблений здесь очень много.

отвечаете

Все упирается в необходимость использования ДСТУ 4145-2002 с доморощенными алгоритмами хеширования.

И создается впечатление, что по вашему мнению, если бы не доморощенные алгоритмы все было бы ок. А именно (я такой вывод делаю) — можно было выбрать решение безопасное для веба. Вот мне и интересно узнать, в чем причина такого мнения.

Загрузка приватного ключа что в кейстор ОС, что в самостоятельно реализующее его приложение — суть загрузка в оперативную память (за исключением SecurID и аналогов о которых я сейчас упоминать не буду в виду очевидной неспособности Государства предоставить/навязать их всех и каждому прямо здесь и сейчас) устройства. С этой точки зрения надежность предоставляемых программным обеспечением услуг юридически-значимого ЭЦП эквивалентно доверию Государства в лице органа-регулятора к корректности реализации разработчиком обеспечивающих её функций. Положительное решение о наличии такого доверия выражается в аттестации. Для отдельных аттестованных версий Windows, например, при условии установки весьма причудливых настроек, этот уровень доверия в терминах отечественных критериев оценки защищенности составляет Г-2 — что означает доверие регулятора на уровне «честного пионерского слова» к заявленным гарантиям по корректности реализации функциональных услуг защиты. Поэтому речь не о фактической безопасности и даже не о сомнительных «удобствах» или сохранности кучи кейсторов для каждого отдельного средства ЭЦП любой, рождаемой в муках, электронной услуги Государства. А в том, что законодатель нам не оставил никаких других юридически-значимых опций ЭЦП кроме ДСТУ 4145-2002
И, чтобы по-возможности развеять создавшееся у вас впечатление — с моей точки зрения проблема не в алгоритмах криптографии, будь они доморощенные или нет, а в довольно серьезном количестве лиц, обладающих властными полномочиями, целиком удовлетворенными созданной ими небольшой монополией. ИМХО ответственное Государство либо должно наконец озаботиться международной стандартизацией ДСТУ 4145-2002 & friends, либо сделать легальным использование других алгоритмов, уже являющихся международными стандартами.

Это все конечно да, но не про то. Решения, в которых логика обработки документа каждый новый раз приходит со стороны сервера будет принципиально не безопасным с точки зрения массового нарушения аутентичности вследствие злонамеренных действий лиц, которые могут влиять на эту логику так или иначе. От рса или дсту тут ничего не зависит

Делать веб ресурс только для предоставления данных наблюдателям. А сами данные формировать отдельным ПО. Да хоть вердом, а потом подписать. У клиента, с его аппаратным ключом. Это ж радикально упросит требования к ИС. К тому же подобный подход уже давно используется с той же налоговой.

не вникал, да и есть недостатки и у такого решения

на taxer.ua для хранения ключей и файлов подписи используется джава клиент, и таксеры клятвенно заверяют что себе они эти файлы не копируют, а находятся они в локальном хранилище(на клиенте) этого джава довеска к сервису.

клиент банки также часто используют jnlp.
о недостатках jnlp думаю знают все кто хоть немного в теме, поэтому опускаю.

сталкивался и с российскими тендерными гос биржами.
там подход как у вебманей.

причем настолько суровый, что бывает работает только в IE :)

Я вам гірше скажу. Я з привата зарегілася в той гадюшник. Так там ваще ецп ні на якому етапі нема.

Пані Наталя, чи ви не могли б спробувати здійснити подачу декларації з сеансу, що автентифікувався за допомогою кукі, щоб можна було нарешті зрозуміти наскільки сер’йозною є проблема з реалізацією ідентифікації у реєстрі ?
Заздалегідь дякую за Ваш час.

Це неможливо підчас подачі декларації треба знову ключ з паролем подавати або банк айді проходити. АЛЕ те що в системі при логауті не дохне сессія це НОУХАУ високих технологій..... + Я можу почитати ПРИВАТНУ інфу о людині СПИСОК декларацій відкрити їх і та і тп... А це неприпустимий бок. І не важливо як хтось спер ту куку це повний фейл...... І на суді (за не заповнену декларацію без ауді) що скаже експерт якшо адвокат покаже вічну сессію?

Як можливий side-effect чи пробували ви підписати чужу декларацію іншим ключем ?

Я ні. Пані наталя каже шо хтось пробував написало «подано на опублікування ми з вами зв’яжемося» чи шось таке. Поки більше нічого публікації нема чекаємо:)

Проблема в тому що ви можете своїм ключем виданим на George Kashperko іін 123 налабати декларацію на Шевело Олексія з іін 321 і все буде ок:)

Ні, пані Наталя уявлення не має про правовий статус цього бардака і не збирається нічого подавати ні з реальною інформацією, ні з котами і мопедами.

Как я понимаю, там еще есть и черновик, т.е. я залогинился со своим ключем, заполнил половину декларации, нажал «Выход», пошел покушать, в это время злоумышленник оживил сессию моим куки, удалил из первого раздела информацию о мотороллере, я вернулся, довнес вторую половину декларации, не заметил, что в первой что-то поменялось, и нажал «Отправить».

Через неделю журналисты находят чувака, который мне продал моторллер, находят, что у меня в декларации мотороллера нет, и все, суд, расстрел.

Ви все правильно розумієте.

Не расстрел, а штраф. Уголовное наказание только если мотороллер стоит миллион гривен, а у вас официальный доход всего 20.000 в год и вы не можете объяснить откуда деньги или почему купили его по цене дешевле рыночной.

А-а, всего лишь штраф. То есть, главное, не иметь имущества на миллион гривень — и тогда отделаешься просто штрафом. Гуманно.

Главное в этом контексте — это статья 20 конвенции ООН против коррупции:

незаконное обогащение, то есть значительное увеличение активов публичного должностного лица, превышающее его законные доходы, которое оно не может разумным образом обосновать

Кстати, уголовная ответственность наступает за сокрытие в декларации имущества стоимостью более 345 000 грн.

Не заметить или забыть более $10k — это как-то подозрительно.

Кстати, еще два вопроса, мой ключ используется только для аутентификации или так же для подписи самой декларации?
Если он у вас есть (а не банкИД), то и для того и другого.
Если для второго, как я могу быть уверен, что мой приватный ключ с паролем не будет слит в НАЗК нужным людям
А никак. Потому что гребаный ГОСТ. У которого нет аппаратных реализаций PKCS#11, только в виде флешки с паролем. И посему приватный ключ всегда поднимается в оперативку и может быть оттуда снят хоть аплетом, хоть малварью.
Второй — НАЗК подписывает полученную декларацию со своей и дает мне подпись?
Теоретически да — вы должны иметь возможность скачать подписанную НАЗК декларацию. Практически — стоит уточнить, вопрос хороший.

Я не очень понимаю мотивацию, тех людей которые активно топят систему е-декларирования.
На данный момент в Украине чиновники заполняют декларации в бумажном виде и публикуют их скан на 1000+ различных ресурсах. Что делает не возможным (или очень проблематичным) общественный контроль, особенно на местах. У меня создается впечатление, что ряд личностей вообще против появления в Украине единого, централизованного, обязательного хранилища деклараций. И для всех кто понимает важность внедрения подобной системы, дискуссия должна строится вокруг того как сделать продукт более качественным. Но он должен быть!! И здесь не вопрос о симпатиях или антипатиях к «грантоедам» или «Миранде».
Вопрос вообще о будущем е-декларирования.

Так никто не говорит что а) система не нужна; б) не надо ее делать качественной.
С моей точки зрения для профильного форума важен именно кейс — насколько важно соблюдение bests practices и что происходит когда к проектированию, разработке и развертыванию mission critical системы подходят спустя рукава.
Второй момент интересный именно здесь — вот он, заказ для внутреннего рынка ИТ. И тут оказывается что его давно уже окучивают специфические фирмы у которых главное не качество а связи. В такой ситуации сложно говорить о честной конкуренции и применении экспертизы наработанной на зарубежных контрактах на благо страны.

Чрезвычайно важно по запуску реестра в эксплуатацию не дать забыть чиновникам о подключении его к другим государственным реестрам.

Будущее е-декларирования зависит от его инициаторов. А это Запад, в первую очередь. Значит оно будет.
А вот какое...
Нынешний скандал показал что участники реформ, независимо от истинного к этим реформам отношения — пока не реформировались сами, а действуют привычными, отработанным методами. Например мирандовцы, — решили что раз обрели покровителей — могут нахрапом продавить что угодно. Пиливать на всех. От такой наглости офигели те кто должен был сертифицировать (наверняка даже были восклицания — да ни при яныке, ни при кучме так наплевательски к нам не относились
Разумеется радостно вмешались и те кто хочет оттянуть, или дискредитировать неизбежное, и просто самопиарщики

Суть же проблемы, повторюсь в том, что все главные участники ведут себя типично и типичными методами. Можно ли старыми методами создать новое — большой такой вопрос.

И тут интересна роль сотрудников ПР ООН. Их роль априорно правильная.
Я все ждал, кто ж рискнет то задать простой вопрос им.
И вот, наконец задали. На сайте Миротворец появилось их мнение, и в нем обращение к ПР ООН открыть тайну — подробности тендера. Кто участвовал, почему был отсеян.
Ждем-с, может «небожители» расскажут.
То есть — они сами готовы действовать — прозоро?

На сайте Миротворец
Контролируемом Антоном Геращенко?

Извините, но меня интересуют не личности, а способность мыслить.
И поэтому я не обращаю внимания кто сказал толковую, а кто бестолковую мысль. Еще и потому что один и тот же может продублировать оба вида.

Примитивные же личности да, смотрят не что сказано а кем, не что написано, а на каком сайте.

Вопрос прозвучал. Думаю его подхватят, потому что он очевиден. Не хватало просто борзости его задать.

Хватало. Вы невнимательны.

Та лана. Вопрос кто еще участвовал в конкурсе ПРООН уже НЕДЕЛЮ просто орут уже. Ответа нет.

Я писал на «Хвыле» об участниках конкурса.

Да, но хотелось бы официального ответа от ПРООН. А то получается анекдотичная ситуация что тендер по программе “Підвищення прозорості і доброчесності у публічному секторі” и не прозрачный и не публичный.

Дістали мене і Алекса ці ламери і дебіли. Для спеців — нате грайтеся.
Якщо мені хтось скаже що це не дірка від бубліка....
www.youtube.com/watch?v=TLPP4IRBcK8
Для широкої публіки я вантажу вступ і виступ :)

Это не дыра. Такое работает и для аккаунтов Facebook и Google. И вообще на любом сайте, где используютя cookies. Что тут хотели продемонстрировать — непонятно. Может это к тому, что сессия должна быть привязана к IP?

Наталья не понимает в коде. Ее спрашивать нет смысла.
Украсть куки это атака на пользователя, таким же образом могут украсть ключ, подкинуть кейлогер и т.д. И вопрос больше в плоскости предусмотрел ли механизм реагирования на такие вызовы. Именно в юридически-организационном поле.
Но это таки дыра. Время сессии, IP и т.д.

Наталья не понимает в коде.
- ета 5. Я просто колекцію таких висловлювань зібрала вже.

Главное о том, что Вы говорили не забывайте.
pp.vk.me/...518/23dbd/CKDa7m7nGoI.jpg

І що тут сказано? Що я тестувала юзабіліті? Так. І досі продовжую. Бо цим взагалі НІХТО не опікувався, крім мене. Ви досі за тиждень не зроузміли з ким ви маєте справу? Ну і ладно

Ну да, что Вы по календарикам, а не по коду. Тоже нужное дело.

Я ніде не писала, що я код читати не вмію. Чи писати.

Такое работает и для аккаунтов Facebook и Google. И вообще на любом сайте, где используютя cookies.
Есть целый комплекс причин, преимущественно правовых, по которым декларации размещаются не на персональных аккаунтах Facebook и Google.
Что тут хотели продемонстрировать — непонятно.
С использованной схемой аутентификацией нет достоверного способа установить субъект правоотношений. Намеренная передача либо случайная утеря куки броузера нашим законодательством не регулируется, со всеми вытекающими из этого последствиями (или, если изволите, их отсутствием).
Может это к тому, что сессия должна быть привязана к IP?
К ключу ЭЦП.

То есть нужно обязать вводить пароль ключа на каждый чих?

Оставлю ваш вопрос, Иван, без ответа как недоразумение.

Полагаю, это значит, что у вас нет идей как технически привязать сессию

К ключу ЭЦП.

Погуглите session key, в отдельности и в применении с ЭЦП.

И воспользуйтесь, пожалуйста,

Восполняю как могу. Только вот как только доходит до самой сути, восполняторы куда-то убегают.

Поясните свою мысль.

session key
 — это вы про https?

Попробую попроще. С того момента, как нажали кнопку «выход», единственным возможным способом восстановить сессию и продолжить работу должна быть полная процедура аутентификации с использованием ключа.

Как это реализуется — вопрос десятый, в данном случае мы видим, что миранда это никак не реализовала, и для восстановления сессии достаточно просто спереть чей-то session id и все (кстати, я правильно понимаю, что он вообще не экспайрится?)

Я все же хочу услышать что имеется в виду под привязыванием сессии

К ключу ЭЦП.

И как это помогает если пользователь передал свои куки злоумышленнику.

О госпиди. Уважаемый ПРИ ЛОГАУТЕ можно сессию убивать ну хоть ЭТО можно сделать? Или вы снова мне расскажете что куки продолждат работать в ФБ после того как оттуда выйти?

Не тратьте куме сили.
Не учится ничему человек...
И да, гораздо опаснее кук не убитая сессия на серваке.

Можно. Но это не относится к этой ветке обсуждения.

Про время жизни, IP, геолокацию, версию браузера и т. п. — понятно. А вот ЭЦП — нет. Возможно, автор имел в виду, что в браузере должен постоянно храниться приватный ключ? Тоже в куках?

Если вам нужна информация для общего развития — посмотрите, например, как работает mutual SSL authentication.

Конкретно в данном случае речь идет о том, что сессия должна умирать в тот момент, когда пользователь нажимает кнопку «выход», и восстанавливаться только после выполнения входа с использованием ключа.

Более того, схема, когда я должен передать свой приватный ключ и пароль другому приложению, мягко говоря, немножко дырявая. Так как этот ключ может быть в тот же момент использован для того, чтоб подписать документы в десяти других системах, принимающих его.

По аналогии — вы приходите заполнять декларацию. Оператор говорит — дайте мне ваш паспорт и ИНН, и заполняйте декларацию. Берет паспорт, идет в банк через дорогу и получает на него кредит. Но этот подтопик не об этом.

Так взагалі не закінчується. Можете вязти мою куку від вчора під відео. Все працює. :)

Вы хотели сказать, так работает на любом сайте, написанном на PHP, что после логаута можно «оживить» сессию с левого компьютера, имея на руках лишь ID строй сессии? Вам за 5 минут спроектировать решение управления сессиями, в котором не будет такой проблемы, или вы сами сможете?

Не на будь-якому. Там, де вміють користуватись session_destroy() (чи як він там називається) — не запрацює.

Боже, врятуй світ від ламерів.

Качественная и предметная дискуссия на fb Max Marchenko
Отметился (правда почти сразу и бесследно знык) Шабунин, участвовали разработчики.
Также заходил Сергей #зрада Сидоренко.

Как и следовало ожидать, вот то что следовало продемонстрировать для подтверждения наличия проблем с безопасностью, которых очевидно и не могло не быть, учитывая бессистемность и бесконтрольность происходившего.
Отдельные депутаты же просто эпически создали новый скандал на ровном месте.

Йшла сьома доба, як той сайт онлайн. ТОВ Рога і копита досі не пофіксила пдфки, не знайшло звідки емейл посилати, не додумалося як пофіксити епічне session never expires, не вимкнуло 3rd party фігню і пр. Навіщо вони сюди взагалі приходили, хтось пойняв?

Йшла 8 доба. Зі мною вже проводили публічні дебати не тільки представники рогів і копит, а і світового банку (не дуже зрозуміла причому він таv, але він фігурував в прес релізах про state-of-the-art). Відбулося професійне обговорення тем чи є кука паспортом, кредиткою, ключем від квартири.
А та клята кука так і не минула....

Какой смысл считать сутки? Миранда 20-го начала передавать систему НАЗК. Цитата: «Мы имеем возможность работать с системой только в помещении НАЗК и только в присутствии сотрудников НАЗК.» Врядли в таком случае можно ожидать оперативных исправлений.

До цього було 4 дні для виправлення помилки рівня дитсадок. 5 хвилин включно з щгадуванням пароля від серверу

В них ті пдфи всі такі з першого дня

Для історії залишу тут, фінансова і юридична частина.
Щодо вимог законодавства — там прямі порушення.
zakon3.rada.gov.ua/laws/show/80/94-вр Стаття 8 и Стаття 10 з посиланням на
zakon3.rada.gov.ua/laws/show/373-2006-п Стаття 20 и Стаття 23.
www.dstszi.gov.ua/...lish/article?art_id=46074
Розділ 1 «Встановлений цим НД ТЗІ порядок є обов’язковим для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІТС яких обробляється інформація, яка є власністю держави»
www.ac-rada.gov.ua/...../16747671/Zvit_11-6.pdf
Абзац 1 «Виконавцем робіт із створення комплексної системи захисту інформації (далі — КСЗІ) в інформаційно-телекомунікаційній системі (далі — ІТС) може бути суб’єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації»
dstszi.kmu.gov.ua/...rt_id=111330&cat_id=94061
В Переліку немає ТОВ Міранда.
Висновок — Тендер, предметом якого є система обробки, обміну і зберігання інформації, яка є власністю держави, не мала права виграти фірма без ліцензії або дозволу ДССЗЗИ. Але в Тендері в частині щодо кваліфікаційних вимог до виконавця повна тиша.
Законом дані держреестрів визначено як власність держави — це ключове. Далі всі мають виконувати корпус Законів — «для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІТС яких обробляється інформація, яка є власністю держави»

Отут от про ТОВ Миранда и ТОВ САПР
www.facebook.com/...2838336:0?hc_location=ufi
тут на стр 23 можно ознакомиться с финансовыми отношениями (и нарушениями) ДП «Зовнішторгвидав України», ТОВ Миранда и ТОВ САПР и Мінекономрозвитку еще в 2014
www.ac-rada.gov.ua/...nt/16747671/Zvit_11-6.pdf

Пише www.facebook.com/galina.hagen?fref=ufi

Абзац 1 «Виконавцем робіт із створення комплексної системи захисту інформації (далі — КСЗІ) в інформаційно-телекомунікаційній системі (далі — ІТС) може бути суб’єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації»
У 2011 році КМУ приймав зміни до переліку видів діяльності, що вимагають ліцензування у сфері захисту. Наразі їх тільки 2 — оцінка захищеності та виявлення закладок тож, Міранда могла й не мати ліцензії Держспецзв’язку. Тут швидше невідповідність етапам розробки/впровадження інформаційної системи та КСЗІ ГОСТам/ДСТУ.

А лінк можна? Я збираю всі дотичні документи

Закон Украины «Про ліцензування видів господарської діяльності»
Постановление КМУ «Про затвердження переліку послуг у галузі технічного захисту інформації, господарська діяльність щодо надання яких підлягає ліцензуванню»
Также есть постановление КМУ «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах», смотрите пункт23 правил.
Загляните в «НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі последний абзац 5.2 (насколько я знаю, эта методичка не согласована с Минюстом).
Указ Президента «Про Положення про технічний захист інформації в Україні», интересен пункт 16.

Законодательство весьма архаично и не системно, релевантных законов и подзаконных актов тьма тьмущая.
Чем именно авторы КСЗИ руководствовались — можно почерпнуть из соответствующего раздела ТЗ на разработку КСЗИ.

Після того як Алекс куку угнав мені раптом перехотілося вникати в законодавчу базу.... www.youtube.com/watch?v=TLPP4IRBcK8

А яким законом визначено, що власником держреєстрів є держава?

власником держреєстрів

Если имеется в виду информационная система, то ни в каком. Система может быть арендована.

А вот термин

інформація, яка є власністю держави

не имеет здравого смысла. Судя по всему, под этим понятием преполагается информация, которую в соответствии с какими-либо законами обрабатывают государственные структуры. Информацию в реестре деклараций в соответствии с законом “Про запобігання корупції” собирает и обрабатывает НАЗК. Поэтому в терминологии законодательства, информация, содержащаяся в декларациях является собственностью государства. Но это не означает, что эту информацию не может обрабатывать кто-то другой, если это не запрещено законом.

Хорошая статья про проблему отсутствия четкого определения для “інформації, яка є власністю держави”: nc.nusta.com.ua/...6_Bogdanov_Bakalynsky.htm

Я знаю, что ветку читают и разработчики и другие заинтересованные лица.
Как предложение.
Возможно в рамках мероприятий для восстановления доверия к системе и направления дискуссии в более конструктивное русло, стоит сделать прямой канал связи комьюнити с разработчиками? Куда можно будет посылать, найденные баги, уязвимости и т.д.
В конце концов все заинтересованы в имплементации проекта и его качестве.

Проанализировал озвученные проблемы:
github.com/...declaration-system/issues

Проанализировал озвученные проблемы:
github.com/...declaration-system/issues
Очень порадовало, что автор анализа нифига не biased
While there’s no security threat demonstrated, a public open proxy can be used to execute malicious actions on behalf of declaration system’s servers.
Погуглите плиз что такое threat, vulnerability, exploit и т.п. в контексте информационной безопасности, чтоб не писать такую ерунду в следующий раз.

Исправил на vulnerability. Какие ещё замечания?

Например:

While there are no security issues with using BankID for authentication
Откуда вы знаете, что нет никаких проблем с безопасностью, связанных с BankID?

Утверждение верно, пока не доказано обратное.

Я считаю, это нужно занести в textbook в области максимально объективного и беспристрастного анализа модели безопасности.

Разом з нуну.
Правило Міранди.
Неформальна логіка

тогда и утверждение что в системе полно проблем с безопасностью

верно, пока не доказано обратное

Несуществование чего-либо не может быть доказано. Доказательное программирование умерло.

Можно провести тщательное тестирование, но это не докажет что проблем нет.

В случае невозможности опровергнуть ни одно из утверждений при бесконечном множестве условий, необходимо какое-то из утверждений принять за истину априори. Поэтому считается, что проблем нет, пока они не выявлены. Это научный подход.

Бремя доказательства лежит на том, кто утверждает о существовании чего-либо, а не наоборот.

Трагедия в том, что именно с такой аргументацией миранда серьезно надеялась пройти сертификацию ДСТСЗИ.

А зачем тогда эта служба, если не для поиска и мониторинга уязвимостей?

Я так полагаю, что туда можно было скинуть тонну говнокода на javascript и php и чтоб они за ночь проанализировали его и сообщили говнокоедрам список уязвимостей

Беда... Тут уже 20 раз писали о Комплексной Системе Защиты Информации. Комплексной. Системе.
PS
Где найти эмоджи «махнул рукой и покачивая головой ушел в горизонт»?

Лучше поменять на «... are no known security issues ...».
Хотя и это будет не очень верным, т.к. уже известны случаи угона кодов подтверждения SMS через оператора мобильной связи.

Так что, куда делись специалисты по ЭЦП? Почему не проверяют цепочку сертификатов ключа «Рябошапки», с помощью которого депутаты «взломали» реестр? Неудобненько получилось?

После конференции Геращенко-Винника, с кем из знакомых кодеров не общался, то всем была очевидна манипулятивность.
Но эту ветку зафлудили персонажи, которые не могут отличить политику от тестирования на внешнее проникновение.

Поддельный сертификат, кстати, тут: dropmefiles.com/Yt6Kl
Поддельный он, конечно, с юридической точки зрения. С технической стороны он валидный.
На несколько часов он был добавлен в список отозванных. Теперь удален из списка отозванных. Цирк.

404 по линку
но я его видел уже

На fb Дениса Бигуса есть рабочая (по-крайней мере на момент когда я оттуда скачивал) ссылка на архив с сертификатом, списком отзыва и дампом oсsp.

Сертификат ключа, опубликованный Денисом Бигусом, судя по дампу OCSP из архива с сертификатом действительно был подписан ЦСК УСС.
Кто-то не очень умный (а вернее очень не умный) одним махом убил кучу зайцев и застрелился, попутно скомпрометировав ЦСК УСС.
Просто, блять, нет слов. Пойду чего-нить выпивать.

По ссылке на fb-ленте Дениса Бигуса в архиве лежит сертификат ключа CN=Рябошапка Р.Г., SN=Рябошапка, GN=Руслан Георгійович/serialNumber=3810, C=UA, L=Київ
с идентификатором субъекта 19:FD:B3:9C:F1:A5:2D:66:F1:01:17:52:CA:4E:AA:6C:FD:A3:14:B0:69:D1:95:B4:0D:1A:AB:FC:17:68:6F:2C, подписанный ключом с идентификатором 42:5D:4B:C6:E4:4F:FB:10:68:BA:B3:12:5B:95:86:A9:71:8E:DF:68:4B:8A:3D:E3:7A:A0:DD:AA:5B:93:6A:58
и он совпадает с идентификатором субъекта сертификата ключа O=ДП «Українські спеціальні системи», OU=Центр сертифікації ключів, CN=АЦСК ДП "УСС"/serialNumber=UA-32348248-2014, C=UA, L=Київ
Судя по статье не только Геращенко с Винником не поняли, что произошло.

Жаба гадюку... Для меня все еще вопрос откуда ключ у Бигуса и действительно ли этим ключом полдписана фейковая декоарация или Рябошапка своим настоящим поделился (Вы исключаете такой вариант полностью?).
Вобщем я подожду пока пыль уляжется.

Бигус не публиковал ключа, только его сертификат. Безотносительно того, тем ли ключом была подписана фейковая декларация или нет, сертификат ключа однозначно был подписан ключом АЦСК УСС. А тут ещё просто невероятный зашквар с утверждением того, что ключа, сертификат которого мы наблюдаем, на имя Руслана Рябошапки не выдавали.

Ждем пока пыль усядется. Вопли Шабунина у игуса про то что НАБУ всех посадит говорят как минимум об истерике (вот уж точно взлом это не подследственность НАБУ).
Я подожду инфы. Качетсво поделки от Миранды уже и так понятно.

Денис Бигус абсолютно прав в своей оценке произошедшего в одном из многочисленных ответов Антону Геращенко

Антон, я славлюсь своей выдержкой, однако — да ебаный же стыд. Система может работать хоть в тестовом режиме, хоть в рабочем, хоть в режиме текилы и сальсы. Государственная структура выдала вам на государственном бланке поддельный паспорт и заверила его своей печатью. А вы этим паспортом воспользовались (или всем сказали, что это вы). Это уголовное преступление. И оно было совершено еще ДО подачи фальшивой декларации. Подача — уже второе преступление. Что еще хуже — это компрометация госАЦСК.
Агенству по госслужбе добавили работы, если, конечно, они успеют добежать до ДП УСС раньше СБУ, НАБУ и ГПУ.

это да, теперь попиариться налетят многие.
это обычный этап.

интересный, важный будет — первые месяцы после сертификации и работы в боевом режиме.
а сейчас будет шум и гвалт, со всех сторон.
причем, он полезный :)

потому что теперь втихую причастным вряд ли что удасться прокрутить.

А поехали по второму кругу!
Выясняем кто проводил экспертизу и выдавал аттестат на КСЗИ для АЦСК УСС?
(Сарказм мод он) Или педалящие здесь за всемогущее КСЗИ думают, что там она не строилась и не аттестовалась?(сарказм мод офф).

Будучи из числа педалящих не могу не отметить, что наличие атестованного КСЗИ не делает систему не уязвимой. Равно как и отсутствие КСЗИ не делает её априори дырявой.
И хоть тут прослеживается прямая причинно-следственная связь, полагаю проеб АЦСК УСС заслуживает своей отдельной ветки.

И хоть тут прослеживается прямая причинно-следственная связь,
Боюсь, что подобные связи можно легко проследить в большинстве государственных ИС.
А «КСЗИ» для данной дискуссии все же следовало бы разделить на требования к разработке (ака CC-ISO15408 с бантиками) и к эксплуатации (что у здоровых людей обычно ISO27001 или PCIDSS для конкретики), а у нас винегрет из как относительно толковых норм, так и пост-КГБшных развлекалок с уровнями ЭМИ (в то числе оптики), расово верно прошитыми журналами и формами бланков допуска к копировальной технике.

Миранду можно (и нужно) бить исключительно в разрезе 15408 (и их маппинга на НД ТЗИ от 15-16 годов), остальное — пламенный привет НАБК сотоварищи. Давайте не смешивать.

А «КСЗИ» для данной дискуссии все же следовало бы разделить на требования к разработке (ака CC-ISO15408 с бантиками) и к эксплуатации (что у здоровых людей обычно ISO27001 или PCIDSS для конкретики), а у нас винегрет из как относительно толковых норм, так и пост-КГБшных развлекалок с уровнями ЭМИ (в то числе оптики), расово верно прошитыми журналами и формами бланков допуска к копировальной технике.
Отечественное законодательство в сфере ТЗИ, бесспорно, запутанно и архаично. У некоторых норм типа цвета буферов (либо баллончиков с краской для расово-неверных образцов) нет адекватного прикладного объяснения. За многими другими стоят годы исследований, лабораторных и полевых испытаний, а иногда очень и очень дорогие ошибки.
Но в любом случае, апелляция к незнанию (не принимайте на свой счет) или отсталости действующего законодательства не оправдание для избирательного его игнорирования в тех местах, где оно terra incognita, не нравится либо даже не совпадает с лучшими мировыми практиками.
Миранду можно (и нужно) бить исключительно в разрезе 15408 (и их маппинга на НД ТЗИ от 15-16 годов), остальное — пламенный привет НАБК сотоварищи. Давайте не смешивать.
Как я искренне уверен, Миранда не есть первопричиной — они лишь следствие порочных процессов внутри ПРООН. Сама же ситуация в целом даже с ними была бы невозможной при должном подходе к своей собственной работе со стороны ответственных лиц НАЗК. И в шельмовании Госспецсвязи (при всех их очевидных недостатках) я склонен видеть попытку переложить ответственность с ПРООН и НАЗК за (не)вовремя (не)принятые решения.
Отечественное законодательство в сфере ТЗИ, бесспорно, запутанно и архаично.
Беда в том, что инфобезопасность это не проект, а процесс. И применять к нему подход как к строительству (построили и проверили, что все по СНиПам и стандартам и успокоились) нельзя в принципе. И в ИТ даже пятилетней давности стандарт уже может быть (и часто бывает) неактуальным в каких-то разделах. И нужно либо иметь очень мощную и высокооплачиваемую команду (типа BSI) для постоянного поддержания «своих» стандартов в актуальном состоянии, переобучении аудиторов и т.д. либо забыть этот «we shell go another way» как страшный сон и принять набор стандартных международных практик. И тогда не будет вопросов ни по аудиторам, ни по работе с международными органами (и донорами в т.ч.) ни по поддержке со стороны оборудования.
И в шельмовании Госспецсвязи (при всех их очевидных недостатках) я склонен видеть попытку переложить ответственность с ПРООН и НАЗК за (не)вовремя (не)принятые решения.
А я наоборот рад, что весь этот ворох тщательно консервированных проблем наконец вылез наружу и вызвал такую широкую огласку. Ибо наконец есть возможность подвижек в положительную сторону и начали слышать реальных экспертов, а не только людей «из узкого круга».
Проблемы вскрылись у всех: у ПРООН как организации, заказавшей и оплатившей практически пустой «фасад» вместо полезной системы, у НАЗК как службы с недостаточно квалифицированным персоналом, у ДСТЗЗИ как все еще закостенелой пост-советской службы, чьи аттестаты не значат на практике практически ничего (это к АЦСК УСС и к еще огромному количеству госсистем, о которых я по понятным причинам рассказывать не буду).

Результаты, кстати, уже есть и умеренно радуют — профи занялась архитектурой безопасности системы (и этот опыт можно будет переиспользовать), ответственных с НАЗК уже вытащили на свет божий и песочат, ДСТЗЗИ хоть и небыстро, но все же переползает на международные стандарты и теперь призадумается — можно ли в принципе использовать ДСТУ 28147 безопасно при отсутствии аппаратных реализаций PKCS#11, не сажая при этом каждого пользователя в свинцовый бункер с особистом за плечом.

PCIDSS
скорее у нездоровых людей

в том смысле, что данный ритуал исключительно для платежных карт

Нет. Я работал с системой сертифицированной с PCIDSS хотя в ней не было никакой платежной информации — так было проще продавать ее тем кто хотел интегрировать с биллингом и прочими системами сертифицированными по PCIDSS. Так что было проще пройти сертификацию чем каждый раз доказывать что ты не дурак и сессии у тебя отсыхают ;).

в том смысле, что данный ритуал исключительно для платежных карт
Вообще-то это на сегодня единственный публично доступный абсолютно конкретный стандарт безопасности ИС или набора ИС. И посему он очень легко реализуется и проверяется.
Просто подставив вместо PAN-ов любую другую категорию информации, которую вы хотите защитить, и вуаля.
Сертифицироваться же по нему официально, разумеется, не для мерчантов или процессингов, смысла не имеет.

Я написал когда имеет — нам оказалось так проще с биллингами всякими интегрироваться. Ну а имплементация его полезнейшая вещь сама по себе.

Вы кому верите, дядям из спецсвязи или криптоалгоритму?

криптоалгоритму
Кстати, а что если декларации сдавать в биткоиновских блокчейнах ? Вот там точно фиг поправишь потом ....

А кто их генерить будет вы задумывались? И что будет через 5-10 лет, когда сложность генерации подрастет до фабрик асиков в десятки лямов ценой?

Сложность генерации не растет со временем, она растет с увеличением вычислительной мощности сети. Впрочем блокчейн для государства действительно не нужен.

Сертификат ключа, которым удостоверили сертификат из поста Дениса Бигуса — на странице УСС
O=ДП «Українські спеціальні системи», OU=Центр сертифікації ключів, CN=АЦСК ДП "УСС"/serialNumber=UA-32348248-2014, C=UA, L=Київ

Декодер сертификата онлайн: lapo.it/asn1js
Программулина для винды: acskidd.gov.ua/korustyvach_csk

Что имеется ввиду под «гет параметром пост запроса»? Запрос на сервер все таки GET или POST?
С чего вы решили, что сервер не проводит проверку данных с клиента?

«Alex Shevelo» и «Artyom Krivokrisenko» — очень похожие имена, легко спутать?

Мопед не мой я просто разметил обьяву?))

Очень просто. Пост запрос с гет параметром. Технически это возможно, тут реализовано на практике

Да Вы правы. Но это,на мой взгляд,странное решение.

С чего вы решили, что сервер не проводит проверку данных с клиента?
Кстати, не удивлюсь, если уже проводит, способности Миранды в «дайте список дырок, исправим за один вечер» мы уже наблюдали

www.facebook.com/..."}читайте&hc_location=ufi

Конкретно про эту проблему от автора библиотеки валидации ключей

В мене абсолютно єретичне питання — а звідки той ключ ваще взявся? Відповідь — Фльонц виставив на ФБ не приймається.
Хтось ваще задавав це питання? Я от не бачу

Нардепа Геращенка неодноразово питали в коментах. Він морозиться відповідати.
www.facebook.com/...ment_tracking={"tn":"R9″

Геращенко навряд чи знає, що таке ключ. Що він вам відповість?

Вопрос не в том, как был сгенерен ключ, а в том, как открытая часть ключа попала на дропбокс (ссылки в этом топике есть).

Например, в публичной части портала этот ключ не светится: public.nazk.gov.ua/...ic/#/view/160819132637602

Клоунов в этой истории много, одни используют админресурс, чтоб генерить левые ключи, другие сливают информацию из закрытой части типа секьюрной системы хрен знает куда.

