ООО «Миранда» Черный список Украины

Sergiy Fakas Information Security Officer в Oro 01.11.2017 15:12

QED

anonymous

Artyom Krivokrisenko 09.11.2017 23:27

Вот хоть перемога! В Украине побороли коррупцию, коррупционеров нет, сажать некого.
Еще чуть чуть поднажать и скоро вы сможете про меня написать в топике про вернувшихся из эльфии.

anonymous

Ivan Sorochan C++ Software Engineer в Intellias 10.02.2018 16:39

А що ви хотіли. Фактично задосили деклараціями. забов’язали декларуватись всіх-всіх, хто хоч
якось дотичний до дежслужбовців.

zn.ua/...anii-miranda-249861_.html

anonymous

Ingrid Anne-Marie Patzner 15.09.2017 11:06

Коментар порушує правила спільноти і видалений модераторами.

Ingrid Anne-Marie Patzner 15.09.2017 11:06

Коментар порушує правила спільноти і видалений модераторами.

Ingrid Anne-Marie Patzner 15.09.2017 11:06

Коментар порушує правила спільноти і видалений модераторами.

Ingrid Anne-Marie Patzner 15.09.2017 11:05

Коментар порушує правила спільноти і видалений модераторами.

Ingrid Anne-Marie Patzner 15.09.2017 11:04

Коментар порушує правила спільноти і видалений модераторами.

Mimoletom Prohodil 30.05.2017 12:15

Нацполиция и ГФС обыскивают офис компании «Миранда», которая разрабатывала ПО для системы электронного декларирования.

Dmytro Sharadkin IT & DS Specialist 26.05.2017 14:49

Развешивание макаронных изделий на слуховые органы доверчивых читателей — таки очень интеллектуальное занятие, требующее от исполнителя высокой степени аккуратности и точности.
После того, как прочитал тут internetua.com/...ergaet-obvineniya-lucenko
фразу «прочитали почти 2000 страниц документации и больше 600 тысяч страниц кода», задумался, как можно НАПИСАТЬ даже за 6-7 месяцев 600 тысяч страниц кода? (Страниц, не строк!!!!) Коллективом разработчиков около 10 человек. Или считается весь код, начиная с кода использованной операционной системы? А 2000 страниц документации — кто и когда успел написать?
После таких заявлений оборот «Сколько и какие компании принимали участие в торгах, мне неизвестно. Информация для участников торгов является закрытой.» уже даже не удивляет. Процедура открытых торгов предусматривает открытое-же объявление победителя.
На кого рассчитаны эти фразы?

George Kashperko 26.05.2017 17:14

Господин Новиков сюда как-то захаживал. У любопытных был шанс составить о нем свое мнение по содержанию и манере общения.

Статья же сама по себе — просто явка с повинной о мошенничестве слегка разбавленная ложью и ахинеей, если, конечно ПРООН письменно не согласовал им субподряд Apolineja OÜ, специализирующейся на Non-specialised wholesale trade и Organising conventions and trade shows

George Kashperko 27.05.2017 00:11

Btw, это многостраничное и охулиардстрочное все Миранда передала ПРООН ещё 29 февраля 2016, после чего пара взялась за руки и пол-года ждала августа, чтобы проснуться и внезапно начать пытаться замутить экспертизу.

И впрямь, на кого это расчитано ?

Nataliya Zubar Chair в Maidan Monitoring Information Center 27.05.2017 01:05

З огляду на все, що виявилося з серпня 2016 року, я тим бамажкам ВАЩЕ ні вірю. І взагалі нічому, що писали тоді на тому сайті :)

George Kashperko 27.05.2017 02:22

Тим не менш хронологія подій а також ці бамажкі легко пояснюються тим, що данський грант був траншевим. І транш 2016 був би заблокований до тих пір, поки ПРООН не відзвітував би про «освоєння» $200K+ траншу 2015. Тому й прийняли «на папері» все, що тілько можна, 29 лютого, а Держспецзв’язок покликали лише на прикінці липня, бо до того демонструвати не було чого, а серпневий піздець був надто близько й далі тянути було вже нікуди.

Зважаючи на фаховий рівень Міранди — подєліє вийшло на таксобі, КСЗІ нішмаглі, тому стали ліпити крайньою Державу взагалі й Держспецзв’язок зокрема. Тим більше, що транш на 2016 р був понад $1.5M і бабла на адвокацію гімна було овердосхочу.

На виході — Державі — суцільні фінансові й репутаційні збитки, НАЗК — паралізовано й перетворено на посміховисько, суспільство — поляризовано на прагматиків та адептів різноманітних conspiracy, Міранді — піздець, данське бабло — попиляно, антикорупціонери — в білому, всі інші — підараси, реєстр — з гівна й палок викинули всі палки й додали гівна.

Так і живем.

George Kashperko 26.05.2017 00:46

Унижено признаюсь в том, что я был не прав, обвиняя «Миранду» в говнокодинге е-каталога деклараций — это все не их State of Art, а «Аполинеи».
Прастити если сможети.

Sergiy Fakas Information Security Officer в Oro 26.05.2017 00:56

А все кто не понимает что это мошенничество приглашаю внимательно прочитать разделы V-VI пресловутого RFP от ПРООН.

Dmytro Sharadkin IT & DS Specialist 24.05.2017 11:25

Продолжение не заставили себя ждать.
www.facenews.ua/news/2017/361815

Nataliya Zubar Chair в Maidan Monitoring Information Center 24.05.2017 13:18

Тут більше деталей www.obozrevatel.com/…ledovanie-obozrevatel.htm

Sergiy Fakas Information Security Officer в Oro 24.05.2017 13:27

А от тепер питання. Якщо почитати навіть просто тут то стає очевидним факт, що Міранда виглядала дуже підозріло з самого початку, просто по зовнішнім ознакам. Чому у ЗАМОВНИКІВ не виникло підозр у шахрайстві?

Nataliya Zubar Chair в Maidan Monitoring Information Center 24.05.2017 13:30

Я тя прошу... Якщо навіть на цьому форумі купа народу те г... відмивала, то що хотіти від замовників? Резюме прочитали, хтось зсередини порадив і всьо

Sergiy Fakas Information Security Officer в Oro 24.05.2017 13:31

Ну ця купа народу не платила гроші. Тутешня куап народу не має досвіду або навіть здорового глузду для проведення тендеру, конкурсу. А там буцім профі в ПРООН, нє?

Nataliya Zubar Chair в Maidan Monitoring Information Center 26.05.2017 13:30

Тут в мене підігнали деталі про ролі КПІ тут і навіть дисер Новікова є www.facebook.com/...1/posts/10154570898788148

George Kashperko 16.05.2017 19:32

Пинкертоны из НАБУ внезапно заподозрили растрату 27 млн. гривен в процессе разработки системы е-декларирования.

Спасибо за линк Nataliya Zubar

Sergiy Fakas Information Security Officer в Oro 16.05.2017 19:57

Ааааааааааааа!!!!!!

George Kashperko 27.04.2017 00:08

Откройте шахматки из поста по ссылке.
НАЗК выполнил целых 0 проверок деклараций за период с сентября 2016 по март 2017.

Ноль проверенных из уже более чем миллиона деклараций за восемь месяцев.

Досужий пиздежь руководства НАЗК с голубых экранов о том, что якобы проверено более 3000 деклараций — не более чем манипуляция ушлых пиздаболов, рассчитанная на доверчивого среднестатистического обывателя. За этим умалчивается, что за 8 месяцев по упрощенной схеме проверили 3000 претендентов на должности в госслужбе. Ключевое здесь — претенденты. 3 блять тысячи соискателей из уже 38615. НАЗК не только собственную работу просрал. Он к тому же блокирует кадровые конкурсы на госслужбу отсутствующими результатами спецпроверок.

Переданная же в суды дюжина административных дел, о которых со скромной гордостью повествовал журналистам Радецкий — дела о квартирах Залищук, Лещенко и ещё десяток заяв о не вовремя поданных декларациях. За 8 месяцев проверено то ли 14, то ли 25 деклараций — все на предмет своевременности их подачи.

Это неимоверный и ошеломительный успех!

Кто-то там в телебакере обещал вам забороть НАЗК’ом коррупцию ? Так вот хуй вам, а на сдачу ещё и никому неподконтрольный тормозок на пути обновления кадрового состава госслужбы.

Однако не только и не столько руководители НАЗК являются творцами сего победного результата. Этот успех в виде 0 хуй десятых проверенных деклараций был бы невозможен без Лещенко, Наема, Соболева, Шабунина, Бумажного Унитаза, «СМИ» и многочисленной паствы секты свидетелей антикоррупции, своим августовским шантажом безвиза целой страны впихнувшие Государству е-каталог деклараций, бережно собранный ПРООН и Мирандой из говна и палок.

Это работу именно этого неимоверно продуктивного НАЗК в августе 2016 якобы блокировали Госспецсвязь, Порошенко и Турчинов ? Это, блять, в страхе именно от этого НАЗК так срались в портки коррупционеры, что, якобы, препятствовали внедрению детища ПРООН и Миранды ?

Кто повелся на камлания про спротив злочинної влади — вас наебали, хотя те, кого вы презрительно называли порохоботами — предупреждали о результате заранее.

Наслаждайтесь.

Sergiy Fakas Information Security Officer в Oro 27.04.2017 00:17

О чудо! Мы ж об этом писали хер знает когда! Оказывается зп шоколадками дает +100 к аналитическим способностям. ;)

Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 26.05.2017 21:14

Ну зато у них ФОТ, говорят, очень даже европейский!

George Lucy 17.04.2017 21:42

Коментар порушує правила спільноти і видалений модераторами.

anonymous 28.03.2017 16:10

-

Nataliya Zubar Chair в Maidan Monitoring Information Center 28.03.2017 16:20

Яка ж несподіванка! Хто б міг подумати? :)

anonymous

George Kashperko 28.03.2017 23:42

Ща нам втолкують, що це вже нє падєлка Міранди, а взагалі інша програма, яку сперше зламав Держспецзв’язок своїм КСЗІ, а потім СБУ перекодило з нуля.

anonymous

Serhiy Kurtenko 30.03.2017 01:45

Власник Міранди Yuriy Novikov вже втолковує в коментарях в фейсбуці www.facebook.com/…yn/posts/1445726528811198 На додачу цікава позиція учасника перфомансу з унітазом Yaroslav Yurchyshyn — держава сама винна що прийняла в експлуатацію.

Nataliya Zubar Chair в Maidan Monitoring Information Center 30.03.2017 02:02

Не, ну винна ж, 100%!

Serhiy Kurtenko 30.03.2017 01:29

Корчак терміново треба перечитувати книгу Майкл К. "Эффективная работа с унаследованным кодом" і швиденько закривати проблеми з роботою системи під наватнаженям.
Хоча там ситуація досить заплутана. Здається власник системи є НАЗК проте адмініструє її Держспецзв’язок. Тобто Гройсман відчитував Корчак але логічно булоб і голову Держспецзв’язку'язку пожурити. Теоретично вони могли створити проблеми елементарним недбальством не кажучі вже про саботаж (в чому у них є досвід на прикладі компроментації центру сертифікації).

anonymous

Alex Blokha .NET developer 26.04.2017 03:00

Не можна так просто дати померти системі за 3 млн. баксів.

anonymous

Max Nikitenko 26.05.2017 14:28

Вы в курсе того что нынешний софт не имеет нечего общего к программе ТОВ Миранда?

anonymous

Artyom Krivokrisenko 26.05.2017 14:30

угу, Шоколад ни в чем не виноват!

Max Nikitenko

George Kashperko 26.05.2017 17:31

Ну это же common knowledge уже, что е-каталог за пару недель августа и сентября переписали с нуля скиловые анонимусы из СБУ и Госспецсвязи.
А программистам ПРООН не смотря ни на что даже удалось написать к этому черному ящику 4й и 5й модули, по досадному недоразумению ранее не выполненные Мирандой.

И вообще Миранда тут не при чем, так как е-каталог писала Apolineja OÜ, специализирующаяся на Agile, Non-specialised wholesale trade и даже Organising conventions and trade shows.
А в вот эти вот все //todo показати, що щось відбувається — coding standard эстонских программистов, принципиально пишущих комментарии по украински.

Тоесть да, мы в курсе. Тем не менее благодарю за ваше беспокойство.

Max Nikitenko

Sergiy Fakas Information Security Officer в Oro 26.05.2017 17:38

:)

Sergiy Fakas Information Security Officer в Oro 26.05.2017 17:40

У человпка 2 коммента на ДОУ и оба в этой теме...

Nataliya Zubar Chair в Maidan Monitoring Information Center 26.05.2017 17:42

Господи, секта досі не заспокоїлася?

Serhiy Kurtenko 08.12.2016 00:57

Апну тему.
Нещодавно було відкрите кримінальне провадження проти УСС, але не за фальсифікацію цифрового підпису — а за перешкоджання діяльності народного депутата Павла Костенко, який писав зверненя в УСС щоб з’ясувати питання з приводу ключа Рябошапки.
www.facebook.com/...k/posts/10210152467120568

Петр Иванов 13.12.2016 22:56

Апай не апай, тема умерла)

Valentyn K Software Engineer в IT 04.11.2016 05:56

Всем привет,

Недавно выпустил первую версию библиотеки для вычитывания деклараций чиновников: github.com/javadev/nazk-client

Пример запроса декларации по id:

NazkClient client = HttpClient.createDefault();
Map<string, object=""> declaration = client.getDeclaration("043c6b5d-a470-4fb0-bc3b-3332af7fe10e");
System.out.println($.toJson(declaration));

Буду рад новым пользователям.

С уважением, Валентин

George Kashperko 29.10.2016 22:51

Корчак заявила о хакерской атаке против Реестра. На часах — заполночь. Впрочем в Штатах — вторая половина дня. Почему я упомянул США ? Потому, что на картинке мы имеем счастье лицезреть некие 1200 соединений. И адреса из видимой части списка — General Electrics и Level 3 в США.
Целый микротик сообщает о траффике: TX 97.1 kbps, RX 13.8 Mbps
На 1200 узлов это ниразу не SUN flood.
Зато очень похоже на амплификацию. И RX 13.8 Mbps каг-бэ намекает в которую сторону.

Sergey Chetverikov 28.10.2016 10:23

Я думаю, что система зависает, когда Порошенко, Тимошенко, Луценко и Яценюк одновременно пытаются заполнить электронную декларацию. Памяти не хватает и пропускной способности канала...

Serhiy Kurtenko 21.10.2016 23:21

Программа “Наші Гроші” попыталась доступным языком описать ситуацию с декларированием и подделкой сертификата www.youtube.com/watch?v=FIkHvfRq4MY . Передачу недавно демонстрировали на канале 2+2. Есть комментарии от “хакеров” Винника, Геращенко и главы УСС Олийника. Также немного проливают свет на проблемамы с бессперебойным питанием в датацетре УСС во время развертывания системы летом.

Александр Бобров 25.10.2016 15:29

Известный "порохобот"-"ыксперт" сереженька факас, который бегает тут, по всему фейсбуку и статьям на тему декларирования ответил бы — «вы все врете». А скорее всего промолчит. Крыть то нечем. Или новой методички еще не выдали :)

Sergiy Fakas Information Security Officer в Oro 25.10.2016 15:56

Дурналистов комментировать — себя не уважать. За известного спасибо.
А так на мудачные посты отвечать не вижу смысла — все уже видели все еще летом. Сколько бы вы там не врали — гавносистему все видели и обсудили.

Vanya Yani Web Developer в Capgemini Engineering 12.10.2016 17:17

Секьюрити с точки зрения обычных людей:

Моя помощница работала над декларацией несколько недель, внесла все, что могла самостоятельно. И сегодня я решила дополнить ту часть, которую знаю только я, и проверить все поля. Но выяснилось, что на моем компьютере все поля пустые. И только на ее компьютере можно вносить дополнения. Или все перезаполнять заново. Кроме того, коллеги говорят, что есть даже привязка к конкретному браузеру

Dmytro Sharadkin IT & DS Specialist 29.09.2016 15:24

Мыльная опера, серия 287-я. “ПРООН підвела з допрацюванням e-декларування”:
www.pravda.com.ua/news/2016/09/29/7122149
Продолжение следует.

Петр Иванов 29.09.2016 22:42

Ну так понятно, если б бюджет Украины дал бы денег на систему, то Корчак их бы попилила. А так не интересно было систему создавать, скучно) В блоге Шабунина на УП много интересных ссылок есть по теме: blogs.pravda.com.ua/...s/shabunin/57ea465c28b58 а также здесь: blogs.pravda.com.ua/...thors/drik/57ec2f31097d2 Радует что депутаты не забывают о как-бы ключе, как-бы Рябошапки. Не как-бы сфальсифицированном ДП УСС

Sergiy Fakas Information Security Officer в Oro 29.09.2016 22:46

С больной на здоровую? Шабунин рассказывает как они датские деньги распили?

Петр Иванов 29.09.2016 23:01

Распили или распилили?)) Требую уточнения)

Петр Иванов 29.09.2016 22:58

А як вам такий прикол від НАЗК: www.facebook.com/NAZKgov/?fref=ts Цитата: «Світова практика свідчить про те, що не існує інформаційно-телекомунікаційних систем, які з моменту розроблення та запуску, не потребували б удосконалення чи оновлення. Це завжди пов’язано з низкою різних факторів та обставин, що виникають у процесі їх експлуатації користувачами. Як приклад, операційна система Windows компанії Microsoft з якою працюють мільйони користувачів по всьому світу, випускає оновлення майже щоденно, що аж ніяк не свідчить про низьку якість такого програмного продукту.»
Порівняли супер-какашку (Вінду), з нано-какашкой (система е-декларування))) Оновлення Вінди щоденно? Нє, не чув)) Чи це НАЗК так із Шимківим заграє?)

Vanya Yani Web Developer в Capgemini Engineering 12.09.2016 21:48

3-ю неделю кто-то делает пагинацию, которая уже была. Видимо, очень дырявая пагинация была, надо было писать с нуля.

Nazar Chuba JS Developer 07.09.2016 23:37

зрада

George Kashperko 08.09.2016 00:01

Порохобот!

Nazar Chuba

George Kashperko 07.09.2016 05:11

Ну что ж, пани и панове. Защита грантопилов ожидаемо откатилась на запасные позиции. В очередном, наспех запатченном релизе реальности, Реестр e-декларирования, это если сдержанно(тм), оказался «ниочень», ПРООН (какой такой ПРООН?) не при чем, а Миранда немного слажала, но в сущности это не важно. Ведь вся эта беда нам на головы свалилась из-за НАЗК и, безотносительно былого, всяко у Госспецсвязи не было законного повода отказывать в сертификации Реестра.

Так уж в человеческой природе сложилось, что в не отягощенные опытом принятия ответственных самостоятельных решений головах легко уживаются противоречащие одна другой мысли. В такие сосуды с пустотами ловкий фокусник способен заложить любые иллюзии. Благо фантазии талантливым престидижитаторам, разогревавшим почтенную публику пред столь неординарным событием как рождение первенца ПРООН и Миранды, было не занимать. И вот волшебные личинки их иллюзий — эдакие мысличинки — несут теперь нам стройным рефреном чужих голосов, что Госспецсвязь не способна докостылить этот порочный плод инцеста освоителей грантов. Ведь нет же в Госспецсвязи для этого ~~неонатологов~~ программистов. Ведь нету же? Хоть раньше это совсем не мешало тем же мысличинконосителям возмущаться, что, понимаешь ли, нет никаких замечаний к коду Реестра и, значит несуразность форм малыша нам — близоруким болванам — привиделась. Оставляя при этом за скобками, кто же, собственно поименно из отсутствующих в Госспецсвязи программистов должен был эти исходные коды экспертизить.

Впрочем и этого глума над собственной паствой иерархам ~~церкви~~ цирка свидетелей законно заслуженного аттестата КСЗИ Реестра e-декларирования оказалось мало. Так-что в компанию к предыдущим добавилась жырная мысличинка переписывания хуйзнаеткем в Госспецсвязи Реестра с нуля, заботливо анонсированная нам в этом триде братьями Миранды по разуму за несколько дней до этого поста.

В виду, надеюсь временного, недостатка информации не стану впадать в конспироложество и пытаться постичь происходящее сейчас с переношенным детищем гранторубов. Да, быть может его неудачно клонировали. Или который день оперируют ампутируя палки и оставляя только говно, задроченные и неопытные хирурги посменно сменяясь в реанимации. А может заезжий доктор Франкенштейн проворно и беспристрастно кромсает его по-живому являя изумленной публике уродца во все более ужасных и причудливых формах.

Могу лишь бегло осветить вам период вынашивания нашего байстрючка, информации о течении которого у нас уже вполне достаточно для достоверного анамнеза.

Госспецсвязь — регулятор и надзорный орган Государства в сфере защиты информации. Он не пишет программ и даже не проверяет их исходные коды, которые в основной массе своей обусловлены Техническим Заданием на Программное Обеспечение, тогда как Госспецвязь интересует Техническое же Задание, но на Комплексную Систему Защиты Информации и производные от него. Госспецсвязь — если уважаемая и не очень аудитория не против очередной всегда смешно звучащей метафоры — главврач роддома. Ему после родов приносят справки, листы назначений, результаты анализов и, бегло взглянув на юного пациента, наш сильно бородатый дядя-главдоктор углубляется в исследование работы своих аспирантов, интернов и ординаторов. Ибо ему более важно не вытянуть ещё одну жалобно орущую и сучащую ножками бестию, а убедиться что никто из его халдеев не накосячил и, значит, больничку за весь этот бардак не накажут. Здесь следует понимать, что наш доктор будучи плодом индустрии отечественной «медицины» не тянет местами не то, что на уровень номинантов Нобелевки по медицине, но даже с напрягом на приз зрительских симпатий брадобреев. Что вовсе не означает, что кто-либо из подчиненных, либо тем более посетителей и прочих лиц без белых халатов, может позволить себе послать этого корифея без последствий для себя или немовляты. В этом случае уж лучше было бы резким и хамовитым батькам больничку обойти стороной и тихонько родить на дому, как это скромно, без ярких говнометаний и даже ~~летальных~~ легальных последствий сделано вот уже многократно с другими, вполне себе здравствующими и не очень, цифровыми детями.

Заботливые и ответственные родители сопровождают беременность с момента, когда о ней им становится известно. Иные, планируя свою жизнь наперед или сообразно медицинских показаний и вовсе зачатие производят под строгим и профессиональным контролем. Подобный контроль за беременностью Госспецсвязью кодируется уровнем гарантий Г-3. Многодетные Г-3-семьи в качестве поощрения и признания ответственности их перед обществом и уровня доверия докторов к принимаемым ими решениям могут добиться Г-4 и выше, беря на себя за каждое повышение определенные обязательства, но и получая взамен некоторые положительные плюшки. Когда же дитё в период вынашивания не получало даже амбулаторного наблюдения, то максимально-престижный штампик в углу истории болезни на который родители могли бы расчитывать был бы Г-2.

В нашем случае несчастную жертву кровосмесительства близких по духу родственников с соседних купюродробилок родители прятали от докторов как от чумы до последнего. Повивальная бабка, с которой забились по рукам наши залетелы к назначенному сроку роды принять нишмагла. В виду отсутствия не то, что стационарного, но даже амбулаторного контроля историю болезни малюка оформляли как Г-2 (кстати, насладитесь целостностью и непротиворечивостью мысли одного из родителей по ссылке в пункте под номером 2). За неделю до родов назначенный ординатор собрал у родителей справки, нахерачил анализов, но в итоге это все не нашло понимания и сочувствия у глав-доктора.

В реальности все немного сложнее (или проще, как, вероятно, возразят мне бывалые родители реальных человеческих детёв). Уровень гарантий выше Г-2 вовсе не означает, что Госспецсвязь внезапно обрастает программистами как Тузик блохами и начинает проверять исходные коды налево и направо. Отнюдь, это лишь значит, что начиная с Г-3 регулятор осуществляет надзор за целостностью производственного процесса исполнителя. Поскольку только при должной организации производства можно с высокой достоверностью получить ожидаемый результат. Что, очевидно, не стояло в главе угла да и вовсе было не самой интересной статьей расходов в этом эпохальном уже проекте по распилу датского гранта.

Artyom Krivokrisenko 07.09.2016 09:38

Коментар порушує правила спільноти і видалений модераторами.

Serhiy Kurtenko 07.09.2016 15:31

ДСТЗИ и УСС в этой истории отнюдь не Дартаньяны. Так как до подачи системы на атестацию они активно ставили палки в колеса(не указывали на ошибки, а как могли затягивали): не предоставляли сервера, история с отключением питания в датацентре, при первой подаче замечаний к коду небыло и ,с вашего описания атестации, немогло быть, так как код и ТЗ по функционалу они не проверяют. Скорее всего ДСТЗИ должна была выдать атестат в августе либо после устранения недочетов, если такие были, в сентябре.

В свою очередь несоответвие ТЗ и проблемы с сессией должно было проверять НАЗК во время приемки каждого этапе и потом в самом конце.
После пресс-конференции с депутатами и НАЗК выяснилось, что курирующего менеджера от НАЗК не было либо все попрятались: подписи при приемке делал член от НАЗК, но он утверждал что курировал только юридический аспект и с точки зрения работы системы внутри НАЗК, галава НАЗК не смогла назвать ответсвенного и сама не призанала себя ответсвенной (раз нет ответсвенного — значит отвечает весь НАЗК, в частности голова Корчак).

Мое мнение, что ДСТЗИ и УСС своими шагами хотели перехватить контроль над системой, что им и удалось — Миранду полностью отсранили и дописывали систему уже УСС.

Поэтому были истории с серверами, с питанием, а после того как не вышло — компроментация центра сертификации УСС ключом Рябошапки.
УСС заранее писали систему сами на случай ,если удастся дискредитировать систему от Миранды, либо более вероятнее — уже дорабатывали код Миранды после того как им внезапно понадобился код системы на флешках для атестации Г2.
Так к примеру появилась возможность удалять декларации: декларации Рябошапки и Джеймса Бонда висели в системе Миранды, а в УСС системе уже была тестовая декларация с тестовым ключом, которую потом удалили.

George Kashperko 07.09.2016 17:17

ДСТЗИ и УСС в этой истории отнюдь не Дартаньяны.

Если кому-то здесь кажется что целью моего присутствия здесь является обеление ДСССЗИ либо УСС, то он ошибается. Так что я не считаю вышеперечисленные госструктуры Д’артаньянами, как и не вижу возможным закрыть глаза на «художества» всех других солистов просто из-за возмутительного факта зашквара с «ключем Рябошапки». Я здесь лишь потому, что чертовски зол и искренне уверен, что за умышленно нанесенный моей Родине вред в результате грязных августовских публичных безобразий с Реестром кто-то должен очень и желательно сильно пострадать для профилактики подобных эксцессов в будущем. Равно как и за произошедшие за этими безобразиями и вследствие в том числе их игры с АЦСК УСС.

Так как до подачи системы на атестацию они активно ставили палки в колеса(не указывали на ошибки, а как могли затягивали): не предоставляли сервера, история с отключением питания в датацентре, при первой подаче замечаний к коду небыло и ,с вашего описания атестации, немогло быть, так как код и ТЗ по функционалу они не проверяют.

Хотел бы ещё раз отметить, что Госспецсвязь не кошка, которая ходит сама по себе. И не их работа бесплатно указывать подрядчику на ошибки с КСЗИ (тем более уровня гарантий Г-2) в процессе разработки без официального к ним обращения. Кроме того, по результатам событий прошедшего месяца и учитывая горы вранья, манипуляций и просто неискренности фигурантов (не принимайте, пожалуйста, на свой счет) а также местами весьма дивное содержимое ставших доступными нам документов, я сейчас не верю на слово ровным счетом никому из участников и лиц аффилированных с ними. Посему при анализе использую сам и также от других прошу в качестве доказательств только и лишь документы, поскольку они хоть местами по содержанию и странные, но хотя-бы не меняют своих показаний с течением временени. Так, в ситуации с бесперебойниками в ДЦ УСС, я пока не видел этому каких-либо заслуживающих доверия свидетельств. Что до Госспецсвязи, то из доступных мне первоисточников самым ранним я вижу даже не вход, а некое приближение их к проекту начиная с «Заключения межведомственной группы, которая засвидетельствовала готовность системы к эксплуатации», датированного 25 июля 2016. Можете ли Вы, Сергей, подтвердить документами более раннее участие Госспецсвязи во внедрении Реестра, либо если не можете, то аргументировать почему этого не произошло на пол-года раньше этой даты ?

Скорее всего ДСТЗИ должна была выдать атестат в августе либо после устранения недочетов, если такие были, в сентябре.

Я кратко описывал процедуру экспертизы и атестации в своем первом посте и я пока не вижу смысла на этом фокусироваться.

После пресс-конференции с депутатами и НАЗК выяснилось, что курирующего менеджера от НАЗК не было либо все попрятались: подписи при приемке делал член от НАЗК, но он утверждал что курировал только юридический аспект и с точки зрения работы системы внутри НАЗК, галава НАЗК не смогла назвать ответсвенного и сама не призанала себя ответсвенной (раз нет ответсвенного — значит отвечает весь НАЗК, в частности голова Корчак).

Не могли бы Вы сделать достоянием общественности ФИО этого, курировавшего юридический аспект и феерически его проебавшего, члена НАЗК ? Со мной также можно связаться в частном порядке через fb — в этом случае я обязуюсь не делиться этой информацией с кем-либо без Вашего разрешения.

Мое мнение, что ДСТЗИ и УСС своими шагами хотели перехватить контроль над системой, что им и удалось — Миранду полностью отсранили и дописывали систему уже УСС.
Поэтому были истории с серверами, с питанием, а после того как не вышло — компроментация центра сертификации УСС ключом Рябошапки.

У меня несколько более другая теория на сей счет, которую я пока, полагаю также как и Вы, не в состоянии аргументированно подтвердить либо опровергнуть.

УСС заранее писали систему сами на случай ,если удастся дискредитировать систему от Миранды, либо более вероятнее — уже дорабатывали код Миранды после того как им внезапно понадобился код системы на флешках для атестации Г2.

С Вами спорит Юрий Новиков и мой здравый смысл. Если, как Вы полагаете, им так нужен был код, зачем они его теряли 5 раз ? Я скорее готов поверить, что он был им не нужен, пока Порошенко не сделал их окончательно крайними. Впрочем Вы можете укрепить это свое предположение документально.

Sergiy Fakas Information Security Officer в Oro 07.09.2016 17:39

Так, в ситуации с бесперебойниками в ДЦ УСС, я пока не видел этому каких-либо заслуживающих доверия свидетельств.

Вот у меня четкая ассоциация этой ситуации со студентом, кот-й прибегает на кафедру и жалуется что у него на чертежи вылили кофе за день до защиты. Но на самом деле чертежей нет. Ну т.е. сильное впечатление детской попытки оттянуть попадалово.

Serhiy Kurtenko 07.09.2016 19:41

Я пользуюсь только то что есть в открытых источниках, публикациях и фейсбуке. А конспирологию уже сам додумываю.
По поводу раннего участия УСС ориентируясь на www.eurointegration.com.ua/...ticles/2016/09/2/7054085
сервера запрашивались у УСС в конце апреля, тоесть взаимодействие контор началось как минимум с этой даты.
К атестации КСЗИ это напрямую не относилось, но УСС в подчинении ДСТЗИ и пока не захостиш у них систему — подавать на атестацию то нечего, возможно и согласовывать эксперта можно только после физического размещения системы.

С бесперебойниками в датацентре УСС было уже в середине агуста. www.facebook.com/...4698749913132?pnref=story
www.depo.ua/...zhivlennya-12082016202400
Но там спорная ситуация, был ли вообще этот инцидент и на сколько он серъезен(я не эексперт по хостингу и тяжело сказать — это штатная ситуация или ЧП)

Не могли бы Вы сделать достоянием общественности ФИО этого, курировавшего юридический аспект и феерически его проебавшего, члена НАЗК ?

Это со слов в видео, где члены НАЗК перекидывали горячую картошку друг-другу www.youtube.com/watch?v=jVdapYkY80s
Рудецький 0:50 и 4:35 но я спутал — он не по юредическому, а техническому обеспечению.

А по самим подписям кураторов
25.07.2016 Висновок приймальних випробувань Міжвідомчої робочої групи, подписи нескольких от НАЗК, один от Держспецзвязку.И еще два от Держспецзвязку не присутсвовали, удачно попав в отпуск и службове відрядження.
www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf
Акт приема передачи от ПРООН к НАЗК, подпись Корчак
www.eurointegration.com.ua/...cceptance-certificate.pdf

George Kashperko 07.09.2016 21:18

По поводу раннего участия УСС ориентируясь на www.eurointegration.com.ua/...ticles/2016/09/2/7054085
сервера запрашивались у УСС в конце апреля, тоесть взаимодействие контор началось как минимум с этой даты.
К атестации КСЗИ это напрямую не относилось, но УСС в подчинении ДСТЗИ и пока не захостиш у них систему — подавать на атестацию то нечего, возможно и согласовывать эксперта можно только после физического размещения системы.

Коротко, то что Вы написали: без создания КСЗИ нельзя в ДЦ УСС, создавать КСЗИ можно только после размещения в ДЦ УСС. Видите противоречие ? Это как раз из разряда навязываемых нам “мысличинок” — манипуляторам очень удобно переключаться между ними для поддержания своей позиции в зависимости от обстоятельств.

КСЗИ можно и нужно было создавать до размещения в ДЦ. Просто ответственные за это физ- и юр-лица должны были заниматься этим заблаговременно.

С бесперебойниками в датацентре УСС было уже в середине агуста. www.facebook.com/...4698749913132?pnref=story
www.depo.ua/...zhivlennya-12082016202400
Но там спорная ситуация, был ли вообще этот инцидент и на сколько он серъезен(я не эексперт по хостингу и тяжело сказать — это штатная ситуация или ЧП)

ИМХО даже если и предположить, что нечто подобное и имело место — речь идет о начале августа, тогда как неясно чем все эти люди занимались с февраля.

Это со слов в видео, где члены НАЗК перекидывали горячую картошку друг-другу www.youtube.com/watch?v=jVdapYkY80s
Рудецький 0:50 и 4:35 но я спутал — он не по юредическому, а техническому обеспечению.

Спасибо за ролик. Крайне печальное зрелище. Можно смело ванговать, что под руководством Корчак НАЗК’у, как государственному институту, пизда.
Я, признаться, был уверен что контроль за внедрением завалил кто-то из её замов.

А по самим подписям кураторов
25.07.2016 Висновок приймальних випробувань Міжвідомчої робочої групи, подписи нескольких от НАЗК, один от Держспецзвязку.И еще два от Держспецзвязку не присутсвовали, удачно попав в отпуск и службове відрядження.
www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf
Акт приема передачи от ПРООН к НАЗК, подпись Корчак
www.eurointegration.com.ua/...cceptance-certificate.pdf

Я учитывал содержательную часть этих документов при подготовке хронологии событий из моего первого поста. К сожалению это все опять же не объясняет причин полугодового бездействия с началом работ по КСЗИ.

Nataliya Zubar Chair в Maidan Monitoring Information Center 07.09.2016 21:24

I have a dream. Не бачити цей форум, не бачити цю кляту тему, але... воно наркота. Я подивилася відео. Це реальні піздаріки. Це все системний саботаж ВСЬОГО процесу включно з тим НАЗК. Тобто реальна гра в імітацію реформ, і це ні разу ні метафора.

George Kashperko 07.09.2016 21:46

Мені здається це не гра — звичайна фахова неспроможність. Щоправда масова.

Петр Иванов 12.09.2016 12:20

Також дякую за відео про «гарячу картошку» (вона ж — ВІДПОВІДАЛЬНІСТЬ НАЗК). Але не має чому дивуватися. Адже на держслужбі найти винуватого дуже важко. Відповідальність навмисно розмивається. А враховуючи, що НАЗК — КОЛЕГІАЛЬНИЙ орган (рішення приймаються голосуванням членами (каламбур, однако)) НАЗК), то відповідального знайти ну дуууже важко. Можна провести аналогію з радами. Виділила сільська рада незаконно землю на своїй сесії. Хто винуватий? Депутати, які голосували. Але ж їх багато, спробуй їх всіх посади))

Петр Иванов 12.09.2016 16:21

Ось ще відео. Може комусь буде цікаво. Предупреждение срыва запуска онлайн-декларирования имущества, — тема совещания НАПК, 13.08.2016. www.youtube.com/watch?v=EeDO5C-_dTs На відео, Новіков (Міранда) якось недобре на Євдоченка (Держспецзв’язку) дивиться) Може не треба було їх поруч садити?)))

Петр Иванов 12.09.2016 17:45

Цікавий діалог із відео наради від 13.08.2016:
Новіков: Для обговорення зауважень від Держспецзв’язку ми запросимо технічних експертів.
Євдоченко: У них допуск є?
Новіков: У нас не ДСК-ашная Система, у нас «персоналка».
Євдоченко: Зрозуміло (ухмиляється).

George Kashperko 12.09.2016 23:43

Персоналка ? О.о
Это типа АС-1 или как ?
Вот бы господин Новиков удостоил нас комментария по этому поводу.

Sergiy Fakas Information Security Officer в Oro 12.09.2016 23:46

А объясните прикол, бо я то больше писиай-дээсэсах
Я так понимаю персоналка это система оперирующая с PII ? Так в Европе за такое глаз вырвут на сервер натянут. В Штатах не так эмоционально но тоже.

Петр Иванов 13.09.2016 09:36

Просто Новіков та Євдоченко мали на увазі різні речі. Євдоченко питав, чи є в Міранди люди, в яких оформлений допуск до матеріалів з грифом ДСК (службова інформація), для того щоб вони могли ознайомитися з недоліками, які на той момент в терміновому порядку писала Держспецзв’язку, та присвоїла їм гриф ДСК. А Новікав мав на увазі, що вони створили Систему, в якій обробляється інформація з обмеженим доступом (персональні дані про фізичних осіб), що не є службовою інформацією. АС е-декларування, я думаю, класу 3, так як там є доступ до Інтернету. Було б добре побачити Атестат відповідності. Але, наскільки мені відомо, НАЗК не хоче викладати його скан-копію на своєму сайті (який до речі зараз лежить))

George Kashperko 13.09.2016 10:24

Да, похоже что Евдоченко и Новиков вели таки речь о PII.
При этом, видимо, последний просто искренне не понимал взаимосвязь между грифом ДСК на материалах КСЗИ и системы, оперирующей данными, являющимися собственностью Государства.

George Kashperko 13.09.2016 02:06

Надзвичайно цікаве відео, дякую!
Євдоченко на початку доповіді каже, що «2 місяці тому ... почали роботу, складені плани». Цікаво було б побачити документальні свідчення цьому. Чи може це мається на увазі вже відоме листування від 2016-07-01 та погоджений 2016-07-05 Графік створення КСЗІ ? Який, власне, за своїм змістом (в першу чергу надзвичайно стислі терміни експертизи й атестації) вельми як на мене дивний.
Ще цікавий світлявий дядько в окулярах, що сидів ліворуч і відрекомендувався як «відповідальний за перевірку декларацій, координатор департамента» (до речі, підкажіть будьласка хто в курсі — які його ПІБ/посада) — згадував, що іще в квітні проводилися наради у Держспецзв’язку та НАЗК щодо КСЗІ. Але чомусь КСЗІ, до того ж без залучення регулятора, схоже фактично почали пиляти лише у липні.

George Kashperko 13.09.2016 02:23

Знайшов світлявого дядька — Радецький Руслан Станіславович, заступник Голови НАЗК

Петр Иванов 13.09.2016 09:25

Так, це Радецький. Саме його прізвище декілька разів згадувала Корчак на засіданні антикорупційного комітету ВР, на запитання Берези, так хто ж все-таки відповідальний за провал впровадження системи е-декларування. Вона якось невпевнено його озвучувала, тому Береза все повторював і повторював своє запитання))

Петр Иванов 12.09.2016 12:14

Прекрасний текст. Особливо порівняння проходження експертизи з лікарнею. Хто ні разу не мудохався з Держспецзв’язком та її сателітами під час експертиз, навряд чи зрозуміє даний текст)) Видно, що автор «в теме») Але все-таки хотілося б знати, хто «доточує» систему е-декларування в даний час. Якісь субпідрядники? А хто їм тоді платить? Також буде цікаво поспостерігати за системою в останній тиждень 60-денного терміну внесення декларацій відповідальними чиновниками. У разі падіння системи, УСС знову скаже, що «електрічество» в акумуляторах ББЖ закінчилось?))

George Kashperko 12.09.2016 23:55

Починаючи з гібріда експертизи, що в темпі вальсу перейшла у атестацію, починаючи з 8 серпня я, зізнаюся, перестав й намагатись натягнути «об’єктивну реальність», що дана там через публічні матеріали насамперед «ЗМІ», на існуючу нормативно-правову базу та усталені практики в тих місцях, де ця база суперечлива.

І власне, як схоже і Ви, я у повній розгубленості щодо того, яким чином і якими ресурсами відбуваєтся допилювання Реєстру наразі, та що з цього зрешті вилізе згодом.

Петр Иванов 13.09.2016 09:44

Так, я в розгубленості) Але для себе я розставив (в порядку “убывания вины”) учасників цього трилеру в такому порядку:
1 місце — НАЗК (повний залет, абсолютна відсутність контролю за процесом, низька кваліфікація працівників); 2 місце- Держспецзв’язку (небажання брати участь в проекті, вставляння палок в колеса, дрібні пакості, попередня згода на використання БанкАйДі, а потім — ігнор) ; 3 місце — ПРООН (непрозора процедура тендеру, недостатній контроль за процесом); 4 місце — Міранда (продукт написали неякісний, не розрахували свої сили, але старались)))

George Kashperko 13.09.2016 10:18

Так, НАЗК в плані організації власної же роботи — це якась беспросвітна пічаль. Держспецзв’язок дійсно відмітився повною неготовністю до важких політичних наслідків своєї звичної пасивності, щоправда без юридичного залучення їх з боку принаймні НАЗК ця пасивність відповідає чинному законодавству. А от ПРООН... Важко недооцінити їх роль зважаючи на счинений та роздмуханий ними ж міжнародний скандал, вельми цікава (і поки невідома через відсутність публічних звітів щодо використання грантових коштів) вартість якого.

Щодо BankID, його могли спробувати провести через експертизу в якості частини КЗЗ. Сумнівно чи це вдалося б, але навіть й такої спроби, схоже, не було зроблено. Тож за нормативно-правовою базою він був несертифікованим засобом й не міг використовуватися для автентифікації/ідентифікації.

Ну а Міранда — креатура ПРООН. Якій ПРООН же з якогось дива «спустив на гальмах» багатомісячний зрив строків впровадження, при тому прийнявши від них продукт у лютому з запізненням на місяць, у стані що не відповідав RFP навіть у серпні.

То ж у моїй «табелі о рангах» переможці посіли наступні місця:
1. НАЗК
2. ПРООН
3. Міранда
4. Держспецзв’язок

Петр Иванов 13.09.2016 11:16

А як вам такий захист персональних даних від НАЗК: public.nazk.gov.ua/...1c-4418-ac73-25cb101b5993

George Kashperko 13.09.2016 11:26

Ви щодо доступності домашньої адреси особи, оскільки при введенні об’єктів нерухомості необхідно вводити їх адреси, які в подальшому відображаються в декларації нецензурованими ?

Sergiy Fakas Information Security Officer в Oro 13.09.2016 11:29

Ну концепція неправильна. Це не система контролю, це її імітація. Мета системи — збирати і аналізувати декларації на відповідність реальності відображеній у різних реєстрах. Функція он-лайн вводу декларацій вторинна і не потрібно її було на першому етапі реалізувати від слова зовсім.
Ну а тепер йде віяна за функціонал який насправді не потрібен...

Петр Иванов 13.09.2016 11:45

Чому ж імітація? Декларант задекларував 1 млн. грн. А хату купив за 2 млн.грн. От вже НАБУ може запитаннячка задавати (такі ж як і воєнному прокуророві Кулику). Невідповідність видатків доходам.

Sergiy Fakas Information Security Officer в Oro 13.09.2016 11:48

Без автоиматичного пошуку і верифікації що паперова декларація, що електронна — вшистко єдно.

George Kashperko 13.09.2016 11:57

Сергій правий в тому, що обмежені ресурси НАЗК за відсутності автоматичної аналітики й даних сторонніх реєстрів не зроблять можливим здійснення системної роботи. А от вибірково — по конкретних персоналіях — звісно НАЗК працюват зможе. Щоправда для цього було б достатньо існуючих паперових декларацій.
Тому з точки зору системності боротьби з корупційними проявами НАЗК’ом — як би це не було сумно, але це ні що інще, як її імітація.

Петр Иванов 13.09.2016 20:35

Питання знатокам. Чи є у цих Реєстрів (нерухомості, транспортних засобів, земельних ділянок) КСЗІ з підтвердженою Держспецз’язком відповідністю? А якщо не має, то хто буде проводити їм експертизи?)

Sergiy Fakas Information Security Officer в Oro 13.09.2016 20:45

Наскільки відомо — є. І через це сиру гімняшку не дали до них підключати.

George Kashperko 13.09.2016 20:52

Реєстри, що обслуговуються ДП ІЦ Мінюсту за їхніми ж твердженнями мають атестати відповідності від Держспецзв’язку.

George Kashperko 13.09.2016 11:45

Безперечно, без аналітичної частини, яка б мала доступ до інших релевантних реєстрів, незрозуміло яким чином НАЗК буде використовувати Реєстр для системного виявлення потенційних корупціонерів. В нинішньому вигляді принаймні декларації доступні для загалу і всі охочі можуть простежити хоча б тих персонажів, щодо яких є питання.

Щодо ж он-лайн вводу, то це принаймні вивільнило (чи скоріше не витребувало додаткових) ресурси НАЗК що були б необхідні для самостійного їх введення, що навіть за умови OCR по усталеним формам вмагало б додаткового обладнання та фахівців.

Sergiy Fakas Information Security Officer в Oro 13.09.2016 11:50

Навіщо OCR? Ну хоча б PDF Forms. Там і ЕЦП є AFAIK. Не тратили би час на непотріюний функціонал.

George Kashperko 13.09.2016 12:00

Тут є питання відповідності цього ЕЦП чинній нормативно-правовій базі.

Sergiy Fakas Information Security Officer в Oro 13.09.2016 12:02

Та не проблема — можна підписівати як податкові підписуються. Суть в тому ще з жовтня по серпень писали он-лайн введення декларацій яке на справді... непотрібне і його можна (у треба) було зробити офф-лайн.

George Kashperko 13.09.2016 12:10

Це ще одне питання до НАЗК та ПРООН. А зважаючи на таку «неймовірну цінність» проштовхуваного останнімі Реєстру ще й про адекватність наслідків счиненого скандалу кінцевій меті. Якщо, звичайно, цією метою було саме впровадження цих непересічних в своїй досконалості засобів редагування каталогу декларацій.

Sergiy Fakas Information Security Officer в Oro 13.09.2016 12:15

Ну я думаю тут бажання попилити бабла спарувалося з ІТ-дилетантизмом — це стандартна помилка дилетантів: малювати красиві формочки з дзвіночками і свистками замість виріжувати бізнес-задачу.
І так — флоу off-line edidting — upload — parsing — знижує небезпеку від пікового навантаження при закінченні терміну подачі — фактом подачі декларації вважається підписання і upload до системи. А парсити і заводити в БД можна у фоні і на доступність системи це мало впливає.

George Kashperko 13.09.2016 12:55

$95K як для попиляти бабла впродовж більше ніж пів-року надзвичайно сумнівний «приз» зважаючи на необхдність представити який-не-який, а результат.
Медіа-бюджет же дійсно міг бути надзвичайно вигідним, враховуючи що (якщо) його вбухали для «подолання зради» за, приблизно, 2 тижні. Але якщо це так, то особи що винайшли такий креативний спосіб засвоєння бюджетів — беспринципні мудаки.

Петр Иванов 13.09.2016 12:39

Але ж ми надіємося, що 4 та 5 етапи впровадження системи е-декларування будуть закінчені в самі короткі терміни) Чи не так?)

George Kashperko 13.09.2016 13:00

Обіцяти не значить одружитися(тм)
На моє суто суб’єктивне переконання, ситуація що склалася у НАЗК з ніби і існуючим мєго-реєстром, а натомість даючим можливість лише вибіркового переслідування корупціонерів, надто вигідна широкому колу осіб з різного спектру міркувань (в тому числі гравцям не з складу НАЗК), щоб розраховувати на вирішення проблеми доступу до сторонніх реєстрів та автоматизування аналітики у стислі терміни.

Петр Иванов 13.09.2016 13:53

Тому то я і поставив смайлик, так як і сам в це не вірю! Це був тролінг НАЗК з моєї сторони) Тим більше, мабуть, у сторонніх реєстрів не має Атестатів відповідності КСЗІ. Отже, до супер-системи, яка має Супер Атестат Супер бляха-муха Відповідності, зась підключати не атестовані Системи! Алілуя!))

George Kashperko 13.09.2016 14:23

Ми ходимо по колу © Євдоченко Л. О.

Петр Иванов 13.09.2016 17:22

Знайшов прикольний комент від 27.08.2016 на Ютубі (під відео з прес-конференції Геращенко/Вінника):
Андрей Мамай
Хроника “зрады” или дерьмо на вентилятор.
Трагикомедия в двух актах
Президент: — Система е-декларирования должна заработать 15 августа.
Шабунин: — Власть будет срывать е-декларирование и не даст вовремя сертификат на программу
Госпецсвязь: — Так мы дадим, только ошибки исправьте
Разработчики: — Нету у нас ошибок. Все работает. ПРООН и независимым экспертам все нравится.
Госпецсвязь: — да как нет, вот же список
Разработчики: — говно ваш список. ПРООН и независимым экспертам все нравится.
Европейская правда: — Власть сделала это специально. Руками Кровавого Пастора. Не давайте Порошенке “безвизовый” и транш МВФ.
Борцуны: — Это Порошенко срывает е-декларирование
Шабунин: — Конечно Порошенко, кто ж еще?
Кровавый Пастор: — Власть здесь не причем — у вас программа — говно. И разработчик ваш стремный типочек с улицы. Если нужно — мои хакеры в момент сверзают качественный софт.
Шабунин: — Хороший софт. Правильный! И защита там хорошая. Поэтому сертификат безопасности должны были дать. А не даете, потому что Порошенко хочет сорвать е-декларирование. Чтобы его кенты под шумок заполнили декларации, скрыли там ведомости, а их потом нельзя было привлечь, так как сертификата нет.
(Тем временем “кенты Порошенко”, а также министры и нардепы до сих пор не заполнили ни одной декларации в незащищенной программе, чтобы чего-то там избежать)
ЕС: — Не, Украина, ну сертификат нужен. Нам тут борцуны, независимые эксперты и ПРООН сказали, что программа защищенная. Дайте им сертификат, а то не будет безвизового и транша.
МВФ: — без сертификата безопасности транш не дадим.
Климкин: — да без проблем, до конца августа все исправим, дадим сертификат и запустим;
НАЗК: — декларации будут заполнятся с сентября, когда система будет сертифицирована, чтобы никто от ответственности не ушел.
Европейская правда: — мы специально рискнули репутацией и сделали провакативное заявление, чтобы подстегнуть власть, чтоб она не сорвала е-декларирование. Сейчас уже все будет хорошо.
Борцуны: — Ага! Победа! Порошенко — зассал! Думал что в МВФ и ЕС враера сидят и поверят в сказки про незащищенную программу! Это мы власть додавили. Так что безвизовый будет со дня на день и только благодаря нам.
Геращенко: — Хакеры сломали программу е-декларирования и заполнили на сайте фэйковую декларацию от имени члена НАЗК. При этом иронично указали, что он заработал 25 лямов работая на фирме под названием “Некачественный разработчик”.
Борцуны: ... молчат...
Шабунин: ...молчит...
Европейская правда: ...молчит...
Разработчик: ...молчит...
Власть: не ссыте, до конца августа все заработает и будет работать правильно.
Занавес? Неееееет. Ждем офигительных историй от разработчика и Борцунов. Ждем 2 акта.

Sergiy Fakas Information Security Officer в Oro 13.09.2016 17:45

Не отражена роль юных (и не очень) археологов-тестировщиков-любителей (и не очень) кот-е ковыряли поделие палкой и наковыряли дыр и гавняшек.
Ну и болеьщиков миранды с борцунами кот-е доказывали что «это не гавно ! Это изюм! Просто слежался!».

Петр Иванов 13.09.2016 17:53

До речі, хтось знає як проходить розслідування НАБУ стосовно фейкового ЕЦП як би Рябошапки? Здається Бігус ще 20 серпня заяву до них подав. Які там терміни розгляду? І чому саме заяву було подана в НАБУ? а не в прокуратуру чи ще кудись? Хіба НАБУ розслідує фальшування електронних ключів? Нє панімай)

Sergiy Fakas Information Security Officer в Oro 13.09.2016 17:56

Ну у НАБУ очевидно есть правовая база кот-я позволяет какие то логи и какие то высказывания использовать как улики. Они там помнится по словам Наема ну просто доки в инфобезопасности и таскают ДСП информацию на личных ноутах...