Я уже почти готов смириться с тем, что надо всех нахрен причастных к этой истории уволить и посадить, нанять Microsoft с каким-то интегратором, чтоб они сами запилили систему электронных деклараций по всем индустриальным стандартам, запустили у себя в Azure и не допускали местных обезьян до процеса.

Ось, а клієнт Вовк навіть не зрозумів про що я питаю. Крім Майкрософта є і Приватбанк. В них взагалі Папка24 практично готова. А як вам Джеймс Бонд з підписом якогось розробника, який так щось довести хотів?

Нанять кого?! Тех, которые вот только что private key для SecureBoot случайно слили?

Предложите вариант получше (никого из каким-то образом замешанным в истории с электронными декларациями, разумеется, не предлагать)

да в любой комрпании из большой 3-5- ки в Украине есть и экспертиза и резурс что бы сделать НОРМАЛЬНУЮ, безопасную, высоконагруженную систему. И за нормальные деньги или вообще pro bono publico. Но после такого скандала вряд ли кто-то хахочет пихать голову в огонь...

Вопрос не в том, как был сгенерен ключ, а в том, как открытая часть ключа попала на дропбокс (ссылки в этом топике есть).
Из закрытой части никто не сливал: в архиве публичный ключ(сертификат) Рябошапки. Сам по себе файл не является секретным. И со слов расследователей, сертификат поначалу был опубликован на сайте УСС для общего доступа(проверки подлинности секртеного ключа другими программами). Но потом начали подчищать и сертификат был добавлен в список отозванных и потом удален.
Так что обвинения в «рассекречивании» публичного ключа необоснованны. Зато теперь мы в курсе про компроментацию УСС и до какой степени криминала готовы идти госчиновники чтобы дискредетировать декларирование при всех его и так имеющихся технических проблемах.

Якщо це так і саме цей сертифікат був використаний для внесення декларації Рябошапки, а він публічно заявив, що нічого не робив, то ясно, що його мали відкликати.

Отзыв скомпроментированого сертификатa — стандартная процедура.
А вот официальное заявление, что такой ключ никогда не выдавали и вообще: у вас негров линчуют(Джеймс Бонд публикует декларацию) — это уже заметание следов после факапа и перевод стрелок.

Там офіційна заява про Рябошапку В.В.
Про Рябошапку як його там — ніякої офіційної зави не було

Значит они сказали полуправду, медиа разнесли не проверяючи, а читатели не вичтывались внимательно(в том числе и я) и восприняли заявление УСС как отрицание в выдаче ключа Рябошапко Р.Г.

www.facebook.com/...zku/posts/546053442261387

В базі АЦСК ДП «УСС» інформація щодо видачі громадянину Рябошапці В.В. посиленого сертифіката відкритого ключа відсутня.
У зв`язку з розповсюдженням брехливої інформації щодо причетності Державного підприємства «Українські спеціальні системи» до видачі фейкового (несправжнього) електронного цифрового підпису Руслана Рябошапки заявляємо.

Акредитований центр сертифікації ключів Державного підприємства «Українські спеціальні системи» завжди діяв і діє виключно у чіткій відповідності з законодавством України, в тому числі, правил посиленої сертифікації.
За час функціонування АЦСК ДП «УСС», з 2014 по теперішній час, громадянин Рябошапка В.В. не звертався до ДП «УСС» за послугою, щодо видачі йому посиленого сертифікату відкритого ключа, тому інформація щодо можливого використання для взлому автоматизованої системи електронного декларування ключа, виданого ДП «УСС», не відповідає дійсності.

В архиве сертифкат на имя Рабошапко Р.Г. , на прес-конференции Геращенко демонтрировал декларацию Рабошапко Р.Г. public.nazk.gov.ua/...ic/#/view/160819132637602

Каким образом в обсуждении появился однофамилец Рябошапко В.В., не имеющий отношения к конфликту непонятно.

УСС не соврали, но и на вопрос не ответили, тоесть применили манипуляцию: вполне действительно к ним мог не обращаться какой-то Рябошапко В.В. как и Джордж Буш за выдачей ключей.
Нас интересуют данные по ключам Рябошапко Р.Г.

OCSP УСС на запрос выданного (и это неоспоримый факт) ими сертификата ключа (хоть на имя Дедушки Мороза) говорит что он не валиден, при этом его нет в списке отзыва.
Будь ещё сертификат в списке отзыва, можно было бы говорить о том, что УСС не соврали, а манипулировали. То, что они выдали даже не полуправда — я вчера пытался натянуть их заявление на здравый смысл и сдался. Это по-крайней мере служебный подлог, если только не хуже.

Из закрытой части никто не сливал: в архиве публичный ключ(сертификат) Рябошапки. Сам по себе файл не является секретным. И со слов расследователей, сертификат поначалу был опубликован на сайте УСС для общего доступа(проверки подлинности секртеного ключа другими программами).
С чего вы взяли, что именно с ключем, выпущенным УСС, был выполнен вход в систему? Я при логине могу выбрать штук 20 разных поставщиков ключей, плюс еще есть пункт «iнший».

Если публично на портале не показывает с каким ключем был выполнен вход, то только сотруднки миранды/НАЗК могли подтвердить, что вход был выполнен с использованием конкретного сертификата. И тогда у меня возникает вопрос, почему эти товарищи сливают инфу из закрытой системы.

Есть еще один вопрос. Если они получили информацию по взлому то следовали ли они security incident responce plan, если он конечно есть, но он должен быть т.к. это часть той самой КСЗИ к сертификации которой они были готовы и только злобные чинуши их не пустили. Сняли ли они дампы баз, логов, зафиксировали ли они факт взлома и когда он произошел?

следовали ли они security incident responce plan
Security incident response plan:

1. Заявить что ничего не было
2. Отправить армию ботов на ФБ и ДОУ отбеливать Миранду и НАЗК, поливать говном остальных

Похоже что следовали

Оххх. Спасибо, оторжался от души! :)
У ДП УСС походу тот же план. Так что есть шанс что родители их КСЗИ если не те же лица, то по-крайней мере близкие родственники.

Судя по посту на fb нардепа Alex Ryabchyn — он получил по депутатскому запросу в НАЗК серийный номер сертификата ключа, которым авторизовались для создания декларации.
Далее его запросили по ocsp у УСС и понеслась.

Если верить www.facebook.com/...s/posts/10209198714018440 и прочим отрывистым данным от разработчиков системы: после заполнении декларации при сабмите она подписывается и есть информация кто подписал (номер ключа) плюс озвучивали, что кроме полей в публичных деклараций ведется доплнительное логирование(возможно и сертификат входяшего пользователя сохраняется).
Расследователи утверждают что сам сертификат был взят с сайта УСС по номеру ключа (они там публикуются).
Но даже, если сертификат был взят из логов системы, то все равно можно опредалить кто его выдал и проследить цепочку доверия.
По указанной ссылке есть инструкция, как установить программу и воочию убедиться кто выдал ключ.
На данный момент можно смело утверждать что ключ был выдан УСС.
Это не отменяет других багов в системе декларирования, но снимает довод про плохую Миранду и хорошую ДСТЗІ(АЦСК ДП “УСС” находиться в подчинении ДСТЗІ).
Виноваты оба и каждый в своем: Миранда в непрофиссионализме, а ДСТЗІ в саботаже и подлоге.
Но в случае с исполнителем его можно заменить, а вот другой госслужбы у нас нет.

Не спешите пока набрасывать на Госспецсвязь. Если идти от подчинения, то виноватым окажется вообще Гройсман.
ДП УСС зашкварилась по полной, надеюсь этому будет дана должная оценка публично.

Возможно и так, но пока я вижу что заявления об «Рауфик неувиноват» опубликованы на сайте и фейсбуке ДСТЗИ, вместо заявления что проверяем-разбираемся-покараем.
Что для меня свидетельствует в поддержке УСС, а не выступлении в роли арбитра.

ггг. так именно это «не допустить местных обезьян до процесса» и задумывалось, когда все это проводили через ПРООН за деньги иностранных правительств. Но местные обезьяны все равно влезли.

Сразу как увидел первые набросы про «вони заважають» написал «что-то это очень напоминает налоговый кодекс Макеевой». И не ошибся. Одна контора.

Вот журналисты утверждают что хакерскую декларацию Рабошапки с ИИН 123456 с прес-конференции Геращенко-Винника добавили с использованием официального ключа с заведомо неправильным ИИН www.facebook.com/...s/posts/10206470105542689
Если это правда, то это подлог со стороны центра сертификации и показывает еще одну точку отказа: даже если систему идеально напишут и идеально атестуют КСЗИ, то остануться еще центры сертификации, которые могут выдавать цифровые подписи на чужие имена(раз с левым ИИН выдали, что их остановит от выдачи на левые имя фамилию). В Украине таких центров несколько, а не один: есть у налоговой, минюста, укрзализниці, приватбанка и несколько коммерческих.
В целом складывается впечателение, что систему валят со всех сторон: исполнители, приемщики, общественники и неравнодушные чиновники.

У всех доверенных ЦСК есть собственные КСЗИ атестованные Госспецсвязью. Если ключ был сертифицирован таким ЦСК, то этому нельзя не найти подтверждение в защищенном журнале. Если так и есть — значит фазу цирка мы проехали окончательно.

Уви, цирк уєхав. Сервер відібрали в обіззян і вливають туди двих на яве. Що і зробив би хто завгодно з елементами мозгу. А напоследок я скажу.
Отутот public.nazk.gov.ua/...clarations-public/#/about

Проект має на меті спростити подання публічними службовцями їх декларацій майнового стану, доступ до них та їх перевірку. Для цього система електронного декларування передбачає виконання таких задач:

● спрощення введення даних суб’єктом декларування; — DONE result ZERO
● забезпечення захищеного протоколу автентифікації для входу в систему електронного декларування;
● запобігання помилкам з боку суб’єкта декларування під час введення даних; — DONE result ZERO
Вахту здала

І тиша, і мертві з косами. При тому, що в цій частині ВАЩЕ нема двозначності і нема що заперечити. Всі переключилися на змагання хакерів. При тому що я весь час пишу про user experience. І повну невідповідність продукту тезе в цій частині. Нецікаво нікому?

Как я понимаю, речь о двух разных в сущности ТЗ.
Один дала ПРООН исходя из принципа «минимальной достаточности» для выполнения требований ЕС для безвиза, а вторую уже нафантазировали в НАЗК в процессе разработки первой.
Первая система, которая и была, в сущности, реализована, практически не выполняет пп.1 и 3 (разве что на уровне автоподстановки при вводе), но чисто формально выполняет требование ЕС. Практически. Если не считать BankID, который, просочившись в процессе разработки одним махом уничтожает систему юридически. Ибо юридически декларация должна быть обязательно подписана лично декларантом (на бумаге либо ЭЦП) и никакой другой вариант не катит.
Как простенький пример почему в данном случае — некто, скажем, Луценко подает через банкид декларацию с одной квартирой и одним авто, честно и подробно ее заполняет. А тут к власти приходит Янык-2, меняет главу УСС или НАБК на своего младшего внука и тот дает приказ убрать из декларации Луценко квартиру и авто. Если целостность декларации Луценко обеспечивается только ЭЦП УСС, то приватный ключ находится у его админов и им ничего не стоит переподписать им что угодно.

Что же касается системы, которую хочет НАБК, то это некий полуавтомат, в который автоматически попадают все данные об имуществе декларантов и ближайших родственников из других реестров (недвижимости, автомобилей-яхт-самолетов-етц), а сам декларант только в сущности подтверждает раз в год, что «да, мое» и довносит то, что не попало.
Идея, конечно, красивая, но требует на несколько порядков больше усилий и разработки, чем первая. И денег, разумеется. Ибо даже если все остальные реестры уже существуют и в централизованном виде, то совершенно не факт что у них есть API на госшину и его не нужно разрабатывать тоже. Также совершенно не факт что они все имеют одно и то же ключевое поле для идентнификации физлица (и даже если там везде есть ИНН, то в половине он может быть текстовым полем или необязательным) и велика вероятность, что те системы тоже придется предварительно править.

Самое смешное в этом другое. Для реальной борьбы с коррупцией оба варианта несут околонулевую пользу, но первый как бы и не претендует. Почему?
А просто посмотрите где живут те же Юлька и Ляшко, например. И на чем ездят. Т.е. подобные реестры очень легко обойти, если все имущество тупо «арендовать за копейки» у «друзей, знакомых, поклонников, сопартийцев-бизнесменов» и т.д.
Взятка ведь необязательно идет деньгами — это вполне может быть договор на аренду какого-нибудь дворца лет на 50 за 500грн в месяц.
Времена тупых жлобов типа Лозинского давно прошли — сейчас коррупционер сильно поумнел.

если все имущество тупо «арендовать за копейки»

Это прямой признак неправомерной выгоды. И если такое попадет в декларацию (равно как и не попадет), отделаться не получится. Именно поэтому Винник так нервничает.

Намагаюсь знайти фінансові звіти про діяльність ПРООН за 2015 та хоч якусь достовірну інформацію щодо первинного гранту Данії, виділеного на створення Реєстру, та його подальшого бюджетного розпису та марно. Чи є в кого чим зі мною та загалом поділитись з цього приводу ?
Тільки будь ласка по-можливості посилання на надійні джерела.
Дякую.

P. S. Також неймовірно цікаво, чому-ж все таки був заміненй експерт 2 серпня.

Завтра зашлю такий запит, якщо є доповнення то велкам www.facebook.com/...1/posts/10153797455648148

В першу чергу цікавить фінансова звітність проекту — перелік донорів, суми їх внесків та власних коштів ПРООН, структура та хронологія видатків тощо, включно з 2015 роком.
Вчора я витратив значний, як на мене, час на пошуки цих даних англійською, українською та російською, але жодних, заслуговуючих на довіру, документів так і не знайшов.

Добре, я додам це до запиту

Агент Алекс Шевело передає з засади. ІПН елементарно міняється. в мене в альбомі тут скрін www.facebook.com/...7171128148&type=3&theater
А ще він знайшов в коді гугль аналітикс. Конец связи

Кому цікаво — ксерокопії тут www.facebook.com/...1/posts/10153796418448148

Безотносительно самой системы, а что плохого в использовании Google Analytics? Разве это как-то компрометирует систему? Просто интересно. Мы и на ДОУ и на Джинне используем. Оба по HTTPS.

ви правда програмер?

госдєп буде шпіоніть?

тут же задача не закрити відперегляду, а закрити від неконтрольованого внесення зміни. Ціль системи як раз відкрити інфу.

спасибо за ответ, теперь ясно.

Сервера гугл не освячены спецсвязью. Поэтому очевидно, что сервера гугл рано или поздно взломают, а значит приватные ключи чиновников окажутся в опасности.
Не, не так. ЦРУ встроит JavaScript, который будет воровать приватные ключи.
А. Вот ещё: госдеп подделает декларации, чтобы неоправданно обвинить невиновных в коррупции.

А если серьезно: безотносительно системы и Google Analytics, использование стороннего CDN действительно может привести к компрометации. Такое было, если не ошибаюсь, с CDN серверами jQuery. Но маловероятно, что такое случится с серверами Google.

Теоритически, через гугл аналитику может сделать инъекцию любого javascript кода и выполнить его на веб-сайте жертвы. Как я понимаю, в случае данной системы, через эту дырку можно будет даже просто спереть приватный ключ с паролем и отправить его злоумышленникам, о последствиях можете подумать сами.

Практически, я подозреваю, что стандарты безопасности гугла выше стандартов безопасности госорганов Украины, и вероятность взлома с этой стороны крайне мала.

Однако, при сертификации системы, гугл аналитика окажется одним из компонентов системы. И тот, кто ее сертифицирует, должен также сертифицировать саму гугл аналитику. По понятным причинам, сделать это будет невозможно. Поэтому, если на эту систему будет выдан сертификат, это будет значить, что это не сертификат, а туалетная бумажка, которой хороший адвокат сможет подтереться в суде.

Вы немного не поняли прикола.
1) На типа защищенную счасть сайта ставят чатик от привата siteheart.
2) тот притягивает за собой гугланалитику.
3) что еще будет притескивать с собой siteheart известно только разработчикам. siteheart

Внимание вопрос насколько можно считать безопасной страницу js на которой управляется людьми которые которые не имеют к НАЗК вообще отношения и могут инджектить любые js которые с радостью выполняться на странице:) если завтра там будут все данные о пользователе включая его иин улетать на серваки siteheart или будут превью деклараций у открытом виде улетать.

А ну и в догонку при всем уважении но за пост на ДОУ или за резюме на джине не светит 2-5 лет:):):):)(ну коль скоро мы не в РФ) И для доступа на ДОУ мне не пришлось свои ключи подписи в локал сторедж браузера отдавать. По этому извините конечно но ДОУ и ДЖИНН не те проекты где нужно переживать за гугль аналитику. Или еще какие левые считалки:)

Ну вообще то это система работающая с конфиденциальными данными. Т.е. слать с нее аналитику как бы и безсмысленно и рискованно.
Но прикол еще и в том, что похоже что разработчики сами не знают куда их код лазит.

Прикол в тому, що розробники задають питання, які показують їх повну некомпетентність.

Там еще забавная строчка в html есть:

    <!--<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/font-awesome/4.4.0/css/font-awesome.min.css">-->

Ничего криминального, но если бы при мероприятиях, связанных с запуском системы, эту штуку не закомментировали бы, то достаточно было бы ломануть какой-то левый CDN и найти браузер, в котором есть непропатченые CSS vulnerabilities, и вуаля.

Приколы нашего городка серия уже хер занет какая — секьюрный (по идее) сайт деклараций шлет данные в Гугл аналитику...

Вероятно, почтовый сервер миранды там же хостится, так что ничего страшного

не не там, не додумалися, в зоні уа , я викладала айпі

!!?? При чем тут почтовый сервер? В коде сайта гугл-аналитика. Нихера себе прикольчик для секьюрного сайта?

Давайте я буду перша, хто запостить цей цирк, який переїхав в телевізор www.youtube.com/watch?v=-AzAWy3lKE4

Найкраще в тому шоу було, коли чувак з Міранди (ви тут є, а?) почав кричати «а то тестовий ключ використали!»
тестовий ключ. state-of-the-art

Ждем пресуху айтишников, которые вскрывают все дыры в любом антикоррупционном законе, принятом депутатами. :)

Ну вот, первый пошел
espreso.tv/...m_systemy_e_deklaruvannya
«Народний депутат Антон Геращенко заявив про злам системи електронного декларування»
Кто смотрел конференцию — видел, как представитель Миранды пытался объяснить, что ничго страшного не произошло, что это не тот Рябошапка. Потом к нему присоединилась «представитель общественности», которая... опять заявила, что именно государство, НАЗК и ДССЗЗИ и виноваты во всем.
Забавно, рекомендую всем на досуге глянуть ролик.

Подивимось. Не факт, що це справді взлом, а не підстава з боку чиновників.

А что значит — подстава? Сами залезли, сами чего-то там написали? Даже если допустить, что это так и есть, то это означает только, что система дает это сделать. А не должна. Ни хакерам, ни чиновникам.

Система знаходиться в дослідній експлуатації. Дозволено використання тестових ключів ЕЦП
www.eurointegration.com.ua/news/2016/08/19/7053585

Як чесний бета тестер я облазила майже все. НІДЕ не написано, що це дослідна експлуатація.

Систему взломали. Сомнений в этом нет. Причину и способ описывали даже тут. У Шабунина естественно подгорело. Я не думаю что профильный ресурс должен обращать внимание на статью чувака кот-й боровшегося за преподавание креационизма в школах.

Блин, заколебали уже, систему делала контора, которая делает исключительно гос-заказ.
Кто-то с кем-то не поделился, поэтому и началось.
все.

держзамовлення робить причому криво, я бачила їх state-of-the-art систему субсидій до всього. навіть ліби не змінили

Судя по прессконференции и комментариям разработчика в системе просто нет (или отключена проверка) белого списка валидных корневых центров сертификации. И это не очень хорошо, но не то, что нельзя было бы исправить. Но запускать в продакшн систему с такой дыркой — нельзя.

Так они классически — херак, херак — продакшен. Это еще с мылом стало понятно, не сомтря на отмазки про отсутствие сервера.

замечу, как и списка валидных ИНН. А вот это — уже странно.
Хотя ниже писали, что и телефон на валидность не проверяется.

Я чесно писала ІНН 12344567 і всі подібні інші числові параметри

А где можно скачать такой список?

А с какой целью интересуетесь? ©

Насколько я знаю есть алгоритм валидации ИНН. Список не список но реестр есть.

Он работает для 99% случаев, однако бывают ошибки при выдачи ИНН, т.е. выдвается номер изначально не проходящий валидацию по смещению от дня рождения и/или четности по полу, а поменять его после этого нельзя, т.к. он является валидным.

Во-первых, поменять можно. Наложка и не такое делает. А во-вторых, всё ещё хуже — до сих пор встречаются дубликаты ИНН. Хотя уже и очень редко. А ещё в некоторых районах особо одарённые рекомендовали гражданам идти и получать ИНН после каждой смены работы. И наложка выдавала. И теперь в таких полумусорных базах как реестр гражданских актов (загсовский) вполне можно найти и ошибки, и множество документов на одного реально человека с разными реальными ИНН... А уж что творится в пенсионных отделах, когда туда такие дятлы приходят, особо если стажи приходятся на период после 2001 года...

Там системи нема. Взагалі. Це видно з першого погляду. А з другого і третього взагалі УУУУУ. Це Шнобель по програмуванню. Я чого всіх запрошувала самим лізти і дивитися?

Ща будет прикол, если народ туда кинется смотреть декларацию Рябошапки и завалит этот «высоконагруженный» портал :).

Руководство НАЗК признало, что качество программного обеспечения таково, что систему может взломать любой среднестатистический хакер.

Они разбираются в среднестатистических хакерах?
Законы пишутся так чтобы их обязательно было не возможно соблюсти., попробуйте пройти проверку у ДСТЗи.

Ооопс
m.censor.net.ua/...o_sdelat_vinnik_o_zapuske

"На комитете состоялась конструктивная дискуссия. Мы пришли к выводу, что в связи с тем, что работа по созданию программного обеспечения для электронного декларирования была осуществлена и заказана не государственным органом, а за счет грантовых средств, компанией, которая была непрозрачно выбрана... Сейчас уже есть многочисленные замечания от участников рынка, что, например, их предложения просто не рассматривались по какой-то выдуманной причине. К примеру, якобы как файл с предложением содержал вирус. Таким образом непрозрачно была выбрана компания. Она самостоятельно написала себе техническое задание, которое де-факто не утверждалось ни НАПК, ни Госспецсвязи. Под это техническое задание была написана программа, по своей сути не отвечающая задаче, которая ставилась для программного обеспечения электронного декларирования. Суть ее заключается в том, что государству, НАПК нужен мощный аналитический программный инструмент, который в режиме реального времени может не только хранить данные госслужащих об их имущественном состоянии, а анализировать их в связи с другими реестрами и принимать соответствующие решения в форме отчетов, докладов работникам НАПК, как только данные в других реестрах меняются.
Например, купил особняк в Конча-Заспе — это сразу на следующее утро будет отражено в соответствующем отчете ответственному работнику НАПК, который сможет в этом отчете увидеть, какое было состояние у служащего в предыдущие периоды и текущие, и направить соответствующий запрос через НАБУ по подтверждению источников финансирования этого приобретения. Такой программы пока нет. У нас есть программа, которая способна принять персональные данные, которые частично являются конфиденциальными, гражданина Украины, госслужащего на сегодня, и эти данные хранить. Эта программа имеет сомнительный уровень защиты, и никак она сегодня не интегрирована с другими государственными реестрами. Поэтому получить исполнение главной задачи — быстрой аналитики имущественного состояния государственных служащих в режиме реального времени — программа пока не может.

Пффф.
У НАЗК же теперь есть Энигма, зачем им новая программа ??7
Ничонипанимаю

Шютки юмора не понял :(.

Полагаю, вы пропустили, с моей точки зрения лучший пост этого треда, в краткой и невероятно ироничной форме подчеркивающий все что общественности следует знать о компетентности строителей КСЗИ Реестра и их кураторов.

Нет конечно — Ваши посты я не пропускаю. Я не понял прикол про Энигму. Вот как бы уровень бредовости новости про шифровальную машину просто вынес мозг. Что они имели в виду? Циску какую то?

Тем не менее уровень абсурда для меня не спал :).

Попробую пояснить.

Например, купил особняк в Конча-Заспе
А много кто ещё не купил особняк в Конча-Заспе.
А с новой программой — глядишь, кто-нить и купит — и тут-то она же и пригодится!
Я не понял прикол про Энигму. Вот как бы уровень бредовости новости про шифровальную машину просто вынес мозг. Что они имели в виду? Циску какую то?
Что бы за чудо-устройство они не имели в виду, оно не может самим своим наличием компенсировать отсутствие системного комплекса.
К тому же, в контексте происходивших событий, появление этой новости делало возможной трактовку её как спонтанного решения о покупке Энигмы, принятого для усиления PR-эффекта.
От того, это было ещё смешнее читать, особенно в изложении пана Егора.

Ой ну что Вы хотите от гражданских если даже тут не все до конца понимают...
Вон Мустафа сегодня возмущенно написал что гадкое ГПУ отобрало ЛИЧНЫЙ ноут у сотрудника НАБУ на кот-м ДСП информация о персонале НАБУ. Т.е. уровень кхгм... инцидента безопасности он не понимает ни на секунду. Хоть бы уже человека так не палил...

То есть полгода Миранда занималась непонятно чем и никого это не волновало? И почему они сами себе писали ТЗ? Как понять действия заказчика, который платит деньги, но не говорит что ему надо сделать и просто спокойно ждет полгода?

Спросите ПРООН кот-е является заказчиком:
15
Метою завдання є розробка програмного забезпечення електронних активів декларації системи
України на основі затвердженої методології, як описано в цьому ТЗ.
Кінцевим бенефіціаром і одержувачем результатів завдання є ПРООН. ПРООН буде
затверджувати кінцеві результати після консультацій з групою контролю якості у складі представників ПРООН, МЮ,Світового банку та інших партнерів.

procurement-notices.undp.org/...iew_file.cfm?doc_id=65269

И почему они сами себе писали ТЗ
Вы, видимо, не в курсе, но на госзаказах (и им подобным) так принято ибо конечная цель не получить продукт, а попилить бабло и прикрыть жопку бумажками.
главной задачи — быстрой аналитики имущественного состояния государственных служащих в режиме реального времени

Это личное мнение нардепа Винника. Большую часть нафантазировал. Плюс тут кто-то тут говорил, что РНБО не при чем? Посмотрите, какой комитет он возглавляет.

В ТЗ procurement-notices.undp.org/...iew_file.cfm?doc_id=65268
прописаны 3 задачи:

1. Упростить подачу деклараций чиновниками
2. Предоставить публичный доступ к этим декларациям
3. Создать систему верификации поданных данных об имуществе

То есть верификация — это лишь третья часть от задач. И нет смысла её делать, пока нечего верифицировать.

В задачи НАПК входит:
1. государственная политика по борьбе с коррупцией (разработка стратегии, изменений в законодательство)
2. выявление несоответствий между стилем жизни и официальной зарплатой (реагирование на заявления СМИ вроде «прокурор приехал на новом лексусе», допросы «откуда взял деньги на задекларированную дачу в той самой Конче-заспе»)
3. ведение реестра деклараций (в целях их подачи, публикации и верификации)
4. непосредственно верификация деклараций
и многие другие, о которых можете почитать в соотв. законе. Заметьте, что самому реестру и верификации там уделена меньшая часть. Использовать средства верификации реестра деклараций НАПК не обязана. Этот реестр — не единственный инструмент НАПК. Есть множество других, не только технических, но и юридических инструментов.

де-факто не утверждалось ни НАПК

А это манипуляция. ТЗ было согласовано с МинЮстом. НАПК ещё не существовало, соответственно, не с кем было согласовывать: ain.ua/2015/10/01/607103 (заметьте, какой ажиотаж в комментариях среди «ылиты» ИТ, которая сейчас брызжет слюной «я бы сделал лучше»)

ни Госспецсвязи.

С чего бы это у них необходимо было утверждать ТЗ?

Мне кажется, происходит сознательное затягивание начала работы НАПК.
Причем явно не разработчиками софта. Нас водят за нос.

Запропонувана система не спрощує подачу декларацій, а утруднює.

.... утруднює процес приховування доходів?)))

А ти не воруй! ©

вы бы предпочли бумажную заполнять?

де-факто не утверждалось ни НАПК

А это манипуляция. ТЗ было согласовано с МинЮстом. НАПК ещё не существовало

Ну хоть в Вики залезьте.... НАПК образовано в марте 2015-го, тендер — сентябрь-октябрь 2015.
ни Госспецсвязи.

С чего бы это у них необходимо было утверждать ТЗ?

Ну хотя бы для того что бы получить сертификацию (и быть юридически безупречными) и не делать теперь луп-луп глазами по поводу BankID, кот-й таки да прописан в ТЗ.
Задачи приписанные в ТЗ Вы уж как то лихо урезали. Вот они со страницы 15

Проект має на меті спростити подання публічними службовцями їх декларацій майнового стану,
доступ до них та їх перевірку. Для цього система електронного декларування має бути спроможна
виконувати такі задачі:
● спрощення введення даних суб’єктом декларува
ння;
● забезпечення захищеного протоколу автентифікації для входу в систему електронного
декларування;
● запобігання помилкам з боку суб’єкта декларування під час введення даних;
● виконання перехресної перевірки інформації з використанням баз даних інш
их державних
органів;
● надання доступу до системи електронного декларування іншим державним базам даних;
● забезпечення захищеного зберігання введених даних;
● надання відкритого онлайнового доступу та засобів пошуку по відкритих даних, що містяться в
деклараціях, і можливості їх звантаження;
● створення відкритого API для розробників для забезпечення захищеного доступу до відкритих
даних із декларацій майнового стану та їх звантаження в різних форматах;
● оптимізація процедур обробки декларацій майнового стану персоналом НАЗК і створення
ефективного бізнес-процесу перевірки декларацій.
Упрощение процесса ввода деклараций никого особо не волнует. Главное это верификация и поиск.
Ну хоть в Вики залезьте.... НАПК образовано в марте 2015-го, тендер — сентябрь-октябрь 2015.
Март 2015-го — дата решения Кабмина. Но ведь организация появляется не после издания какой-то бумажки. А после появления уполномоченного лица. Нет представителя — нет организации.
Вы уж как то лихо урезали.
Что же я упустил? Задачи делятся на 3 категории: заполнение, публикация и верификация. Это было сказано в контексте целей созданий реестра, а не детального описания экранов и формочек.
Упрощение процесса ввода деклараций никого особо не волнует. Главное это верификация и поиск.

Для разных категорий лиц разное понятие о «главном». Декларантам главное — защититься от претензий НАПК (упрощение подачи). Общественности главное — подотчетность декларантов (поиск и просмотр). Членам НАПК главное — выявление несоответствий (верификация).

Все было уже в сентябре-октябре. Я проверял.

Что «все»? Право подписывать документы от НАПК кто имел?

Спросите в НАПК. Организация на этот момент существовала и вела свою деятельность.

Организация на этот момент существовала и вела свою деятельность.

Это неверное утверждение. Бремя доказательства лежит на вас. До избрания главы существовала лишь конкурсная комиссия НАПК. Никакую деятельность НАПК вести до этого не могло.

Опять... А стулья и оборудование кто закупал? И т.д. Ну зачем опять недумавши писать...

Нету у НАПК ни стульев, ни оборудования. Об этом не раз сообщалось.

заметьте, какой ажиотаж в комментариях среди «ылиты» ИТ, которая сейчас брызжет слюной «я бы сделал лучше»
А что вас во фразе «я бы сделал лучше» смущает, если реально сделать хуже — надо еще постараться?

Меня смущает, что когда объявляли тендер (тут, на DOU и на AIN), было 0 целых 0 десятых желающих. А сейчас вдруг хвастуны подтянулись.

Де оголошували? Дайте лінки

Була якась тема, здається, датована вереснем. Але тема то тема, треба було взяти топ-25 ДОУ та розіслати всім запрошення.

Вже свідчень того, що подавалися, і їх бортанули, в тому числі через те. що «файл не відкрився»

Что за компании? Из ТОП-25 DOU?

To be continued. В медіа

>Пытался заполнить тдерную заявку, понял что ее не возможно заплнить честно :)
Хоч я Карпенка не поважаю за деякі його зашквари, проте, він не перший хто на це вказує, а тому є всі підстави сумніватись у честності тендеру.

Карпенко мене репостить

Дабы не бегать по веткам, постараюсь ответить здесь на все претензии к системе
Начнем с истеричной особы, т.к. в фб у нее комментарии закрыты не от друзей (теперь понимаю почему), то буду отвечать здесь и на ее претензии из фб.
1. Тяжело листать календарь
Обычная манипуляция — т.к. достаточно кликнуть на название месяца (при наведении он подсвечивается), и будет доступен выбор месяцов и годов. Что же, добавим этот кейс в инструкцию к системе.
2. В коде страницы есть код siteheart, и это «ужас».
Действительно есть, и есть он там изначально — когда сотрудники НАЗК научаться пользоваться онлайн помощью он будет активирован.
Кстати, кто не знал, это приватовская разработка. И приват не боится ее использовать у себя в системах.
3. В коде страницы есть данные о человеке.
Сделано это было намеренно, для снижения нагрузки на сервера. Минус один запрос с фронта, к бекенду. Кто-то конечно скажет, что это экономия на спичках, но при планируемой нагрузке на систему, это много.
Кстати, аргументацию почему это плохо, с удовольствием выслушаю. Кроме аргументации по кешированию браузерами страниц. Решается это заголовками.
4. Нашла, что если в качестве ключа указать файл с картинкой, выскакивает окно «undefined».
Уже передали разработчикам либы вопрос. Видимо, до этого дня, не одному человеку не приходило такое в голову. Иначе это было бы давно закрыто.
5. Что еще забыл?
Теперь перейдем к вопросу еще очень активного писателя («специалиста» по безопасности, который так и не ответил на вопрос про SSL, ну да ладно, может гуглит)

Ну т.е. на локалхост Sendmail поднять это подвиг меценатсва? Ну тут то не надо людей обманывать, все прекрасно знают что SMTP сервер это не железяка.
С какой скоростью ваши письма будут улетать в спам при такой настройке?

Вроде все собрал. Что из вышеперечисленного как-то ломает систему, или делает ее не безопасной?
Я не спорю, что могут быть нюансы в юзабилити, которые вылезут во время эксплуатации системы. И возможно даже критические ошибки.
Но со всеми большими системами так. Не бывает программ без ошибок, и мы это прекрасно понимаем.

Один маленький вопросик а когда уже придумаете "як сказать, що email пройшов перевірку"© у вас уже есть какое то глобальное решение или необходимо собрать пару тройку митингов?

До речі перевірка телефону там досі не працює

Звичайно не працює бо last-modified:Thu, 04 Aug 2016 15:50:23 GMT Якшо вірити заголовку то той js не мінявся з цієї дати:)

Та знаю. Це я так. Для підтримання розмови з пацієнтом.

Ну что ж господин-стесняющийся-своей-работы. Вопрос с SSL мило разрешился. Vanya Yani извинился и признал мою правоту. dou.ua/...aign=reply-comment#974347
Конечно же я не надеюсь на какие то извинения от Вас но давайте продолжим тему SMTP сервера. ОК, я допускаю что по эстетическим соображениям Sendmail не очень красиво (не надо про нагрузку только — она счас я думаю мизерна) но что бы вы делали если бы систему поставили бы в наглухо закрытый для исходящих соединений периметр, как это делают параноидальные европейцы? Упали бы с ошибкой наверно?
Ну и самое смешное это утверждение что у НАСК нету почтовика. А вы не могли использовать mail.gov.ua к примеру? Нет?