Петр Иванов 14.09.2016 09:14

ДСК на особистих ноутах — це квіточки, а ягідки — це таємна інформація на флешках, які виносяться за територію контрольованої зони, а потім губляться) volodymyrboyko.com/.../казкарі-з-набу/#more-135

Sergiy Fakas Information Security Officer в Oro 14.09.2016 11:06

Уййййй.... А Наєм ще жалівся що злі ГПУшники забрали «особистий!» ноут. Ну це капець якийсь...

anonymous 13.09.2016 17:55

Хакеры сломали программу е-декларирования

Если бы они систему е-декларирования сломали. Они «сломали» всю гос. систему ЕЦП. Но всем пофиг такие мелочи, главное покидатся говном в систему е-декларирования и ее разработчиков.

Петр Иванов 14.09.2016 09:18

Правильно буде сказати не зламали всю державну систему ЕЦП, а «нагнули». Так як ЕЦП як би Рябошапки, на мою думку, видавався хакерам «срєднєй руки» (на думку Геращенка та Вінника) ДП УССом без підтверджуючих документів.

anonymous

Sergiy Fakas Information Security Officer в Oro 14.09.2016 11:03

Мммм... Проблема в тому що доказів що цей ключ видали саме їм, а не іншим немає. Бо ні Геращенко не продемонстрував методику зламу, ні НАЗК з Мірандою не надали доказів бо спочатку вони розповідали про тестовий ключ. А версія з лівим ключем з’явилася через досить таки помітний час.

Петр Иванов 14.09.2016 11:49

Так розслідування і повинно проводитися для того, щоб зібрати докази. Що заважає «розслідувачам» підійти в УСС і розпитати, хто робив ЕЦП якби для Рябошапки? Але хто захоче «стріляти собі в ногу»?))

Петр Иванов 13.09.2016 11:42

Саме так. Адже прийшовши до чиновника до дому, обідєть його зможе кожен (сказав би Лесь Подерев’янський))

George Kashperko 06.09.2016 18:38

Феерия плюрализма мнений в одной отдельно взятой голове. Весьма, для меня, отрезвляюще. Признаться, был неплохого мнения о Мустафе, теперь уж и не пойму — а, собственно, почему ?

Щедро разливая вокруг многие ушата помоев трудно ожидать остаться в последствии чистым.
Такое впечатление, что чувакам замутившим вот эту вот всю феерическую историю теперь удивительно, что выполнение проекта должно было быть первичным, и не следовало пытаться решать проблемы закладывая бюджеты на продавливание неудовлетворительного качества результатов через СМИ и иностранцев.

Подростковый инфантилизм оказался не в курсе, что такое репутация.

George Kashperko 07.09.2016 21:44

Учитывая вчера же разразившийся квартирный вопрос и бурление аффилированных говн вокруг него, подростковый инфантилизм в определенных кругах — явление массовое, если только не заразное.

Sergiy Fakas Information Security Officer в Oro 07.09.2016 22:10

Заразное. В этой герметической тусовке это имеет индуктивный характер.

Vanya Yani Web Developer в Capgemini Engineering 03.09.2016 02:46

Перечень проблем, внесенных уже красными связистами, тут:
www.eurointegration.com.ua/...ticles/2016/09/2/7054085

Там же описание того, что происходило в течении 2-3 месяцев после окончания разработки: искали деньги на сервера и хостинг.

На мой взгляд, «Европейская правда» освещает эту историю наиболее подробно и непротиворечиво.

Выглядит всё таким образом: техническим администратором системы де-юре является НАЗК, которое не содержит технически компетентных сотрудников, поэтому де-факто задачи по системному администрированию выполняла Миранда, а теперь ДЦКЗ. Фактически, НАЗК отстранено от управления системой.

Комментарии, которые НАЗК делает на своей официальной странице, по своей сути, таковы:
gist.github.com/...9c79e90794196ead4b777e257
То есть вместо того, чтобы решить проблему, НАЗК советует... сменить браузер, сменить почтовый сервис.

Serhiy Kurtenko 03.09.2016 04:15

Судя по проблемам с попаданием почты в спам, массовые рассылки они раньше не делали, иначе бы знали о проблеме заранее. Вместе с бесконечной сесией это ставит вопрос об квалификации и опыте разработчиков системы.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 03.09.2016 10:36

Вы наверное не следите. Тут столько шума было про «Почта идет через сервера Миранды», полистайте, тут где-то советовали настроить sendmail, на что разработчики ответили, что в этом случае почта будет попадать спам. Так что вопрос о квалификации надо ставить ДЦКЗ. Если разбираетесь, вот причина: gist.github.com/...52722488c1a1e0bb8d774ca78

А вечную сессию пофиксили, да. Теперь на каждо действие нужно вводить ключ и пароль.

Artyom Krivokrisenko 03.09.2016 10:42

правильно, почта в спам — это ужас ужас, а почта. гос ресурса, которая идет через сервер левой говноконторы — это норма

Vanya Yani

Artyom Krivokrisenko 03.09.2016 04:16

На мой взгляд, “Европейская правда” освещает эту историю наиболее подробно и непротиворечиво.

Офигенно незаангажированный обзор:

Для тих, хто слідкував за темою — йдеться про “проблему кукіз” — на комп’ютері, де заповнювали декларацію, лишалася технічна інформація. Через це інша людина, сівши за цей комп’ютер, могла проглянути закриті персональні дані.
До слова, ця вразливість не дозволяла змінити чужу декларацію, для підпису декларації потрібен електронний ключ, та й довільна зміна вже поданої декларації не є можливою. Але все одно, можливість витоку персональних даних — неприйнятна.

Как обычно, дырка есть, но ~~вы держитесь~~ все хорошо, только про то, что можно отредактировать черновик чужой декларации упомянуть забыли.

Vanya Yani

Serhiy Kurtenko 03.09.2016 04:45

Ответсвеность экспертов ПРООН, которые должны были проверить на уязвимости и протестировать, попытки продавить атестацию системы с багами «Европейская правда» тоже не замечает.

«Европейская правда» подает информацию с смягчением вины ПРООН и с акцентом на ответсвенность госорганов и Президента.Также остается вопрос: знали ли журналисты про проблемы декларирования заранее еще весной и молчали или же инсайдерсую информацию они получили уже в момент публичного скандала в конце августа.
А вот «порохоботы» в фейсбуке наоборот — в ситуации аргументировано обвиняют грантоедов и ПРООН с полным игнором подлога ключа Рябошапки со стороны УСС.

15 березня о 13:30 у конференц-центрі “Щастя HUB”, вул. Паньківська 14 у рамках стратегічної дискусійної панелі “Прозорість та доброчесність публічного сектору: 2016 — визначальний час для України” вперше, для широкого кола громадськості відбудеться презентація прототипу Системи електронного декларування в Україні.

George Kashperko 06.09.2016 19:16

Также остается вопрос: знали ли журналисты про проблемы декларирования заранее еще весной и молчали или же инсайдерсую информацию они получили уже в момент публичного скандала в конце августа.

Вот, что следует знать о готовности реестра состоянием на 15 марта 2016. При том что ПРООН ещё 29 февраля 2016 его у Миранды приняло. Хоть разрабы и должны были сдать его до 31 января 2016. Не смотря на срок выполнения 1й очереди до 30 декабря предыдущего, 2015 г.

Встречайте:

И, как мне кажется, весьма наивно думать, что “журналисты” лишь благодаря некоему инсайду выкатили #зраду, тогда как для её распедаливания в одном лишь датском гранте была куча денег. И чем сложнее запускалось e-декларирование — тем больше их приходилось осваивать. И куда уж осваивать больше, чем когда продукт откровенное говно. О чем сегодня даже Найем сообщил.

При установленной датчанами норме админ-затрат 8% от освоенной суммы даже при безоткатной технологии это весьма недурно, учитывая временной промежуток работы кочегарки в 2 недели и затраты за отправку “инсайдов” электронкой.

George Kashperko 03.09.2016 13:34

Иван, вот вы на самом деле не замечаете очевидного, ли это такой тонкий троллинг, недоступный по-крайней мере моему пониманию ?

Реестр по ТЗ тендера от ПРООН должен был быть сдан (без доступа к другим реестрам) 30 декабря 2015. По документам ПРООН его принял 29 февраля 2016. По тендерной же документации ещё до 30 марта он должен был уже функционировать в достаточном для массового приема деклараций. Вы все ещё не видите с происходившим с начала августа никаких противоречий ?

Вы пишете — искали деньги на сервера ? В тендерной документации об этом исчерпывающе — если у подрядчика нет собственной материально-технической базы — он включает затраты на необходимое оборудование в стоимость предложения.

Если ещё 13 августа я был уверен что г-н Сидоренко, поспешив и не разобравшись толком в предоставленным им же на суд общественности документах, невзначай вводит нас в заблуждение. То уж сейчас то интересовавшимся произошедшим предметно должно быть очевидно, что статьи Сергея по-крайней мере о Реестре — причудливый и избирательный микс вольно интерпретируемых фактов, разбавленный домыслами, конспироложеством и, местами, откровенной ахинеей.
И то, что типо «допиленный» за две недели Госспецсвязью Реестр из говна так и остался говном никак не превращает набросы Сидоренко в правду, Миранду из старателей в программистов, ПРООН из грантопилов и манипуляторов в борцов с коррупцией, и не вправляет руки и мозги некомпетентным немащам из НАЗК.
И, разумеется, это никак не умаляет идиотского зашквара Геращенко, Винника и УСС вместе с преступной бездеятельностью Минюста, Госспецсвязи и правоохранителей.

Vanya Yani

Sergiy Fakas Information Security Officer в Oro 03.09.2016 13:58

Да как бы по воплям и унитазу было понятно что «евроинтеграторы» и «антикоррупционеры» прекрасно понимали уровень факапа и делали все что бы перевести стрелки подальше от себя. Особо мне понравился (теперь уже — тогда я вообще прикола не понял) финт Преснякова кот-й поднял шум по поводу бесперебойников в датацентре. Теперь это выглядит как попытка студента найти поводу не защищать курсач по причине пробелм со светом в аудитории когда в курсаче на самом деле конь не валялся.

Vanya Yani Web Developer в Capgemini Engineering 03.09.2016 16:54

Предоставьте другой источник, объясняющий ситуацию. Кроме УСС и ДССЗЗИ.

Sergiy Fakas Information Security Officer в Oro 03.09.2016 17:19

Во-первых, источник НЕ объясняет, источник предоставляет факты.
Во-вторых, упячка это вообще не источник и не сми а галимый пропагандисткий листок Григоришина.
Ну и в третьих — на данной ветке ДОСТАТОЧНО и информации и анализа что бы составить свое мнение и без проплаченных рирайтеров кот-е по ошибке называют себя журналистами.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 03.09.2016 17:54

Вот вам факт: систему переписывают практически с нуля. Можете сами убедиться, перейдя на public.nazk.gov.ua и сравнив с тем, что было ранее.

HorAV 03.09.2016 17:33

Так остальным не причастным и не допущенным как бы объясняться и поясняться и не надо в приключившемся. Чуток юмора накопипастю.

Аналитик — это специалист, который завтра будет знать, почему то, что он предсказывал вчера, сегодня не случилось.

Жена попросила наглядно объяснить, что значит действия ЦБ правилные, но запоздалые. Объяснил: Ну это как бы ты в дерево уже врезалась, но руль потом всё-таки повернула!

Vanya Yani

George Kashperko 03.09.2016 22:06

Предоставьте другой источник, объясняющий ситуацию. Кроме УСС и ДССЗЗИ.

Уфф. Надеюсь, Иван, вы не на бейсике до сих пор программируете, хотя это могло бы объяснить ваш отказ оперировать фактами из первоисточников неизбежной профессиональной деформацией.

Откройте тендерные материалы ПРООН «RFP UKR/2015/97 — Development of Software of Electronic Asset Declaration System of Ukraine» на их же сайте. На странице 4 RFP найдите Latest completion date — это 30 декабря 2015. На странице 4 QA RFP в п. 19 написано, что тестирование системы должно быть завершено до конца января 2016. В п. 25 QA RFP написано, что главным заданием является возможность подачи и опубликования деклараций в электронном виде до конца января 2016, а к моменту массовой подачи деклараций в марте 2016 задачи первого этапа должны быть полностью боеготовы.

В набросе Сидоренко найдите акт приема-передачи комплекса (pdf, 4 страницы), в котором ПРООН свидетельствует, что не имеет претензий к первой части.. В таблице на страницах 1 и 2 убедитесь, что все 3 задачи первого этапа были приняты ПРООН до 29 февраля включительно, что уже на 29 дней позже конца января.

Первый документ, в котором появляется Госспецсвязь — Заключение межведомственной группы, которая засвидетельствовала готовность системы к эксплуатации, и датирован он 25 июля. От «конца января 2016», определенного как срок готовности Реестра в ТЗ, до 25 июля — когда его готовность была подтверждена фактически — без малого 6 полных месяцев.

Ещё раз, надеюсь что в последний — ПРООН и Миранда сорвали сроки внедрения Реестра на пол-года! После чего обвинили Госспецсвязь в провале сделать нечто физически невозможное либо уголовно наказуемое за 2 недели.
Как только вы, Иван, найдете в статьях Сидоренко упоминание хотя-бы об этом прискорбном факте, я буду готов попытаться пересмотреть свое мнение о том, что его «творчество» не является некомпетентными, однобокими и манипулятивными набросами.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 03.09.2016 19:01

Вы тут ещё ДЦКЗ не упомянули.
Это нормально когда, одна организация сама пишет ТЗ, сама его выполняет, сама хостит, сама проверяет КЗСИ? Причем правит и тестирует по-живому, на боевом серваке, попутно удаляя результаты неудачных экспериментов?

Вы так зациклились на Миранде, ПРООН и борцах с коррупцией, что упускаете главное — система декларирования не работает. И вместо того, чтобы её доработать, спецсвязь выкинула её на помойку, надеясь за 2 недели имплементировать заново. А крайний срок подачи деклараций — октябрь! А если закон о декларировании не заработает в этом году, то безвизовый режим в 2017 не дадут.

George Kashperko 03.09.2016 22:08

Вы тут ещё ДЦКЗ не упомянули.
Это нормально когда, одна организация сама пишет ТЗ, сама его выполняет, сама хостит, сама проверяет КЗСИ? Причем правит и тестирует по-живому, на боевом серваке, попутно удаляя результаты неудачных экспериментов?

ДЦКЗ — Державний центр кіберзахисту та протидії кіберзагрозам. ТЗ КСЗИ писал не ДЦКЗ, формальным автором его был НАЗК. Также ДЦКЗ не согласовывал ТЗ КСЗИ — это обязанность Госспецсвязи. ДЦКЗ проводил экспертизу КСЗИ (в вашей терминологии — проверял) и это единственная неоспоримая истина среди остальной, явленой вами выше, ахинеи.

Вы так зациклились на Миранде, ПРООН и борцах с коррупцией, что упускаете главное — система декларирования не работает. И вместо того, чтобы её доработать, спецсвязь выкинула её на помойку, надеясь за 2 недели имплементировать заново. А крайний срок подачи деклараций — октябрь! А если закон о декларировании не заработает в этом году, то безвизовый режим в 2017 не дадут.

У Миранды и ПРООН было пол-года на то, чтобы привлечь к разработке регулятора, согласовать эксперта, выполнить работы хоть и не в заявленный срок до конца января 2016, то хотя-бы без аврала, вранья, манипуляций, международного скандала и тяжелых репутационных потерь Государства разразившихся в августе. Тот самый Реестр, который должен был быть готовым для массовго приема деклараций ещё в марте, продолжал быть говном не соответствующим первичному ТЗ даже в начале августа. Отказ в безвизовом режиме — исключительно и только следствие криворукости Миранды, халатности ПРООН и некомпетентности НАЗК.

Я более не стану пытаться переубеждать вас, Иван. По-крайней мере до тех пор, пока вы не прекратите искаженно транслировать через себя набросы Сидоренко и компании.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 02.09.2016 14:08

Прошло более суток с запуска. Можно констатировать, что система таки да стала защищенной:
никто не может ни заполнить декларацию, ни просмотреть ранее заполненные.

Всех поздравляю.

HorAV 02.09.2016 17:01

Я сегодня два раздела осилил в этом квесте. Стопорнулся на идентификационном/регистрационном номере квартиры (перегляжу ордера, документы, договора, обойду дом по периметру, может где инвентарный накалякали и может им через дробь с номером квартиры это надо) и на дате и стоимости на момент приобретения (как бы приватизировалась на всех прописанных в равных долях, потом выделяли доли и собирали по частям через дарение на меня от родственников 1-й и 2-й линии, с уплатой только налогов), теперь в непонятках какую же дату из .. и каку оценку из ... писать, что в сумму приобретения писать. На машине тоже какой-то идентификационный номер спрашивают (видать номер машины, хотя и шасси можно вписать). В шоке от интерфейса (некоторые селекты пришлось из кода выдирать, чтоб до конца варианты выбора почитать). А так то вхожу, то выхожу, черновик постепенно заполняю. Хоть бы тултипы к каждому полю наделали, с разжевыванием чего хотим, так как порядка заполнения пока не получали и все не так как в сданной на бумаге. Так что не заполнение, а прохождение квеста получается.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 02.09.2016 18:05

Закон «Про державну реєстрацію речових прав на нерухоме майно та їх обтяжень», ст. 15:

Реєстраційним номером об’єкта нерухомого майна є індивідуальний номер, який присвоюється кожному індивідуально визначеному об’єкту нерухомого майна при проведенні державної реєстрації права власності на нього вперше, не повторюється на всій території України і залишається незмінним протягом усього часу існування такого об’єкта.

Вікіпедія:

Ідентифікаційний номер транспортного засобу (англ. Vehicle identification number — VIN), або VIN-код — це унікальний серійний номер, що застосовується в автомобільній промисловості для індивідуального розпізнавання кожного механічного транспортного засобу, причіпного транспортного засобу, мотоцикла та мопеда, визначення яких подані в міжнародному стандарті ISO 3833.

HorAV

HorAV 02.09.2016 18:34

У меня еще старая БТИшная регистрация квартиры, что автоматом не переносилось в новый реестр недвижимости, государство решило, что кому печет что-то с ней делать, пусть сам за деньги переносит. А гараж вообще в кооперативе, из документов на руках только членская книжечка со взносами, в бумажном варианте требовался только адрес и площадь, что не составляло труда заполнять. Ребус. Тут не про софт «кричать» надо, а про методику заполнения напридуманных полей оторванных от реальности, а как оно работает, то уже переживем.

Vanya Yani

Nataliya Zubar Chair в Maidan Monitoring Information Center 02.09.2016 20:40

Вітаю. Ми це все пройшли два тижні тому. Ту форму взагалі заповнити неможливо, і це не баг, а фіча. І не тільки софтіни, а і дизайну. Трохи тут maidan.org.ua/...il-pekla-e-deklaruvannya
І спроби виробників робити вигляд, що то все дрібниці, заокпують їх ще більше.

HorAV

HorAV 02.09.2016 21:57

А это там где — помічник системи по заповненню? Интуитивно его нигде не заметил.

Sergiy Fakas Information Security Officer в Oro 02.09.2016 22:08

Концепция неправильная с самого начала. Главное должно быть не он-лайн заполнение, а публичность и автоматическая сверка с другими реестрами.

HorAV

HorAV 02.09.2016 22:38

Какие реестры. Я при прохождении люстрации по вызову в налоговую предоставлял все оригиналы и сканы в дело им для подтверждения всех строчек декларации. У них реально не получалось это получить от держателей информации по папкам из архивов. Максимум что они могут автоматом проверить без документальной сверки по тем, что покупали все не сейчас, это правильно ли переписывают декларанты доходы за год, из справки заблаговременно взятой у них же. Ну, и надеяться на чтецов, что будут вычитать сданное нами в общем доступе и сигнализировать на верхи.

Nataliya Zubar Chair в Maidan Monitoring Information Center 02.09.2016 23:00

Та ваще не треба було ніфіга робити, крім сканів декларацій, завірених нотаріусом. Як в Румунії наприклад. І всьо

Александр Бобров 02.09.2016 23:14

То, что сейчас запущено под видом системы подачи деклараций является фикцией, и это не та система, которая была разработана Мирандой под эгидой ООН.
Евдощенко нанял команду студентов из КПИ, и они за две недели скопипастили формы с оригинальной системы. За текущей обверткой нет ничего. Ни валидаций, ни проверок, ни предпросмотров, ни запросов в НАЗК, про систему помощи я уже вообще молчу.
Естественно ни про какие визуальные формы представления декларации, на данный момент, вообще речь не идет.
Можно еще написать про неработающую подпись поданного документа, но там еще печальнее. Судя по коду, подписывается не целостный документ, а отдельные данные из него, в результате в суд передать эту якобы декларацию не получится. Чиновниками цель достигнута. Система «сертифицированная» якобы есть, а на выходе «пшик» :(

Vanya Yani

Sergiy Fakas Information Security Officer в Oro 02.09.2016 23:24

Валидация говорите... Проверки говорите... Вот уже точно — иногда лучше промолчать :).

Artyom Krivokrisenko 03.09.2016 00:58

Кто-то ожидал, что за неделю, которую дали на доработку системы, случится чудо? Как и предполагалось, никакого чуда не случилось.

Евроинтеграторам и Миранде отдельное спасибо за срыв запуска е-декларирования.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 03.09.2016 02:39

Кто-то ожидал, что по-крайней мере не станет хуже. Почтовый сервер они не могут настроить, связисты...

Факт в том, что система без аттестата-серификата худо-бедно работала. С аттестатом — нет.

Artyom Krivokrisenko 03.09.2016 04:10

Ага, то что миранда не смогла сделать за полгода за бабло от ПРООН, студенты должны были сделать за неделю бесплатно.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 03.09.2016 10:40

А кто их тянул за язык? И с каких пор в госструктурах работают студенты?

Artyom Krivokrisenko 03.09.2016 10:48

А их никто за язык не тянул, им Порошенко сказал до 1 сентября пофиксить все косяки, допущенные говноконторой И сертифицировать приложение. И напомню, что предыдущая попытка это сделать заняла пол года и закончилась эпическим фейлом.

Вышло то, что вышло, и это пример, который должен войти в аналы управления проектами в области безопасности.

ru.wikipedia.org/wiki/Анналы

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 03.09.2016 11:09

Artyom Krivokrisenko 03.09.2016 11:23

Нет, именно аналы

Vanya Yani

A͘͞v͝͞é̴͢l̕͜ Zheldakov Python n stuff 06.09.2016 18:10

ловко ты его поправил. мы гордимся тобой.

Vanya Yani

George Kashperko 02.09.2016 05:42

Dmytro Shymkiv та Max Nefyodov відносно сабжу.
За лінк дякую Vitaly Manko

Artyom Krivokrisenko 02.09.2016 06:19

TLDR версия:

Все IT-специалисты уехали из страны, е-декларацию писать некому.

anonymous 02.09.2016 08:10

Так сами и кричали кому не нравится — валите

HorAV 01.09.2016 17:11

Ну что же, взял свой ДФС-ный ключ, вошел сегодня на сайт, к ФИО и ИИН довел почтовый ящик и номер мобильного. Пришло письмо о подтверждении регистрации. Подтвердил. Пока инициировать начало заполнения своей декларации не стал.
Хотя по новостям все как бы не работает, какие-то белые пустые страницы. Да, и все про какого-то

Рябошапку

кричат, ни тебе инициалов его, ни его ИИН не приводят. Возможно, на обратной стороне сайта не в курсе того, кто из регистрирующихся действительно госслужащий и относится ли его посада к категории «B», так что отлавливаем бомжа с подходящим ФИО, получаем с ним на него ключ и вперед делать повторные сенсации.

Sergiy Fakas Information Security Officer в Oro 01.09.2016 17:53

Не «вохможно» а таки да — никакой проверки является ли декларант чиновником (или кандидатом) там НЕТ. И в этом один из главных концептуальных недостатков.

HorAV

Sergiy Fakas Information Security Officer в Oro 01.09.2016 00:26

Тидищь!
www.dsszzi.gov.ua/...t_id=261007&cat_id=240232
«Надане розробником програмне забезпечення та у цілому побудована КСЗІ мали суттєві недоліки і прорахунки, які не дозволяли би експлуатувати систему електронного декларування відповідно до ТЗ та захистити інформацію належним чином, зокрема через ризики та загрози, що пов’язані з проблемами:

авторизації (автентифікації) декларантів,

несанкціонованого (зловмисного) доступу до відомостей декларантів при їх подачі через незахищені персональні комп’ютери,

уразливостей відомостей Реєстру через можливості прямого доступу до баз даних з браузерів користувачів,

можливості несанкціонованого внесення в систему сторонніх файлів,

реалізації не задокументованих функцій, пов’язаних із використанням зовнішніх сервісів,

ряду інших уразливостей та системних недоліків, які стали загальновідомими для фахівців ІТ-галузі за лічені дні роботи Реєстру.

Підкреслюємо, що до 23 серпня розробником не були усунуті виявлені за результатами державної експертизи недоліки, а тому співробітництво з ТОВ „Міранда“ припинено.

Також у ході дороблення КСЗІ Реєстру було виявлено принципові проблеми стосовно технологічного обладнання Реєстру. Зокрема, фактично в наявності була лише третина задекларованого обладнання.»

Artyom Krivokrisenko 01.09.2016 03:20

Вы лучше расскажите какой сертификат Геращенко сгенерировал, тестовый или настоящий?

Sergiy Fakas Information Security Officer в Oro 01.09.2016 08:54

Мне не докладывали.

Mykola Hudkovych IT Analyst в EPAM 01.09.2016 12:23

Что-то Свидетелей Идеального Кода Миранды в волнах не видать... Идеальный Код Миранды — вот что должно быть предметом обсуждения, ибо он, Код, первичен, тогда как Сертификат Геращенко — вторичен.

anonymous 01.09.2016 12:30

Ага, компрометация всей государственной системы ЕЦП вторична и не сравнится по масштабу с кодом каталога чиновьичих деклараций.

Mykola Hudkovych IT Analyst в EPAM 01.09.2016 13:05

А прямо всю государственную систему ЕЦП скомпрометировали?

anonymous

anonymous 01.09.2016 13:15

Да прямо всю.

George Kashperko 01.09.2016 14:38

То, что некоторые депутаты оказались недалекими кретинами не делает из компьютерщегов Миранды программистов и не фиксит баги/бреши в Реестре.

Sergiy Fakas Information Security Officer в Oro 01.09.2016 15:00

Тут вот какая штука... Наивно думать что Геращенко или Винник вламывались собственноручно.
Два... Шото много времени прошло с момента прессухи до момента появления в народе левого «ключа Рябошапки». А судя по протоколу комиссии в мирандовской гавняшке нифига не понятно ни когда с этим ключем зашли, ни IP с кот-го зашли.
Зная кол-во и типы дыр я все таки задумался а был ли мальчик.

anonymous 01.09.2016 15:13

Какая разница собственноручно или нет?
Это дыры в «мирандовской гавняшке» создали левый ключ подписанный АЦСК УСС?

Sergiy Fakas Information Security Officer в Oro 01.09.2016 15:21

Это дыры в «мирандовской гавняшке» создали левый ключ подписанный АЦСК УСС?

Нет конечно. Но они позволяли (как минимум теоретически) получить продемонстрированный Геращенко результат.
Технических доказательств того что именно «Геращенко» использовал этот ключ в виде логов и дампов базы я так понимаю предоставленно не было.
Т.о. если даже если кто-то достаточно умный что бы скомпрометировать систему но достаточно глупый что бы подставиться с ключем действительно получил незаконный ключ и использовал его для подписи левой декларации то я так понимаю (исходя из текста протокола НАЗК по расследованию инцидента) ЮРИДИЧЕСКИ весомых доказательств этого (дампы баз, логов и т.п. — см. Computer Forensic Incident handling кот-е в свою очередь должно являться частью КСЗИ) НЕТ.
Вот такая вот петрушка как ни грустно... И о том, что система не пригодна к эксплуатации в т.ч. и из-за этого (отсутствия аудитабилити) писалось тут же с самого начала.

anonymous

anonymous 01.09.2016 15:48

Есть в приложениях, но они под грфом ДСК и не публикуются. www.eurointegration.com.ua/.../b/4bd4f01-4-original.jpg

Sergiy Fakas Information Security Officer в Oro 01.09.2016 15:52

Там страницйей раньше написано что установление с какого именно IP это сделали требует времени и ресурсов.
Кароче — есть доказательства — велькам УК, прокуратура и т.п. Но сдается мне что из нет. Потому что вечером после прессухи (а не сразу же) начали про тестовый ключ а где то через сутки ключ пеерстал быть тестовым.
В суд. Нафиг.

anonymous

anonymous 01.09.2016 15:56

НАЗК просто может быть не заинтересовано в расследовании и суде, госконторы все тихо порешали между собой.

Sergiy Fakas Information Security Officer в Oro 01.09.2016 15:58

А почему это НАЗК не заинтересовано если там а)люди от активистов б)злобный Порошенко и Госспецсвязь не дали запустить классную систему вовремя?

anonymous

anonymous 01.09.2016 16:28

Потому что НАЗК такая же часть государства как и госспецсвязь, и там не «люди от активистов», а такие же чиновники от государства. Возможно не хотят признавать компрометацию государственной системы ЕЦП, надеются что большинство людей не компетентно и не поймет что произошло.

Sergiy Fakas Information Security Officer в Oro 01.09.2016 16:32

Низачет
uk.wikipedia.org/...D.D0.BE.D1.81.D1.82.D1.96
28 серпня 2015 року були визначені 4 представники громадськості, які обиратимуть членів Нацагентства з питань запобігання корупції — Андрій Марусов, Леся Шевченко, Віктор Шлінчак та Віктор Таран[11] До складу комісії також увійшли представник Президента України у Кабінеті Міністрів Олександр Данилюк, голова Нацдержслужби Костянтин Ващенко[12], представник від Верховної Ради, доцент НаУКМА Володимир Сущенко[13].
Рябошапка — «Жовтень 2013 — березень 2014 — керівник Департаменту аналізу антикорупційної політики у неурядовій організації „Transparency International Україна“.»
Упс...

anonymous

anonymous 01.09.2016 16:39

И что? От того что их выбирали какие-то грантоеды, чьи имена мне ни о чем не говорят, причем даже не сами а вместе с чиновниками, члены НАСК не перестают быть госслужащими со всеми вытекающими.

Vanya Yani Web Developer в Capgemini Engineering 01.09.2016 20:28

Итого три чиновника против одного активиста.

Mykola Hudkovych IT Analyst в EPAM 01.09.2016 12:11

Вывсёврёти!

Еврокомиссия и ПРООН не могут ошибаться!

Иван Пресняков — лучший в мире эксперт из лучшего в мире Центра Противодействия Коррупции, выбрал лучшую в мире фирму ООО «Миранда», и она сделала идеальный код к 15 августа.

Система была остановлена по указке Вальцмана-Гройсмана руками нечистоплотных деляг из ГСЗССЗСЗСЗСЗСЗСЗС!

Вы распространяете изменённую реальность по наущению рептилоидов, Ротшильдов, Сороса, и Каценеленбогена!

Max Tatarchenko CTO в SapientPro 24.08.2016 13:54

На українському сабреддіті вже 2й день ідуть срачі про баги в системі із частковим скатуванням в неадекват. На будь-який аргумент про баги знаходяться «спеціалісти», які назвуть тебе ворогом, зрадником і хіба не агентом кремля))) Коротше весело і занятно.

Тред #1

Тред #2

Кому нема чого робити і є бажання втратити трохи часу на отаку дивну розвагу — ласкаво просимо. І взагалі приєднуйтесь до сабреддіту — нам потрібні адекватні і освічені люди.

І з Днем Незалежності !

Serhiy Kurtenko 24.08.2016 04:42

Боротьба жаби та гадюки триває.

22.08.2016 НАЗК проводит комиссию чтобы разобраться с декларацией Рябошапко(по сути собирают улики) www.facebook.com/...k/posts/10209233696791884

Из чего узнаем от главного специалиста НАЗК что 05.08.2016 было сформировано заявление на получение ключа для Рябошапко, передано в ДП “НАІС” и по сотоянию на 22.08 Рябошапко получил цифровую подпись(может это и есть так называемый тестовый ключ).
ДП “НАІС” и УСС разные центры сертификации, хотя сотрудник мог ошибиться в абривиатурах, в принципе легко проверить если есть ИИН или номер сертификата ca.informjust.ua/certificates-search (конечно же если ДП “НАІС” не чистил данные вручную)
Здесь подозрительно вообще наличие такого ключа, так как Рябошапко в фейсбуке утверждал что у него нет цифровой подписи, а в итоге их может оказаться целых две.

В системе нет явного отслеживания IP адресов с занесением в базу, есть только лог-файлы.

Подача декларації Рябошапки Р.Г. 19.08.2016 до системи була здійснена за допомогою дійсного електронного цифрового підпису, що не належить члену Національного агентства з питань запобігання корупції Рябошапці Руслану Георгійовичу. При цьому файл підпису цієї декларації містить гіпер-посилання на акредитований центр сертифікації ключів Державного підприємства “Українські спеціальні системи”.

Не совсем понятна формулировка про “не належить Рябошапке” так как не дает четкого ответа — ключ с его данными, но он не вкурсе о его существовании и не обладает им или же был ключ с данными другого человека и значит система декларирования позволяет публиковать декларации от чужого имени.

В дополнениях отчета информация которая помогла бы паралельно проверять всем желающим, но она под грифом ДСК: лог-файл, распечатка декларации, распечатка содержимого цифровой подписи декларанта на декларации.

Глава НАЗК озвучила выводы в фейсбуке, но зачем-то упомянула что присутсвовали специалисты от ПРООН, что не отвечает действительности www.eurointegration.com.ua/news/2016/08/23/7053690

23.08.2016 УСС опровергают выводы комиссии НАЗК
www.uss.gov.ua/...ent/content/article/178-1

Нас безумовно здивувало повідомлення Н.Корчак про створення комісії з представників виключно однієї із зацікавлених сторін і без залучення фахівців Держспецзв’язку та/або інших компетентних державних органів. Так само, як і про участь представників ПРООН, які, за нашою інформацією, участь у комісії не брали.
Нам невідомо про прийняття НАЗК рішення про створення означеної “комісії”. Але навіть у повідомленні Наталії Корчак йдеться тільки про наявність у фейковому підписі гіперпосилання на ДП “УСС”, яке, власно, може підробити будь-який досвідчений програміст.
Ще раз заявляємо: ДП “УСС” не причетне до фейкового підпису громадянина Р.Рябошапки.

В выводах НАЗК прямого обвинения УСС нет, а есть информация при помощи которой можно будет обвинять в соответсвующих органах.
Но УСС все-равно реагирует и вместо использования профессиональных терминов и объяснений аппелирует к обывателям “може підробити будь-який досвідчений програміст”.

23.08.2016 НАЗК отключает доступ к системе декларирования до 1 сентября и обещает устранить все недостатки.

Vanya Yani Web Developer в Capgemini Engineering 24.08.2016 06:00

Мне кажется, НАЗК и УСС играют на публику, чтобы дать последним уйти от ответственности.
Либо и там, и там работают жуткие непрофессионалы. Другого объяснения не найти...

George Kashperko 23.08.2016 22:11

Рубрика «письма в редакцию»
Изба-читальня у Max Marchenko одобряе.

Sergiy Fakas Information Security Officer в Oro 23.08.2016 15:50

Zed’s dead baby, Zed’s dead ©
portal.nazk.gov.ua
Обратите внимание на статус.

Serhiy Kurtenko 23.08.2016 19:19

У них рабочий день в 16:00 заканчивается вот и сайт в дауне, попробуйте с 8 часов утра заходить.

Sergiy Fakas Information Security Officer в Oro 23.08.2016 23:00

Он такой с утра.

Serhiy Kurtenko 24.08.2016 01:22

НАЗК официально выключил до 1 сентября, чтобы за неделю все починить и выкатить готовый сайт.

Artyom Krivokrisenko 24.08.2016 01:36

за неделю все починить и выкатить готовый сайт

Когда мы достигли дна, снизу постучался НАЗК

Artyom Krivokrisenko 24.08.2016 05:57

Кстати, почему заглушка на английском языке, а не на украинском?

Sorry
Server is in maintenance mode now. Please try again later.

Непорядок, срочно кастую в топик украинизатора linkedin

Alex Shevelo senior python developer – SoftServe 23.08.2016 00:48

Щоб закрити питання про кукі і про безумовний редірект і тд бо ширяться думки по ФБ та інтернетам шо то нічого страшного не знайдено .Еммм я тут вимоги до проекту прочитав(pocurement-notices.undp.org/...ew_file.cfm?doc_id=65269. Так от я цитую
“Постачальник повинен перевірити систему електронного декларування на захищеність за списком
вразливостей OWASP Top 10 vulnerabilities 2013.” Неважко перейти за посиланням www.owasp.org/...ex.php/Top_10_2013-Top_10 і побачити що порушено
1) www.owasp.org/...on_and_Session_Management
В пунктах
5 Session IDs don’t timeout, or user sessions or authentication tokens, particularly single sign-on (SSO) tokens, aren’t properly invalidated during logout.
6 Session IDs aren’t rotated after successful login.
це танці з куками

2) www.owasp.org/...Security_Misconfiguration
в пунктах
2. Are any unnecessary features enabled or installed (e.g., ports, services, pages, accounts, privileges)? Я знайшов яйце з генерацією + криво налаштована ліба
3. Are default accounts and their passwords still enabled and unchanged?
Тестові ключі “забули” вимкнути
4. Does your error handling reveal stack traces or other overly informative error messages to users?
Ми всі пам’ятаємо 500 з трейсбеком payara

3)www.owasp.org/...ed_Redirects_and_Forwards
ПОВНІСТЮ по суті див приклад атаки
Scenario #1: The application has a page called “redirect.jsp” which takes a single parameter named “url”. The attacker crafts a malicious URL that redirects users to a malicious site that performs phishing and installs malware.

www.example.com/...redirect.jsp?url=evil.com
Це безумовний редірект на проксі для ключів

Питання до Юрий Новиков и інші товаріші з міранди WTF?

George Kashperko 23.08.2016 01:29

Упреждая, ставший уже обыденным на непрофильных ресурсах и плавно перебирающийся сюда, бесценный флейм на предмет того, что “это то же самое, что украли ключ” или “а вы дадите кому-нить свою кредитку??7семь” — не делитесь, пожалуйста, с сообществом своим бесценным мнением по этому поводу, пока не найдете действующий Закон о куках такой, как, например, ЗУ “Про електронний цифровий підпис” или “Про платіжні системи та переказ коштів в Україні”

Sergiy Fakas Information Security Officer в Oro 23.08.2016 01:35

Да как бы уж где где а здесь OWASP top 10 должны бы чтить как Моисеевы скрижали...
Но да, я тоже предсказываю флейм :).

Alex Shevelo senior python developer – SoftServe 23.08.2016 01:58

Да причём тут закон? В Тех задании есть проверки по топ 10? есть. Дырки по топ 10 есть? Есть задание выполнено? нет. О чём мы говорим тогда? Там ещё прекрасное про
Система має попереджати суб’єкта декларування про наявність будь-яких логічних
невідповідностей у його декларації під час її збереження — наприклад, якщо місце фактичного
проживання не збігається з жодною з адрес об’єктів нерухомості, якими суб’єкт декларування
володіє на правах власності або оренди.

А я могу указать свой год рождения 1800 а год рождения моей матери 2016 это как с точки зрения “логічних невідповідностей” норм? И далее по тексту:):):):)

Просто берём ТЗ включаем чиновника и давай проверять много пунктов не выполнено и по мат контролю(я могу ввести −500 грн стоимость акций выпущенных в 1800 году моей матерью 2016 года) И много ещё чего интересного

Sergiy Fakas Information Security Officer в Oro 23.08.2016 02:32

Закон при том, что юридически воровство электронного ключа наказуемо. А кук — нет.
А RFP (формально тот документ не ТЗ и я могу ожидать что эти фокусники вытащат на свет божий какого то кастрированного ублюдка по которому поделие сие и кодилось) таки не выполнено. Это видно невооруженным глазом. Если конечно его не залить...

Alex Shevelo senior python developer – SoftServe 23.08.2016 08:42

Написано будет «пацаны похер на овасп-шмовасп» херячте как угодно?:)

anonymous 23.08.2016 16:15

Воровство кук и получение с помощью них несанкционированного доступа такое же преступление как и воровство ключа и получение с помощью него несанкционированного доступа, никакой специальный закон про куки тут не нужен.

Nataliya Zubar Chair в Maidan Monitoring Information Center 23.08.2016 02:43

Там в форму не можливо ввести назву організації з держреєстру, копійки (які досі актуальні в зп держсектора). І я підозрюю, що це теж програмниий баг.
А про діючий закон про кукі, так в нас же євроінтеграція і ми приводимо законодавство у відповідність з європейським. І до куків дійде.

HorAV 23.08.2016 11:58

Из примечаний бланка декларации за 2015 год, что сдавали на бумаге
«9. Відомості щодо фінансових сум заокруглюються до гривні.»

anonymous 23.08.2016 16:10

Не хватало еще закона о куках. Может еще принять законы про восход солнца и про закат солнца, и про времена года?

Sergiy Fakas Information Security Officer в Oro 23.08.2016 16:28

Хм... Иногда лучше жевать... www.cookielaw.org/the-cookie-law

anonymous

anonymous 23.08.2016 16:50

И что? Директивы евросовка это уже истины в последней инстанции? А еще в евросовке есть директивы про размер огурцов и про то что нельзя говорить что вода предотвращает обезвоживание. Иногда лучге думать, чем принимать практики евробюрократии.

Vanya Yani Web Developer в Capgemini Engineering 23.08.2016 19:41

Постоянно раздражает этот тултип на евросайтах, который ты можешь только закрыть. Никакой пользы он не несет.

undefined pointer 23.08.2016 10:34

Питання до Юрий Новиков и інші товаріші з міранди WTF?

а они уже отвечали всепобедимым аргументом

Kод проверяла и тестировала международная компания PricewaterhouseCoopers!

и всё, все должны заткнуться и пасть ниц.

Alex Shevelo senior python developer – SoftServe 23.08.2016 10:50

А спорим что выяснится что PWC аудит только тех док выполняла + тз возможно. А не самого кода и реализации?

Sergiy Fakas Information Security Officer в Oro 23.08.2016 11:05

Ну вот насколько я знаю именно техническим security audit с пентестами и код-ревью они не занимаются.
Буду рад узнать что я не прав :). Но тогда вопрооооосы :).

Oleg Vine Analyst 24.08.2016 16:03

PwC тестировал только первые три части разработки, а система безопасности разрабатывалась на 4-5-м этапах. Тестироватьбезопасность предполагалось в Криптософте. Но к моменту сдачи продукта уже было решение суда, что Криптософт — фиктивная контора. Поэтому отдали на проверку ДСКЗИ. Дальше Вы знаете.

George Kashperko 24.08.2016 17:03

Система безопасности скорее 6й этап о необходимости которого, похоже, ПРООН и не думал. Задачи 4-5, документального подтверждения реализации которых в публичном доступе пока не обнаружено — средства интеграции с другими реестрами и описательная часть на них.

Oleg Vine

Nataliya Zubar Chair в Maidan Monitoring Information Center 24.08.2016 17:05

RFP писав світовий банк. Реконструкція подій показує, що взяли аналогічне з Румунії і на якомусь етапі всунули в нього bank id

Sergiy Fakas Information Security Officer в Oro 24.08.2016 23:34

PwC занимается тестированием софта?

Oleg Vine

Oleg Vine Analyst 25.08.2016 19:15

Ну, если верить межведомственной рабочей группе — то таки да, они этим занимаются:
www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf , стр.2: " ... враховуючи ... результати незалежних тестувань на функціональність та проникнення, проведені PeicewaterhouseCoopers".

Sergiy Fakas Information Security Officer в Oro 25.08.2016 21:43

Вот поэтому очень интересно было бы глянуть на отчет PwC т.к. в то, что любой более менее серьезный security audit пропускает уязвимость из OWASP top 10 я просто не верю. Ну для меня это так же дико как и история с ключем УСС.

Oleg Vine

Vanya Yani Web Developer в Capgemini Engineering 23.08.2016 12:10

Це безумовний редірект на проксі для ключів

Так редирект или прокси?

Artyom Krivokrisenko 23.08.2016 23:44

Система работает в тестовом режиме?

Vanya Yani

Sergiy Fakas Information Security Officer в Oro 22.08.2016 22:58

Еще на почитать на сон грядущий procurement-notices.undp.org/...iew_file.cfm?doc_id=65025

George Kashperko 22.08.2016 23:55

8) Чи залишаються авторські права у розробника?
— Ні, авторські права повністю передаються ПРООН

Шта?

12) ... подальший супровід та можливі вдосконалення системи могли виконувати будь-які інші ІТ розробники чи ІТ підтримка НАЗК...

Как можно будет допиливать систему Г-2 после положительной аттестации ?

15) ...Важливо мати модуль системи електронного декларування, який буде готовий до подальшої інтеграції з реєстрами... Здійснення інтеграції з конкретними реєстрами в рамках реалізації проекту за цим тендером не є необхідною.

Задачи 4 и 5 кто-нить наблюдал вживую ?

19) ... На ст. 13-14 ТЗ зазначається, що «нова системаелектронного декларуваннямає бути розроблена та піддана необхідним тестам (зокрема, пройти стрес-тестування, випробування користувачем і випробування на захищеність від проникнення (stress-test, useracceptance test, penetration test))до кінця січня 2016 року». При цьому слід врахувати, що проведення тестувань системи та виправлення недоліків буде здійснюватися упродовж січня 2016 року.
...
25) ... Головне завдання — після тестування системи забезпечити до кінця січня 2016 р. можливість подання і опублікування декларацій у електронному вигляді. На момент масового подання декларацій (березень 2016 р.) має бути налагоджено такі складові — автентифікація, форма декларації і публічний сайт.

И снова вопрос — что же происходило 4 месяца с марта по июнь включительно?

Sergiy Fakas Information Security Officer в Oro 22.08.2016 23:59

Вот вот. Более того — я так понимаю предполагалось что декларации туда уже будут вносить в марте.

И снова вопрос — что же происходило 4 месяца с марта по июнь включительно?

Agile очевидно.

undefined pointer 23.08.2016 10:09

По поводу п8

В среде внедренцев систем уровня ерп, по поводу итогов мутных тендеров есть крылатое

Кто-то не тот купил что-то не то.

Artyom Krivokrisenko 23.08.2016 00:41

Зазначена система повинна підтримувати не менше 5 000 одночасних з’єднань.

Только один вопрос: почему писали на php а не на nodejs?

Sergiy Fakas Information Security Officer в Oro 23.08.2016 00:43

На чем умели на том и писали.

anonymous 23.08.2016 09:12

На го надо было писать, а то не круто

undefined pointer 23.08.2016 09:31

если бы технический выбор для такой системы лежал на мне — nodejs — рассматривал бы в последнюю очередь, из-за незрелости комьюнитии и инфраструктуры.

недавно на хабре была очередная статья, какой пипец творится в npmах.

у пыха же проблемы известны вдоль и поперек. то есть к ним есть решения.

если не пых то — java.
если не джава — то .net

Artyom Krivokrisenko 23.08.2016 09:40

у пыха же проблемы известны вдоль и поперек. то есть к ним есть решения.

А главное, патчи в области безопасности выходят регулярно

undefined pointer 23.08.2016 09:56

то есть вы намекаете что раз патчи в области безопасности выходят нерегулярно, то это преимущество? ;)

берем джаву, например последнее обновление
В выпусках Java SE 8u101 и 8u102 устранено 13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации. Четырём уязвимостям присвоен уровень опасности (CVSS Score) больше 9

ужас. толи дело надежный Node.js где в библиотеках фоточки, тянется раздел британики, а психанувший программер может увалить по миру тьму сборок мелкой пакостью.

Artem Perchyk Front-end developer 23.08.2016 19:33

Про британнику была шутка, как и вся остальная статья.
(не оправдываю недостатки ноды и npm в целом)

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 19:40

Кука в тезе. Пруф. procurement-notices.undp.org/...iew_file.cfm?doc_id=64914 стор 26.
Честь першовикриття і ймовірно першочитання тезе очевидно належить Сергію Факасу.
Аплодуйте

Олександр Мощенко 22.08.2016 07:58

всі дев’ять сотень коментарів переглядати не хочеться (тему не з початку відслідковую), тому запитаю окремо: невже ніхто в межах цивілізованого світу не має системи декларування? а якщо має, то хіба не можна її придбати? навряд чи вона буде дорожчою за якусь інсталяцію ораклу для чергового банку.

Roman Kulish 22.08.2016 10:24

Мабуть тому що у кожній країні своя система? Ну придбаєшь ти інсталяцію: база, веб-сервер, поштовий сервер і далі все рівно треба буде конфігурувати її під наші реалії... Що за часом займе те ж саме.

Олександр Мощенко 22.08.2016 10:43

так в тому то й річ, що у нас в країні системи електронного декларування не було, а адаптери до інших систем писати треба хоч так хоч так. Продається ж та сама один це, продається банківське програмне забезпечення (хоча фінанси це, мабуть, одна з найбільш вимогливих до кастомізації речей). В усякому разі ядро (бд, сервер, пошта, захист, облік, моніторинг) від реально працюючої і перевіреної системи могло бути використане, і цього топіку би не було.

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 10:47

Цього топіку б не було на комп’ютерному форумі, це так, бо баги б були не в софті.

Roman Kulish 22.08.2016 10:56

Власне маєшь рацію, але то не допоможе. Без нормальних фахівців, load testing, penetration testing і т.п. — жопа буде така сама, але вид збоку.

Дмитро Дем'яненко BA/UX 22.08.2016 12:42

і цього топіку би не було.

был бы другой.
И под “система” нужно понимать не исключительно — “информационная система”, а уровнем повыше, в который входит ИС+законодательство+практика применения и т.д.

Alexandr Sova Developer 22.08.2016 17:01

ядро (бд, сервер, пошта, захист, облік, моніторинг) від реально працюючої і перевіреної системи

точно так же не прошло бы сертификацию как не проходят очень много других интересных современных вещей

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 10:46

Тому що це система, в якій програмний комплекс є тільки частиною, і навіть не найбільшою. Бо цепередовсім система частини державного управління (контроля), а у всіх країнах то різне.

Roman Kulish 22.08.2016 03:16

А можна я типу половину людей, котрі демагогію розводять по реформування чиновників, дєрєбан бабла і «міранда бу-у-ууу» назву шоблом клоунів і скажу таке ...

Якщо дуже розумні, чого самі давно не написали систему? Люди працювали, люди її створили, першу в країни. Система є, пилили гроші чи ні. Система працює: криво косо, говонокод чи ні. Систему можна довести до належного рівня і запустити. Вона потрібна і має бути. Аніж її зливати краще б хтось конструктивне щось запропонував.

Цій жіночкі з її смішним відео: нащо було робити цирк розрахований на тих хто від слова «кука» має панічну атаку і випадання матки? Я так влегку ваш вебмейл, гмейл, фейсбук, твіттер і райффайзен банк того другого чоловіка зкомпроментую. Зкиньте мені куку і програмуйте далі калькулятор. Технології в руках тих хто не розуміє як і навіщо вони працюють — палка, банани збивати.

Artyom Krivokrisenko 22.08.2016 03:33

Якщо дуже розумні, чого самі давно не написали систему? Люди працювали, люди її створили, першу в країни. Система сцуко є, пилили гроші чи ні. Система працює: криво косо, говонокод чи ні. Систему можна довести до належного рівня і запустити. Вона потрібна і має бути. Аніж її зливати краще б хтось конструктивне щось запропонував.

А зачем писать систему с нуля? Мое предложение: использовать готовое решение, мы не только сэкономим время, но еще и кучу бабла, так как не нужно будет платить за серверы, сертификацию и т.п.

Система уже готова и работает с 2000 года (в тестовом режиме, но вы держитесь). Уже, кстати, первый чиновник внес свою декларацию: pastebin.com/eCRK8TsS

Прошу аргументированно объяснить, почему мы не можем использовать эту систему, и должны запускать новую, привлекая, ПРОН, миранду и прочие левые структуры с непонятной репутацией.

Roman Kulish 22.08.2016 07:16

Сарказм защитан. От дивись, десь з 10 років тому Австралія запустила гавняну систему податкового обліку. Яка в мене на компутері казала чистою англійською мовою: шановний, а я чось не петраю ваш український формат часу; і падала на спинку вкриваючись труханами.

За 10 років вони її довели до ладу, перенесли «в хмарки» і зараз роблять гарний статистичний аналіз. Зводять разом дані від компанії де працюєшь, банку, де маєшь рахунок, всі медичні послуги, партнерів що на тебе звіти подавали і розглядають у купі разом з родичами та у проекції на всі минулі роки. І якщо у 12тирічного племінника від триюрідної тітки раптом сплива вєлік за два мільйона баксів, якийсь він купив на заробіток від продажу скаутських значків — це все гарно видно.

Треба з чогось починати і це важко. А то як розумні наші Геращенко, Арієв, Дзиндзя і гопкомпанія дурниками ржуть по фейсбуках над цією ситуацією, свідчить що їм краще не мати ніякої системи. Мабуть їм є чого боятися прозорості, так?

Artyom Krivokrisenko 22.08.2016 07:49

Сарказм защитан.

Чем принципиально решение миранды будет отличаться от того, что предложил я?

Кстати, без всякого пиара и криков о зраде чиновники постепенно добавляют свои декларации pastebin.com/RpmP5ahn

Я, кстати, даже могу сказать, что мне под это выделило грант 50 песо посольство Уругвая в Гондурасе, значит тут по определнию ничего непрозрачного быть не может, а тот, кто имеет что-то против — коррупционер и порохобот.