извинился и признал мою правоту

Вам бы в политику, тонко манипулируете фактами :)

Сделано это было намеренно, для снижения нагрузки на сервера. Минус один запрос с фронта, к бекенду. Кто-то конечно скажет, что это экономия на спичках, но при планируемой нагрузке на систему, это много.
А какая планируемая нагрузка на систему? Исходя из открытых данных, это порядка 50000 госчиновников, которые гарантированно не кинутся заполнять декларации одновременно и еще нескольких ботов которые якобы будут собирать статистику в фоновом режиме.
Это просто смешно. Даже предлагаемая коллегой «горизонтальная масштабированность» тут в принципе не нужна.

Вы сильно ошибаетесь в количестве чиновников. По разным оценкам под закон попадает от 400000 до 700000 человек. Это только первый этап порядка 50 т.ч. А если учесть, что народ у нас тянет до последнего, то неделя под конец сроков будет очень жаркая. А система изначально построена под горизонтальное масштабирование.

Вы сильно ошибаетесь в количестве чиновников.
возможно.
По разным оценкам под закон попадает от 400000 до 700000 человек.
А есть пруфлинки на эти цифры?
Но давай возьмем цифру в 700000 и «последнюю неделю», как максимальную нагрузку и попытаемся попроектировать. Допустим что все чиновники внезапно кинутся декларировать свою недвижимость в последнюю неделю. И будут это делать 12 часов в сутки.
Итого имеем 700000/7/12=8300 сессий в час. Допустим что средняя декларация — это 10 http реквестов(логин, ввод данных, сабмит). Итого имеем 83000 реквестов в час или же 1400 реквестов в минуту. Что в принципе является смешной нагрузкой для любого из современных веб серверов, со сколько нибудь вменяемым бекендом, которые тянут порядка 5000 конкурентных подключений на сервак без дополнительных оптимизаций.
Зачем тут горизонтальное масштабирование???
со сколько нибудь вменяемым бекендом
Судя по всему, там спагетти на PHP без какого-либо каркасного фреймворка. Так что не факт, что выдержит.

Сразу видно, что судите Вы о системе по статьям наших недожурналистов. 10 реквестов говорите? Декларация это 17 разделов, в каждом из которых указываются субъекты и объекты дакларирования (которые тоже сразу отправляются на сервер, и это не только сам декларант, а и его все родственники, и все люди с которыми он имеет любые денежные, имущественные и т.п. отношения), постоянное автосохранение данных со страницы заполнения декларации, и самое тяжелое ЕЦП. При подписи декларации ЕЦП, мало того что выполняется порядка 10 реквестов (как к серверу, так и от него к АЦСК), так она еще и очень ресурсоемкая (крипта все же не по каким-то там стандартам международным, а наше родное ДСТУ).

Теперь про цифры, для начала biz.liga.net/...god-sokratilos-na-0-4.htm
А потом открываем zakon0.rada.gov.ua/...-18/print1418806248462072 и смотрим сколько народу еще приравнено к госслужащим.

Если ты читал мой пост выше внимательно, то не мог не заметить что расчеты были сделаны по максимуму, исходя из приведенных тобой же цифр, и все равно оставался приличный запас. Но ок, допустим я чего то недоучел — дело хозяйское. Тебя не затруднит выложить свои прикидки?

Банковские программисты смотрят с недоумением на тебя. А потом смеются над вашей нагрузкой. ))

Появились реальные цифры:

Лише протягом останньої доби системою було зафіксовано 3,8 млн запитів. На сьогодні кількість запитів на годину становить понад 200 тисяч

То есть реальность оказалась более чем в 2 раза выше ваших расчетов “по максимуму”. А с учетом того, что нагрузка навряд ли распределена равномерно, в пике она может намного превышать 5000 в минуту.

Зачем тут горизонтальное масштабирование

Действительно, пока что вертикального хватает:

На даний момент проводяться роботи з розширенню пропускної здатності фізичних каналів зв’язку та збільшення обчислювальної потужності серверного обладнання (віртуальної інфраструктури) офіційного сайту nazk.gov.ua

И заметьте, по сообщению НАЗК, это лишь сайт-визитка, используемый для поиска ссылки на портал. Можно предположить, что на сам портал нагрузка гораздо выше.

P.S. Впрочем, не исключено, что это DDoS

То есть реальность оказалась более чем в 2 раза выше ваших расчетов «по максимуму». А с учетом того, что нагрузка навряд ли распределена равномерно, в пике она может намного превышать 5000 в минуту.
Этого я не понял. Будучи человеком совершенно никак не связанным с госконторами, я сделал некоторые предположения, исходя из моих ограниченных представлений о предметной области. И заметь, попросил людей связанных с разработкой, уточнить их — ведь они же должны же должны лучше знать каких нагрузок ожидать.
Ответа не получил.
И при всем при этом, исходя из цифр в твоей статье получаем 200000/60=3333 реквестов в минуту.
Что дает нам запас в ~40% на одном серваке без оптимизации. Если пофиксать ботлнеки и сконфигурить все правильно, то 10000 вполне реальная цифра. Это дает нам 300% запаса от нагрузки.
И?

угу, это как с ЭРДР. Который в 13\14 году ложился в конце каждого квартала :)

Смешная нагрузка свалила новую систему, написанную УСС
zik.ua/...kist_zapytiv__nazk_979502

ну я не знаю, посмотри статистику какого нить инет магазина популярного в предновогодний период к примеру. Просто чтобы понять что такое средняя нагрузка.

Посмотрел

Гугл ~300 млн в сутки
Фейсбук ~200 млн в сутки
Википедия ~100 млн в сутки
Яндекс — ~40 млн в сутки
Вконтакте — ~30 млн в сутки

OLX ~ 5 млн в сутки
Розетка ~ 3 млн в сутки

3 млн в сутки — каждый день. А что там про в пиковые нагрузки(мы же сравнимое сравниваем, правильно), предновогодние распродажи, черные пятницы...

Это НЕ новая система. Оно конечно удобная позицуия мирандистов но это мирандовская ситема, хоть и молифицировання в части закрытия вопиющих дыр.

Ну и еще по поводу нагрузки. Согласно документу на сайте ПРООН ситема должна была бтыть готова к .... (барабанная дробь) марту 2016-го года (т.е. периоду сдачи деклараций в налоговую). Но талантливые ПМы очевидно прощеглкали сроки и смогли выкатить ублюдка только летом (ну вся история тут как на ладони). Ну как бы ой — изначально предполагалось протестироывать нагрузку в реальном проде но без политического давления.
И еще... Сама концепция системы радикально неправильна (и кстати ЭТО как раз хороший кейс для ДОУ) — не стояла задача сделать он-лайн заполнялку, стояла задача собирать, публиковать и верифицировать декларации. Сделали бы офф-лайн заполнялку — не было бы этих проблем с нагрузкой сейчас.

Я бы не был таким категоричным.

css — слизан
html — частично совпадает
javascript — отличается
url, ajax запросы — отличаются значительно

В публичной части — значительно изменен функционал. Так, например, API заменен полностью.

Всё это не похоже на «молифицировання».

Чому ви вирішили, що нову систему написали в УСС? В них не має програмістів. Система у них тільки хоститься

Есть у них и админы и программисты.
www.uss.gov.ua/itoutsourcing
www.uss.gov.ua/...-of-tzi-and-cryptographic

Метою проведення науково-дослідних і дослідно-конструкторських робіт є впровадження нових засобів (зразків) технічного або криптографічного захисту інформації, створення програмних засобів захисту інформації, розробка апаратних та програмно-апаратних засобів технічного або криптографічного захисту інформації, методик до них.
В добавок для КСЗИ им предоставляли флешки с кодом и они публично сообщали про уязвимости в коде — соотвественно кто-то должен был тот код ревьювить.
Также могли элементарно зааутсорсить — если нашлась мотивация компрометирвоать центр сертификации, то деньги на нескольких программистов тоже могли найти.

А хто ще?
У НАЗК немає технічних спеціалістів. НАЗК визначило ДП «УСС» адміністратором Держреєстру е-декларацій
ua.interfax.com.ua/news/general/377945.html

Технічний адміністратор — це юридичне визначення того, що ми називаємо «мейнтейнер». Тобто фактично — розробник.

Якщо це ви про мене, раптом, то
0. в мене не закриті коментарі в ФБ ні від кого, це брехня
1. ви щось про user-friendly interface чули? по вашому той календар — це воно? В мережі дофіга коду для календарів, лом шукати чи що?
2. в самому stieheart нічого поганого, крім www.siteheart.com/ru/rules з усіма витікаючими
3. вже без мене впоралися
4. картинку ніхто не вставляв, помилка про інше, і все ще там, шукайте краще
5. що ще забули?
5.1. головне — емейл (який досі гуляє через ваш сервер), питання — як ви сподівалися отримати сертифікацію з таким «захистом»?
5.2. неіснуючі адміністративні одиниці (ви взяли без змін код з сайту субсидій)
5.3 і дофіга більше

Ваш продукт дійсно є state-of-art халтури. Він вже морально застарів.

ПС. Мені глибоко плювати на персональні інвективи, мене вчили, що лайка від ворога — це хвала.

коменти в фб у тебе закриті для всіх кроми друзів. Особисто я не можу коментувати псля того, як ти викинула мене з друзів

Вот-вот. Настройки приватности в Facebook ошенама сложные...

Що правда? Зараз перевірю

дякую що сказав, в мене після 100500 бана якісь дивні налаштування

В коде страницы есть код siteh...

Посмотрите пожалуйста мой комментарий dou.ua/...orums/topic/18252/#974920

Там ще є гугль аналітикс є, від сайтнарта

Учасники термінової наради щодо вирішення проблеми з е-декларуванням, проведеної президента Петром Порошенком, повідомляють про домовленість щодо термінового оформлення атестата відповідності системи електронного декларування.

За даними повідомлення, винною у виникненні проблем оголошено компанію-розробника, ООО «Міранда».

З повідомлення можна зробити висновок, що допрацювання буде відбуватися без участі розробника ПО.

Бабло то уже рапилено.

Заметьте, Миранда используют самые сертифицированные спецсвязью ЭЦП-библиотеки

Для начала, надо подвесить за тестикулы тех, кто отдал Миранде этот заказ.
Там убили 2-х зайцев: зафакапили заказ и попилили бабло.

Без эшафотов не обойтись: hvylya.net/...-vse-godyi-vyizhival.html

В Европе «сознательность» воспитывалась в XVII — XIX вв только так.
И в Грузии — тоже,
кстати, вато-грузины до сих пор Миху простить не могут, им лучше совок и нищета.

Могу примерно рассказать как это работает на основе опыта работы с похожей конторой только в другой сфере.

1. Кто-то из универа(кафедры) узнает про тендер и возможность попилить бабки.
2. Собирается несколько дружественных контор и подаются на тендер с такими предложениями, чтобы выиграла конкретная контора, через которую будет производится попил.
3. Контора выигрывает тендер не имея ни специалистов ни возможностей.
4. На кафедре оформляется хоз тема.
5. В хоз тему записываются все шановные с кафедры (профессура и нужные доценты), а так же несколько аспирантов и, возможно, студентов (исполнители).
6. Бабки по хозтеме пилятся шановными, а до исполнителей доезжает болт денег и миллион пи8дюлей.
7. Хозтема закрывается через прикормленную приемку и откат.
8. Профит.

Будучи студентом попадал в похожие расклады.

узнает про тендер
При проведении тендера можно хотя бы указать необходимость иметь лицензии по КЗИ и ТЗИ. В данном же случае, когда деньги просто дают тому, на кого покажет прикормленный перст судьбы.

«хоз тема»? Это такой официальный термин?

Видимо вы просто не сталкивались) Такой же официальный как и помощь кафедре.

таки студент.... чи взагалі школяр?

Я більше не буду. Це останнє. State of art календар. Я до свого місяця народження хвилин 10 клацатиму, я не переживу www.facebook.com/...6093147&type=3&permPage=1

Та ні, продовжуйте. І, якщо можна, якесь резюме: по пунктах і просто, для непосвячених.

Да уже из этого примера можно сделать два вывода.
1. Система (вот конкретно этот модуль) создавался в лучшем случае студентом-недоучкой, в худшем — школьником, вчера начавшим осваивать JS.
2. Система (вот конкретно этот модуль) никаким образом никем и никак не тестировалась.
И эти выводы — на поверхности. И по ним, самым простым и легким вещам, можно догадываться, а что-же там скрывается от нашего взгляда под предлогом великой государственной тайны “внутри”, и даже лучше не задумываться, как там обстоит дело с тем самым КСЗИ.
И самое интересное. В этой теме таких проколов уже насобиралось наверное с десяток. На каждый из них поступает ответ от “разработчиков” типа “да это частная небольшая недоделка, исправим, а вы там работайте, ищите ошибки и сообщайте нам”. Хотя по результатам заседания 15 августа от тех-же разработчиков мы слышали, что технически система идеальна, но вот только в документации “надо поменять местами пункты”.
Но своего разработчики уже достигли.

ДССЗЗІ як державний орган не має іншого варіанту дій, крім як взяти.... відповідальність та забезпечити сертифікований старт системи
А как, если там такой “идеальный код”?

Спасибо. Но как пояснить эти проблемы непрограммисту?

Какие именно?
1. Программа имеет низкое качество кода.
(Аналогия для неспециалиста — автомобиль качественной и некачественной сборки. Специалист понимает это глядя на сам процесс сборки. Неспециалист — только наткнувшись на эту проблему в ходе эксплуатации, хотя может и довериться мнению специалиста заранее и в такую машину не садиться, что-бы не оказаться с отвалившимися колесами посреди дороги)
2. Попытка выдать свое изделие за технически идеальное и свалить вину на орган сертификации (Аналогия для неспециалиста — крэш-тест автомобиля. Производитель говорить «все супер, машина же ездит», а в реальности — шансов на выживаемость в случае аварии почти нет).
3. Заставить ДССЗИ «допиливать систему» — это как заставить орган, проводящий тест на соответствие мотора авто стандартам «ЕВРО-N» заниматься перепроектированием и ПЕРЕИЗГОТОВЛЕНИЕМ автомобиля, причем всего — от колес до выхлопной трубы. Причем «в кратчайшие сроки».
Вот так, для «непрограммиста».

Да очень просто пояснить. Вы будете ездить на машине где колеса квадратные, спидометр крутиться в обратную сторону а вместо лампочки о том что бенз заканчивается приклеена бумажка «надо поридумать как нам показать что бензин заканчивается»?:)

Ага, апним народный багтрекер, и разложим все по полочкам...
Уже прям волонтерство)

А що буде, якщо клацнути по отим двом стрілочкам зліва від назви місяця?

Это вы ещё не видели внутрикорпоративные продукты вполне уважаемых контор.

Используй силу клавиатуру, Люк!

Оскільки в ту клоаку, здається, ходжу тільки я всередину, то повідомляю новини сайту декларацій. Хтось прикрутив всередину siteheart.com

Это может быть уязвимостью — посредством такой связи (например, взломав s...) можно, как минимум, с помощью социальной инженерии получить приватные ключи и даже пароли тех, кто заходит на сайт для деклараций.

Не должно быть никакой связи с посторонними сайтами, убрать такую привязку — минутное дело, пускай уж лучше чат не работает.

Поправьте меня пожалуйста, если я ошибаюсь.

Та звісно що ви не помилляєтеся. Тут просто якийсь ацкій цирк.

IMHO: нерідко в аутсорсингу розробка йде роками — ітеративно, поступово виправляються огріхи, деякі дірки в безпеці можуть не виправлятися роками, нерідко — нормальний спокійний менеджмент; розробка ж для гос. сектору має бути більш складна, відповідальна і більш інтенсивна (більш нервова) ніж для звичайного аутсорсингу, а от яка там зарплатня і умови, в даному випадку, — я не знаю (думаю що гірші), тому я сьогодні просто щиро співчуваю розробникам (саме розробникам, як там вище — я не знаю), бо ж критикувати в сотні разів легше ніж писати щодня код. Правильно і чесно оцінити термін виконання робіт — це майстерність і не всі це вміють навіть у аутсорсингу, не те що в гос. секторі.

Це приватна контора, яка писала на замовлення іноземного донора. Де ви тут бачите державний сектор? Він в темі з’явивися десь так кілька тижнів тому

Тем временем..

www.facebook.com/...lya/posts/316018245398572

TL;DR

ДССЗЗІ должна усунуть недолики :)
Роботу над цими модулями ДССЗЗІ має виконати самостійно в стислі терміни.

Ждем продолжения драмы 1го сентября

Какой феерический бред.
Признали, что “компанія-підрядник несумлінно виконала свої зобов’язання”. И вывод —

“ДССЗЗІ як державний орган не має іншого варіанту дій, крім як взяти ініціативу і відповідальність та забезпечити сертифікований старт системи.”
Каким образом??? А почему не АЗПК?
Міністр фінансів Олександр Данилюк, у свою чергу, заявив про готовність ініціювати оперативне рішення щодо фінансування робіт із забезпечення четвертого та п’ятого модулів системи електронного декларування. Роботу над цими модулями ДССЗЗІ має виконати самостійно в стислі терміни.

Поручить ДССЗЗИ, по сути органу власти, а не фирме, специализирующаяся на разработке ПО “самостійно в стислі терміни” виполнить работу, с которой облажалась фирма-разработчик с офигительнім опытом “успешных проектов” для государственных учреждений Украины — это таки путь к окончательному угроблению проекта, вывода действительно виноватых из-под удара и назначение такими невиновных.

Ну и последний гвоздь. Теперь ДССЗЗИ должна сама разработать систему и сама-же ее сертифицировать.
Все, занавес.

Это очередное подтверждение версии, по которой уязвимостей не найдено, а есть только недоработки в документации КСЗИ.

Смотрите сами:

1. ДССЗЗИ и ДЦКЗ выполняют только экспертизу и аттестацию КСЗИ. Хостится система в УСС.
2. ДССЗЗИ не имеет правовых оснований для вмешательства в систему. Разве что НАЗК определит ДССЗЗИ как технического администратора реестра, что вызовет ещё больше подозрений.
3. Если ДССЗЗИ занимается разработкой КСЗИ и одновременно его экспертизой, то не является ли это нарушением, из-за которого отстранили ТОВ «Криптософт»?

Ну Гарант сказал запилить — значит запилить! Законы? У нас поле чудес, все возможно :D

Уязвимости нашли в этой же теме поверхностным осмотром.

Это вы про т.н. «CRSF»? Полагаю, автор не сможет объяснить, что же это такое, раз даже название не смог написать правильно. Защиты действительно не было, но это не значит, что уязвимость была. Не думаю, что в нормативные акты, принятые еще в советское время, заложено такое понятие.

От CRSF есть защита. Там в аяксе используется при запросе хедер ’X-Csrf-Token’

Других упоминаний якобы найденных уязвимостей я не нашел. Было что-то другое? Почтовый сервер?

Не было. Почтовый сервер отдельный не подняли. Да. Если разговор о том что нашли на доу.
А так еще замечания госспецсвязи, но они не про код

Вопрос не в том, что отдельный сервер не подняли. Вопрос в том что продовая система шлет мыло через сервер разработчиков. Заявы про то что у НАЗК нет своего сервера более похожи на отмазки от того факта что в на прод поставили систему с девелоперской конфигурацией.

Сертифікація це не зовсім про «найті уязвімасті». Вони там у висновку написали, що в доках не зазначені об’єкти захисту. Про що це говорить? Що студентам-виконавцям потрібно піти довчитись, перш ніж подаватись на сертифікацію.

Оскільки я тут, здається? одна «проникла в супер захищену систему», то не можу відмовити собі в публікації вибраних цитат з емейл листа, виготовленого state of art чогось, згідно з заявою ПРООН, яку я десь вже цитувала. Залюбки поділюся цінним експонатом цілком з ким завгодно.

Delivered-To: <a href="mailto:[email protected]">[email protected]</a> Received: by 10.25.40.195 with SMTP id o186csp1667980lfo; Mon, 15 Aug 2016 15:09:25 -0700 (PDT) X-Received: by 10.25.138.5 with SMTP id m5mr5358799lfd.211.1471298965750; Mon, 15 Aug 2016 15:09:25 -0700 (PDT) Return-Path: <a href="mailto:[email protected]">[email protected]</a> Received: from <a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> (<a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a>. [195.234.215.78]) by <a href="http://mx.google.com" target="_blank">mx.google.com</a> with ESMTPS id l190si8554885lfb.300.2016.08.15.15.09.25 for <a href="mailto:[email protected]">[email protected]</a> (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Mon, 15 Aug 2016 15:09:25 -0700 (PDT) Received-SPF: neutral (<a href="http://google.com" target="_blank">google.com</a>: 195.234.215.78 is neither permitted nor denied by best guess record for domain of <a href="mailto:[email protected]">[email protected]</a>) client-ip=195.234.215.78; Authentication-Results: <a href="http://mx.google.com" target="_blank">mx.google.com</a>; spf=neutral (<a href="http://google.com" target="_blank">google.com</a>: 195.234.215.78 is neither permitted nor denied by best guess record for domain of <a href="mailto:[email protected]">[email protected]</a>) <a href="mailto:[email protected]">[email protected]</a> Received: from <a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> (localhost [127.0.0.1]) by <a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> (Postfix) with ESMTP id 4932CC374A for <a href="mailto:[email protected]">[email protected]</a>; Tue, 16 Aug 2016 01:08:20 +0300 (EEST) X-Virus-Scanned: Debian amavisd-new at <a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> Received: from <a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> ([127.0.0.1]) by <a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> (<a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> [127.0.0.1]) (amavisd-new, port 10026) with ESMTP id 3SKdK_UAJ1Y5 for <a href="mailto:[email protected]">[email protected]</a>; Tue, 16 Aug 2016 01:08:19 +0300 (EEST) Received: from <a href="http://portal.nazk.gov.ua" target="_blank">portal.nazk.gov.ua</a> (unknown [213.156.89.50]) by <a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> (Postfix) with ESMTPSA id CD36FC3747 for <a href="mailto:[email protected]">[email protected]</a>; Tue, 16 Aug 2016 01:08:19 +0300 (EEST) Date: Tue, 16 Aug 2016 01:09:24 +0300 To: <a href="mailto:[email protected]">[email protected]</a> From: <a href="mailto:[email protected]">[email protected]</a> X-Mailer: PHPMailer 5.2.9 (<a href="https://github.com/PHPMailer/PHPMailer/" target="_blank">github.com/PHPMailer/PHPMailer</a>) Шановний ЗУБАР НАТАЛІЯ ВОЛОДИМИРІВНА, Ви авторизувалися в системі Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави або місцевого самоврядування. Увага! Будь ласка, не використовуйте електронну адресу, з якої надійшло це повідомлення, для листування. Для зв'язку з Національним агентством з питань запобігання корупції використовуйте персональний електронний кабінет в системі електронного декларування.

Тут якось коряво воно ставиться, але я думаю тут все ясно.

Я тут виклала весь хедер. Там чудеса, там леший бродит
www.facebook.com/...-miranda/1123537114371264

Ребята все тестили на своем мирандовском smtp. Когда запустили в прод, забыли поменять на продакшн SMTP, зачем кипиш поднимать?

Як такому сертифікат давати можна? З чого ваще весь срач почався?
Забули :) Ребята забули. Я тепере цю фразу тягати буду

Забыли. Ааааа... «А почему нас не хотят сертифицировать?»
Небось все захардкоджено.
Сколько еще «забыто»?

К сожалению не забыли.
Миранду уже обвинили в том, что она не подарила сервера НАЗК для системы. Может и почтовый сервер им настроить/подарить? На момент старта системы почтового сервера не было, возможно сейчас что-то поменялось. Доступа к проду у Миранды нет.

поздно уже.

миранде впору закрываться, потому что не только в украинской айти-тусовке, а теперь и среди чиновников через нее никто в здравом уме не будет осваивать деньги.

жаль что вряд ли узнаем результаты внутреннего расследования в ПР ООН. но там тоже наверняка будут разбираться, как такая славная организация вляпалась в такое гуано, да еще потратив деньги фонда.

«деньги любят тишину» и там. а тут — такая слава!

На момент старта системы почтового сервера не было
Т.е. кто-то ожидал, что систему сертифцируют при отсутствии одного из компонентов системы? ок

да, надеялись на хорошую крышу.
вот, она, крыша — «ПРООН и другие надежные эксперты»:
В ЕС считают, что заявления о том, что неудачная выдача технического сертификата вызвана техническими недочетами, противоречит публичным заявлениям, сделанным ПРООН и другими надежными экспертами.

«Они четко подчеркивают: система полностью соответствует международным стандартам и уже сейчас может быть использована для сбора и публикации деклараций совершенно законным способом. Это — задача, которую теперь должно выполнить НАПК».
nv.ua/...trproduktiven-198276.html

другими надежными экспертами

Найемом, Лещенко, Соболевым-Зиминым, Шабуниным и Надей Савченко :)

не знал.

в этой теме кроме крышевателей в местном отделении ПР ООН звучали еще PricewaterhouseCoopers.

а оказывается ЕС ссылается на эксперта «Надю Савченко»

хотя... помню как всякие PricewaterhouseCoopers набирали местных мальчиков и девочек в бизнес-аналитики.
и эти мальчики и девочки ходили по заводам-фабрикам показывая диаграммы и презентации по реорганизации производсв. по расценкам ессно «PricewaterhouseCoopers »
и обычно почему-то папы-мамы у этих мальчиков и девочек оказывались совсем не простые.
но они очень талантливые были. нередко 2, 3 курс — и уже аналитик, красным директорам рассказывая как надо.

видать в местном отделении ПР ООН тоже «хорошо знающие местную специфику» местные аборигены в экспертах — молодые да дерзкие :)

а может те самые выросшие уже мальчики и девочки?

Это я шучу. Но реально хотелось бы знать, кто эти надёжные эксперты, и что именно они заключили в своём заключении. Не говоря о том, что ПРООН не может рассматриваться как надёжный источник, поскольку ПРООН здесь заангажирована и вынуждена отстаивать правильность своих действий.

да, белый человек продавший бусы за золото — всегда останется белым :(

... как тот фотограф, что попросил за 5 баксов дикую девушку эфиопку попозировать — а когда дело дошло до расчета — зажал эти 5 баксов.
белый цивилизованный человек, ему можно «африканцев» взувать. особенно если нанять других «африканцев» — так он вообще ни при чем. белый и пушистый.

меня все годы «умиляет» эта «искренняя» наивность чиновников ЕС, МФВов — дают деньги на благо, а потом — ой, а вы ими неправильно распоряжаетесь.у вас вообще коррупция! нате вот еще денех. в долг ессно. опять профукали? ну вот еще вам.

эх, «горе побежденным»
чого бидный? бо дурный. а дурный чого? бо бидный.

Я уже раз 10 во всех местах (и здесь тоже) спрашивал — кто эксперты, покажите SOC от PwC.

Зато письма с прода идут через сервера Миранды. А может и не только письма. Чуваки, вам самим еще не страшно? На вас же таких собак счас можно навесить. Просто после поверхностного осмотра пациента. А что будет когда залезут в бекэнд?

Как бы так помягче: дураки обычно ничего не боятся

Ну т.е. на локалхост Sendmail поднять это подвиг меценатсва? Ну тут то не надо людей обманывать, все прекрасно знают что SMTP сервер это не железяка.

Зливайте js з «закритої» частини:) Всім цікаво як там? придумали вже як показувати шо телефон про валідовано чи нє

велкам сюди, ми розважаємося www.facebook.com/nelliza111

Коментар порушує правила спільноти і видалений модераторами.

Хто ще не невеселився? Читайте оце
www.ua.undp.org/...on-system-undp-statement
Based on the successful test results and clarification of all legal safeguards the software package was officially handed over to the NACP on 27 July 2016. UNDP presented the system to the Prime Minister and other Cabinet members and NACP reconfirmed the commitment to launch it on 15 August 2016. As of today, the electronic asset declaration system, a state-of-the-art advanced tool for ensuring integrity in the public service, is ready for launch from the technical point of view.
STATE OF ART
Отут скріншот з того арту CONTACTS MAYBE HERE www.facebook.com/...1453676828&type=3&theater

Представляете какая ситуация, а нету пока у НАЗК контактов. Даже почтового сервера нету.

Судя по появившимся тут представителям Миранды у них тоже постовика нету. Как и SSL сертификата. деццкий сад...

А ну ка просвети, зачем сайту-визитке SSL? Модно?

Что бы понимать что сайт этот именно той фирмы. Кот-я занимается разработкой безопасных систем.

Странно, а чего на сайте фирмы quickblox.com в которой ты работаешь (судя по профилю) нет SSL?
Значит ты не занимаешься разработкой безопасных систем?
Так чего спеца тогда из себя строишь?
Вопросы выше простая логика

Ну начнем с того что вроде как я с Вами свиней не пас, правда?
Во вторых — да, QiuckBlox не занимается разработкой столь конфиденциальных систем. Но SSL версия сайта есть quickblox.com — так что Вы господин соврамши. Что впрочем ожидаемо и объяснимо.
Ну и конечно же моя компания не выигрывает закрытые тендеры ПРООН, так что обсуждать ее не вижу смысла.
Но да, в отличие от Вас и очевидно Ваших коллег я свое место работы и должность идентифицирую. Мне за них не стыдно.
На одном из преведущих мест работы — в компании TOA Technologies (теперь часть Oracle) я занимался в т.ч. и инфобезопасностью и compliance и активно участвовал в сертификации компании по стандартам SSAE16 и ISO27001. Что опять таки легко и просто проверяется по моему профилю в Линкедин.

Охеренные чуваки... В браузере не умеют набрать HTTPS.

Сделать редирект с http на https религия не позволяет?

Лехко. Но зачем? Когда нибудь сделаем — вот как раз некритично. Но смысла обсуждать это не вижу. А вот за хамский переход на личности и тупость вашей компашке уже аграмадный минус.

Но зачем?
Вопрос риторический или вы серьезно интересуетесь?
А вот за хамский переход на личности и тупость вашей компашке уже аграмадный минус.
Ты такой злой потому что ешь мясо

PS К миранде не имею отношения, но если вижу что кто-то в интернете не прав — ткну носом в говно, где бы он не работал, привыкайте.

Так может, прежде чем обвинять, следует поставить себя на чужое место? Для одних не критично сделать редирект, для других — необходимости SSL на сайте-визитке нет.

Вы путаете обязательный редирект и просто наличие сертификата SSL по которому можно идентифицировать владельца сайта. Никто не может с уверенностью сказать что от то что лежит на miranda.net.ua принадлежит именно обсуждаемой компании.

Ха-ха! Наличие сертификата подтверждает лишь то, что хост с IP-адресом «54.83.18.136» соответствует домену «quickblox.com». А владельца подтверждает whois, да и то, только в случае, если информация о владельце не скрыта.

Ничто не запрещает мне зарегистрировать похожее имя, например, quickbloks.com, навесить на него сертификат и переманивать туда клиентов. Никто оригинал от подделки не отличит.

Странно, что глава IT отдела этого не знает.

Садись 2. Я даже не буду это обсуждать. Лучше молчать чем херню писать.

У вас есть последний шанс. В каком месте сертификата название вашей компании? И каким образом КОМОДО, выдавшая этот сертификат, знает, что это действительно ваша компания, а не мошенник?

Вы правы, есть Organization Validation (OV) and Extended Validation (EV) сертификаты. Но у вас не такой. А пояснить свою позицию можно и без истерик.

О! Отвечаю только за вот эту фразу

Вы правы
Нам и не нужен на данной стадии развития нашей компании сертификат с OV/EV. Как и безусловный редирект на HTTPS. Мы не занимаемся грантами ПРООН. И у нас куча информации о нас на сайте. И не только.
На этом предлагаю закончить обсуждение QuickBlox как не имеющее отношение к теме и возникшей просто потому что в отличие от своих оппонентов я не стыжусь своего места работы и указываю его в профиле.

А вот это не прокомментируете?

просто наличие сертификата SSL по которому можно идентифицировать владельца сайта.

Вы ж за это мне 2 поставили?

Нет. За это

Ха-ха! Наличие сертификата подтверждает лишь то, что хост с IP-адресом «54.83.18.136» соответствует домену «quickblox.com». А владельца подтверждает whois, да и то, только в случае, если информация о владельце не скрыта.
и за хамство
Странно, что глава IT отдела этого не знает.

Как Вы же справедливо указали сертификат может содержать информацию о владельце —

Organization Validation (OV) and Extended Validation (EV)
.
Засим дискуссию считаю зарытой и ни сайт QuickBlox, ни семантическое значение утверждения «можно идентифицировать владельца», ни особенности whois и информации кот-ю он выдает в наших условиях не буду.
Sincerely yours и прочее и прочее...

Всегда приятно, когда оба участника дискуссии признают свои ошибки. Сорри за переход на личности.

Спасибо. Приятно удивлен. Респект!
Меня тоже уж тогда за резкость извините.

Как человек который там работал, могу рассказать, то что я знаю. Оговорюсь я сожалею что там работал. Миранда — типичный деребан государственных денег, по ихнему сайту все сразу становиться ясно miranda.net.ua. Они действительно нанимают студентов, основной штат там и есть студенты за зп. от 2000 (на пол ставки) до 6000 грн. в зависимости от того кто сколько попросит. Само-собой зарплата в конвертах и неофициальное трудоустройство, что позволило этим пи7орам кинуть меня на последнюю зп.. Ихними проектами так же являются — tender.me.gov.ua и сайт субсидий. Что у них с качеством кода? Все очень и очень плачевно, вот представьте себе что-бы индусы писали читабельный код, примерно тоже. Тесты, какие тесты их попросту нет, как они проходят сертификации я хз.

как они проходят сертификации я хз.
 вы же сами ответили
Миранда — типичный деребан государственных денег

Оно конечно не очень правильно постить с фейсбука. Но вот свеженькое на тему типичности тендера.

Виталий Манко
Я вважаю — це великий успіх, коли софтверна фірма, про яку гугл не знав нічого, окрім того, що вона:
— програла тендер на оснащення кабінету математики в Мукачевській РДА bit.ly/2bHYylp
— має доісторичний примітивний сайт miranda.net.ua рівня початкової шкільної підготовки;
— директор якої відчуває складність при розробці елементарного інтернет-магазину bit.ly/2bjcGfM
— при цьому заявляє, що на ринку понад 20 років,
..., блискавично перемагає софтверні відомі компанії у тендерах на розробку системи «Реєстр територіальної громади міста Києва», виставивши пропозицію у півтори рази дорожчу за мінімальну, подану від підрядника НАБУ bit.ly/2byL5Jb.

І це ще не все! Ця фірма, яка належить і керується тим самим профі (див. його карколомну історію успіху вище) знову ж виграє тендер на розробку системи електронного декларування для НАЗК! В результаті вся країна стала на межі зриву безвізового режиму при витратах у півтора мільони гривень.

Це ж геніально! лише за місяць про цю сіру компанію дізнається ГУГЛ і всі журналісти! Піар 80-го левела, за який сплачено з державного бюджету, тобто кожним з нас.

А ви, наївні, кажете, що не може бути успіху в країні, проти якої здійснюється ворожа агресія. І ще смієтеся, коли вам кидають в обличчя твердження, що торгівля автозапчастинами не суміщається з криптографічними алгоритмами.