От дивись, десь з 10 років тому

#$&^%$^, так нам целых 10 лет эту говняшку кушать???

Треба з чогось починати і це важко. А то як розумні наші Геращенко, Арієв, Дзиндзя і гопкомпанія дурниками ржуть по фейсбуках над цією ситуацією, свідчить що їм краще не мати ніякої системи. Мабуть їм є чого боятися прозорості, так?

Геращенко? А я вроде слышал как он говорил — говняшку, которую сделали, надо выпилить, и вместо нее запустить нормальную безопасную систему.

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 10:25

В перший же день мій товариш запропонував поставити то всьо на гугль форми. Звісно pastebin крутіша ідея, визнаю. Але... А де тут бабки пиляють, я не зрозуміла?

Roman Kulish 22.08.2016 10:40

Ну дядьо, ти те ж не народився стрункий і прокачаний до lv80 як Арні і з ключами від Бентлі в лапці. Треба буде — 10 років говняшку кушать будем, поки з неї щось путнє не вийде :)

Якби ті ідійоти погодилися, можно було б запустити систему в open-source як народний проект. З групою яка б контролювала всі pull requests, bug bounty і тому подібне. Цікаво б що з того вийшло?

Vanya Yani Web Developer в Capgemini Engineering 22.08.2016 10:56

Нічого б не вийшло. Наприклад, є народна бібліотека криптоалгоритмів ДСТУ: github.com/dstucrypt
Основна проблема не в коді, а в тому, що для її сертифікації ДССЗЗІ просить $10k.

Roman Kulish 22.08.2016 10:59

А чим те що в openssl не влаштовує? І підтримується і оновлюється, і де-факто стандарт.

Пардон, ДССЗЗІ просить баблішко?

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 22.08.2016 11:01

Це питання до ДССЗЗІ, яка видумує оті українські алгоритми та стандарти.

Roman Kulish 22.08.2016 11:07

Коментар порушує правила спільноти і видалений модераторами.

Andrii Rodionov JUG UA, Викладач в НТУУ «КПІ» та УКУ 22.08.2016 16:32

Це добре, що існують свої крипто-алгоритми, бо це є науковоємкі технології, які ряд держав не мають взагалі.
Інша справа, що для ряду речей треба було б значно пом’якшити вимоги і дозволити використання міжнародних стандартів.

Vanya Yani

Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 22.08.2016 19:25

Це добре, що існують свої крипто-алгоритми

Если бы... На 80% там советско-КГБшные технологии и стандарты все еще рулят. Вспомните какого года тот же ГОСТ.
В последние 2 года вроде одумались, наконец, но путь к свету еще долог и тернист.

Andrii Rodionov JUG UA, Викладач в НТУУ «КПІ» та УКУ 22.08.2016 21:32

Стандарт и алгоритм по ЭЦП уже давно свой, симметричный уже так же новый есть (ДСТУ 7624:2014)

Tim Tretyak

Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 23.08.2016 13:26

Стандарт и алгоритм по ЭЦП уже давно свой

Пожалуйста хоть один пример аппаратной реализации PKCS#11 приведите. Без которой на сегодня любое мало-мальски продвинутое APT ворует приватный ключ на раз из памяти клиента.
Да, я знаю про токены Автора, но вот есть такое шокирующее мнение по поводу всего набора подобных ключей:
habrahabr.ru/post/276057

симметричный уже так же новый есть (ДСТУ 7624:2014)

Калина сама по себе, безусловно, позитивное событие. Но не отменяет увы старых граблей — нет (и не предвидится) аппаратных реализаций.
Без которых, например, построение метрокластеров просто невозможно для госструктур (они никогда не сертифицируют КСЗИ без шифрования in-transit, а латенси при софтовой реализации не позволит построить никакой storage-replication).

Andrii Rodionov JUG UA, Викладач в НТУУ «КПІ» та УКУ 23.08.2016 14:26

Не говорю что их следует навязывать использовать везде (для военных и гостайны — пожалуйста), потому что инфраструктура для них неразвита и скорей всего развита на достаточном уровне никогда не будет.
Думаю Горбенко и Ко таки сделают в какой-то момент IP-шифратор с Калиной.
И да, текущее нормативное законодательство в этой сфере тормозит все что можно связанное с электронным правительством.

by uk.wikipedia.org/wiki/ГОСТ_28147-89

Tim Tretyak

Taras Boiko Senior SWE в Facebook 23.08.2016 11:52

ГОСТ 28147-89 — радянський і російський стандарт симетричного шифрування, введений в 1990 році, також є стандартом СНД

undefined pointer 22.08.2016 11:06

Якби ті ідійоти погодилися, можно було б запустити систему в open-source як народний проект. З групою яка б контролювала всі pull requests, bug bounty і тому подібне. Цікаво б що з того вийшло?

для успіху опенсорс проекта все одно потрібен менеджмент, стабільний core team фахівців та експертів.

тобто потрібно заснувати фундацію та налагодити її фінансування.

я не бачу хто в Україні на це спроможен, хоча б на старті.

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 22:13

Подала декларацію теж.
Там та сама кука повністю.
Копілефт pastebin.com/3EYsMH3t

George Kashperko 22.08.2016 03:40

Система є, пилили гроші чи ні. Система працює: криво косо, говонокод чи ні.

Образцов столь тонкого сарказма в этом триде невероятно мало, снимаю шляпу.

undefined pointer 22.08.2016 08:47

Аргумент — Сперва добейся — в хрестоматийный список демагогии внесен еще римлянами.

Но ладно, можно пояснить очевидное.
Чтобы написать систему — нужны во-первых ресурсы, во-вторых официальное признание писателя гос учреждениям. Вопрос — у кого есть команда разработчиков готовая за бесплатно работать от 3ех месяцев и больше? И будут ли общаться гос структуры с командой с улицы?

Про дописать, конструктивно и прочие бла-бла-бла
Во-первых прикольно — деньги получили одни, а другие за так должны переписывать, дописывать? Во-вторых а где исходники? Под какой они лиценщией чтобы желающие помочь стране за бесплатно могли поучаствовать?

Третье — система работает, говконкод она или нет, почему бы не использовать ее как базис.
Технический долг.
Ищите на доу или гуглите, если не знаете что это такое

Roman Kulish 22.08.2016 10:34

Ну от дивися, берешь очевидне і трансформуєшь його у вирогідні проблеми:

1. Взяти існуючу систему за базис
2. Визначитися з
2.1 Команда
2.2 Умови роботи команди
2.3. Співпраця з держорганами
3. Фінансування
4. Аналіз системи: що планували? що зробили? що лишилося? технічний борг?

І один по одному конструктивно їх вирішуєшь ... Це назівається, сцуко, менеджмент! А оте зверху — дємаґоґія. Нація треплов і споживачів, вашу мать.

undefined pointer 22.08.2016 12:36

Старое, крылатое у Жванецкого
«Все знают как оно надо. Все знают как оно есть. А вот как из этого как есть сделать как надо — не знает никто»

причем когда я пишу в обсуждении о «юности и наивности» — то намекаю что даже не знают «как оно есть». пытаюсь, в меру сил рассказать, как оно есть.

Нація треплов і споживачів, вашу мать.

і ідеалістів.
Українці — їжачки в тумані

а от кого, бракує — так це прагматиків, емпірикив та поміркованих циніків.
хоча... ті ще йо є — не обтяжені совістю, а тому успішно збільшують свої статки.

Ievgen Safronenko Senior Software Engineer в zooplus 22.08.2016 09:19

Долар по 8 сцуко є, пилили бюджет чи ні. Бюджет працює: криво косо etc...

Artyom Krivokrisenko 22.08.2016 01:01

Кстати, еще два вопроса, мой ключ используется только для аутентификации или так же для подписи самой декларации? Если только для первого, что делать если злочинна влада изменит данные моей декларации на бекенде и посадат?
Если для второго, как я могу быть уверен, что мой приватный ключ с паролем не будет слит в НАЗК нужным людям (внедрить нужный js код со стороны НАЗК, js имеет досутп к сертификату и паролю) и там от моего имени не пере-подадут совсем другую декларацию, опять меня посадят?

Второй — НАЗК подписывает полученную декларацию со своей и дает мне подпись? Если нет, опять же, злочинна влада просто выпилит мою декларацию из системы и я никак не смогу доказать, что подавал ее. Меня опять посадят.

George Kashperko 22.08.2016 02:01

Судя по видосу от пани Натилии, где декларацию редактируют, аутентифицировав соединение по чужому куки — авторизации доступа и удостоверения декларации с применением ЭЦП нет совсем от слова вообще.
По второму вопросу — Государство априори является добросовестной стороной, вследствие чего доказать его преступные намерения крайне непросто. Отличный пример — действия неустановленных (надеюсь временно) лиц из ДП УСС. Посмотрим по развитию событий, насколько ваше предположение имеет под собой почву.

Vanya Yani Web Developer в Capgemini Engineering 22.08.2016 02:29

Не вижу на видео что происходит при нажатии на кнопку «Подати документ», при котором и должно происходить удостоверение декларации.

Artyom Krivokrisenko 22.08.2016 02:49

Ну я банально подправлю черновик чужой декларации, добавлю или удалю где-то лишний нолик. Чувак вернется, дозаполнит декларацию. Вероятно, не заметит, что уже внесенные данные поменялись. Подпишет, и привет 5 лет халявной баланды.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 22.08.2016 02:57

Это понятно. Непонятно что вы предлагаете. Убрать веб-интерфейс вообще?

Artyom Krivokrisenko 22.08.2016 03:21

Учитывая события последней недели:

1. Отключить из продакшна это позорище и забыть о нем.
2. Разобраться в том, как произошла генерация фейкового ключа. Вероятно, это говорит о том, что сама идея электронных ключей, выпускаемых гос органом, скомпрометирована, и нужно будет найти решение, которое будет менее уязвимо для такой атаки.
3. Выбрать решение, связанное с подписью электронными ключами, безопасное для веба. Загрузка приватного ключа в веб-приложение — это небезопасно, так как пользователь не может контролировать как этот ключ будет использоваться. И, учитывая пункт 2, возможности для злоупотреблений здесь очень много.

Vanya Yani

George Kashperko 22.08.2016 03:59

1. Отключить из продакшна это позорище и забыть о нем.

Все ещё можно привести в божеский вид. Конечно, займет некоторое время, но полагаю будет быстрее чем писать с нуля.

2. Разобраться в том, как произошла генерация фейкового ключа. Вероятно, это говорит о том, что сама идея электронных ключей, выпускаемых гос органом, скомпрометирована, и нужно будет найти решение, которое будет менее уязвимо для такой атаки.

Печаль в том, что ключ не фейковый, и кто-то таки должен быть принесен в жертву ради дальнейшего доверия к ЦЗО, иначе это профанация.
ИМХО кроме ЦЗО, находящегося во власти Минюста, все АЦСК должны быть либо исключительно частными структурами, либо гос. площадками ежегодно через открытый тендер отдаваемыми во внешнее управление с обязательным ежегодным же аудитом.

3. Выбрать решение, связанное с подписью электронными ключами, безопасное для веба. Загрузка приватного ключа в веб-приложение — это небезопасно, так как пользователь не может контролировать как этот ключ будет использоваться. И, учитывая пункт 2, возможности для злоупотреблений здесь очень много.

Все упирается в необходимость использования ДСТУ 4145-2002 с доморощенными алгоритмами хеширования.

Artyom Krivokrisenko 22.08.2016 04:19

Все ещё можно привести в божеский вид. Конечно, займет некоторое время, но полагаю будет быстрее чем писать с нуля.

Нет, именно выпилить из продакшна, уничтожить данные и код, а авторов творения желательно отправить в биореактор, чтоб принесли хоть какую-то пользу.

Что происходит, если при решении проблем безопасности беспокоятся только о дате запуска, мы уже увидели. Если это займет еще пол года, значит пол года.

Все упирается в необходимость использования ДСТУ 4145-2002 с доморощенными алгоритмами хеширования.

Это офигенно, но даже в этом случае можно решить проблему. Например, банальное standalone приложение, в которое копипастится декларация с веб-странички, подписывается, потом подпись копипастится обратно.

Вероятно, в течение следующих 10 лет запилят еще кучу веб-сайтов, где используются электронные подписи, и безопасность всех этих веб-сайтов будет зависеть от безопасности самого дырявого веб-сайта, через который будут воровать приватные ключи (и не факт, что мирандовская поделка среди них будет самой дырявой)

Oleksii Shevchuk 22.08.2016 09:24

Все упирается в необходимость использования ДСТУ 4145-2002 с доморощенными алгоритмами хеширования.

Что именно упирается?

George Kashperko 22.08.2016 13:47

Законодательные требования выписаны таким образом, что, фактически, единственным признаваемым государством алгоритмом ЭЦП является ДСТУ 4145-2002.
Кроме того, законодательно же введены требования по экспертизе других криптоалгоритмов (экспертизы эти весьма дороги и не проводятся), а также корректности реализаций функций криптозащиты с их применением (что, по-сути, требует проведения экспертизы всех и каждого используемых браузеров и т. д.).
Ну и финальным аккордом — работы по криптографической защите информации у нас являются лицензируемым видом деятельности, впрочем я не работал в этой сфере отечественного народного хозяйства и не берусь утверждать, что для проектов типа e-декларирования она требуется, так как в нормативной базе прописано исключение «кроме услуг ЭЦП».

Oleksii Shevchuk 22.08.2016 13:59

Ну, я не это спрашивал. Вот вы на тезис

3. Выбрать решение, связанное с подписью электронными ключами, безопасное для веба. Загрузка приватного ключа в веб-приложение — это небезопасно, так как пользователь не может контролировать как этот ключ будет использоваться. И, учитывая пункт 2, возможности для злоупотреблений здесь очень много.

отвечаете

Все упирается в необходимость использования ДСТУ 4145-2002 с доморощенными алгоритмами хеширования.

И создается впечатление, что по вашему мнению, если бы не доморощенные алгоритмы все было бы ок. А именно (я такой вывод делаю) — можно было выбрать решение безопасное для веба. Вот мне и интересно узнать, в чем причина такого мнения.

George Kashperko 22.08.2016 15:19

Загрузка приватного ключа что в кейстор ОС, что в самостоятельно реализующее его приложение — суть загрузка в оперативную память (за исключением SecurID и аналогов о которых я сейчас упоминать не буду в виду очевидной неспособности Государства предоставить/навязать их всех и каждому прямо здесь и сейчас) устройства. С этой точки зрения надежность предоставляемых программным обеспечением услуг юридически-значимого ЭЦП эквивалентно доверию Государства в лице органа-регулятора к корректности реализации разработчиком обеспечивающих её функций. Положительное решение о наличии такого доверия выражается в аттестации. Для отдельных аттестованных версий Windows, например, при условии установки весьма причудливых настроек, этот уровень доверия в терминах отечественных критериев оценки защищенности составляет Г-2 — что означает доверие регулятора на уровне «честного пионерского слова» к заявленным гарантиям по корректности реализации функциональных услуг защиты. Поэтому речь не о фактической безопасности и даже не о сомнительных «удобствах» или сохранности кучи кейсторов для каждого отдельного средства ЭЦП любой, рождаемой в муках, электронной услуги Государства. А в том, что законодатель нам не оставил никаких других юридически-значимых опций ЭЦП кроме ДСТУ 4145-2002
И, чтобы по-возможности развеять создавшееся у вас впечатление — с моей точки зрения проблема не в алгоритмах криптографии, будь они доморощенные или нет, а в довольно серьезном количестве лиц, обладающих властными полномочиями, целиком удовлетворенными созданной ими небольшой монополией. ИМХО ответственное Государство либо должно наконец озаботиться международной стандартизацией ДСТУ 4145-2002 & friends, либо сделать легальным использование других алгоритмов, уже являющихся международными стандартами.

Oleksii Shevchuk 22.08.2016 20:45

Это все конечно да, но не про то. Решения, в которых логика обработки документа каждый новый раз приходит со стороны сервера будет принципиально не безопасным с точки зрения массового нарушения аутентичности вследствие злонамеренных действий лиц, которые могут влиять на эту логику так или иначе. От рса или дсту тут ничего не зависит

George Kashperko 22.08.2016 21:21

Ваши предложения ?

Oleksii Shevchuk 23.08.2016 09:09

Делать веб ресурс только для предоставления данных наблюдателям. А сами данные формировать отдельным ПО. Да хоть вердом, а потом подписать. У клиента, с его аппаратным ключом. Это ж радикально упросит требования к ИС. К тому же подобный подход уже давно используется с той же налоговой.

undefined pointer 22.08.2016 11:37

не вникал, да и есть недостатки и у такого решения

на taxer.ua для хранения ключей и файлов подписи используется джава клиент, и таксеры клятвенно заверяют что себе они эти файлы не копируют, а находятся они в локальном хранилище(на клиенте) этого джава довеска к сервису.

клиент банки также часто используют jnlp.
о недостатках jnlp думаю знают все кто хоть немного в теме, поэтому опускаю.

сталкивался и с российскими тендерными гос биржами.
там подход как у вебманей.

причем настолько суровый, что бывает работает только в IE :)

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 10:27

Я вам гірше скажу. Я з привата зарегілася в той гадюшник. Так там ваще ецп ні на якому етапі нема.

George Kashperko 22.08.2016 13:20

Пані Наталя, чи ви не могли б спробувати здійснити подачу декларації з сеансу, що автентифікувався за допомогою кукі, щоб можна було нарешті зрозуміти наскільки сер’йозною є проблема з реалізацією ідентифікації у реєстрі ?
Заздалегідь дякую за Ваш час.

Alex Shevelo senior python developer – SoftServe 22.08.2016 17:15

Це неможливо підчас подачі декларації треба знову ключ з паролем подавати або банк айді проходити. АЛЕ те що в системі при логауті не дохне сессія це НОУХАУ високих технологій..... + Я можу почитати ПРИВАТНУ інфу о людині СПИСОК декларацій відкрити їх і та і тп... А це неприпустимий бок. І не важливо як хтось спер ту куку це повний фейл...... І на суді (за не заповнену декларацію без ауді) що скаже експерт якшо адвокат покаже вічну сессію?

George Kashperko 22.08.2016 17:30

Дякую за змістовне пояснення.

George Kashperko 22.08.2016 17:32

Як можливий side-effect чи пробували ви підписати чужу декларацію іншим ключем ?

Alex Shevelo senior python developer – SoftServe 22.08.2016 17:48

Я ні. Пані наталя каже шо хтось пробував написало «подано на опублікування ми з вами зв’яжемося» чи шось таке. Поки більше нічого публікації нема чекаємо:)

Alex Shevelo senior python developer – SoftServe 22.08.2016 17:54

Проблема в тому що ви можете своїм ключем виданим на George Kashperko іін 123 налабати декларацію на Шевело Олексія з іін 321 і все буде ок:)

George Kashperko 22.08.2016 18:05

Власне, про це я й питав.

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 20:17

Ні, пані Наталя уявлення не має про правовий статус цього бардака і не збирається нічого подавати ні з реальною інформацією, ні з котами і мопедами.

Artyom Krivokrisenko 22.08.2016 21:42

Как я понимаю, там еще есть и черновик, т.е. я залогинился со своим ключем, заполнил половину декларации, нажал «Выход», пошел покушать, в это время злоумышленник оживил сессию моим куки, удалил из первого раздела информацию о мотороллере, я вернулся, довнес вторую половину декларации, не заметил, что в первой что-то поменялось, и нажал «Отправить».

Через неделю журналисты находят чувака, который мне продал моторллер, находят, что у меня в декларации мотороллера нет, и все, суд, расстрел.

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 22:05

Ви все правильно розумієте.

Vanya Yani Web Developer в Capgemini Engineering 23.08.2016 10:03

Не расстрел, а штраф. Уголовное наказание только если мотороллер стоит миллион гривен, а у вас официальный доход всего 20.000 в год и вы не можете объяснить откуда деньги или почему купили его по цене дешевле рыночной.

Mykola Hudkovych IT Analyst в EPAM 25.08.2016 13:07

А-а, всего лишь штраф. То есть, главное, не иметь имущества на миллион гривень — и тогда отделаешься просто штрафом. Гуманно.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 25.08.2016 14:58

Главное в этом контексте — это статья 20 конвенции ООН против коррупции:

незаконное обогащение, то есть значительное увеличение активов публичного должностного лица, превышающее его законные доходы, которое оно не может разумным образом обосновать

Кстати, уголовная ответственность наступает за сокрытие в декларации имущества стоимостью более 345 000 грн.

Не заметить или забыть более $10k — это как-то подозрительно.

Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 22.08.2016 19:35

Кстати, еще два вопроса, мой ключ используется только для аутентификации или так же для подписи самой декларации?

Если он у вас есть (а не банкИД), то и для того и другого.

Если для второго, как я могу быть уверен, что мой приватный ключ с паролем не будет слит в НАЗК нужным людям

А никак. Потому что гребаный ГОСТ. У которого нет аппаратных реализаций PKCS#11, только в виде флешки с паролем. И посему приватный ключ всегда поднимается в оперативку и может быть оттуда снят хоть аплетом, хоть малварью.

Второй — НАЗК подписывает полученную декларацию со своей и дает мне подпись?

Теоретически да — вы должны иметь возможность скачать подписанную НАЗК декларацию. Практически — стоит уточнить, вопрос хороший.

Fedor Arch 21.08.2016 19:57

Я не очень понимаю мотивацию, тех людей которые активно топят систему е-декларирования.
На данный момент в Украине чиновники заполняют декларации в бумажном виде и публикуют их скан на 1000+ различных ресурсах. Что делает не возможным (или очень проблематичным) общественный контроль, особенно на местах. У меня создается впечатление, что ряд личностей вообще против появления в Украине единого, централизованного, обязательного хранилища деклараций. И для всех кто понимает важность внедрения подобной системы, дискуссия должна строится вокруг того как сделать продукт более качественным. Но он должен быть!! И здесь не вопрос о симпатиях или антипатиях к «грантоедам» или «Миранде».
Вопрос вообще о будущем е-декларирования.

Sergiy Fakas Information Security Officer в Oro 21.08.2016 23:26

Так никто не говорит что а) система не нужна; б) не надо ее делать качественной.
С моей точки зрения для профильного форума важен именно кейс — насколько важно соблюдение bests practices и что происходит когда к проектированию, разработке и развертыванию mission critical системы подходят спустя рукава.
Второй момент интересный именно здесь — вот он, заказ для внутреннего рынка ИТ. И тут оказывается что его давно уже окучивают специфические фирмы у которых главное не качество а связи. В такой ситуации сложно говорить о честной конкуренции и применении экспертизы наработанной на зарубежных контрактах на благо страны.

Fedor

George Kashperko 21.08.2016 23:56

Чрезвычайно важно по запуску реестра в эксплуатацию не дать забыть чиновникам о подключении его к другим государственным реестрам.

Fedor

undefined pointer 22.08.2016 00:04

Будущее е-декларирования зависит от его инициаторов. А это Запад, в первую очередь. Значит оно будет.
А вот какое...
Нынешний скандал показал что участники реформ, независимо от истинного к этим реформам отношения — пока не реформировались сами, а действуют привычными, отработанным методами. Например мирандовцы, — решили что раз обрели покровителей — могут нахрапом продавить что угодно. Пиливать на всех. От такой наглости офигели те кто должен был сертифицировать (наверняка даже были восклицания — да ни при яныке, ни при кучме так наплевательски к нам не относились
Разумеется радостно вмешались и те кто хочет оттянуть, или дискредитировать неизбежное, и просто самопиарщики

Суть же проблемы, повторюсь в том, что все главные участники ведут себя типично и типичными методами. Можно ли старыми методами создать новое — большой такой вопрос.

И тут интересна роль сотрудников ПР ООН. Их роль априорно правильная.
Я все ждал, кто ж рискнет то задать простой вопрос им.
И вот, наконец задали. На сайте Миротворец появилось их мнение, и в нем обращение к ПР ООН открыть тайну — подробности тендера. Кто участвовал, почему был отсеян.
Ждем-с, может «небожители» расскажут.
То есть — они сами готовы действовать — прозоро?

Fedor

Vanya Yani Web Developer в Capgemini Engineering 22.08.2016 00:22

На сайте Миротворец

Контролируемом Антоном Геращенко?

undefined pointer 22.08.2016 00:29

Извините, но меня интересуют не личности, а способность мыслить.
И поэтому я не обращаю внимания кто сказал толковую, а кто бестолковую мысль. Еще и потому что один и тот же может продублировать оба вида.

Примитивные же личности да, смотрят не что сказано а кем, не что написано, а на каком сайте.

Вопрос прозвучал. Думаю его подхватят, потому что он очевиден. Не хватало просто борзости его задать.

Vanya Yani

Sergiy Fakas Information Security Officer в Oro 22.08.2016 00:32

Хватало. Вы невнимательны.

Sergiy Fakas Information Security Officer в Oro 22.08.2016 00:31

Та лана. Вопрос кто еще участвовал в конкурсе ПРООН уже НЕДЕЛЮ просто орут уже. Ответа нет.

Alexandr Kochetkov 22.08.2016 17:08

Я писал на «Хвыле» об участниках конкурса.

Sergiy Fakas Information Security Officer в Oro 22.08.2016 17:42

Да, но хотелось бы официального ответа от ПРООН. А то получается анекдотичная ситуация что тендер по программе “Підвищення прозорості і доброчесності у публічному секторі” и не прозрачный и не публичный.

Alexandr Kochetkov

Nataliya Zubar Chair в Maidan Monitoring Information Center 21.08.2016 16:52

Дістали мене і Алекса ці ламери і дебіли. Для спеців — нате грайтеся.
Якщо мені хтось скаже що це не дірка від бубліка....
www.youtube.com/watch?v=TLPP4IRBcK8
Для широкої публіки я вантажу вступ і виступ :)

Vanya Yani Web Developer в Capgemini Engineering 21.08.2016 19:10

Это не дыра. Такое работает и для аккаунтов Facebook и Google. И вообще на любом сайте, где используютя cookies. Что тут хотели продемонстрировать — непонятно. Может это к тому, что сессия должна быть привязана к IP?

Fedor Arch 21.08.2016 20:03

Наталья не понимает в коде. Ее спрашивать нет смысла.
Украсть куки это атака на пользователя, таким же образом могут украсть ключ, подкинуть кейлогер и т.д. И вопрос больше в плоскости предусмотрел ли механизм реагирования на такие вызовы. Именно в юридически-организационном поле.
Но это таки дыра. Время сессии, IP и т.д.

Vanya Yani

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 10:50

Наталья не понимает в коде.

- ета 5. Я просто колекцію таких висловлювань зібрала вже.

Fedor

Fedor Arch 22.08.2016 12:37

Главное о том, что Вы говорили не забывайте.
pp.vk.me/...518/23dbd/CKDa7m7nGoI.jpg

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 12:41

І що тут сказано? Що я тестувала юзабіліті? Так. І досі продовжую. Бо цим взагалі НІХТО не опікувався, крім мене. Ви досі за тиждень не зроузміли з ким ви маєте справу? Ну і ладно

Fedor

Fedor Arch 22.08.2016 12:51

Ну да, что Вы по календарикам, а не по коду. Тоже нужное дело.

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 12:57

Я ніде не писала, що я код читати не вмію. Чи писати.

Fedor

George Kashperko 21.08.2016 20:06

Такое работает и для аккаунтов Facebook и Google. И вообще на любом сайте, где используютя cookies.

Есть целый комплекс причин, преимущественно правовых, по которым декларации размещаются не на персональных аккаунтах Facebook и Google.

Что тут хотели продемонстрировать — непонятно.

С использованной схемой аутентификацией нет достоверного способа установить субъект правоотношений. Намеренная передача либо случайная утеря куки броузера нашим законодательством не регулируется, со всеми вытекающими из этого последствиями (или, если изволите, их отсутствием).

Может это к тому, что сессия должна быть привязана к IP?

К ключу ЭЦП.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 21.08.2016 21:44

То есть нужно обязать вводить пароль ключа на каждый чих?

George Kashperko 21.08.2016 21:59

Оставлю ваш вопрос, Иван, без ответа как недоразумение.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 21.08.2016 23:46

Полагаю, это значит, что у вас нет идей как технически привязать сессию

К ключу ЭЦП.

George Kashperko 21.08.2016 23:52

Погуглите session key, в отдельности и в применении с ЭЦП.

И воспользуйтесь, пожалуйста,

Vanya Yani

George Kashperko 21.08.2016 23:53

... советом Егора

Vanya Yani Web Developer в Capgemini Engineering 22.08.2016 02:45

Восполняю как могу. Только вот как только доходит до самой сути, восполняторы куда-то убегают.

Vanya Yani Web Developer в Capgemini Engineering 22.08.2016 02:44

Поясните свою мысль.

session key

— это вы про https?

Artyom Krivokrisenko 22.08.2016 02:58

Попробую попроще. С того момента, как нажали кнопку «выход», единственным возможным способом восстановить сессию и продолжить работу должна быть полная процедура аутентификации с использованием ключа.

Как это реализуется — вопрос десятый, в данном случае мы видим, что миранда это никак не реализовала, и для восстановления сессии достаточно просто спереть чей-то session id и все (кстати, я правильно понимаю, что он вообще не экспайрится?)

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 22.08.2016 03:03

Я все же хочу услышать что имеется в виду под привязыванием сессии

К ключу ЭЦП.

И как это помогает если пользователь передал свои куки злоумышленнику.

Alex Shevelo senior python developer – SoftServe 23.08.2016 02:38

О госпиди. Уважаемый ПРИ ЛОГАУТЕ можно сессию убивать ну хоть ЭТО можно сделать? Или вы снова мне расскажете что куки продолждат работать в ФБ после того как оттуда выйти?

Vanya Yani

Sergiy Fakas Information Security Officer в Oro 23.08.2016 02:50

Не тратьте куме сили.
Не учится ничему человек...
И да, гораздо опаснее кук не убитая сессия на серваке.

Vanya Yani Web Developer в Capgemini Engineering 23.08.2016 10:28

Можно. Но это не относится к этой ветке обсуждения.

Vanya Yani Web Developer в Capgemini Engineering 22.08.2016 03:07

Про время жизни, IP, геолокацию, версию браузера и т. п. — понятно. А вот ЭЦП — нет. Возможно, автор имел в виду, что в браузере должен постоянно храниться приватный ключ? Тоже в куках?

Artyom Krivokrisenko 22.08.2016 03:15

Если вам нужна информация для общего развития — посмотрите, например, как работает mutual SSL authentication.

Конкретно в данном случае речь идет о том, что сессия должна умирать в тот момент, когда пользователь нажимает кнопку «выход», и восстанавливаться только после выполнения входа с использованием ключа.

Более того, схема, когда я должен передать свой приватный ключ и пароль другому приложению, мягко говоря, немножко дырявая. Так как этот ключ может быть в тот же момент использован для того, чтоб подписать документы в десяти других системах, принимающих его.

По аналогии — вы приходите заполнять декларацию. Оператор говорит — дайте мне ваш паспорт и ИНН, и заполняйте декларацию. Берет паспорт, идет в банк через дорогу и получает на него кредит. Но этот подтопик не об этом.

Vanya Yani

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 10:09

Так взагалі не закінчується. Можете вязти мою куку від вчора під відео. Все працює. :)

Artyom Krivokrisenko 21.08.2016 23:48

Вы хотели сказать, так работает на любом сайте, написанном на PHP, что после логаута можно «оживить» сессию с левого компьютера, имея на руках лишь ID строй сессии? Вам за 5 минут спроектировать решение управления сессиями, в котором не будет такой проблемы, или вы сами сможете?

Vanya Yani

Yaroslav Fedevych карлсон, который живет в подвале 25.08.2016 16:16

Не на будь-якому. Там, де вміють користуватись session_destroy() (чи як він там називається) — не запрацює.

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 10:10

Боже, врятуй світ від ламерів.

Vanya Yani

George Kashperko 21.08.2016 15:27

Качественная и предметная дискуссия на fb Max Marchenko
Отметился (правда почти сразу и бесследно знык) Шабунин, участвовали разработчики.
Также заходил Сергей #зрада Сидоренко.

George Kashperko 21.08.2016 16:29

Как и следовало ожидать, вот то что следовало продемонстрировать для подтверждения наличия проблем с безопасностью, которых очевидно и не могло не быть, учитывая бессистемность и бесконтрольность происходившего.
Отдельные депутаты же просто эпически создали новый скандал на ровном месте.

Nataliya Zubar Chair в Maidan Monitoring Information Center 21.08.2016 12:36

Йшла сьома доба, як той сайт онлайн. ТОВ Рога і копита досі не пофіксила пдфки, не знайшло звідки емейл посилати, не додумалося як пофіксити епічне session never expires, не вимкнуло 3rd party фігню і пр. Навіщо вони сюди взагалі приходили, хтось пойняв?

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 10:54

Йшла 8 доба. Зі мною вже проводили публічні дебати не тільки представники рогів і копит, а і світового банку (не дуже зрозуміла причому він таv, але він фігурував в прес релізах про state-of-the-art). Відбулося професійне обговорення тем чи є кука паспортом, кредиткою, ключем від квартири.
А та клята кука так і не минула....

Максим Бублик 22.08.2016 11:27

Какой смысл считать сутки? Миранда 20-го начала передавать систему НАЗК. Цитата: «Мы имеем возможность работать с системой только в помещении НАЗК и только в присутствии сотрудников НАЗК.» Врядли в таком случае можно ожидать оперативных исправлений.

Nataliya Zubar Chair в Maidan Monitoring Information Center 22.08.2016 11:35

До цього було 4 дні для виправлення помилки рівня дитсадок. 5 хвилин включно з щгадуванням пароля від серверу

Artyom Krivokrisenko 21.08.2016 12:20

Кстати, State of the Art в области генерации PDF: public.nazk.gov.ua/...ation/160819132637602/pdf

Nataliya Zubar Chair в Maidan Monitoring Information Center 21.08.2016 12:34

В них ті пдфи всі такі з першого дня

Nataliya Zubar Chair в Maidan Monitoring Information Center 21.08.2016 08:52

Для історії залишу тут, фінансова і юридична частина.
Щодо вимог законодавства — там прямі порушення.
zakon3.rada.gov.ua/laws/show/80/94-вр Стаття 8 и Стаття 10 з посиланням на
zakon3.rada.gov.ua/laws/show/373-2006-п Стаття 20 и Стаття 23.
www.dstszi.gov.ua/...lish/article?art_id=46074
Розділ 1 «Встановлений цим НД ТЗІ порядок є обов’язковим для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІТС яких обробляється інформація, яка є власністю держави»
www.ac-rada.gov.ua/...../16747671/Zvit_11-6.pdf
Абзац 1 «Виконавцем робіт із створення комплексної системи захисту інформації (далі — КСЗІ) в інформаційно-телекомунікаційній системі (далі — ІТС) може бути суб’єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації»
dstszi.kmu.gov.ua/...rt_id=111330&cat_id=94061
В Переліку немає ТОВ Міранда.
Висновок — Тендер, предметом якого є система обробки, обміну і зберігання інформації, яка є власністю держави, не мала права виграти фірма без ліцензії або дозволу ДССЗЗИ. Але в Тендері в частині щодо кваліфікаційних вимог до виконавця повна тиша.
Законом дані держреестрів визначено як власність держави — це ключове. Далі всі мають виконувати корпус Законів — «для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІТС яких обробляється інформація, яка є власністю держави»

Отут от про ТОВ Миранда и ТОВ САПР
www.facebook.com/...2838336:0?hc_location=ufi
тут на стр 23 можно ознакомиться с финансовыми отношениями (и нарушениями) ДП «Зовнішторгвидав України», ТОВ Миранда и ТОВ САПР и Мінекономрозвитку еще в 2014
www.ac-rada.gov.ua/...nt/16747671/Zvit_11-6.pdf

Пише www.facebook.com/galina.hagen?fref=ufi

George Kashperko 21.08.2016 13:25

Абзац 1 «Виконавцем робіт із створення комплексної системи захисту інформації (далі — КСЗІ) в інформаційно-телекомунікаційній системі (далі — ІТС) може бути суб’єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації»

У 2011 році КМУ приймав зміни до переліку видів діяльності, що вимагають ліцензування у сфері захисту. Наразі їх тільки 2 — оцінка захищеності та виявлення закладок тож, Міранда могла й не мати ліцензії Держспецзв’язку. Тут швидше невідповідність етапам розробки/впровадження інформаційної системи та КСЗІ ГОСТам/ДСТУ.

Nataliya Zubar Chair в Maidan Monitoring Information Center 21.08.2016 13:28

А лінк можна? Я збираю всі дотичні документи

George Kashperko 21.08.2016 15:56

Закон Украины «Про ліцензування видів господарської діяльності»
Постановление КМУ «Про затвердження переліку послуг у галузі технічного захисту інформації, господарська діяльність щодо надання яких підлягає ліцензуванню»
Также есть постановление КМУ «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах», смотрите пункт23 правил.
Загляните в «НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі последний абзац 5.2 (насколько я знаю, эта методичка не согласована с Минюстом).
Указ Президента «Про Положення про технічний захист інформації в Україні», интересен пункт 16.

Законодательство весьма архаично и не системно, релевантных законов и подзаконных актов тьма тьмущая.
Чем именно авторы КСЗИ руководствовались — можно почерпнуть из соответствующего раздела ТЗ на разработку КСЗИ.

Nataliya Zubar Chair в Maidan Monitoring Information Center 21.08.2016 17:03

Після того як Алекс куку угнав мені раптом перехотілося вникати в законодавчу базу.... www.youtube.com/watch?v=TLPP4IRBcK8

Кіт Муркіт 22.08.2016 00:04

повніша версія ))

Петр Иванов 27.08.2016 22:50

А яким законом визначено, що власником держреєстрів є держава?

Vanya Yani Web Developer в Capgemini Engineering 29.08.2016 22:18

власником держреєстрів

Если имеется в виду информационная система, то ни в каком. Система может быть арендована.

А вот термин

інформація, яка є власністю держави

не имеет здравого смысла. Судя по всему, под этим понятием преполагается информация, которую в соответствии с какими-либо законами обрабатывают государственные структуры. Информацию в реестре деклараций в соответствии с законом “Про запобігання корупції” собирает и обрабатывает НАЗК. Поэтому в терминологии законодательства, информация, содержащаяся в декларациях является собственностью государства. Но это не означает, что эту информацию не может обрабатывать кто-то другой, если это не запрещено законом.

Хорошая статья про проблему отсутствия четкого определения для “інформації, яка є власністю держави”: nc.nusta.com.ua/...6_Bogdanov_Bakalynsky.htm

Fedor Arch 20.08.2016 20:49

Я знаю, что ветку читают и разработчики и другие заинтересованные лица.
Как предложение.
Возможно в рамках мероприятий для восстановления доверия к системе и направления дискуссии в более конструктивное русло, стоит сделать прямой канал связи комьюнити с разработчиками? Куда можно будет посылать, найденные баги, уязвимости и т.д.
В конце концов все заинтересованы в имплементации проекта и его качестве.

Vanya Yani Web Developer в Capgemini Engineering 23.08.2016 12:12

Проанализировал озвученные проблемы:
github.com/...declaration-system/issues

Fedor

Artyom Krivokrisenko 23.08.2016 23:54

Проанализировал озвученные проблемы:
github.com/...declaration-system/issues

Очень порадовало, что автор анализа нифига не biased

While there’s no security threat demonstrated, a public open proxy can be used to execute malicious actions on behalf of declaration system’s servers.

Погуглите плиз что такое threat, vulnerability, exploit и т.п. в контексте информационной безопасности, чтоб не писать такую ерунду в следующий раз.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 24.08.2016 03:50

Исправил на vulnerability. Какие ещё замечания?

Artyom Krivokrisenko 24.08.2016 04:12

Например:

While there are no security issues with using BankID for authentication

Откуда вы знаете, что нет никаких проблем с безопасностью, связанных с BankID?

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 24.08.2016 04:13

Утверждение верно, пока не доказано обратное.

Artyom Krivokrisenko 24.08.2016 05:42

Я считаю, это нужно занести в textbook в области максимально объективного и беспристрастного анализа модели безопасности.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 24.08.2016 06:01

Ну-ну

Nataliya Zubar Chair в Maidan Monitoring Information Center 24.08.2016 17:07

Разом з нуну.
Правило Міранди.
Неформальна логіка

Vanya Yani

Alexandr Sova Developer 29.08.2016 18:50

тогда и утверждение что в системе полно проблем с безопасностью

верно, пока не доказано обратное

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 29.08.2016 22:06

Несуществование чего-либо не может быть доказано. Доказательное программирование умерло.

Можно провести тщательное тестирование, но это не докажет что проблем нет.

В случае невозможности опровергнуть ни одно из утверждений при бесконечном множестве условий, необходимо какое-то из утверждений принять за истину априори. Поэтому считается, что проблем нет, пока они не выявлены. Это научный подход.

Бремя доказательства лежит на том, кто утверждает о существовании чего-либо, а не наоборот.

Artyom Krivokrisenko 30.08.2016 01:42

Трагедия в том, что именно с такой аргументацией миранда серьезно надеялась пройти сертификацию ДСТСЗИ.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 30.08.2016 02:07

А зачем тогда эта служба, если не для поиска и мониторинга уязвимостей?

Artyom Krivokrisenko 30.08.2016 02:36

Я так полагаю, что туда можно было скинуть тонну говнокода на javascript и php и чтоб они за ночь проанализировали его и сообщили говнокоедрам список уязвимостей

Vanya Yani

Sergiy Fakas Information Security Officer в Oro 30.08.2016 12:39

Беда... Тут уже 20 раз писали о Комплексной Системе Защиты Информации. Комплексной. Системе.
PS
Где найти эмоджи «махнул рукой и покачивая головой ушел в горизонт»?

Vanya Yani

Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 24.08.2016 14:20

Лучше поменять на «... are no known security issues ...».
Хотя и это будет не очень верным, т.к. уже известны случаи угона кодов подтверждения SMS через оператора мобильной связи.

Vanya Yani Web Developer в Capgemini Engineering 20.08.2016 19:57

Так что, куда делись специалисты по ЭЦП? Почему не проверяют цепочку сертификатов ключа «Рябошапки», с помощью которого депутаты «взломали» реестр? Неудобненько получилось?

Fedor Arch 20.08.2016 20:45

После конференции Геращенко-Винника, с кем из знакомых кодеров не общался, то всем была очевидна манипулятивность.
Но эту ветку зафлудили персонажи, которые не могут отличить политику от тестирования на внешнее проникновение.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 20.08.2016 20:52

Поддельный сертификат, кстати, тут: dropmefiles.com/Yt6Kl
Поддельный он, конечно, с юридической точки зрения. С технической стороны он валидный.
На несколько часов он был добавлен в список отозванных. Теперь удален из списка отозванных. Цирк.

Vanya Yani

Fedor Arch 20.08.2016 20:54

404 по линку
но я его видел уже

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 20.08.2016 21:14

исправил

Fedor

George Kashperko 20.08.2016 21:02

На fb Дениса Бигуса есть рабочая (по-крайней мере на момент когда я оттуда скачивал) ссылка на архив с сертификатом, списком отзыва и дампом oсsp.

Vanya Yani

George Kashperko 20.08.2016 21:48

Корректная ссылка на fb-пост Дениса Бигуса с архивом

George Kashperko 20.08.2016 20:59

Сертификат ключа, опубликованный Денисом Бигусом, судя по дампу OCSP из архива с сертификатом действительно был подписан ЦСК УСС.
Кто-то не очень умный (а вернее очень не умный) одним махом убил кучу зайцев и застрелился, попутно скомпрометировав ЦСК УСС.
Просто, блять, нет слов. Пойду чего-нить выпивать.

www.unian.ua/...ta-inshih-personajiv.html

Vanya Yani

Sergiy Fakas Information Security Officer в Oro 20.08.2016 22:45

George Kashperko 20.08.2016 23:07

По ссылке на fb-ленте Дениса Бигуса в архиве лежит сертификат ключа CN=Рябошапка Р.Г., SN=Рябошапка, GN=Руслан Георгійович/serialNumber=3810, C=UA, L=Київ
с идентификатором субъекта 19:FD:B3:9C:F1:A5:2D:66:F1:01:17:52:CA:4E:AA:6C:FD:A3:14:B0:69:D1:95:B4:0D:1A:AB:FC:17:68:6F:2C, подписанный ключом с идентификатором 42:5D:4B:C6:E4:4F:FB:10:68:BA:B3:12:5B:95:86:A9:71:8E:DF:68:4B:8A:3D:E3:7A:A0:DD:AA:5B:93:6A:58
и он совпадает с идентификатором субъекта сертификата ключа O=ДП «Українські спеціальні системи», OU=Центр сертифікації ключів, CN=АЦСК ДП "УСС"/serialNumber=UA-32348248-2014, C=UA, L=Київ
Судя по статье не только Геращенко с Винником не поняли, что произошло.

Sergiy Fakas Information Security Officer в Oro 20.08.2016 23:17

Жаба гадюку... Для меня все еще вопрос откуда ключ у Бигуса и действительно ли этим ключом полдписана фейковая декоарация или Рябошапка своим настоящим поделился (Вы исключаете такой вариант полностью?).
Вобщем я подожду пока пыль уляжется.

George Kashperko 20.08.2016 23:28

Бигус не публиковал ключа, только его сертификат. Безотносительно того, тем ли ключом была подписана фейковая декларация или нет, сертификат ключа однозначно был подписан ключом АЦСК УСС. А тут ещё просто невероятный зашквар с утверждением того, что ключа, сертификат которого мы наблюдаем, на имя Руслана Рябошапки не выдавали.

Sergiy Fakas Information Security Officer в Oro 20.08.2016 23:55

Ждем пока пыль усядется. Вопли Шабунина у игуса про то что НАБУ всех посадит говорят как минимум об истерике (вот уж точно взлом это не подследственность НАБУ).
Я подожду инфы. Качетсво поделки от Миранды уже и так понятно.

George Kashperko 21.08.2016 00:02

Денис Бигус абсолютно прав в своей оценке произошедшего в одном из многочисленных ответов Антону Геращенко

Антон, я славлюсь своей выдержкой, однако — да ебаный же стыд. Система может работать хоть в тестовом режиме, хоть в рабочем, хоть в режиме текилы и сальсы. Государственная структура выдала вам на государственном бланке поддельный паспорт и заверила его своей печатью. А вы этим паспортом воспользовались (или всем сказали, что это вы). Это уголовное преступление. И оно было совершено еще ДО подачи фальшивой декларации. Подача — уже второе преступление. Что еще хуже — это компрометация госАЦСК.

Агенству по госслужбе добавили работы, если, конечно, они успеют добежать до ДП УСС раньше СБУ, НАБУ и ГПУ.

undefined pointer 21.08.2016 09:57

это да, теперь попиариться налетят многие.
это обычный этап.

интересный, важный будет — первые месяцы после сертификации и работы в боевом режиме.
а сейчас будет шум и гвалт, со всех сторон.
причем, он полезный :)

потому что теперь втихую причастным вряд ли что удасться прокрутить.

Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 21.08.2016 15:25

А поехали по второму кругу!
Выясняем кто проводил экспертизу и выдавал аттестат на КСЗИ для АЦСК УСС?
(Сарказм мод он) Или педалящие здесь за всемогущее КСЗИ думают, что там она не строилась и не аттестовалась?(сарказм мод офф).

George Kashperko 21.08.2016 17:08

Будучи из числа педалящих не могу не отметить, что наличие атестованного КСЗИ не делает систему не уязвимой. Равно как и отсутствие КСЗИ не делает её априори дырявой.
И хоть тут прослеживается прямая причинно-следственная связь, полагаю проеб АЦСК УСС заслуживает своей отдельной ветки.

Tim Tretyak

Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 21.08.2016 20:19

И хоть тут прослеживается прямая причинно-следственная связь,

Боюсь, что подобные связи можно легко проследить в большинстве государственных ИС.
А «КСЗИ» для данной дискуссии все же следовало бы разделить на требования к разработке (ака CC-ISO15408 с бантиками) и к эксплуатации (что у здоровых людей обычно ISO27001 или PCIDSS для конкретики), а у нас винегрет из как относительно толковых норм, так и пост-КГБшных развлекалок с уровнями ЭМИ (в то числе оптики), расово верно прошитыми журналами и формами бланков допуска к копировальной технике.

Миранду можно (и нужно) бить исключительно в разрезе 15408 (и их маппинга на НД ТЗИ от 15-16 годов), остальное — пламенный привет НАБК сотоварищи. Давайте не смешивать.

George Kashperko 21.08.2016 20:51

А «КСЗИ» для данной дискуссии все же следовало бы разделить на требования к разработке (ака CC-ISO15408 с бантиками) и к эксплуатации (что у здоровых людей обычно ISO27001 или PCIDSS для конкретики), а у нас винегрет из как относительно толковых норм, так и пост-КГБшных развлекалок с уровнями ЭМИ (в то числе оптики), расово верно прошитыми журналами и формами бланков допуска к копировальной технике.

Отечественное законодательство в сфере ТЗИ, бесспорно, запутанно и архаично. У некоторых норм типа цвета буферов (либо баллончиков с краской для расово-неверных образцов) нет адекватного прикладного объяснения. За многими другими стоят годы исследований, лабораторных и полевых испытаний, а иногда очень и очень дорогие ошибки.
Но в любом случае, апелляция к незнанию (не принимайте на свой счет) или отсталости действующего законодательства не оправдание для избирательного его игнорирования в тех местах, где оно terra incognita, не нравится либо даже не совпадает с лучшими мировыми практиками.

Миранду можно (и нужно) бить исключительно в разрезе 15408 (и их маппинга на НД ТЗИ от 15-16 годов), остальное — пламенный привет НАБК сотоварищи. Давайте не смешивать.

Как я искренне уверен, Миранда не есть первопричиной — они лишь следствие порочных процессов внутри ПРООН. Сама же ситуация в целом даже с ними была бы невозможной при должном подходе к своей собственной работе со стороны ответственных лиц НАЗК. И в шельмовании Госспецсвязи (при всех их очевидных недостатках) я склонен видеть попытку переложить ответственность с ПРООН и НАЗК за (не)вовремя (не)принятые решения.

Tim Tretyak

Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 22.08.2016 23:03

Отечественное законодательство в сфере ТЗИ, бесспорно, запутанно и архаично.

Беда в том, что инфобезопасность это не проект, а процесс. И применять к нему подход как к строительству (построили и проверили, что все по СНиПам и стандартам и успокоились) нельзя в принципе. И в ИТ даже пятилетней давности стандарт уже может быть (и часто бывает) неактуальным в каких-то разделах. И нужно либо иметь очень мощную и высокооплачиваемую команду (типа BSI) для постоянного поддержания «своих» стандартов в актуальном состоянии, переобучении аудиторов и т.д. либо забыть этот «we shell go another way» как страшный сон и принять набор стандартных международных практик. И тогда не будет вопросов ни по аудиторам, ни по работе с международными органами (и донорами в т.ч.) ни по поддержке со стороны оборудования.

И в шельмовании Госспецсвязи (при всех их очевидных недостатках) я склонен видеть попытку переложить ответственность с ПРООН и НАЗК за (не)вовремя (не)принятые решения.

А я наоборот рад, что весь этот ворох тщательно консервированных проблем наконец вылез наружу и вызвал такую широкую огласку. Ибо наконец есть возможность подвижек в положительную сторону и начали слышать реальных экспертов, а не только людей «из узкого круга».
Проблемы вскрылись у всех: у ПРООН как организации, заказавшей и оплатившей практически пустой «фасад» вместо полезной системы, у НАЗК как службы с недостаточно квалифицированным персоналом, у ДСТЗЗИ как все еще закостенелой пост-советской службы, чьи аттестаты не значат на практике практически ничего (это к АЦСК УСС и к еще огромному количеству госсистем, о которых я по понятным причинам рассказывать не буду).

Результаты, кстати, уже есть и умеренно радуют — профи занялась архитектурой безопасности системы (и этот опыт можно будет переиспользовать), ответственных с НАЗК уже вытащили на свет божий и песочат, ДСТЗЗИ хоть и небыстро, но все же переползает на международные стандарты и теперь призадумается — можно ли в принципе использовать ДСТУ 28147 безопасно при отсутствии аппаратных реализаций PKCS#11, не сажая при этом каждого пользователя в свинцовый бункер с особистом за плечом.

Oleg Korol POWER Ops, again 21.08.2016 23:56

PCIDSS

скорее у нездоровых людей

в том смысле, что данный ритуал исключительно для платежных карт

Tim Tretyak

Sergiy Fakas Information Security Officer в Oro 22.08.2016 00:06

Нет. Я работал с системой сертифицированной с PCIDSS хотя в ней не было никакой платежной информации — так было проще продавать ее тем кто хотел интегрировать с биллингом и прочими системами сертифицированными по PCIDSS. Так что было проще пройти сертификацию чем каждый раз доказывать что ты не дурак и сессии у тебя отсыхают ;).

Oleg Korol

Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 22.08.2016 23:09

в том смысле, что данный ритуал исключительно для платежных карт

Вообще-то это на сегодня единственный публично доступный абсолютно конкретный стандарт безопасности ИС или набора ИС. И посему он очень легко реализуется и проверяется.
Просто подставив вместо PAN-ов любую другую категорию информации, которую вы хотите защитить, и вуаля.
Сертифицироваться же по нему официально, разумеется, не для мерчантов или процессингов, смысла не имеет.