Ще й як суміщається. Ось доказ. Додаю з відкритого державного реєстру КВЕДи цієї спеціалізованої софтверної кампанії.
Код КВЕД 45.31 Оптова торгівля деталями та приладдям для автотранспортних засобів;
Код КВЕД 46.11 Діяльність посередників у торгівлі сільськогосподарською сировиною, живими тваринами, текстильною сировиною та напівфабрикатами;
Код КВЕД 46.51 Оптова торгівля комп’ютерами, периферійним устаткованням і програмним забезпеченням;
Код КВЕД 85.60 Допоміжна діяльність у сфері освіти;
Код КВЕД 46.90 Неспеціалізована оптова торгівля;
Код КВЕД 62.01 Комп’ютерне програмування (основний);
Код КВЕД 62.03 Діяльність із керування комп’ютерним устаткованням;
Код КВЕД 63.11 Оброблення даних, розміщення інформації на веб-вузлах і пов’язана з ними діяльність;
Код КВЕД 66.12 Посередництво за договорами по цінних паперах або товарах;
Код КВЕД 72.19 Дослідження й експериментальні розробки у сфері інших природничих і технічних наук

Це ще не все.
Дата державної реєстрації: 26.03.1993
Дата запису: 16.09.2005
Номер запису: 1 341 120 0000 000142
НОВІКОВ ЮРІЙ ЛЕОНІДОВИЧ — керівник з 28.01.2015
КІНЦЕВИЙ БЕНЕФІЦІАРНИЙ ВЛАСНИК (КОНТРОЛЕР) — НОВІКОВ ЮРІЙ ЛЕОНІДОВИЧ, 01133, М.КИЇВ, БУЛЬВАР ЛЕСІ УКРАЇНКИ, БУДИНОК 16- А, КВАРТИРА 12.
один засновник. один бенефіціар.
виграє тендер на такі ключові роботи

статутний капітал 16500.00 гр

Дата запису: 16.09.2005
Номер запису: 1 341 120 0000 000142
дата внесення до ЄДР запису про реєстраційну дію «Включення відомостей про юридичну особу» , код реєстраційної дії «120» це 5-7 цифри у номері запису.

Северный пушной зверь обретает форму(((

)Сергію, знову деза...
1 У котрий раз: з якого «сплачено з державного бюджету»?
Система була розроблена за кошти ООН та подарована Україні. Де тут державні кошти?
2 Якщо Ви не змогли знайти інформацію про проекти компанії Міранда, то, напевно, це свідчить про те, що погано шукали або, що така інформація відсутня у вільному доступі в Інтернеті, або ще є декілька варіантів...
3 А стосовно КВЕДів, не секрет, що при реєстрації компанії, як правило вказують усі можливі)) То не ноухау.

Де тут державні кошти?
У меня есть устойчивое подозрение, что госсредства там таки были в качестве оплаты НАЗК за создание и аттестацию КСЗИ, хоть и, вероятно, не большие. Это могло бы объяснить также этюд с фальстартом ТОВ “Криптософт”.
Иначе я не совсем понимаю как юридически было оформлено взаимодействие НАЗК, Миранды и Госспецсвязи — неким четырёхсторонним договором совместно с ПРООН ?
Впрочем, я свечей не держал и даже мимо не проходил, так что это моя ничем не подтвержденная спекуляция.

Сплачено не за програмний комплекс а за піар. бо так — всі заяви Президенат, СНБО и т.д. це таки за бюджетний кошт.

ПРООН оплатила створення Системи. І то зовсім не бюджетні кошти.
Щодо заяв Президента та СНБО, не дуже розумію, яким чином на Вашу думку до цього причетний розробник ПО... Тим більше що, наприклад, у заявах СНБО відповідальність за зрив запуску системи покладається саме на розробника.
Тобто Міранда виграла тендер за міжнародні кошти, створила Систему, і це все для того, щоб з бюджета профінансували офіційні заяви посадовців про те що розробники не виконали зобов’язання...?)))

Тобто Міранда виграла тендер за міжнародні кошти, створила Систему
грантоїдство — то такий бізнес.

і вже зрозуміло — що міранді капець, це був її останній успіх.

а ви хоч все слово «система» набирайте великими буквами — не допоможе.

От як раз проблема в тому що треба піднімати сильний шум щоб «мірандам» і «тендерам проон» настав капець

негативний пєар теж пєар, особливо коли «на шару»

Наскільки відомо, Міранду обрав Іван Пресняков, на той момент експерт Центра Протидії Корупції; ви це називаєте «виграла тендер»?

Це називається антикорупція!

У Вас дуже багата уява... А чому не Барак Обама?... або ще хтось...

Ну тобто Прєсняков не є програмним менеджером від ПРООН? Чи він не має відношення до ЦПК? Чи він не Прєсняков?

...Это вот что было? Апельсин оранжевый потому, что он круглый...?

ви ще до оргфографії причепиця :D

головне ви ніяк не спростували, хоча пронумеровали свої дрібні зауваження.

а головне — що ця міранда — шарашкіна контора.

Притяжательное прилагательное “шарашкина” образовалось от диалектного шарань (“шваль, голытьба, жульё”). Выражение “шарашкина контора” или просто “шараша” сначала означало буквально “учреждение, организация жуликов, обманщиков”, а сегодня применяется для обозначения просто несолидной конторы.

«головне — що ті чуваки поганці». ггг
А самі в якій конторі працюєте? У такій поважній, що навіть соромно вказати в профілі?

Головне тут — (не)працююча система запобігання корупції, а не те, що ви тут написали.

Ооооо, Сергей... Вы судя по-всему эксперт в шарашкиных конторах)
Обоснуйте, или так и будете необоснованными и необъяснимыми заявлениями бросаться.
Впрочем, скорее всего таки будете...)))

Перечитайте тему.
А в программировании я года с 93го.

Так что эксперт, не эксперт, но по косвенным признакам, которые ничего не говорят юному и наивному поколению — много чего увидеть.

А тему перечитайте, раз вы не видите

Сергей, в своих комментариях Вы обсуждаете темы, НЕ касающиеся Вашей квалификации (т.е програмирования в котором Вы с 93 года), и то, что Вы пишете, показывает, что Вы, в том, что пишете, ничего не понимаете.. Пишите лучше о «говнокоде», это нынче популярная тема...
С другой стороны, темы, затрагиваемые Вами, касаются напрямую моей профессиональной компетенции, и у меня Ваши комментарии, оглашаемые, как мнение «эксперта» вызывают недоумение и отвращение...
Кстати по поводу «юному и наивному поколению» ))) о ком это Вы?
О читателях Ваших комментариев? И снова, к сожалению, я к «юному и наивному поколению» уже не отношусь

О чем и что писать решал и решаю сам

Основной опыт — финансово- экономическое ПО на местном рынке. Поэтому как живет бизнес, что такое государство Украина, и что из себя представляют Миранды — мне вполне хорошо известно. Можно мемуары писать.

Насчет юного и наивного поколения — так в ИТ у нас сложилось. И часто — никакого опыта в местных реалиях, а сразу на западного клиента. И поэтому просто не знают, как вся эта хрень системно делается у нас.

А обсуждение в этой теме прочитайте. Хотя бы для того чтобы увидеть что в технические детали я и не влезал. И даже писал почему.

Ну, и раз не поняли — вы мне никто, и звать вас никак, чтобы меня интересовали ваши оценки. Что на доу, что вообще в интернете всегда были и будут разные оценки. На всех не угодишь.

Но особенно тупы вот такие посты. Где ничего не из того что писал не рассматривается, а дается сразу оценка личности и компетенции. Телепаты, психотерапевты и прочие переходящие на личности сразу — категория самая никчемная, пустопорожняя, потому что даже потролить не за что :D

Да вот я то как раз и понял во всей мере всю содержательность Ваших постов.
То, что по техчасти — разберутся профильные специалисты, (и я уверен, что они завершат нечатое), а то, что по административке, это ко мне. И мне крайне оскорбительно читать Ваше видение общей ситуации, особенно обвинений в адрес UNDP. Лично я, UNDP

«Лично я, UNDP».... сори, не дописал и дописывать не буду.
А относительно «Миранды», я весьма сомневаюсь, что Вы видели подобную компанию ранее. Очень вряд ли.

А относительно «Миранды», я весьма сомневаюсь, что Вы видели подобную компанию ранее.
Так может вы скинете сюда профили на линкедыне ваших разработчиков или хотя бы свой? А мы прикинем видели такое или нет?

А зачем?)))
Нам и так сейчас стрёмно, т.к. угрозы со всех сторон, а работать надо продолжать...

Люди в погонах и без уже неоднократно анонсировали «проверку» мкомпании...

Рискну предположить, что также заявлялись решалы с предложением все разрулить.

Могу лишь искренне пожелать отбиться без потерь. Тем более, что ваши шансы конкретно возросли после невероятного зашквара УСС.
И сделайте верные выводы на будущее.

Пускай проверяют, нам то что... но информацию о наших сотрудниках мы будем сообщать только с их согласия.

А я вот думаю, что у вас из сотрудников десяток студентов на летней практике, которые работают за пару тысяч гривен, как тут уже писали.

А относительно «Миранды», я весьма сомневаюсь,
По плодам их узна́ете их

ок, поясню юным, сразу начавших свою карьеру с компаний работающих на западного заказчика.

на украинском рынке разработчиков ПО давно сложилось разделение компаний на те что работают в гос секторе, и на те что в коммерческом.

компаний которые сопоставимо успешны и там и там — сходу и не назову, хотя наверняка есть и такие.

по оформлению сайта миранды, даже не читая что там написано — видно что это фирма из тех что работают на гос рынке. потому что — не нуждается в рекламе. иногда у них вообще нет сайтов, знаю и такие.

правило — «реклама двигатель торговли» для коммерческого рынка. на гос рынке — главное «связи».

я не был в тендерной комиссии, и даже шапочно не знаком с теми кто там был, поэтому у меня не может быть никаких других, кроме косвенных признаков.

а они, в совокупности, и на основании моего опыта в украинском айти ничуть не удивляют.

потому что
«это Украина, детка»

И мне крайне оскорбительно читать Ваше видение общей ситуации
это ваши проблемы, а не мои.

вчера встретил статью где «сведены» мой ход рассуждений и вопросы:

В тендере приняли участие гранды отечественной ИТ-сферы. Упомяну лишь нескольких: «Люкс-софт», «Iqusion», «Интеллект-софт», «IT-эксперт». У всех за плечами успешная разработка сложного защищенного ПО, в том числе, с применением цифровой подписи, в том числе, и для фискальной службы Украины. И, соответственно, бесценный опыт общения с нашими госструктурами, где, как на фронте, месяц можно считать за год.
...
А выиграла на тот момент малоизвестная, а ныне ославившаяся фирма «Миранда». Причем, организаторов конкурса почему-то не смутило, что в ее багаже не было столь масштабных проектов (в Украине, между прочим, 380 тысяч госслужащих).

Характерная деталь: в фирме числилось всего восемь сотрудников, средняя зарплата — менее двух тысяч гривен. Такое может быть, если работники — начинающие дилетанты. Либо, что вероятнее, реальные заплаты выдаются «в конверте».

То есть, программное обеспечение для преодоления коррупции доверили начинающей конторе, которая платит зарплаты по-серому. Типично украинский парадокс!
...
... те, кто блуждал по этим кругам бюрократического ада, знают, что по нормативам сертификация может длиться полгода. Если дорожки уже протоптаны, то вряд ли меньше трех месяцев.
...
Но главное, что разработчики решили (или их убедили?), что с ООН за спиной они теперь круче Стива Джобса и Билла Гейтса на одной флешке. И все кругом им должны.
...
Все говорит о том, что в расчете на западное давление создатели системы решили, что Госспецсвязь в восторге зажмурится и выдаст сертификат соответствия, даже не читая предоставленных бумаг.
...
Месяцев, а не дней, господа руководители «Миранды» и Нацагенства по противодействию коррупции!
...
Все говорит о том, что в расчете на западное давление создатели системы решили, что Госспецсвязь в восторге зажмурится и выдаст сертификат соответствия, даже не читая предоставленных бумаг.
...
Интересно, каким местом думали злосчастная «Миранда» и ее покровители, авантюрно ввязываясь в непосильную тему? А если какой-нибудь международный фонд объявит тендер на марсианскую станцию, они и за это возьмутся?

Ни разу не оправдываю власть, которая с самого начала имитирует борьбу с коррупцией, очищение и обновление страны.

Электронное декларирование: скандал в неблагородном семействе

эти же вопросы и рассуждения я и написал
и не увидел ответов «мирандистов».

топить простые и главне вопросы в технических, несущественных деталях, и я умею.

Лично я, UNDP
ну тогда вы быстро могли бы пояснить как шарашкина контора под названием Миранда выиграла тендер у именитых.

но вы, как вижу предпочитаете перейти на личности, и рассказывать какие все невежды. глюпые, и ничего не понимающее в украинском пригосударственном бизнесе.
да, действенный способ, все у вас получится!

еще бы, прокрышевали, а теперь признаваться в этом? причем — если искренне прокрышевали — то получается некомпетенты ни в украинской действительности, ни в айти-сфере
еще и уважения лично себе много приобретете на этом пути! :D

особенно обвинений в адрес UNDP.
уже писал, но так и быть, повторю

если результаты тендера — типичны для украинских тендеров, то неважно какая организация его проводила.

UNDP конечно отмажется. уже писал.

но, если некая птица крякает как утка, плавает как утка, и ходит как утка — то я такую птицу называю — уткой.

вот такое мое видение общей ситуации. вам не нравится что я ее так вижу?
ну так не читайте больше моих постов, делов то :)

Хвиля — клоака. Почитайте процедуру ООН. Побеждает тот, у кого начальное предложение минимально.

Хвиля — клоака
на каком вы сами то читаете аналитику?

мне и правда интересно, видя ваши посты в этой теме — откуда у вас столь глубокие познания о политико-социально-экономической ситуации в Украине последних, скоро уж, 25 лет.

Почитайте процедуру ООН.
я не планирую становится сотрудником ООН.
мне важнее — результат, а не что там написано.
Побеждает тот, у кого начальное предложение минимально.
в смысле?

Дешева рибка — погана юшка?

ну тогда да, вопрос — почему выбрана Миранда, а не именитые снимается.
и с результатом все тоже тогда закономерно.

на каком вы сами то читаете аналитику?

Я черпаю факты, а не аналитику, из разнообразных источников. Но вот конкретно «Хвыля» не раз была замечена в откровенной дезинформации.

Конкретно эта статья приводит список подававшихся на тендер, но не приводит источник этой информации. Возможно, автор самостоятельно делал запрос? Так пусть опубликует.

я не планирую становится сотрудником ООН.мне важнее — результат, а не что там написано.

Вы ведь спрашивали как «Миранда» выиграла тендер? Ответ находится именно в условиях тендерной процедуры ПРООН. И нигде более. Именно условия определяют победителя любого тендера.

Если вкратце: 1. Участники подают доказательства своей компетентности (предыдущий опыт, сертификация и т.п.) плюс финансовое предложение (в «закрытом конверте»). 2. ПРООН рассматривает заявки, отфильтровывает те, что не доказали свою компетентность. 3. Оставшиеся участники раскрывают финансовое предложение. 4. Победителем объявляется тот, чье предложение дешевле.

Понятно про черпание фактов.
Ожидаемое мнение. Это как обычно — чем меньше человек знает и понимает, тем больше он уверен что черпает голые факты.

Из которого естественно вытекает и остальная наивность.
Например светлая вера что юридические законы, инструкции и физические законы имеют одну природу, и действие их независимо от желаний, целей людей.

А такой нюанс, как время?

Вот Вам уже не првый раз пишут — сначала разберитесь, а потом пишите.
Страница 37 RFP
Загальна оцінка проводитиметься за методом кумулятивного аналізу, згідно з яким частки технічних і фінансових аспектів у загальній оцінці складатимуть 70% і 30% відповідно.
Найдешевша фінансова пропозиція (з поміж заявок, які набрали прохідний технічний бал) буде обрана в якості відправної
точки і їй буде присуджено максимальну кількість балів за фінансову частину (тобто 300).
Всі інші фінансові пропозиції отримають кількість балів, яка є зворотно пропорційною заявленій ціні; наприклад, 300 балів x найнижчу ціну / ціну, заявлену в пропозиції.
Переможе пропозиція, яка набрала найвищий загальний бал, що визначається за допомогою складання балів, отриманих в результаті технічної і фінансової оцінок відповідно.
procurement-notices.undp.org/...iew_file.cfm?doc_id=65269

Ви і цього не знаєте, неук нещасний. так називалися «наукові заклади» в ГУЛАГе. Мій дід банерівець відтарабанив в такому 9 років до 1953. Діти шарикових

I не тiльки iх, дiвчинко
Щодо неук, так. Зазирнув у гугл, та скопiпастив тлумачення з словника

а ще не зовсім помаранчовий, тому що овальний....

.......Апельсин помаранчовий, тому, що він круглий....

Для різноманітності напишу серйозну відповідь. Один раз. В шарашках ув’язнені вчені типу робили науку. В умовах, які тільки трохи відрізнялися від суворого режиму. Ну бо розумілі навіть кати, що для науки харчуватися треба не баландой.
І тут якісь уроди найняли дітей, очевидно студентів, дати щочь більше за баланду, зовсім трохи грошей і змусили писати хрень.
Коли буде суд, я подбаю, щоб дітей не судили. Ясно?

гобліни узяли елфів шоб творити безчинства та якусь там ще магію)))

Ні дітей елфів не будуть судити... заспокойтеся. А от дітей гоблінів....?

Допиливать будут за чьи кошты?)

Так не допиливали бы... Всё уже и так разработано. А если кому то хочется получить доступ к системе и допилить по-своему (или отстранить разработчика, чтобы потом при отсутствии аргументов завалить весь проект), так это не к нам вопросы...

Все говорите... А интеграция с другими реестрами?

Модуль разработан, а интегрироваться можно только после получения аттестата.

Ага. ну т.е. там еще повылазит.
Но информация интересная... Т.е. план таки был криво составлен и аттестацию ужно было проводить давным давно.
А я еще думал — кто ж вас без сертификации пустит соединятся с закрытыми системами. А таки, фигу вам умные люди скрутили, респект :).

Сергей, почитайте нормативку или, по крайней мере, соцсети... там уже давно это всё доступно описано и ,кстати, «умными» людьми не опровергнуто.
А этот Ваш комментарий, вообще, на голову не налазит, каждое заявление показывает, что Вы либо в вопросе не разбирались, либо просто троллите.

Ребятки, вы еще тут? Вас уже ломанули а вы еще трепыхаетесь?
Оооххх

Кого ломанули)))) Систему декларирования нет.
Уже и прокомментировали...)

Вы не совсем аргументированно отвечаете :). НЕ допиливать по соображениям безопасности нельзя. Госспецсвязь взялась делать, и ей это будет стоить денег. На ваш коммент могу сказать — так делали бы нормально сразу, не надо было бы допиливать

) Я достаточно аргументированно отвечаю, по крайней мере не менее аргументированно чем Вы...))
А теперь более аргументированно: у ДССЗЗИ замечаний к коду системы нет. Так и что допиливать они собираются?...

if (result.status) {
//todo показати, що телефон збережено
} else {

ЭТО и есть

Всё уже и так разработано

И шо?
Опять популизм.
Ну забыл человек комент удалить... и на что это повлияло? Ни на что и никак...
А, ну конечно! Теперь это можно постить в интернете... Собственно и всё.

Ок удалим комент за человека

if (result.status) {
} else {

Емм проблемка что получается что хендлер успешного завершения пустой? В 100% готовой системе чо чесна? Я думал что во всех UI там галочка зелёная загорается ну или ещё как то сообщается что всё ок...

Ну забыл человек комент удалить... и на что это повлияло? Ни на что и никак...
Это ни на что не повлияло, это просто говорит о том, что код фронтенда никто не проверил анализатором, которые на ура находит подобные ошибки.

А на бекенде что? PHP-говняшка? Выложите на гитхаб ради прикола...

И через код фронтэнда ее и взломали.

Серёжа, )))) у твоих коллег не получилось)))) Изымай выводы...

А вы проверяете свой код таким анализатором?

Когда начну разрабатывать государственный портал, на основании данных которого будут сажать людей, обязательно всем здесь сообщу, каким анализатором я свой код проверяю.

Я відповім. З вас 50 баксів за відповідь

Анонс наступної серії цього захоплюючого шоу
www.eurointegration.com.ua/news/2016/08/17/7053509

Держспецзв’язку належить усунути недоліки, допущені компанією-розробником програмного забезпечення
Нічосі

Интересно — будут ли искать еще одну шарашкину контору...
Похоже що сильраду все же разбудили?

Порошенко всё-таки типичный селекторный президент, голова колгоспу, хотя мог бы взглянуть на штатное расписание ДСС и обнаружить, что программеров там нет. Они есть только в лабораториях, которые прошли аккредитацию у ДСС, но это коммерческие структуры.

Ну с другой стороны Президент не будет менеджить все это.
CIO нужен.

У нас уже есть «chief information security officer» — Евдоченко. Смотрите, как это помогло.

Он рекрутер или кадровик? Дикое у вас представление об обязанностях президента... у голови сільради більше

Дикое у вас представление об обязанностях президента
Ну да, ему надо лицом торговать, а то денег нидадуд.

Любой приличный управленец имеет штат помошников и мозг. Штат помощников должен быть рассказать, что так делать нельзя, мозг мог бы поинтересоваться об этом заранее спросив окружающих помощников может ли ДСС решить эту задачу самостоятельно, не привлекая третьи стороны, т.к. вопрос вполне касается гостайны.

Минимальная обязанность президента не пороть лажу публично, пытаясь разрулить проблемы совковыми директивными методами.

Он уже около года назад знатно облажался с таким же поручительством на таможне. Там вообще проблема директивным путём не решается, нужно менять законодательство. Как и в данном случае тоже.

У ребят из ДСС ещё пяток лет назад было валом предложений по реорганизации работы и прочее, но кто их слушает в обычной обстановке. Ну может хоть сейчас на них обратят внимание и их проблемы. Лет 10 назад там вообще был массовый исход людей в коммерческие структуры...

Вернулся я в этот трид потешить свое тщеславие подсчетом лайков под настеленными мной простыням, и что же я вижу — о ужас — вновь Правда В Интернете апасности и кто как не я встанет на её защиту.

Сей псто посвящается адептам теории саботажа Госспецсвязью внедрения антикоррупционного реестра и Кассиопее — моей черной и глупой кошке.

В комментах неоднократно по делу и всуе было упомянуты CSRF, SSL и другие модные и не очень аббревиатуры, успешно защищающие сайты, сайтики и сайтищи по всему миру и точно, наверное, может быть, наверняка внедренные разработчиком Реестра дабы обезопасить творение рук своих от взлома с проникновением и без оного. У новорожденного Реестра есть вот это вот все на днях ещё и многократно усиленное шифровальной машиной, внезапно купленной НАЗК. И ренегатам из Госспецсвязи всего-то оставалось проверить, открывается ли сайт через https:// в IE какой там у них, старичков-дурачков, есть версии, дампануть заголовки на предмет левых хидеров, пейлоады на иньекции, покрутить педали Энигмы и, вуаля — победа, бежим ламинировать Атестат! Но подлые саботажники из Госспецсвязи отказались идти в типографию наотрез и даже навала всех сортов говна в СМИ, сам Президент, Премьер и укоризненно качающий головою Пастор им не помеха.

И вправду, ведь все перечисленные и не очень технологии, приемы и алгоритмы спасут реестр от того, чтобы его поломали любым из следующих перечисленных и ещё 1001 неперечисленных методов, доступных любому мотивированному обывателю:
— снять ключи/явки/пароли с вышедшего из строя диска, выброшенного на помойку
— спиздить в метро рюкзак с ноутбуком админа ради пароля на офисный вайфай или брутфорснуть его, заглянув невзначай в офис «чиста посмортеть»
— развести секретаршу вставить в комп начальника флешку, для смищной 1апрельской шутки, которая установит ему на десктоп фотку Черного властелина, ну и прицепит кейлоггер заодно
— подружиться и свозить админа на шашлыки, а вместо этого устроить ему шантаж, угрозы и сеанс терморектальной криптографии

С выходом на сцену иностранных разведок и отделов по безопасности крупных ФПГ спектр доступных приемов внезапно расширяется в разы, и уже всяческие MITM, −1day эксплоиты, чтение нажатий педалей с эфира и прочие штучки из импортных боевиков вдруг совершенно теряют свой волшебный кинематографический флёр проникая в реальность. Не говоря уж о рутинной для северян пенетрации заборов, понастроенных интелектуалами с учетками на mail.ru, rambler, вкантактике и одноглазиках.

Та самая КСЗИ, что притащили на чудесный гибрид экспертизы с атестацией в Госспецсвязь 8 апреля, должна была включать в себя не только упоминание всяких разных там аббревиатур, а подтверждение грамотного их применения/реализации, меры противодействия вот этому вот всему упомянутому мной и нет в комплексе (кроме, пожалуй, защиты педалей) и много чего ещё, включая защиту от стихийных бедствий в виде отпусков ключевых специалистов, проебанных бэкапов, плохих дорог и дураков. То, что подразумевает под Защитой Информации некоторая, надеюсь не слишком многочисленная, часть уважаемой аудитории, есть всего лишь ЗИ, и до КСЗИ ей категорически нехватает К — комплексности и С — Системности.

Позволю себе ещё раз процитировать себя и учебник:
КСЗИ это комплекс организационных и технических мероприятий, обеспечивающий реализацию определенной технологии обработки информации (впрочем, кажыся, там ещё было чё-то про целостный и непрерывную, ну да и фик с ним, зачем же нам усложнять такие простые вещи).

Экспертиза КСЗИ это сложный, многоэтапный, рутинный процесс, а не ветхозаветная формальность. И атестацию проводит комиссия экспертов, а не подмахивает глава Службы или его зам, потому что эксперты они в различных узкопрофильных областях, а не только для количества чтоб размазать ответственность на всех.

Те, кто в условиях тотальной огласки скандала топят, что мол, давайте — подмахните же скорее этот ебучий атестат, а потом разберемся — чутка забывают, что в отличие от госслужащих НАСК или гражданских ПРООН и Миранды, чуваки из Госспецсвязи есть служащие военизированной организации, и чуть что ими займется не ласковый и самый справедливый на печерске Печерский же суд, а военные прокуратура и трибунал.

И не забывайте в конце концов — вы вините электриков за отказ включить рубильник метафорического завода из поста нижее, тогда как исходная проблема старательно взращивалась шабашниками, прорабом и сильрадой.

Дико, люто поддерживаю! При чем на самом деле история очень похожа (за сиключением уголовных последствий) с тем с чем сталкивался любой операционщий — жа хер с ним, ставь, потом протестируем. Хрен.

Не можу не влізти. В останньому фільмі про Джейсона Борна є прекрасна сцена, коли чувак засовує в комп флешку з жирним написом ENCRYPTED. Я в залі ржала одна.
В мене таке враження, що ми тут дивимося це кіно.

Еще один момент против насильной сертификации «сейчас, немедленно и без вопросов». Как известно в системе нет еще 2-х модулей кот-е включаются в себя интерфесы открытые «в мир». Таким образом как я понимаю (и как бы я сделал елси бы отвечал за работу этой системы) после добавления этих модулей сертификацию и аудит безопасности нужно будет делать по новой т.к. изменится существенная часть системы.

Не надо тут рассказывать ужастики. Есть установленная процедура сертификации, есть формализованные требования к безопасности. И Вы уверены, что о безопасности админа должен думать разработчик софта?
И я с вами согласен насчет важности системности и комплексного подхода. Но бить тревогу нужно было когда согласовывались сроки экспертизы. А не выдумывать отписки, с серьезными последствиями.

Ээээ... А загляните хотя бы в ISO 27001. Стандарты безопасности они даже больше о процессах и управлении рисками чем об уязвимостях и тестировании.

Не ходите в ISO 27001
Сходите в методичку по разработке моделей угроз и нарушителя.
И это, на объектах с грамотно построенной КСЗИ админов не похищают, так как
1. Физический доступ к телу быстро ничего полезного не даст
1. Это не пройдет незамеченным

Но background check при найме делают.
Я собственна не про противодействие терморектальному криптоанализу а про то, что молодые люди глубоко ошибаются если думают что инфобезщопасность это только про уязвимости.

Ни в коей мере не имел в виду, что ваша отсылка к ISO невалидна.
Просто в этом треде и так уже наплодилось новых сущностей, чтоб уводить его ещё дальше от непосредственного предмета обсуждения.

Мы сейчас говорим о разных вещах. Хотя это моя вина, я не ясно выразился.
1. Для разработчика софта это не профильные задачи. У нас для этого есть СБ, которые прописывают мероприятия, планы, политику и т.д. Так же как и строительную часть выполняют субподрядчики. Или Вы считаете, что программист должен описывать контрольно пропускную систему? Абсолютно логично, что на этом ресурсе люди будут в первую очередь обсуждать как раз уязвимости, масштабируемость и т.д. а не работу «детективной группы» режимного объекта. Но безусловно в рабочем проекте КСЗИ все это должно присутствовать.
2. В контексте ветки. На данный момент нет информации, что указанные части проекта не были выполнены или выполнены не качественно. Результаты экспертизы откровенная мягко говоря слабоваты. Хотя если учесть, что у них было менее 4 дней то и не удивительно. Но они обещали, они сделали. Остальное: международные скандалы, МВФ, престиж, и т.д. проблемы индейцев, а у нас обед. Типичное поведение гос регулятора.
И, кстати, Вы можете сказать сколько экспертов село в тюрьму именно из-за профдеятельности? Или у нас идеальные КСЗИ? За систему ЗНО кто-то сел? Или там тоже все идеально?

По условиям тендера КСЗИ разрабатывает исполнитель. И что бы опять таки было понятно — процессы разработки, тестирования, Change Management и прочие красивые слова из ITIL это тоже часть КСЗИ и их тоже сертифицируют. Это раз.
Два, архитектура ситемы, пректные решения тоже должны соответсвовать требованиям построения КСЗИ. Т.е.(кстати!) создание систем работающих с чуствительными данными этот и сеть тот самый DevOps, а не угрюмый чел строящий CI/CD в углу..
Ну и последнее — как тут уже объясняли неоднократно сертификация это не бумажка. Сертификат это делегирования ответсвенности за то что все хорошо на уполномоченное лицо. Очевидно что лиц желающих сесть из-за того что Миранда сваяла гавняшку и пытается под политических шумок ее втюхать просто нет.

Да разрабатывает исполнитель. Своими силами или отдает на субподряд.
Да КСЗИ это не только код. Да DevOps тоже может быть частью КСЗИ, а может и не быть. Верно?
Да сертификат в теории это делегирование ответственности. В наших реалиях возможны варианты. В том числе коррупционные. Согласны?
Я не сторонник Миранды. Даже более мне кажется странным, что фирма такого уровня выиграла тендер.
Но скажите на основании чего Вы считаете, что «Миранда сваяла гавняшку»?

Да вон в этой ветке уже валом. И смешного, и «забыли поменять».

Вот тут полностью согласен. Качество кода во вьюхах, бросает тень вообще на весь проект.
Но почему это делают не равнодушные граждане, а не эксперты?

А какие там были эксперты? Судя по всем Госспецсвязь так и написала — говняшка. а нам втюхивают что по политическим причинам отказали.

Зачем гадать? Что ГосСпецСвязь написала есть в этой теме даже.

Где? Я что-то пропустил? Я серьезно, не ерничаю.
Потому как пишут что их отчет ДСП и так по закону.

Протокол заседания.
http://195.78.68.84/dstszi/control/uk/publish/article?showHidden=1&art_id=260132&cat_id=240232&ctime=1471365197544

Супер! Спасибо!
BankID (о кот-м они орут на каждом углу) получается фигня. Они не описали архитектуру системы и какие компоненты что хранят, механизм идентификации, нет поддрежки IDP кот-я была прописана как обязательная в RFP ПРООН.
Фиг бы кто их сертифицировал где угодно.

Не есть ответ Миранды.
В котором указывают страницы ПЗ где все это описано. Без ПЗ на руках кто прав в этом вопросе точно не скажешь.

коментарі ТОВ «Міранда» на зауваження, які містить проект Протоколу № 1\2016:
Пункт 1 проекту Протоколу: один з описаних у технічному проекті, та реалізований у Системі засіб авторизації, а саме — BankID, на сьогодні не має підтвердження відповідності вимогам ідентифікації та автентифікації в сфері ТЗI. Також представниками ТОВ «Міранда» не надано підтверджуючих документів щодо впровадження відповідної системи НБУ. Крім того невиконано відповідний опис системи у технічному проекті на КСЗI, що не дає можливість провести відповідну перевірку під час проведення експертизи.
Коментар ТОВ «Міранда»:
ТОВ «Міранда» нагадує, що спосіб авторизації BankID був прописаний в Технічному завданні на КСЗІ ІТС «Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави і місцевого самоврядування», яке було погоджене ДССЗЗІ ще 03.08.2016.
Внесення змін у Технічне завдання, затверджене Національним агентством з запобігання корупції та погоджене ДССЗЗІ, має бути ініційоване власником системи — Національним агентством з запобігання корупції, оскільки авторизацію через BankID було затверджено Порядком формування, ведення та оприлюднення (надання) інформації Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави або місцевого самоврядування, який був затверджений Рішенням Національного агентства з питань запобігання корупції від 10.06.2016 № 3, і зареєстрований в Міністерстві юстиції України від 15 липня 2016 р. за № 959/29089.
Пункт 2 проекту Протоколу: не підтверджено майнові права на всі компоненти системи, де обробляються персональні дані, власником або розпорядником системи, який подавав заяву на проведення експертизи КСЗI, що унеможливлює підтвердження конфіденційності інформації та послуги доступності.
Коментар ТОВ «Міранда»:
Питання майнових прав на матеріально-технічне забезпечення системи виходить за межі повноважень ТОВ «Міранда», яка є розробником виключно програмного забезпечення системи.
Згідно з трьохстороннім Актом приймання-передачі № 1 від 27.07.2016 власником програмного забезпечення, розробником якого є ТОВ «Міранда», є Національне агентство з запобігання корупції.
Пункт 3 проекту Протоколу: технічний проект на КСЗI містить недоліки, а саме:
3.1 відсутнє визначення об’єктів, що містять конфіденційну інформацію, та суб’єктів захисту, що отримують до неї доступ. Відповідно, невизначено механізми доступу суб’єктів до об’єктів захисту.
Коментар ТОВ «Міранда»:
Визначення об’єктів, що містять конфіденційну інформацію, приведено у п.2.3 пояснювальної записки до технічного проекту (стор.26-28)
Визначення суб’єктів захисту, що отримують до конфіденційної інформації наведено у п.2.4 пояснювальної записки до технічного проекту (стор.33-37)
3.2 не визначено порядок ідентифікації «незареєстрованого користувача» комплексом захисту інформації;
Коментар ТОВ «Міранда»:
Оскільки «незареєстрований користувач» має чітко обмежений доступ тільки до публічної частини веб-порталу ІТС ЄДРДО на етапі технічного проекту будо прийнято рішення про відсутність потреби в ідентифікації «незареєстрованих користувачів»
3.3. не визначена схема та механізм ідентифікації користувачів;
Коментар ТОВ «Міранда»:
Визначено у п.3.1.1 пояснювальної записки (стор.15-16).
3.4. у документації має бути визначений склад КЗЗ та відповідність цієї інформації технічному завданню;
Коментар ТОВ «Міранда»:
Це технічна описка: у пунктах 2.2.1 та 2.2.2 замість слів «Склад компонентів КСЗІ ІТС ЄДРДО» слід читати «Склад КЗЗ ІТС ЄДРДО».
3.5. для кожної з функціональних послуг безпеки, яка описана
в технічному проекті не визначено суб’єкти, що реалізують цю послугу
та об’єкти захисту;
Коментар ТОВ «Міранда»:
Суб’єкти, які реалізують функціональні послуги безпеки, та об’єкти захисту визначені для всіх функціональних послуг у розділі 3.5 (стор.55-66)
3.6. технічний проект не містить опису механізмів (компонентів програмно-апаратних засобів), що забезпечують реалізацію функціональних послуг безпеки;
Коментар ТОВ «Міранда»:
Опис механізмів, які забезпечують реалізацію функціональних послуг безпеки, визначено у додатку № 1 до пояснювальної записки «Налаштування компонентів ІТС» (стор.71-576).
3.7. тільки 4 з 26 програмних засобів, які реалізують функції безпеки, мають відповідні експертні висновки;
Коментар ТОВ «Міранда»:
Згідно п.21 Постанови КМУ № 373 від 29.03.2006 (зі змінами): «У разі використання засобів захисту інформації, які не мають підтвердження відповідності на момент проектування системи захисту, відповідне оцінювання проводиться під час державної експертизи системи захисту». Отже, експертне оцінювання зазначених програмних засобів, знаходиться у компетенції ДССЗЗІ.
3.8 програмний продукт не містить засобів інтеграції з зовнішніми IТС, у той час як цей функціонал заявлений у технічному завданні.
Коментар ТОВ «Міранда»:
Після затвердження Технічного завдання на побудову КСЗІ Національне агентство з запобігання корупції не забезпечило організацію інформаційної взаємодії з жодним з зовнішніх IТС, що унеможливлює включення засобів інтеграції до складу КСЗІ.
Зважаючи на вищевикладені коментарі, ТОВ «Міранда» звертає увагу на відсутність зауважень до програмного забезпечення та інформаційно-телекомунікаційної системи Єдиного державного реєстру декларацій в цілому.