Oleg Korol

Sergiy Fakas Information Security Officer в Oro 23.08.2016 00:01

Я написал когда имеет — нам оказалось так проще с биллингами всякими интегрироваться. Ну а имплементация его полезнейшая вещь сама по себе.

Tim Tretyak

Vanya Yani Web Developer в Capgemini Engineering 20.08.2016 23:10

Вы кому верите, дядям из спецсвязи или криптоалгоритму?

anonymous 20.08.2016 23:19

криптоалгоритму

Кстати, а что если декларации сдавать в биткоиновских блокчейнах ? Вот там точно фиг поправишь потом ....

Vanya Yani

Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 21.08.2016 15:26

А кто их генерить будет вы задумывались? И что будет через 5-10 лет, когда сложность генерации подрастет до фабрик асиков в десятки лямов ценой?

anonymous

anonymous 22.08.2016 15:51

Сложность генерации не растет со временем, она растет с увеличением вычислительной мощности сети. Впрочем блокчейн для государства действительно не нужен.

Tim Tretyak

George Kashperko 20.08.2016 21:37

Сертификат ключа, которым удостоверили сертификат из поста Дениса Бигуса — на странице УСС
O=ДП «Українські спеціальні системи», OU=Центр сертифікації ключів, CN=АЦСК ДП "УСС"/serialNumber=UA-32348248-2014, C=UA, L=Київ

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 20.08.2016 22:35

Декодер сертификата онлайн: lapo.it/asn1js
Программулина для винды: acskidd.gov.ua/korustyvach_csk

scontent-mrs1-1.xx.fbcdn.net/...b5a34d5eeb7ec&oe=585BE29A

Vanya Yani

Artyom Krivokrisenko 21.08.2016 04:23

Vanya Yani

Fedor Arch 21.08.2016 12:11

Что имеется ввиду под «гет параметром пост запроса»? Запрос на сервер все таки GET или POST?
С чего вы решили, что сервер не проводит проверку данных с клиента?

Artyom Krivokrisenko 21.08.2016 12:13

«Alex Shevelo» и «Artyom Krivokrisenko» — очень похожие имена, легко спутать?

Fedor

Fedor Arch 21.08.2016 12:19

Мопед не мой я просто разметил обьяву?))

Руслан Нерука System Engineer в SoftServe 21.08.2016 14:35

Очень просто. Пост запрос с гет параметром. Технически это возможно, тут реализовано на практике

Fedor

Fedor Arch 22.08.2016 07:59

Да Вы правы. Но это,на мой взгляд,странное решение.

Руслан Нерука

Artyom Krivokrisenko 22.08.2016 00:06

С чего вы решили, что сервер не проводит проверку данных с клиента?

Кстати, не удивлюсь, если уже проводит, способности Миранды в «дайте список дырок, исправим за один вечер» мы уже наблюдали

www.facebook.com/..."}читайте&hc_location=ufi

Fedor

Artyom Krivokrisenko 22.08.2016 00:53

Конкретно про эту проблему от автора библиотеки валидации ключей

Fedor

Fedor Arch 22.08.2016 07:57

Спасибо.

Nataliya Zubar Chair в Maidan Monitoring Information Center 21.08.2016 09:05

В мене абсолютно єретичне питання — а звідки той ключ ваще взявся? Відповідь — Фльонц виставив на ФБ не приймається.
Хтось ваще задавав це питання? Я от не бачу

Vanya Yani

Andrii Pitukh Java Dev 21.08.2016 11:10

Нардепа Геращенка неодноразово питали в коментах. Він морозиться відповідати.
www.facebook.com/...ment_tracking={"tn":"R9″

Nataliya Zubar Chair в Maidan Monitoring Information Center 21.08.2016 11:14

Геращенко навряд чи знає, що таке ключ. Що він вам відповість?

Artyom Krivokrisenko 21.08.2016 12:28

Вопрос не в том, как был сгенерен ключ, а в том, как открытая часть ключа попала на дропбокс (ссылки в этом топике есть).

Например, в публичной части портала этот ключ не светится: public.nazk.gov.ua/...ic/#/view/160819132637602

Клоунов в этой истории много, одни используют админресурс, чтоб генерить левые ключи, другие сливают информацию из закрытой части типа секьюрной системы хрен знает куда.

Я уже почти готов смириться с тем, что надо всех нахрен причастных к этой истории уволить и посадить, нанять Microsoft с каким-то интегратором, чтоб они сами запилили систему электронных деклараций по всем индустриальным стандартам, запустили у себя в Azure и не допускали местных обезьян до процеса.

Nataliya Zubar Chair в Maidan Monitoring Information Center 21.08.2016 12:31

Ось, а клієнт Вовк навіть не зрозумів про що я питаю. Крім Майкрософта є і Приватбанк. В них взагалі Папка24 практично готова. А як вам Джеймс Бонд з підписом якогось розробника, який так щось довести хотів?

Jorzchyk Pushysty 21.08.2016 12:49

Нанять кого?! Тех, которые вот только что private key для SecureBoot случайно слили?

Artyom Krivokrisenko 21.08.2016 13:09

Предложите вариант получше (никого из каким-то образом замешанным в истории с электронными декларациями, разумеется, не предлагать)

Jorzchyk Pushysty

Sergiy Fakas Information Security Officer в Oro 21.08.2016 15:03

да в любой комрпании из большой 3-5- ки в Украине есть и экспертиза и резурс что бы сделать НОРМАЛЬНУЮ, безопасную, высоконагруженную систему. И за нормальные деньги или вообще pro bono publico. Но после такого скандала вряд ли кто-то хахочет пихать голову в огонь...

Serhiy Kurtenko 21.08.2016 14:36

Вопрос не в том, как был сгенерен ключ, а в том, как открытая часть ключа попала на дропбокс (ссылки в этом топике есть).

Из закрытой части никто не сливал: в архиве публичный ключ(сертификат) Рябошапки. Сам по себе файл не является секретным. И со слов расследователей, сертификат поначалу был опубликован на сайте УСС для общего доступа(проверки подлинности секртеного ключа другими программами). Но потом начали подчищать и сертификат был добавлен в список отозванных и потом удален.
Так что обвинения в «рассекречивании» публичного ключа необоснованны. Зато теперь мы в курсе про компроментацию УСС и до какой степени криминала готовы идти госчиновники чтобы дискредетировать декларирование при всех его и так имеющихся технических проблемах.

Nataliya Zubar Chair в Maidan Monitoring Information Center 21.08.2016 14:41

Якщо це так і саме цей сертифікат був використаний для внесення декларації Рябошапки, а він публічно заявив, що нічого не робив, то ясно, що його мали відкликати.

Serhiy Kurtenko 21.08.2016 15:03

Отзыв скомпроментированого сертификатa — стандартная процедура.
А вот официальное заявление, что такой ключ никогда не выдавали и вообще: у вас негров линчуют(Джеймс Бонд публикует декларацию) — это уже заметание следов после факапа и перевод стрелок.

Nataliya Zubar Chair в Maidan Monitoring Information Center 21.08.2016 15:07

Там офіційна заява про Рябошапку В.В.
Про Рябошапку як його там — ніякої офіційної зави не було

www.facebook.com/...zku/posts/546053442261387

Serhiy Kurtenko 21.08.2016 15:34

Значит они сказали полуправду, медиа разнесли не проверяючи, а читатели не вичтывались внимательно(в том числе и я) и восприняли заявление УСС как отрицание в выдаче ключа Рябошапко Р.Г.

В базі АЦСК ДП «УСС» інформація щодо видачі громадянину Рябошапці В.В. посиленого сертифіката відкритого ключа відсутня.
У зв`язку з розповсюдженням брехливої інформації щодо причетності Державного підприємства «Українські спеціальні системи» до видачі фейкового (несправжнього) електронного цифрового підпису Руслана Рябошапки заявляємо.
Акредитований центр сертифікації ключів Державного підприємства «Українські спеціальні системи» завжди діяв і діє виключно у чіткій відповідності з законодавством України, в тому числі, правил посиленої сертифікації.
За час функціонування АЦСК ДП «УСС», з 2014 по теперішній час, громадянин Рябошапка В.В. не звертався до ДП «УСС» за послугою, щодо видачі йому посиленого сертифікату відкритого ключа, тому інформація щодо можливого використання для взлому автоматизованої системи електронного декларування ключа, виданого ДП «УСС», не відповідає дійсності.

В архиве сертифкат на имя Рабошапко Р.Г. , на прес-конференции Геращенко демонтрировал декларацию Рабошапко Р.Г. public.nazk.gov.ua/...ic/#/view/160819132637602

Каким образом в обсуждении появился однофамилец Рябошапко В.В., не имеющий отношения к конфликту непонятно.

УСС не соврали, но и на вопрос не ответили, тоесть применили манипуляцию: вполне действительно к ним мог не обращаться какой-то Рябошапко В.В. как и Джордж Буш за выдачей ключей.
Нас интересуют данные по ключам Рябошапко Р.Г.

George Kashperko 21.08.2016 16:04

OCSP УСС на запрос выданного (и это неоспоримый факт) ими сертификата ключа (хоть на имя Дедушки Мороза) говорит что он не валиден, при этом его нет в списке отзыва.
Будь ещё сертификат в списке отзыва, можно было бы говорить о том, что УСС не соврали, а манипулировали. То, что они выдали даже не полуправда — я вчера пытался натянуть их заявление на здравый смысл и сдался. Это по-крайней мере служебный подлог, если только не хуже.

Artyom Krivokrisenko 21.08.2016 23:55

Из закрытой части никто не сливал: в архиве публичный ключ(сертификат) Рябошапки. Сам по себе файл не является секретным. И со слов расследователей, сертификат поначалу был опубликован на сайте УСС для общего доступа(проверки подлинности секртеного ключа другими программами).

С чего вы взяли, что именно с ключем, выпущенным УСС, был выполнен вход в систему? Я при логине могу выбрать штук 20 разных поставщиков ключей, плюс еще есть пункт «iнший».

Если публично на портале не показывает с каким ключем был выполнен вход, то только сотруднки миранды/НАЗК могли подтвердить, что вход был выполнен с использованием конкретного сертификата. И тогда у меня возникает вопрос, почему эти товарищи сливают инфу из закрытой системы.

Sergiy Fakas Information Security Officer в Oro 22.08.2016 00:08

Есть еще один вопрос. Если они получили информацию по взлому то следовали ли они security incident responce plan, если он конечно есть, но он должен быть т.к. это часть той самой КСЗИ к сертификации которой они были готовы и только злобные чинуши их не пустили. Сняли ли они дампы баз, логов, зафиксировали ли они факт взлома и когда он произошел?

Artyom Krivokrisenko 22.08.2016 00:11

следовали ли они security incident responce plan

Security incident response plan:

1. Заявить что ничего не было
2. Отправить армию ботов на ФБ и ДОУ отбеливать Миранду и НАЗК, поливать говном остальных

Похоже что следовали

Sergiy Fakas Information Security Officer в Oro 22.08.2016 00:12

ROFL

George Kashperko 22.08.2016 00:35

Оххх. Спасибо, оторжался от души! :)
У ДП УСС походу тот же план. Так что есть шанс что родители их КСЗИ если не те же лица, то по-крайней мере близкие родственники.

George Kashperko 22.08.2016 00:48

Судя по посту на fb нардепа Alex Ryabchyn — он получил по депутатскому запросу в НАЗК серийный номер сертификата ключа, которым авторизовались для создания декларации.
Далее его запросили по ocsp у УСС и понеслась.

Serhiy Kurtenko 22.08.2016 03:21

Если верить www.facebook.com/...s/posts/10209198714018440 и прочим отрывистым данным от разработчиков системы: после заполнении декларации при сабмите она подписывается и есть информация кто подписал (номер ключа) плюс озвучивали, что кроме полей в публичных деклараций ведется доплнительное логирование(возможно и сертификат входяшего пользователя сохраняется).
Расследователи утверждают что сам сертификат был взят с сайта УСС по номеру ключа (они там публикуются).
Но даже, если сертификат был взят из логов системы, то все равно можно опредалить кто его выдал и проследить цепочку доверия.
По указанной ссылке есть инструкция, как установить программу и воочию убедиться кто выдал ключ.
На данный момент можно смело утверждать что ключ был выдан УСС.
Это не отменяет других багов в системе декларирования, но снимает довод про плохую Миранду и хорошую ДСТЗІ(АЦСК ДП “УСС” находиться в подчинении ДСТЗІ).
Виноваты оба и каждый в своем: Миранда в непрофиссионализме, а ДСТЗІ в саботаже и подлоге.
Но в случае с исполнителем его можно заменить, а вот другой госслужбы у нас нет.

George Kashperko 22.08.2016 03:45

Не спешите пока набрасывать на Госспецсвязь. Если идти от подчинения, то виноватым окажется вообще Гройсман.
ДП УСС зашкварилась по полной, надеюсь этому будет дана должная оценка публично.

Serhiy Kurtenko 22.08.2016 04:39

Возможно и так, но пока я вижу что заявления об «Рауфик неувиноват» опубликованы на сайте и фейсбуке ДСТЗИ, вместо заявления что проверяем-разбираемся-покараем.
Что для меня свидетельствует в поддержке УСС, а не выступлении в роли арбитра.

anonymous 22.08.2016 16:08

ггг. так именно это «не допустить местных обезьян до процесса» и задумывалось, когда все это проводили через ПРООН за деньги иностранных правительств. Но местные обезьяны все равно влезли.

Georgii Piskunov Генеральный директор в OLGERA LLC 20.08.2016 19:42

Сразу как увидел первые набросы про «вони заважають» написал «что-то это очень напоминает налоговый кодекс Макеевой». И не ошибся. Одна контора.

Serhiy Kurtenko 20.08.2016 18:23

Вот журналисты утверждают что хакерскую декларацию Рабошапки с ИИН 123456 с прес-конференции Геращенко-Винника добавили с использованием официального ключа с заведомо неправильным ИИН www.facebook.com/...s/posts/10206470105542689
Если это правда, то это подлог со стороны центра сертификации и показывает еще одну точку отказа: даже если систему идеально напишут и идеально атестуют КСЗИ, то остануться еще центры сертификации, которые могут выдавать цифровые подписи на чужие имена(раз с левым ИИН выдали, что их остановит от выдачи на левые имя фамилию). В Украине таких центров несколько, а не один: есть у налоговой, минюста, укрзализниці, приватбанка и несколько коммерческих.
В целом складывается впечателение, что систему валят со всех сторон: исполнители, приемщики, общественники и неравнодушные чиновники.

George Kashperko 20.08.2016 18:30

У всех доверенных ЦСК есть собственные КСЗИ атестованные Госспецсвязью. Если ключ был сертифицирован таким ЦСК, то этому нельзя не найти подтверждение в защищенном журнале. Если так и есть — значит фазу цирка мы проехали окончательно.

Dmytro Bondarenko 20.08.2016 16:09

Про Миранду :)
scontent-fra3-1.xx.fbcdn.net/...6783131197869207446_o.jpg

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 03:21

Уви, цирк уєхав. Сервер відібрали в обіззян і вливають туди двих на яве. Що і зробив би хто завгодно з елементами мозгу. А напоследок я скажу.
Отутот public.nazk.gov.ua/...clarations-public/#/about

Проект має на меті спростити подання публічними службовцями їх декларацій майнового стану, доступ до них та їх перевірку. Для цього система електронного декларування передбачає виконання таких задач:

● спрощення введення даних суб’єктом декларування; — DONE result ZERO
● забезпечення захищеного протоколу автентифікації для входу в систему електронного декларування;
● запобігання помилкам з боку суб’єкта декларування під час введення даних; — DONE result ZERO
Вахту здала

Nataliya Zubar Chair в Maidan Monitoring Information Center 21.08.2016 02:09

І тиша, і мертві з косами. При тому, що в цій частині ВАЩЕ нема двозначності і нема що заперечити. Всі переключилися на змагання хакерів. При тому що я весь час пишу про user experience. І повну невідповідність продукту тезе в цій частині. Нецікаво нікому?

Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 21.08.2016 15:57

Как я понимаю, речь о двух разных в сущности ТЗ.
Один дала ПРООН исходя из принципа «минимальной достаточности» для выполнения требований ЕС для безвиза, а вторую уже нафантазировали в НАЗК в процессе разработки первой.
Первая система, которая и была, в сущности, реализована, практически не выполняет пп.1 и 3 (разве что на уровне автоподстановки при вводе), но чисто формально выполняет требование ЕС. Практически. Если не считать BankID, который, просочившись в процессе разработки одним махом уничтожает систему юридически. Ибо юридически декларация должна быть обязательно подписана лично декларантом (на бумаге либо ЭЦП) и никакой другой вариант не катит.
Как простенький пример почему в данном случае — некто, скажем, Луценко подает через банкид декларацию с одной квартирой и одним авто, честно и подробно ее заполняет. А тут к власти приходит Янык-2, меняет главу УСС или НАБК на своего младшего внука и тот дает приказ убрать из декларации Луценко квартиру и авто. Если целостность декларации Луценко обеспечивается только ЭЦП УСС, то приватный ключ находится у его админов и им ничего не стоит переподписать им что угодно.

Что же касается системы, которую хочет НАБК, то это некий полуавтомат, в который автоматически попадают все данные об имуществе декларантов и ближайших родственников из других реестров (недвижимости, автомобилей-яхт-самолетов-етц), а сам декларант только в сущности подтверждает раз в год, что «да, мое» и довносит то, что не попало.
Идея, конечно, красивая, но требует на несколько порядков больше усилий и разработки, чем первая. И денег, разумеется. Ибо даже если все остальные реестры уже существуют и в централизованном виде, то совершенно не факт что у них есть API на госшину и его не нужно разрабатывать тоже. Также совершенно не факт что они все имеют одно и то же ключевое поле для идентнификации физлица (и даже если там везде есть ИНН, то в половине он может быть текстовым полем или необязательным) и велика вероятность, что те системы тоже придется предварительно править.

Самое смешное в этом другое. Для реальной борьбы с коррупцией оба варианта несут околонулевую пользу, но первый как бы и не претендует. Почему?
А просто посмотрите где живут те же Юлька и Ляшко, например. И на чем ездят. Т.е. подобные реестры очень легко обойти, если все имущество тупо «арендовать за копейки» у «друзей, знакомых, поклонников, сопартийцев-бизнесменов» и т.д.
Взятка ведь необязательно идет деньгами — это вполне может быть договор на аренду какого-нибудь дворца лет на 50 за 500грн в месяц.
Времена тупых жлобов типа Лозинского давно прошли — сейчас коррупционер сильно поумнел.

Vanya Yani Web Developer в Capgemini Engineering 21.08.2016 19:27

если все имущество тупо «арендовать за копейки»

Это прямой признак неправомерной выгоды. И если такое попадет в декларацию (равно как и не попадет), отделаться не получится. Именно поэтому Винник так нервничает.

Tim Tretyak

George Kashperko 20.08.2016 02:51

Намагаюсь знайти фінансові звіти про діяльність ПРООН за 2015 та хоч якусь достовірну інформацію щодо первинного гранту Данії, виділеного на створення Реєстру, та його подальшого бюджетного розпису та марно. Чи є в кого чим зі мною та загалом поділитись з цього приводу ?
Тільки будь ласка по-можливості посилання на надійні джерела.
Дякую.

P. S. Також неймовірно цікаво, чому-ж все таки був заміненй експерт 2 серпня.

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 03:10

Завтра зашлю такий запит, якщо є доповнення то велкам www.facebook.com/...1/posts/10153797455648148

George Kashperko 20.08.2016 14:50

В першу чергу цікавить фінансова звітність проекту — перелік донорів, суми їх внесків та власних коштів ПРООН, структура та хронологія видатків тощо, включно з 2015 роком.
Вчора я витратив значний, як на мене, час на пошуки цих даних англійською, українською та російською, але жодних, заслуговуючих на довіру, документів так і не знайшов.

Nataliya Zubar Chair в Maidan Monitoring Information Center 21.08.2016 02:07

Добре, я додам це до запиту

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 00:15

Агент Алекс Шевело передає з засади. ІПН елементарно міняється. в мене в альбомі тут скрін www.facebook.com/...7171128148&type=3&theater
А ще він знайшов в коді гугль аналітикс. Конец связи

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 00:23

Кому цікаво — ксерокопії тут www.facebook.com/...1/posts/10153796418448148

Max Ischenko Founder в DOU.ua 20.08.2016 10:01

Безотносительно самой системы, а что плохого в использовании Google Analytics? Разве это как-то компрометирует систему? Просто интересно. Мы и на ДОУ и на Джинне используем. Оба по HTTPS.

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 10:30

ви правда програмер?

Andrew Kornilov Principal Software Engineer 20.08.2016 10:40

госдєп буде шпіоніть?

Alla Brusnyk BA 20.08.2016 17:29

тут же задача не закрити відперегляду, а закрити від неконтрольованого внесення зміни. Ціль системи як раз відкрити інфу.

Max Ischenko Founder в DOU.ua 20.08.2016 12:31

спасибо за ответ, теперь ясно.

Vanya Yani Web Developer в Capgemini Engineering 20.08.2016 10:39

Сервера гугл не освячены спецсвязью. Поэтому очевидно, что сервера гугл рано или поздно взломают, а значит приватные ключи чиновников окажутся в опасности.
Не, не так. ЦРУ встроит JavaScript, который будет воровать приватные ключи.
А. Вот ещё: госдеп подделает декларации, чтобы неоправданно обвинить невиновных в коррупции.

А если серьезно: безотносительно системы и Google Analytics, использование стороннего CDN действительно может привести к компрометации. Такое было, если не ошибаюсь, с CDN серверами jQuery. Но маловероятно, что такое случится с серверами Google.

Artyom Krivokrisenko 20.08.2016 11:11

Теоритически, через гугл аналитику может сделать инъекцию любого javascript кода и выполнить его на веб-сайте жертвы. Как я понимаю, в случае данной системы, через эту дырку можно будет даже просто спереть приватный ключ с паролем и отправить его злоумышленникам, о последствиях можете подумать сами.

Практически, я подозреваю, что стандарты безопасности гугла выше стандартов безопасности госорганов Украины, и вероятность взлома с этой стороны крайне мала.

Однако, при сертификации системы, гугл аналитика окажется одним из компонентов системы. И тот, кто ее сертифицирует, должен также сертифицировать саму гугл аналитику. По понятным причинам, сделать это будет невозможно. Поэтому, если на эту систему будет выдан сертификат, это будет значить, что это не сертификат, а туалетная бумажка, которой хороший адвокат сможет подтереться в суде.

Alex Shevelo senior python developer – SoftServe 20.08.2016 11:43

Вы немного не поняли прикола.
1) На типа защищенную счасть сайта ставят чатик от привата siteheart.
2) тот притягивает за собой гугланалитику.
3) что еще будет притескивать с собой siteheart известно только разработчикам. siteheart

Внимание вопрос насколько можно считать безопасной страницу js на которой управляется людьми которые которые не имеют к НАЗК вообще отношения и могут инджектить любые js которые с радостью выполняться на странице:) если завтра там будут все данные о пользователе включая его иин улетать на серваки siteheart или будут превью деклараций у открытом виде улетать.

Alex Shevelo senior python developer – SoftServe 20.08.2016 12:03

А ну и в догонку при всем уважении но за пост на ДОУ или за резюме на джине не светит 2-5 лет:):):):)(ну коль скоро мы не в РФ) И для доступа на ДОУ мне не пришлось свои ключи подписи в локал сторедж браузера отдавать. По этому извините конечно но ДОУ и ДЖИНН не те проекты где нужно переживать за гугль аналитику. Или еще какие левые считалки:)

Sergiy Fakas Information Security Officer в Oro 20.08.2016 15:04

Ну вообще то это система работающая с конфиденциальными данными. Т.е. слать с нее аналитику как бы и безсмысленно и рискованно.
Но прикол еще и в том, что похоже что разработчики сами не знают куда их код лазит.

Nataliya Zubar Chair в Maidan Monitoring Information Center 21.08.2016 02:10

Прикол в тому, що розробники задають питання, які показують їх повну некомпетентність.

Artyom Krivokrisenko 20.08.2016 11:20

Там еще забавная строчка в html есть:

    <!--<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/font-awesome/4.4.0/css/font-awesome.min.css">-->

Ничего криминального, но если бы при мероприятиях, связанных с запуском системы, эту штуку не закомментировали бы, то достаточно было бы ломануть какой-то левый CDN и найти браузер, в котором есть непропатченые CSS vulnerabilities, и вуаля.

Sergiy Fakas Information Security Officer в Oro 19.08.2016 23:26

Приколы нашего городка серия уже хер занет какая — секьюрный (по идее) сайт деклараций шлет данные в Гугл аналитику...

Artyom Krivokrisenko 20.08.2016 02:29

Вероятно, почтовый сервер миранды там же хостится, так что ничего страшного

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 02:30

не не там, не додумалися, в зоні уа , я викладала айпі

Sergiy Fakas Information Security Officer в Oro 20.08.2016 02:37

!!?? При чем тут почтовый сервер? В коде сайта гугл-аналитика. Нихера себе прикольчик для секьюрного сайта?

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 17:43

Давайте я буду перша, хто запостить цей цирк, який переїхав в телевізор www.youtube.com/watch?v=-AzAWy3lKE4

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 18:11

Найкраще в тому шоу було, коли чувак з Міранди (ви тут є, а?) почав кричати «а то тестовий ключ використали!»
тестовий ключ. state-of-the-art

Максим Бублик 19.08.2016 18:33

Ждем пресуху айтишников, которые вскрывают все дыры в любом антикоррупционном законе, принятом депутатами. :)

Dmytro Sharadkin IT & DS Specialist 19.08.2016 16:55

Ну вот, первый пошел
espreso.tv/...m_systemy_e_deklaruvannya
«Народний депутат Антон Геращенко заявив про злам системи електронного декларування»
Кто смотрел конференцию — видел, как представитель Миранды пытался объяснить, что ничго страшного не произошло, что это не тот Рябошапка. Потом к нему присоединилась «представитель общественности», которая... опять заявила, что именно государство, НАЗК и ДССЗЗИ и виноваты во всем.
Забавно, рекомендую всем на досуге глянуть ролик.

Andrii Pitukh Java Dev 19.08.2016 17:09

Подивимось. Не факт, що це справді взлом, а не підстава з боку чиновників.

Dmytro Sharadkin IT & DS Specialist 19.08.2016 17:26

А что значит — подстава? Сами залезли, сами чего-то там написали? Даже если допустить, что это так и есть, то это означает только, что система дает это сделать. А не должна. Ни хакерам, ни чиновникам.

Andrii Pitukh Java Dev 19.08.2016 19:34

Система знаходиться в дослідній експлуатації. Дозволено використання тестових ключів ЕЦП
www.eurointegration.com.ua/news/2016/08/19/7053585

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 19:46

Як чесний бета тестер я облазила майже все. НІДЕ не написано, що це дослідна експлуатація.

Andrii Pitukh Java Dev 19.08.2016 22:18

Власне як я й казав
blogs.pravda.com.ua/...s/shabunin/57b752aa3c42f

Sergiy Fakas Information Security Officer в Oro 19.08.2016 23:01

Систему взломали. Сомнений в этом нет. Причину и способ описывали даже тут. У Шабунина естественно подгорело. Я не думаю что профильный ресурс должен обращать внимание на статью чувака кот-й боровшегося за преподавание креационизма в школах.

qwerty .qwerty 20.08.2016 00:47

Блин, заколебали уже, систему делала контора, которая делает исключительно гос-заказ.
Кто-то с кем-то не поделился, поэтому и началось.
все.

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 03:14

держзамовлення робить причому криво, я бачила їх state-of-the-art систему субсидій до всього. навіть ліби не змінили

qwerty .qwerty

Yurii Zhoholiev VP of Engineering в Innovecs 19.08.2016 17:11

Судя по прессконференции и комментариям разработчика в системе просто нет (или отключена проверка) белого списка валидных корневых центров сертификации. И это не очень хорошо, но не то, что нельзя было бы исправить. Но запускать в продакшн систему с такой дыркой — нельзя.

Sergiy Fakas Information Security Officer в Oro 19.08.2016 17:19

Так они классически — херак, херак — продакшен. Это еще с мылом стало понятно, не сомтря на отмазки про отсутствие сервера.

Dmytro Sharadkin IT & DS Specialist 19.08.2016 17:29

замечу, как и списка валидных ИНН. А вот это — уже странно.
Хотя ниже писали, что и телефон на валидность не проверяется.

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 17:52

Я чесно писала ІНН 12344567 і всі подібні інші числові параметри

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 18:53

А где можно скачать такой список?

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 18:57

А с какой целью интересуетесь? ©

Vanya Yani

Sergiy Fakas Information Security Officer в Oro 19.08.2016 19:01

Насколько я знаю есть алгоритм валидации ИНН. Список не список но реестр есть.

Vanya Yani

Yurii Zhoholiev VP of Engineering в Innovecs 19.08.2016 19:35

Он работает для 99% случаев, однако бывают ошибки при выдачи ИНН, т.е. выдвается номер изначально не проходящий валидацию по смещению от дня рождения и/или четности по полу, а поменять его после этого нельзя, т.к. он является валидным.

Sergo Ordgonikidze 21.08.2016 02:38

Во-первых, поменять можно. Наложка и не такое делает. А во-вторых, всё ещё хуже — до сих пор встречаются дубликаты ИНН. Хотя уже и очень редко. А ещё в некоторых районах особо одарённые рекомендовали гражданам идти и получать ИНН после каждой смены работы. И наложка выдавала. И теперь в таких полумусорных базах как реестр гражданских актов (загсовский) вполне можно найти и ошибки, и множество документов на одного реально человека с разными реальными ИНН... А уж что творится в пенсионных отделах, когда туда такие дятлы приходят, особо если стажи приходятся на период после 2001 года...

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 17:55

Там системи нема. Взагалі. Це видно з першого погляду. А з другого і третього взагалі УУУУУ. Це Шнобель по програмуванню. Я чого всіх запрошувала самим лізти і дивитися?

Sergiy Fakas Information Security Officer в Oro 19.08.2016 17:46

Ща будет прикол, если народ туда кинется смотреть декларацию Рябошапки и завалит этот «высоконагруженный» портал :).

wWw Shcherbakov Techlead в nda 19.08.2016 12:45

Руководство НАЗК признало, что качество программного обеспечения таково, что систему может взломать любой среднестатистический хакер.

Они разбираются в среднестатистических хакерах?
Законы пишутся так чтобы их обязательно было не возможно соблюсти., попробуйте пройти проверку у ДСТЗи.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 23:00

Ооопс
m.censor.net.ua/...o_sdelat_vinnik_o_zapuske

"На комитете состоялась конструктивная дискуссия. Мы пришли к выводу, что в связи с тем, что работа по созданию программного обеспечения для электронного декларирования была осуществлена и заказана не государственным органом, а за счет грантовых средств, компанией, которая была непрозрачно выбрана... Сейчас уже есть многочисленные замечания от участников рынка, что, например, их предложения просто не рассматривались по какой-то выдуманной причине. К примеру, якобы как файл с предложением содержал вирус. Таким образом непрозрачно была выбрана компания. Она самостоятельно написала себе техническое задание, которое де-факто не утверждалось ни НАПК, ни Госспецсвязи. Под это техническое задание была написана программа, по своей сути не отвечающая задаче, которая ставилась для программного обеспечения электронного декларирования. Суть ее заключается в том, что государству, НАПК нужен мощный аналитический программный инструмент, который в режиме реального времени может не только хранить данные госслужащих об их имущественном состоянии, а анализировать их в связи с другими реестрами и принимать соответствующие решения в форме отчетов, докладов работникам НАПК, как только данные в других реестрах меняются.
Например, купил особняк в Конча-Заспе — это сразу на следующее утро будет отражено в соответствующем отчете ответственному работнику НАПК, который сможет в этом отчете увидеть, какое было состояние у служащего в предыдущие периоды и текущие, и направить соответствующий запрос через НАБУ по подтверждению источников финансирования этого приобретения. Такой программы пока нет. У нас есть программа, которая способна принять персональные данные, которые частично являются конфиденциальными, гражданина Украины, госслужащего на сегодня, и эти данные хранить. Эта программа имеет сомнительный уровень защиты, и никак она сегодня не интегрирована с другими государственными реестрами. Поэтому получить исполнение главной задачи — быстрой аналитики имущественного состояния государственных служащих в режиме реального времени — программа пока не может.

George Kashperko 18.08.2016 23:25

Пффф.
У НАЗК же теперь есть Энигма, зачем им новая программа ??7
Ничонипанимаю

Sergiy Fakas Information Security Officer в Oro 18.08.2016 23:30

Шютки юмора не понял :(.

George Kashperko 18.08.2016 23:49

Полагаю, вы пропустили, с моей точки зрения лучший пост этого треда, в краткой и невероятно ироничной форме подчеркивающий все что общественности следует знать о компетентности строителей КСЗИ Реестра и их кураторов.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 23:56

Нет конечно — Ваши посты я не пропускаю. Я не понял прикол про Энигму. Вот как бы уровень бредовости новости про шифровальную машину просто вынес мозг. Что они имели в виду? Циску какую то?

George Kashperko 19.08.2016 00:06

Пост не мой, автор Егор Папышев Senior Information Security Consultant в E-consulting

Sergiy Fakas Information Security Officer в Oro 19.08.2016 00:12

Тем не менее уровень абсурда для меня не спал :).

George Kashperko 19.08.2016 00:15

Попробую пояснить.

Например, купил особняк в Конча-Заспе

А много кто ещё не купил особняк в Конча-Заспе.
А с новой программой — глядишь, кто-нить и купит — и тут-то она же и пригодится!

George Kashperko 19.08.2016 00:27

Я не понял прикол про Энигму. Вот как бы уровень бредовости новости про шифровальную машину просто вынес мозг. Что они имели в виду? Циску какую то?

Что бы за чудо-устройство они не имели в виду, оно не может самим своим наличием компенсировать отсутствие системного комплекса.
К тому же, в контексте происходивших событий, появление этой новости делало возможной трактовку её как спонтанного решения о покупке Энигмы, принятого для усиления PR-эффекта.
От того, это было ещё смешнее читать, особенно в изложении пана Егора.

Sergiy Fakas Information Security Officer в Oro 19.08.2016 00:36

Ой ну что Вы хотите от гражданских если даже тут не все до конца понимают...
Вон Мустафа сегодня возмущенно написал что гадкое ГПУ отобрало ЛИЧНЫЙ ноут у сотрудника НАБУ на кот-м ДСП информация о персонале НАБУ. Т.е. уровень кхгм... инцидента безопасности он не понимает ни на секунду. Хоть бы уже человека так не палил...

Данунах Хренов 18.08.2016 23:39

То есть полгода Миранда занималась непонятно чем и никого это не волновало? И почему они сами себе писали ТЗ? Как понять действия заказчика, который платит деньги, но не говорит что ему надо сделать и просто спокойно ждет полгода?

procurement-notices.undp.org/...iew_file.cfm?doc_id=65269

Sergiy Fakas Information Security Officer в Oro 18.08.2016 23:46

Спросите ПРООН кот-е является заказчиком:
15
Метою завдання є розробка програмного забезпечення електронних активів декларації системи
України на основі затвердженої методології, як описано в цьому ТЗ.
Кінцевим бенефіціаром і одержувачем результатів завдання є ПРООН. ПРООН буде
затверджувати кінцеві результати після консультацій з групою контролю якості у складі представників ПРООН, МЮ,Світового банку та інших партнерів.

Данунах Хренов

Ievgen Safronenko Senior Software Engineer в zooplus 19.08.2016 09:49

И почему они сами себе писали ТЗ

Вы, видимо, не в курсе, но на госзаказах (и им подобным) так принято ибо конечная цель не получить продукт, а попилить бабло и прикрыть жопку бумажками.

Данунах Хренов

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 01:47

главной задачи — быстрой аналитики имущественного состояния государственных служащих в режиме реального времени

Это личное мнение нардепа Винника. Большую часть нафантазировал. Плюс тут кто-то тут говорил, что РНБО не при чем? Посмотрите, какой комитет он возглавляет.

В ТЗ procurement-notices.undp.org/...iew_file.cfm?doc_id=65268
прописаны 3 задачи:

1. Упростить подачу деклараций чиновниками
2. Предоставить публичный доступ к этим декларациям
3. Создать систему верификации поданных данных об имуществе

То есть верификация — это лишь третья часть от задач. И нет смысла её делать, пока нечего верифицировать.

В задачи НАПК входит:
1. государственная политика по борьбе с коррупцией (разработка стратегии, изменений в законодательство)
2. выявление несоответствий между стилем жизни и официальной зарплатой (реагирование на заявления СМИ вроде «прокурор приехал на новом лексусе», допросы «откуда взял деньги на задекларированную дачу в той самой Конче-заспе»)
3. ведение реестра деклараций (в целях их подачи, публикации и верификации)
4. непосредственно верификация деклараций
и многие другие, о которых можете почитать в соотв. законе. Заметьте, что самому реестру и верификации там уделена меньшая часть. Использовать средства верификации реестра деклараций НАПК не обязана. Этот реестр — не единственный инструмент НАПК. Есть множество других, не только технических, но и юридических инструментов.

де-факто не утверждалось ни НАПК

А это манипуляция. ТЗ было согласовано с МинЮстом. НАПК ещё не существовало, соответственно, не с кем было согласовывать: ain.ua/2015/10/01/607103 (заметьте, какой ажиотаж в комментариях среди «ылиты» ИТ, которая сейчас брызжет слюной «я бы сделал лучше»)

ни Госспецсвязи.

С чего бы это у них необходимо было утверждать ТЗ?

Мне кажется, происходит сознательное затягивание начала работы НАПК.
Причем явно не разработчиками софта. Нас водят за нос.

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 08:24

Запропонувана система не спрощує подачу декларацій, а утруднює.

Vanya Yani

Mykola Kulieshov 19.08.2016 17:42

.... утруднює процес приховування доходів?)))

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 18:48

А ти не воруй! ©

Mykola Kulieshov 19.08.2016 21:40

))во во...

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 18:55

вы бы предпочли бумажную заполнять?

Sergiy Fakas Information Security Officer в Oro 19.08.2016 08:51

де-факто не утверждалось ни НАПК
А это манипуляция. ТЗ было согласовано с МинЮстом. НАПК ещё не существовало

Ну хоть в Вики залезьте.... НАПК образовано в марте 2015-го, тендер — сентябрь-октябрь 2015.

ни Госспецсвязи.
С чего бы это у них необходимо было утверждать ТЗ?

Ну хотя бы для того что бы получить сертификацию (и быть юридически безупречными) и не делать теперь луп-луп глазами по поводу BankID, кот-й таки да прописан в ТЗ.
Задачи приписанные в ТЗ Вы уж как то лихо урезали. Вот они со страницы 15

Проект має на меті спростити подання публічними службовцями їх декларацій майнового стану,
доступ до них та їх перевірку. Для цього система електронного декларування має бути спроможна
виконувати такі задачі:
● спрощення введення даних суб’єктом декларува
ння;
● забезпечення захищеного протоколу автентифікації для входу в систему електронного
декларування;
● запобігання помилкам з боку суб’єкта декларування під час введення даних;
● виконання перехресної перевірки інформації з використанням баз даних інш
их державних
органів;
● надання доступу до системи електронного декларування іншим державним базам даних;
● забезпечення захищеного зберігання введених даних;
● надання відкритого онлайнового доступу та засобів пошуку по відкритих даних, що містяться в
деклараціях, і можливості їх звантаження;
● створення відкритого API для розробників для забезпечення захищеного доступу до відкритих
даних із декларацій майнового стану та їх звантаження в різних форматах;
● оптимізація процедур обробки декларацій майнового стану персоналом НАЗК і створення
ефективного бізнес-процесу перевірки декларацій.

Упрощение процесса ввода деклараций никого особо не волнует. Главное это верификация и поиск.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 18:29

Ну хоть в Вики залезьте.... НАПК образовано в марте 2015-го, тендер — сентябрь-октябрь 2015.

Март 2015-го — дата решения Кабмина. Но ведь организация появляется не после издания какой-то бумажки. А после появления уполномоченного лица. Нет представителя — нет организации.

Вы уж как то лихо урезали.

Что же я упустил? Задачи делятся на 3 категории: заполнение, публикация и верификация. Это было сказано в контексте целей созданий реестра, а не детального описания экранов и формочек.

Упрощение процесса ввода деклараций никого особо не волнует. Главное это верификация и поиск.

Для разных категорий лиц разное понятие о «главном». Декларантам главное — защититься от претензий НАПК (упрощение подачи). Общественности главное — подотчетность декларантов (поиск и просмотр). Членам НАПК главное — выявление несоответствий (верификация).

Sergiy Fakas Information Security Officer в Oro 19.08.2016 18:36

Все было уже в сентябре-октябре. Я проверял.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 18:51

Что «все»? Право подписывать документы от НАПК кто имел?

Sergiy Fakas Information Security Officer в Oro 19.08.2016 19:02

Спросите в НАПК. Организация на этот момент существовала и вела свою деятельность.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 21:46

Организация на этот момент существовала и вела свою деятельность.

Это неверное утверждение. Бремя доказательства лежит на вас. До избрания главы существовала лишь конкурсная комиссия НАПК. Никакую деятельность НАПК вести до этого не могло.

Sergiy Fakas Information Security Officer в Oro 19.08.2016 22:00

Опять... А стулья и оборудование кто закупал? И т.д. Ну зачем опять недумавши писать...

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 22:56

Нету у НАПК ни стульев, ни оборудования. Об этом не раз сообщалось.

Данунах Хренов 19.08.2016 09:38

заметьте, какой ажиотаж в комментариях среди «ылиты» ИТ, которая сейчас брызжет слюной «я бы сделал лучше»

А что вас во фразе «я бы сделал лучше» смущает, если реально сделать хуже — надо еще постараться?

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 18:57

Меня смущает, что когда объявляли тендер (тут, на DOU и на AIN), было 0 целых 0 десятых желающих. А сейчас вдруг хвастуны подтянулись.

Данунах Хренов

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 18:58

Де оголошували? Дайте лінки

Vanya Yani

Bogdan Parhomchuk - в + 19.08.2016 19:20

Була якась тема, здається, датована вереснем. Але тема то тема, треба було взяти топ-25 ДОУ та розіслати всім запрошення.

dou.ua/forums/topic/15098
ain.ua/2015/10/01/607103

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 19:27

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 19:30

Вже свідчень того, що подавалися, і їх бортанули, в тому числі через те. що «файл не відкрився»

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 19:34

Что за компании? Из ТОП-25 DOU?

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 19:47

To be continued. В медіа

Vanya Yani

Bogdan Parhomchuk - в + 19.08.2016 21:53

>Пытался заполнить тдерную заявку, понял что ее не возможно заплнить честно :)
Хоч я Карпенка не поважаю за деякі його зашквари, проте, він не перший хто на це вказує, а тому є всі підстави сумніватись у честності тендеру.

Vanya Yani

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 00:25

Карпенко мене репостить

www.eurointegration.com.ua/...icles/2016/08/18/7053523

Bogdan Parhomchuk

flyman 18.08.2016 21:31

Александр Бобров 18.08.2016 19:09

Дабы не бегать по веткам, постараюсь ответить здесь на все претензии к системе
Начнем с истеричной особы, т.к. в фб у нее комментарии закрыты не от друзей (теперь понимаю почему), то буду отвечать здесь и на ее претензии из фб.
1. Тяжело листать календарь
Обычная манипуляция — т.к. достаточно кликнуть на название месяца (при наведении он подсвечивается), и будет доступен выбор месяцов и годов. Что же, добавим этот кейс в инструкцию к системе.
2. В коде страницы есть код siteheart, и это «ужас».
Действительно есть, и есть он там изначально — когда сотрудники НАЗК научаться пользоваться онлайн помощью он будет активирован.
Кстати, кто не знал, это приватовская разработка. И приват не боится ее использовать у себя в системах.
3. В коде страницы есть данные о человеке.
Сделано это было намеренно, для снижения нагрузки на сервера. Минус один запрос с фронта, к бекенду. Кто-то конечно скажет, что это экономия на спичках, но при планируемой нагрузке на систему, это много.
Кстати, аргументацию почему это плохо, с удовольствием выслушаю. Кроме аргументации по кешированию браузерами страниц. Решается это заголовками.
4. Нашла, что если в качестве ключа указать файл с картинкой, выскакивает окно «undefined».
Уже передали разработчикам либы вопрос. Видимо, до этого дня, не одному человеку не приходило такое в голову. Иначе это было бы давно закрыто.
5. Что еще забыл?
Теперь перейдем к вопросу еще очень активного писателя («специалиста» по безопасности, который так и не ответил на вопрос про SSL, ну да ладно, может гуглит)

Ну т.е. на локалхост Sendmail поднять это подвиг меценатсва? Ну тут то не надо людей обманывать, все прекрасно знают что SMTP сервер это не железяка.

С какой скоростью ваши письма будут улетать в спам при такой настройке?

Вроде все собрал. Что из вышеперечисленного как-то ломает систему, или делает ее не безопасной?
Я не спорю, что могут быть нюансы в юзабилити, которые вылезут во время эксплуатации системы. И возможно даже критические ошибки.
Но со всеми большими системами так. Не бывает программ без ошибок, и мы это прекрасно понимаем.

Alex Shevelo senior python developer – SoftServe 18.08.2016 21:20

Один маленький вопросик а когда уже придумаете "як сказать, що email пройшов перевірку"© у вас уже есть какое то глобальное решение или необходимо собрать пару тройку митингов?

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 08:18

До речі перевірка телефону там досі не працює

Alex Shevelo senior python developer – SoftServe 19.08.2016 12:52

Звичайно не працює бо last-modified:Thu, 04 Aug 2016 15:50:23 GMT Якшо вірити заголовку то той js не мінявся з цієї дати:)

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 12:58

Та знаю. Це я так. Для підтримання розмови з пацієнтом.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 21:56

Ну что ж господин-стесняющийся-своей-работы. Вопрос с SSL мило разрешился. Vanya Yani извинился и признал мою правоту. dou.ua/...aign=reply-comment#974347
Конечно же я не надеюсь на какие то извинения от Вас но давайте продолжим тему SMTP сервера. ОК, я допускаю что по эстетическим соображениям Sendmail не очень красиво (не надо про нагрузку только — она счас я думаю мизерна) но что бы вы делали если бы систему поставили бы в наглухо закрытый для исходящих соединений периметр, как это делают параноидальные европейцы? Упали бы с ошибкой наверно?
Ну и самое смешное это утверждение что у НАСК нету почтовика. А вы не могли использовать mail.gov.ua к примеру? Нет?

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 23:23

извинился и признал мою правоту

Вам бы в политику, тонко манипулируете фактами :)

Sergiy Fakas Information Security Officer в Oro 18.08.2016 23:30

Где?

Vanya Yani

Sergey Solution Architect 18.08.2016 21:58

Сделано это было намеренно, для снижения нагрузки на сервера. Минус один запрос с фронта, к бекенду. Кто-то конечно скажет, что это экономия на спичках, но при планируемой нагрузке на систему, это много.

А какая планируемая нагрузка на систему? Исходя из открытых данных, это порядка 50000 госчиновников, которые гарантированно не кинутся заполнять декларации одновременно и еще нескольких ботов которые якобы будут собирать статистику в фоновом режиме.
Это просто смешно. Даже предлагаемая коллегой «горизонтальная масштабированность» тут в принципе не нужна.

Александр Бобров 18.08.2016 22:10

Вы сильно ошибаетесь в количестве чиновников. По разным оценкам под закон попадает от 400000 до 700000 человек. Это только первый этап порядка 50 т.ч. А если учесть, что народ у нас тянет до последнего, то неделя под конец сроков будет очень жаркая. А система изначально построена под горизонтальное масштабирование.

Sergey

Sergey Solution Architect 19.08.2016 00:01

Вы сильно ошибаетесь в количестве чиновников.

возможно.

По разным оценкам под закон попадает от 400000 до 700000 человек.

А есть пруфлинки на эти цифры?
Но давай возьмем цифру в 700000 и «последнюю неделю», как максимальную нагрузку и попытаемся попроектировать. Допустим что все чиновники внезапно кинутся декларировать свою недвижимость в последнюю неделю. И будут это делать 12 часов в сутки.
Итого имеем 700000/7/12=8300 сессий в час. Допустим что средняя декларация — это 10 http реквестов(логин, ввод данных, сабмит). Итого имеем 83000 реквестов в час или же 1400 реквестов в минуту. Что в принципе является смешной нагрузкой для любого из современных веб серверов, со сколько нибудь вменяемым бекендом, которые тянут порядка 5000 конкурентных подключений на сервак без дополнительных оптимизаций.
Зачем тут горизонтальное масштабирование???

Vladyslav Volkov Technical Fellow в Hiberbee 19.08.2016 00:19

со сколько нибудь вменяемым бекендом

Судя по всему, там спагетти на PHP без какого-либо каркасного фреймворка. Так что не факт, что выдержит.

Sergey

Александр Бобров 19.08.2016 00:20

Сразу видно, что судите Вы о системе по статьям наших недожурналистов. 10 реквестов говорите? Декларация это 17 разделов, в каждом из которых указываются субъекты и объекты дакларирования (которые тоже сразу отправляются на сервер, и это не только сам декларант, а и его все родственники, и все люди с которыми он имеет любые денежные, имущественные и т.п. отношения), постоянное автосохранение данных со страницы заполнения декларации, и самое тяжелое ЕЦП. При подписи декларации ЕЦП, мало того что выполняется порядка 10 реквестов (как к серверу, так и от него к АЦСК), так она еще и очень ресурсоемкая (крипта все же не по каким-то там стандартам международным, а наше родное ДСТУ).

Теперь про цифры, для начала biz.liga.net/...god-sokratilos-na-0-4.htm
А потом открываем zakon0.rada.gov.ua/...-18/print1418806248462072 и смотрим сколько народу еще приравнено к госслужащим.

Sergey

Sergey Solution Architect 19.08.2016 07:57

Если ты читал мой пост выше внимательно, то не мог не заметить что расчеты были сделаны по максимуму, исходя из приведенных тобой же цифр, и все равно оставался приличный запас. Но ок, допустим я чего то недоучел — дело хозяйское. Тебя не затруднит выложить свои прикидки?

Andriy Krot Software Engineer в IonIdea 19.08.2016 17:36

Банковские программисты смотрят с недоумением на тебя. А потом смеются над вашей нагрузкой. ))

Vanya Yani Web Developer в Capgemini Engineering 25.10.2016 18:19

Появились реальные цифры:

Лише протягом останньої доби системою було зафіксовано 3,8 млн запитів. На сьогодні кількість запитів на годину становить понад 200 тисяч

То есть реальность оказалась более чем в 2 раза выше ваших расчетов “по максимуму”. А с учетом того, что нагрузка навряд ли распределена равномерно, в пике она может намного превышать 5000 в минуту.

Зачем тут горизонтальное масштабирование

Действительно, пока что вертикального хватает:

На даний момент проводяться роботи з розширенню пропускної здатності фізичних каналів зв’язку та збільшення обчислювальної потужності серверного обладнання (віртуальної інфраструктури) офіційного сайту nazk.gov.ua

И заметьте, по сообщению НАЗК, это лишь сайт-визитка, используемый для поиска ссылки на портал. Можно предположить, что на сам портал нагрузка гораздо выше.

P.S. Впрочем, не исключено, что это DDoS

Sergey

Sergey Solution Architect 25.10.2016 18:44

То есть реальность оказалась более чем в 2 раза выше ваших расчетов «по максимуму». А с учетом того, что нагрузка навряд ли распределена равномерно, в пике она может намного превышать 5000 в минуту.

Этого я не понял. Будучи человеком совершенно никак не связанным с госконторами, я сделал некоторые предположения, исходя из моих ограниченных представлений о предметной области. И заметь, попросил людей связанных с разработкой, уточнить их — ведь они же должны же должны лучше знать каких нагрузок ожидать.
Ответа не получил.
И при всем при этом, исходя из цифр в твоей статье получаем 200000/60=3333 реквестов в минуту.
Что дает нам запас в ~40% на одном серваке без оптимизации. Если пофиксать ботлнеки и сконфигурить все правильно, то 10000 вполне реальная цифра. Это дает нам 300% запаса от нагрузки.
И?

Vanya Yani

Vladimir Kovrigin Теоретик 26.10.2016 17:34

угу, это как с ЭРДР. Который в 13\14 году ложился в конце каждого квартала :)

Vanya Yani Web Developer в Capgemini Engineering 25.10.2016 18:13

Смешная нагрузка свалила новую систему, написанную УСС
zik.ua/...kist_zapytiv__nazk_979502

Sergey

Sergey Solution Architect 25.10.2016 18:47

ну я не знаю, посмотри статистику какого нить инет магазина популярного в предновогодний период к примеру. Просто чтобы понять что такое средняя нагрузка.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 25.10.2016 21:18

Посмотрел

Гугл ~300 млн в сутки
Фейсбук ~200 млн в сутки
Википедия ~100 млн в сутки
Яндекс — ~40 млн в сутки
Вконтакте — ~30 млн в сутки

OLX ~ 5 млн в сутки
Розетка ~ 3 млн в сутки

Sergey

Sergey Solution Architect 25.10.2016 21:28

3 млн в сутки — каждый день. А что там про в пиковые нагрузки(мы же сравнимое сравниваем, правильно), предновогодние распродажи, черные пятницы...

Vanya Yani

Sergiy Fakas Information Security Officer в Oro 25.10.2016 18:48

Это НЕ новая система. Оно конечно удобная позицуия мирандистов но это мирандовская ситема, хоть и молифицировання в части закрытия вопиющих дыр.

Vanya Yani

Sergiy Fakas Information Security Officer в Oro 25.10.2016 18:53

Ну и еще по поводу нагрузки. Согласно документу на сайте ПРООН ситема должна была бтыть готова к .... (барабанная дробь) марту 2016-го года (т.е. периоду сдачи деклараций в налоговую). Но талантливые ПМы очевидно прощеглкали сроки и смогли выкатить ублюдка только летом (ну вся история тут как на ладони). Ну как бы ой — изначально предполагалось протестироывать нагрузку в реальном проде но без политического давления.
И еще... Сама концепция системы радикально неправильна (и кстати ЭТО как раз хороший кейс для ДОУ) — не стояла задача сделать он-лайн заполнялку, стояла задача собирать, публиковать и верифицировать декларации. Сделали бы офф-лайн заполнялку — не было бы этих проблем с нагрузкой сейчас.

Vanya Yani Web Developer в Capgemini Engineering 25.10.2016 21:25

Я бы не был таким категоричным.

css — слизан
html — частично совпадает
javascript — отличается
url, ajax запросы — отличаются значительно

В публичной части — значительно изменен функционал. Так, например, API заменен полностью.

Всё это не похоже на «молифицировання».

Петр Иванов 27.10.2016 06:13

Чому ви вирішили, що нову систему написали в УСС? В них не має програмістів. Система у них тільки хоститься

Vanya Yani

Serhiy Kurtenko 27.10.2016 13:49

Есть у них и админы и программисты.
www.uss.gov.ua/itoutsourcing
www.uss.gov.ua/...-of-tzi-and-cryptographic

Метою проведення науково-дослідних і дослідно-конструкторських робіт є впровадження нових засобів (зразків) технічного або криптографічного захисту інформації, створення програмних засобів захисту інформації, розробка апаратних та програмно-апаратних засобів технічного або криптографічного захисту інформації, методик до них.

В добавок для КСЗИ им предоставляли флешки с кодом и они публично сообщали про уязвимости в коде — соотвественно кто-то должен был тот код ревьювить.
Также могли элементарно зааутсорсить — если нашлась мотивация компрометирвоать центр сертификации, то деньги на нескольких программистов тоже могли найти.

Vanya Yani Web Developer в Capgemini Engineering 28.10.2016 03:09

А хто ще?
У НАЗК немає технічних спеціалістів. НАЗК визначило ДП «УСС» адміністратором Держреєстру е-декларацій
ua.interfax.com.ua/news/general/377945.html

Технічний адміністратор — це юридичне визначення того, що ми називаємо «мейнтейнер». Тобто фактично — розробник.

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 08:17

Якщо це ви про мене, раптом, то
0. в мене не закриті коментарі в ФБ ні від кого, це брехня
1. ви щось про user-friendly interface чули? по вашому той календар — це воно? В мережі дофіга коду для календарів, лом шукати чи що?
2. в самому stieheart нічого поганого, крім www.siteheart.com/ru/rules з усіма витікаючими
3. вже без мене впоралися
4. картинку ніхто не вставляв, помилка про інше, і все ще там, шукайте краще
5. що ще забули?
5.1. головне — емейл (який досі гуляє через ваш сервер), питання — як ви сподівалися отримати сертифікацію з таким «захистом»?
5.2. неіснуючі адміністративні одиниці (ви взяли без змін код з сайту субсидій)
5.3 і дофіга більше

Ваш продукт дійсно є state-of-art халтури. Він вже морально застарів.

ПС. Мені глибоко плювати на персональні інвективи, мене вчили, що лайка від ворога — це хвала.

Oleksandr Krysan CTO в ItelJoy 19.08.2016 21:53

коменти в фб у тебе закриті для всіх кроми друзів. Особисто я не можу коментувати псля того, як ти викинула мене з друзів

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 23:00

Вот-вот. Настройки приватности в Facebook ошенама сложные...

Oleksandr Krysan

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 00:26

Що правда? Зараз перевірю

Oleksandr Krysan

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 03:12

дякую що сказав, в мене після 100500 бана якісь дивні налаштування

Oleksandr Krysan

Ігор Ковальчук 19.08.2016 17:31

В коде страницы есть код siteh...

Посмотрите пожалуйста мой комментарий dou.ua/...orums/topic/18252/#974920

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 00:27

Там ще є гугль аналітикс є, від сайтнарта

Ігор Ковальчук

Ievgen Safronenko Senior Software Engineer в zooplus 18.08.2016 16:32

Учасники термінової наради щодо вирішення проблеми з е-декларуванням, проведеної президента Петром Порошенком, повідомляють про домовленість щодо термінового оформлення атестата відповідності системи електронного декларування.

За даними повідомлення, винною у виникненні проблем оголошено компанію-розробника, ООО «Міранда».

З повідомлення можна зробити висновок, що допрацювання буде відбуватися без участі розробника ПО.

Бабло то уже рапилено.

Mykola Hudkovych IT Analyst в EPAM 18.08.2016 17:25

Ким розпиляно бабло?

Артем И 18.08.2016 16:17

Вам ничего не напоминает?
js.sign.eu.iit.com.ua

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 03:58

Заметьте, Миранда используют самые сертифицированные спецсвязью ЭЦП-библиотеки

Артем И

Gremlin 18.08.2016 16:16

Для начала, надо подвесить за тестикулы тех, кто отдал Миранде этот заказ.
Там убили 2-х зайцев: зафакапили заказ и попилили бабло.

Без эшафотов не обойтись: hvylya.net/...-vse-godyi-vyizhival.html

В Европе «сознательность» воспитывалась в XVII — XIX вв только так.
И в Грузии — тоже,
кстати, вато-грузины до сих пор Миху простить не могут, им лучше совок и нищета.

Ievgen Safronenko Senior Software Engineer в zooplus 18.08.2016 15:02

Могу примерно рассказать как это работает на основе опыта работы с похожей конторой только в другой сфере.

1. Кто-то из универа(кафедры) узнает про тендер и возможность попилить бабки.
2. Собирается несколько дружественных контор и подаются на тендер с такими предложениями, чтобы выиграла конкретная контора, через которую будет производится попил.
3. Контора выигрывает тендер не имея ни специалистов ни возможностей.
4. На кафедре оформляется хоз тема.
5. В хоз тему записываются все шановные с кафедры (профессура и нужные доценты), а так же несколько аспирантов и, возможно, студентов (исполнители).
6. Бабки по хозтеме пилятся шановными, а до исполнителей доезжает болт денег и миллион пи8дюлей.
7. Хозтема закрывается через прикормленную приемку и откат.
8. Профит.

Fedor Arch 18.08.2016 15:33

Будучи студентом попадал в похожие расклады.

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 18.08.2016 15:35

узнает про тендер

При проведении тендера можно хотя бы указать необходимость иметь лицензии по КЗИ и ТЗИ. В данном же случае, когда деньги просто дают тому, на кого покажет прикормленный перст судьбы.

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 15:36

«хоз тема»? Это такой официальный термин?

Ievgen Safronenko Senior Software Engineer в zooplus 18.08.2016 15:52

Видимо вы просто не сталкивались) Такой же официальный как и помощь кафедре.

Vanya Yani

Michael Yatsko 18.08.2016 19:21

Абсолютно официальный

Vanya Yani

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 03:12

таки студент.... чи взагалі школяр?

Vanya Yani

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 11:15

Я більше не буду. Це останнє. State of art календар. Я до свого місяця народження хвилин 10 клацатиму, я не переживу www.facebook.com/...6093147&type=3&permPage=1

Mykola Hudkovych IT Analyst в EPAM 18.08.2016 12:29

Та ні, продовжуйте. І, якщо можна, якесь резюме: по пунктах і просто, для непосвячених.

Dmytro Sharadkin IT & DS Specialist 18.08.2016 12:42

Да уже из этого примера можно сделать два вывода.
1. Система (вот конкретно этот модуль) создавался в лучшем случае студентом-недоучкой, в худшем — школьником, вчера начавшим осваивать JS.
2. Система (вот конкретно этот модуль) никаким образом никем и никак не тестировалась.
И эти выводы — на поверхности. И по ним, самым простым и легким вещам, можно догадываться, а что-же там скрывается от нашего взгляда под предлогом великой государственной тайны “внутри”, и даже лучше не задумываться, как там обстоит дело с тем самым КСЗИ.
И самое интересное. В этой теме таких проколов уже насобиралось наверное с десяток. На каждый из них поступает ответ от “разработчиков” типа “да это частная небольшая недоделка, исправим, а вы там работайте, ищите ошибки и сообщайте нам”. Хотя по результатам заседания 15 августа от тех-же разработчиков мы слышали, что технически система идеальна, но вот только в документации “надо поменять местами пункты”.
Но своего разработчики уже достигли.

ДССЗЗІ як державний орган не має іншого варіанту дій, крім як взяти.... відповідальність та забезпечити сертифікований старт системи

А как, если там такой “идеальный код”?

Mykola Hudkovych IT Analyst в EPAM 18.08.2016 12:59

Спасибо. Но как пояснить эти проблемы непрограммисту?

Dmytro Sharadkin IT & DS Specialist 18.08.2016 13:12

Какие именно?
1. Программа имеет низкое качество кода.
(Аналогия для неспециалиста — автомобиль качественной и некачественной сборки. Специалист понимает это глядя на сам процесс сборки. Неспециалист — только наткнувшись на эту проблему в ходе эксплуатации, хотя может и довериться мнению специалиста заранее и в такую машину не садиться, что-бы не оказаться с отвалившимися колесами посреди дороги)
2. Попытка выдать свое изделие за технически идеальное и свалить вину на орган сертификации (Аналогия для неспециалиста — крэш-тест автомобиля. Производитель говорить «все супер, машина же ездит», а в реальности — шансов на выживаемость в случае аварии почти нет).
3. Заставить ДССЗИ «допиливать систему» — это как заставить орган, проводящий тест на соответствие мотора авто стандартам «ЕВРО-N» заниматься перепроектированием и ПЕРЕИЗГОТОВЛЕНИЕМ автомобиля, причем всего — от колес до выхлопной трубы. Причем «в кратчайшие сроки».
Вот так, для «непрограммиста».

Alex Shevelo senior python developer – SoftServe 18.08.2016 14:23

Да очень просто пояснить. Вы будете ездить на машине где колеса квадратные, спидометр крутиться в обратную сторону а вместо лампочки о том что бенз заканчивается приклеена бумажка «надо поридумать как нам показать что бензин заканчивается»?:)

Ярослав Ларионов Junior QA 18.08.2016 17:58

Ага, апним народный багтрекер, и разложим все по полочкам...
Уже прям волонтерство)

Bogdan Parhomchuk - в + 18.08.2016 15:19

А що буде, якщо клацнути по отим двом стрілочкам зліва від назви місяця?

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 15:39

Это вы ещё не видели внутрикорпоративные продукты вполне уважаемых контор.

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 18.08.2016 15:44

Используй ~~силу~~ клавиатуру, Люк!

Sydorenko Oleg 18.08.2016 11:09

Прикольні кведи

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 10:00

Оскільки в ту клоаку, здається, ходжу тільки я всередину, то повідомляю новини сайту декларацій. Хтось прикрутив всередину siteheart.com

Ігор Ковальчук 19.08.2016 17:19

Это может быть уязвимостью — посредством такой связи (например, взломав s...) можно, как минимум, с помощью социальной инженерии получить приватные ключи и даже пароли тех, кто заходит на сайт для деклараций.

Не должно быть никакой связи с посторонними сайтами, убрать такую привязку — минутное дело, пускай уж лучше чат не работает.

Поправьте меня пожалуйста, если я ошибаюсь.

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 17:41

Та звісно що ви не помилляєтеся. Тут просто якийсь ацкій цирк.

Ігор Ковальчук

Ігор Ковальчук 19.08.2016 19:12

IMHO: нерідко в аутсорсингу розробка йде роками — ітеративно, поступово виправляються огріхи, деякі дірки в безпеці можуть не виправлятися роками, нерідко — нормальний спокійний менеджмент; розробка ж для гос. сектору має бути більш складна, відповідальна і більш інтенсивна (більш нервова) ніж для звичайного аутсорсингу, а от яка там зарплатня і умови, в даному випадку, — я не знаю (думаю що гірші), тому я сьогодні просто щиро співчуваю розробникам (саме розробникам, як там вище — я не знаю), бо ж критикувати в сотні разів легше ніж писати щодня код. Правильно і чесно оцінити термін виконання робіт — це майстерність і не всі це вміють навіть у аутсорсингу, не те що в гос. секторі.

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 19:20

Це приватна контора, яка писала на замовлення іноземного донора. Де ви тут бачите державний сектор? Він в темі з’явивися десь так кілька тижнів тому

www.facebook.com/...lya/posts/316018245398572

Ігор Ковальчук

Oleksii Shevchuk 18.08.2016 09:45

Тем временем..

TL;DR

ДССЗЗІ должна усунуть недолики :)
Роботу над цими модулями ДССЗЗІ має виконати самостійно в стислі терміни.

Ждем продолжения драмы 1го сентября

Dmytro Sharadkin IT & DS Specialist 18.08.2016 11:51

Какой феерический бред.
Признали, что “компанія-підрядник несумлінно виконала свої зобов’язання”. И вывод —

“ДССЗЗІ як державний орган не має іншого варіанту дій, крім як взяти ініціативу і відповідальність та забезпечити сертифікований старт системи.”

Каким образом??? А почему не АЗПК?

Міністр фінансів Олександр Данилюк, у свою чергу, заявив про готовність ініціювати оперативне рішення щодо фінансування робіт із забезпечення четвертого та п’ятого модулів системи електронного декларування. Роботу над цими модулями ДССЗЗІ має виконати самостійно в стислі терміни.

Поручить ДССЗЗИ, по сути органу власти, а не фирме, специализирующаяся на разработке ПО “самостійно в стислі терміни” виполнить работу, с которой облажалась фирма-разработчик с офигительнім опытом “успешных проектов” для государственных учреждений Украины — это таки путь к окончательному угроблению проекта, вывода действительно виноватых из-под удара и назначение такими невиновных.

Ну и последний гвоздь. Теперь ДССЗЗИ должна сама разработать систему и сама-же ее сертифицировать.
Все, занавес.

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 15:53

Это очередное подтверждение версии, по которой уязвимостей не найдено, а есть только недоработки в документации КСЗИ.

Смотрите сами:

1. ДССЗЗИ и ДЦКЗ выполняют только экспертизу и аттестацию КСЗИ. Хостится система в УСС.
2. ДССЗЗИ не имеет правовых оснований для вмешательства в систему. Разве что НАЗК определит ДССЗЗИ как технического администратора реестра, что вызовет ещё больше подозрений.
3. Если ДССЗЗИ занимается разработкой КСЗИ и одновременно его экспертизой, то не является ли это нарушением, из-за которого отстранили ТОВ «Криптософт»?

Oleksii Shevchuk 18.08.2016 16:12

Ну Гарант сказал запилить — значит запилить! Законы? У нас поле чудес, все возможно :D

Vanya Yani

Sergiy Fakas Information Security Officer в Oro 18.08.2016 16:25

Уязвимости нашли в этой же теме поверхностным осмотром.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 17:20

Это вы про т.н. «CRSF»? Полагаю, автор не сможет объяснить, что же это такое, раз даже название не смог написать правильно. Защиты действительно не было, но это не значит, что уязвимость была. Не думаю, что в нормативные акты, принятые еще в советское время, заложено такое понятие.

Fedor Arch 18.08.2016 17:27

От CRSF есть защита. Там в аяксе используется при запросе хедер ’X-Csrf-Token’

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 18:11

Других упоминаний якобы найденных уязвимостей я не нашел. Было что-то другое? Почтовый сервер?

Fedor

Fedor Arch 18.08.2016 18:19

Не было. Почтовый сервер отдельный не подняли. Да. Если разговор о том что нашли на доу.
А так еще замечания госспецсвязи, но они не про код

Vanya Yani

Sergiy Fakas Information Security Officer в Oro 18.08.2016 19:55

Вопрос не в том, что отдельный сервер не подняли. Вопрос в том что продовая система шлет мыло через сервер разработчиков. Заявы про то что у НАЗК нет своего сервера более похожи на отмазки от того факта что в на прод поставили систему с девелоперской конфигурацией.

Fedor

Artem Komisarenko C++ Software Developer в Zultys 18.08.2016 19:24

Сертифікація це не зовсім про «найті уязвімасті». Вони там у висновку написали, що в доках не зазначені об’єкти захисту. Про що це говорить? Що студентам-виконавцям потрібно піти довчитись, перш ніж подаватись на сертифікацію.

Vanya Yani

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 05:46

Оскільки я тут, здається? одна «проникла в супер захищену систему», то не можу відмовити собі в публікації вибраних цитат з емейл листа, виготовленого state of art чогось, згідно з заявою ПРООН, яку я десь вже цитувала. Залюбки поділюся цінним експонатом цілком з ким завгодно.

Delivered-To: <a href="mailto:[email protected]">[email protected]</a> Received: by 10.25.40.195 with SMTP id o186csp1667980lfo; Mon, 15 Aug 2016 15:09:25 -0700 (PDT) X-Received: by 10.25.138.5 with SMTP id m5mr5358799lfd.211.1471298965750; Mon, 15 Aug 2016 15:09:25 -0700 (PDT) Return-Path: <a href="mailto:[email protected]">[email protected]</a> Received: from <a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> (<a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a>. [195.234.215.78]) by <a href="http://mx.google.com" target="_blank">mx.google.com</a> with ESMTPS id l190si8554885lfb.300.2016.08.15.15.09.25 for <a href="mailto:[email protected]">[email protected]</a> (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Mon, 15 Aug 2016 15:09:25 -0700 (PDT) Received-SPF: neutral (<a href="http://google.com" target="_blank">google.com</a>: 195.234.215.78 is neither permitted nor denied by best guess record for domain of <a href="mailto:[email protected]">[email protected]</a>) client-ip=195.234.215.78; Authentication-Results: <a href="http://mx.google.com" target="_blank">mx.google.com</a>; spf=neutral (<a href="http://google.com" target="_blank">google.com</a>: 195.234.215.78 is neither permitted nor denied by best guess record for domain of <a href="mailto:[email protected]">[email protected]</a>) <a href="mailto:[email protected]">[email protected]</a> Received: from <a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> (localhost [127.0.0.1]) by <a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> (Postfix) with ESMTP id 4932CC374A for <a href="mailto:[email protected]">[email protected]</a>; Tue, 16 Aug 2016 01:08:20 +0300 (EEST) X-Virus-Scanned: Debian amavisd-new at <a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> Received: from <a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> ([127.0.0.1]) by <a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> (<a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> [127.0.0.1]) (amavisd-new, port 10026) with ESMTP id 3SKdK_UAJ1Y5 for <a href="mailto:[email protected]">[email protected]</a>; Tue, 16 Aug 2016 01:08:19 +0300 (EEST) Received: from <a href="http://portal.nazk.gov.ua" target="_blank">portal.nazk.gov.ua</a> (unknown [213.156.89.50]) by <a href="http://mx.miranda.net.ua" target="_blank">mx.miranda.net.ua</a> (Postfix) with ESMTPSA id CD36FC3747 for <a href="mailto:[email protected]">[email protected]</a>; Tue, 16 Aug 2016 01:08:19 +0300 (EEST) Date: Tue, 16 Aug 2016 01:09:24 +0300 To: <a href="mailto:[email protected]">[email protected]</a> From: <a href="mailto:[email protected]">[email protected]</a> X-Mailer: PHPMailer 5.2.9 (<a href="https://github.com/PHPMailer/PHPMailer/" target="_blank">github.com/PHPMailer/PHPMailer</a>) Шановний ЗУБАР НАТАЛІЯ ВОЛОДИМИРІВНА, Ви авторизувалися в системі Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави або місцевого самоврядування. Увага! Будь ласка, не використовуйте електронну адресу, з якої надійшло це повідомлення, для листування. Для зв'язку з Національним агентством з питань запобігання корупції використовуйте персональний електронний кабінет в системі електронного декларування.

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 05:47

Тут якось коряво воно ставиться, але я думаю тут все ясно.

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 06:06

Я тут виклала весь хедер. Там чудеса, там леший бродит
www.facebook.com/...-miranda/1123537114371264

Artyom Krivokrisenko 18.08.2016 06:12

Ребята все тестили на своем мирандовском smtp. Когда запустили в прод, забыли поменять на продакшн SMTP, зачем кипиш поднимать?

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 06:25

Як такому сертифікат давати можна? З чого ваще весь срач почався?
Забули :) Ребята забули. Я тепере цю фразу тягати буду

Sergiy Fakas Information Security Officer в Oro 18.08.2016 08:38

Забыли. Ааааа... «А почему нас не хотят сертифицировать?»
Небось все захардкоджено.
Сколько еще «забыто»?

Александр Бобров 18.08.2016 10:09

К сожалению не забыли.
Миранду уже обвинили в том, что она не подарила сервера НАЗК для системы. Может и почтовый сервер им настроить/подарить? На момент старта системы почтового сервера не было, возможно сейчас что-то поменялось. Доступа к проду у Миранды нет.

undefined pointer 18.08.2016 10:14

поздно уже.

миранде впору закрываться, потому что не только в украинской айти-тусовке, а теперь и среди чиновников через нее никто в здравом уме не будет осваивать деньги.

жаль что вряд ли узнаем результаты внутреннего расследования в ПР ООН. но там тоже наверняка будут разбираться, как такая славная организация вляпалась в такое гуано, да еще потратив деньги фонда.

«деньги любят тишину» и там. а тут — такая слава!

Artyom Krivokrisenko 18.08.2016 10:16

На момент старта системы почтового сервера не было

Т.е. кто-то ожидал, что систему сертифцируют при отсутствии одного из компонентов системы? ок

undefined pointer 18.08.2016 13:07

да, надеялись на хорошую крышу.
вот, она, крыша — «ПРООН и другие надежные эксперты»:
В ЕС считают, что заявления о том, что неудачная выдача технического сертификата вызвана техническими недочетами, противоречит публичным заявлениям, сделанным ПРООН и другими надежными экспертами.

«Они четко подчеркивают: система полностью соответствует международным стандартам и уже сейчас может быть использована для сбора и публикации деклараций совершенно законным способом. Это — задача, которую теперь должно выполнить НАПК».
nv.ua/...trproduktiven-198276.html

Mykola Hudkovych IT Analyst в EPAM 18.08.2016 13:42

другими надежными экспертами

Найемом, Лещенко, Соболевым-Зиминым, Шабуниным и Надей Савченко :)

undefined pointer 18.08.2016 13:59

не знал.

в этой теме кроме крышевателей в местном отделении ПР ООН звучали еще PricewaterhouseCoopers.

а оказывается ЕС ссылается на эксперта «Надю Савченко»

хотя... помню как всякие PricewaterhouseCoopers набирали местных мальчиков и девочек в бизнес-аналитики.
и эти мальчики и девочки ходили по заводам-фабрикам показывая диаграммы и презентации по реорганизации производсв. по расценкам ессно «PricewaterhouseCoopers »
и обычно почему-то папы-мамы у этих мальчиков и девочек оказывались совсем не простые.
но они очень талантливые были. нередко 2, 3 курс — и уже аналитик, красным директорам рассказывая как надо.

видать в местном отделении ПР ООН тоже «хорошо знающие местную специфику» местные аборигены в экспертах — молодые да дерзкие :)

а может те самые выросшие уже мальчики и девочки?

Mykola Hudkovych IT Analyst в EPAM 18.08.2016 14:05

Это я шучу. Но реально хотелось бы знать, кто эти надёжные эксперты, и что именно они заключили в своём заключении. Не говоря о том, что ПРООН не может рассматриваться как надёжный источник, поскольку ПРООН здесь заангажирована и вынуждена отстаивать правильность своих действий.

undefined pointer 18.08.2016 14:17

да, белый человек продавший бусы за золото — всегда останется белым :(

... как тот фотограф, что попросил за 5 баксов дикую девушку эфиопку попозировать — а когда дело дошло до расчета — зажал эти 5 баксов.
белый цивилизованный человек, ему можно «африканцев» взувать. особенно если нанять других «африканцев» — так он вообще ни при чем. белый и пушистый.

меня все годы «умиляет» эта «искренняя» наивность чиновников ЕС, МФВов — дают деньги на благо, а потом — ой, а вы ими неправильно распоряжаетесь.у вас вообще коррупция! нате вот еще денех. в долг ессно. опять профукали? ну вот еще вам.

эх, «горе побежденным»
чого бидный? бо дурный. а дурный чого? бо бидный.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 15:33

Я уже раз 10 во всех местах (и здесь тоже) спрашивал — кто эксперты, покажите SOC от PwC.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 10:54

Зато письма с прода идут через сервера Миранды. А может и не только письма. Чуваки, вам самим еще не страшно? На вас же таких собак счас можно навесить. Просто после поверхностного осмотра пациента. А что будет когда залезут в бекэнд?

Sergey Shtefan Senior PHP Developer 18.08.2016 12:13

Как бы так помягче: дураки обычно ничего не боятся

Sergiy Fakas Information Security Officer в Oro 18.08.2016 11:37

Ну т.е. на локалхост Sendmail поднять это подвиг меценатсва? Ну тут то не надо людей обманывать, все прекрасно знают что SMTP сервер это не железяка.

Mykola Hudkovych IT Analyst в EPAM 18.08.2016 12:15

Чтобы не забывали.

Alex Shevelo senior python developer – SoftServe 18.08.2016 11:17

Зливайте js з «закритої» частини:) Всім цікаво як там? придумали вже як показувати шо телефон про валідовано чи нє

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 11:20

велкам сюди, ми розважаємося www.facebook.com/nelliza111

Ivana Ivanova 18.08.2016 03:59

Коментар порушує правила спільноти і видалений модераторами.

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 01:29

Хто ще не невеселився? Читайте оце
www.ua.undp.org/...on-system-undp-statement
Based on the successful test results and clarification of all legal safeguards the software package was officially handed over to the NACP on 27 July 2016. UNDP presented the system to the Prime Minister and other Cabinet members and NACP reconfirmed the commitment to launch it on 15 August 2016. As of today, the electronic asset declaration system, a state-of-the-art advanced tool for ensuring integrity in the public service, is ready for launch from the technical point of view.
STATE OF ART
Отут скріншот з того арту CONTACTS MAYBE HERE www.facebook.com/...1453676828&type=3&theater

Александр Бобров 18.08.2016 02:11

Представляете какая ситуация, а нету пока у НАЗК контактов. Даже почтового сервера нету.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 02:27

Судя по появившимся тут представителям Миранды у них тоже постовика нету. Как и SSL сертификата. деццкий сад...

Александр Бобров 18.08.2016 02:35

А ну ка просвети, зачем сайту-визитке SSL? Модно?

Sergiy Fakas Information Security Officer в Oro 18.08.2016 02:37

Что бы понимать что сайт этот именно той фирмы. Кот-я занимается разработкой безопасных систем.

Александр Бобров 18.08.2016 02:47

Странно, а чего на сайте фирмы quickblox.com в которой ты работаешь (судя по профилю) нет SSL?
Значит ты не занимаешься разработкой безопасных систем?
Так чего спеца тогда из себя строишь?
Вопросы выше простая логика

Sergiy Fakas Information Security Officer в Oro 18.08.2016 02:52

Ну начнем с того что вроде как я с Вами свиней не пас, правда?
Во вторых — да, QiuckBlox не занимается разработкой столь конфиденциальных систем. Но SSL версия сайта есть quickblox.com — так что Вы господин соврамши. Что впрочем ожидаемо и объяснимо.
Ну и конечно же моя компания не выигрывает закрытые тендеры ПРООН, так что обсуждать ее не вижу смысла.
Но да, в отличие от Вас и очевидно Ваших коллег я свое место работы и должность идентифицирую. Мне за них не стыдно.
На одном из преведущих мест работы — в компании TOA Technologies (теперь часть Oracle) я занимался в т.ч. и инфобезопасностью и compliance и активно участвовал в сертификации компании по стандартам SSAE16 и ISO27001. Что опять таки легко и просто проверяется по моему профилю в Линкедин.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 03:00

Охеренные чуваки... В браузере не умеют набрать HTTPS.

Artyom Krivokrisenko 18.08.2016 03:03

Сделать редирект с http на https религия не позволяет?

Sergiy Fakas Information Security Officer в Oro 18.08.2016 03:06

Лехко. Но зачем? Когда нибудь сделаем — вот как раз некритично. Но смысла обсуждать это не вижу. А вот за хамский переход на личности и тупость вашей компашке уже аграмадный минус.

Artyom Krivokrisenko 18.08.2016 03:13

Но зачем?

Вопрос риторический или вы серьезно интересуетесь?

А вот за хамский переход на личности и тупость вашей компашке уже аграмадный минус.

Ты такой злой потому что ешь мясо

PS К миранде не имею отношения, но если вижу что кто-то в интернете не прав — ткну носом в говно, где бы он не работал, привыкайте.

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 16:14

Так может, прежде чем обвинять, следует поставить себя на чужое место? Для одних не критично сделать редирект, для других — необходимости SSL на сайте-визитке нет.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 16:17

Вы путаете обязательный редирект и просто наличие сертификата SSL по которому можно идентифицировать владельца сайта. Никто не может с уверенностью сказать что от то что лежит на miranda.net.ua принадлежит именно обсуждаемой компании.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 17:04

Ха-ха! Наличие сертификата подтверждает лишь то, что хост с IP-адресом «54.83.18.136» соответствует домену «quickblox.com». А владельца подтверждает whois, да и то, только в случае, если информация о владельце не скрыта.

Ничто не запрещает мне зарегистрировать похожее имя, например, quickbloks.com, навесить на него сертификат и переманивать туда клиентов. Никто оригинал от подделки не отличит.

Странно, что глава IT отдела этого не знает.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 17:05

Садись 2. Я даже не буду это обсуждать. Лучше молчать чем херню писать.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 17:15

У вас есть последний шанс. В каком месте сертификата название вашей компании? И каким образом КОМОДО, выдавшая этот сертификат, знает, что это действительно ваша компания, а не мошенник?

scontent-fra3-1.xx.fbcdn.net/...f2a6c1ca8ba0c&oe=5848FF97

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 19:52

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 20:20

Почитайте en.wikipedia.org/...ain-validated_certificate

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 20:21

Вы правы, есть Organization Validation (OV) and Extended Validation (EV) сертификаты. Но у вас не такой. А пояснить свою позицию можно и без истерик.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 20:30

О! Отвечаю только за вот эту фразу

Вы правы

Нам и не нужен на данной стадии развития нашей компании сертификат с OV/EV. Как и безусловный редирект на HTTPS. Мы не занимаемся грантами ПРООН. И у нас куча информации о нас на сайте. И не только.
На этом предлагаю закончить обсуждение QuickBlox как не имеющее отношение к теме и возникшей просто потому что в отличие от своих оппонентов я не стыжусь своего места работы и указываю его в профиле.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 21:20

А вот это не прокомментируете?

просто наличие сертификата SSL по которому можно идентифицировать владельца сайта.

Вы ж за это мне 2 поставили?

Sergiy Fakas Information Security Officer в Oro 18.08.2016 21:26

Нет. За это

Ха-ха! Наличие сертификата подтверждает лишь то, что хост с IP-адресом «54.83.18.136» соответствует домену «quickblox.com». А владельца подтверждает whois, да и то, только в случае, если информация о владельце не скрыта.

и за хамство

Странно, что глава IT отдела этого не знает.

Как Вы же справедливо указали сертификат может содержать информацию о владельце —

Organization Validation (OV) and Extended Validation (EV)

.
Засим дискуссию считаю зарытой и ни сайт QuickBlox, ни семантическое значение утверждения «можно идентифицировать владельца», ни особенности whois и информации кот-ю он выдает в наших условиях не буду.
Sincerely yours и прочее и прочее...

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 21:37

Всегда приятно, когда оба участника дискуссии признают свои ошибки. Сорри за переход на личности.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 21:40

Спасибо. Приятно удивлен. Респект!
Меня тоже уж тогда за резкость извините.

Vanya Yani

Ivana Ivanova 18.08.2016 00:36

Как человек который там работал, могу рассказать, то что я знаю. Оговорюсь я сожалею что там работал. Миранда — типичный деребан государственных денег, по ихнему сайту все сразу становиться ясно miranda.net.ua. Они действительно нанимают студентов, основной штат там и есть студенты за зп. от 2000 (на пол ставки) до 6000 грн. в зависимости от того кто сколько попросит. Само-собой зарплата в конвертах и неофициальное трудоустройство, что позволило этим пи7орам кинуть меня на последнюю зп.. Ихними проектами так же являются — tender.me.gov.ua и сайт субсидий. Что у них с качеством кода? Все очень и очень плачевно, вот представьте себе что-бы индусы писали читабельный код, примерно тоже. Тесты, какие тесты их попросту нет, как они проходят сертификации я хз.

Ievgen Safronenko Senior Software Engineer в zooplus 18.08.2016 09:10

как они проходят сертификации я хз.

вы же сами ответили

Миранда — типичный деребан государственных денег

Ivana Ivanova

undefined pointer 17.08.2016 23:58

Оно конечно не очень правильно постить с фейсбука. Но вот свеженькое на тему типичности тендера.

Виталий Манко
Я вважаю — це великий успіх, коли софтверна фірма, про яку гугл не знав нічого, окрім того, що вона:
— програла тендер на оснащення кабінету математики в Мукачевській РДА bit.ly/2bHYylp
— має доісторичний примітивний сайт miranda.net.ua рівня початкової шкільної підготовки;
— директор якої відчуває складність при розробці елементарного інтернет-магазину bit.ly/2bjcGfM
— при цьому заявляє, що на ринку понад 20 років,
..., блискавично перемагає софтверні відомі компанії у тендерах на розробку системи «Реєстр територіальної громади міста Києва», виставивши пропозицію у півтори рази дорожчу за мінімальну, подану від підрядника НАБУ bit.ly/2byL5Jb.

І це ще не все! Ця фірма, яка належить і керується тим самим профі (див. його карколомну історію успіху вище) знову ж виграє тендер на розробку системи електронного декларування для НАЗК! В результаті вся країна стала на межі зриву безвізового режиму при витратах у півтора мільони гривень.

Це ж геніально! лише за місяць про цю сіру компанію дізнається ГУГЛ і всі журналісти! Піар 80-го левела, за який сплачено з державного бюджету, тобто кожним з нас.

А ви, наївні, кажете, що не може бути успіху в країні, проти якої здійснюється ворожа агресія. І ще смієтеся, коли вам кидають в обличчя твердження, що торгівля автозапчастинами не суміщається з криптографічними алгоритмами.

Ще й як суміщається. Ось доказ. Додаю з відкритого державного реєстру КВЕДи цієї спеціалізованої софтверної кампанії.
Код КВЕД 45.31 Оптова торгівля деталями та приладдям для автотранспортних засобів;
Код КВЕД 46.11 Діяльність посередників у торгівлі сільськогосподарською сировиною, живими тваринами, текстильною сировиною та напівфабрикатами;
Код КВЕД 46.51 Оптова торгівля комп’ютерами, периферійним устаткованням і програмним забезпеченням;
Код КВЕД 85.60 Допоміжна діяльність у сфері освіти;
Код КВЕД 46.90 Неспеціалізована оптова торгівля;
Код КВЕД 62.01 Комп’ютерне програмування (основний);
Код КВЕД 62.03 Діяльність із керування комп’ютерним устаткованням;
Код КВЕД 63.11 Оброблення даних, розміщення інформації на веб-вузлах і пов’язана з ними діяльність;
Код КВЕД 66.12 Посередництво за договорами по цінних паперах або товарах;
Код КВЕД 72.19 Дослідження й експериментальні розробки у сфері інших природничих і технічних наук

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 00:08

Це ще не все.
Дата державної реєстрації: 26.03.1993
Дата запису: 16.09.2005
Номер запису: 1 341 120 0000 000142
НОВІКОВ ЮРІЙ ЛЕОНІДОВИЧ — керівник з 28.01.2015
КІНЦЕВИЙ БЕНЕФІЦІАРНИЙ ВЛАСНИК (КОНТРОЛЕР) — НОВІКОВ ЮРІЙ ЛЕОНІДОВИЧ, 01133, М.КИЇВ, БУЛЬВАР ЛЕСІ УКРАЇНКИ, БУДИНОК 16- А, КВАРТИРА 12.
один засновник. один бенефіціар.
виграє тендер на такі ключові роботи

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 00:08

статутний капітал 16500.00 гр

anonymous 19.08.2016 14:00

Ну и что?

Ігор Пересада 18.08.2016 10:05

Дата запису: 16.09.2005
Номер запису: 1 341 120 0000 000142

дата внесення до ЄДР запису про реєстраційну дію «Включення відомостей про юридичну особу» , код реєстраційної дії «120» це 5-7 цифри у номері запису.

Ievgen Safronenko Senior Software Engineer в zooplus 18.08.2016 00:24

Северный пушной зверь обретает форму(((

Mykola Kulieshov 18.08.2016 02:08

)Сергію, знову деза...
1 У котрий раз: з якого «сплачено з державного бюджету»?
Система була розроблена за кошти ООН та подарована Україні. Де тут державні кошти?
2 Якщо Ви не змогли знайти інформацію про проекти компанії Міранда, то, напевно, це свідчить про те, що погано шукали або, що така інформація відсутня у вільному доступі в Інтернеті, або ще є декілька варіантів...
3 А стосовно КВЕДів, не секрет, що при реєстрації компанії, як правило вказують усі можливі)) То не ноухау.

George Kashperko 18.08.2016 02:47

Де тут державні кошти?

У меня есть устойчивое подозрение, что госсредства там таки были в качестве оплаты НАЗК за создание и аттестацию КСЗИ, хоть и, вероятно, не большие. Это могло бы объяснить также этюд с фальстартом ТОВ “Криптософт”.
Иначе я не совсем понимаю как юридически было оформлено взаимодействие НАЗК, Миранды и Госспецсвязи — неким четырёхсторонним договором совместно с ПРООН ?
Впрочем, я свечей не держал и даже мимо не проходил, так что это моя ничем не подтвержденная спекуляция.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 03:03

Сплачено не за програмний комплекс а за піар. бо так — всі заяви Президенат, СНБО и т.д. це таки за бюджетний кошт.

Mykola Kulieshov 18.08.2016 09:01

ПРООН оплатила створення Системи. І то зовсім не бюджетні кошти.
Щодо заяв Президента та СНБО, не дуже розумію, яким чином на Вашу думку до цього причетний розробник ПО... Тим більше що, наприклад, у заявах СНБО відповідальність за зрив запуску системи покладається саме на розробника.
Тобто Міранда виграла тендер за міжнародні кошти, створила Систему, і це все для того, щоб з бюджета профінансували офіційні заяви посадовців про те що розробники не виконали зобов’язання...?)))

undefined pointer 18.08.2016 09:59

Тобто Міранда виграла тендер за міжнародні кошти, створила Систему

грантоїдство — то такий бізнес.

і вже зрозуміло — що міранді капець, це був її останній успіх.

а ви хоч все слово «система» набирайте великими буквами — не допоможе.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 22:17

От як раз проблема в тому що треба піднімати сильний шум щоб «мірандам» і «тендерам проон» настав капець

Ігор Пересада 18.08.2016 10:28

негативний пєар теж пєар, особливо коли «на шару»

Олег Кутов 18.08.2016 14:55

Міранда виграла тендер

лол

Mykola Hudkovych IT Analyst в EPAM 18.08.2016 15:37

Наскільки відомо, Міранду обрав Іван Пресняков, на той момент експерт Центра Протидії Корупції; ви це називаєте «виграла тендер»?

Sergiy Fakas Information Security Officer в Oro 18.08.2016 22:16

Це називається антикорупція!

Mykola Kulieshov 19.08.2016 16:25

У Вас дуже багата уява... А чому не Барак Обама?... або ще хтось...

Sergiy Fakas Information Security Officer в Oro 19.08.2016 16:45

Ну тобто Прєсняков не є програмним менеджером від ПРООН? Чи він не має відношення до ЦПК? Чи він не Прєсняков?

Mykola Kulieshov 19.08.2016 16:53

...Это вот что было? Апельсин оранжевый потому, что он круглый...?

undefined pointer 18.08.2016 09:57

ви ще до оргфографії причепиця :D

головне ви ніяк не спростували, хоча пронумеровали свої дрібні зауваження.

а головне — що ця міранда — шарашкіна контора.

Притяжательное прилагательное “шарашкина” образовалось от диалектного шарань (“шваль, голытьба, жульё”). Выражение “шарашкина контора” или просто “шараша” сначала означало буквально “учреждение, организация жуликов, обманщиков”, а сегодня применяется для обозначения просто несолидной конторы.

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 16:49

«головне — що ті чуваки поганці». ггг
А самі в якій конторі працюєте? У такій поважній, що навіть соромно вказати в профілі?

Головне тут — (не)працююча система запобігання корупції, а не те, що ви тут написали.

Mykola Kulieshov 19.08.2016 16:51

Ооооо, Сергей... Вы судя по-всему эксперт в шарашкиных конторах)
Обоснуйте, или так и будете необоснованными и необъяснимыми заявлениями бросаться.
Впрочем, скорее всего таки будете...)))

undefined pointer 20.08.2016 09:14

Перечитайте тему.
А в программировании я года с 93го.

Так что эксперт, не эксперт, но по косвенным признакам, которые ничего не говорят юному и наивному поколению — много чего увидеть.

А тему перечитайте, раз вы не видите

Mykola Kulieshov 20.08.2016 17:29

Сергей, в своих комментариях Вы обсуждаете темы, НЕ касающиеся Вашей квалификации (т.е програмирования в котором Вы с 93 года), и то, что Вы пишете, показывает, что Вы, в том, что пишете, ничего не понимаете.. Пишите лучше о «говнокоде», это нынче популярная тема...
С другой стороны, темы, затрагиваемые Вами, касаются напрямую моей профессиональной компетенции, и у меня Ваши комментарии, оглашаемые, как мнение «эксперта» вызывают недоумение и отвращение...
Кстати по поводу «юному и наивному поколению» ))) о ком это Вы?
О читателях Ваших комментариев? И снова, к сожалению, я к «юному и наивному поколению» уже не отношусь

undefined pointer 20.08.2016 23:06

О чем и что писать решал и решаю сам

Основной опыт — финансово- экономическое ПО на местном рынке. Поэтому как живет бизнес, что такое государство Украина, и что из себя представляют Миранды — мне вполне хорошо известно. Можно мемуары писать.

Насчет юного и наивного поколения — так в ИТ у нас сложилось. И часто — никакого опыта в местных реалиях, а сразу на западного клиента. И поэтому просто не знают, как вся эта хрень системно делается у нас.

А обсуждение в этой теме прочитайте. Хотя бы для того чтобы увидеть что в технические детали я и не влезал. И даже писал почему.

Ну, и раз не поняли — вы мне никто, и звать вас никак, чтобы меня интересовали ваши оценки. Что на доу, что вообще в интернете всегда были и будут разные оценки. На всех не угодишь.

Но особенно тупы вот такие посты. Где ничего не из того что писал не рассматривается, а дается сразу оценка личности и компетенции. Телепаты, психотерапевты и прочие переходящие на личности сразу — категория самая никчемная, пустопорожняя, потому что даже потролить не за что :D

Mykola Kulieshov 20.08.2016 23:37

Да вот я то как раз и понял во всей мере всю содержательность Ваших постов.
То, что по техчасти — разберутся профильные специалисты, (и я уверен, что они завершат нечатое), а то, что по административке, это ко мне. И мне крайне оскорбительно читать Ваше видение общей ситуации, особенно обвинений в адрес UNDP. Лично я, UNDP

Mykola Kulieshov 20.08.2016 23:47

«Лично я, UNDP».... сори, не дописал и дописывать не буду.
А относительно «Миранды», я весьма сомневаюсь, что Вы видели подобную компанию ранее. Очень вряд ли.

Ievgen Safronenko Senior Software Engineer в zooplus 20.08.2016 23:53

А относительно «Миранды», я весьма сомневаюсь, что Вы видели подобную компанию ранее.

Так может вы скинете сюда профили на линкедыне ваших разработчиков или хотя бы свой? А мы прикинем видели такое или нет?

Mykola Kulieshov 20.08.2016 23:59

А зачем?)))
Нам и так сейчас стрёмно, т.к. угрозы со всех сторон, а работать надо продолжать...

Mykola Kulieshov 21.08.2016 00:01

Люди в погонах и без уже неоднократно анонсировали «проверку» мкомпании...

George Kashperko 21.08.2016 00:04

Рискну предположить, что также заявлялись решалы с предложением все разрулить.

Mykola Kulieshov 21.08.2016 00:07

))) не, не было)))))

George Kashperko 21.08.2016 00:48

Могу лишь искренне пожелать отбиться без потерь. Тем более, что ваши шансы конкретно возросли после невероятного зашквара УСС.
И сделайте верные выводы на будущее.

Mykola Kulieshov 21.08.2016 00:07

Пускай проверяют, нам то что... но информацию о наших сотрудниках мы будем сообщать только с их согласия.

Ievgen Safronenko Senior Software Engineer в zooplus 21.08.2016 00:11

А я вот думаю, что у вас из сотрудников десяток студентов на летней практике, которые работают за пару тысяч гривен, как тут уже писали.

undefined pointer 21.08.2016 09:26

А относительно «Миранды», я весьма сомневаюсь,

По плодам их узна́ете их

ок, поясню юным, сразу начавших свою карьеру с компаний работающих на западного заказчика.

на украинском рынке разработчиков ПО давно сложилось разделение компаний на те что работают в гос секторе, и на те что в коммерческом.

компаний которые сопоставимо успешны и там и там — сходу и не назову, хотя наверняка есть и такие.

по оформлению сайта миранды, даже не читая что там написано — видно что это фирма из тех что работают на гос рынке. потому что — не нуждается в рекламе. иногда у них вообще нет сайтов, знаю и такие.

правило — «реклама двигатель торговли» для коммерческого рынка. на гос рынке — главное «связи».

я не был в тендерной комиссии, и даже шапочно не знаком с теми кто там был, поэтому у меня не может быть никаких других, кроме косвенных признаков.

а они, в совокупности, и на основании моего опыта в украинском айти ничуть не удивляют.

потому что
«это Украина, детка»

Электронное декларирование: скандал в неблагородном семействе

undefined pointer 21.08.2016 08:41

И мне крайне оскорбительно читать Ваше видение общей ситуации

это ваши проблемы, а не мои.

вчера встретил статью где «сведены» мой ход рассуждений и вопросы:

В тендере приняли участие гранды отечественной ИТ-сферы. Упомяну лишь нескольких: «Люкс-софт», «Iqusion», «Интеллект-софт», «IT-эксперт». У всех за плечами успешная разработка сложного защищенного ПО, в том числе, с применением цифровой подписи, в том числе, и для фискальной службы Украины. И, соответственно, бесценный опыт общения с нашими госструктурами, где, как на фронте, месяц можно считать за год.
...
А выиграла на тот момент малоизвестная, а ныне ославившаяся фирма «Миранда». Причем, организаторов конкурса почему-то не смутило, что в ее багаже не было столь масштабных проектов (в Украине, между прочим, 380 тысяч госслужащих).

Характерная деталь: в фирме числилось всего восемь сотрудников, средняя зарплата — менее двух тысяч гривен. Такое может быть, если работники — начинающие дилетанты. Либо, что вероятнее, реальные заплаты выдаются «в конверте».

То есть, программное обеспечение для преодоления коррупции доверили начинающей конторе, которая платит зарплаты по-серому. Типично украинский парадокс!
...
... те, кто блуждал по этим кругам бюрократического ада, знают, что по нормативам сертификация может длиться полгода. Если дорожки уже протоптаны, то вряд ли меньше трех месяцев.
...
Но главное, что разработчики решили (или их убедили?), что с ООН за спиной они теперь круче Стива Джобса и Билла Гейтса на одной флешке. И все кругом им должны.
...
Все говорит о том, что в расчете на западное давление создатели системы решили, что Госспецсвязь в восторге зажмурится и выдаст сертификат соответствия, даже не читая предоставленных бумаг.
...
Месяцев, а не дней, господа руководители «Миранды» и Нацагенства по противодействию коррупции!
...
Все говорит о том, что в расчете на западное давление создатели системы решили, что Госспецсвязь в восторге зажмурится и выдаст сертификат соответствия, даже не читая предоставленных бумаг.
...
Интересно, каким местом думали злосчастная «Миранда» и ее покровители, авантюрно ввязываясь в непосильную тему? А если какой-нибудь международный фонд объявит тендер на марсианскую станцию, они и за это возьмутся?

Ни разу не оправдываю власть, которая с самого начала имитирует борьбу с коррупцией, очищение и обновление страны.

эти же вопросы и рассуждения я и написал
и не увидел ответов «мирандистов».

топить простые и главне вопросы в технических, несущественных деталях, и я умею.

Лично я, UNDP

ну тогда вы быстро могли бы пояснить как шарашкина контора под названием Миранда выиграла тендер у именитых.

но вы, как вижу предпочитаете перейти на личности, и рассказывать какие все невежды. глюпые, и ничего не понимающее в украинском пригосударственном бизнесе.
да, действенный способ, все у вас получится!

еще бы, прокрышевали, а теперь признаваться в этом? причем — если искренне прокрышевали — то получается некомпетенты ни в украинской действительности, ни в айти-сфере
еще и уважения лично себе много приобретете на этом пути! :D

особенно обвинений в адрес UNDP.

уже писал, но так и быть, повторю

если результаты тендера — типичны для украинских тендеров, то неважно какая организация его проводила.

UNDP конечно отмажется. уже писал.

но, если некая птица крякает как утка, плавает как утка, и ходит как утка — то я такую птицу называю — уткой.

вот такое мое видение общей ситуации. вам не нравится что я ее так вижу?
ну так не читайте больше моих постов, делов то :)

Vanya Yani Web Developer в Capgemini Engineering 21.08.2016 19:41

Хвиля — клоака. Почитайте процедуру ООН. Побеждает тот, у кого начальное предложение минимально.

undefined pointer 21.08.2016 20:06

Хвиля — клоака

на каком вы сами то читаете аналитику?

мне и правда интересно, видя ваши посты в этой теме — откуда у вас столь глубокие познания о политико-социально-экономической ситуации в Украине последних, скоро уж, 25 лет.

Почитайте процедуру ООН.

я не планирую становится сотрудником ООН.
мне важнее — результат, а не что там написано.

Побеждает тот, у кого начальное предложение минимально.

в смысле?

Дешева рибка — погана юшка?

ну тогда да, вопрос — почему выбрана Миранда, а не именитые снимается.
и с результатом все тоже тогда закономерно.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 21.08.2016 22:08

на каком вы сами то читаете аналитику?

Я черпаю факты, а не аналитику, из разнообразных источников. Но вот конкретно «Хвыля» не раз была замечена в откровенной дезинформации.

Конкретно эта статья приводит список подававшихся на тендер, но не приводит источник этой информации. Возможно, автор самостоятельно делал запрос? Так пусть опубликует.

я не планирую становится сотрудником ООН.мне важнее — результат, а не что там написано.

Вы ведь спрашивали как «Миранда» выиграла тендер? Ответ находится именно в условиях тендерной процедуры ПРООН. И нигде более. Именно условия определяют победителя любого тендера.

Если вкратце: 1. Участники подают доказательства своей компетентности (предыдущий опыт, сертификация и т.п.) плюс финансовое предложение (в «закрытом конверте»). 2. ПРООН рассматривает заявки, отфильтровывает те, что не доказали свою компетентность. 3. Оставшиеся участники раскрывают финансовое предложение. 4. Победителем объявляется тот, чье предложение дешевле.

undefined pointer 21.08.2016 22:33

Понятно про черпание фактов.
Ожидаемое мнение. Это как обычно — чем меньше человек знает и понимает, тем больше он уверен что черпает голые факты.

Из которого естественно вытекает и остальная наивность.
Например светлая вера что юридические законы, инструкции и физические законы имеют одну природу, и действие их независимо от желаний, целей людей.

Vanya Yani

Blitz Senior .net Developer / Architect 21.08.2016 22:41

А такой нюанс, как время?

Vanya Yani

Sergiy Fakas Information Security Officer в Oro 21.08.2016 22:46

Вот Вам уже не првый раз пишут — сначала разберитесь, а потом пишите.
Страница 37 RFP
Загальна оцінка проводитиметься за методом кумулятивного аналізу, згідно з яким частки технічних і фінансових аспектів у загальній оцінці складатимуть 70% і 30% відповідно.
Найдешевша фінансова пропозиція (з поміж заявок, які набрали прохідний технічний бал) буде обрана в якості відправної
точки і їй буде присуджено максимальну кількість балів за фінансову частину (тобто 300).
Всі інші фінансові пропозиції отримають кількість балів, яка є зворотно пропорційною заявленій ціні; наприклад, 300 балів x найнижчу ціну / ціну, заявлену в пропозиції.
Переможе пропозиція, яка набрала найвищий загальний бал, що визначається за допомогою складання балів, отриманих в результаті технічної і фінансової оцінок відповідно.
procurement-notices.undp.org/...iew_file.cfm?doc_id=65269

Vanya Yani

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 00:13

Ви і цього не знаєте, неук нещасний. так називалися «наукові заклади» в ГУЛАГе. Мій дід банерівець відтарабанив в такому 9 років до 1953. Діти шарикових

undefined pointer 20.08.2016 09:16

I не тiльки iх, дiвчинко
Щодо неук, так. Зазирнув у гугл, та скопiпастив тлумачення з словника

Mykola Kulieshov 20.08.2016 19:49

а ще не зовсім помаранчовий, тому що овальний....