По IDP бред сивой кобылы —

не забезпечило організацію інформаційної взаємодії з жодним з зовнішніх IТС
Пересылка писем через девелоперский сервак, ссылки на siteheart внутри кода, все что УЖЕ нарыли говорит о том, что ДССЗЗІ правы.

Речь шла о интеграции с минюстовским реестром и фискалами по ТЗ. Где возникли бюрократические сложности.
Вот такое письмо Миранда предоставила
www.facebook.com/...1066464109&type=3&theater

Стоп. И при чем тут реестры к IDP? И не поздновато ли они кинулись?

если Вы о пункте 3,8 то речь там идет о интеграции с реестрами.

Я об стрfнице 24 RFP
Повинна бути забезпечена можливість використання зовнішніх стандартних бібліотек для обробки ЕЦП та/або альтернативних інструментів автентифікації. Має бути також передбачена можливість використання зовнішньої служби автентифікації за умови її сертифікації та відповідності
викладеним вище вимогам.
Но все равно — письмо датировано серединой июля хотя проект должен был завершится 30 июня (стр. 13).

В контексте замечаний и странице 24. Речь идет о БанкИД. Замечание по п.1
Процитированный Вами пункт 3.8

не забезпечило організацію інформаційної взаємодії з жодним з зовнішніх IТС
Это о «Інтеграція із зовнішніми реєстрами»
стр 29

ОК. Повторюсь — система должна была быть сдана еще 30 июня. Письмо запрос датировано 4 июля. Студенческая отмазка...
Ну и еще один аспект (я уже понял что для Вас это все бисер, тут уже и явно группа видна товарищей в полосатых купальниках но другие почитают). К какому enmvironment хотели подключать свой dev environment? Если к проду то понятно что никто не пустит — из двух случаев аналогичного соединения тестовой ситемы с продом были серьезные проблемы. ОК, даже если допустимо к проду — системы к кот-м нужно подключаться являются закрытыми? Как тогда оценивать риски от такого подключения опять таки не законченной и не сертифицированной системы?

Эм)) Интересно чем я заслужил намеки на «свинство».
Я ведь вам даже не оппонировал. Максимум исправлял если были фактологические ошибки и то даже без собственных оценок.

ОК, тогда лично Вам — извините. Злой просто... Тут вон еще наезды на меня были. Так что мож под раздачу невинно попали. Сорри.

1. Для разработчика софта это не профильные задачи. У нас для этого есть СБ, которые прописывают мероприятия, планы, политику и т.д. Так же как и строительную часть выполняют субподрядчики. Или Вы считаете, что программист должен описывать контрольно пропускную систему?
Вы почти правы, построение системы безопасности совместное дело СЗИ, сторонних экспертов и программистов, а не самоцель и уж, конечно, не профильная сфера компетенции последних.
Абсолютно логично, что на этом ресурсе люди будут в первую очередь обсуждать как раз уязвимости, масштабируемость и т.д. а не работу «детективной группы» режимного объекта. Но безусловно в рабочем проекте КСЗИ все это должно присутствовать.
Псто имени Кассиопеи — следствие создавшегося у меня впечатления (вполне допускаю, что ложного), что для части комментаторов, и значит и изрядного массива возбужденных драмой зрителей — это абсолютно неочевидно.
2. В контексте ветки. На данный момент нет информации, что указанные части проекта не были выполнены или выполнены не качественно. Результаты экспертизы откровенная мягко говоря слабоваты.
Уточните, пожалуйста, мы сейчас о каких частях проекта говорим — ПО задач 1, 2 и 3 Реестра или КСЗИ ?
Если КСЗИ, то с моей субъективной точки зрения в создавшейся со 2 августа реальности пытаться саботировать своевременный запуск проекта для любого руководителя или эксперта из Госспецсвязи стало чрезвычайно опасно. То, что они до сих пор не посыпались и стоят стройными рядами с каменными лицами на своем и никто не включился в борьбу вентиляторов даже анонимно — опосредованное свидетельство уверенности людей, закаленных в многолетних аппаратных боях за лаштунками, в невероятной крепости своей позиции.
Хотя если учесть, что у них было менее 4 дней то и не удивительно. Но они обещали, они сделали. Остальное: международные скандалы, МВФ, престиж, и т.д. проблемы индейцев, а у нас обед. Типичное поведение гос регулятора.
Вся интрига в том, что, как я на 99.(9)% уверен, ГЦ Киберзащиты и Госспецсвязь при всем их желании физически не смогли бы за отпущенных им 4 дня жизни накропать что-либо даже отдаленно похожее на экспертизу. И если бы это было плодами их творчества — «топили» бы их не смищьными отсылками на додатки, в содержании которых — сюрприз-сюрприз — Миранда разбирается лучше, чем эксперт который их, типо, написал. Наконец, отсутствие упоминаний о ГЦ Киберзащиты в обвинительном контексте (везде акцент на том что это всего-лишь аватар Госспецсвязи) косвенно подтверждает, что 12 августа была дана оценка отнюдь не их творчеству, а тому, что было напилено ранее ТОВ «Криптософт». Если принять это мое смелое предположение на веру, то схема с участием последнего весьма мутная и самурайский бросок ГЦ Киберзащиты под набирающий пары поезд на самом деле мог быть вовсе и не покушением на давным давно распиленное, а отчаянной попыткой Госспецсвязи исправить, как мы уже знаем, непоправимое. И последовавший в итоге отказ в атестации был констатацией того, что налепленное карго-КСЗИ таковым казалось только издали.
И, кстати, Вы можете сказать сколько экспертов село в тюрьму именно из-за профдеятельности? Или у нас идеальные КСЗИ? За систему ЗНО кто-то сел? Или там тоже все идеально?
К счастью, не обладаю подобной информацией, многия знания — многия печали. Хотя это одна из побудительных причин, почему мне вдруг захотелось увидеть — что там под начинающим таять снегом.

Спасибо Ваши комментарии очень информативны.

«топили» бы их не смищьными отсылками на додатки
Вот это лично меня и смутило. Я правда сделал другие выводы из этого. Но Ваша точка зрения особенно в контексте последующих действий «первых лиц» более правдоподобна.

Ну давайте не путать праведное с грешным. Если клиентский комп чиновника по самое не-балуйся в вирусах с порно сайтов, и его личный акаунт ломанули, ключ свистнули — то это его проблема. А задача сервера — это обеспечить чтобы в таком случае не ломанули сам сервер, не ломанули остальные аккаунты, и похищенная с клиента информация а) не была критичной б) была восстановимой-верифицируемой на сервере ну и так далее.

Правильно ли я понял, что вы готовы поставить скажем, свою квартиру и/или 3-5 лет свободы, на то, что публично-доступный программно-аппаратный комплекс Реестра с программной частью уровня

Правильно ли я понял, что вы готовы поставить скажем, свою квартиру и/или 3-5 лет свободы, на то, что публично-доступный программно-аппаратный комплекс Реестра с программной частью уровня гарантий Г2 не имеет намеренных либо случайных брешей ?

Правильно ли я понял, что вы готовы поставить скажем, свою квартиру и/или 3-5 лет свободы, на то, что публично-доступный программно-аппаратный комплекс Реестра с программной частью уровня гарантий Г2 не имеет намеренных либо случайных брешей ?

Теперь, когда за его доведение взялась госконтора, я бы уже точно не надеялся.

Не вникая в технические детали, нельзя не заметить, что государство сменило свою роль в этой истории, взяло все в свои руки. Діяло в цьому напрямку, як то кажуть, послідовно і наполегливо. Кому это выгодно? Точно не мне, как простому налогоплательщику.

Вы вновь уходите от прямого ответа на, как мне кажется, простой вопрос. Для устранения разночтений — речь идет о той версии или тэге, если предпочитаете, что была подана на экспертизу и аттестацию 8 августа.
Вы лично готовы поставить свою квартиру и/или 3-5 лет свободы на то, что публично-доступный программно-аппаратный комплекс Реестра с программной частью уровня гарантий Г2 не имеет намеренных либо случайных брешей ?

Ээ, это вы не мне вопрос задавали, так что я от него не ухожу. :)
Как по мне, то почему бы чиновнику не уберечься от подставы таким простым способом, как публикация своей декларации в фейсбуке или на другой открытой площадке? Или почему бы системе не отправлять чиновнику некий протокол с подписью: декларация принята и сохранена в следующем виде, — пусть чиновник хранит для подстраховки у себя и спит спокойно. Или сделать механизм, который позволит чиновнику сравнивать некую контрольную сумму по декларации — и чуть что поменялось сразу заяву в прокуратуру. Короче, почему бы не подумать не только о невзламываемости системы, а о том, чтобы лишить взлом смысла?

А прямой ответ следующий: лучше судебное розбирательство по взлому сыроватой системы от 8 августа, чем постоянно быть на крючке у какой-либо госконторы и группы влияния внутри госаппарата после «доработки» как венца всей многоходовки.

Максим, прошу прощения за то, что безосновательно донимал вас, теряю фокус.
И благодарю за ответ.

Claims that technical deficiencies are behind the failed issuance of a timely certificate are in contrast to public statements by the UNDP and other reliable experts

via eeas.europa.eu/...ws/2016/2016_08_17_en.htm

by the UNDP and other reliable experts — очень классный и наждежный стейтмент. Ох...

облаавшимся рантодавцем і іншими неназваними експертами.... рівнь — плінтус

Тут прошла информация что Миранда так же разрабатывала реестр временно перемещенных лиц, так же по тендеру ПРООН и так же зафейлила разработку на полтора года. У кого то есть какая то четкая информация по этому кейсу? Плз.

Читаю комментарии, и становится грустно. Предлагаю не заниматься крючкотворством, а мыслить шире. Кто в этой ситуации является инноватором, инициатором изменений? Государственная служба или ООО «Миранда» с донорами и общественными организациями? Что мы видим? Инновационная система идентификации. Такая есть только у сервисов геокадастра: e.land.gov.ua/auth_select и известного портала igov.org.ua. Публичный API. Очень малое кол-во госсистем может похвастаться этим (пока только Прозорро, НБУ и Казначейство). Single page application — тоже редкость в госсфере.

Да, возможно есть неурегулированные законодательством вопросы, к той же системе идентификации. Но кто должен быть лоббистом в нормативном поле, ООО «Миранда» или ДССЗЗИ?

Если есть уязвимости, почему бы не назвать их типы? Не будет никакого вреда, если назовут скажем «SQL injection», «CSRF», «XSS», «Buffer overflow», «Denial of service», «Improper Data Validation». Здесь нет полезной информации, такие уязвимости закрываются довольно быстро и проверяются специалистом по кибербезопасности в первую очередь. Тем более, если существует единственная копия развернутого приложения. Если бы я считал свою позицию твердой, то на месте ДССЗЗИ я бы был заинтересован в публикации найденных уязвимостей до разворачивания системы. Во-первых, потому что это повысит доверие к службе. Во-вторых, это предотвратит запуск несертифицированной системы с неясным правовым статусом, ибо разработчик будет вынужден согласиться с доводами.

То есть если взглянуть шире, мы видим борьбу инноваций с бюрократией.

Вы анонсируете расширение взгляда на возникшую проблему и тут же переводите фокус на конкретный прикладной аспект потенциальных уязвимостей системы.

А вот вам мой более широкий взгляд на проблему, на примере гипотетического проекта по строительству завода:

Криворукие шабашники за деньги соседа, которыми распоряжался хитрожопый прораб, строили для сильрады современный завод по производству лампочек.
При этом ни голова сильрады, ни самый опытный на селе кузнец на этом строительстве дневать и ночевать не соизволили. По приближению времени Ч по отчету перед соседом об успехах, инспекция сильрады прибыв на стройплощадку ни*** не удивилась отсутствию фундамента и висящей в воздухе крыше, а радостно подписала акты соответствия сего будивныцтва тем пасам руками, которым его живописал прораб перед закладкой строительства. Позвали электриков из ближайшего РЭС скорее включать производство, и тут незадача — электрики узрев сие наотрез отказались включать рубильник.

Очевидно, что первопричиной фейла с выдуманным мною заводом — бездеятельность сильрады. При всей рукожопости шабашников и вороватости прораба наличие должного контроля со стороны сильрады вскрыло бы эти проблемы значительно раньше, а не в момент ганебного триумфа сокрушительного фиаско приехавшего на перерезание ленточки головы облрады. Ведь можно было сменить шабашников, заложить соседу пойманного споличным прораба, ушатать участкового постоянно держать обормотов в тонусе, договориться с электриками о регулярных инспекциях... В конце концов престижа ради иль чтоб не прослыть в очередной раз пиздаболом — за собственные деньги нанять кран и экскаватор для ускорения плотного графика работ.

Это не расширение взгляда, это строительная метафора для иллюстрации разработки ПО, которая всегда звучит смешно.

И снова вы сужаете фокус. НАЗК, как государственный институт, не о разработке ПО, а для системной борьбы с коррупцией. ПО Реестра — их основной рабочий инструмент. КСЗИ Реестра — последний бастион перед недружелюбной средой работы сего инструмента. Атестация КСЗИ — дисклеймер Государства о своей полной ответственности за работоспособность и достоверность данных в базах.

Неспособность проконтролировать полноценное и своевременное создание собственного рабочего инструмента, его средств защиты, подтвердить их достоверность говорит о наличии системной проблемы организации работы в НАЗК и ставит вопрос о способности его системно же бороться с коррупцией.

это та же метафора о которой я написал ранее, и которую вы очень дивно поняли:
где был смотрящий(решатель вопросов, куратор, продакт овнер, ..., ...,), почему не назначили?

но вы и строительную метафору не поняли?

ну вот другая, с описанием перспектив от
Yuriy Romanenko
Не сыр, но скорбь, или Как мыши справедливость искали и огорчили Маниту

Жила-была грантоедская мышь. Она думала, что мир — это сыр, который появляется из ниоткуда и если регулярно чистить шубку и правильно пищать о верном движении норы в сторону мышиного рая, то сыра станет еще больше, а нора станет светлее. Шли годы, у мыши появилась седая щетина и дети, а сыра становилось все меньше, как и места в норе. И тогда некоторые мыши решили, что нужно всем честно рассказать о том, сколько сыра у кого на нычках. Но нычки никто показывать не хотел, потому что мыши все время воровали друг у друга сыр, которого становилось все меньше. Мыши помнили, что кто показывал свой сыр, потом становился легкой добычей соплеменников и хищников.

Тогда грантоедская мышь сказала великому сырному Маниту: Великий Маниту, не давай нам сыр, пока в нашей норе не задекларируют нычки, а еще лучше не выпускай нас из норы. Маниту удивился, потому что ему хотя было жалко давать сыр мышам, но ему казалось, что у них остался инстинкт самосохранения и вообще находил их писк забавным. Теперь Маниту подумал, что, действительно, может быть прикольно, если мышам не давать сыр на халяву, а попросить их танцевать кан-кан и всячески увеселять его. К этому никто не был готов в мышиной норе. Никто не хотел работать, но все хотели жрать сыр. Попахивало кризисом доверия. Маниту плакал по ночам, а мыши ипали друг другу мозг и друг друга. Но больше всех страдал кот. Он хотел жрать, но Маниту не хотел, чтобы тот жрал мышей без их согласия, а мыши не могли определиться с сыром и доверием, которое порождало сыр. Великая скорбь охватила всех. Иногда казалось, что солнце не взойдет над горизонтом.

Вот так искаженное восприятие действительности делает всех голодными, а Маниту грустным.

Вибачте, але це не метафора, а опис того, що відбулося. Розробка такого ПО в наших умовах мало чим від будівлі відрізняється. І в цьому процесі власне програмування — це один і навіть не головний елемент.

У можно где-то познакомиться со списком недостатков?
А то, знаете ли, позиция

Руководство НАЗК признало, что качество программного обеспечения таково, что систему может взломать любой среднестатистический хакер
так себе.

Я всім давно раджу повторити мій шлях. Зарегтеся в системі і самі подивіться. Питання відпадуть, якщо ви програмер

И что я там увижу? Как

среднестатистический хакер
взламывает данную систему? Я, как
програмер
вам кучу недостатков и для сайта ДОУ с Фейсбуком найду, но это не отменяет того факта, что ПО отличное.

Также история обрела довольно широкий резонанс, и, снова таки, позиция

Зарегтеся в системі і самі подивіться. Питання відпадуть, якщо ви програмер
так себе. Во-первых, не надо опускать не-"програмеров“, во-вторых, подавайте конкретную информацию, это в ваших же интересах.

Хочется увидеть в официальном заявление что-то типа:
“Данная система имеет ряд критических уязвимостей, таких как: тыц, тыц и тыц.”

Чево????? Я вам що бета-тестером найнялася? Особливо гарно щось про опускание не програмеров читати на програмерському сайті....
Знайшли кого на понт брати....

Тогда нечего здесь распространять очередную «зраду»

Правда? Ніззя? Зраду можна розпускати тільки спеціально визначеним особам? Як отримати допуск?

Включить моск и подавать только объективную и проверенную информацию

Звісно, я така дура, що полізла в середину, зареєструвалася і спробувала користуватися системою. А ви з вмикнутим мозком — не можете.

Ну так предоставьте объективную инфу — список с увиденными недостатками.

Нащо? Ви що самі туди влізти не можете?

Влезть могу, но по внешнему виду подтвердить или опровергнуть, что

что качество программного обеспечения таково, что систему может взломать любой среднестатистический хакер
нет.
Раз вы уж так рьяно поддерживаете данную персону, в тексте которой лишь журналистская вода, то делаю вывод, что вы владеете более конкретной информацией. О чем прошу поделиться.

Да не будет от нее ничего. Обычная истеричка, выезжающая на громких заголовках.

к слову, в госструктурах любое нововведение (новый программный продукт) всегда идет по подобному сценарию
и в финале — либо умирает, либо шурупы таки забивают гвоздями

github.com/openprocurement — але то швидше виняток

Как оказалось, антология зрады с Реестром в моей ранней телеге оказалась распедаленной не полностью, и оставшиеся белые пятна продолжают бередить умы твёрдо знающих что следует делать, но всё ещё не решивших с кем.
Определенно, кто-то же должен быть колесован и усажен на кол за дурно пахнущее коричневое пятно на белоснежном белье репутации Государства. Но кто же этот счастливчик ?

Разберем, упущенные мной ранее аргументы сторон.

Учитывая самоотверженные усилия, предпринятые для перевода всех стрелок на себя, предоставим первое слово разрабам.

Q: Госспецсвязь засекретила претензии, исправить замечания невозможно.
A: У “Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію” zakon5.rada.gov.ua/laws/show/1893-98-п на сей счет совершенно другое мнение — желающие в этом убедиться читают п. 37. Также, при должном подходе, п. 39 той же инструкции не возбранял разрабам даже обзавестись собственной копией, хотя это и заняло бы некоторое время.

Q: Госспесцсвязь могла бы и выдать уже этот атестат чтобы все успокоились.
A: Могла бы и может быть даже и выдала бы, если б со 2го августа не начались жырные набросы на вентилятор отдельными лицами от НАСК и Миранды. Как только сие стало достянием гласности, и уже тем более с момента захвата инициативы с позволения сказать “прессой” и вовлечения в набросы фамилий Порошенко, Турчинова и Гройсмана, постановка вопроса о возбуждении шумного и очень криминального дела стала неизбежной.
В таких условиях, чтобы не стать крайним, люди с наличием хотя бы зачатков интелекта и чувства самосохранения постарались бы затаиться, не делать резких телодвижений и педантично следовали бы нормам законодательства. С этой точки зрения формализм Госспецсвязи и стоическое спокойствие НАЗК удивления не вызывает. И то, что комиссия экспертов Госспецсвязи в условиях давления со стороны НАЗК, разрабов, пристального внимания политикума, отечественной и зарубежной общественности отказала в атестации — значит, что с переданными им на атестацию материалами все было очень и очень печально, и тихой заменой отдельных листов в коробках отделаться было уже невозможно.

Теперь один из аргументов Госспецсвязи.

Q: Программное обеспечение реализовано не полностью.
A: Благодаря творчеству Сергея Сидоренко из УП достоянием гласности стали некоторые документы, согласно которых поставленных задач было таки не 3, а 5, из коих последние 2 должны были быть завершены и сданы ПРООН не позднее 30 июля. При этом фамилия 4й задачи — “Розробка приватного API, перевірка підсистеми (модуль верифікації), інтеграція з зовнішніми реєстрами”.
Юрий Новиков из Миранды топит за то, что невозможность включиться в другие реестры — исключительная вина НАЗК, в оправдание чего даже опубликовал в своем fb письмо от НАЗК www.facebook.com/....119534.1066464109&type=3.
Окей, давайте из названия 4й задачи вычтем интеграцию с внешними реестрами. Остались “Розробка приватного API, перевірка підсистеми (модуль верифікації)” — и где же они ?

Ну и, наконец, НАЗК.

Q: Национальным агенством разработаны утверждены все решения, необходимые для запуска системы электронного декларирования.
A: Статья 8 Закона Украины “Про захист інформації в інформаційно-телекомунікаційних системах” zakon3.rada.gov.ua/laws/show/80/94-вр с удивлением смотрит на статью 11.

С момента начала раскручивания скандала всё указывало на патологическую некомпетентность кого-то из НАЗК, ответственного за внедрение Реестра. Однако, ценой неимоверных усилий, блоггеры из Миранды переключили таки весь фокус внимания на себя. В качестве целиком заслуженного ими приза вангую показательную порку и мучительную смерть этого некогда одного из старейших предприятий отечественной порно ИТ индустрии.

С момента начала раскручивания скандала всё указывало ...
Можно узнать, что рассматривается моментом начала и что именно указывало? Потому как утром 11-го Президент назвал две причины: “недосконалість відповідного закону та очевидна сирість програмного софт-забезпечення” и ни слова про НАЗК.
Можно узнать, что рассматривается моментом начала ...
Стартом скандала стало заседание в НАЗК 2 августа. Практически сразу включились вентиляторы и конфликт стал публичным. Формальная причина — отказ Госспецсвязи в согласовании ТОВ “Криптософт” в качестве эксперта в виду наличия конфликта интересов.
... и что именно указывало
Отечественное законодательство в сфере защиты информации однозначно определяет ведущую роль владельца системы в обеспечении защиты информации — статья 9 Закона Украины “Про захист інформації в інформаційно-телекомунікаційних системах” zakon5.rada.gov.ua/laws/show/80/94-вр. Ситуация с подачей на согласование в качестве эксперта для оценивания КСЗИ в Госспецсвязь лицензиата, её же создававшего — абсолютно нелепа и, с моей субъективной точки зрения, не может быть объяснена ничем, кроме как скудоумием либо некомпетентностью того, кто к ней привел. Поскольку ответственным за организацию всех работ по созданию КСЗИ Реестра согласно законодательства является НАЗК, то этот кто-то из числа её сотрудников. Подозревать же в скудоумии стражей законности в сфере коррупции мне категорически не хочется.
Потому как утром 11-го Президент назвал две причины: “недосконалість відповідного закону та очевидна сирість програмного софт-забезпечення” и ни слова про НАЗК.
Не имею чести читать аналитические справки, подаваемые Президенту, посему не считаю себя в праве комментировать его заявления, насколько бы далёкими от моего восприятия реальности они бы небыли.

Надеюсь, вы понимаете, что у нас мало кто знает эту 9-ю статью, но уже 11-го безаппеляционно было указано на виновных. Президентская обойма политологов, журналистов и прочих потом творчески разовьет и разнесет эту мысль. Поэтому не очень понятен ваш выпад в сторону мирандовских блогеров.

Надеюсь, вы понимаете, что у нас мало кто знает эту 9-ю статью
Вы очень правильно подметили, что у нас вот этой вот статьёй 9 в частности, и законодательством в целом интересуется мало кто.
Что, собственно и стало одной из первопричин возникновения сабжа.
Вот скажите, Максим, а какая вообще была необходимость создавать КСЗИ, если с ваших слов о статье 9 Закона Украины “Про захист інформації в інформаційно-телекомунікаційних системах” могли и не знать?

Честно говоря, я не знаю, что такое КСЗИ, и вопрос мне не понятен. :) Меня во всей этой истории интересует весьма узкий сектор: поведение нашего IT-сообщества и Миранды, как его части. Президент на всю страну, если не мир, сказал, по сути, что наши программисты — рукожопы. Многие айтишники подхватили: да!, мы(они) рукожопы, даже еще не видя кода. Вы добавили новой краски: не только руки, но и язык айтишников — враг их, мол, сами «переключили таки весь фокус внимания на себя». Вот я и интересуюсь тем, что позволило сделать такой вывод. И можно ли было влиять на фокус, когда Президенту с его медиа-ресурсом уже было «очевидно»? :)

Президент на всю страну, если не мир, сказал, по сути, что наши программисты — рукожопы.
По моему скромному мнению, произошедшее — результат совместного творчества Миранды, ПРООН и НАЗК, причем основным «художником» тут, к сожалению, оказался последний.

Для понимания этого не нужно быть узкопрофильным специалистом в сфере программирования, безопасности, либо юриспруденции. Для простоты, парой комментариев выше, все происходившее с внедрением Реестра с декабря по август мною расписано на аналогии с гипотетической стройкой завода по производству лампочек.

И можно ли было влиять на фокус, когда Президенту с его медиа-ресурсом уже было «очевидно»? :)
Участники этого банкета могли втихую пролонгировать создание КСЗИ, в частном порядке поставить в известность о происходящем КМУ, общественности же объявить о перемоге и запуске Реестра в невероятно непродолжительную, очень пробную, почти промышленную эксплуатацию. На вопросы общественности о том, почему же она почти промышленная и насколько непродолжительная — привычно пиздеть, что так и было задумано и TestLab2 совместно с PWS, ООН, Госдепом и марсианами рекомендовали сделать именно так, да и вообще, типо, все же так делают.
Вместо этого, на публике начало появляться грязное белье и «журналисты» ожидаемо стали накидывать на него дерьмо из собственной задницы.
Так что да, как мне видится, даже плотно загнав себя в эту жопу ПРООН, НАЗК и Миранда ещё могли хотя бы попытаться выбраться оттуда почти не попачкавшись.
Увы.
Честно говоря, я не знаю, что такое КСЗИ, и вопрос мне не понятен.
Необходимость строить КСЗИ продиктована исключительно и только статьей 9 данного ЗУ. Нет статьи 9 (либо не знаем что она существует) — не строим КСЗИ. И вообще, вам не кажется, что апелляция к незнанию законодательства госслужащими звучит несколько странно ?

Я имел в виду незнание узкопрофильного законодательства обществом, которому адресовал посыл Президент. Оно само не разберется в тонкостях. И кто тогда в глазах общества будет виновником, например, доллара по 30 осенью?

Виновником будет тот, кого назначат. В меню для выбора жертв на заклание Богу Реестров высветились ПРООН, НАЗК, Госспецсвязь и Миранда.
Первых бить себе дороже — тут же распедалят в СМИ зраду пуще прежнего.
Из оставшихся: государственный институт, государственный институт и частная контора. Мне кажется очевидным, что приз зрительских симпатий будет торжественно вручен государством частной конторе.
Куда интересней и важней, решения которые, надеюсь, будут непублично приняты по результатам расследования агенства по госслужбе.

Чем эти самые решения Вам интересны? Ну уволят (переведут директором бани) втихую глупца в НАЗК, которому в уши нажужжали «да формальность вся эта лабуда с сертификацией, не обращай внимания, кнопочки главное чтобы были красивые». Ну перекроют неформально Миранде доступ к новым заказам на госсистемы — потому что очевидно уже для любого чиновника, что в рулящих там засели просто откровенные глупцы, которые даже бумажками качественно закрывать свою пятую точку не умеют (не говоря уже про неумение «всё за ночь исправить»). Вот и все решения...

Я все ещё тешу себя надеждой, что разберутся как следуют и накажут не кого попало.

Ситуация с подачей на согласование в качестве эксперта для оценивания КСЗИ в Госспецсвязь лицензиата, её же создававшего — абсолютно нелепа и, с моей субъективной точки зрения, не может быть объяснена ничем, кроме как скудоумием либо некомпетентностью того, кто к ней привел.
А откуда сведения, что именно Криптософт разрабатывал эту КСЗИ? Что-то я не смог нагуглить ничего кроме ничем не подкрепленных вбросов от ДССЗЗИ. А с другой стороны (от ПРОООН) нашел только инфу, что Криптософт был заменен по настоятельному требованию ДССЗЗИ с аргументацией типа «пусть этим госпредприятие занимается» — goo.gl/rmEH7a

Не вижу причин, почему бы НАЗК согласилась с ничем не подкрепленным вбросом от ДССЗЗИ.
Поскольку же НАЗК согласилась, то, полагаю он таки был чем-то таки существенно подкреплен.

Я мог бы принять эту логику, если бы все это происходило, например, в Эстонии.
Хорошо помню эпопею с выборами членов и главы НАЗК, туда протянули своих людей, независимые активисты остались в меньшинстве.
Поэтому во всем этом процессе наблюдается системный саботаж со стороны власти, а сопуствующая мишура в СМИ с перекидыванием горящих каштанов суть дымовая завеса. Т.е. НАЗК и ДССЗЗИ (с вовлечением частников — давно прикормленных пильщиков бюджетных денег) совместными усилиями выполняют заказ власти. Эта лапша может и прошла бы лохторату, но западные доноры смеются с этой местечковой простоты и уже прямым текстом указывают на недопустимость попыток наипалова и имитации реформ.

С трудом слежу за логикой в Вашем посте. Сильно похоже на лебединую песню среднестатистического зрадофила «а вот травинка качнулась, это означает, что пеця всё украл». Т.е. на откровенный бред.

Фактом пока что является только одно: вполне конкретная Миранда не создала КСЗИ на систему. От слова «вообще».

Чушь! Скандал начал разносится 3-го августа, когда я никого не трогая сидел себе в ДЦКЗ с экспертами, узнал про 60%(что бред) и про то, что я в локальном мире ДССЗЗИ в чем то виноват. До 13 утра, никакого конфликта в прессе не было, посмотрите хронику событий и не вытягивайте из пальца.

готов обсудить. заявления в Интерфаксе не очень корелируют с соц сетью это раз. Ну и поведение когда вместо частной компании, неважно какой, компания государственная ставит прямого подчинения компанию — тоже нехорошо. А что такое пресса мы уже хорошо знаем за последние 5 дней?
Все еще настаиваете что бы я взял слова обратно?

Юрий, скажите, Криптософт участвовал в разработке КСЗИ реестра или любой другой части? существует ли какая-либо связь между Криптософт и Миранда?

Миранда в предыдущих проектах задействовала компетенции сотрудников Криптософт. Покупала те же сертификаты криптосервера. Но это разные юр лица, работающие к тому же в разных сферах.

И еще всех интересует вопрос — почему так затянули с атестацией КСЗИ? Чья в этом вина, с вашей точки зрения? Ваша компания разве не имела опыта общения с ДССЗЗИ по предыдущим проектам?

Согласно графику, которое утвердила та же ДССЗЗИ с НАЗК. До последнего хотели успеть по реестрам, потом отменили по «организационным причинам»

готов обсудить. заявления в Интерфаксе не очень корелируют с соц сетью это раз.
На счет Интерфакса вы правы — он опубликовал это 3 августа ua.interfax.com.ua/news/general/361780.html. Но вот скажите на милость, откуда бы вести о заседании в НАЗК взялись в Интерфаксе 3го, если бы в том числе вашими стараниями их не начали разгонять 2го ?
Ну и поведение когда вместо частной компании, неважно какой, компания государственная ставит прямого подчинения компанию — тоже нехорошо.
О причинах сего у меня есть мысли, и, вероятно, я ими ещё поделюсь с завсегдатаями этого тредика, если им будет интересно.
А что такое пресса мы уже хорошо знаем за последние 5 дней?
Так все-таки пресса или соц сеть ? Я, право, запутался в ваших показаниях.
Все еще настаиваете что бы я взял слова обратно?
Да, именно так.

все таки я не понял как заявление в соц сети о явном лоббировании подчиненной структуры может быть использовано для обвинений в интерфаксе. Вы думаете это сопоставимо. Скажем вы мне скажете что то неприятное, а я по поводу этого оболью Вам грязью по телевизору?

В ответ на мое утверждение

Стартом скандала стало заседание в НАЗК 2 августа. Практически сразу включились вентиляторы и конфликт стал публичным. Формальная причина — отказ Госспецсвязи в согласовании ТОВ «Криптософт» в качестве эксперта в виду наличия конфликта интересов.
Вы заявили
Чушь! Скандал начал разносится 3-го августа
В какой части моего утверждения я был не прав ?
Заседания в НАЗК 2 августа небыло ?
Практически сразу по его завершению вопросы обсуждавшиеся на нем и принятые решения не стали публичными ?
Решение о замене эксперта КСЗИ не сопровождалось скандалом ?

ок, при неучете степени да.
меня тогда начали мучить сомнения о том что хотят сделать учитывая затягивание с експертом

В таком случае, если аргументированных возражений против моей формулировки нет, я повторно прошу вас дезавуировать ваше заявление.

не вопрос. По первопричине
хотя суждение об адекватности ответов все же оставлю за собой.

Так же было бы интересно посмотреть на результаты аудита от PwC они то наверно не ДСП?

Техзавдання на шедевр — procurement-notices.undp.org/...iew_file.cfm?doc_id=65269


Команда проекту має складатися з проектного керівника і мінімум 4 ІТ спеціалістів. Члени команди мають буду спеціалістами у наступних напрямах:
— Фронтенд девелопер з досвідом адаптивної верстки, сучасних JS фрейморків, протокол REST
фронтенд оптимізація дії, мікроформати.

— Бекенд девелопер з досвідом відкритого вихідного коду пошуку, баз даних орієнтованих на
документ, TDD, АРІ

— UI/UX інженер
— Системний архітектор
— QA інженер
— DevOps інженер \ DB адміністратор
— Технічний письменник

особливо порадував відкритий код пошуку :)
точно писали умови під розробника

а чому б ком’юніті не зробити нормальний проект? тема дійсно важлива, допускати до цього «проффесіоналів» не спортивно. Зробити і запустити. В нас ІТ — третя по обсягу надходжень валюти галузь економіки, а систему елктронного декларування нам робить невідомо хто

На DOU про це мовчать. Дуже рідко тут з’являється якийсь креатив, пов’язаний із беспосередньою професійною діяльністю. Зарплатня, умови праці, політика, «трактор» — це залюбки. А розробка ПЗ — то не цікаво.