Mykola Kulieshov 20.08.2016 19:14

.......Апельсин помаранчовий, тому, що він круглий....

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 00:31

Для різноманітності напишу серйозну відповідь. Один раз. В шарашках ув’язнені вчені типу робили науку. В умовах, які тільки трохи відрізнялися від суворого режиму. Ну бо розумілі навіть кати, що для науки харчуватися треба не баландой.
І тут якісь уроди найняли дітей, очевидно студентів, дати щочь більше за баланду, зовсім трохи грошей і змусили писати хрень.
Коли буде суд, я подбаю, щоб дітей не судили. Ясно?

Mykola Kulieshov 20.08.2016 19:57

гобліни узяли елфів шоб творити безчинства та якусь там ще магію)))

Mykola Kulieshov 20.08.2016 19:59

Ні дітей елфів не будуть судити... заспокойтеся. А от дітей гоблінів....?

Mykola Kulieshov 20.08.2016 20:01

Ви там як? У своєму розумі?)

Olena Demchenko директор, Corporate HRD в Right People Management, Intecracy Group 18.08.2016 15:31

Допиливать будут за чьи кошты?)

Mykola Kulieshov 19.08.2016 16:42

Так не допиливали бы... Всё уже и так разработано. А если кому то хочется получить доступ к системе и допилить по-своему (или отстранить разработчика, чтобы потом при отсутствии аргументов завалить весь проект), так это не к нам вопросы...

Sergiy Fakas Information Security Officer в Oro 19.08.2016 16:50

Все говорите... А интеграция с другими реестрами?

Mykola Kulieshov 19.08.2016 16:57

Модуль разработан, а интегрироваться можно только после получения аттестата.

Sergiy Fakas Information Security Officer в Oro 19.08.2016 17:05

Ага. ну т.е. там еще повылазит.
Но информация интересная... Т.е. план таки был криво составлен и аттестацию ужно было проводить давным давно.
А я еще думал — кто ж вас без сертификации пустит соединятся с закрытыми системами. А таки, фигу вам умные люди скрутили, респект :).

Mykola Kulieshov 19.08.2016 17:34

Сергей, почитайте нормативку или, по крайней мере, соцсети... там уже давно это всё доступно описано и ,кстати, «умными» людьми не опровергнуто.
А этот Ваш комментарий, вообще, на голову не налазит, каждое заявление показывает, что Вы либо в вопросе не разбирались, либо просто троллите.

Sergiy Fakas Information Security Officer в Oro 19.08.2016 17:40

Ребятки, вы еще тут? Вас уже ломанули а вы еще трепыхаетесь?
Оооххх

Mykola Kulieshov 19.08.2016 17:44

Кого ломанули)))) Систему декларирования нет.
Уже и прокомментировали...)

Olena Demchenko директор, Corporate HRD в Right People Management, Intecracy Group 19.08.2016 16:58

Вы не совсем аргументированно отвечаете :). НЕ допиливать по соображениям безопасности нельзя. Госспецсвязь взялась делать, и ей это будет стоить денег. На ваш коммент могу сказать — так делали бы нормально сразу, не надо было бы допиливать

Mykola Kulieshov 19.08.2016 17:02

) Я достаточно аргументированно отвечаю, по крайней мере не менее аргументированно чем Вы...))
А теперь более аргументированно: у ДССЗЗИ замечаний к коду системы нет. Так и что допиливать они собираются?...

Alex Shevelo senior python developer – SoftServe 19.08.2016 17:14

if (result.status) {
//todo показати, що телефон збережено
} else {

ЭТО и есть

Всё уже и так разработано

Mykola Kulieshov 19.08.2016 17:37

И шо?
Опять популизм.
Ну забыл человек комент удалить... и на что это повлияло? Ни на что и никак...
А, ну конечно! Теперь это можно постить в интернете... Собственно и всё.

Alex Shevelo senior python developer – SoftServe 19.08.2016 17:43

Ок удалим комент за человека

if (result.status) {
} else {

Емм проблемка что получается что хендлер успешного завершения пустой? В 100% готовой системе чо чесна? Я думал что во всех UI там галочка зелёная загорается ну или ещё как то сообщается что всё ок...

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 19:05

Так лучше?

if (!result.status) {

Artyom Krivokrisenko 19.08.2016 22:53

Ну забыл человек комент удалить... и на что это повлияло? Ни на что и никак...

Это ни на что не повлияло, это просто говорит о том, что код фронтенда никто не проверил анализатором, которые на ура находит подобные ошибки.

А на бекенде что? PHP-говняшка? Выложите на гитхаб ради прикола...

Sergiy Fakas Information Security Officer в Oro 19.08.2016 23:02

И через код фронтэнда ее и взломали.

Mykola Kulieshov 20.08.2016 20:04

Серёжа, )))) у твоих коллег не получилось)))) Изымай выводы...

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 23:02

А вы проверяете свой код таким анализатором?

Artyom Krivokrisenko 19.08.2016 23:07

Когда начну разрабатывать государственный портал, на основании данных которого будут сажать людей, обязательно всем здесь сообщу, каким анализатором я свой код проверяю.

Vanya Yani

Nataliya Zubar Chair в Maidan Monitoring Information Center 20.08.2016 00:10

Я відповім. З вас 50 баксів за відповідь

Vanya Yani

Nataliya Zubar Chair в Maidan Monitoring Information Center 17.08.2016 23:24

Анонс наступної серії цього захоплюючого шоу
www.eurointegration.com.ua/news/2016/08/17/7053509

George Kashperko 17.08.2016 23:50

Держспецзв’язку належить усунути недоліки, допущені компанією-розробником програмного забезпечення

Нічосі

undefined pointer 18.08.2016 00:08

Интересно — будут ли искать еще одну шарашкину контору...
Похоже що сильраду все же разбудили?

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 18.08.2016 00:05

Порошенко всё-таки типичный селекторный президент, голова колгоспу, хотя мог бы взглянуть на штатное расписание ДСС и обнаружить, что программеров там нет. Они есть только в лабораториях, которые прошли аккредитацию у ДСС, но это коммерческие структуры.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 01:22

Ну с другой стороны Президент не будет менеджить все это.
CIO нужен.

Vanya Yani Web Developer в Capgemini Engineering 18.08.2016 17:23

У нас уже есть «chief information security officer» — Евдоченко. Смотрите, как это помогло.

Olena Demchenko директор, Corporate HRD в Right People Management, Intecracy Group 19.08.2016 17:00

Он рекрутер или кадровик? Дикое у вас представление об обязанностях президента... у голови сільради більше

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 19.08.2016 17:41

Дикое у вас представление об обязанностях президента

Ну да, ему надо лицом торговать, а то денег нидадуд.

Любой приличный управленец имеет штат помошников и мозг. Штат помощников должен быть рассказать, что так делать нельзя, мозг мог бы поинтересоваться об этом заранее спросив окружающих помощников может ли ДСС решить эту задачу самостоятельно, не привлекая третьи стороны, т.к. вопрос вполне касается гостайны.

Минимальная обязанность президента не пороть лажу публично, пытаясь разрулить проблемы совковыми директивными методами.

Он уже около года назад знатно облажался с таким же поручительством на таможне. Там вообще проблема директивным путём не решается, нужно менять законодательство. Как и в данном случае тоже.

У ребят из ДСС ещё пяток лет назад было валом предложений по реорганизации работы и прочее, но кто их слушает в обычной обстановке. Ну может хоть сейчас на них обратят внимание и их проблемы. Лет 10 назад там вообще был массовый исход людей в коммерческие структуры...

George Kashperko 17.08.2016 21:21

Вернулся я в этот трид потешить свое тщеславие подсчетом лайков под настеленными мной простыням, и что же я вижу — о ужас — вновь Правда В Интернете апасности и кто как не я встанет на её защиту.

Сей псто посвящается адептам теории саботажа Госспецсвязью внедрения антикоррупционного реестра и Кассиопее — моей черной и глупой кошке.

В комментах неоднократно по делу и всуе было упомянуты CSRF, SSL и другие модные и не очень аббревиатуры, успешно защищающие сайты, сайтики и сайтищи по всему миру и точно, наверное, может быть, наверняка внедренные разработчиком Реестра дабы обезопасить творение рук своих от взлома с проникновением и без оного. У новорожденного Реестра есть вот это вот все на днях ещё и многократно усиленное шифровальной машиной, внезапно купленной НАЗК. И ренегатам из Госспецсвязи всего-то оставалось проверить, открывается ли сайт через https:// в IE какой там у них, старичков-дурачков, есть версии, дампануть заголовки на предмет левых хидеров, пейлоады на иньекции, покрутить педали Энигмы и, вуаля — победа, бежим ламинировать Атестат! Но подлые саботажники из Госспецсвязи отказались идти в типографию наотрез и даже навала всех сортов говна в СМИ, сам Президент, Премьер и укоризненно качающий головою Пастор им не помеха.

И вправду, ведь все перечисленные и не очень технологии, приемы и алгоритмы спасут реестр от того, чтобы его поломали любым из следующих перечисленных и ещё 1001 неперечисленных методов, доступных любому мотивированному обывателю:
— снять ключи/явки/пароли с вышедшего из строя диска, выброшенного на помойку
— спиздить в метро рюкзак с ноутбуком админа ради пароля на офисный вайфай или брутфорснуть его, заглянув невзначай в офис «чиста посмортеть»
— развести секретаршу вставить в комп начальника флешку, для смищной 1апрельской шутки, которая установит ему на десктоп фотку Черного властелина, ну и прицепит кейлоггер заодно
— подружиться и свозить админа на шашлыки, а вместо этого устроить ему шантаж, угрозы и сеанс терморектальной криптографии

С выходом на сцену иностранных разведок и отделов по безопасности крупных ФПГ спектр доступных приемов внезапно расширяется в разы, и уже всяческие MITM, −1day эксплоиты, чтение нажатий педалей с эфира и прочие штучки из импортных боевиков вдруг совершенно теряют свой волшебный кинематографический флёр проникая в реальность. Не говоря уж о рутинной для северян пенетрации заборов, понастроенных интелектуалами с учетками на mail.ru, rambler, вкантактике и одноглазиках.

Та самая КСЗИ, что притащили на чудесный гибрид экспертизы с атестацией в Госспецсвязь 8 апреля, должна была включать в себя не только упоминание всяких разных там аббревиатур, а подтверждение грамотного их применения/реализации, меры противодействия вот этому вот всему упомянутому мной и нет в комплексе (кроме, пожалуй, защиты педалей) и много чего ещё, включая защиту от стихийных бедствий в виде отпусков ключевых специалистов, проебанных бэкапов, плохих дорог и дураков. То, что подразумевает под Защитой Информации некоторая, надеюсь не слишком многочисленная, часть уважаемой аудитории, есть всего лишь ЗИ, и до КСЗИ ей категорически нехватает К — комплексности и С — Системности.

Позволю себе ещё раз процитировать себя и учебник:
КСЗИ это комплекс организационных и технических мероприятий, обеспечивающий реализацию определенной технологии обработки информации (впрочем, кажыся, там ещё было чё-то про целостный и непрерывную, ну да и фик с ним, зачем же нам усложнять такие простые вещи).

Экспертиза КСЗИ это сложный, многоэтапный, рутинный процесс, а не ветхозаветная формальность. И атестацию проводит комиссия экспертов, а не подмахивает глава Службы или его зам, потому что эксперты они в различных узкопрофильных областях, а не только для количества чтоб размазать ответственность на всех.

Те, кто в условиях тотальной огласки скандала топят, что мол, давайте — подмахните же скорее этот ебучий атестат, а потом разберемся — чутка забывают, что в отличие от госслужащих НАСК или гражданских ПРООН и Миранды, чуваки из Госспецсвязи есть служащие военизированной организации, и чуть что ими займется не ласковый и самый справедливый на печерске Печерский же суд, а военные прокуратура и трибунал.

И не забывайте в конце концов — вы вините электриков за отказ включить рубильник метафорического завода из поста нижее, тогда как исходная проблема старательно взращивалась шабашниками, прорабом и сильрадой.

Sergiy Fakas Information Security Officer в Oro 17.08.2016 22:45

Дико, люто поддерживаю! При чем на самом деле история очень похожа (за сиключением уголовных последствий) с тем с чем сталкивался любой операционщий — жа хер с ним, ставь, потом протестируем. Хрен.

Nataliya Zubar Chair в Maidan Monitoring Information Center 17.08.2016 22:50

Не можу не влізти. В останньому фільмі про Джейсона Борна є прекрасна сцена, коли чувак засовує в комп флешку з жирним написом ENCRYPTED. Я в залі ржала одна.
В мене таке враження, що ми тут дивимося це кіно.

Sergiy Fakas Information Security Officer в Oro 17.08.2016 22:55

Еще один момент против насильной сертификации «сейчас, немедленно и без вопросов». Как известно в системе нет еще 2-х модулей кот-е включаются в себя интерфесы открытые «в мир». Таким образом как я понимаю (и как бы я сделал елси бы отвечал за работу этой системы) после добавления этих модулей сертификацию и аудит безопасности нужно будет делать по новой т.к. изменится существенная часть системы.

Fedor Arch 17.08.2016 23:34

Не надо тут рассказывать ужастики. Есть установленная процедура сертификации, есть формализованные требования к безопасности. И Вы уверены, что о безопасности админа должен думать разработчик софта?
И я с вами согласен насчет важности системности и комплексного подхода. Но бить тревогу нужно было когда согласовывались сроки экспертизы. А не выдумывать отписки, с серьезными последствиями.

Sergiy Fakas Information Security Officer в Oro 17.08.2016 23:40

Ээээ... А загляните хотя бы в ISO 27001. Стандарты безопасности они даже больше о процессах и управлении рисками чем об уязвимостях и тестировании.

Fedor

George Kashperko 17.08.2016 23:56

Не ходите в ISO 27001
Сходите в методичку по разработке моделей угроз и нарушителя.
И это, на объектах с грамотно построенной КСЗИ админов не похищают, так как
1. Физический доступ к телу быстро ничего полезного не даст
1. Это не пройдет незамеченным

Fedor

Sergiy Fakas Information Security Officer в Oro 18.08.2016 00:32

Но background check при найме делают.
Я собственна не про противодействие терморектальному криптоанализу а про то, что молодые люди глубоко ошибаются если думают что инфобезщопасность это только про уязвимости.

George Kashperko 18.08.2016 01:18

Ни в коей мере не имел в виду, что ваша отсылка к ISO невалидна.
Просто в этом треде и так уже наплодилось новых сущностей, чтоб уводить его ещё дальше от непосредственного предмета обсуждения.

Fedor Arch 18.08.2016 01:46

Мы сейчас говорим о разных вещах. Хотя это моя вина, я не ясно выразился.
1. Для разработчика софта это не профильные задачи. У нас для этого есть СБ, которые прописывают мероприятия, планы, политику и т.д. Так же как и строительную часть выполняют субподрядчики. Или Вы считаете, что программист должен описывать контрольно пропускную систему? Абсолютно логично, что на этом ресурсе люди будут в первую очередь обсуждать как раз уязвимости, масштабируемость и т.д. а не работу «детективной группы» режимного объекта. Но безусловно в рабочем проекте КСЗИ все это должно присутствовать.
2. В контексте ветки. На данный момент нет информации, что указанные части проекта не были выполнены или выполнены не качественно. Результаты экспертизы откровенная мягко говоря слабоваты. Хотя если учесть, что у них было менее 4 дней то и не удивительно. Но они обещали, они сделали. Остальное: международные скандалы, МВФ, престиж, и т.д. проблемы индейцев, а у нас обед. Типичное поведение гос регулятора.
И, кстати, Вы можете сказать сколько экспертов село в тюрьму именно из-за профдеятельности? Или у нас идеальные КСЗИ? За систему ЗНО кто-то сел? Или там тоже все идеально?

Sergiy Fakas Information Security Officer в Oro 18.08.2016 01:54

По условиям тендера КСЗИ разрабатывает исполнитель. И что бы опять таки было понятно — процессы разработки, тестирования, Change Management и прочие красивые слова из ITIL это тоже часть КСЗИ и их тоже сертифицируют. Это раз.
Два, архитектура ситемы, пректные решения тоже должны соответсвовать требованиям построения КСЗИ. Т.е.(кстати!) создание систем работающих с чуствительными данными этот и сеть тот самый DevOps, а не угрюмый чел строящий CI/CD в углу..
Ну и последнее — как тут уже объясняли неоднократно сертификация это не бумажка. Сертификат это делегирования ответсвенности за то что все хорошо на уполномоченное лицо. Очевидно что лиц желающих сесть из-за того что Миранда сваяла гавняшку и пытается под политических шумок ее втюхать просто нет.

Fedor

Fedor Arch 18.08.2016 03:43

Да разрабатывает исполнитель. Своими силами или отдает на субподряд.
Да КСЗИ это не только код. Да DevOps тоже может быть частью КСЗИ, а может и не быть. Верно?
Да сертификат в теории это делегирование ответственности. В наших реалиях возможны варианты. В том числе коррупционные. Согласны?
Я не сторонник Миранды. Даже более мне кажется странным, что фирма такого уровня выиграла тендер.
Но скажите на основании чего Вы считаете, что «Миранда сваяла гавняшку»?

Sergiy Fakas Information Security Officer в Oro 18.08.2016 08:40

Да вон в этой ветке уже валом. И смешного, и «забыли поменять».

Fedor

Fedor Arch 18.08.2016 14:10

Вот тут полностью согласен. Качество кода во вьюхах, бросает тень вообще на весь проект.
Но почему это делают не равнодушные граждане, а не эксперты?

Sergiy Fakas Information Security Officer в Oro 18.08.2016 15:00

А какие там были эксперты? Судя по всем Госспецсвязь так и написала — говняшка. а нам втюхивают что по политическим причинам отказали.

Fedor

Fedor Arch 18.08.2016 15:35

Зачем гадать? Что ГосСпецСвязь написала есть в этой теме даже.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 15:36

Где? Я что-то пропустил? Я серьезно, не ерничаю.
Потому как пишут что их отчет ДСП и так по закону.

Fedor

Fedor Arch 18.08.2016 16:37

Протокол заседания.
http://195.78.68.84/dstszi/control/uk/publish/article?showHidden=1&art_id=260132&cat_id=240232&ctime=1471365197544

Sergiy Fakas Information Security Officer в Oro 18.08.2016 16:43

Супер! Спасибо!
BankID (о кот-м они орут на каждом углу) получается фигня. Они не описали архитектуру системы и какие компоненты что хранят, механизм идентификации, нет поддрежки IDP кот-я была прописана как обязательная в RFP ПРООН.
Фиг бы кто их сертифицировал где угодно.

Fedor

Fedor Arch 18.08.2016 17:04

Не есть ответ Миранды.
В котором указывают страницы ПЗ где все это описано. Без ПЗ на руках кто прав в этом вопросе точно не скажешь.

коментарі ТОВ «Міранда» на зауваження, які містить проект Протоколу № 1\2016:
Пункт 1 проекту Протоколу: один з описаних у технічному проекті, та реалізований у Системі засіб авторизації, а саме — BankID, на сьогодні не має підтвердження відповідності вимогам ідентифікації та автентифікації в сфері ТЗI. Також представниками ТОВ «Міранда» не надано підтверджуючих документів щодо впровадження відповідної системи НБУ. Крім того невиконано відповідний опис системи у технічному проекті на КСЗI, що не дає можливість провести відповідну перевірку під час проведення експертизи.
Коментар ТОВ «Міранда»:
ТОВ «Міранда» нагадує, що спосіб авторизації BankID був прописаний в Технічному завданні на КСЗІ ІТС «Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави і місцевого самоврядування», яке було погоджене ДССЗЗІ ще 03.08.2016.
Внесення змін у Технічне завдання, затверджене Національним агентством з запобігання корупції та погоджене ДССЗЗІ, має бути ініційоване власником системи — Національним агентством з запобігання корупції, оскільки авторизацію через BankID було затверджено Порядком формування, ведення та оприлюднення (надання) інформації Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави або місцевого самоврядування, який був затверджений Рішенням Національного агентства з питань запобігання корупції від 10.06.2016 № 3, і зареєстрований в Міністерстві юстиції України від 15 липня 2016 р. за № 959/29089.
Пункт 2 проекту Протоколу: не підтверджено майнові права на всі компоненти системи, де обробляються персональні дані, власником або розпорядником системи, який подавав заяву на проведення експертизи КСЗI, що унеможливлює підтвердження конфіденційності інформації та послуги доступності.
Коментар ТОВ «Міранда»:
Питання майнових прав на матеріально-технічне забезпечення системи виходить за межі повноважень ТОВ «Міранда», яка є розробником виключно програмного забезпечення системи.
Згідно з трьохстороннім Актом приймання-передачі № 1 від 27.07.2016 власником програмного забезпечення, розробником якого є ТОВ «Міранда», є Національне агентство з запобігання корупції.
Пункт 3 проекту Протоколу: технічний проект на КСЗI містить недоліки, а саме:
3.1 відсутнє визначення об’єктів, що містять конфіденційну інформацію, та суб’єктів захисту, що отримують до неї доступ. Відповідно, невизначено механізми доступу суб’єктів до об’єктів захисту.
Коментар ТОВ «Міранда»:
Визначення об’єктів, що містять конфіденційну інформацію, приведено у п.2.3 пояснювальної записки до технічного проекту (стор.26-28)
Визначення суб’єктів захисту, що отримують до конфіденційної інформації наведено у п.2.4 пояснювальної записки до технічного проекту (стор.33-37)
3.2 не визначено порядок ідентифікації «незареєстрованого користувача» комплексом захисту інформації;
Коментар ТОВ «Міранда»:
Оскільки «незареєстрований користувач» має чітко обмежений доступ тільки до публічної частини веб-порталу ІТС ЄДРДО на етапі технічного проекту будо прийнято рішення про відсутність потреби в ідентифікації «незареєстрованих користувачів»
3.3. не визначена схема та механізм ідентифікації користувачів;
Коментар ТОВ «Міранда»:
Визначено у п.3.1.1 пояснювальної записки (стор.15-16).
3.4. у документації має бути визначений склад КЗЗ та відповідність цієї інформації технічному завданню;
Коментар ТОВ «Міранда»:
Це технічна описка: у пунктах 2.2.1 та 2.2.2 замість слів «Склад компонентів КСЗІ ІТС ЄДРДО» слід читати «Склад КЗЗ ІТС ЄДРДО».
3.5. для кожної з функціональних послуг безпеки, яка описана
в технічному проекті не визначено суб’єкти, що реалізують цю послугу
та об’єкти захисту;
Коментар ТОВ «Міранда»:
Суб’єкти, які реалізують функціональні послуги безпеки, та об’єкти захисту визначені для всіх функціональних послуг у розділі 3.5 (стор.55-66)
3.6. технічний проект не містить опису механізмів (компонентів програмно-апаратних засобів), що забезпечують реалізацію функціональних послуг безпеки;
Коментар ТОВ «Міранда»:
Опис механізмів, які забезпечують реалізацію функціональних послуг безпеки, визначено у додатку № 1 до пояснювальної записки «Налаштування компонентів ІТС» (стор.71-576).
3.7. тільки 4 з 26 програмних засобів, які реалізують функції безпеки, мають відповідні експертні висновки;
Коментар ТОВ «Міранда»:
Згідно п.21 Постанови КМУ № 373 від 29.03.2006 (зі змінами): «У разі використання засобів захисту інформації, які не мають підтвердження відповідності на момент проектування системи захисту, відповідне оцінювання проводиться під час державної експертизи системи захисту». Отже, експертне оцінювання зазначених програмних засобів, знаходиться у компетенції ДССЗЗІ.
3.8 програмний продукт не містить засобів інтеграції з зовнішніми IТС, у той час як цей функціонал заявлений у технічному завданні.
Коментар ТОВ «Міранда»:
Після затвердження Технічного завдання на побудову КСЗІ Національне агентство з запобігання корупції не забезпечило організацію інформаційної взаємодії з жодним з зовнішніх IТС, що унеможливлює включення засобів інтеграції до складу КСЗІ.
Зважаючи на вищевикладені коментарі, ТОВ «Міранда» звертає увагу на відсутність зауважень до програмного забезпечення та інформаційно-телекомунікаційної системи Єдиного державного реєстру декларацій в цілому.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 17:08

По IDP бред сивой кобылы —

не забезпечило організацію інформаційної взаємодії з жодним з зовнішніх IТС

Пересылка писем через девелоперский сервак, ссылки на siteheart внутри кода, все что УЖЕ нарыли говорит о том, что ДССЗЗІ правы.

Fedor

Fedor Arch 18.08.2016 17:19

Речь шла о интеграции с минюстовским реестром и фискалами по ТЗ. Где возникли бюрократические сложности.
Вот такое письмо Миранда предоставила
www.facebook.com/...1066464109&type=3&theater

Sergiy Fakas Information Security Officer в Oro 18.08.2016 17:21

Стоп. И при чем тут реестры к IDP? И не поздновато ли они кинулись?

Fedor

Fedor Arch 18.08.2016 17:32

если Вы о пункте 3,8 то речь там идет о интеграции с реестрами.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 17:38

Я об стрfнице 24 RFP
Повинна бути забезпечена можливість використання зовнішніх стандартних бібліотек для обробки ЕЦП та/або альтернативних інструментів автентифікації. Має бути також передбачена можливість використання зовнішньої служби автентифікації за умови її сертифікації та відповідності
викладеним вище вимогам.
Но все равно — письмо датировано серединой июля хотя проект должен был завершится 30 июня (стр. 13).

Fedor

Fedor Arch 18.08.2016 17:56

В контексте замечаний и странице 24. Речь идет о БанкИД. Замечание по п.1
Процитированный Вами пункт 3.8

не забезпечило організацію інформаційної взаємодії з жодним з зовнішніх IТС

Это о «Інтеграція із зовнішніми реєстрами»
стр 29

Sergiy Fakas Information Security Officer в Oro 18.08.2016 20:04

ОК. Повторюсь — система должна была быть сдана еще 30 июня. Письмо запрос датировано 4 июля. Студенческая отмазка...
Ну и еще один аспект (я уже понял что для Вас это все бисер, тут уже и явно группа видна товарищей в полосатых купальниках но другие почитают). К какому enmvironment хотели подключать свой dev environment? Если к проду то понятно что никто не пустит — из двух случаев аналогичного соединения тестовой ситемы с продом были серьезные проблемы. ОК, даже если допустимо к проду — системы к кот-м нужно подключаться являются закрытыми? Как тогда оценивать риски от такого подключения опять таки не законченной и не сертифицированной системы?

Fedor

Fedor Arch 18.08.2016 23:12

Эм)) Интересно чем я заслужил намеки на «свинство».
Я ведь вам даже не оппонировал. Максимум исправлял если были фактологические ошибки и то даже без собственных оценок.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 23:29

ОК, тогда лично Вам — извините. Злой просто... Тут вон еще наезды на меня были. Так что мож под раздачу невинно попали. Сорри.

Fedor

George Kashperko 18.08.2016 17:48

1. Для разработчика софта это не профильные задачи. У нас для этого есть СБ, которые прописывают мероприятия, планы, политику и т.д. Так же как и строительную часть выполняют субподрядчики. Или Вы считаете, что программист должен описывать контрольно пропускную систему?

Вы почти правы, построение системы безопасности совместное дело СЗИ, сторонних экспертов и программистов, а не самоцель и уж, конечно, не профильная сфера компетенции последних.

Абсолютно логично, что на этом ресурсе люди будут в первую очередь обсуждать как раз уязвимости, масштабируемость и т.д. а не работу «детективной группы» режимного объекта. Но безусловно в рабочем проекте КСЗИ все это должно присутствовать.

Псто имени Кассиопеи — следствие создавшегося у меня впечатления (вполне допускаю, что ложного), что для части комментаторов, и значит и изрядного массива возбужденных драмой зрителей — это абсолютно неочевидно.

2. В контексте ветки. На данный момент нет информации, что указанные части проекта не были выполнены или выполнены не качественно. Результаты экспертизы откровенная мягко говоря слабоваты.

Уточните, пожалуйста, мы сейчас о каких частях проекта говорим — ПО задач 1, 2 и 3 Реестра или КСЗИ ?
Если КСЗИ, то с моей субъективной точки зрения в создавшейся со 2 августа реальности пытаться саботировать своевременный запуск проекта для любого руководителя или эксперта из Госспецсвязи стало чрезвычайно опасно. То, что они до сих пор не посыпались и стоят стройными рядами с каменными лицами на своем и никто не включился в борьбу вентиляторов даже анонимно — опосредованное свидетельство уверенности людей, закаленных в многолетних аппаратных боях за лаштунками, в невероятной крепости своей позиции.

Хотя если учесть, что у них было менее 4 дней то и не удивительно. Но они обещали, они сделали. Остальное: международные скандалы, МВФ, престиж, и т.д. проблемы индейцев, а у нас обед. Типичное поведение гос регулятора.

Вся интрига в том, что, как я на 99.(9)% уверен, ГЦ Киберзащиты и Госспецсвязь при всем их желании физически не смогли бы за отпущенных им 4 дня жизни накропать что-либо даже отдаленно похожее на экспертизу. И если бы это было плодами их творчества — «топили» бы их не смищьными отсылками на додатки, в содержании которых — сюрприз-сюрприз — Миранда разбирается лучше, чем эксперт который их, типо, написал. Наконец, отсутствие упоминаний о ГЦ Киберзащиты в обвинительном контексте (везде акцент на том что это всего-лишь аватар Госспецсвязи) косвенно подтверждает, что 12 августа была дана оценка отнюдь не их творчеству, а тому, что было напилено ранее ТОВ «Криптософт». Если принять это мое смелое предположение на веру, то схема с участием последнего весьма мутная и самурайский бросок ГЦ Киберзащиты под набирающий пары поезд на самом деле мог быть вовсе и не покушением на давным давно распиленное, а отчаянной попыткой Госспецсвязи исправить, как мы уже знаем, непоправимое. И последовавший в итоге отказ в атестации был констатацией того, что налепленное карго-КСЗИ таковым казалось только издали.

И, кстати, Вы можете сказать сколько экспертов село в тюрьму именно из-за профдеятельности? Или у нас идеальные КСЗИ? За систему ЗНО кто-то сел? Или там тоже все идеально?

К счастью, не обладаю подобной информацией, многия знания — многия печали. Хотя это одна из побудительных причин, почему мне вдруг захотелось увидеть — что там под начинающим таять снегом.

Fedor

Fedor Arch 18.08.2016 23:42

Спасибо Ваши комментарии очень информативны.

«топили» бы их не смищьными отсылками на додатки

Вот это лично меня и смутило. Я правда сделал другие выводы из этого. Но Ваша точка зрения особенно в контексте последующих действий «первых лиц» более правдоподобна.

Алексей Адамов 20.08.2016 17:10

Ну давайте не путать праведное с грешным. Если клиентский комп чиновника по самое не-балуйся в вирусах с порно сайтов, и его личный акаунт ломанули, ключ свистнули — то это его проблема. А задача сервера — это обеспечить чтобы в таком случае не ломанули сам сервер, не ломанули остальные аккаунты, и похищенная с клиента информация а) не была критичной б) была восстановимой-верифицируемой на сервере ну и так далее.

George Kashperko 20.08.2016 17:30

Правильно ли я понял, что вы готовы поставить скажем, свою квартиру и/или 3-5 лет свободы, на то, что публично-доступный программно-аппаратный комплекс Реестра с программной частью уровня

Алексей Адамов

George Kashperko 20.08.2016 17:32

Правильно ли я понял, что вы готовы поставить скажем, свою квартиру и/или 3-5 лет свободы, на то, что публично-доступный программно-аппаратный комплекс Реестра с программной частью уровня гарантий Г2 не имеет намеренных либо случайных брешей ?

George Kashperko 20.08.2016 17:31

Правильно ли я понял, что вы готовы поставить скажем, свою квартиру и/или 3-5 лет свободы, на то, что публично-доступный программно-аппаратный комплекс Реестра с программной частью уровня гарантий Г2 не имеет намеренных либо случайных брешей ?

Алексей Адамов

Максим Бублик 20.08.2016 18:03

Теперь, когда за его доведение взялась госконтора, я бы уже точно не надеялся.

George Kashperko 20.08.2016 18:23

Тоесть доведение не требуется ?

Максим Бублик 20.08.2016 19:48

Не вникая в технические детали, нельзя не заметить, что государство сменило свою роль в этой истории, взяло все в свои руки. Діяло в цьому напрямку, як то кажуть, послідовно і наполегливо. Кому это выгодно? Точно не мне, как простому налогоплательщику.

George Kashperko 20.08.2016 20:02

Вы вновь уходите от прямого ответа на, как мне кажется, простой вопрос. Для устранения разночтений — речь идет о той версии или тэге, если предпочитаете, что была подана на экспертизу и аттестацию 8 августа.
Вы лично готовы поставить свою квартиру и/или 3-5 лет свободы на то, что публично-доступный программно-аппаратный комплекс Реестра с программной частью уровня гарантий Г2 не имеет намеренных либо случайных брешей ?

Максим Бублик 20.08.2016 20:49

Ээ, это вы не мне вопрос задавали, так что я от него не ухожу. :)
Как по мне, то почему бы чиновнику не уберечься от подставы таким простым способом, как публикация своей декларации в фейсбуке или на другой открытой площадке? Или почему бы системе не отправлять чиновнику некий протокол с подписью: декларация принята и сохранена в следующем виде, — пусть чиновник хранит для подстраховки у себя и спит спокойно. Или сделать механизм, который позволит чиновнику сравнивать некую контрольную сумму по декларации — и чуть что поменялось сразу заяву в прокуратуру. Короче, почему бы не подумать не только о невзламываемости системы, а о том, чтобы лишить взлом смысла?

А прямой ответ следующий: лучше судебное розбирательство по взлому сыроватой системы от 8 августа, чем постоянно быть на крючке у какой-либо госконторы и группы влияния внутри госаппарата после «доработки» как венца всей многоходовки.

George Kashperko 20.08.2016 21:51

Максим, прошу прощения за то, что безосновательно донимал вас, теряю фокус.
И благодарю за ответ.

via eeas.europa.eu/...ws/2016/2016_08_17_en.htm

Taras Boiko Senior SWE в Facebook 17.08.2016 18:47

Claims that technical deficiencies are behind the failed issuance of a timely certificate are in contrast to public statements by the UNDP and other reliable experts

Sergiy Fakas Information Security Officer в Oro 17.08.2016 19:03

by the UNDP and other reliable experts — очень классный и наждежный стейтмент. Ох...

Taras Boiko

Nataliya Zubar Chair в Maidan Monitoring Information Center 17.08.2016 19:11

облаавшимся рантодавцем і іншими неназваними експертами.... рівнь — плінтус

Sergiy Fakas Information Security Officer в Oro 17.08.2016 16:11

Тут прошла информация что Миранда так же разрабатывала реестр временно перемещенных лиц, так же по тендеру ПРООН и так же зафейлила разработку на полтора года. У кого то есть какая то четкая информация по этому кейсу? Плз.

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 07:41

Читаю комментарии, и становится грустно. Предлагаю не заниматься крючкотворством, а мыслить шире. Кто в этой ситуации является инноватором, инициатором изменений? Государственная служба или ООО «Миранда» с донорами и общественными организациями? Что мы видим? Инновационная система идентификации. Такая есть только у сервисов геокадастра: e.land.gov.ua/auth_select и известного портала igov.org.ua. Публичный API. Очень малое кол-во госсистем может похвастаться этим (пока только Прозорро, НБУ и Казначейство). Single page application — тоже редкость в госсфере.

Да, возможно есть неурегулированные законодательством вопросы, к той же системе идентификации. Но кто должен быть лоббистом в нормативном поле, ООО «Миранда» или ДССЗЗИ?

Если есть уязвимости, почему бы не назвать их типы? Не будет никакого вреда, если назовут скажем «SQL injection», «CSRF», «XSS», «Buffer overflow», «Denial of service», «Improper Data Validation». Здесь нет полезной информации, такие уязвимости закрываются довольно быстро и проверяются специалистом по кибербезопасности в первую очередь. Тем более, если существует единственная копия развернутого приложения. Если бы я считал свою позицию твердой, то на месте ДССЗЗИ я бы был заинтересован в публикации найденных уязвимостей до разворачивания системы. Во-первых, потому что это повысит доверие к службе. Во-вторых, это предотвратит запуск несертифицированной системы с неясным правовым статусом, ибо разработчик будет вынужден согласиться с доводами.

То есть если взглянуть шире, мы видим борьбу инноваций с бюрократией.

George Kashperko 17.08.2016 12:34

Вы анонсируете расширение взгляда на возникшую проблему и тут же переводите фокус на конкретный прикладной аспект потенциальных уязвимостей системы.

А вот вам мой более широкий взгляд на проблему, на примере гипотетического проекта по строительству завода:

Криворукие шабашники за деньги соседа, которыми распоряжался хитрожопый прораб, строили для сильрады современный завод по производству лампочек.
При этом ни голова сильрады, ни самый опытный на селе кузнец на этом строительстве дневать и ночевать не соизволили. По приближению времени Ч по отчету перед соседом об успехах, инспекция сильрады прибыв на стройплощадку ни*** не удивилась отсутствию фундамента и висящей в воздухе крыше, а радостно подписала акты соответствия сего будивныцтва тем пасам руками, которым его живописал прораб перед закладкой строительства. Позвали электриков из ближайшего РЭС скорее включать производство, и тут незадача — электрики узрев сие наотрез отказались включать рубильник.

Очевидно, что первопричиной фейла с выдуманным мною заводом — бездеятельность сильрады. При всей рукожопости шабашников и вороватости прораба наличие должного контроля со стороны сильрады вскрыло бы эти проблемы значительно раньше, а не в момент ганебного триумфа сокрушительного фиаско приехавшего на перерезание ленточки головы облрады. Ведь можно было сменить шабашников, заложить соседу пойманного споличным прораба, ушатать участкового постоянно держать обормотов в тонусе, договориться с электриками о регулярных инспекциях... В конце концов престижа ради иль чтоб не прослыть в очередной раз пиздаболом — за собственные деньги нанять кран и экскаватор для ускорения плотного графика работ.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 13:10

Это не расширение взгляда, это строительная метафора для иллюстрации разработки ПО, которая всегда звучит смешно.

George Kashperko 17.08.2016 13:25

И снова вы сужаете фокус. НАЗК, как государственный институт, не о разработке ПО, а для системной борьбы с коррупцией. ПО Реестра — их основной рабочий инструмент. КСЗИ Реестра — последний бастион перед недружелюбной средой работы сего инструмента. Атестация КСЗИ — дисклеймер Государства о своей полной ответственности за работоспособность и достоверность данных в базах.

Неспособность проконтролировать полноценное и своевременное создание собственного рабочего инструмента, его средств защиты, подтвердить их достоверность говорит о наличии системной проблемы организации работы в НАЗК и ставит вопрос о способности его системно же бороться с коррупцией.

Vanya Yani

undefined pointer 17.08.2016 14:28

это та же метафора о которой я написал ранее, и которую вы очень дивно поняли:
где был смотрящий(решатель вопросов, куратор, продакт овнер, ..., ...,), почему не назначили?

но вы и строительную метафору не поняли?

ну вот другая, с описанием перспектив от
Yuriy Romanenko
Не сыр, но скорбь, или Как мыши справедливость искали и огорчили Маниту

Жила-была грантоедская мышь. Она думала, что мир — это сыр, который появляется из ниоткуда и если регулярно чистить шубку и правильно пищать о верном движении норы в сторону мышиного рая, то сыра станет еще больше, а нора станет светлее. Шли годы, у мыши появилась седая щетина и дети, а сыра становилось все меньше, как и места в норе. И тогда некоторые мыши решили, что нужно всем честно рассказать о том, сколько сыра у кого на нычках. Но нычки никто показывать не хотел, потому что мыши все время воровали друг у друга сыр, которого становилось все меньше. Мыши помнили, что кто показывал свой сыр, потом становился легкой добычей соплеменников и хищников.

Тогда грантоедская мышь сказала великому сырному Маниту: Великий Маниту, не давай нам сыр, пока в нашей норе не задекларируют нычки, а еще лучше не выпускай нас из норы. Маниту удивился, потому что ему хотя было жалко давать сыр мышам, но ему казалось, что у них остался инстинкт самосохранения и вообще находил их писк забавным. Теперь Маниту подумал, что, действительно, может быть прикольно, если мышам не давать сыр на халяву, а попросить их танцевать кан-кан и всячески увеселять его. К этому никто не был готов в мышиной норе. Никто не хотел работать, но все хотели жрать сыр. Попахивало кризисом доверия. Маниту плакал по ночам, а мыши ипали друг другу мозг и друг друга. Но больше всех страдал кот. Он хотел жрать, но Маниту не хотел, чтобы тот жрал мышей без их согласия, а мыши не могли определиться с сыром и доверием, которое порождало сыр. Великая скорбь охватила всех. Иногда казалось, что солнце не взойдет над горизонтом.

Вот так искаженное восприятие действительности делает всех голодными, а Маниту грустным.

Vanya Yani

Nataliya Zubar Chair в Maidan Monitoring Information Center 17.08.2016 14:35

Вибачте, але це не метафора, а опис того, що відбулося. Розробка такого ПО в наших умовах мало чим від будівлі відрізняється. І в цьому процесі власне програмування — це один і навіть не головний елемент.

Vanya Yani

Mykhailo Dorokhin Engineer в ING 17.08.2016 05:08

У можно где-то познакомиться со списком недостатков?
А то, знаете ли, позиция

Руководство НАЗК признало, что качество программного обеспечения таково, что систему может взломать любой среднестатистический хакер

так себе.

Nataliya Zubar Chair в Maidan Monitoring Information Center 17.08.2016 14:45

Я всім давно раджу повторити мій шлях. Зарегтеся в системі і самі подивіться. Питання відпадуть, якщо ви програмер

Igor Masternoy 17.08.2016 15:21

Ссыль есть?

Nataliya Zubar Chair в Maidan Monitoring Information Center 17.08.2016 15:25

Нема. Top secret.
portal.nazk.gov.ua

Igor Masternoy

Mykhailo Dorokhin Engineer в ING 17.08.2016 19:10

И что я там увижу? Как

среднестатистический хакер

взламывает данную систему? Я, как

програмер

вам кучу недостатков и для сайта ДОУ с Фейсбуком найду, но это не отменяет того факта, что ПО отличное.

Также история обрела довольно широкий резонанс, и, снова таки, позиция

Зарегтеся в системі і самі подивіться. Питання відпадуть, якщо ви програмер

так себе. Во-первых, не надо опускать не-"програмеров“, во-вторых, подавайте конкретную информацию, это в ваших же интересах.

Хочется увидеть в официальном заявление что-то типа:
“Данная система имеет ряд критических уязвимостей, таких как: тыц, тыц и тыц.”

Nataliya Zubar Chair в Maidan Monitoring Information Center 17.08.2016 19:15

Чево????? Я вам що бета-тестером найнялася? Особливо гарно щось про опускание не програмеров читати на програмерському сайті....
Знайшли кого на понт брати....

Mykhailo Dorokhin Engineer в ING 17.08.2016 19:36

Тогда нечего здесь распространять очередную «зраду»

Nataliya Zubar Chair в Maidan Monitoring Information Center 17.08.2016 19:37

Правда? Ніззя? Зраду можна розпускати тільки спеціально визначеним особам? Як отримати допуск?

Mykhailo Dorokhin Engineer в ING 17.08.2016 19:40

Включить моск и подавать только объективную и проверенную информацию

Nataliya Zubar Chair в Maidan Monitoring Information Center 17.08.2016 19:42

Звісно, я така дура, що полізла в середину, зареєструвалася і спробувала користуватися системою. А ви з вмикнутим мозком — не можете.

Mykhailo Dorokhin Engineer в ING 17.08.2016 19:52

Ну так предоставьте объективную инфу — список с увиденными недостатками.

Nataliya Zubar Chair в Maidan Monitoring Information Center 17.08.2016 19:53

Нащо? Ви що самі туди влізти не можете?

Mykhailo Dorokhin Engineer в ING 17.08.2016 20:15

Влезть могу, но по внешнему виду подтвердить или опровергнуть, что

что качество программного обеспечения таково, что систему может взломать любой среднестатистический хакер

нет.
Раз вы уж так рьяно поддерживаете данную персону, в тексте которой лишь журналистская вода, то делаю вывод, что вы владеете более конкретной информацией. О чем прошу поделиться.

Александр Бобров 18.08.2016 02:20

Да не будет от нее ничего. Обычная истеричка, выезжающая на громких заголовках.

Oleg Korol POWER Ops, again 16.08.2016 22:59

к слову, в госструктурах любое нововведение (новый программный продукт) всегда идет по подобному сценарию
и в финале — либо умирает, либо шурупы таки забивают гвоздями

Taras Boiko Senior SWE в Facebook 17.08.2016 11:31

github.com/openprocurement — але то швидше виняток

Oleg Korol

Y P nikto 17.08.2016 12:43

это неправда.

Oleg Korol

George Kashperko 16.08.2016 21:26

Как оказалось, антология зрады с Реестром в моей ранней телеге оказалась распедаленной не полностью, и оставшиеся белые пятна продолжают бередить умы твёрдо знающих что следует делать, но всё ещё не решивших с кем.
Определенно, кто-то же должен быть колесован и усажен на кол за дурно пахнущее коричневое пятно на белоснежном белье репутации Государства. Но кто же этот счастливчик ?

Разберем, упущенные мной ранее аргументы сторон.

Учитывая самоотверженные усилия, предпринятые для перевода всех стрелок на себя, предоставим первое слово разрабам.

Q: Госспецсвязь засекретила претензии, исправить замечания невозможно.
A: У “Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію” zakon5.rada.gov.ua/laws/show/1893-98-п на сей счет совершенно другое мнение — желающие в этом убедиться читают п. 37. Также, при должном подходе, п. 39 той же инструкции не возбранял разрабам даже обзавестись собственной копией, хотя это и заняло бы некоторое время.

Q: Госспесцсвязь могла бы и выдать уже этот атестат чтобы все успокоились.
A: Могла бы и может быть даже и выдала бы, если б со 2го августа не начались жырные набросы на вентилятор отдельными лицами от НАСК и Миранды. Как только сие стало достянием гласности, и уже тем более с момента захвата инициативы с позволения сказать “прессой” и вовлечения в набросы фамилий Порошенко, Турчинова и Гройсмана, постановка вопроса о возбуждении шумного и очень криминального дела стала неизбежной.
В таких условиях, чтобы не стать крайним, люди с наличием хотя бы зачатков интелекта и чувства самосохранения постарались бы затаиться, не делать резких телодвижений и педантично следовали бы нормам законодательства. С этой точки зрения формализм Госспецсвязи и стоическое спокойствие НАЗК удивления не вызывает. И то, что комиссия экспертов Госспецсвязи в условиях давления со стороны НАЗК, разрабов, пристального внимания политикума, отечественной и зарубежной общественности отказала в атестации — значит, что с переданными им на атестацию материалами все было очень и очень печально, и тихой заменой отдельных листов в коробках отделаться было уже невозможно.

Теперь один из аргументов Госспецсвязи.

Q: Программное обеспечение реализовано не полностью.
A: Благодаря творчеству Сергея Сидоренко из УП достоянием гласности стали некоторые документы, согласно которых поставленных задач было таки не 3, а 5, из коих последние 2 должны были быть завершены и сданы ПРООН не позднее 30 июля. При этом фамилия 4й задачи — “Розробка приватного API, перевірка підсистеми (модуль верифікації), інтеграція з зовнішніми реєстрами”.
Юрий Новиков из Миранды топит за то, что невозможность включиться в другие реестры — исключительная вина НАЗК, в оправдание чего даже опубликовал в своем fb письмо от НАЗК www.facebook.com/....119534.1066464109&type=3.
Окей, давайте из названия 4й задачи вычтем интеграцию с внешними реестрами. Остались “Розробка приватного API, перевірка підсистеми (модуль верифікації)” — и где же они ?

Ну и, наконец, НАЗК.

Q: Национальным агенством разработаны утверждены все решения, необходимые для запуска системы электронного декларирования.
A: Статья 8 Закона Украины “Про захист інформації в інформаційно-телекомунікаційних системах” zakon3.rada.gov.ua/laws/show/80/94-вр с удивлением смотрит на статью 11.

С момента начала раскручивания скандала всё указывало на патологическую некомпетентность кого-то из НАЗК, ответственного за внедрение Реестра. Однако, ценой неимоверных усилий, блоггеры из Миранды переключили таки весь фокус внимания на себя. В качестве целиком заслуженного ими приза вангую показательную порку и мучительную смерть этого некогда одного из старейших предприятий отечественной ~~порно~~ ИТ индустрии.

Максим Бублик 16.08.2016 23:13

С момента начала раскручивания скандала всё указывало ...

Можно узнать, что рассматривается моментом начала и что именно указывало? Потому как утром 11-го Президент назвал две причины: “недосконалість відповідного закону та очевидна сирість програмного софт-забезпечення” и ни слова про НАЗК.

George Kashperko 17.08.2016 00:29

Можно узнать, что рассматривается моментом начала ...

Стартом скандала стало заседание в НАЗК 2 августа. Практически сразу включились вентиляторы и конфликт стал публичным. Формальная причина — отказ Госспецсвязи в согласовании ТОВ “Криптософт” в качестве эксперта в виду наличия конфликта интересов.

... и что именно указывало

Отечественное законодательство в сфере защиты информации однозначно определяет ведущую роль владельца системы в обеспечении защиты информации — статья 9 Закона Украины “Про захист інформації в інформаційно-телекомунікаційних системах” zakon5.rada.gov.ua/laws/show/80/94-вр. Ситуация с подачей на согласование в качестве эксперта для оценивания КСЗИ в Госспецсвязь лицензиата, её же создававшего — абсолютно нелепа и, с моей субъективной точки зрения, не может быть объяснена ничем, кроме как скудоумием либо некомпетентностью того, кто к ней привел. Поскольку ответственным за организацию всех работ по созданию КСЗИ Реестра согласно законодательства является НАЗК, то этот кто-то из числа её сотрудников. Подозревать же в скудоумии стражей законности в сфере коррупции мне категорически не хочется.

Потому как утром 11-го Президент назвал две причины: “недосконалість відповідного закону та очевидна сирість програмного софт-забезпечення” и ни слова про НАЗК.

Не имею чести читать аналитические справки, подаваемые Президенту, посему не считаю себя в праве комментировать его заявления, насколько бы далёкими от моего восприятия реальности они бы небыли.

Максим Бублик 17.08.2016 09:07

Надеюсь, вы понимаете, что у нас мало кто знает эту 9-ю статью, но уже 11-го безаппеляционно было указано на виновных. Президентская обойма политологов, журналистов и прочих потом творчески разовьет и разнесет эту мысль. Поэтому не очень понятен ваш выпад в сторону мирандовских блогеров.

George Kashperko 17.08.2016 12:07

Надеюсь, вы понимаете, что у нас мало кто знает эту 9-ю статью

Вы очень правильно подметили, что у нас вот этой вот статьёй 9 в частности, и законодательством в целом интересуется мало кто.
Что, собственно и стало одной из первопричин возникновения сабжа.
Вот скажите, Максим, а какая вообще была необходимость создавать КСЗИ, если с ваших слов о статье 9 Закона Украины “Про захист інформації в інформаційно-телекомунікаційних системах” могли и не знать?

Максим Бублик 17.08.2016 12:51

Честно говоря, я не знаю, что такое КСЗИ, и вопрос мне не понятен. :) Меня во всей этой истории интересует весьма узкий сектор: поведение нашего IT-сообщества и Миранды, как его части. Президент на всю страну, если не мир, сказал, по сути, что наши программисты — рукожопы. Многие айтишники подхватили: да!, мы(они) рукожопы, даже еще не видя кода. Вы добавили новой краски: не только руки, но и язык айтишников — враг их, мол, сами «переключили таки весь фокус внимания на себя». Вот я и интересуюсь тем, что позволило сделать такой вывод. И можно ли было влиять на фокус, когда Президенту с его медиа-ресурсом уже было «очевидно»? :)

George Kashperko 17.08.2016 13:11

Президент на всю страну, если не мир, сказал, по сути, что наши программисты — рукожопы.

По моему скромному мнению, произошедшее — результат совместного творчества Миранды, ПРООН и НАЗК, причем основным «художником» тут, к сожалению, оказался последний.

Для понимания этого не нужно быть узкопрофильным специалистом в сфере программирования, безопасности, либо юриспруденции. Для простоты, парой комментариев выше, все происходившее с внедрением Реестра с декабря по август мною расписано на аналогии с гипотетической стройкой завода по производству лампочек.

И можно ли было влиять на фокус, когда Президенту с его медиа-ресурсом уже было «очевидно»? :)

Участники этого банкета могли втихую пролонгировать создание КСЗИ, в частном порядке поставить в известность о происходящем КМУ, общественности же объявить о перемоге и запуске Реестра в невероятно непродолжительную, очень пробную, почти промышленную эксплуатацию. На вопросы общественности о том, почему же она почти промышленная и насколько непродолжительная — привычно пиздеть, что так и было задумано и TestLab2 совместно с PWS, ООН, Госдепом и марсианами рекомендовали сделать именно так, да и вообще, типо, все же так делают.
Вместо этого, на публике начало появляться грязное белье и «журналисты» ожидаемо стали накидывать на него дерьмо из собственной задницы.
Так что да, как мне видится, даже плотно загнав себя в эту жопу ПРООН, НАЗК и Миранда ещё могли хотя бы попытаться выбраться оттуда почти не попачкавшись.
Увы.

George Kashperko 17.08.2016 13:16

Честно говоря, я не знаю, что такое КСЗИ, и вопрос мне не понятен.

Необходимость строить КСЗИ продиктована исключительно и только статьей 9 данного ЗУ. Нет статьи 9 (либо не знаем что она существует) — не строим КСЗИ. И вообще, вам не кажется, что апелляция к незнанию законодательства госслужащими звучит несколько странно ?

Максим Бублик 17.08.2016 13:42

Я имел в виду незнание узкопрофильного законодательства обществом, которому адресовал посыл Президент. Оно само не разберется в тонкостях. И кто тогда в глазах общества будет виновником, например, доллара по 30 осенью?

George Kashperko 17.08.2016 14:09

Виновником будет тот, кого назначат. В меню для выбора жертв на заклание Богу Реестров высветились ПРООН, НАЗК, Госспецсвязь и Миранда.
Первых бить себе дороже — тут же распедалят в СМИ зраду пуще прежнего.
Из оставшихся: государственный институт, государственный институт и частная контора. Мне кажется очевидным, что приз зрительских симпатий будет торжественно вручен государством частной конторе.
Куда интересней и важней, решения которые, надеюсь, будут непублично приняты по результатам расследования агенства по госслужбе.

Sergo Ordgonikidze 21.08.2016 02:57

Чем эти самые решения Вам интересны? Ну уволят (переведут директором бани) втихую глупца в НАЗК, которому в уши нажужжали «да формальность вся эта лабуда с сертификацией, не обращай внимания, кнопочки главное чтобы были красивые». Ну перекроют неформально Миранде доступ к новым заказам на госсистемы — потому что очевидно уже для любого чиновника, что в рулящих там засели просто откровенные глупцы, которые даже бумажками качественно закрывать свою пятую точку не умеют (не говоря уже про неумение «всё за ночь исправить»). Вот и все решения...

George Kashperko 21.08.2016 16:14

Я все ещё тешу себя надеждой, что разберутся как следуют и накажут не кого попало.

Sergo Ordgonikidze

Yuriy Nesteryuk freelancer 17.08.2016 20:46

Ситуация с подачей на согласование в качестве эксперта для оценивания КСЗИ в Госспецсвязь лицензиата, её же создававшего — абсолютно нелепа и, с моей субъективной точки зрения, не может быть объяснена ничем, кроме как скудоумием либо некомпетентностью того, кто к ней привел.

А откуда сведения, что именно Криптософт разрабатывал эту КСЗИ? Что-то я не смог нагуглить ничего кроме ничем не подкрепленных вбросов от ДССЗЗИ. А с другой стороны (от ПРОООН) нашел только инфу, что Криптософт был заменен по настоятельному требованию ДССЗЗИ с аргументацией типа «пусть этим госпредприятие занимается» — goo.gl/rmEH7a

George Kashperko 17.08.2016 21:13

Не вижу причин, почему бы НАЗК согласилась с ничем не подкрепленным вбросом от ДССЗЗИ.
Поскольку же НАЗК согласилась, то, полагаю он таки был чем-то таки существенно подкреплен.

Yuriy Nesteryuk freelancer 17.08.2016 21:38

Я мог бы принять эту логику, если бы все это происходило, например, в Эстонии.
Хорошо помню эпопею с выборами членов и главы НАЗК, туда протянули своих людей, независимые активисты остались в меньшинстве.
Поэтому во всем этом процессе наблюдается системный саботаж со стороны власти, а сопуствующая мишура в СМИ с перекидыванием горящих каштанов суть дымовая завеса. Т.е. НАЗК и ДССЗЗИ (с вовлечением частников — давно прикормленных пильщиков бюджетных денег) совместными усилиями выполняют заказ власти. Эта лапша может и прошла бы лохторату, но западные доноры смеются с этой местечковой простоты и уже прямым текстом указывают на недопустимость попыток наипалова и имитации реформ.

Sergo Ordgonikidze 21.08.2016 03:05

С трудом слежу за логикой в Вашем посте. Сильно похоже на лебединую песню среднестатистического зрадофила «а вот травинка качнулась, это означает, что пеця всё украл». Т.е. на откровенный бред.

Фактом пока что является только одно: вполне конкретная Миранда не создала КСЗИ на систему. От слова «вообще».

Yuriy Novikov 17.08.2016 21:45

Чушь! Скандал начал разносится 3-го августа, когда я никого не трогая сидел себе в ДЦКЗ с экспертами, узнал про 60%(что бред) и про то, что я в локальном мире ДССЗЗИ в чем то виноват. До 13 утра, никакого конфликта в прессе не было, посмотрите хронику событий и не вытягивайте из пальца.

George Kashperko 17.08.2016 21:50

Вынужден попросить вас, уважемый Юрий, взять свои слова обратно
www.facebook.com/...8/posts/10208922397031624
www.facebook.com/...8/posts/10208924563525785

Yuriy Novikov 17.08.2016 21:53

готов обсудить. заявления в Интерфаксе не очень корелируют с соц сетью это раз. Ну и поведение когда вместо частной компании, неважно какой, компания государственная ставит прямого подчинения компанию — тоже нехорошо. А что такое пресса мы уже хорошо знаем за последние 5 дней?
Все еще настаиваете что бы я взял слова обратно?

Yuriy Nesteryuk freelancer 17.08.2016 22:14

Юрий, скажите, Криптософт участвовал в разработке КСЗИ реестра или любой другой части? существует ли какая-либо связь между Криптософт и Миранда?

Yuriy Novikov 17.08.2016 23:02

Миранда в предыдущих проектах задействовала компетенции сотрудников Криптософт. Покупала те же сертификаты криптосервера. Но это разные юр лица, работающие к тому же в разных сферах.

Yuriy Nesteryuk freelancer 17.08.2016 23:07

И еще всех интересует вопрос — почему так затянули с атестацией КСЗИ? Чья в этом вина, с вашей точки зрения? Ваша компания разве не имела опыта общения с ДССЗЗИ по предыдущим проектам?

Yuriy Novikov 17.08.2016 23:29

Согласно графику, которое утвердила та же ДССЗЗИ с НАЗК. До последнего хотели успеть по реестрам, потом отменили по «организационным причинам»

George Kashperko 17.08.2016 22:49

готов обсудить. заявления в Интерфаксе не очень корелируют с соц сетью это раз.

На счет Интерфакса вы правы — он опубликовал это 3 августа ua.interfax.com.ua/news/general/361780.html. Но вот скажите на милость, откуда бы вести о заседании в НАЗК взялись в Интерфаксе 3го, если бы в том числе вашими стараниями их не начали разгонять 2го ?

Ну и поведение когда вместо частной компании, неважно какой, компания государственная ставит прямого подчинения компанию — тоже нехорошо.

О причинах сего у меня есть мысли, и, вероятно, я ими ещё поделюсь с завсегдатаями этого тредика, если им будет интересно.

А что такое пресса мы уже хорошо знаем за последние 5 дней?

Так все-таки пресса или соц сеть ? Я, право, запутался в ваших показаниях.

Все еще настаиваете что бы я взял слова обратно?

Да, именно так.

Yuriy Novikov 17.08.2016 23:05

все таки я не понял как заявление в соц сети о явном лоббировании подчиненной структуры может быть использовано для обвинений в интерфаксе. Вы думаете это сопоставимо. Скажем вы мне скажете что то неприятное, а я по поводу этого оболью Вам грязью по телевизору?

George Kashperko 17.08.2016 23:21

В ответ на мое утверждение

Стартом скандала стало заседание в НАЗК 2 августа. Практически сразу включились вентиляторы и конфликт стал публичным. Формальная причина — отказ Госспецсвязи в согласовании ТОВ «Криптософт» в качестве эксперта в виду наличия конфликта интересов.

Вы заявили

Чушь! Скандал начал разносится 3-го августа

В какой части моего утверждения я был не прав ?
Заседания в НАЗК 2 августа небыло ?
Практически сразу по его завершению вопросы обсуждавшиеся на нем и принятые решения не стали публичными ?
Решение о замене эксперта КСЗИ не сопровождалось скандалом ?

Yuriy Novikov 17.08.2016 23:32

ок, при неучете степени да.
меня тогда начали мучить сомнения о том что хотят сделать учитывая затягивание с експертом

George Kashperko 17.08.2016 23:59

В таком случае, если аргументированных возражений против моей формулировки нет, я повторно прошу вас дезавуировать ваше заявление.

Yuriy Novikov 18.08.2016 10:00

не вопрос. По первопричине
хотя суждение об адекватности ответов все же оставлю за собой.

Sergiy Fakas Information Security Officer в Oro 17.08.2016 23:06

Так же было бы интересно посмотреть на результаты аудита от PwC они то наверно не ДСП?

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 01:05

-

Mike Stefanskiy 16.08.2016 13:57

Техзавдання на шедевр — procurement-notices.undp.org/...iew_file.cfm?doc_id=65269

Команда проекту має складатися з проектного керівника і мінімум 4 ІТ спеціалістів. Члени команди мають буду спеціалістами у наступних напрямах:
— Фронтенд девелопер з досвідом адаптивної верстки, сучасних JS фрейморків, протокол REST
фронтенд оптимізація дії, мікроформати.
— Бекенд девелопер з досвідом відкритого вихідного коду пошуку, баз даних орієнтованих на
документ, TDD, АРІ
— UI/UX інженер
— Системний архітектор
— QA інженер
— DevOps інженер \ DB адміністратор
— Технічний письменник

Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 17:25

особливо порадував відкритий код пошуку :)
точно писали умови під розробника

Mike Stefanskiy 16.08.2016 18:53

а чому б ком’юніті не зробити нормальний проект? тема дійсно важлива, допускати до цього «проффесіоналів» не спортивно. Зробити і запустити. В нас ІТ — третя по обсягу надходжень валюти галузь економіки, а систему елктронного декларування нам робить невідомо хто

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 01:23

На DOU про це мовчать. Дуже рідко тут з’являється якийсь креатив, пов’язаний із беспосередньою професійною діяльністю. Зарплатня, умови праці, політика, «трактор» — це залюбки. А розробка ПЗ — то не цікаво.

Nataliya Zubar Chair в Maidan Monitoring Information Center 17.08.2016 11:18

Вам відомо про випадки, коли державні структури приймали код, розроблений волонтерами? Мені ні. Я в громадському секорі 15+ років і що ми тільки не пропонували. Останнє, що ми намагалися просунути — систему веріфікації електронних петицій. ще при Ющенку. Досі не реалізував ніхто. Ви всі самі можете бачити якісь тих петицій, які кіт Мурчик підписати може.
Що головне вскрив цей скандал в черговий раз — державні замовлення досі робляться через жопу. І будуть робитися якийсь час ще.

Александр Бобров 17.08.2016 11:21

Потому как вы слабо представляете себе работу с гос.органами. Там любая мелочь, может быть камнем преткновения не решаемая годами. А во-вторых, вы лично готовы написать тонну документации, на первый взгляд, абсолютно не нужной, но вся она должна быть оформлена по гостам. Причем, как уже тут замечали, некоторые госты еще родом из советского прошлого.

Nataliya Zubar Chair в Maidan Monitoring Information Center 17.08.2016 11:27

От іменно. В нас три роки тому був досвід з одним госорганом. 10 місяців узгоджуали якусь термінальну хрень, зробити прототип, заплатили навіть гроші і .... хлабись, в них зміниилося підпорядкування і проект взагалі закрили. Ніхто нічого так і не зробив.
Пару міясців тому — з’являється хтось, проснись нас обокрали, а у вас код не зберігся раптом? А то я новий сисадмін. Ну зберігся, ну прислали, далі супер питання — а що таке mysql?
Занавес.

Sergey Chetverikov 18.08.2016 16:54

Така система прийняття рішень, є системою «захисту від дурня»... Не забувайте що в гос службі працюють люди з дуже низькою кваліфікацією... Така «й*бнута» система прийняття рішень, дозволяє при низько кваліфікованому персоналі видавати рішення прийнятною якістю... Тому і потрібен роздутий штат, з морем «змарнованого» паперу...

Mykhailo Dorokhin Engineer в ING 17.08.2016 12:15

Все мы писали дипломы.

Sergiy Fakas Information Security Officer в Oro 17.08.2016 23:28

Хм. Тільки помітив що РМа там як раз і не має...

Dmytro Sharadkin IT & DS Specialist 18.08.2016 12:21

Команда проекту має складатися з проектного керівника і мінімум 4 ІТ спеціалістів

Мабуть «проектний керівник» == PM

Олег Кутов 16.08.2016 12:47

почему тендера не было на prozorro.gov.ua?

Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 12:49

Тому що це не державна закупівля, а грант ПРООН. Непрозорий. Результатів не оприлюднено. Десь нижче я ставила лінк

Sergiy Fakas Information Security Officer в Oro 16.08.2016 17:28

А може треба якось вийти на грантодавців і довести до них цю ситуацію?

Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 17:36

Ага, щас. Читай www.ua.undp.org/...on-system-undp-statement
Там десь в мене в коментах Люда детально про те пояснювала, що таке ПРООН

Sergiy Fakas Information Security Officer в Oro 16.08.2016 17:41

Цей вихлоп від Івана Прєснякова я бачив. Ну що ще може написати програмний менеджер проекту який у глибокому фейлі? А його боси? Грантодавці?

Halya Kokhan 16.08.2016 17:35

Не грант, а відкритий тендер за процедурами ПРООН. на той момент prozorro.gov.ua не було. І ПРООН проводить завжди закупівлі за власними правилами закупівель, якими керуються всі офіси ПРООН по всьому світі. Всіх учаників тендеру повідомили про результати письмово, згідно наших правил.http://procurement-notices.undp.org/view_notice.cfm?notice_id=25621

Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 17:38

А оприлюднити переможця і умови хоч ЗАРАЗ можна?

Halya Kokhan

Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 17:39

І чому резальтати одних тендерів оприлюднені на сайті (будівництво і медицина, в сновному), а цього — ні?

Halya Kokhan

Nataliya Zubar Chair в Maidan Monitoring Information Center 17.08.2016 11:28

І тішина, і мьортвие з косами....

07.09.2015 От стартапа до реформы: как создавалась система госзакупок ProZorro

Halya Kokhan

undefined pointer 16.08.2016 13:24

Sociopath Natural 18.08.2016 15:51

Давно хотел спросить, а как понять на этом прозоро что вот тут скажем продали/купили prozorro.gov.ua/...r/UA-2016-07-06-000624-c ?

Dmytro Sharadkin IT & DS Specialist 16.08.2016 12:08

Понятно, что мы тут судим о проблеме с технической точки зрения.
Но есть и другая, юридическая сторона.
Вот мнение Замглавы Окружного Суда Киева
www.segodnya.ua/...eklarirovanii-743200.html
Основной посыл.
«Отсутствие сертификата Госспецсвязи может привести только к сбору дополнительных доказательств, например, назначения, проведения и получения экспертиз по вопросу о несанкционированном вмешательстве на сайт, сервер и пр. После получения заключения эксперта об отсутствии вмешательства принимается законное решение по делу.
Говорить о том, что отсутствие сертификата делает декларирование нелегитимными — юридически безграмотно.»
Другими словами, если кто-то будет говорить «мою декларацию несанкционировано изменили» — проводится экспертиза, которая показывает было или нет сделано изменение, и если она показывает, что такового не было — вопрос решается однозначно не в пользу истца.
А вот это уже интеерсно:
«Наличие или отсутствие сертификата НАПК влияет только на квалификацию действий должностных лиц Агентства, которые приняли решение запустить систему без сертификата Госспецсвязи ». Ну в общем, как следовало. Именно НАПК и его должностные лица и виноваты в неполучении сертификата. Поэтому они, и связанные с ними лица, так и возбудились.

undefined pointer 16.08.2016 12:38

Другими словами, если кто-то будет говорить «мою декларацию несанкционировано изменили» — проводится экспертиза

что на деле приведет к тысячам а то и десяткам тысяч экспертиз и последующих судебных разбирательств.

то есть теоретически да — "

говорить что отсутствие сертификата делает декларирование нелегитимными — юридически безграмотно

"

а практически — судебная система, даже если б сама не была коррумпированной — просто не справится с массой таких дел.

а так и сами судьи должны декларировать...

Dmytro Sharadkin IT & DS Specialist 16.08.2016 12:49

Может я неправильно понимаю, но даже наличие сертификата не говорит о том, что в случае заявления «мою декларацию подделали» экспертизу проводить не надо.
Сертификат — это просто подтверждение, что НА СЕГОДНЯ государство считает, что при разработке ПО не было допущено промахов по защите. Завтра появляются новые методы взлома и сертификат уже ничего не гарантирует.
Понятно, что даже такую сертификацию провести за пять дней нельзя, а передача системы для сертификации не равнозначна передаче системы для АВТОМАТИЧЕСКОГО получения сертификата. Вопрос — кто виноват, что ДСЗЗИ получил систему только 10.08? Понятно, что не Миранда. Остается один крайний — НАПК.
Или я ошибаюсь?

undefined pointer 16.08.2016 13:01

Может я неправильно понимаю, но даже наличие сертификата не говорит о том, что в случае заявления «мою декларацию подделали» экспертизу проводить не надо.

я тоже не спец. поэтому могу только по простому рассуждать.

но как слышал простое объяснение:
— если вас поймают пьяным за рулем, и зафиксируют это НЕсертефицированным прибором, то в суде вы спокойно докажете что были трезвым.

Сертификат — это просто подтверждение

не совсем. обычный сертификат да.
сертификат государственного учреждения означает для остальных гос учреждений что это нечто сертифицированное является частью кучи законов, частью их реализации.

Завтра появляются новые методы взлома и сертификат уже ничего не гарантирует.

гос сертификат предусматривает другой уровень ответственности декларанта.

Понятно, что не Миранда.

мне ничуть это не понятно.

мне видится что она такой же игрок в этой схеме срыва эл- декрларирования как и остальные.

ниже писал почему — фирма с 93го живет с гос заказов, и не умеет «общаться» с гос учерждениями? не в курсе правил бюрократии? да ну нах! извините :)

Остается один крайний — НАПК.

на шахматной доске нет крайних. есть те которых снимут доски раньше, есть те что позже.
а игра — одна и та же. даже цвет фигур не важен.

если начало было типичным — такой важный тендер выиграла типичная для гос тендеров «тихая» фирмочка, то дальше можно и не читать.

но вот вышел шум, пришлось читать.
но ничего нового я пока не прочел.

начиная с тендера все было предопределено. так сказать — «точка бифуркации» для меня там — кто выиграл? ну так чего теперь удивляться :)

а уж какой именно гамбит был разыгран, да, это для ценителей «шахмат».

Sergiy Fakas Information Security Officer в Oro 16.08.2016 16:00

Говорит. Сертификат постоянно подтверждается, в опроснике есть пункты кот-е подтверждают регулярность и управляемость процессов обеспечивающих безопасность.

Sergiy Fakas Information Security Officer в Oro 16.08.2016 16:01

Есть еще одна беда. Вполне может быть что система построена и развернута таким образом что выводов о наличии или отсутствии внешнего вмешательства сделать невозможно.

Если бы блокчейна не существовало, его следовало бы выдумать

undefined pointer 16.08.2016 16:37

вот, вот, хотел тоже об этом написать, что и в других случаях нередко — хакеры умеют чистить логи :)

но думал написать, и раз повод получился — уже есть на слуху технология с качественно другим уровнем защиты — блокчейн!
думаю что не удивлю обычными линками на технические статьи на эту тему.

а вот виртуально знакомый философ интересную выдал

т.е. для таких систем — пора бы начать отказываться от идей «надежных серверов», «сертификатов SSL», и т.п. не, конечно и это останется нужным, но «сердцем» защищенности должен быть блокчейн. а с ним думаю проблема уже у гос структур — стандартов, регламентов то него еще нет, чтобы сертифицировать такую систему.

и тут, даже если Госспецсвязь правы на все 100%, то неправы они потенциально в том, что качественно новую систему защиты — они не смогут просертифицировать.

Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 16:54

Отут ви абсолютно праві. Це все виглядає як кінець 1990х років. А ніяк не 2016

Sergo Ordgonikidze 21.08.2016 03:27

Вы не правы, просертифицировать они могут любую систему защиты. Но не хотят. Именно поэтому до сих пор ДСТУ 4145-2002, ГОСТ 34.310-95, ГОСТ 34.311-95. Ну и вообще «наказ 112»... А когда очень надо, то и обычный ssl/https, как единственные средства защиты гос-информации в проекте, сертифицируют, только стараются явно эти аббревиатуры в документации в названия и содержания не вписывать, а то второй и т.д. разработчик, не дай Боже, возмутится «а зачем повторно полностью экспертировать и сертифицировать, у нас же типовое решение на ssl»....

dou.ua/...orums/topic/18252/#975579

undefined pointer 21.08.2016 08:44

в интернете всегда кто-то неправ.

Sergo Ordgonikidze

Максим Бублик 16.08.2016 17:07

что на деле приведет к тысячам а то и десяткам тысяч экспертиз и последующих судебных разбирательств.

Т.Черновол высказал такое мнение, что данная система — не единственный интсрумент, который будет у НАЗК. Если система даже просто поспособствовала тому, что к декларации чиновника возникли вопросы, то персонажа можно «копать» дальше другими методами и представлять в суд доказательства собранные уже за рамками системы декларирования.

undefined pointer 16.08.2016 17:11

а вообще без е-декларирования нельзя было?

например — собственноручно заполненная бумажная декларация — чем не инструмент?

данная система — не единственный интсрумент,

да.

просто минус один инструмент.

Sergiy Fakas Information Security Officer в Oro 16.08.2016 17:19

Идея электронного декларирования именно в том что бы сразу проверять достоверность декларации с помощью других баз, а не вводить медленно и печально данные в БД для анализа.
И кстати как раз ЭТОТ функционал Миранда сделать еще не успела. Бідосі.

Максим Бублик 16.08.2016 17:29

Бідосі.

Здесь только ленивый не мокал Миранду в ... И что-то ни один не предложил экспертную, консультативную или иного рода помощь. Чем не характеристика IT-сообщества?

Sergiy Fakas Information Security Officer в Oro 16.08.2016 17:34

А они ее искали? Такое впечатление что этот скандал был спланирован и задуман что бы или получить зраду до небес или втюхать багливую донельзя систему.
Мое «экспертное мнение» — есть Папка24 от Привата, есть электронные декларации и кабинет налогоплательщика — можно было использовать их.
Нафига было городить еще один велосипед из говна и палок? Впрочем вопрос явно риторический.

Dmytro Sharadkin IT & DS Specialist 16.08.2016 21:22

Вы представляете себе, какой бы вой поднялся, если бы систему бы сделали на основе решений Привата? Или еще круче — силами команды самого Привата?

Sergiy Fakas Information Security Officer в Oro 16.08.2016 21:24

Ну по крайней мере их бы Плюсы защищали :).
Но кстати BankID это ж приватовский IDP ?

Sergo Ordgonikidze 21.08.2016 03:38

Хм, да вроде начинали продавливать этот самый BankID сугубо через Ощадбанк силами барса. А приват вписался в рамках своей стратегии «хоть намыленным пид*расом, но влезть в любые госITинициативы, а ещё лучше попытаться возглавить». Ну вот как с и-говом, который в некоторых кругах иначе как и-говном не называют.

Sergiy Fakas Information Security Officer в Oro 17.08.2016 00:43

Вот! Я таки был прав — и Приват сделал некриворуко и приватовские СМИ вписались :) economics.unian.ua/...onnoyu-deklaratsieyu.html

Ігор Пересада 22.08.2016 12:18

Перевірив особисто. Наразі не працює

Sergiy Fakas Information Security Officer в Oro 22.08.2016 12:23

Що не працює?

Ігор Пересада

undefined pointer 16.08.2016 17:36

да, давайте еще мучеников за правду с Миранды сделаем :)

и найдем еще одного крайнего — IT-сообщество. вот оказывается кто тоже мерзавцы то, вместе с нехорошими чиновниками :D

Yuriy Novikov 17.08.2016 22:40

Не надо из нас мучеников делать. Но те кто сдают резонансные проекты знают, что в них всегда все под микроскопом и с трудом.
Любые инновации, принимаются со скрипом. Взять тот же банк ID.
Но вот делать главных негодяев не разобравшись — тоже не айс.

Yuriy Novikov 17.08.2016 22:07

Не так все плохо в нашем ИТ сообществе.
Как и в любом, кто то тряпками кидается кто то работает.
Просто люди которые хорошо делают свою работу в ИТ среде, часто сильно непубличны и не шумны. Но их немало.
Уже достаточно много народу обращалось с вопросами что на самом деле происходит, говорили свои комментарии. Предлагали помочь. Пока у нас есть непубличный список по ДСК, который обработали, и обсуждать не можем. Завтра посмотрим какая будет на него реакция.

Максим Бублик 16.08.2016 17:25

собственноручно заполненная бумажная декларация — чем не инструмен

Кажется, «Канцелярская сотня» вбивала сравнительно недавно данные со сканов бумажных деклараций чиновников в базу. Ожидали собрать 20 тыс. экземпляров. Денис Бигус говорил, что 4 тысячи человек в день ищут декларации в этой базе. Совсем другой уровень контроля со стороны неравнодушной части общества.

undefined pointer 16.08.2016 17:42

отсюда мораль — создание системы нужно было поручить не какой-то прикормленной миранде, а Денису Бигусу и «канцелярской сотне».

единственной сложностью бы осталось обязать чиновников вносить хоть какого качества декларации, вместо бумажных. это можно сделать только принятием закона.

но ладно, запустили уже как есть.
будем ждать что оскандаливание неверных деклараций неравнодушной частью общества даст эффект.

ждем конечно реакции Запада. они то как — засчитают или не засчитают выполненным их условие.

Sergiy Fakas Information Security Officer в Oro 16.08.2016 21:26

Проблема в том, что похоже Запад кормят информацией именно те, кто облажал проект и нанял Миранду...

undefined pointer 16.08.2016 22:14

Наверняка.
Но скандал привлек внимание. Думаю что у них есть те что мониторят наши СМИ, и в конце концов, не спеша, они накатают аналитическую записку. Которая медленно пойдет по инстанциям, и все же дойдет до людей принимающих решения

Sergiy Fakas Information Security Officer в Oro 16.08.2016 22:16

А какие наши СМИ написали всю историю? Упячка зафигачила бредятину без подписи.

undefined pointer 16.08.2016 22:44

Ну я не мониторил :) а тем у кого работа такая, думаю будет достаточно для формулирования неудобных вопросов, и описания ожидаемых съездов с них

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 01:47

Украинская правда — единственное издание, которое оперативно публиковало сообщения из фейсбука, официальных сайтов и документы.

Serhiy Kurtenko 16.08.2016 15:38

Если предположить, что действительно защита у системы слабая — то есть объективная угроза последующего взлома хакерами по заданию заинтересованного украинского чиновника, российского майора или с целью вандализма и пиара в прессе.
И технически аспект сразу потянет за собой юредический: «мою декларацию несанкционировано изменили».

Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 11:02

Тут прекрасне
www.rnbo.gov.ua/news/2559.html

Y P nikto 16.08.2016 12:04

доступно и по полочкам. :)

undefined pointer 16.08.2016 12:46

да... в самом начале я, был больше на стороне “сотоварищей по цеху”, против этой гребаной бюрократии.

но чем больше всплывало фактов, тем моя позиция склонялась на сторону ДССЗЗІ.

но главное в этой истории для меня:
1. государства как такового у нас нет. есть автономные гос и не гос структуры, которые не могут согласовано работать без смотрящих
2. почему прекрасно зная это, порошенко, гройсман, или кто там типа отвечает за реформы не поставили на весь срок смотрящего? чтобы он пинал всех участников, устраивал им очные ставки, и т.п.
ну то есть, дипломатичнее — не взяли на личный контроль внедрение эл-декларирования.

вопрос 2 конечно риторический. :) потому что оно им не надо.
а надо, как и в других случаях — провести реформы так, чтобы Запад был удовлетворен, а на деле ничего не изменилось.

сложная задача. но, как видно и по этому случаю — башковитые они, пока справляются :)

Mike Stefanskiy 16.08.2016 19:05

Треба глянути на сам «продукт» щоб зрозуміти ху із ху. я не кажу що ДССЗІ «святі» але продукта дійсно нема. що буде завтра доказом в суді? пояснення директора міранди? який кінцевий результат подання чинушою декларації? електронний документ з ецп чи запис в базі даних? я не бачу в результатах діяльності цієї системи справжньої доказової бази для притягнення до відповідальності чинуш. відіб’ються в суді запросто

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 01:57

Фото- и видеосъемка без ЭЦП работают. Значит ли это, что видео и фото — не доказательства?

Y P nikto 17.08.2016 12:47

почитайте про ЭЦП (и что в первую очередь обеспечивает ЭЦП) хотя-бы в Википедии. Ну, чтоб не это самое. Не писать глупостей потом.

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 14:23

Ага. Ещё скажите, что нельзя будет доказать вину нотариуса, если тот перепишет на себя вашу недвижимость в реестре. Ибо там тоже ЭЦП на запись в БД не накладывается.

Y P

Y P nikto 17.08.2016 15:24

я что-то говорил помимо того, что вам нужно заполнить пробел в своих знаниях о назначении ЭЦП?

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 01:53

государства как такового у нас нет

И это прекрасно.

без смотрящих

Это воровской жаргон. Получается, госструктуры — воры?

Yuriy Novikov 17.08.2016 22:49

вот же ш, поругать оно завсегда можно. только вот в чем вопрос, почему, когда ее тестировали, как стандартным набором тестов так и не очень не было вопросов, а теперь когда вопросы в оформлении, они появились?

Sergiy Fakas Information Security Officer в Oro 17.08.2016 23:31

А можно увидеть протоколі тестирования? Что-то ж открытое должно же быть?

George Kashperko 18.08.2016 01:55

но главное в этой истории для меня:
1. государства как такового у нас нет. есть автономные гос и не гос структуры, которые не могут согласовано работать без смотрящих
2. почему прекрасно зная это, порошенко, гройсман, или кто там типа отвечает за реформы не поставили на весь срок смотрящего? чтобы он пинал всех участников, устраивал им очные ставки, и т.п.

Бесполезно пытаться достичь качества управления количеством. Для некомпетентного смотрящего понадобится отдельный смотрящий. К чему это приводит мы уже имели сомнительное счастье наблюдать.
На каждом слое управления должна быть здоровая межвидовая конкуренция. Добавление в эту схему смотрящих приведет к вырождению соревновательности идей до интриг за право жать педали сидя за рулём, а не стоя рядом с назначенцем без статуса, но правильными номерами телефонов.
Данная ситуация с НАЗК — классическая потеря управления ключевым направлением за которой должен бы последовать анализ причин с последующей заменой несправившихся PM’ов. Я так понимаю именно этим сейчас и занимается агенство по госслужбе.

www.eurointegration.com.ua/...icles/2016/08/14/7053339

Alexander Papuga 16.08.2016 06:59

Гай Пирсон 16.08.2016 09:12

Бред не постите тут!

Alexander Papuga 16.08.2016 11:27

Чушь не порите тут!

Y P nikto 16.08.2016 10:23

для пересичного обывателя такая заказуха прокатит. Но не на профильном ресурсе.

Alexander Papuga 16.08.2016 11:30

Для заурядных граждан и тот материал, на который я дал ссылку, и статья, под которой мы пишем комментарии, — заказуха одного уровня. А специалисты в теме ориентируются не только на позицию сайта-источника.

Y P

George Kashperko 16.08.2016 12:39

Статья, рекомендуемая вами — однобокий манипулятивный наброс.
Потрудитесь ознакомиться с документами по ссылкам в нём, а не кашей в голове автора — там явка с повинной НАЗК и Миранды о невыполненых обязательствах и сорванных сроках.

Alexander Papuga 16.08.2016 16:17

Ваша точка зрения интересна и будет учтена.

Bogdan Parhomchuk - в + 16.08.2016 14:38

Після звернення «редакції» цього гівноресурсу до ЄС з проханням не надавати країні безвіз, відкривати та читате оте лайно немає ніякого бажання.

Alexander Papuga 16.08.2016 16:19

Ваша точка зору не дуже цікава, проте теж має бути прийнятою до уваги.

Bogdan Parhomchuk

George Kashperko 19.08.2016 18:35

Мастер-класс переобувания от автора наброса.

Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 06:27

Люди, а хтось в курсі, тендер на сей програмниий продукт був? І де побачити, хто ще в ньому брав участь?

undefined pointer 16.08.2016 10:34

я шукав про цей тендер. і на сайті ПР ООН. але не дуже ретельно, тому нічого не знайшов.
це звісно нічого не доводить, може просто десь в глибинах сайту ця інфа.

Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 10:43

На сайті ПРООН є оголошення про тендер, але немає його результатів. Ось конкурс procurement-notices.undp.org/...otice.cfm?notice_id=25621

Ievgen Safronenko Senior Software Engineer в zooplus 16.08.2016 10:35

Учитывая что разработчиком была тов. Миранда, с таким заявлением на сайте:

Компанія ТОВ «Міранда» — це команда професіоналів, які займаються розробкою веб дизайна і реалізацією в Інтернет проектах будь-яких бізнес ідей. Компанія була заснована та розпочала свою діяльність у 2001 році.

и таким сайтом:
miranda.net.ua/uk/p/about_us

Ну и

Основний склад веб компанії ТОВ «Міранда» складаються спеціалісти факультету інформаційно-обчислювальної техніки НТУУ КПІ (який, нарівні з факультетом кібернетики Національного Університету імені Тараса Шевченка, є ведучим IT-факультетом України).

Переводится как — тендер замутим, всех шановных запишем на хозтему, а работать будут студеры за даром или аспиранты за три корочки хлеба.

Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 10:45

Я в анамнезі працювала два роки «за распределением» на кафедрі альма матері, в лабораторії, яка сиділа на державних грантах, і я ще дуже гарно пам’ятаю, як це робиться. Я намагаюся знайти докази корупції

Yuriy Novikov 17.08.2016 23:11

Говорили мне сделать сайт. Да сайт с 2007 года почти не менялся, в отличии от компании. У нас достаточно квалифицированного персонала, что бы создавать и более сложные системы.

Bogdan Pavlykevytch 16.08.2016 20:50

Nataliya Zubar Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 12:49

George Kashperko 16.08.2016 04:57

Сперва, вот вам краткий обзор по отечественной проблематике систем защиты информации для тех, кто (поверьте — к вашему же счастью и душевному спокойствию) не имел практического опыта их создания и атестации согласно нашего дивного законодательства.
КСЗИ — stands for Комплексная система защиты информации. Подразумевает комплекс организационных и технических мероприятий, обеспечивающий реализацию определенной технологии обработки информации. Огрубляя для простоты — некоторое количество коробок документов с описаниями того, как обеспечить целостность, доступность, конфиденциальность информации, обрабатываемой в этих ваших инторнетах.
Порядок создания описан в НД ТЗІ 3.7-003-2005 dstszi.kmu.gov.ua/...atalog/document?id=106350. Чисто ради интереса читать его бессмысленно и даже опасно для вашего душевного здоровья. Так что, вот вам спойлер — создается Техническое Задание (ТЗ), согласовуется с Госспецсвязью, согласно ТЗ разрабатывается проект КСЗИ, реализуется, далее созданное КСЗИ всячески анализируется разработчиком и персоналом заказчика на предмет его соответствию ТЗ и попутно допиливается. И когда все стороны этого увлекательного процесса вроде бы согласны, что нужный результат достигнут — остается убедить государство в лице Госспецвязи в том, что если что-либо с информацией и случится, то их — Госспецсвязь — за это не накажут. Можно, впрочем и не убеждать, что правда входит в противоречие с Законом Украины “Про захист інформації в інформаційно-телекомунікаційних системах” zakon5.rada.gov.ua/laws/show/80/94-вр.
Процесс убеждения Госспецсвязи, при удачном раскладе, состоит из двух этапов — Экспертиза и Атестация. При неудачном — экспертизу прийдётся перездавать неоднократно. Отказ же в атестации при полноценной экспертизе — ну просто реальный epic fail.
Экспертизу организовывает заказчик КСЗИ согласно “Положення про державну експертизу в сфері технічного захисту інформації” zakon4.rada.gov.ua/laws/show/z0820-07. Выполняется экспертиза сторонним подрядчиком из числа тех, у кого есть лицензия Госспецсвязи на оценку защищенности информации. Необходимость наличия такой лицензии — требование Закона Украины “Про ліцензування видів господарської діяльності” zakon4.rada.gov.ua/laws/show/222-19 и постановления КМУ “Про ліцензування видів господарської діяльності” zakon4.rada.gov.ua/laws/show/222-19. Выбор исполнителя экспертизы согласовывается с Госспецсвязью.
Счастливчик, определенный экспертом, потрошит коробки с документацией на КСЗИ, изучает, пишет методику её тестирования, согласовывает с Госспецсвязью, проводит согласно методики экспертные исследования КСЗИ, пишет заключение и, если оно таки положительное — отправляет КСЗИ на Атестацию в Госспецсвязь.
Госспецсвязь собирает комиссию и та проверяет заключение эксперта на синтаксические и орфографические ошибки, сверяет соответствие списка документов в коробках с описанием новосозданной КСЗИ требованиям вороха методичек и отправляет кого-нить помоложе распечатать и заламинировать Атестат соответствия.
Всю эту стройную последовательность множим на объём производимой в процессе бумаги в метрах кубических, добавляем издержки на режимно-секретные ритуалы и пересылку непрозрачных, прошитых суровыми нитками, пакетов туда и обратно курьером — и на выходе получаем средне-статистическую Экспертизу+Атестацию длиной от пары недель до многих месяцев.

Теперь, кратко, почему КСЗИ секретится (а для систем без гос. тайны — служебится — присвоением грифа ДСК). Описательная часть КСЗИ содержит детальные сведения о всем комплексе защиты — от персонала, до технических средств. По модели угроз, плану защиты, структуре службы защиты и прочим документам КСЗИ очень удобно подыскивать способ как взломать это всё попроще либо, например, к кому лучше всего незаметно подкатить с деньгами или паяльником. Примерьте пункты 1, 2 и 3 части 2 статьи 6 Закона Украины “Про доступ до публічної інформації” zakon3.rada.gov.ua/laws/show/2939-17 на бенефиты доступа общественности к коробкам с кучей узкоспециальной хуеты в сравнении с потенциальным импактом от доступа к ней же недружелюбных пидарасов из какой-нить Федеральной Службы Баночек, и одной теорией заговора Госспецсвязи против прогрессивной общественности, надеюсь, станет меньше. По той же причине служебятся Экспертные и Атестационные заключения — причем в особенности это касается отказов, так как в них фактически содержится перечень брешей в безопасности КСЗИ.

Не менее коротко — о результатах стороннего тестирования функционированя реестра специалистами TestLab2 и PricewaterhouseCoopers. То, что его провели — позитивный сигнал и, значит, есть шанс что Реестр не свалится под нагрузкой и, может быть даже его не сломают сильные или раздавят тяжелые программисты. К экспертизе же либо атестации КСЗИ данные тестирования не относятся по определению, так как без лицензии Госспецсвязи любая оценка не будет экспертной в терминах действующего законодательства.

Теперь к хронологии драмы с НАЗК, Мирандой, Госспецсвязью, Порошенко, Турчиновым и прочими доброжелателями.
Проследовав к набросу Сергея Сидоренко “Хто зірвав електронне декларування статків: хронологія та документи” в “Европейской правде” www.eurointegration.com.ua/...icles/2016/08/14/7053339 вы сможете приоткрыть завесу тайны над тем, как же происходила реализация этого, без какой либо иронии, чрезвычайно важного Государственного проекта.
Пройдемся по ссылкам на документы из фельетона господина Сидоренко и посортируем даты & события.
2015-12-02 ПРООН заключает договор с Мирандой
2015-12-10 Сдан результат № 1 (СУБД с тестовыми данными, поисковик, публичный API)
2015-12-11 Заседание № 1 группы контроля за качеством (результат № 1)
2016-01-20 Сдан результат № 2 (публичный сайт, АРМ сотрудников НАЗК, формы ввода, средства аутентификации)
2016-02-02 Заседание № 2 группы контроля за качеством (результат № 2)
2016-02-29 Заседание № 3 группы контроля за качеством (результат № 2)
2016-02-29 Сдан результат № 3 (документация, справочная информация, рекламки, буклетики и прочая)
2016-05-10 Заседание № 4 группы контроля за качеством (результат № 3)
2016-07-01 Письмо НАЗК в Госспецсвязь — согласование графика создания КСЗИ ?
2016-07-05 Согласование графика создания КСЗИ Госспецсвязью
2016-07-22 Приемные испытания результатов 1, 2 и 3 комиссией НАЗК
2016-07-25 Принятие выводов по результатам приемных испытаний результатов 1, 2 и 3 комиссией НАЗК
2016-07-27 Передача результатов 1, 2 и 3 НАЗК
2016-07-28 НАЗК просит Госспецсвязь согласовать ТОВ “Криптософт” в качестве эксперта по КСЗИ (как окажется в последствии то же ТОВ участвовало в работах по созданию КСЗИ и потому не может проверять свою же работу)
2016-08-02 НАЗК, по настоянию Госспецсвязи, определяет экспертом ГЦ киберзащиты, и принимает решение о проведении экспертизы КСЗИ
2016-08-03 Госспецсвязь согласовывает ТЗ на КСЗИ
2016-08-05 КСЗИ проходит предварительные испытания
2016-08-08 НАЗК передало КСЗИ на экспертизу
2016-08-10 Программный код и документация получены для экспертизы Госспецсвязью
2016-08-11 Госспецсвязь ведут на 2х-часовую экскурсию по объекту без возможности жать на педали
2016-08-12 Экспертный совет Госспецсвязи отказывает в атестации КСЗИ
2016-08-13 Торжественное вручение НАЗК отказа в атестации

Первый очевидный, и, пожалуй, самый главный проеб — НАЗК должен был умолять Госспецсвязь согласовать им хоть какую-нибудь экспертную организацию ещё в феврале месяце.
Второе, что бросается в глаза — это обилие событий с 29 февраля по 1 июля. Целых 4 месяца работы над нихуя!? С перерывом на выездное заседание, разумеется. Ну, если, конечно, поверить в то, что последний из 3х результатов 1го этапа был таки передан в ПРООН 29 февраля, а не спешно допиливался вплоть до конца июля.
Последнее — на экспертизу и атестацию ГЦ киберзащиты и Госспецсвязи было щедро отвешено целых 5 дней — с 8 по 12 августа включительно. И это при условии безотлагательного изобретения моментальной телепортации бумаги. Для представления об объеме работ для экспертов можно насладиться фоткой тех самых коробок на fb НАЗК www.facebook.com/.../1112586892134567/?type=3
На fb ленте Юрия Новикова из Миранды можно найти коммент Mykola Kulieshov с оценкой объема документации на КСЗИ — “более 1500 стр.” www.facebook.com/...mment_tracking={"tn":"R“
Тоесть, за 4 дня ГЦ киберзащиты нужно было составить целостное мнение о созданной КСЗИ, создать методику экспертных испытаний её частями и целиком, согласовать, провести испытания, заполнить протоколы, написать экспертное заключение, чтобы 12 августа Госспецсвязь могла с чистой душой воспользоваться ламинатором. Странно что прогрессивная общественность, и особенно домохозяйки, удивились, что чуда не случилось и, то что ГЦ киберзащиты в судорогах родило за 4 дня атестацию не прошло.
На этом месте правдолюбы и просто внимательные к деталям граждане, вероятно, возмутятся тем, что Госспецсвязь же подписало календарный план и обязалось провести атестацию 12 августа!
Так вот — Госспецсвязь пообещало провести Атестацию КСЗИ — и провело. Правда ровно с тем же победным результатом, что провел экспертизу выбранный изначально НАЗК 28 июля в качестве эксперта ТОВ “Криптософт”.
Печально, конечно, что результат оказался неудовлетворительным, но кто ж мешал НАЗК согласовать Эксперта заранее, месяца эдак за 4-5 ?

Last but not least — какая связь Порошенко и Турчинова с КСЗИ реестра НАЗК ?
Отвечу откровенно — хуй его знает. Но в набросе от Сидоренко все было так интригующе и детективно, что меня до сих пор мучает мысль — держались ли они за руки, когда стояли за спиной у НАЗК и Госспецсвязи.

И да, хохмы ради, загляните на страницу 8 “Рішення про затвердження висновку приймальних випробувань програмного забезпечення системи електронного декларування України” www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf.
Согласно расписанию реализации проекта, задания 1, 2 и 3 должны были быть выполнены подрядчиком до 2015-12-30. Дополнительные же 2 задания (которые, кстати, выполнены небыли) по связи с внешними реестрами — до 2016-07-30.

George Kashperko 20.08.2016 15:53

В процессе окучивания совмещенного с перетаскиванием полотен в свой, запиленный для троллинга ваты, бложег на LJ поймал себя на ошибке Ctrl+C Ctrl+V в тексте

постановления КМУ «Про ліцензування видів господарської діяльності»

Насамом деле релевантное постановление КМУ — «Про затвердження переліку послуг у галузі технічного захисту інформації, господарська діяльність щодо надання яких підлягає ліцензуванню».

Alex Shevelo senior python developer – SoftServe 16.08.2016 02:03

В какой нахрен готовый проект ТАКОЕ ставят?:):):):):):):):):):)

portal.nazk.gov.ua/res/js/front/scripts.js
$(’#confirm’).click(function (event) {
valid = $(’#code_access’).validationEngine(’validate’);

if (valid) {
//todo показати, що щось відбувається
$.ajax({

480строчка
UPD:
success: function (result) {
//alert(result.status);
if (result.status.status) {
//todo придумати як сказать, що email пройшов перевірку

UPD2:
success: function (result) {
if (result.status) {
//todo показати, що телефон збережено
} else {
$("#errPhone").text(’Введіть правильний телефон’);
$("#errPhone").css("visibility“, “visible”);
$("#errPhone").css("visibility“, “visible”);
}

anonymous 16.08.2016 02:31

if(docs == 1 || docs == 2 || docs == 3 || docs == 18){
var valid =$("#validateForm").validationEngine(’validate’);
if(valid && empty.length == 0)
{
submit(’/package/preview.htm’)
}
else{
if(!valid){
return;
}
else {

modal({
type: ’alert’,
title: ’РЈРІР°РіР°!’,
text: "Р"Р"СЏ С‚РѕРіРѕ, С‰РѕР± РїРѕРґР°С‚Рё РґРѕРєСѓРјРµРЅС‚, Р·Р°РїРѕРІРЅС—С‚СЊ, Р±СѓРґСЊ Р"Р°СЃРєР°, РІСЃС— СЂРѕР·РґС—Р"Рё С"РѕСЂРјРё РґРѕРєСѓРјРµРЅС‚Р°",
buttonText: {
ok: ’РџРѕРІРµСЂРЅСѓС‚РёСЃСЏ РґРѕ Р·Р°РїРѕРІРЅРµРЅРЅСЏ РґРѕРєСѓРјРµРЅС‚Р°’
},
callback: function (result) {

}
});

Alex Shevelo senior python developer – SoftServe 16.08.2016 02:45

Это просто говнокодик а ТУДУ в 100500% готовом коде.... И ещё и и ТАКИЕ туду.....

prikolov.net/filez/todotodooo.jpg

anonymous

anonymous 16.08.2016 03:05

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 02:27

суть коммента в кодировке win-1251?

risovach.ru/...ports_121729217_orig_.jpg

anonymous

Artyom Krivokrisenko 16.08.2016 03:02

Alex Shevelo senior python developer – SoftServe 16.08.2016 03:07

А тепер унимание суд должен сажать на сколько там? На пять лет на основании ЭТОГО?:)

Євген Козлов Front-end developer в SoftServe 16.08.2016 10:45

шо именно?
шо jquery-лапша вместо SPA на Реакте?
или шо при деплое не происходит минификация с вырезанием комментов?

Alex Shevelo senior python developer – SoftServe 16.08.2016 13:30

//todo придумати як сказать, що email пройшов перевірку

Что есть ТАКИЕ туду в 100% готовом коде:)

Євген Козлов

Євген Козлов Front-end developer в SoftServe 16.08.2016 14:31

и шо?
1. коммент может быть тупо outdated. у вас есть отдельная активность по изучению списка комментариев и удаления неактуальных?
2. может не быть сообщения про «email прошел проверку», но вместо этого обобшенное «всё хорошо»
3. даже если сообщения нет, где это ломает функционал?

короче, выкатывать development код без автоматизированной чистки(в т.ч. комментов), минификации и обфускации — странность.
но в самом комменте ничего крамольного не вижу.

Alex Shevelo senior python developer – SoftServe 16.08.2016 17:08

да ничо всё ок. 100% готовность софта
success: function (result) {
if (result.status) {
//todo показати, що телефон збережено
} else {

И это только ФЕ а что там на БЕ на PHP?
Кстати а проверка валидности ЦСК прям в js это тоже ок по вашему? Там весело пошаманить с кодом можно.

Кстати интересно а это кому то пригодиться?;) portal.nazk.gov.ua/...ficates.p7b?version=1.0.8

Євген Козлов

Євген Козлов Front-end developer в SoftServe 16.08.2016 18:57

Кстати а проверка валидности ЦСК прям в js это тоже ок по вашему?

да, ок. искренне не понимаю, почему у вас бомбит.

ВСЕГДА делай валидацию на клиенте — береги нервы пользователя.
ВСЕГДА делай валидацию на сервере — не доверяй данным от клиента.

Alex Shevelo senior python developer – SoftServe 17.08.2016 01:10

А и действительно чего бомбить то. Во всех готовых на 100% системах есть туду «а тут мы что то придумаем как быть»:):):):):) Это же стандарт.

Євген Козлов

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 02:29

Готовые на 100% системы — это что? Это когда проект fixed price?

Maxim Gorban Game Designer 17.08.2016 16:44

Євген Козлов Front-end developer в SoftServe 17.08.2016 18:17

ха. это вы еще не в курсе, что в пределах большой аутсорс компании разные проекты отличаются иной раз сильнее, чем разные компании.

Maxim Gorban

Alex Shevelo senior python developer – SoftServe 19.08.2016 12:54

Причём тут стандарты кода. Вас не смущает ПУСТОЙ хендлер на success в готовом продукте?:)

Maxim Gorban

Vanya Yani Web Developer в Capgemini Engineering 19.08.2016 19:18

В сфере ИТ готовых продуктов (за исключением, разве что, кнутовского TeX) не бывает. Бывают поддерживаемые и неподдерживаемые.

В данной ситуации меня не смущает пустой хендлер на success. Хотя я бы и сделал замечание, если бы я делал ревью. Но это абсолютно не критично.

Что на самом деле является критичным — так это то, что при подходе «готовый продукт» система будет мертворожденной. То есть «сдали и забыли». Даже если будет найдена уязвимость, исправить будет нельзя, система же полностью готова и сертифицирована!

Andrew Kornilov Principal Software Engineer 19.08.2016 21:44

по тій версії вимог до отримавння сертифікату ксзі дстзі вносити зміни в систему після видачі сертифікату або не можна або дуже геморно. два рази вимоги читав з різницею в кілька років. правда було це 8 років тому останній раз. може шось змінилося. але сумніваюся

Vanya Yani

Sergiy Fakas Information Security Officer в Oro 19.08.2016 21:56

Ну все правильно — якщо код помінявся то треба тестувати по новій.

Александр Бобров 16.08.2016 21:12

Забавно читать «экспэртов» по ЕЦП ))) А файлик этот содержит открытые данные :)
Я вам больше расскажу, чтобы еще больше забомбило — документы подписываются прямо в браузере и никак не может быть иначе. Просто не может, а вот почему, предлагаю подумать на досуге. Кстати, подсказка ответа на странице есть.

Alex Shevelo senior python developer – SoftServe 17.08.2016 01:19

Ай действительно чего это я. Все лохи используют костыли аля аплеты или плагины. А оно вот оно как оказывается. Берем на js нафигачим и всё ок......

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 02:32

Апплеты — это вообще большущая дыра. JS-код имеет доступ лишь к файлам, которые загрузили на форму страницы. Апплет имеет доступ ко всей операционной системе.

В идеале поддержка функций подписи/шифрования должна быть вшита в браузер. Но ЭЦП — оно только в особо прогрессивных странах. В США еще до такого не дошли. Поэтому поддержка в браузерах будет очень нескоро.

Alex Shevelo senior python developer – SoftServe 17.08.2016 02:40

Ну это да но тут ещё интереснее вылазят результаты. Почему то либа для работы с ЭЦП на обсуждаемом сайте очень сильно совпадает с github.com/gorserg/sign_sample Странно это как то. Чувак вообще ни по одному из профилей не контачит с «мирандой»

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 05:54

Либа иитовская: iit.com.ua/...les/EUSignJavaScriptD.doc .

«Чувак», разместивший библиотеку, очевидно, разработчик UnityBars, компании, которая разрабатывает реализацию BankID от НБУ и Ощада. Так что всё-таки косвенно пересекается.