Вам відомо про випадки, коли державні структури приймали код, розроблений волонтерами? Мені ні. Я в громадському секорі 15+ років і що ми тільки не пропонували. Останнє, що ми намагалися просунути — систему веріфікації електронних петицій. ще при Ющенку. Досі не реалізував ніхто. Ви всі самі можете бачити якісь тих петицій, які кіт Мурчик підписати може.
Що головне вскрив цей скандал в черговий раз — державні замовлення досі робляться через жопу. І будуть робитися якийсь час ще.

Потому как вы слабо представляете себе работу с гос.органами. Там любая мелочь, может быть камнем преткновения не решаемая годами. А во-вторых, вы лично готовы написать тонну документации, на первый взгляд, абсолютно не нужной, но вся она должна быть оформлена по гостам. Причем, как уже тут замечали, некоторые госты еще родом из советского прошлого.

От іменно. В нас три роки тому був досвід з одним госорганом. 10 місяців узгоджуали якусь термінальну хрень, зробити прототип, заплатили навіть гроші і .... хлабись, в них зміниилося підпорядкування і проект взагалі закрили. Ніхто нічого так і не зробив.
Пару міясців тому — з’являється хтось, проснись нас обокрали, а у вас код не зберігся раптом? А то я новий сисадмін. Ну зберігся, ну прислали, далі супер питання — а що таке mysql?
Занавес.

Така система прийняття рішень, є системою «захисту від дурня»... Не забувайте що в гос службі працюють люди з дуже низькою кваліфікацією... Така «й*бнута» система прийняття рішень, дозволяє при низько кваліфікованому персоналі видавати рішення прийнятною якістю... Тому і потрібен роздутий штат, з морем «змарнованого» паперу...

Хм. Тільки помітив що РМа там як раз і не має...

Команда проекту має складатися з проектного керівника і мінімум 4 ІТ спеціалістів
Мабуть «проектний керівник» == PM

Тому що це не державна закупівля, а грант ПРООН. Непрозорий. Результатів не оприлюднено. Десь нижче я ставила лінк

А може треба якось вийти на грантодавців і довести до них цю ситуацію?

Ага, щас. Читай www.ua.undp.org/...on-system-undp-statement
Там десь в мене в коментах Люда детально про те пояснювала, що таке ПРООН

Цей вихлоп від Івана Прєснякова я бачив. Ну що ще може написати програмний менеджер проекту який у глибокому фейлі? А його боси? Грантодавці?

Не грант, а відкритий тендер за процедурами ПРООН. на той момент prozorro.gov.ua не було. І ПРООН проводить завжди закупівлі за власними правилами закупівель, якими керуються всі офіси ПРООН по всьому світі. Всіх учаників тендеру повідомили про результати письмово, згідно наших правил.http://procurement-notices.undp.org/view_notice.cfm?notice_id=25621

А оприлюднити переможця і умови хоч ЗАРАЗ можна?

І чому резальтати одних тендерів оприлюднені на сайті (будівництво і медицина, в сновному), а цього — ні?

І тішина, і мьортвие з косами....

Давно хотел спросить, а как понять на этом прозоро что вот тут скажем продали/купили prozorro.gov.ua/...r/UA-2016-07-06-000624-c ?

Понятно, что мы тут судим о проблеме с технической точки зрения.
Но есть и другая, юридическая сторона.
Вот мнение Замглавы Окружного Суда Киева
www.segodnya.ua/...eklarirovanii-743200.html
Основной посыл.
«Отсутствие сертификата Госспецсвязи может привести только к сбору дополнительных доказательств, например, назначения, проведения и получения экспертиз по вопросу о несанкционированном вмешательстве на сайт, сервер и пр. После получения заключения эксперта об отсутствии вмешательства принимается законное решение по делу.
Говорить о том, что отсутствие сертификата делает декларирование нелегитимными — юридически безграмотно.»
Другими словами, если кто-то будет говорить «мою декларацию несанкционировано изменили» — проводится экспертиза, которая показывает было или нет сделано изменение, и если она показывает, что такового не было — вопрос решается однозначно не в пользу истца.
А вот это уже интеерсно:
«Наличие или отсутствие сертификата НАПК влияет только на квалификацию действий должностных лиц Агентства, которые приняли решение запустить систему без сертификата Госспецсвязи ». Ну в общем, как следовало. Именно НАПК и его должностные лица и виноваты в неполучении сертификата. Поэтому они, и связанные с ними лица, так и возбудились.

Другими словами, если кто-то будет говорить «мою декларацию несанкционировано изменили» — проводится экспертиза
что на деле приведет к тысячам а то и десяткам тысяч экспертиз и последующих судебных разбирательств.

то есть теоретически да — "

говорить что отсутствие сертификата делает декларирование нелегитимными — юридически безграмотно
"

а практически — судебная система, даже если б сама не была коррумпированной — просто не справится с массой таких дел.

а так и сами судьи должны декларировать...

Может я неправильно понимаю, но даже наличие сертификата не говорит о том, что в случае заявления «мою декларацию подделали» экспертизу проводить не надо.
Сертификат — это просто подтверждение, что НА СЕГОДНЯ государство считает, что при разработке ПО не было допущено промахов по защите. Завтра появляются новые методы взлома и сертификат уже ничего не гарантирует.
Понятно, что даже такую сертификацию провести за пять дней нельзя, а передача системы для сертификации не равнозначна передаче системы для АВТОМАТИЧЕСКОГО получения сертификата. Вопрос — кто виноват, что ДСЗЗИ получил систему только 10.08? Понятно, что не Миранда. Остается один крайний — НАПК.
Или я ошибаюсь?

Может я неправильно понимаю, но даже наличие сертификата не говорит о том, что в случае заявления «мою декларацию подделали» экспертизу проводить не надо.
я тоже не спец. поэтому могу только по простому рассуждать.

но как слышал простое объяснение:
— если вас поймают пьяным за рулем, и зафиксируют это НЕсертефицированным прибором, то в суде вы спокойно докажете что были трезвым.

Сертификат — это просто подтверждение
не совсем. обычный сертификат да.
сертификат государственного учреждения означает для остальных гос учреждений что это нечто сертифицированное является частью кучи законов, частью их реализации.
Завтра появляются новые методы взлома и сертификат уже ничего не гарантирует.
гос сертификат предусматривает другой уровень ответственности декларанта.
Понятно, что не Миранда.
мне ничуть это не понятно.

мне видится что она такой же игрок в этой схеме срыва эл- декрларирования как и остальные.

ниже писал почему — фирма с 93го живет с гос заказов, и не умеет «общаться» с гос учерждениями? не в курсе правил бюрократии? да ну нах! извините :)

Остается один крайний — НАПК.
на шахматной доске нет крайних. есть те которых снимут доски раньше, есть те что позже.
а игра — одна и та же. даже цвет фигур не важен.

если начало было типичным — такой важный тендер выиграла типичная для гос тендеров «тихая» фирмочка, то дальше можно и не читать.

но вот вышел шум, пришлось читать.
но ничего нового я пока не прочел.

начиная с тендера все было предопределено. так сказать — «точка бифуркации» для меня там — кто выиграл? ну так чего теперь удивляться :)

а уж какой именно гамбит был разыгран, да, это для ценителей «шахмат».

Говорит. Сертификат постоянно подтверждается, в опроснике есть пункты кот-е подтверждают регулярность и управляемость процессов обеспечивающих безопасность.

Есть еще одна беда. Вполне может быть что система построена и развернута таким образом что выводов о наличии или отсутствии внешнего вмешательства сделать невозможно.

вот, вот, хотел тоже об этом написать, что и в других случаях нередко — хакеры умеют чистить логи :)

но думал написать, и раз повод получился — уже есть на слуху технология с качественно другим уровнем защиты — блокчейн!
думаю что не удивлю обычными линками на технические статьи на эту тему.

а вот виртуально знакомый философ интересную выдал

Если бы блокчейна не существовало, его следовало бы выдумать

т.е. для таких систем — пора бы начать отказываться от идей «надежных серверов», «сертификатов SSL», и т.п. не, конечно и это останется нужным, но «сердцем» защищенности должен быть блокчейн. а с ним думаю проблема уже у гос структур — стандартов, регламентов то него еще нет, чтобы сертифицировать такую систему.

и тут, даже если Госспецсвязь правы на все 100%, то неправы они потенциально в том, что качественно новую систему защиты — они не смогут просертифицировать.

Отут ви абсолютно праві. Це все виглядає як кінець 1990х років. А ніяк не 2016

Вы не правы, просертифицировать они могут любую систему защиты. Но не хотят. Именно поэтому до сих пор ДСТУ 4145-2002, ГОСТ 34.310-95, ГОСТ 34.311-95. Ну и вообще «наказ 112»... А когда очень надо, то и обычный ssl/https, как единственные средства защиты гос-информации в проекте, сертифицируют, только стараются явно эти аббревиатуры в документации в названия и содержания не вписывать, а то второй и т.д. разработчик, не дай Боже, возмутится «а зачем повторно полностью экспертировать и сертифицировать, у нас же типовое решение на ssl»....

что на деле приведет к тысячам а то и десяткам тысяч экспертиз и последующих судебных разбирательств.
Т.Черновол высказал такое мнение, что данная система — не единственный интсрумент, который будет у НАЗК. Если система даже просто поспособствовала тому, что к декларации чиновника возникли вопросы, то персонажа можно «копать» дальше другими методами и представлять в суд доказательства собранные уже за рамками системы декларирования.

а вообще без е-декларирования нельзя было?

например — собственноручно заполненная бумажная декларация — чем не инструмент?

данная система — не единственный интсрумент,
да.

просто минус один инструмент.

Идея электронного декларирования именно в том что бы сразу проверять достоверность декларации с помощью других баз, а не вводить медленно и печально данные в БД для анализа.
И кстати как раз ЭТОТ функционал Миранда сделать еще не успела. Бідосі.

Бідосі.
Здесь только ленивый не мокал Миранду в ... И что-то ни один не предложил экспертную, консультативную или иного рода помощь. Чем не характеристика IT-сообщества?

А они ее искали? Такое впечатление что этот скандал был спланирован и задуман что бы или получить зраду до небес или втюхать багливую донельзя систему.
Мое «экспертное мнение» — есть Папка24 от Привата, есть электронные декларации и кабинет налогоплательщика — можно было использовать их.
Нафига было городить еще один велосипед из говна и палок? Впрочем вопрос явно риторический.

Вы представляете себе, какой бы вой поднялся, если бы систему бы сделали на основе решений Привата? Или еще круче — силами команды самого Привата?

Ну по крайней мере их бы Плюсы защищали :).
Но кстати BankID это ж приватовский IDP ?

Хм, да вроде начинали продавливать этот самый BankID сугубо через Ощадбанк силами барса. А приват вписался в рамках своей стратегии «хоть намыленным пид*расом, но влезть в любые госITинициативы, а ещё лучше попытаться возглавить». Ну вот как с и-говом, который в некоторых кругах иначе как и-говном не называют.

Вот! Я таки был прав — и Приват сделал некриворуко и приватовские СМИ вписались :) economics.unian.ua/...onnoyu-deklaratsieyu.html

Перевірив особисто. Наразі не працює

да, давайте еще мучеников за правду с Миранды сделаем :)

и найдем еще одного крайнего — IT-сообщество. вот оказывается кто тоже мерзавцы то, вместе с нехорошими чиновниками :D

Не надо из нас мучеников делать. Но те кто сдают резонансные проекты знают, что в них всегда все под микроскопом и с трудом.
Любые инновации, принимаются со скрипом. Взять тот же банк ID.
Но вот делать главных негодяев не разобравшись — тоже не айс.

Не так все плохо в нашем ИТ сообществе.
Как и в любом, кто то тряпками кидается кто то работает.
Просто люди которые хорошо делают свою работу в ИТ среде, часто сильно непубличны и не шумны. Но их немало.
Уже достаточно много народу обращалось с вопросами что на самом деле происходит, говорили свои комментарии. Предлагали помочь. Пока у нас есть непубличный список по ДСК, который обработали, и обсуждать не можем. Завтра посмотрим какая будет на него реакция.

собственноручно заполненная бумажная декларация — чем не инструмен
Кажется, «Канцелярская сотня» вбивала сравнительно недавно данные со сканов бумажных деклараций чиновников в базу. Ожидали собрать 20 тыс. экземпляров. Денис Бигус говорил, что 4 тысячи человек в день ищут декларации в этой базе. Совсем другой уровень контроля со стороны неравнодушной части общества.

отсюда мораль — создание системы нужно было поручить не какой-то прикормленной миранде, а Денису Бигусу и «канцелярской сотне».

единственной сложностью бы осталось обязать чиновников вносить хоть какого качества декларации, вместо бумажных. это можно сделать только принятием закона.

но ладно, запустили уже как есть.
будем ждать что оскандаливание неверных деклараций неравнодушной частью общества даст эффект.

ждем конечно реакции Запада. они то как — засчитают или не засчитают выполненным их условие.

Проблема в том, что похоже Запад кормят информацией именно те, кто облажал проект и нанял Миранду...

Наверняка.
Но скандал привлек внимание. Думаю что у них есть те что мониторят наши СМИ, и в конце концов, не спеша, они накатают аналитическую записку. Которая медленно пойдет по инстанциям, и все же дойдет до людей принимающих решения

А какие наши СМИ написали всю историю? Упячка зафигачила бредятину без подписи.

Ну я не мониторил :) а тем у кого работа такая, думаю будет достаточно для формулирования неудобных вопросов, и описания ожидаемых съездов с них

Украинская правда — единственное издание, которое оперативно публиковало сообщения из фейсбука, официальных сайтов и документы.

Если предположить, что действительно защита у системы слабая — то есть объективная угроза последующего взлома хакерами по заданию заинтересованного украинского чиновника, российского майора или с целью вандализма и пиара в прессе.
И технически аспект сразу потянет за собой юредический: «мою декларацию несанкционировано изменили».

Тут прекрасне
www.rnbo.gov.ua/news/2559.html

доступно и по полочкам. :)

да... в самом начале я, был больше на стороне “сотоварищей по цеху”, против этой гребаной бюрократии.

но чем больше всплывало фактов, тем моя позиция склонялась на сторону ДССЗЗІ.

но главное в этой истории для меня:
1. государства как такового у нас нет. есть автономные гос и не гос структуры, которые не могут согласовано работать без смотрящих
2. почему прекрасно зная это, порошенко, гройсман, или кто там типа отвечает за реформы не поставили на весь срок смотрящего? чтобы он пинал всех участников, устраивал им очные ставки, и т.п.
ну то есть, дипломатичнее — не взяли на личный контроль внедрение эл-декларирования.

вопрос 2 конечно риторический. :) потому что оно им не надо.
а надо, как и в других случаях — провести реформы так, чтобы Запад был удовлетворен, а на деле ничего не изменилось.

сложная задача. но, как видно и по этому случаю — башковитые они, пока справляются :)

Треба глянути на сам «продукт» щоб зрозуміти ху із ху. я не кажу що ДССЗІ «святі» але продукта дійсно нема. що буде завтра доказом в суді? пояснення директора міранди? який кінцевий результат подання чинушою декларації? електронний документ з ецп чи запис в базі даних? я не бачу в результатах діяльності цієї системи справжньої доказової бази для притягнення до відповідальності чинуш. відіб’ються в суді запросто

Фото- и видеосъемка без ЭЦП работают. Значит ли это, что видео и фото — не доказательства?

почитайте про ЭЦП (и что в первую очередь обеспечивает ЭЦП) хотя-бы в Википедии. Ну, чтоб не это самое. Не писать глупостей потом.

Ага. Ещё скажите, что нельзя будет доказать вину нотариуса, если тот перепишет на себя вашу недвижимость в реестре. Ибо там тоже ЭЦП на запись в БД не накладывается.

я что-то говорил помимо того, что вам нужно заполнить пробел в своих знаниях о назначении ЭЦП?

государства как такового у нас нет

И это прекрасно.

без смотрящих

Это воровской жаргон. Получается, госструктуры — воры?

вот же ш, поругать оно завсегда можно. только вот в чем вопрос, почему, когда ее тестировали, как стандартным набором тестов так и не очень не было вопросов, а теперь когда вопросы в оформлении, они появились?

А можно увидеть протоколі тестирования? Что-то ж открытое должно же быть?

но главное в этой истории для меня:
1. государства как такового у нас нет. есть автономные гос и не гос структуры, которые не могут согласовано работать без смотрящих
2. почему прекрасно зная это, порошенко, гройсман, или кто там типа отвечает за реформы не поставили на весь срок смотрящего? чтобы он пинал всех участников, устраивал им очные ставки, и т.п.
Бесполезно пытаться достичь качества управления количеством. Для некомпетентного смотрящего понадобится отдельный смотрящий. К чему это приводит мы уже имели сомнительное счастье наблюдать.
На каждом слое управления должна быть здоровая межвидовая конкуренция. Добавление в эту схему смотрящих приведет к вырождению соревновательности идей до интриг за право жать педали сидя за рулём, а не стоя рядом с назначенцем без статуса, но правильными номерами телефонов.
Данная ситуация с НАЗК — классическая потеря управления ключевым направлением за которой должен бы последовать анализ причин с последующей заменой несправившихся PM’ов. Я так понимаю именно этим сейчас и занимается агенство по госслужбе.

для пересичного обывателя такая заказуха прокатит. Но не на профильном ресурсе.

Для заурядных граждан и тот материал, на который я дал ссылку, и статья, под которой мы пишем комментарии, — заказуха одного уровня. А специалисты в теме ориентируются не только на позицию сайта-источника.

Статья, рекомендуемая вами — однобокий манипулятивный наброс.
Потрудитесь ознакомиться с документами по ссылкам в нём, а не кашей в голове автора — там явка с повинной НАЗК и Миранды о невыполненых обязательствах и сорванных сроках.

Ваша точка зрения интересна и будет учтена.

Після звернення «редакції» цього гівноресурсу до ЄС з проханням не надавати країні безвіз, відкривати та читате оте лайно немає ніякого бажання.

Ваша точка зору не дуже цікава, проте теж має бути прийнятою до уваги.

Люди, а хтось в курсі, тендер на сей програмниий продукт був? І де побачити, хто ще в ньому брав участь?

я шукав про цей тендер. і на сайті ПР ООН. але не дуже ретельно, тому нічого не знайшов.
це звісно нічого не доводить, може просто десь в глибинах сайту ця інфа.

На сайті ПРООН є оголошення про тендер, але немає його результатів. Ось конкурс procurement-notices.undp.org/...otice.cfm?notice_id=25621

Учитывая что разработчиком была тов. Миранда, с таким заявлением на сайте:

Компанія ТОВ «Міранда» — це команда професіоналів, які займаються розробкою веб дизайна і реалізацією в Інтернет проектах будь-яких бізнес ідей. Компанія була заснована та розпочала свою діяльність у 2001 році.

и таким сайтом:
miranda.net.ua/uk/p/about_us

Ну и

Основний склад веб компанії ТОВ «Міранда» складаються спеціалісти факультету інформаційно-обчислювальної техніки НТУУ КПІ (який, нарівні з факультетом кібернетики Національного Університету імені Тараса Шевченка, є ведучим IT-факультетом України).

Переводится как — тендер замутим, всех шановных запишем на хозтему, а работать будут студеры за даром или аспиранты за три корочки хлеба.

Я в анамнезі працювала два роки «за распределением» на кафедрі альма матері, в лабораторії, яка сиділа на державних грантах, і я ще дуже гарно пам’ятаю, як це робиться. Я намагаюся знайти докази корупції

Говорили мне сделать сайт. Да сайт с 2007 года почти не менялся, в отличии от компании. У нас достаточно квалифицированного персонала, что бы создавать и более сложные системы.

Nataliya Zubar Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 12:49

Сперва, вот вам краткий обзор по отечественной проблематике систем защиты информации для тех, кто (поверьте — к вашему же счастью и душевному спокойствию) не имел практического опыта их создания и атестации согласно нашего дивного законодательства.
КСЗИ — stands for Комплексная система защиты информации. Подразумевает комплекс организационных и технических мероприятий, обеспечивающий реализацию определенной технологии обработки информации. Огрубляя для простоты — некоторое количество коробок документов с описаниями того, как обеспечить целостность, доступность, конфиденциальность информации, обрабатываемой в этих ваших инторнетах.
Порядок создания описан в НД ТЗІ 3.7-003-2005 dstszi.kmu.gov.ua/...atalog/document?id=106350. Чисто ради интереса читать его бессмысленно и даже опасно для вашего душевного здоровья. Так что, вот вам спойлер — создается Техническое Задание (ТЗ), согласовуется с Госспецсвязью, согласно ТЗ разрабатывается проект КСЗИ, реализуется, далее созданное КСЗИ всячески анализируется разработчиком и персоналом заказчика на предмет его соответствию ТЗ и попутно допиливается. И когда все стороны этого увлекательного процесса вроде бы согласны, что нужный результат достигнут — остается убедить государство в лице Госспецвязи в том, что если что-либо с информацией и случится, то их — Госспецсвязь — за это не накажут. Можно, впрочем и не убеждать, что правда входит в противоречие с Законом Украины “Про захист інформації в інформаційно-телекомунікаційних системах” zakon5.rada.gov.ua/laws/show/80/94-вр.
Процесс убеждения Госспецсвязи, при удачном раскладе, состоит из двух этапов — Экспертиза и Атестация. При неудачном — экспертизу прийдётся перездавать неоднократно. Отказ же в атестации при полноценной экспертизе — ну просто реальный epic fail.
Экспертизу организовывает заказчик КСЗИ согласно “Положення про державну експертизу в сфері технічного захисту інформації” zakon4.rada.gov.ua/laws/show/z0820-07. Выполняется экспертиза сторонним подрядчиком из числа тех, у кого есть лицензия Госспецсвязи на оценку защищенности информации. Необходимость наличия такой лицензии — требование Закона Украины “Про ліцензування видів господарської діяльності” zakon4.rada.gov.ua/laws/show/222-19 и постановления КМУ “Про ліцензування видів господарської діяльності” zakon4.rada.gov.ua/laws/show/222-19. Выбор исполнителя экспертизы согласовывается с Госспецсвязью.
Счастливчик, определенный экспертом, потрошит коробки с документацией на КСЗИ, изучает, пишет методику её тестирования, согласовывает с Госспецсвязью, проводит согласно методики экспертные исследования КСЗИ, пишет заключение и, если оно таки положительное — отправляет КСЗИ на Атестацию в Госспецсвязь.
Госспецсвязь собирает комиссию и та проверяет заключение эксперта на синтаксические и орфографические ошибки, сверяет соответствие списка документов в коробках с описанием новосозданной КСЗИ требованиям вороха методичек и отправляет кого-нить помоложе распечатать и заламинировать Атестат соответствия.
Всю эту стройную последовательность множим на объём производимой в процессе бумаги в метрах кубических, добавляем издержки на режимно-секретные ритуалы и пересылку непрозрачных, прошитых суровыми нитками, пакетов туда и обратно курьером — и на выходе получаем средне-статистическую Экспертизу+Атестацию длиной от пары недель до многих месяцев.

Теперь, кратко, почему КСЗИ секретится (а для систем без гос. тайны — служебится — присвоением грифа ДСК). Описательная часть КСЗИ содержит детальные сведения о всем комплексе защиты — от персонала, до технических средств. По модели угроз, плану защиты, структуре службы защиты и прочим документам КСЗИ очень удобно подыскивать способ как взломать это всё попроще либо, например, к кому лучше всего незаметно подкатить с деньгами или паяльником. Примерьте пункты 1, 2 и 3 части 2 статьи 6 Закона Украины “Про доступ до публічної інформації” zakon3.rada.gov.ua/laws/show/2939-17 на бенефиты доступа общественности к коробкам с кучей узкоспециальной хуеты в сравнении с потенциальным импактом от доступа к ней же недружелюбных пидарасов из какой-нить Федеральной Службы Баночек, и одной теорией заговора Госспецсвязи против прогрессивной общественности, надеюсь, станет меньше. По той же причине служебятся Экспертные и Атестационные заключения — причем в особенности это касается отказов, так как в них фактически содержится перечень брешей в безопасности КСЗИ.

Не менее коротко — о результатах стороннего тестирования функционированя реестра специалистами TestLab2 и PricewaterhouseCoopers. То, что его провели — позитивный сигнал и, значит, есть шанс что Реестр не свалится под нагрузкой и, может быть даже его не сломают сильные или раздавят тяжелые программисты. К экспертизе же либо атестации КСЗИ данные тестирования не относятся по определению, так как без лицензии Госспецсвязи любая оценка не будет экспертной в терминах действующего законодательства.

Теперь к хронологии драмы с НАЗК, Мирандой, Госспецсвязью, Порошенко, Турчиновым и прочими доброжелателями.
Проследовав к набросу Сергея Сидоренко “Хто зірвав електронне декларування статків: хронологія та документи” в “Европейской правде” www.eurointegration.com.ua/...icles/2016/08/14/7053339 вы сможете приоткрыть завесу тайны над тем, как же происходила реализация этого, без какой либо иронии, чрезвычайно важного Государственного проекта.
Пройдемся по ссылкам на документы из фельетона господина Сидоренко и посортируем даты & события.
2015-12-02 ПРООН заключает договор с Мирандой
2015-12-10 Сдан результат № 1 (СУБД с тестовыми данными, поисковик, публичный API)
2015-12-11 Заседание № 1 группы контроля за качеством (результат № 1)
2016-01-20 Сдан результат № 2 (публичный сайт, АРМ сотрудников НАЗК, формы ввода, средства аутентификации)
2016-02-02 Заседание № 2 группы контроля за качеством (результат № 2)
2016-02-29 Заседание № 3 группы контроля за качеством (результат № 2)
2016-02-29 Сдан результат № 3 (документация, справочная информация, рекламки, буклетики и прочая)
2016-05-10 Заседание № 4 группы контроля за качеством (результат № 3)
2016-07-01 Письмо НАЗК в Госспецсвязь — согласование графика создания КСЗИ ?
2016-07-05 Согласование графика создания КСЗИ Госспецсвязью
2016-07-22 Приемные испытания результатов 1, 2 и 3 комиссией НАЗК
2016-07-25 Принятие выводов по результатам приемных испытаний результатов 1, 2 и 3 комиссией НАЗК
2016-07-27 Передача результатов 1, 2 и 3 НАЗК
2016-07-28 НАЗК просит Госспецсвязь согласовать ТОВ “Криптософт” в качестве эксперта по КСЗИ (как окажется в последствии то же ТОВ участвовало в работах по созданию КСЗИ и потому не может проверять свою же работу)
2016-08-02 НАЗК, по настоянию Госспецсвязи, определяет экспертом ГЦ киберзащиты, и принимает решение о проведении экспертизы КСЗИ
2016-08-03 Госспецсвязь согласовывает ТЗ на КСЗИ
2016-08-05 КСЗИ проходит предварительные испытания
2016-08-08 НАЗК передало КСЗИ на экспертизу
2016-08-10 Программный код и документация получены для экспертизы Госспецсвязью
2016-08-11 Госспецсвязь ведут на 2х-часовую экскурсию по объекту без возможности жать на педали
2016-08-12 Экспертный совет Госспецсвязи отказывает в атестации КСЗИ
2016-08-13 Торжественное вручение НАЗК отказа в атестации

Первый очевидный, и, пожалуй, самый главный проеб — НАЗК должен был умолять Госспецсвязь согласовать им хоть какую-нибудь экспертную организацию ещё в феврале месяце.
Второе, что бросается в глаза — это обилие событий с 29 февраля по 1 июля. Целых 4 месяца работы над нихуя!? С перерывом на выездное заседание, разумеется. Ну, если, конечно, поверить в то, что последний из 3х результатов 1го этапа был таки передан в ПРООН 29 февраля, а не спешно допиливался вплоть до конца июля.
Последнее — на экспертизу и атестацию ГЦ киберзащиты и Госспецсвязи было щедро отвешено целых 5 дней — с 8 по 12 августа включительно. И это при условии безотлагательного изобретения моментальной телепортации бумаги. Для представления об объеме работ для экспертов можно насладиться фоткой тех самых коробок на fb НАЗК www.facebook.com/.../1112586892134567/?type=3
На fb ленте Юрия Новикова из Миранды можно найти коммент Mykola Kulieshov с оценкой объема документации на КСЗИ — “более 1500 стр.” www.facebook.com/...mment_tracking={"tn":"R“
Тоесть, за 4 дня ГЦ киберзащиты нужно было составить целостное мнение о созданной КСЗИ, создать методику экспертных испытаний её частями и целиком, согласовать, провести испытания, заполнить протоколы, написать экспертное заключение, чтобы 12 августа Госспецсвязь могла с чистой душой воспользоваться ламинатором. Странно что прогрессивная общественность, и особенно домохозяйки, удивились, что чуда не случилось и, то что ГЦ киберзащиты в судорогах родило за 4 дня атестацию не прошло.
На этом месте правдолюбы и просто внимательные к деталям граждане, вероятно, возмутятся тем, что Госспецсвязь же подписало календарный план и обязалось провести атестацию 12 августа!
Так вот — Госспецсвязь пообещало провести Атестацию КСЗИ — и провело. Правда ровно с тем же победным результатом, что провел экспертизу выбранный изначально НАЗК 28 июля в качестве эксперта ТОВ “Криптософт”.
Печально, конечно, что результат оказался неудовлетворительным, но кто ж мешал НАЗК согласовать Эксперта заранее, месяца эдак за 4-5 ?

Last but not least — какая связь Порошенко и Турчинова с КСЗИ реестра НАЗК ?
Отвечу откровенно — хуй его знает. Но в набросе от Сидоренко все было так интригующе и детективно, что меня до сих пор мучает мысль — держались ли они за руки, когда стояли за спиной у НАЗК и Госспецсвязи.

И да, хохмы ради, загляните на страницу 8 “Рішення про затвердження висновку приймальних випробувань програмного забезпечення системи електронного декларування України” www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf.
Согласно расписанию реализации проекта, задания 1, 2 и 3 должны были быть выполнены подрядчиком до 2015-12-30. Дополнительные же 2 задания (которые, кстати, выполнены небыли) по связи с внешними реестрами — до 2016-07-30.

В процессе окучивания совмещенного с перетаскиванием полотен в свой, запиленный для троллинга ваты, бложег на LJ поймал себя на ошибке Ctrl+C Ctrl+V в тексте

постановления КМУ «Про ліцензування видів господарської діяльності»
Насамом деле релевантное постановление КМУ — «Про затвердження переліку послуг у галузі технічного захисту інформації, господарська діяльність щодо надання яких підлягає ліцензуванню».

В какой нахрен готовый проект ТАКОЕ ставят?:):):):):):):):):):)

portal.nazk.gov.ua/res/js/front/scripts.js
$(’#confirm’).click(function (event) {
valid = $(’#code_access’).validationEngine(’validate’);

if (valid) {
//todo показати, що щось відбувається
$.ajax({

480строчка
UPD:
success: function (result) {
//alert(result.status);
if (result.status.status) {
//todo придумати як сказать, що email пройшов перевірку

UPD2:
success: function (result) {
if (result.status) {
//todo показати, що телефон збережено
} else {
$("#errPhone").text(’Введіть правильний телефон’);
$("#errPhone").css("visibility“, “visible”);
$("#errPhone").css("visibility“, “visible”);
}

if(docs == 1 || docs == 2 || docs == 3 || docs == 18){
var valid =$("#validateForm").validationEngine(’validate’);
if(valid && empty.length == 0)
{
submit(’/package/preview.htm’)
}
else{
if(!valid){
return;
}
else {

modal({
type: ’alert’,
title: ’Увага!’,
text: "Р"Р"СЏ того, щоб подати документ, заповнїть, Р±СѓРґСЊ Р"аска, РІСЃС— СЂРѕР·РґС—Р"Рё С"РѕСЂРјРё документа",
buttonText: {
ok: ’Повернутися РґРѕ заповнення документа’
},
callback: function (result) {

}
});

Это просто говнокодик а ТУДУ в 100500% готовом коде.... И ещё и и ТАКИЕ туду.....

суть коммента в кодировке win-1251?

А тепер унимание суд должен сажать на сколько там? На пять лет на основании ЭТОГО?:)

шо именно?
шо jquery-лапша вместо SPA на Реакте?
или шо при деплое не происходит минификация с вырезанием комментов?

//todo придумати як сказать, що email пройшов перевірку

Что есть ТАКИЕ туду в 100% готовом коде:)

и шо?
1. коммент может быть тупо outdated. у вас есть отдельная активность по изучению списка комментариев и удаления неактуальных?
2. может не быть сообщения про «email прошел проверку», но вместо этого обобшенное «всё хорошо»
3. даже если сообщения нет, где это ломает функционал?

короче, выкатывать development код без автоматизированной чистки(в т.ч. комментов), минификации и обфускации — странность.
но в самом комменте ничего крамольного не вижу.

да ничо всё ок. 100% готовность софта
success: function (result) {
if (result.status) {
//todo показати, що телефон збережено
} else {

Отличный обработчик success что происходит? А тупо НИХЕРА:) это наверно тоже "development код"©

И это только ФЕ а что там на БЕ на PHP?
Кстати а проверка валидности ЦСК прям в js это тоже ок по вашему? Там весело пошаманить с кодом можно.

Кстати интересно а это кому то пригодиться?;) portal.nazk.gov.ua/...ficates.p7b?version=1.0.8

Кстати а проверка валидности ЦСК прям в js это тоже ок по вашему?
да, ок. искренне не понимаю, почему у вас бомбит.

ВСЕГДА делай валидацию на клиенте — береги нервы пользователя.
ВСЕГДА делай валидацию на сервере — не доверяй данным от клиента.

А и действительно чего бомбить то. Во всех готовых на 100% системах есть туду «а тут мы что то придумаем как быть»:):):):):) Это же стандарт.

Готовые на 100% системы — это что? Это когда проект fixed price?

Читать срачь «code-standart» сотрудников из одной конторы — безссценно
© Мастерард

ха. это вы еще не в курсе, что в пределах большой аутсорс компании разные проекты отличаются иной раз сильнее, чем разные компании.

Причём тут стандарты кода. Вас не смущает ПУСТОЙ хендлер на success в готовом продукте?:)

В сфере ИТ готовых продуктов (за исключением, разве что, кнутовского TeX) не бывает. Бывают поддерживаемые и неподдерживаемые.

В данной ситуации меня не смущает пустой хендлер на success. Хотя я бы и сделал замечание, если бы я делал ревью. Но это абсолютно не критично.

Что на самом деле является критичным — так это то, что при подходе «готовый продукт» система будет мертворожденной. То есть «сдали и забыли». Даже если будет найдена уязвимость, исправить будет нельзя, система же полностью готова и сертифицирована!

по тій версії вимог до отримавння сертифікату ксзі дстзі вносити зміни в систему після видачі сертифікату або не можна або дуже геморно. два рази вимоги читав з різницею в кілька років. правда було це 8 років тому останній раз. може шось змінилося. але сумніваюся

Ну все правильно — якщо код помінявся то треба тестувати по новій.

Забавно читать «экспэртов» по ЕЦП ))) А файлик этот содержит открытые данные :)
Я вам больше расскажу, чтобы еще больше забомбило — документы подписываются прямо в браузере и никак не может быть иначе. Просто не может, а вот почему, предлагаю подумать на досуге. Кстати, подсказка ответа на странице есть.

Ай действительно чего это я. Все лохи используют костыли аля аплеты или плагины. А оно вот оно как оказывается. Берем на js нафигачим и всё ок......

Апплеты — это вообще большущая дыра. JS-код имеет доступ лишь к файлам, которые загрузили на форму страницы. Апплет имеет доступ ко всей операционной системе.

В идеале поддержка функций подписи/шифрования должна быть вшита в браузер. Но ЭЦП — оно только в особо прогрессивных странах. В США еще до такого не дошли. Поэтому поддержка в браузерах будет очень нескоро.

Ну это да но тут ещё интереснее вылазят результаты. Почему то либа для работы с ЭЦП на обсуждаемом сайте очень сильно совпадает с github.com/gorserg/sign_sample Странно это как то. Чувак вообще ни по одному из профилей не контачит с «мирандой»

Либа иитовская: iit.com.ua/...les/EUSignJavaScriptD.doc .

«Чувак», разместивший библиотеку, очевидно, разработчик UnityBars, компании, которая разрабатывает реализацию BankID от НБУ и Ощада. Так что всё-таки косвенно пересекается.

Библиотека ИИТ — 4 MiB компилированного «java-скрипта» (написание сохранено). Это единственная сертифицированная Держслужбой реализация гостовских алгоритмов на JavaScript. Появилась она в ответ на свободную реализацию, появившуюся на год раньше.

Свободная реализация «очень плохая», потому что денег на сертификацию нет: github.com/dstucrypt

Подробнее о последней в частности (и о рынке гос. криптоуслуг в целом) тут: www.youtube.com/watch?v=lciOImm7srw

Вообще, эта эпопея с электронной идентификацией на госсайтах и юридически значимых э-услугах тянется уже больше 3 лет. И так, и эдак пробовали, Баба-яга против. Призывали поменять ДСТУ на RSA, DSA или ECDSA, или сделать автоматическую систему аттестации криптобиблиотек — фигушки. Законопроект про BankID завис в ВР: w1.c1.rada.gov.ua/...2/webproc4_1?pf3511=59139
Законопроект про Э-карточку вроде приняли, но непонятно как они собираются бесконтактно реализовать ЭЦП в чипе, который заточен под верификацию подлинности документа. Скорее всего, это очередной развод.

Если бы был опрос «кто больше всех тормозит развитие э-идентификации», то думаю, победила бы ДССЗЗИ. Потому как нормативные акты в этой области — её сфера ответственности. И она должна была быть драйвером изменений в стране нормального человека.

Наверное потому что он ее взял у кого-то другого

In their defence, обратите внимание, везде JSdocs!

Одааааа JSdocs наше всьо:)

До речі підтвердження телефону досі не працює :)

наприклав в хомпейджу порталу кабінету міністрів

<script type="text/javascript">
$(function() {
// Horizontal Sliding Tabs demo
$(’div#st_horizontal’).slideTabs({
// Options
contentAnim: ’slideH’,
autoHeight: true
});
});

між іншим, сертифіковану дстзі

між іншим гуглиться на стековерфлов stackoverflow.com/...-how-can-disable-top-menu

тобто сайт кабінету міністрів зклепаний методом контрол ц контрол ве

А хто каже шо інші дєржподєлія кращі?:):):):):):) Просто за дані на держпорталі кабміну не будуть на декілька років саджати і з посад звільняти:) Так й розробники «держпорталу» шась не бугають і не розповідають як в них 100% готовий код не сертефікують

розробники порталу нужниє люді і сертифікат їм на день народження подарували. разом з підрядом клепати сайти всім держорганам від міністерств до цюрюпінських райдержадміністрацій

Не всіх, от Мукачівську РДА не взяти ж на понт

звичайно не всіх, плантацію окучували поступово

Пічально це. Але гівно сайт РДА чи когось це просто попил бабла. А декларації в реєстрі мають бути доказом в суді. Рівень емм відповідальності і говнокодінгу має бути відповідний до задач:)

Скорее всего — в этом и есть прикол. То-есть пиляльшики рассуждали -"сделаем как всегда, сертификат подарят на день рождения«. Не даром же директор фирмы, которая существует аж с 1993 года и понаделывала много чео гос. организациям на первых сходках громогласно заверял, что технически все тип-топ, только вот в документация надо пару страничек местами поменять.
А тут друг не получилось «как всегда», ибо слишком серьезные люди могут попасть под метлу. Печалька....

Да он такой весь из себя уверенный был я думаю потому что известных дыр в использованном фреймворке (предположительно bootstrap) не было. Но как тут неоднократно писали — безопасность это не только отсутствие уязвимостей из OWASP top 10...

ну хтось розумно зауважив в інтернеті, що єдиний спосіб гарантувати шось — зробити подачу декларацій на основі блокчейна

+ там хоч шось Є а не порожні хендлери з «а тут ми придумаємо потім»

В этой истории прекрасно все. Начиная от тендера(сами представители ООН выбирали победителя!) и заканчивая неизбежными тихими похоронами в течении полугода.

Прошла еще инфа что Миранда имеет отношение к Шабунину.

Ага, а еще я встречал в фб инфу, что к Путину. И это он все задумал....
ЗЫ Сарказм если че, а то тут некоторые явно тугодумны

Я уже тут ниже отвечал, но повторюсь — не все занимаются самолюбованием.

У Oracle и IBM тоже сайты когда-то были то еще говно. Да и сейчас подчас не лучше.

Дадада. Конечно же. Безусловно.

Никогда не видел старый сайт IBM-а?
Тю.

Я даже больше скажу — в 1970 году у этих лохов вообще сайта не было!

Да, я ошибся — не к Миранде, а ПРООН и самому процессу выбора исполнителя.

Да ладно вам! Всё круто, спокуха:
podrobnosti.ua/...-glava-natsagentstva.html
«Для того чтобы создать препятствия для несанкционированного допуска извне, была куплена шифровальная машина. Эта шифровальная машина не дает возможности искажать полученные данные. Таким образом система защиты персональных данных защищена».
Ясно?
... А поэтому:
«Любые разговоры по поводу того, что вся эта система не защищена, что не было юридических норм для запуска ее, не имеют основания», — добавила глава агентства.".
Понятно?

Аттестат соответствия КСЗИ не выдан. Остальное — до лампочки.

это и есть лоббирование интересов с стороны чиновников...... Все просто рубится в этом аспекте

ваще то это был сарказм))) Про аттестат КСЗИ я в курсе ;)

А внутри у ней неонка...

Неуж-то ту самую Энигму перекупили!?

там претензии оказались не к коду, а к документации.
этот пост смотрится как очередной бред наших недожурналистов

Главным тестом будет взлом от Falcons Flame и кто там еще у нас «пиратствует» в мутных водах интернета. ))

Тогда и послушаем кого реально забомбит.

Изначальный фейл отдавать разработку коммерческой организации.

Ну да, очевидно что вчерашние студенты с з/п 3к гривен на госслужбе написали бы лучше.

Так там судя по сайту как раз практически такие и делали.

Так они ее и писали. Судя по описанию эта конторка, которую замутили при ВУЗике. А это означает, что работать там будут студеры и не за

з/п 3к гривен
а за зачет.

В основном там сидят как раз таки студенты 4-ого курса КПИ, которых отобрали после летней практики. з/п 4-6к.

Ооо да. За то какой нить НИИ «Програмных средств» сделает все отлично

Изначальный фейл требовать разработку кода, а не стандарта данных.
Декларация это пассивные данные. Вместо этого обсуждаем какой-то кривой и полностью закрытый код.
Замечания Держспецзв’язку похоже именно об этом.

Любая разработка претворяется созданием организации.

Ох уж эти конкуренты. Код открыт. Комментирован. Документация по ГОСТу. Есть такое требование у международников, анализ на vendor lock. Стандартная процедура для кастомных систем, увы ничего не то что закрытым, некомментированным оставить не получится.

некомментированным оставить не получится

Вы про эти каменты?

success: function (result) {
//alert(result.status);
if (result.status.status) {
//todo придумати як сказать, що email пройшов перевірку

Тут имеют в виду публичность открытого кода. Он действительно где-то опубликован? Имеется в виду серверная часть.

В «запущенной» системе е-декларирования отсутствует основная часть — сама система е-декларирования и КСЗИ. Отсутствует ТЗ, проектная, конструкторская и техническая документация. КСЗИ как таковая отсутствует. О каком аттестате соответствия может идти речь? Специалисты из ДССЗЗИ совершенно правы. Для создания и запуска системы нужно финансирование и 4-6 месяцев.
Безвизовым режимом прикрываться не стоит.
Какой-то детский сад.

Абсолютно безосновательный комментарий.

От якби я не знав шо таке ДССЗЗІ, чи хочаб вони свої відмазки почали ліпити не за кілька днів до запуску системи, то можна було б критикувати Міранду.
А в наявному пейзажі гівнюк..ми виглядають всі, без розбору і покладати відповідальність тільки на одних розробників, щонайменше, неправильно

Государственный софт, ТЗ и подписи — это боль.
Печаль, что события, которые выходят за пределы Украины, негативно влияют на имидж всей отрасли страны

Jaanika Merilo

Якщо взагалі казати про зраду, то це воно. Сьогодні вночі запустили систему електронного декларування без сертифікату. Як наслідок, чиновники, які подадуть декларацію до отримання сертифікату системи, не можуть бути притягнуті до кримінальної відповідальності. Простими словами: якщо я забув про дві квартири у Лондоні, то ніяких наслідків не буде, але це ж і була суть всієї системи, що були б і наслідки.

Працююча системи електронних декларацій була остання вимога для отримання безвізового режиму і наступного траншу від МВФ. Так кого ми обманюємо? Себе? Так ніколи змін і не буде. Європу? Вони реально не дурні і дивляться на суть, а не на піар, а суть в цьому, що в нас тільки що запрацювала нова база даних декларацій, а не інструмент прозорості. Я би зараз припинила би можливість подавати декларації, долучила би всі сили, щоб отримати сертифікат і запустила би вже працюючу систему, яка виконуэ мету.

Цікаво було би дізнатися, яка остання причина на ненадання сертифікату, бо якщо згадати одну із багатьох причин ДССЗЗI, то система ж не відповідає вимогам захисту, тобто ми що запустили систему, яка не відповідає вимогам захисту і вимогам суті? Чи це вже не ця причина і знайшли щось інше? Але це все під грифом великої таємниці.

А селфі держорганів з соціальних мереж про «ми запустили», рекомендувала би не публікувати, бо така наглість ховати зраду під перемогу ще більше обурює.

(Але я не вірю у вседержавну конспірацію і надіюсь, що пан Президент, Прем’єр-міністр і Oleksandr Saenko швидко прокоректують ситуацію, бо сьогоднішня ситуація нікому не потрібна, окрім корупціонерів)

Будемо із зацікавленістю слідкувати за першими деклараціями. Продовжується...
www.facebook.com/...1194812675&type=3&theater

Есть комментарий от судьи, что это чушь. pbs.twimg.com/...Cp5vffxWgAAa1MO.jpg:large

Вы верите судье? Который сам должен подать декларацию.

Конечно я верю судье, а есть основания ему не верить? Или вы можете опровергнуть его аргументы?

Конечно есть основания ему не верить, ведь он заинтересованное лицо, и сам хочет изюежать ответсвенности. А какие основания ему верить?
Он верно сказал, что без системы защиты эти декларации не имеют силы в суде, и придется собирать доп доказательства, что в систему не было несанкционированного доступа. Как Вы думаете, сложно будет найти/сфабриковать факт несанкц доступа? Сколько времени этот сбор, доказываение, аппеляции займут в нашей странее, и сколько раз успеют эти судьи вылететь за бугор, и избежать ответсвенности?
Опишите процесс по шагам, от «Найдено несоответствие декларации и имущества» до «виновник наказан» в случае наличия КСЗИ, и его отсутствия.

Прохання до розробника — опублікувати технічне завдання на цей реєстр. Щоб кожен міг зробити висновки не по коментарям а по першоджерелам. Якщо ця річ дійсно відповідає технічному завданню — відповідальність повинні понести ті, хто його розробив та затвердив. Агентство з запобігання корупції... LOL

Не верно думаете. Я уже писал — заказчик не государство.
А информация про тендер была даже на этом сайте dou.ua/forums/topic/15098
Там же и ТЗ есть

ну, если собирать по крупицам, то отсюда можно нарыть часть.

Думаю, там везде стоит гриф ДСВ

выйграла
Пройграв.

От этого сайтика прям с первой же секунды несет государственным рукожопием. Тут надо или делать заказ в забугороной компании, а разрабатывать будут все те же наши программисты, и/или отдать в опенсорс, возможно с призовым фондом для важных коммитов каждый месяц, как то так :).

Ну и надеюсь у них будет распределенные серверные кластеры, далеко забугром- что попало в систему выпиленным быть не может, а не «у нас техничка ведро перекинула на наш сервер» все декларации Ахметова где то пропали:)

опенсорс, возможно с призовым фондом для важных коммитов каждый месяц,
Это вполне могла быть некоммерческая организация с зарплатами, соцпакетом и т.д. Открытый код и открытая отчетность самой организации. Ревизия деятельности любым желающим, главное свободное время, необходимые компетенции.
Ну и надеюсь у них будет распределенные серверные кластеры, далеко забугром- что попало в систему выпиленным быть не может, а не «у нас техничка ведро перекинула на наш сервер» все декларации Ахметова где то пропали:)
Ага, вот прямо так. На такое, КЗСИ вы никогда не получите )))

Тут вся справа що лише комінтарі, та — «не винуватая я»...

подивіться на сам продукт. питання про саботаж зникнуть самі по собі. елементарні речі з CRSF не закриті. якщо реєстр запустять в такому вигляді — будь який корупціонер елементарно відіб’ється від відповідальності в суді, довівши що його декларацію могли підмінити

CRSF створює високе навантаження на сервер? Щоб побачити кваліфікацію «проффесіоналів» що розробляли цей софт достатньо глянути на вихідний код на JS. Відверто слабко навіть для прототипа, не кажучи про продукт, який сьогодні має здаватись в експлуатацію. Якщо братись розробляти серйозні речі — варто реально розцінювати власні сили.
P.S. корпоративний сайт miranda.net.ua також показний в плані «володіння сучасними технологіями»

CRSF створює
 — сорри, что есть CRSF?

якщо зосвім точно CSRFP. ще вчора не було. Навіть заскріншотив (tinypic.com/r/24g54zl/9) . Напевно вже виправили. Але хто його знає скільки там ще таких нюансів. токен передається через кукі, потім скрипт зчитує з кукі і додає до форми. Форма передається на сервер серіалізованою в JSON, в джаваскрипті каша. не заздрю тому, кому доведеться в цій каші порядок наводити згодом. Якщо серверний код написано в тому ж стилі що й клієнтський

Відкрийте miranda.net.ua і насолодіться.
Ага. Домен net.ua також невимовно прекрасний якщо мати на уйвазі що чувакам замовили надзвичайно важливу і відповідальну задачу.

Не все занимаются самолюбованием )))

? У них нет торговой марки. Список заказчиков тоже очень мил. Тут изумлялись что нельзя отдавать разработку прогерам за 3000 грн. Ага...

CSRF-захист є. Передається через хедер X-CFRS-Header. Так що з цим все в порядку. Перевірив щойно на try.declaration.org.ua

Не понимаю, с чего такой ажиотаж. Это же Украина, тут все делается через жопу и в последний день. Ну вот посмотрите. www.dstszi.gov.ua/...t_id=259430&cat_id=240232
8го августа ДСТЗИ заявляет, что у них ничего нет. Тащемта все, конец обеда. Если действительно собираться запускать что-то 15го августа, это сообщение должно было появиться где-то в апреле-мае. Остальной происходящий бред — попытка прикрыть задницу при нездоровом внимании и гласности.

Ну по поводу Украина и через жопу можно и палегче. Могу напомнить запуск Obamacare в Штатах, когда сайт тупо лег. Ага. При наличии правительственного CIO и кучи крутых ИТ кимпаний в стране.

Будто бы одно отменяет другое :]

А там кстати одна из наших аутсорсовых компаний его и писала

Там насколько я помнию была проблема с availability and capacity. А это все таки в меньшей степени код, а большей степени operations.

На JavaEE с JSF (и иже с ним) было сделано, поэтому похоже и возникли основные проблемы с availability and capacity

Ну на самом деле глубоко пофигу на чем лишь бы допускало горизонтальное масштабирование. Все надежные системы строятся из ненадежных компонентов.

Главная проблема была в том, что правительство, в общем-то, никогда не делало сервисы для конечных потребителей. В США базовые средства взаимодействия с правительством — это почта, факс, электронная почта. Сайты, конечно, были, но не электронные сервисы. Вообщем, все как у нас 2 года назад, кроме наличия/отсутствия факсов и e-mail.

В США банально доверия больше. ЭЦП, BankID — всё это там просто не востребовано. Как в анекдоте про то, как русский выиграл в покер у англичан. Это, конечно, компенсируется мощностями АНБ и ФБР. Зачем э-сервисы, если можно позвонить и подписать документы по факсу?

Кроме отсутствия опыта создания сервисов для масс, были проблемы и с совместимостью. Слишком много подрядчиков и мало координации между ними. Как в выступлении Райкина «Кто сшил костюм?».

healthcare.gov — это вообщем-то история успеха. Благодаря этому фейлу в США родилась USDS en.wikipedia.org/...ed_States_Digital_Service
Это что-то типа нашего агенства э-урядування, только работающее.

Героем стал бывший Site-reliablity engineer из Google
blog.newrelic.com/...content/uploads/80893.pdf

Со всеми замечаниями ДСТСЗИ абсолютно согласен — такие требования НД ТЗИ, нравится это или нет. Дальше надо читать ТЗ на КСЗИ и ПЗ на КСЗИ

Ага круто отписались, вот только если бы у вас в ведомости на зарплату в фамилии поменять пару букв сомневаюсь, что бы вы получили зарплату в банке.
А тут какая то сплошная хрень и ошибки, столько времени прошло с разработки, почему так поздно подали на экспертизу непонятно.

Правда? Со всеми? И с пунктами 3.3, 3.5, 3.6 тоже согласен?

ТОВ «Міранда» нагадує, що спосіб авторизації BankID був прописаний в Технічному завданні на КСЗІ ІТС «Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави і місцевого самоврядування», яке було погоджене ДССЗЗІ ще 03.08.2016.
То есть финальное ТЗ было оформлено только 3 августа, а система должна быть написано, протестирована и запущена в продакшен в 00:00 15 августа? Ннайс.
Згідно з трьохстороннім Актом приймання-передачі № 1 від 27.07.2016 власником програмного забезпечення, розробником якого є ТОВ «Міранда», є Національне агентство з запобігання корупції.
А это что за акт приёма-передачи, который был подписан ДО утверждения финального ТЗ?

1 «финальное ТЗ было оформлено только 3 августа»: не оформлено, а утверждено ДССЗЗИ.
2 «что за акт приёма-передачи, который был подписан ДО утверждения финального ТЗ»: не путайте передачу ПО и ТЗ на ПО и утверждение ТЗ на КСЗИ.

Отмазка по пункту 2 прекрасна. К ней должна идти пергидрольная прическа с начёсом, перегазружающийся «компьютер» и «у нас уже три минуты обед».

Опубликован протокол обсуждения замечаний:
www.eurointegration.com.ua/.../e/4edc898-0-original.jpg
www.eurointegration.com.ua/.../5/653eb4c-2-original.jpg
Кто-то видит там замечания по качеству кода, по уязвимости системы?

А чем пункт 2 и 3 протокола, противоречит старт посту? В пункте 3 вообще описаны конкретные претензии к безопасности системы и защиты от несанкционированного доступа с внесением изменений задним числом.

3.1 відсутнє визначення об’єктів, що містять конфіденційну інформацію
#Визначення об’єктів, що містять конфіденційну інформацію, приведено у пояснювальної записки до технічного проекту

(пане адвокат, можна глянути на пояснювальну записку?)

3.2 не визначено порядок ідентифікації «незареєстрованого користувача»
#на етапі технічного проекту було прийнято рішення про відсутність потреби в ідентифікації «незареєстрованих користувачів»

(ТОВ «Міранда» прийняла таке рішення? Чи таке є нормою коли розробляеш систму, яка задумана як система протидії корупції — на основі матеріалів можуть буди конкретні кримінальні справи з конфіскацією майна?)

3.4. у документації має бути визначений склад КЗЗ та відповідність цієї інформації технічному завданню
#Це технічна описка: у пунктах 2.2.1 та 2.2.2 замість слів «Склад компонентів КСЗІ ІТС ЄДРДО» слід читати «Склад КЗЗ ІТС ЄДРДО».

(Вибачте, це юридичний документ! Чи описка технічна? Ви розумієте що Петро Михайлович, та Пєтро Николайович — дві різні особи для суду?)

3.6. технічний проект не містить опису механізмів (компонентів програмно-апаратних засобів), що забезпечують реалізацію функціональних послуг безпеки
#Опис механізмів, які забезпечують реалізацію функціональних послуг безпеки, визначено у додатку № 1 до пояснювальної записки

(А чому не визначено у Email до секритарки Галі? На основі пояснювальної записки потрібно поставити візу з помцткою «безпечно» — при невизначенності реестрацій субїектів доступу з п. 3,2?)

3.7. тільки 4 з 26 програмних засобів, які реалізують функції безпеки, мають відповідні експертні висновки
#"У разі використання засобів захисту інформації, які не мають підтвердження відповідності на момент проектування системи захисту, відповідне оцінювання проводиться під час державної експертизи системи захисту«. Отже, експертне оцінювання зазначених програмних засобів, знаходиться у компетенції ДССЗЗІ.

(А протокол претензій склав невідомий? Чи той хто уповноважений підписати акт виконаних робіт, з первинною єкспертизою — де зазначив 4 з 26 відповідає технічному завданню?)

3.8 програмний продукт не містить засобів інтеграції з зовнішніми IТС, у той час як цей функціонал заявлений у технічному завданні.
#Після затвердження Технічного завдання на побудову КСЗІ Національне агентство з запобігання корупції не забезпечило організацію інформаційної взаємодії з жодним з зовнішніх IТС, що унеможливлює включення засобів інтеграції до складу КСЗІ.

(Х*як-Х*як і в продакшин? То Х*й на те технічне завдання?)

#Зважаючи на вищевикладені коментарі, ТОВ «Міранда» звертає увагу на відсутність зауважень до програмного забезпечення та інформаційно-телекомунікаційної системи Єдиного державного реєстру декларацій в цілому.

(А протокол не про технічний стан системи та претензії до захисту безпеки від не санкціонованого доступу, це не претензії технічні?)

Коментар порушує правила спільноти і видалений модераторами.

По поводу п.3.2 — притензии касаются публичного портала, там где информация публикуется без личных данных (ипн, адресов и т.д.). Или вы предлагаете у каждого, кто заходит на эту часть паспорт спрашивать?

А вот и интересность и мечты о чётком ТЗ.
Судя по посту Госспецсвязи и более раннему посту разработчика первым не понравилось использование BankID как решение авторизации. При том что это решение было в ТЗ (действительно ли было?)
Далее в этой заметке сказано что

До слова, через те, що Держспецзв’язок не визнає ідентифікацію через BankID, низка сервісів електронних послуг в Україні працює в режимі дослідної експлуатації.
Т.е. потенциальные проблемы с тем что реализованое техническое решение авторизации примут и поддержат были очень давно, но менеджерское решение использовать именно эту систему ставит под сомнение компетенцию таких менеджеров. Ведь давно говорили что систему будут стопорить и “непущать”.
Неужели не было стратегии проталкивания продукта через бюрократов? Да к дискуссиям в клубе по-моему лучше готовятся.
Думается так же что тому кто нашёл эту лазейкудыру в механизме проталкивания продукта (то, что Госспецсвязь не признаёт BankID) дадут медаль/премию/просто денег в благодарность — сколько #нужныхлюдей вздохнуло с облегчением узнав что она есть.
не понравилось использование BankID как решение авторизации. При том что это решение было в ТЗ (действительно ли было?)
См. стр. 13: www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf
Четко сказано, что система, кроме ЕЦП, должна иметь альтернативный метод, предусмотренный законодательством (например, BankID, MobileID....).

Так об этом и говорилось. Было ТЗ. Тз выполнили (судя по документу). Теперь получается что выполнение ТЗ не позволяет системе сертифицироваться.

Что сразу бросилось в глаза — что есть присутствующие и есть те, с кем согласовано. Нет ответственных.

Так же о другом хотелось сказать, но это уже в другом посте.

Основной вопрос: а со стороны исполнителя были безопасники, которые от начала старта работ над проектом и сбора требований ну и на всех последующих этапах, следили за выполнением требований стандартов к секьюрности и так далее? Если нет, — тады ой.

Судя по отпискам там тока голые програмеры и продажники с барыгами.

любители поговорить, вот скажите, кто то, все кто хором пишут о замечаниях программного обеспечения, пробовал ее проверить а не голосить?

Я пробувала, я там зарегілася. І код подивилася. Вам ще щось розповісти, чи самі підете? :)

Що розповідати? Про глючний жабаскріпт який телефон ввести не дає? Цього досить? :)

Ви знущаєется? Я не буду допомагати вам виправляти вашого каліча.

Так а взагалі —

[email protected]
яке відношення до НАЗК чи Міранди?!

))) конструктив... Ви часом не в ДССЗЗІ працюєте?))
Такий же підхід «у вас все погано, а що ми вам не скажемо».
Загалом я не впевнений, що функціональна проблема, яку ви зазначили має місце.
А якщо, таки, вона існує, то будемо виправляти...
Проте нічого суттєвого, що негативно впливало б на функціонал, поки що в обговоренні не було зазначене...

В мене написано в профілі, де я працюю. Раджу поцікавитися, що то за контора. В нас є історія. Цікава.

Загалом я не впевнений, що функціональна проблема, яку ви зазначили має місце.
У меня есть предложение — если в коде все так хорошо, как вы думаете, выложите его на гитхаб, умные люди посмотрят и скажут где дырки.

Ковыряться в говняном javascript на фронтенде тут мало у кого желания

Артём, не надо из крайности в крайность шарахаться, давайте придерживаться середины... Никто не говорит, что код идеален, безупречен и нельзя ничего улучшить... Однако он обеспечивает соответствие ТЗ и необходимый функционал.
По поводу «выложить на гитхаб» предложение, конечно, интересное, только вот не к нам, т.к. Миранда не является собственником продукта...

Ну т.е. то что информация о каждом кто зарегистрировался в системе попадает на почтовый сервер Миранды кот-й не имеет никакого отношения к НАЗК и таким образом имеет место быть банальная утечка это так, мелочи.
И кстати пишут что функционал то код не обеспечивает — последние 2 фазы вы так и не сделали.

Знову за те саме... Сергію, як вже раніше повідомлялось та багато обговорювалось, етапи створення ПЗ, то є Результати 1-3 договору. Результат 4 договору виконаний, проте під’єднання до зовнішніх ресурсів не можливе до отримання атестату ДССЗЗІ. Результат 5 не має відношення до створення коду.
Таким чином на цей час система має повний функціонал для накопичення та оброблення інформації.
Щодо «попадает на почтовый сервер Миранды» то у Вас мабуть, якась застаріла інформація або дезінформація. Обмін такими даними виконується виключно у межах закритого контуру.

Про ваш «закритий контур» вже в курсі правоохоронні органи. Спакуха

)))) Доброго ранку.
Звісно в курсі. Це все досить докладно було викладено у документації, яку було подано в ДССЗЗІ.

А отакий раут пошти Ви показували dou.ua/...aign=reply-comment#973771 ?

Результат 4 договору виконаний, проте під’єднання до зовнішніх ресурсів не можливе до отримання атестату ДССЗЗІ.
Документацию на API можно в доступ выложить или тоже все NDA?

Мы вообще ничего не можем никуда выкладывать. Нас за это будут ругать, мягко говоря.

Артём, не надо из крайности в крайность шарахаться, давайте придерживаться середины..
Ваша проблема в том, что мы с вами не в суде и презумпция невиновности здесь не действует. Если вам важется, что ваш софт офигенный, а сообщество считает, что ваш софт — дырявое говно, то это ваша обязанность доказать, что софт не говно и не дырявое.

Артём, Вы вообще вчитываетесь в то, что Вам отвечают (на вопрос об офигенном софте я уже отвечал)?
Мнение «сообщества» о софте пока что складывается из полувнятных обвинений и попыток «взломать» систему.
Моё мнение строится на результатах неоднократного аудита международных и украинских експертов, замечания которых были устранены.
Обязательства разработчика перед Заказчиком выполняются вовремя.
А Вам лично мы вроде бы ничем не задолжали. Я пытаюсь ответить на возникающие вопросы, но, судя по всему, зря.
При чём тут презумция невиновности?

Можно имена экспертов огласить? Они ж не ДСП, правда?

Обязательства разработчика перед Заказчиком выполняются вовремя,...
... престiж крeпчаeт, мощно возрастаeт дeнь ото дня процент жиров у маслi

А на чому Вам хтось повинен слати опис проблеми? Яке відношення Ви маєте до цього реєстру?

Представник компанії-розробника (маю ж я право зі свого боку прийняти участь в обговоренні?)... не технічний фахівець, тому й запитую.

Воно і видно, що не тенічний фахівець.

Який тут конструктив, я матеріали для позову збираю. На вас і на вашу гоп контору.

)))) Так Ви так зразу і повідомляйте...
Sergiy Fakas та Sergiy Skyniko то Ваші Коллеги, мабуть?
І ви тут емулюєте дискуссію...?
Молодці...

Sergiy Skyniko
 — без поняття. Але я розіумію коли люди проектують свої цінності на інших.
Ні, дискусію ми не емулюємо.

А як це можна зрозуміти? В профілі тут пусто. Адреса на халявному сервері. Шановні, ви виграли тендер на розробку системи з серйозними вимогами по infosec і ідентифікації а вас самих, як і ваш сайт неможливо нормально ідентифікувати. Ну це веж смішно насправді.

Курили таба-табак, употребляли абсент, и кое-что кстати тоже могли.

И рык Гройсмана — это добрый следователь.

А технические детали — это уже КАК было сделано. Разрабы виноваты!
Нет, чиновники!

Аха, холопы не так плуг тянули.
В тундре.

Расскажу подробнее, о том как в странах третьего мира работают известные организации. Про откаты которые давали Интел думаю слышали.
А вот что за пивом, на семинаре Тасиса ответил консалтер из известной британской фирмы на вопрос
— а вот скажите, почему все таки после тшательных предпроектных обследований происходят провалы проектов.
— ну, давайте я вам расскажу байку, которой конечно не было, и не со мной...

Есть африканская страна. В рамках помощи развитию выигрывает тендер консалтинговая компания. Специализирующаяся в проектах по разработке полезных ископаемых. Ей ставят задачу — ответить на вопрос — рентабельно ли будет хоть что из того что есть добывать.
Несколько месяцев большая группа колесит по стране, анализирует. Аналитики в офисе тоже трудятся. Черновой вариант подается правительству этой страны, потому что контракт с ним. А в нем грусть — в силу таких причин нерентабельно добывать то. В силу вот таких,это. Морпорты далеко, дорог нет, содержание в руде потребует электроэнергии, воды, ... которых нет. И т.п

Правительство читает, и говорит.
— вот у нас переписка с фондом оон по. А вот с инвест ассоциацией. А вот внепротокольные разговоры с министром экономики из, премьером Х
И видите, нам готовы дать денег, надолго, под приятные ставки, но просят план развития хоть какой-то отрасли, подтвержденный авторитетной аналитической компанией.
У нас кроме ископаемых идей нет.
И, если вы покажете этот отчет — мы вам не заплатим. Судитесь, нам терять нечего, денег и перспектив у нас все равно нет.
А если вы покажете что можно что-то добывать нам дадут деньги. И мы вам еще и премиальные выплатим. И будем и другие компании приглашать. И им тоже будем платить. А через 10 лет, на которые рассчитаны план — кто знает что будет.
....
Поэтому когда вам говорят, что какая-то авторитетная организация, компания, сделала позитивное заключение о проекте в стране третьего мира, вспоминаете эту байку, когда через 10 лет тот проект окажется пшиком

Поэтому когда вам говорят, что какая-то авторитетная организация, компания, сделала позитивное заключение о проекте в стране третьего мира
оставьте в покое страны третьего мира

чего стоит только история банкротства Lehman Brothers, которых многие годы покрывали Ernst & Young
www.reuters.com/...ros-idUSKBN0N61SM20150415

оставьте в покое страны третьего мира
я к тому что внутренние правила, регламенты ТНК, международных фондов и т.п. разные для стран 1го мира, 2го и 3его.

ваш пример не единственный, когда и в странах 1го мира такая хрень творится. но его все же можно считать исключением.

а вот в странах 3его мира такое поведение — норма. хотя конечно, тоже бывают исключения.

Украина — страна 3го мира, несмотря на ряд факторов, дающих надежду на перспективу перейти во 2ой мир.

Вибачте, ви були самі хоч в одній страні третього світу?

Ясно, значить не були. Ражду з’їздити. це недорого.

дякую. краще до Європи, це блище, і все ж дешевше.

ви мабуть натякаєте на рівень злочиності?
Печальную статистику не так давно обнародовала Генпрокуратура Украины: в стране за последние два года резко выросло число убийств, грабежей, квартирных краж и угонов автомобилей, пишет Евгения Вецько в № 6 журнала Корреспондент от 19 февраля 2016 года. По некоторым данным, в полтора-два раза. Например, в 2013 году правоохранители зафиксировали 13 тыс. особо тяжких преступлений, а в 2015-м — уже 21,5 тыс.

И даже эти цифры не отражают всей картины — в отличие от данных за 2013 год, в статистике не учтены Крым и занятые сепаратистами части Донецкой и Луганской областей. Иначе показатели были бы ещё выше.

звісно, буває ще гірше. країни 3го світу теж різні.

... Что же касается такого критерия, как “эффективность функционирования правительства” (Democracy Index 2010), то у нас дела, как выясняется, даже хуже, чем в Лесото, Намибии, Папуа " Новой Гвинее и Суринаме.

що там з провадженням е-декларування, не чули останніх новин?

Главное не ваша наивность, которая в постах в этой теме, а то что Украину считают страной третьего мира те которых принято считать первым миром.
Даже президент называет в Украину потому что у нас дешевая рабочая сила.

А что о себе думает эта рабочая сила и наивные мальчики и девочки — не имеет значения

Если есть только 2 категории стран, развитые и развивающиеся, то почему «третий» мир? Где второй? upload.wikimedia.org/...st-developed-2008.svg.png

Бывшие социалистические страны — это и есть 2-й мир.

Сергей, Вы, судя по-всему, очень большой эксперт в международных public procurements... Байки всякие знаете...
Если Вам хочется жить в стране третьего мира — живите наздоровье...
А подобными «фантазиями» очернить можно любой проект и любую организацию. Не ново и не оригинально...

да ты сказочник еще тот )) я видел проекты для стран третьего мира. Там вопрос ставится по другому чем ты тут придумал. Вопрос стоит так — фонд когото например при ООН выделяте 5 лямов на обследование перспективных отраслей экономики. На эти 5 лямов фонд присылает 2е консалтинговые конторы которые ездят по стране, тусуются с министрами и т.д. и в конце готовят отчет который называется типа пре-стади. В отчете приводятся оценки перепективности разных проектов — например введение НДС, постройка нового города, развитие внутреннего туризма, продажа лицензий на добычу ископаемых, приватизация предприятий, стратегичиский план развития на 20 лет и т.д. Консалтеры рапортуют фонду и деньги получают вперед, можны немного приукрашать отчет, но только в какихто мелких пределах. На следующие 5 лимонов пишется один -два-три детальных бизнес плана с горизонтом 3-5-10-15 лет, куда включены подготовка законодательной базы, финансирование, инфраструктура и т.д. Опять же консалтеры получают большую часть денег вперед, а не по факту. И если престади и план стоят 5-10 лимонов то на сопровождение проекта можна заработать гораздно больше. Фонды кто даст денег на проект будут изучать бизнес плани и пришлют своих аудиторов ну и т.д. Ошибки конечно тоже бывают, но не так что бы кто то писал фейковый репорт.

Ошибки конечно тоже бывают, но не так что бы кто то писал фейковый репорт.
а полностью фейковый — никто и не пишет.

а скажем — учитывая

Ошибки конечно тоже бывают
закладывается самый оптимистический сценарий. то что вы и сами написали
можно немного приукрашать отчет

тот британец рассказал именно в виде байки, «аллегории», чтобы показать что в историях подобных
Сеть «Космо» судится с IBM за 26 млн гривен из-за провала интеграции ERP-системы
от стороннего наблюдателя скрыты нетехнические моменты.

на том семинаре были кейсы по реальным случаям — типа как внедрение SAP R/3 убило одну из американских аптечных сетей.
и — рассмотрение признаков «что что-то пошло не так».
например такого: на фоне победных рапортов о процессе внедрения SAP, несколько топов начали избавляться от своих пакетов акций родной компании, одновременно, мелкими частями через разные брокерские компании

так что я не вижу как ваш пост отменяет мой. и наоборот — мой ваш. мы просто рассказываем о разных гранях одного и того же.

про самый оптимистичный сценарий — согласен )))

P.S.
покопался, оказывается у меня сохранились некоторые материалы с того семинара

даже с правильной датой 03.12.2000 :)

это был семинар для руководителей айти отделов. я тогда был и.о., гендир толкал в начальники. их было несколько, конкретно этот, 3ехдневный был в Славском, в «Перлыне Карпат» или как-то так.

копирайт материалов
Gallo ECF S.p.A and IMC Consulting

3 кейса выложил у себя в бложике.

но, если вы бывали на подобных семинарах, то знаете что бОльшая часть ценного — в живых обсуждениях, а не материалах.

поэтому да, ничего кроме сказок с них вынести низя :)

ну я так сразу не найду сд с документами, но это было не обсуждение кейса а именно финальные репорты с пре-эвалюйшн для одной отрасли в одной стране третьего мира.

Пропаганда? Наброс?
Читайте Чаплинского лучше, чем этот бред.

Я знаю что мне читать, спасибо безликий за рекомендацию.

Та если бы вы тихо себе читали, то никто бы вам ничего не рекомендовал — но нет, вы сюда этот кусок @#$% притащили.
Да, прочитал dou.ua/forums/topic/8999 , вопросов больше не имею. К монахам.

По делу что есть? Или будем мои носки обсуждать?

Если по делу, то ДССЗЗИ и украинские нормативные акты — это причина, по которой тендеры на украинские госИТ-системы выигрывают такие компании.

Вот вы бы взялись за разработку? С учетом того, что надо не просто разработать, а и документировать (по советским ГОСТам, между прочим), пройти сертификацию и сдать в эксплуатацию?

Вас не удивляет, что компания, имеющая опыт в госзаказах, не смогла пройти аттестацию КСЗИ? Возможно, причина не в недостатках софта? Единственный существенный «недостаток» — BankID — содержится в ТЗ. А BankID, как известно — прямая угроза криптостандартам ДССЗЗИ. Хотя последняя, конечно, и говорит, что нет проблем заодно аттестовать и BankID.

В банках — международные стандарты, поэтому ДССЗЗИ идет лесом даже в НБУ.

откуда в «советских» ГОСТах — понятие софт и понятие ИНТЕРНЕТ? Давайте не чесать лапшу умышленно, или по глупости!!! Советский ГОСТ)))) Такое Петросян даже не исполнит))) Дальнейшее обсуждение с вами закрыто — идите молоком лучше торговать)))

Для Миранды это нормально, у них такая философия. Впарить заказчику сырой пше-альфа код, но при этом оформить документы на 100%. Никто на сам код даже и не смотрел. Бабки взяли за недоделку, а потом еще и за доведение до ума попросят.

А код перевіряла і тестувала міжнародна компанія PricewaterhouseCoopers
не можу знайти пруф на її висновкі.

в вас нема?

тобто ви самі не перевіряли цю інфу, але впевнено її приводите як аргумент.

нема пруфа — нема аргументу.
аргумент — «британські вчені довели» не аргумент.

те що платила ПР ООН — нічого не доводить.

я не знаю хто правіший у цієї історії.

поки що все типово для української корумпорованої і забюрократизованої системи.

і сама тендерна перемога — типова. Дивина була б якби якийсь Люксофт виграв тендер.
а так — придержавна компанія.

а щодо PricewaterhouseCoopers...

коли був 1Сником, багато чув як вони «перевіряють» в країнах третього світу.
і не тільки вони.
як живцем розповідав один британський консалтер — у Африці, Азії, ми даємо те заключення, за якє платять. а платять тільки за такє, під якє ООН, та інші дадуть грошей.

і коли кажуть що західна компанія не буде ризикувати своїм ім’ям, то або не знають, або прибрехують:
західна компанія і не ризикує своїм ім’ям, тому що інфу з країни третього світу на заході враховувати, перевіряти не будуть. а в неї самої є виправдання
— ну ви ж знаєте яка там корупція, які чиновники, — перекрутили все, ось дивіця, ось тут ми ...
— та не треба, знаємо.

нема пруфа — нема аргументу.
В принципе, да. Но можно пойти от обратного и подождать, пока появится контрпруф: взлом или отказ системы, критическая невозможность воспользоваться функционалом и т.п. Если их не будет, то можно допустить, что пруф таки был пруфным.

История столь привычно гнилая, что правильным путем было бы обратится к айти комитету ЕС, или кто у них там отвечает, чтобы они дали софт, к которому никто из наших не прикасался, и в безоговорочно заявили
— вот софт в котором ваши чиновники обязаны декларировать. Его работа будет монитрится дополнительно нашим софтом, установленным у нас. А какие там у вас госты, или еще какая лабуда мешают его внедрению — нас не интересует. Иначе — кредитов не будет. Все.

Меня заинтересовал немного другой ракурс этой истории: как одни наши айтишники с легкостью готовы поверить в говнокодерство других с подачи журналиста или чиновника, не требуя, в общем-то, доказательств. Айтишники как козлы отпущения — такая роль, похоже, устраивает даже многих айтишников.

Легко. Вспомнилось название компании и вспомнился их код, который я видел сам. Надеюсь он стал лучше на этом проекте

Это случай самостоятельной оценки. Я же про безаппеляционные заключения о софте, которые выдали на гора за последние два дня такие известные профессионалы, как наши политологи, чиновники и журналисты.

А де можно почитати SOC від PWC?

Тут нет ничего конкретного, просто сказано что были какие то предварительные тесты PwC, неизвестно по какой методике и чего конкретно

вот и я про то.

зато я угадал, это именно miranda.net.ua — фирма специализирующаяся на гос секторе.

а там выжить честно — невозможно.

И на сайт даже денег не могли насобирать.
Короче кто то в НАЗКе явно прокололся!
Доверить такую важную вещь конторе которая даже нормального офиса или собственности не имеет надо быть полным неучем.

Выбирал не НАСК, а ПРООН. И очевидно при активном участии шабунинсикх аентикоррупционеров.

Там же вроде вполне конкретно указано: PwC — тесты на функциональность и проникновение, TestLab2 — нагрузочные тесты. Далее приводится 21 подсистема с коротким описание фукнционала.

Под тем 17-страничным документом вижу подписи людей от Спецсвязи в компетентности которых у меня сомнений нет. И очень хотелось бы увидеть «окрему думку» Сагайдака )

в компетентности которых у меня сомнений нет
а в искренности и честности?

Скажу так. На нас как на экспертов никогда не было давление со стороны Спецсвязи кого-то валить и непущать, зато бывало чудовищное давление со стороны тех, кто хотел пропихнуть систему. И да, нас в обвиняли в политическом заказе, коррумпированности, срыве международных обязательств страны

Вот читаю фб Чаплинского, и вижу там другую точку зрения. И кучу фактов, в его поддержку.

Там только подпись Сагайдака, Грохольский в отпуске, а Мялковский в командировке. Так что отдувался только Сагайдак с окремой думкой) Тоже хотелось почитать, но журналисты забыли отсканировать с обратной стороны лист, где как-раз и была уже практически легендарная окрема думка пана Романа)

Антон, давай не будем переходить на личности. Или ты думаешь нечего рассказать про тебя и твою компанию? В ГПУ уже все показания дал?

Дело не о конкретной конторе, а как минимум о престиже IT отрасли Украины. Когда берешь такие заказы, нужно понимать уровень ответственности.

Вечер перестает быть томным. Не пора ли прогуляться на Соломенскую 13?
Sasha Drik: “Розробників системи е-декларування фізично не випускають з Держспецзв’язку!”
Update: відпустили www.facebook.com/...5617725155414?pnref=story

Юрій Новіков, директор ТОВ “Міранда”
На вчерашнем утреннем заседании НАЗК представители Госспецсвязи говорили о “10 типах уязвимостей” реестра деклараций, из-за которых она не получила их атестат. Ближе к ночи мы наконец-то смогли ознакомиться с этим экспертным выводом, пройдя длинные переговоры о получении нами допуска к документу. Поскольку он не для всех, копии не имею, цитировать не могу. Но общими выводами поделюсь.

Во-первых, сам экспертный вывод ни содержит НИ ОДНОГО ЗАМЕЧАНИЯ к програмному обеспечению реестра. Все письменные замечания касаются сопроводительной документации. Некоторые из них можно считать не лишенными смысла, получили бы мы этот вывод в 14.00 субботы, как и было обещано — документация уже была бы поправлена.

Еще раз обращаю внимание: утром — рассказ о “10 типах уязвимостей”, вечером — письменный вывод о замечаниях лишь к документации, не самой программе.

Не смотря на эти вроде бы радужные новости, я сегодня твердо убедился, что аттестат система в ближайшие дни ни в коем случае НЕ ПОЛУЧИТ. Ведь кроме экспертного вывода, который был камнем преткновения утром, уже вечером Госспецсвязь вывалила нам на голову ряд новых, устных замечаний. Например: раньше, согласовывая Техническое задание на систему, Госспецсвязь не видела проблемы использовать определенный модуль, описанный в ТЗ. А теперь — увидела, и говорит что этот модуль сертификацию не пройдет ни в коем случае. В общем, готовят пустить нас по кругам своего внутреннего ада

пост в FB

Например: раньше, согласовывая Техническое задание на систему, Госспецсвязь не видела проблемы использовать определенный модуль, описанный в ТЗ. А теперь — увидела, и говорит что этот модуль сертификацию не пройдет ни в коем случае. В общем, готовят пустить нас по кругам своего внутреннего ада
Потому что ТЗ было сделано на отъебись — много воды, никакой специфики, а реализация — это уже специфика и если там лажа ДСС об этом явно и говорит. В общем я на стороне спецсвязи, т.к. проходил эти процедуры много раз и догадываюсь, что такую реакцию могли вызвать настоящие соддом и гоморра в коде.

Коментар порушує правила спільноти і видалений модераторами.

Так код никто и не смотрел — вот в чем вся прелесть ситуации

Никто не запрещал разработчику реализовать и задокументировать BankID частью КЗЗ и провести его экспертизу.
Набросы о «нам разрешили BankID а теперь запрещают» тупая манипуляция, к удивлению дающая устойчивый позитивный результат.
Причина всех проблем НАЗК и разрабов с атестацией КСЗИ — нужно было заниматься подготовкой к ней ещё с весны — когда, судя по опубликованным документам, они передали первые 3 результата 1го этапа в НАЗК.
Впрочем эту причину можно сформулировать ещё короче и одним словом — некомпетентность.

Мне кажется, что ребята просто полезли в воду совсем не зная броду, без специалиста в команде у которого был бы опыт проведения/участия в экспертизах. Иначе он бы им должен был объяснить перспективы BankID и сертификатов от коммерческих банков в качестве надежного средства аутентификации.

Скорее всего с BankID виноват заказчик НАЗК/ПРООН, а не исполнитель Миранда: есть ТЗ, в нем бизнес хочет BankID и разработчик реализует пожелания заказчика. А то что BankID не подходит для получения атестацией КСЗИ, так как сам BankID еще не сертифицирован в Украине, это должно было изначально понимать НАЗК.

Банайді хоче не бізнес а рішення

НАЗК
, мені усі лінки на всі законодавчі аспекти накидали. рішення від 30.06

Охъ, не работали вы с дебилами, ой, политиками :)
ТЗ было составленно именно так что бы в любой момент по политическим причинам завалить систему на корню.
Автору многоходовочки — отдельные лучи поноса в карму :)

Охъ, не работали вы с дебилами, ой, политиками :)
Работал :(
ТЗ было составленно именно так что бы в любой момент по политическим причинам завалить систему на корню.
При госпопиле за ТЗ платят от 10 до 20% денег за проект как завершенный первый этап. Поэтому ТЗ делается большим, отчего растёт его мутность и непонятность. По неписанным правилам все КСЗИ делается как доп ТЗ, чтобы 1) не зависеть от основного ТЗ, 2) быть предлогом дальнейшего попила денег. Там действительно на лицо не многоходовочка, а Жорж прав — некомпетентность.

Я думаю вот эта www.eurointegration.com.ua/...icles/2016/08/13/7053339 статья хоть немного прольет свет на происходящее.

Все это хорошо, только очень далеко от истины.
Государство заплатило за этот проект 0 грн, платил за него ПРООН. Буковки ООН, что-то вам говорят? Проект прошел несколько независимых экспертиз, не от украинских компаний. Все есть в открытом доступе. Госслужащие просто бесятся, что им не досталось не копейки с этого пирога.

В топике написано обратное:

Руководство НАЗК признало, что качество программного обеспечения таково, что систему может взломать любой среднестатистический хакер. С таким качеством электронные декларации не могут быть правовым документом, и превращаются где-то в компьютерную игру.
пока фактическим владельцем программы является частная структура, она не передала НАЗК ни ключи, ни коды. То есть, эта частная структура некачественно выполнила роботу, и, по сути, срывает старт процесса.
Руководство НАЗК признало, что качество программного обеспечения таково, что систему может взломать любой среднестатистический хакер
и везде пишут что никакого документа, с описанием дыр не предоставило.

про то так тендеры работают, уже писал.

а госконторы, такого уровня работают так:
есть «аналитический отдел» в котором давно выпавшие из отрасли «аналитики». не только в ИТ, ведомства связанные с той же угольной промышленностью — тоже сплошь забиты давно забывшими нюансы, не говоря о новшествах. с минздравом — тоже самое. как они туда попали, и почему сидят годами, и не сковырнуть их майданами — отдельный вопрос.

и вот, им приходит задание. а они и «приватным репозиторием Битбакета» пользоваться не умеют.
ну что ж — время надо «потратить», вот неделями «анализируют». ну что там помнится еще, на то и обращают внимание. типа — «программа должна быть совместима с Windows 95».

потом руководство конечно требует отчет. в ответ — а какой нужен?
руководство думает, советуется с «смотрящими».

— а вот такой примерно пишите.

— Есть!

и пишут аналитический отчет.

здесь просто это громко вспыло, потому что проект ну очень важный. а система работать по другому не умеет, как написал выше.

Между разработчиком и НАЗК нет никаких договорных отношений. Разработчик передал систему ПРООН, а уже ПРООН передавал систему НАЗК. На все это есть документы. В т.ч. подписанные главой НАЗК, о полной приемке системы.

Передали нам когда-то на экспертизу систему очередного «государственного документооборта» с полным комплектом документов с актами и приемкой. Беда только что работающего варианта системы никто и никогда не видел ...
А так, наличие Top 10 от OWASP, у проверяемых систем, было скорее правилом чем исключением

Да, действительно есть )
А не использовать SSL это так задумано или тестовый вариант?

Еммм... А сенс тестувати неправильну конфігурацію?

Что это за чушь вообще? Сейчас декларации, например, народных депутатов как выглядят? Тупо отсканенные бумажки в PDF на сайте Рады.
Аналогично другие “посадові особи” — выкладывают сканы на сайтах соответствующих держустанов.
Кого там взломали и нафига? Это публичная информация все равно.

Я вот смотрю, например, на Приват24 — 2-факторная аутентификация пароль + смс/звонок. Смотрю на пейпал — вообще только пароль. А тут в декларациях, где большая часть данных должна стать публичной все равно, вдруг понадобилась какая-то убер-секьюрити? Да неужели?

Как я понял игра там такая
Неотвратимость запуска эл декларирования уже поняли.
Поэтому нужно запустить такое — чтобы всегда
можно было декларировать не все.
Значит надо показать что степень надежности не позволяет декларировать вот какую-то инфу(она может быть клеветнически подделана! Что приведет к репутационным издержкам декларанта — и на кого за них подавать в суд?
В итоге формально все будет соблюдено, а реально будет декларироваться не все

И, вот тут и непонятно кто прав то. Возможно что этот сценарий был изначально заложен, начиная с тендера, а мы видим только одну из финальных сцен спектакля

Пишут на УП что хотят сделать так чтоб кое-кто подал декларацию в то время, пока система типа «не соответствует требованиям», чтоб потом можно было отмазаться что декларация подана в соответствии с законом, того требующим, но она же может быть любая левая и наказать за это нельзя, потому что система «не соответствовала требованиям» на момент подачи.

«Чиновники за законом мають вносити дані в систему два місяці після її запуску. З цих двох місяців місяць вона буде експлуатуватися в дослідному режимі. За цей місяць внесуть всі ‪#‎потрібнілюди‬. Потім їх зловлять на гарячому — апартаменти в Лондоні не задекларував і пояснити звідки гроші на них не може. Сидів би б такий от Романко років зо два, але він йде в суд і каже: система в дослідній експлуатації. Я все вчасно вніс, по закону, а притягнути ви мене по закону не можете. Бо у вас система не справжня. І вносити ще раз я не буду, бо закон я виконав.»

www.facebook.com/...yn/posts/1215536268496893
По ссылке с www.eurointegration.com.ua/...icles/2016/08/14/7053339

Сейчас за подачу неправдивой или неполной декларации предусмотрена уголовная ответственность. Выложил, к примеру, какой-нибудь чиновник-реформатор декларацию в которой у него однокомнатная квартира в Жмеринке и мотоцикл, оставшийся от дедушки в наследство. А какой-нибудь кулхацкер проник в систему и удалил мотоцикл из декларации. На утро реформатора пакует НАБУ. Вот что бы не было такого сценария и нужна убер-секьюрити.

Госслужащие просто бесятся, что им не досталось не копейки с этого пирога.
Система писалась для абстрактного государства и интеграции ее в тепличных условиях?

наверняка.

потому что ТЗ дожидались бы еще не один год.

мало того, по другому даже подобие реформ в Украине невозможно.

только проталкивание полностью далеких от реалий идей может что-то изменить.

сейчас например такое готовит новый министр здравоохранения. там полный разгром украинской медицины, по факту, на первых этапах будет. сломается и то что хоть как-то работало. а если не сломать — то медленно будет догнивать еще мноооого лет.

Я хз насчет ТЗ Сережа, но почва должна была быть подготовлена к интеграции и до минима сведено количество зависимостей на прогнивший госсектор.

Кто-то должен после такого фейла уйти в отставку в лучшем случае.

никто ничего никому не должен, когда речь о системных процессах.

это не коммерческая программа, чтобы избежать ее «контакт» с госсектором.
а как раз наоборот, это программа для госсектора.

почва должна была быть подготовлена к интеграции
чтобы построить дом на болоте — его вначале нужно осушить.

кто занимается осушением «прогнившего госсектора» в Украине? он же — госсектор.

поэтому никакого другого пути и не придумано пока, кроме как — сторонние, внешние силы и организации предлагают, навязывают внедрять в госсекторе нечто, НЕ согласовывая это нечто с госсектором.

это уже не первый случай когда госсектор встает на дыбки от требований МВФ, ЕС, и т.п. или саботирует.

поэтому никакого другого пути и не придумано пока
Чем не вариант отдать это в руки предпринимателям? Зачем отдавать тем кто ничего не хочет менять?
Чем не вариант отдать это в руки предпринимателям?
кто отдаст — госсектор?

а ему, «госсектору» это выгодно?

Зачем отдавать тем кто ничего не хочет менять?
у вас уже несколько постов побуждают меня напомнить

«политическая трескотня» — это когда в тексте присутствуют «должно», «будет лучше», и прочие, и напрочь отсутствуют — субъекты.

уточните пожалуйста, КОГО вы имеете ввиду, в фразе
Зачем отдавать ...?

КОМУ зачем отдавать? в смысле КТО этот отдающий?

а то я вас не понимаю.

уточните пожалуйста, КОГО вы имеете ввиду, в фразе
Зачем отдавать ...?
КОМУ зачем отдавать? в смысле КТО этот отдающий?
а то я вас не понимаю.
Те-же кто несут ответственность за реформы.

А я вот не понимаю как можно делать продукт для тех кому он не нужен.

Те-же кто несут ответственность за реформы.
а кто ее несет? и какого вида?

я вот вижу что ее никто не несет. даже политическую.

вы знаете кто и какую? так назовите КОНКРЕТНО — КТО, и КАКУЮ а не лейте воду.
хватит пустомель политиков, у них работа такая. вы — политик? если нет — то говорите конкретней

А я вот не понимаю как можно делать продукт для тех кому он не нужен.
уже пояснил — болоту не нужно чтобы его осушали.
это нужно тем кто хочет построить дом.
поэтому интересы болота — строителями дома — игнорируются.

например
если учитывать интересы коррупцинеров — то судебная реформа им не нужна.
значит, по вашему, ее и не следует проводить?

электронное декларирование не нужно — минимум 50 тыс чиновников.
и его бы и не было.

но оно зачем-то нужно ЕС, для безвизового режима с Украиной. и предоставляющие кредиты зачем-то его требуют.

так что это вам в Брюссель, в МВФ, с вопросом — зачем они Украине навязывают не нужное ей декларирование.

Я и не говорю о том, что это не нужно Украине

нынешнему, такое какое есть, государству Украина — не нужно.
стране Украина — нужно.

если страна не может изменить государство, то будет мучиться долго.
либо государство будут менять внешние силы.

итак, вернемся — КТО конкретно, и КАКУЮ конкретно несет ответственность за реформы?
если это государственные деятели — то им НЕ нужны реформы. Соответственно они и не брали на себя ответственность за них.

так кого вы имели ввиду, не пойму.

ему не нужны реформы. ему нужно соблюдение олигархического консенсуса и сохранение власти.

если б на него не давили США с ЕС, война с РФией и призрак Третьего Майдана — то он вообще ничего не затевал.

например те же реформы в МинОбороны, хоть какие-то подвижки к ним — сугубо из-за войны.

Система писалась для нашего государства, с учетом всех нюансов изменяющегося законодательства (зимой-весной 16 года). Над ней работала большая группа людей, в т.ч. и юристы выверяющие каждую запятую и формулировку.

7 месцев работы за 1,5 млн. — это чистыми без налогов.
На несколько студентов-разработчиков хватит ;)

в НТУУ КПИ сильно переживают что бы не дай бог миллион не заработали

Да при чем тут миллион? Для компании с годной командой это не деньги. Идея же в том чтоб провести систему через все бюрократические заморочки и довести до продакшена, а не просто предоставить куски кода.

Миллион тут при всем! Даже самая годная команда не будет работать просто за идею.

Вам не кажется что ваш вопрос отвечает на ваш первый комментарий?

Круговая порука. Почему чиновники не вывернут карманы
biz.liga.net/...i-ne-vyvernut-karmany.htm

Сережа я думаю что это было понятно многим на старте. Но что было сделано, чтоб систему сделать конкурентной текущему положению вещей?

Контора миранда, о которой хз кто вообще слышал совместно с гос датацентром были выбраны инноваторами. Это на цирк больше похоже. Я считаю нужно отделять все что связано с бюрократическими тресинами от инновационных решений. Нужно создавать здоровую конкуренцию чтоб оставалось лучшее. А так пчелы против меда и забулькало...

Так тендер на разработку объявленный ООН еще осенью 2015 года был вполне открытым. Что вам мешало участвовать в нем?

Вопрос поставлен неправильно. У меня нет необходимой компетенции и влияния для участия в такого рода тендерах, затем об этом и не думаю. А вот вопрос как там оказались конторы с 0 выхлопом по факту на сегодня?

Откуда у вас информация про нулевой выхлоп? Систему все могут оценить, она уже почти месяц висит в открытом доступе try.declaration.org.ua . И сделано это было, в т.ч. для удобства чиновников, которые хотели научиться пользоваться системой. Было проведено куча обучающих семинаров. Проведено несколько независимых экспертиз системы международными компаниями на вторжение и защиту.

кстати, я погуглил, оказывается сложно найти информацию и про систему, и про ход тендера.
я сходу и не нашел.

например
где-то есть новости о проведенной куче обучающих семинаров?

и т.д. Вы, и не только упоминаете что все открыто есть в интернете, но и на сайте ПРООН я не врубился как найти.

то есть похоже — с информационным сопровождением проекта — очень плохо. вроде никто и не прячет инфу, но найти ее — как-то непросто.

ни в коем разе не имею ввиду именно этот проект, но как получают гранты от уважаемых организациях, и как их пилят — тоже уже вполне известно.

признаки те же что и с гос распилом — все ограничиваются общими словами, а точную информацию получить в действительности оказывается непросто.

, а це проблема розробників чи НАЗК і ПР ООН?
якщо розробники нічого конкретного не можуть довести спільноті — то це й їх проблема.

спасибо :)

но про результат тендера, я уже сказал, да и не только я в этой
выиграла его типичная «пригосударственная шарашкина контора».

т.е. как будто это был обычный гос тендер, а всякие там ПР ООН , - просто вывеска.
грантоедство — тоже не ноу хау в Украине.

как и с системой ProZorro‎ уже все чаще пишут — «те кому надо» — научились ее обходить.

вернее применять старый способ в новых условиях:

условия тендера нужно выписать так — чтобы прошел только тот кто нужен. а чтобы создать видимость выбора — в финал должны выйти несколько фиктиных компаний (или реальных, но с которыми договорились) — которые сами выйдут из тендера.

подробностями в обсуждаемой истории я мало интересуюсь. потому что они не важны.

условия тендера нужно выписать так — чтобы прошел только тот кто нужен. а чтобы создать видимость выбора — в финал должны выйти несколько фиктиных компаний (или реальных, но с которыми договорились) — которые сами выйдут из тендера.

Ну так и делается. Потом еще тендер можно отменять. И проводить заново. И пока контора под которую тендер создавался его не выиграет повторять этот цикл.

Что вам мешало участвовать в нем?
Понимание того что сложности будут не технического характера, а в разного рода продавливания, в бюрократии, в получении Понимание того что для этого всего нужны ресурсы не разработчиков, что даже если предоставить годный продукт — на тебя всё равно переведут стрелки. Это же как работа с предметной областью.

Я считаю что решения под государство должны создаваться открыто и с исходным кодом, чтоб было ревью и каждый мог контребьютить. Была ли возможность посмотреть какие решения использует Эстония для решения подобных проблем?

Какая разница как и кем создавался код, когда аттестующий госорган (Госспецсвязь) срывает согласованные сроки, отступает от одобренного ранее ТЗ и создает препятствия даже к ознакомлению с замечаниями?

Сроки сорвал НАЗК, и лишь благодаря неимоверным усилиям разрабов это случилось столь феерично. Госспецсвязь же констатировала импотенцию официалов НАЗК и разрабов в деле преодоления отечественного законодательства в сфере защиты информации и отказалась подписывать атестат на то, что им нарожали за 4 дня с позволения сказать «экспертизы».
И вообще, виновник торжества до сих пор не назван, хотя крайне любопытно кто же этот уникум из НАЗК, кто курировал проект и удосужился выдвинуть а атестацию КСЗИ её же разработчика, причем за 2 недели до проведения атестации, вместо того чтобы ввести в проект подрядчика-эксперта ещё весной.

Проектным менеджером ПРООН является Иван Пресняков как я понимаю.

Я підозрюю що в нас, як завжди, все не так просто :)
А саме — розробник під тендер пиляє бабло, НАЗК забиває болти на всьому проміжку роботи і просинається за день до запуску системи а прийомна комісія — зацікавлена «не пущать».
Ну і всі сторони процесу ДУЖЕ зацікавлені перевести стрілки.
«Я не я і хата не моя»

Постить мнение журналиста о качестве софта в качестве экспертной оценки на ДОУ. Дожили. Там же еще дата-центр, госпредприятие «Українські спеціальні системи», снял с себя всю ответственность за сохранность серверов. Совпадение?

Так какие технические проблемы? Я больше склоняюсь, что проблема в саботаже со стороны коррумпированных госслужащих.

Я бы не спешил верить тем, кто утверждает, что там говнокод. Повесить всех собак на IT очень заманчиво. На сайте Госспецсвязи указано, что ее руководитель, генерал-майор, уже успел оформить себе УБД. Гугл поведает о его карьере. Верить этим людям?

человеку который завалил примерно все проекту по реформировани страны за последний год как возглавляет службу? — Конечно да))

«да у него дочь праститутка» ©

Систему лично генерал тестировал?

— Чого бiдний?
— Бо дурний.
— А чого ж дурний?
— Бо бiдний...

Гос заказы в корумпированном государстве — это почти всегда распил бюджета.
Выиграть тендер без отката — это чудо

Призывать не участвовать в них — наивно, потому что требуется то пара десятков исполнителей, и такие всегда найдутся.

Победить наивностью коррупцию... перечитайте пост с начала

Тендер устраивало не коррумпированное государство, а ООН. Кто там занимается откатами?

ООН — это название агроменной организации.

и то что деньги на разработку выделены ПР ООН — ничего само по себе не значит.
условия тендера составляли — конкретные люди. и реализовывали, и т.д. Я не вникал кто и как, подставил ПР ООН, или откатил кому-то из нее. не суть. Итог тендера — типичен.
и результат получился тоже типичным для Украины.

про наивность обывателя о «чистоте» международных организаций я уже приводил байку. см. выше. можно еще из крупных примеров о FIFA напомнить.
там где на кону большие и «ООН» сложно уследить.

Сергей, опять... Каким образом госзаказ относится к теме?
Если Вы не углублялись в особенности проведения процедур закупок международными организациями в Украине и привыкли «пилить» бюджет по-украински, то говорите о себе.
Если не везёт Вам в «выигрывании» тендеров — значит у Вас слабо квалифицированные специалисты (впрочет в этом случае и не стоит ожидать от Вас какого либо интересного комментария на эту тему). Почему, Вы считаете, что если выиграл тендер — значит дал откат? Привычка или лично Ваша неспособность работать честно?
Обидно за подобные комментарии.

Я хз, що це за «Міранда», і що вони там написали для системи декларування, але пост Олесі — повний якихось лозунгів і популізму. Зокрема, апеляції до Міранди в п.3 і до громадськості в п.4 некоректні, поки доступу до висновків прийомної комісії не мають ні перші, ні другі через гриф «для службового користування».

Ага. «Мы нашли ошибки в вашем ПО. Но мы вам про них не расскажем, у вас докУментов нету»

подозреваю что это вот эта Миранда:
miranda.net.ua

из “Наші клієнти” видно что они давно в госсекторе.
на скудность сайта можно не обращать внимания.
в госсекторе хорошие заказы можно получать вообще без какого-либо сайта.

Значит вы никогда не принимали участия в разработке ПЗ и последующей экспертизе.
Все тут такие умные как погляжу, а о предмете о котором пишите вообще ничего не понимаете.
Выступаете как болельщики в футболе, вроде все и разбираются, но как по делу ЛЧ выигривают все равно гранды у которых тренера профессионалы.
А тут в систему ТЗИ лезут недоучки, которые читать НД ТЗИ даж не могут.
А всего то нужно пройти курсы трехмесячные и все будет понятно. Вот я не поленился, а всех остальных жаба душит, в том числе и горе рахработчика Миранду, нанять всего лишь специалистов в данной области.
Да и стоимость экспертизы по сравнению с самим ПЗ копейки, зато в суде в случае чего декларант вас не обскакает когда будут рассматривать его коррупционную схему

Да и вообще что это за миранда, ее в гугле нет, ее часом не спецом под этот проект создали?

В соседней ветке есть крмпания которая борется с коррупцией, думаю сейчас ее выход)

Есть она в Гугле miranda.net.ua/index.php
Любопытно, что у этих сайтоделов — табличная вёрстка. Да и кто вообще будет называть компанией Мирандой? Первая мысль, что это — Рога и Копыта по айтишному.

Да и кто вообще будет называть компанией Мирандой?
ЯП можно назвать Мирандой, а компанию — не моги. «О дивный новый мир!». :)

Этих миранд — что фантиков. Название компании должно быть уникальным и узнаваевым.

Такое впечатление, что компания Миранда сродни известной киевской компании УнИТ. Цель — выиграть тендер, распилить деньги. Понятно, что при этом что-то программируется и даже доводится до определенного уровня. Потом меняется власть, меняются люди у заказчика, заказ замыливается — а дальше хоть трава не расти.

Странно было бы в нашем государстве по-другому. К каждому гос.заказу обязательно идёт бонус — обыск, разумеется со спиzдингом имущества по беспределу. Соответственно, гробить реальную компанию ради одного гос.заказа может только тот, кто до этого в Украине не работал.

Тоже так подумал.

Да и кто вообще будет называть компанией Мирандой?
а мессенджером?

Тут еще вопрос кто у кого название украл ))))
Миранда существует с 1993 года. Имеющие доступ к соответствующим реестрам легко это могут проверить.

Да как-то пофиг)
Я вообще сначала подумал что речь идет об одной и той же команде в этой шумихе)

Миранда существует с 1993 года.
...кстати, вот риторический вопрос

как эта пригосударственная фирма, с таким стажем в гос секторе — и не научилась работать с этим самым гос сектором?

Зазнались немного, думали всегда все можно протолкнуть

Коментар порушує правила спільноти і видалений модераторами.

Смотрите в гугле... Относительно названия, то есть такой персонаж у Шекспира.... (поэт такой, если что... хотя исходя из логики комментариев, то хто ж Шекспиром поэта то назовёт...).
Отдельно Сергею Скинико на: «как эта пригосударственная фирма, с таким стажем в гос секторе — и не научилась работать с этим самым гос сектором»...
Сергей, какая «пригосударственная фирма», что за спам...? Бред какой то...

Начиная с этого, первого на доу комментария посмотрел и остальные.

Основная масса вот такого глубокомысленного содержания — бред, мне обидно, вы не компетентны, и обычный троллинг.

А что сказать то хотели своим появлением на доу?

Я думаю проблема кроется выше, бабки успешно попилили, а не вложили в проект. Думаю это был изначальный план госспесвязи, пилить бабло и рассказывать вечно что проект сырой

Да так и есть. При чем в наглую. Я когда то пронюхал об одном из таких очередных тендеров. И написал в антикоррупционный комитет с подробной информацией о сумах и должностях и фамилиях. Потом написал второе письмо. И знаете чем это закончилось? НИЧЕМ. Потому что всем на....ть и в том антикоррупционном бюро сидят и просиживают штаны и скорее всего тупят в соц сетях вместо того что бы работать.

Тогда было некстати, а вот теперь телега кажется покатилась. ua.interfax.com.ua/news/general/423591.html Правда не стараниями НАБУ, там болото.

Бред не постите!
Бабло попилили как раз в НАЗКе, когда выбирали разработчика проги.

в НАЗк не заказывали разработку и не выбирали никого

Выбирал и заказывад ПРО ООН. Классика распила грантового бабла. ООН большой спец в этом.

именно в этом корень зла. Плюс, скажу еще не очень популярную мысль: а вот Шимкив, если он реформы курирует (а это — реально реформа) и + понимает что-то в ИТ, должен был курировать и предоставляемые государству услуги, (хоть и не за деньги государства), если нам важно качество реформ. Но его кроме лоббирования интересов MS в паблик секторе, кажется, ничего не интересует...Сорри, если неправа

Підписатись на коментарі