Библиотека ИИТ — 4 MiB компилированного «java-скрипта» (написание сохранено). Это единственная сертифицированная Держслужбой реализация гостовских алгоритмов на JavaScript. Появилась она в ответ на свободную реализацию, появившуюся на год раньше.

Свободная реализация «очень плохая», потому что денег на сертификацию нет: github.com/dstucrypt

Подробнее о последней в частности (и о рынке гос. криптоуслуг в целом) тут: www.youtube.com/watch?v=lciOImm7srw

Вообще, эта эпопея с электронной идентификацией на госсайтах и юридически значимых э-услугах тянется уже больше 3 лет. И так, и эдак пробовали, Баба-яга против. Призывали поменять ДСТУ на RSA, DSA или ECDSA, или сделать автоматическую систему аттестации криптобиблиотек — фигушки. Законопроект про BankID завис в ВР: w1.c1.rada.gov.ua/...2/webproc4_1?pf3511=59139
Законопроект про Э-карточку вроде приняли, но непонятно как они собираются бесконтактно реализовать ЭЦП в чипе, который заточен под верификацию подлинности документа. Скорее всего, это очередной развод.

Если бы был опрос «кто больше всех тормозит развитие э-идентификации», то думаю, победила бы ДССЗЗИ. Потому как нормативные акты в этой области — её сфера ответственности. И она должна была быть драйвером изменений в стране нормального человека.

Oleksii Shevchuk 19.08.2016 14:10

Наверное потому что он ее взял у кого-то другого

Ivan Kukobko Junior Software Architect в Svitla Systems 16.08.2016 12:58

In their defence, обратите внимание, везде JSdocs!

Alex Shevelo senior python developer – SoftServe 16.08.2016 13:31

Одааааа JSdocs наше всьо:)

Ivan Kukobko

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 08:30

До речі підтвердження телефону досі не працює :)

Andrew Kornilov Principal Software Engineer 19.08.2016 17:35

наприклав в хомпейджу порталу кабінету міністрів

Andrew Kornilov Principal Software Engineer 19.08.2016 17:35

між іншим, сертифіковану дстзі

Andrew Kornilov Principal Software Engineer 19.08.2016 17:37

між іншим гуглиться на стековерфлов stackoverflow.com/...-how-can-disable-top-menu

тобто сайт кабінету міністрів зклепаний методом контрол ц контрол ве

Alex Shevelo senior python developer – SoftServe 19.08.2016 17:46

А хто каже шо інші дєржподєлія кращі?:):):):):):) Просто за дані на держпорталі кабміну не будуть на декілька років саджати і з посад звільняти:) Так й розробники «держпорталу» шась не бугають і не розповідають як в них 100% готовий код не сертефікують

Andrew Kornilov Principal Software Engineer 19.08.2016 17:50

розробники порталу нужниє люді і сертифікат їм на день народження подарували. разом з підрядом клепати сайти всім держорганам від міністерств до цюрюпінських райдержадміністрацій

Nataliya Zubar Chair в Maidan Monitoring Information Center 19.08.2016 17:51

Не всіх, от Мукачівську РДА не взяти ж на понт

Andrew Kornilov Principal Software Engineer 19.08.2016 21:41

звичайно не всіх, плантацію окучували поступово

Alex Shevelo senior python developer – SoftServe 19.08.2016 17:53

Пічально це. Але гівно сайт РДА чи когось це просто попил бабла. А декларації в реєстрі мають бути доказом в суді. Рівень емм відповідальності і говнокодінгу має бути відповідний до задач:)

Dmytro Sharadkin IT & DS Specialist 19.08.2016 18:02

Скорее всего — в этом и есть прикол. То-есть пиляльшики рассуждали -"сделаем как всегда, сертификат подарят на день рождения«. Не даром же директор фирмы, которая существует аж с 1993 года и понаделывала много чео гос. организациям на первых сходках громогласно заверял, что технически все тип-топ, только вот в документация надо пару страничек местами поменять.
А тут друг не получилось «как всегда», ибо слишком серьезные люди могут попасть под метлу. Печалька....

Sergiy Fakas Information Security Officer в Oro 19.08.2016 18:09

Да он такой весь из себя уверенный был я думаю потому что известных дыр в использованном фреймворке (предположительно bootstrap) не было. Но как тут неоднократно писали — безопасность это не только отсутствие уязвимостей из OWASP top 10...

Andrew Kornilov Principal Software Engineer 19.08.2016 18:12

ну хтось розумно зауважив в інтернеті, що єдиний спосіб гарантувати шось — зробити подачу декларацій на основі блокчейна

Alex Shevelo senior python developer – SoftServe 19.08.2016 17:48

+ там хоч шось Є а не порожні хендлери з «а тут ми придумаємо потім»

anonymous 16.08.2016 00:46

Мои глаза, мои глаза
miranda.net.ua/res/js

anonymous 15.08.2016 23:20

-

Sergey Solution Architect 15.08.2016 21:51

В этой истории прекрасно все. Начиная от тендера(сами представители ООН выбирали победителя!) и заканчивая неизбежными тихими похоронами в течении полугода.

Sergiy Fakas Information Security Officer в Oro 15.08.2016 22:36

Прошла еще инфа что Миранда имеет отношение к Шабунину.

Sergey

Александр Бобров 15.08.2016 23:26

Ага, а еще я встречал в фб инфу, что к Путину. И это он все задумал....
ЗЫ Сарказм если че, а то тут некоторые явно тугодумны

Sergiy Fakas Information Security Officer в Oro 15.08.2016 23:28

откройте miranda.net.ua

Александр Бобров 15.08.2016 23:57

Я уже тут ниже отвечал, но повторюсь — не все занимаются самолюбованием.

Sergiy Fakas Information Security Officer в Oro 16.08.2016 00:09

Сломалось чего то?

Mykola Makhin Solution architect, team leader в EPAM 16.08.2016 13:51

У Oracle и IBM тоже сайты когда-то были то еще говно. Да и сейчас подчас не лучше.

Sergiy Fakas Information Security Officer в Oro 16.08.2016 14:05

Дадада. Конечно же. Безусловно.

Mykola Makhin Solution architect, team leader в EPAM 16.08.2016 14:06

Никогда не видел старый сайт IBM-а?
Тю.

Sergiy Fakas Information Security Officer в Oro 16.08.2016 14:09

Я даже больше скажу — в 1970 году у этих лохов вообще сайта не было!

Sergiy Fakas Information Security Officer в Oro 15.08.2016 23:29

Да, я ошибся — не к Миранде, а ПРООН и самому процессу выбора исполнителя.

Y P nikto 15.08.2016 17:52

Да ладно вам! Всё круто, спокуха:
podrobnosti.ua/...-glava-natsagentstva.html
«Для того чтобы создать препятствия для несанкционированного допуска извне, была куплена шифровальная машина. Эта шифровальная машина не дает возможности искажать полученные данные. Таким образом система защиты персональных данных защищена».
Ясно?
... А поэтому:
«Любые разговоры по поводу того, что вся эта система не защищена, что не было юридических норм для запуска ее, не имеют основания», — добавила глава агентства.".
Понятно?

Mimoletom Prohodil 15.08.2016 18:01

Аттестат соответствия КСЗИ не выдан. Остальное — до лампочки.

Y P

Max Nikitenko 15.08.2016 21:22

это и есть лоббирование интересов с стороны чиновников...... Все просто рубится в этом аспекте

Mimoletom Prohodil

Y P nikto 15.08.2016 22:03

ваще то это был сарказм))) Про аттестат КСЗИ я в курсе ;)

Mimoletom Prohodil

Blitz Senior .net Developer / Architect 15.08.2016 19:11

А внутри у ней неонка...

Y P

George Kashperko 16.08.2016 00:17

Неуж-то ту самую Энигму перекупили!?

Y P

Mike Stefanskiy 16.08.2016 10:12

напевно така en.wikipedia.org/wiki/Enigma_machine

Y P

Ярослав Ларионов Junior QA 16.08.2016 20:52

оО Енигма чтоли?)

Y P

Dmytro Batalov 15.08.2016 17:38

там претензии оказались не к коду, а к документации.
этот пост смотрится как очередной бред наших недожурналистов

Дмитро Дем'яненко BA/UX 15.08.2016 14:56

Главным тестом будет взлом от Falcons Flame и кто там еще у нас «пиратствует» в мутных водах интернета. ))

Тогда и послушаем кого реально забомбит.

Дмитро Дем'яненко BA/UX 15.08.2016 14:35

Изначальный фейл отдавать разработку коммерческой организации.

Дмитро Сафронов Senior software engineer 15.08.2016 14:52

Ну да, очевидно что вчерашние студенты с з/п 3к гривен на госслужбе написали бы лучше.

dou.ua/...aign=reply-comment#971650

Дмитро Дем'яненко

Дмитро Дем'яненко BA/UX 15.08.2016 15:18

Почему студенты?

Sergiy Fakas Information Security Officer в Oro 15.08.2016 23:38

Так там судя по сайту как раз практически такие и делали.

Ievgen Safronenko Senior Software Engineer в zooplus 16.08.2016 10:40

Так они ее и писали. Судя по описанию эта конторка, которую замутили при ВУЗике. А это означает, что работать там будут студеры и не за

з/п 3к гривен

а за зачет.

Maksym Sydorov Java Developer – Star 16.08.2016 12:46

В основном там сидят как раз таки студенты 4-ого курса КПИ, которых отобрали после летней практики. з/п 4-6к.

Illia Khabibrakhmanov SSE 15.08.2016 14:55

Ооо да. За то какой нить НИИ «Програмных средств» сделает все отлично

dou.ua/...aign=reply-comment#971650

Дмитро Дем'яненко

Дмитро Дем'яненко BA/UX 15.08.2016 15:18

Почему НИИ?

Illia Khabibrakhmanov

Jorzchyk Pushysty 15.08.2016 15:05

Изначальный фейл требовать разработку кода, а не стандарта данных.
Декларация это пассивные данные. Вместо этого обсуждаем какой-то кривой и полностью закрытый код.
Замечания Держспецзв’язку похоже именно об этом.

Дмитро Дем'яненко

Дмитро Дем'яненко BA/UX 15.08.2016 15:19

Любая разработка претворяется созданием организации.

Jorzchyk Pushysty

Yuriy Novikov 16.08.2016 01:50

Ох уж эти конкуренты. Код открыт. Комментирован. Документация по ГОСТу. Есть такое требование у международников, анализ на vendor lock. Стандартная процедура для кастомных систем, увы ничего не то что закрытым, некомментированным оставить не получится.

Jorzchyk Pushysty

Artyom Krivokrisenko 16.08.2016 03:04

некомментированным оставить не получится

Вы про эти каменты?

success: function (result) {
//alert(result.status);
if (result.status.status) {
//todo придумати як сказать, що email пройшов перевірку

anonymous 16.08.2016 11:17

-

Олег Кутов 16.08.2016 12:40

в инспекторе

anonymous

anonymous 17.08.2016 11:25

-

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 02:46

Тут имеют в виду публичность открытого кода. Он действительно где-то опубликован? Имеется в виду серверная часть.

Виктор Семко 15.08.2016 13:23

В «запущенной» системе е-декларирования отсутствует основная часть — сама система е-декларирования и КСЗИ. Отсутствует ТЗ, проектная, конструкторская и техническая документация. КСЗИ как таковая отсутствует. О каком аттестате соответствия может идти речь? Специалисты из ДССЗЗИ совершенно правы. Для создания и запуска системы нужно финансирование и 4-6 месяцев.
Безвизовым режимом прикрываться не стоит.
Какой-то детский сад.

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 02:48

Абсолютно безосновательный комментарий.

Виктор Семко

Rustam Kyrychenko Senior Software engineer 15.08.2016 12:47

От якби я не знав шо таке ДССЗЗІ, чи хочаб вони свої відмазки почали ліпити не за кілька днів до запуску системи, то можна було б критикувати Міранду.
А в наявному пейзажі гівнюк..ми виглядають всі, без розбору і покладати відповідальність тільки на одних розробників, щонайменше, неправильно

VK PO 15.08.2016 11:28

Государственный софт, ТЗ и подписи — это боль.
Печаль, что события, которые выходят за пределы Украины, негативно влияют на имидж всей отрасли страны

undefined pointer 15.08.2016 09:59

Jaanika Merilo

Якщо взагалі казати про зраду, то це воно. Сьогодні вночі запустили систему електронного декларування без сертифікату. Як наслідок, чиновники, які подадуть декларацію до отримання сертифікату системи, не можуть бути притягнуті до кримінальної відповідальності. Простими словами: якщо я забув про дві квартири у Лондоні, то ніяких наслідків не буде, але це ж і була суть всієї системи, що були б і наслідки.

Працююча системи електронних декларацій була остання вимога для отримання безвізового режиму і наступного траншу від МВФ. Так кого ми обманюємо? Себе? Так ніколи змін і не буде. Європу? Вони реально не дурні і дивляться на суть, а не на піар, а суть в цьому, що в нас тільки що запрацювала нова база даних декларацій, а не інструмент прозорості. Я би зараз припинила би можливість подавати декларації, долучила би всі сили, щоб отримати сертифікат і запустила би вже працюючу систему, яка виконуэ мету.

Цікаво було би дізнатися, яка остання причина на ненадання сертифікату, бо якщо згадати одну із багатьох причин ДССЗЗI, то система ж не відповідає вимогам захисту, тобто ми що запустили систему, яка не відповідає вимогам захисту і вимогам суті? Чи це вже не ця причина і знайшли щось інше? Але це все під грифом великої таємниці.

А селфі держорганів з соціальних мереж про «ми запустили», рекомендувала би не публікувати, бо така наглість ховати зраду під перемогу ще більше обурює.

(Але я не вірю у вседержавну конспірацію і надіюсь, що пан Президент, Прем’єр-міністр і Oleksandr Saenko швидко прокоректують ситуацію, бо сьогоднішня ситуація нікому не потрібна, окрім корупціонерів)

Будемо із зацікавленістю слідкувати за першими деклараціями. Продовжується...
www.facebook.com/...1194812675&type=3&theater

Andriy Krot Software Engineer в IonIdea 16.08.2016 07:03

Есть комментарий от судьи, что это чушь. pbs.twimg.com/...Cp5vffxWgAAa1MO.jpg:large

Evgen Pustokhod QA Engineer 18.08.2016 23:30

Вы верите судье? Который сам должен подать декларацию.

Andriy Krot

Andriy Krot Software Engineer в IonIdea 19.08.2016 00:26

Конечно я верю судье, а есть основания ему не верить? Или вы можете опровергнуть его аргументы?

Evgen Pustokhod

Evgen Pustokhod QA Engineer 20.08.2016 11:21

Конечно есть основания ему не верить, ведь он заинтересованное лицо, и сам хочет изюежать ответсвенности. А какие основания ему верить?
Он верно сказал, что без системы защиты эти декларации не имеют силы в суде, и придется собирать доп доказательства, что в систему не было несанкционированного доступа. Как Вы думаете, сложно будет найти/сфабриковать факт несанкц доступа? Сколько времени этот сбор, доказываение, аппеляции займут в нашей странее, и сколько раз успеют эти судьи вылететь за бугор, и избежать ответсвенности?
Опишите процесс по шагам, от «Найдено несоответствие декларации и имущества» до «виновник наказан» в случае наличия КСЗИ, и его отсутствия.

Andriy Krot

Mike Stefanskiy 15.08.2016 08:22

Прохання до розробника — опублікувати технічне завдання на цей реєстр. Щоб кожен міг зробити висновки не по коментарям а по першоджерелам. Якщо ця річ дійсно відповідає технічному завданню — відповідальність повинні понести ті, хто його розробив та затвердив. Агентство з запобігання корупції... LOL

anonymous 15.08.2016 08:39

-

Александр Бобров 15.08.2016 23:34

Не верно думаете. Я уже писал — заказчик не государство.
А информация про тендер была даже на этом сайте dou.ua/forums/topic/15098
Там же и ТЗ есть

anonymous

Alexandr Sova Developer 15.08.2016 11:34

ну, если собирать по крупицам, то отсюда можно нарыть часть.

Sergey Shtefan Senior PHP Developer 16.08.2016 13:56

Думаю, там везде стоит гриф ДСВ

Włodzimierz Rożkow інфлюенсер в t.me/full_of_hatred 15.08.2016 02:08

выйграла

Пройграв.

Dmitriy Mozgovoy JavaScript / NodeJS Developer 15.08.2016 01:00

От этого сайтика прям с первой же секунды несет государственным рукожопием. Тут надо или делать заказ в забугороной компании, а разрабатывать будут все те же наши программисты, и/или отдать в опенсорс, возможно с призовым фондом для важных коммитов каждый месяц, как то так :).

Ну и надеюсь у них будет распределенные серверные кластеры, далеко забугром- что попало в систему выпиленным быть не может, а не «у нас техничка ведро перекинула на наш сервер» все декларации Ахметова где то пропали:)

Дмитро Дем'яненко BA/UX 15.08.2016 14:39

опенсорс, возможно с призовым фондом для важных коммитов каждый месяц,

Это вполне могла быть некоммерческая организация с зарплатами, соцпакетом и т.д. Открытый код и открытая отчетность самой организации. Ревизия деятельности любым желающим, главное свободное время, необходимые компетенции.

Dmitriy Mozgovoy

Александр Бобров 17.08.2016 22:52

Ну и надеюсь у них будет распределенные серверные кластеры, далеко забугром- что попало в систему выпиленным быть не может, а не «у нас техничка ведро перекинула на наш сервер» все декларации Ахметова где то пропали:)

Ага, вот прямо так. На такое, КЗСИ вы никогда не получите )))

Dmitriy Mozgovoy

anonymous 14.08.2016 23:12

-

Sergey Chetverikov 15.08.2016 17:58

Тут вся справа що лише комінтарі, та — «не винуватая я»...

anonymous

Mykola Kulieshov 18.08.2016 00:29

В СБУ.

anonymous

Mike Stefanskiy 14.08.2016 22:19

подивіться на сам продукт. питання про саботаж зникнуть самі по собі. елементарні речі з CRSF не закриті. якщо реєстр запустять в такому вигляді — будь який корупціонер елементарно відіб’ється від відповідальності в суді, довівши що його декларацію могли підмінити

anonymous 14.08.2016 23:03

-

Mike Stefanskiy 15.08.2016 08:18

CRSF створює високе навантаження на сервер? Щоб побачити кваліфікацію «проффесіоналів» що розробляли цей софт достатньо глянути на вихідний код на JS. Відверто слабко навіть для прототипа, не кажучи про продукт, який сьогодні має здаватись в експлуатацію. Якщо братись розробляти серйозні речі — варто реально розцінювати власні сили.
P.S. корпоративний сайт miranda.net.ua також показний в плані «володіння сучасними технологіями»

anonymous

Y P nikto 15.08.2016 12:03

CRSF створює

— сорри, что есть CRSF?

Алексей Орленко Backend Engineer в SinceTV 15.08.2016 12:26

CSRF, полагаю.

Y P

Y P nikto 15.08.2016 12:26

вот-вот.

Алексей Орленко

Mike Stefanskiy 15.08.2016 12:35

якщо зосвім точно CSRFP. ще вчора не було. Навіть заскріншотив (tinypic.com/r/24g54zl/9) . Напевно вже виправили. Але хто його знає скільки там ще таких нюансів. токен передається через кукі, потім скрипт зчитує з кукі і додає до форми. Форма передається на сервер серіалізованою в JSON, в джаваскрипті каша. не заздрю тому, кому доведеться в цій каші порядок наводити згодом. Якщо серверний код написано в тому ж стилі що й клієнтський

Y P

Sergiy Fakas Information Security Officer в Oro 15.08.2016 22:43

Відкрийте miranda.net.ua і насолодіться.
Ага. Домен net.ua також невимовно прекрасний якщо мати на уйвазі що чувакам замовили надзвичайно важливу і відповідальну задачу.

Александр Бобров 15.08.2016 23:17

Не все занимаются самолюбованием )))

Sergiy Fakas Information Security Officer в Oro 15.08.2016 23:19

? У них нет торговой марки. Список заказчиков тоже очень мил. Тут изумлялись что нельзя отдавать разработку прогерам за 3000 грн. Ага...

Тиберий Марк 15.08.2016 12:23

CSRF.

Andrii Pitukh Java Dev 15.08.2016 12:25

CSRF-захист є. Передається через хедер X-CFRS-Header. Так що з цим все в порядку. Перевірив щойно на try.declaration.org.ua

Oleksii Shevchuk 14.08.2016 22:10

Не понимаю, с чего такой ажиотаж. Это же Украина, тут все делается через жопу и в последний день. Ну вот посмотрите. www.dstszi.gov.ua/...t_id=259430&cat_id=240232
8го августа ДСТЗИ заявляет, что у них ничего нет. Тащемта все, конец обеда. Если действительно собираться запускать что-то 15го августа, это сообщение должно было появиться где-то в апреле-мае. Остальной происходящий бред — попытка прикрыть задницу при нездоровом внимании и гласности.

Sergiy Fakas Information Security Officer в Oro 15.08.2016 12:36

Ну по поводу Украина и через жопу можно и палегче. Могу напомнить запуск Obamacare в Штатах, когда сайт тупо лег. Ага. При наличии правительственного CIO и кучи крутых ИТ кимпаний в стране.

Oleksii Shevchuk 15.08.2016 12:48

Будто бы одно отменяет другое :]

Andrii Rodionov JUG UA, Викладач в НТУУ «КПІ» та УКУ 15.08.2016 22:34

А там кстати одна из наших аутсорсовых компаний его и писала

Sergiy Fakas Information Security Officer в Oro 15.08.2016 22:35

Там насколько я помнию была проблема с availability and capacity. А это все таки в меньшей степени код, а большей степени operations.

Andrii Rodionov JUG UA, Викладач в НТУУ «КПІ» та УКУ 15.08.2016 22:41

На JavaEE с JSF (и иже с ним) было сделано, поэтому похоже и возникли основные проблемы с availability and capacity

Sergiy Fakas Information Security Officer в Oro 15.08.2016 22:44

Ну на самом деле глубоко пофигу на чем лишь бы допускало горизонтальное масштабирование. Все надежные системы строятся из ненадежных компонентов.

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 03:48

Главная проблема была в том, что правительство, в общем-то, никогда не делало сервисы для конечных потребителей. В США базовые средства взаимодействия с правительством — это почта, факс, электронная почта. Сайты, конечно, были, но не электронные сервисы. Вообщем, все как у нас 2 года назад, кроме наличия/отсутствия факсов и e-mail.

В США банально доверия больше. ЭЦП, BankID — всё это там просто не востребовано. Как в анекдоте про то, как русский выиграл в покер у англичан. Это, конечно, компенсируется мощностями АНБ и ФБР. Зачем э-сервисы, если можно позвонить и подписать документы по факсу?

Кроме отсутствия опыта создания сервисов для масс, были проблемы и с совместимостью. Слишком много подрядчиков и мало координации между ними. Как в выступлении Райкина «Кто сшил костюм?».

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 03:21

healthcare.gov — это вообщем-то история успеха. Благодаря этому фейлу в США родилась USDS en.wikipedia.org/...ed_States_Digital_Service
Это что-то типа нашего агенства э-урядування, только работающее.

Героем стал бывший Site-reliablity engineer из Google
blog.newrelic.com/...content/uploads/80893.pdf

anonymous 14.08.2016 21:46

—

Andrii Rodionov JUG UA, Викладач в НТУУ «КПІ» та УКУ 14.08.2016 23:38

Со всеми замечаниями ДСТСЗИ абсолютно согласен — такие требования НД ТЗИ, нравится это или нет. Дальше надо читать ТЗ на КСЗИ и ПЗ на КСЗИ

anonymous

anonymous 14.08.2016 23:47

-

Гай Пирсон 16.08.2016 09:28

Ага круто отписались, вот только если бы у вас в ведомости на зарплату в фамилии поменять пару букв сомневаюсь, что бы вы получили зарплату в банке.
А тут какая то сплошная хрень и ошибки, столько времени прошло с разработки, почему так поздно подали на экспертизу непонятно.

anonymous

Alex Alex 15.08.2016 16:52

Правда? Со всеми? И с пунктами 3.3, 3.5, 3.6 тоже согласен?

Alexey Baranov Software Engineer in Test в Oracle 15.08.2016 14:53

ТОВ «Міранда» нагадує, що спосіб авторизації BankID був прописаний в Технічному завданні на КСЗІ ІТС «Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави і місцевого самоврядування», яке було погоджене ДССЗЗІ ще 03.08.2016.

То есть финальное ТЗ было оформлено только 3 августа, а система должна быть написано, протестирована и запущена в продакшен в 00:00 15 августа? Ннайс.

Згідно з трьохстороннім Актом приймання-передачі № 1 від 27.07.2016 власником програмного забезпечення, розробником якого є ТОВ «Міранда», є Національне агентство з запобігання корупції.

А это что за акт приёма-передачи, который был подписан ДО утверждения финального ТЗ?

anonymous

Mykola Kulieshov 18.08.2016 00:27

1 «финальное ТЗ было оформлено только 3 августа»: не оформлено, а утверждено ДССЗЗИ.
2 «что за акт приёма-передачи, который был подписан ДО утверждения финального ТЗ»: не путайте передачу ПО и ТЗ на ПО и утверждение ТЗ на КСЗИ.

Alexey Baranov

Georgii Piskunov Генеральный директор в OLGERA LLC 20.08.2016 19:49

Отмазка по пункту 2 прекрасна. К ней должна идти пергидрольная прическа с начёсом, перегазружающийся «компьютер» и «у нас уже три минуты обед».

anonymous

Максим Бублик 14.08.2016 20:59

Опубликован протокол обсуждения замечаний:
www.eurointegration.com.ua/.../e/4edc898-0-original.jpg
www.eurointegration.com.ua/.../5/653eb4c-2-original.jpg
Кто-то видит там замечания по качеству кода, по уязвимости системы?

Sergey Chetverikov 14.08.2016 21:29

А чем пункт 2 и 3 протокола, противоречит старт посту? В пункте 3 вообще описаны конкретные претензии к безопасности системы и защиты от несанкционированного доступа с внесением изменений задним числом.

anonymous 14.08.2016 21:45

-

Sergey Chetverikov 14.08.2016 22:22

3.1 відсутнє визначення об’єктів, що містять конфіденційну інформацію
#Визначення об’єктів, що містять конфіденційну інформацію, приведено у пояснювальної записки до технічного проекту

(пане адвокат, можна глянути на пояснювальну записку?)

3.2 не визначено порядок ідентифікації «незареєстрованого користувача»
#на етапі технічного проекту було прийнято рішення про відсутність потреби в ідентифікації «незареєстрованих користувачів»

(ТОВ «Міранда» прийняла таке рішення? Чи таке є нормою коли розробляеш систму, яка задумана як система протидії корупції — на основі матеріалів можуть буди конкретні кримінальні справи з конфіскацією майна?)

3.4. у документації має бути визначений склад КЗЗ та відповідність цієї інформації технічному завданню
#Це технічна описка: у пунктах 2.2.1 та 2.2.2 замість слів «Склад компонентів КСЗІ ІТС ЄДРДО» слід читати «Склад КЗЗ ІТС ЄДРДО».

(Вибачте, це юридичний документ! Чи описка технічна? Ви розумієте що Петро Михайлович, та Пєтро Николайович — дві різні особи для суду?)

3.6. технічний проект не містить опису механізмів (компонентів програмно-апаратних засобів), що забезпечують реалізацію функціональних послуг безпеки
#Опис механізмів, які забезпечують реалізацію функціональних послуг безпеки, визначено у додатку № 1 до пояснювальної записки

(А чому не визначено у Email до секритарки Галі? На основі пояснювальної записки потрібно поставити візу з помцткою «безпечно» — при невизначенності реестрацій субїектів доступу з п. 3,2?)

3.7. тільки 4 з 26 програмних засобів, які реалізують функції безпеки, мають відповідні експертні висновки
#"У разі використання засобів захисту інформації, які не мають підтвердження відповідності на момент проектування системи захисту, відповідне оцінювання проводиться під час державної експертизи системи захисту«. Отже, експертне оцінювання зазначених програмних засобів, знаходиться у компетенції ДССЗЗІ.

(А протокол претензій склав невідомий? Чи той хто уповноважений підписати акт виконаних робіт, з первинною єкспертизою — де зазначив 4 з 26 відповідає технічному завданню?)

3.8 програмний продукт не містить засобів інтеграції з зовнішніми IТС, у той час як цей функціонал заявлений у технічному завданні.
#Після затвердження Технічного завдання на побудову КСЗІ Національне агентство з запобігання корупції не забезпечило організацію інформаційної взаємодії з жодним з зовнішніх IТС, що унеможливлює включення засобів інтеграції до складу КСЗІ.

(Х*як-Х*як і в продакшин? То Х*й на те технічне завдання?)

#Зважаючи на вищевикладені коментарі, ТОВ «Міранда» звертає увагу на відсутність зауважень до програмного забезпечення та інформаційно-телекомунікаційної системи Єдиного державного реєстру декларацій в цілому.

(А протокол не про технічний стан системи та претензії до захисту безпеки від не санкціонованого доступу, це не претензії технічні?)

anonymous

Sergey Chetverikov 14.08.2016 22:32

Коментар порушує правила спільноти і видалений модераторами.

Александр Бобров 14.08.2016 23:46

По поводу п.3.2 — притензии касаются публичного портала, там где информация публикуется без личных данных (ипн, адресов и т.д.). Или вы предлагаете у каждого, кто заходит на эту часть паспорт спрашивать?

Александр Бобров 15.08.2016 23:21

Вот об этом public.nazk.gov.ua/...clarations-public/#/about ресурсе п.3.2

Alexandr Sova Developer 14.08.2016 20:42

А вот и интересность и мечты о чётком ТЗ.
Судя по посту Госспецсвязи и более раннему посту разработчика первым не понравилось использование BankID как решение авторизации. При том что это решение было в ТЗ (действительно ли было?)
Далее в этой заметке сказано что

До слова, через те, що Держспецзв’язок не визнає ідентифікацію через BankID, низка сервісів електронних послуг в Україні працює в режимі дослідної експлуатації.

Т.е. потенциальные проблемы с тем что реализованое техническое решение авторизации примут и поддержат были очень давно, но менеджерское решение использовать именно эту систему ставит под сомнение компетенцию таких менеджеров. Ведь давно говорили что систему будут стопорить и “непущать”.
Неужели не было стратегии проталкивания продукта через бюрократов? Да к дискуссиям в клубе по-моему лучше готовятся.
Думается так же что тому кто нашёл эту ~~лазейку~~дыру в механизме проталкивания продукта (то, что Госспецсвязь не признаёт BankID) дадут медаль/премию/просто денег в благодарность — сколько #нужныхлюдей вздохнуло с облегчением узнав что она есть.

Максим Бублик 14.08.2016 21:17

не понравилось использование BankID как решение авторизации. При том что это решение было в ТЗ (действительно ли было?)

См. стр. 13: www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf
Четко сказано, что система, кроме ЕЦП, должна иметь альтернативный метод, предусмотренный законодательством (например, BankID, MobileID....).

Alexandr Sova Developer 14.08.2016 22:16

Так об этом и говорилось. Было ТЗ. Тз выполнили (судя по документу). Теперь получается что выполнение ТЗ не позволяет системе сертифицироваться.

Что сразу бросилось в глаза — что есть присутствующие и есть те, с кем согласовано. Нет ответственных.

Так же о другом хотелось сказать, но это уже в другом посте.

Y P nikto 15.08.2016 12:11

Основной вопрос: а со стороны исполнителя были безопасники, которые от начала старта работ над проектом и сбора требований ну и на всех последующих этапах, следили за выполнением требований стандартов к секьюрности и так далее? Если нет, — тады ой.

Гай Пирсон 16.08.2016 09:30

Судя по отпискам там тока голые програмеры и продажники с барыгами.

Y P

Yuriy Novikov 17.08.2016 23:24

любители поговорить, вот скажите, кто то, все кто хором пишут о замечаниях программного обеспечения, пробовал ее проверить а не голосить?

Nataliya Zubar Chair в Maidan Monitoring Information Center 17.08.2016 23:32

Я пробувала, я там зарегілася. І код подивилася. Вам ще щось розповісти, чи самі підете? :)

Mykola Kulieshov 18.08.2016 00:20

Розповідайте.

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 00:24

Що розповідати? Про глючний жабаскріпт який телефон ввести не дає? Цього досить? :)

Mykola Kulieshov 18.08.2016 01:40

Висилайте опис проблеми: [email protected]
Ще щось?

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 01:45

Ви знущаєется? Я не буду допомагати вам виправляти вашого каліча.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 01:48

Так а взагалі —

[email protected]

яке відношення до НАЗК чи Міранди?!

Mykola Kulieshov 18.08.2016 02:18

))) конструктив... Ви часом не в ДССЗЗІ працюєте?))
Такий же підхід «у вас все погано, а що ми вам не скажемо».
Загалом я не впевнений, що функціональна проблема, яку ви зазначили має місце.
А якщо, таки, вона існує, то будемо виправляти...
Проте нічого суттєвого, що негативно впливало б на функціонал, поки що в обговоренні не було зазначене...

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 02:20

В мене написано в профілі, де я працюю. Раджу поцікавитися, що то за контора. В нас є історія. Цікава.

Mykola Kulieshov 18.08.2016 02:24

Поцікавився...
?

Artyom Krivokrisenko 18.08.2016 02:49

Загалом я не впевнений, що функціональна проблема, яку ви зазначили має місце.

У меня есть предложение — если в коде все так хорошо, как вы думаете, выложите его на гитхаб, умные люди посмотрят и скажут где дырки.

Ковыряться в говняном javascript на фронтенде тут мало у кого желания

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 02:50

ROLFMAO

Mykola Kulieshov 18.08.2016 08:52

Артём, не надо из крайности в крайность шарахаться, давайте придерживаться середины... Никто не говорит, что код идеален, безупречен и нельзя ничего улучшить... Однако он обеспечивает соответствие ТЗ и необходимый функционал.
По поводу «выложить на гитхаб» предложение, конечно, интересное, только вот не к нам, т.к. Миранда не является собственником продукта...

Sergiy Fakas Information Security Officer в Oro 18.08.2016 08:56

Ну т.е. то что информация о каждом кто зарегистрировался в системе попадает на почтовый сервер Миранды кот-й не имеет никакого отношения к НАЗК и таким образом имеет место быть банальная утечка это так, мелочи.
И кстати пишут что функционал то код не обеспечивает — последние 2 фазы вы так и не сделали.

Mykola Kulieshov 18.08.2016 09:17

Знову за те саме... Сергію, як вже раніше повідомлялось та багато обговорювалось, етапи створення ПЗ, то є Результати 1-3 договору. Результат 4 договору виконаний, проте під’єднання до зовнішніх ресурсів не можливе до отримання атестату ДССЗЗІ. Результат 5 не має відношення до створення коду.
Таким чином на цей час система має повний функціонал для накопичення та оброблення інформації.
Щодо «попадает на почтовый сервер Миранды» то у Вас мабуть, якась застаріла інформація або дезінформація. Обмін такими даними виконується виключно у межах закритого контуру.

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 09:18

Про ваш «закритий контур» вже в курсі правоохоронні органи. Спакуха

Mykola Kulieshov 18.08.2016 09:26

)))) Доброго ранку.
Звісно в курсі. Це все досить докладно було викладено у документації, яку було подано в ДССЗЗІ.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 09:32

А отакий раут пошти Ви показували dou.ua/...aign=reply-comment#973771 ?

Artyom Krivokrisenko 18.08.2016 09:33

Результат 4 договору виконаний, проте під’єднання до зовнішніх ресурсів не можливе до отримання атестату ДССЗЗІ.

Документацию на API можно в доступ выложить или тоже все NDA?

Mykola Kulieshov 18.08.2016 09:48

Мы вообще ничего не можем никуда выкладывать. Нас за это будут ругать, мягко говоря.

Artyom Krivokrisenko 18.08.2016 09:31

Артём, не надо из крайности в крайность шарахаться, давайте придерживаться середины..

Ваша проблема в том, что мы с вами не в суде и презумпция невиновности здесь не действует. Если вам важется, что ваш софт офигенный, а сообщество считает, что ваш софт — дырявое говно, то это ваша обязанность доказать, что софт не говно и не дырявое.

Mykola Kulieshov 18.08.2016 09:46

Артём, Вы вообще вчитываетесь в то, что Вам отвечают (на вопрос об офигенном софте я уже отвечал)?
Мнение «сообщества» о софте пока что складывается из полувнятных обвинений и попыток «взломать» систему.
Моё мнение строится на результатах неоднократного аудита международных и украинских експертов, замечания которых были устранены.
Обязательства разработчика перед Заказчиком выполняются вовремя.
А Вам лично мы вроде бы ничем не задолжали. Я пытаюсь ответить на возникающие вопросы, но, судя по всему, зря.
При чём тут презумция невиновности?

Sergiy Fakas Information Security Officer в Oro 18.08.2016 10:57

Можно имена экспертов огласить? Они ж не ДСП, правда?

Artyom Krivokrisenko 18.08.2016 12:12

Обязательства разработчика перед Заказчиком выполняются вовремя,...

... престiж крeпчаeт, мощно возрастаeт дeнь ото дня процент жиров у маслi

Sergiy Fakas Information Security Officer в Oro 18.08.2016 01:46

А на чому Вам хтось повинен слати опис проблеми? Яке відношення Ви маєте до цього реєстру?

Mykola Kulieshov 18.08.2016 02:21

Представник компанії-розробника (маю ж я право зі свого боку прийняти участь в обговоренні?)... не технічний фахівець, тому й запитую.

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 02:23

Воно і видно, що не тенічний фахівець.

Mykola Kulieshov 18.08.2016 02:24

...жодного конструктиву.

Nataliya Zubar Chair в Maidan Monitoring Information Center 18.08.2016 02:28

Який тут конструктив, я матеріали для позову збираю. На вас і на вашу гоп контору.

Mykola Kulieshov 18.08.2016 02:36

)))) Так Ви так зразу і повідомляйте...
Sergiy Fakas та Sergiy Skyniko то Ваші Коллеги, мабуть?
І ви тут емулюєте дискуссію...?
Молодці...

Sergiy Fakas Information Security Officer в Oro 18.08.2016 02:38

Sergiy Skyniko

— без поняття. Але я розіумію коли люди проектують свої цінності на інших.
Ні, дискусію ми не емулюємо.

Sergiy Fakas Information Security Officer в Oro 18.08.2016 02:24

А як це можна зрозуміти? В профілі тут пусто. Адреса на халявному сервері. Шановні, ви виграли тендер на розробку системи з серйозними вимогами по infosec і ідентифікації а вас самих, як і ваш сайт неможливо нормально ідентифікувати. Ну це веж смішно насправді.

Олексій Пєніє 14.08.2016 19:55

Курили таба-табак, употребляли абсент, и кое-что кстати тоже могли.

Sergey Nekolaiv 14.08.2016 19:31

Поздравляю, вопрос успешно слит.
www.facebook.com/...ov/posts/1237626609622240

undefined pointer 14.08.2016 21:51

И рык Гройсмана — это добрый следователь.

А технические детали — это уже КАК было сделано. Разрабы виноваты!
Нет, чиновники!

Аха, холопы не так плуг тянули.
В тундре.

undefined pointer 14.08.2016 19:08

Расскажу подробнее, о том как в странах третьего мира работают известные организации. Про откаты которые давали Интел думаю слышали.
А вот что за пивом, на семинаре Тасиса ответил консалтер из известной британской фирмы на вопрос
— а вот скажите, почему все таки после тшательных предпроектных обследований происходят провалы проектов.
— ну, давайте я вам расскажу байку, которой конечно не было, и не со мной...

Есть африканская страна. В рамках помощи развитию выигрывает тендер консалтинговая компания. Специализирующаяся в проектах по разработке полезных ископаемых. Ей ставят задачу — ответить на вопрос — рентабельно ли будет хоть что из того что есть добывать.
Несколько месяцев большая группа колесит по стране, анализирует. Аналитики в офисе тоже трудятся. Черновой вариант подается правительству этой страны, потому что контракт с ним. А в нем грусть — в силу таких причин нерентабельно добывать то. В силу вот таких,это. Морпорты далеко, дорог нет, содержание в руде потребует электроэнергии, воды, ... которых нет. И т.п

Правительство читает, и говорит.
— вот у нас переписка с фондом оон по. А вот с инвест ассоциацией. А вот внепротокольные разговоры с министром экономики из, премьером Х
И видите, нам готовы дать денег, надолго, под приятные ставки, но просят план развития хоть какой-то отрасли, подтвержденный авторитетной аналитической компанией.
У нас кроме ископаемых идей нет.
И, если вы покажете этот отчет — мы вам не заплатим. Судитесь, нам терять нечего, денег и перспектив у нас все равно нет.
А если вы покажете что можно что-то добывать нам дадут деньги. И мы вам еще и премиальные выплатим. И будем и другие компании приглашать. И им тоже будем платить. А через 10 лет, на которые рассчитаны план — кто знает что будет.
....
Поэтому когда вам говорят, что какая-то авторитетная организация, компания, сделала позитивное заключение о проекте в стране третьего мира, вспоминаете эту байку, когда через 10 лет тот проект окажется пшиком

Oleg Korol POWER Ops, again 15.08.2016 23:41

Поэтому когда вам говорят, что какая-то авторитетная организация, компания, сделала позитивное заключение о проекте в стране третьего мира

оставьте в покое страны третьего мира

чего стоит только история банкротства Lehman Brothers, которых многие годы покрывали Ernst & Young
www.reuters.com/...ros-idUSKBN0N61SM20150415

undefined pointer 16.08.2016 10:50

оставьте в покое страны третьего мира

я к тому что внутренние правила, регламенты ТНК, международных фондов и т.п. разные для стран 1го мира, 2го и 3его.

ваш пример не единственный, когда и в странах 1го мира такая хрень творится. но его все же можно считать исключением.

а вот в странах 3его мира такое поведение — норма. хотя конечно, тоже бывают исключения.

Украина — страна 3го мира, несмотря на ряд факторов, дающих надежду на перспективу перейти во 2ой мир.

Oleg Korol

Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 10:55

Вибачте, ви були самі хоч в одній страні третього світу?

2011 Почему Украина — страна третьего мира
2012 Украину признали страной третьего мира

undefined pointer 16.08.2016 13:29

я в ній живу

Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 13:30

Ясно, значить не були. Ражду з’їздити. це недорого.

undefined pointer 16.08.2016 13:35

дякую. краще до Європи, це блище, і все ж дешевше.

ви мабуть натякаєте на рівень злочиності?
Печальную статистику не так давно обнародовала Генпрокуратура Украины: в стране за последние два года резко выросло число убийств, грабежей, квартирных краж и угонов автомобилей, пишет Евгения Вецько в № 6 журнала Корреспондент от 19 февраля 2016 года. По некоторым данным, в полтора-два раза. Например, в 2013 году правоохранители зафиксировали 13 тыс. особо тяжких преступлений, а в 2015-м — уже 21,5 тыс.

И даже эти цифры не отражают всей картины — в отличие от данных за 2013 год, в статистике не учтены Крым и занятые сепаратистами части Донецкой и Луганской областей. Иначе показатели были бы ещё выше.

звісно, буває ще гірше. країни 3го світу теж різні.

... Что же касается такого критерия, как “эффективность функционирования правительства” (Democracy Index 2010), то у нас дела, как выясняется, даже хуже, чем в Лесото, Намибии, Папуа " Новой Гвинее и Суринаме.

що там з провадженням е-декларування, не чули останніх новин?

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 04:33

Мы — бывший 2-ой мир. ru.wikipedia.org/wiki/Третий_мир

undefined pointer 17.08.2016 08:19

Главное не ваша наивность, которая в постах в этой теме, а то что Украину считают страной третьего мира те которых принято считать первым миром.
Даже президент называет в Украину потому что у нас дешевая рабочая сила.

А что о себе думает эта рабочая сила и наивные мальчики и девочки — не имеет значения

Vanya Yani

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 09:18

Если есть только 2 категории стран, развитые и развивающиеся, то почему «третий» мир? Где второй? upload.wikimedia.org/...st-developed-2008.svg.png

Бывшие социалистические страны — это и есть 2-й мир.

Oleg Kariakin Senior Java Developer 17.08.2016 09:34

Ололо.

Vanya Yani

Mykola Kulieshov 18.08.2016 00:18

Сергей, Вы, судя по-всему, очень большой эксперт в международных public procurements... Байки всякие знаете...
Если Вам хочется жить в стране третьего мира — живите наздоровье...
А подобными «фантазиями» очернить можно любой проект и любую организацию. Не ново и не оригинально...

Mobile 23.08.2016 03:16

да ты сказочник еще тот )) я видел проекты для стран третьего мира. Там вопрос ставится по другому чем ты тут придумал. Вопрос стоит так — фонд когото например при ООН выделяте 5 лямов на обследование перспективных отраслей экономики. На эти 5 лямов фонд присылает 2е консалтинговые конторы которые ездят по стране, тусуются с министрами и т.д. и в конце готовят отчет который называется типа пре-стади. В отчете приводятся оценки перепективности разных проектов — например введение НДС, постройка нового города, развитие внутреннего туризма, продажа лицензий на добычу ископаемых, приватизация предприятий, стратегичиский план развития на 20 лет и т.д. Консалтеры рапортуют фонду и деньги получают вперед, можны немного приукрашать отчет, но только в какихто мелких пределах. На следующие 5 лимонов пишется один -два-три детальных бизнес плана с горизонтом 3-5-10-15 лет, куда включены подготовка законодательной базы, финансирование, инфраструктура и т.д. Опять же консалтеры получают большую часть денег вперед, а не по факту. И если престади и план стоят 5-10 лимонов то на сопровождение проекта можна заработать гораздно больше. Фонды кто даст денег на проект будут изучать бизнес плани и пришлют своих аудиторов ну и т.д. Ошибки конечно тоже бывают, но не так что бы кто то писал фейковый репорт.

undefined pointer 23.08.2016 08:13

Ошибки конечно тоже бывают, но не так что бы кто то писал фейковый репорт.

а полностью фейковый — никто и не пишет.

а скажем — учитывая

Ошибки конечно тоже бывают

закладывается самый оптимистический сценарий. то что вы и сами написали

можно немного приукрашать отчет

тот британец рассказал именно в виде байки, «аллегории», чтобы показать что в историях подобных
Сеть «Космо» судится с IBM за 26 млн гривен из-за провала интеграции ERP-системы
от стороннего наблюдателя скрыты нетехнические моменты.

на том семинаре были кейсы по реальным случаям — типа как внедрение SAP R/3 убило одну из американских аптечных сетей.
и — рассмотрение признаков «что что-то пошло не так».
например такого: на фоне победных рапортов о процессе внедрения SAP, несколько топов начали избавляться от своих пакетов акций родной компании, одновременно, мелкими частями через разные брокерские компании

так что я не вижу как ваш пост отменяет мой. и наоборот — мой ваш. мы просто рассказываем о разных гранях одного и того же.

Mobile

Mobile 23.08.2016 19:10

про самый оптимистичный сценарий — согласен )))

undefined pointer 23.08.2016 08:56

P.S.
покопался, оказывается у меня сохранились некоторые материалы с того семинара

даже с правильной датой 03.12.2000 :)

это был семинар для руководителей айти отделов. я тогда был и.о., гендир толкал в начальники. их было несколько, конкретно этот, 3ехдневный был в Славском, в «Перлыне Карпат» или как-то так.

копирайт материалов
Gallo ECF S.p.A and IMC Consulting

3 кейса выложил у себя в бложике.

но, если вы бывали на подобных семинарах, то знаете что бОльшая часть ценного — в живых обсуждениях, а не материалах.

поэтому да, ничего кроме сказок с них вынести низя :)

Mobile

Mobile 23.08.2016 19:08

ну я так сразу не найду сд с документами, но это было не обсуждение кейса а именно финальные репорты с пре-эвалюйшн для одной отрасли в одной стране третьего мира.

Сергій Вдоварейзе Software Engineer в Clario 23.08.2016 17:50

Все это тут: www.ozon.ru/...ontext/detail/id/7106232

Sergey Nekolaiv 14.08.2016 16:27

Пропаганда? Наброс?
Читайте Чаплинского лучше, чем этот бред.

Sergey Chetverikov 14.08.2016 18:28

Я знаю что мне читать, спасибо безликий за рекомендацию.

Sergey Nekolaiv 14.08.2016 19:29

Та если бы вы тихо себе читали, то никто бы вам ничего не рекомендовал — но нет, вы сюда этот кусок @#$% притащили.
Да, прочитал dou.ua/forums/topic/8999 , вопросов больше не имею. К монахам.

Sergey Chetverikov 14.08.2016 21:14

По делу что есть? Или будем мои носки обсуждать?

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 04:48

Если по делу, то ДССЗЗИ и украинские нормативные акты — это причина, по которой тендеры на украинские госИТ-системы выигрывают такие компании.

Вот вы бы взялись за разработку? С учетом того, что надо не просто разработать, а и документировать (по советским ГОСТам, между прочим), пройти сертификацию и сдать в эксплуатацию?

Вас не удивляет, что компания, имеющая опыт в госзаказах, не смогла пройти аттестацию КСЗИ? Возможно, причина не в недостатках софта? Единственный существенный «недостаток» — BankID — содержится в ТЗ. А BankID, как известно — прямая угроза криптостандартам ДССЗЗИ. Хотя последняя, конечно, и говорит, что нет проблем заодно аттестовать и BankID.

В банках — международные стандарты, поэтому ДССЗЗИ идет лесом даже в НБУ.

Sergey Chetverikov 18.08.2016 17:29

откуда в «советских» ГОСТах — понятие софт и понятие ИНТЕРНЕТ? Давайте не чесать лапшу умышленно, или по глупости!!! Советский ГОСТ)))) Такое Петросян даже не исполнит))) Дальнейшее обсуждение с вами закрыто — идите молоком лучше торговать)))

Vanya Yani

Anton Krasnopolsky 14.08.2016 16:00

Для Миранды это нормально, у них такая философия. Впарить заказчику сырой пше-альфа код, но при этом оформить документы на 100%. Никто на сам код даже и не смотрел. Бабки взяли за недоделку, а потом еще и за доведение до ума попросят.

anonymous 14.08.2016 16:09

-

undefined pointer 14.08.2016 16:16

А код перевіряла і тестувала міжнародна компанія PricewaterhouseCoopers

не можу знайти пруф на її висновкі.

в вас нема?

anonymous

anonymous 14.08.2016 16:17

-

undefined pointer 14.08.2016 16:21

тобто ви самі не перевіряли цю інфу, але впевнено її приводите як аргумент.

anonymous

anonymous 14.08.2016 16:31

-

undefined pointer 14.08.2016 16:55

нема пруфа — нема аргументу.
аргумент — «британські вчені довели» не аргумент.

те що платила ПР ООН — нічого не доводить.

я не знаю хто правіший у цієї історії.

поки що все типово для української корумпорованої і забюрократизованої системи.

і сама тендерна перемога — типова. Дивина була б якби якийсь Люксофт виграв тендер.
а так — придержавна компанія.

а щодо PricewaterhouseCoopers...

коли був 1Сником, багато чув як вони «перевіряють» в країнах третього світу.
і не тільки вони.
як живцем розповідав один британський консалтер — у Африці, Азії, ми даємо те заключення, за якє платять. а платять тільки за такє, під якє ООН, та інші дадуть грошей.

і коли кажуть що західна компанія не буде ризикувати своїм ім’ям, то або не знають, або прибрехують:
західна компанія і не ризикує своїм ім’ям, тому що інфу з країни третього світу на заході враховувати, перевіряти не будуть. а в неї самої є виправдання
— ну ви ж знаєте яка там корупція, які чиновники, — перекрутили все, ось дивіця, ось тут ми ...
— та не треба, знаємо.

anonymous

Максим Бублик 14.08.2016 17:11

нема пруфа — нема аргументу.

В принципе, да. Но можно пойти от обратного и подождать, пока появится контрпруф: взлом или отказ системы, критическая невозможность воспользоваться функционалом и т.п. Если их не будет, то можно допустить, что пруф таки был пруфным.

undefined pointer 14.08.2016 17:24

История столь привычно гнилая, что правильным путем было бы обратится к айти комитету ЕС, или кто у них там отвечает, чтобы они дали софт, к которому никто из наших не прикасался, и в безоговорочно заявили
— вот софт в котором ваши чиновники обязаны декларировать. Его работа будет монитрится дополнительно нашим софтом, установленным у нас. А какие там у вас госты, или еще какая лабуда мешают его внедрению — нас не интересует. Иначе — кредитов не будет. Все.

anonymous 14.08.2016 17:29

-

Максим Бублик 14.08.2016 18:57

Меня заинтересовал немного другой ракурс этой истории: как одни наши айтишники с легкостью готовы поверить в говнокодерство других с подачи журналиста или чиновника, не требуя, в общем-то, доказательств. Айтишники как козлы отпущения — такая роль, похоже, устраивает даже многих айтишников.

anonymous 14.08.2016 19:34

-

Anton Krasnopolsky 14.08.2016 19:44

Легко. Вспомнилось название компании и вспомнился их код, который я видел сам. Надеюсь он стал лучше на этом проекте

Максим Бублик 14.08.2016 20:23

Это случай самостоятельной оценки. Я же про безаппеляционные заключения о софте, которые выдали на гора за последние два дня такие известные профессионалы, как наши политологи, чиновники и журналисты.

anonymous 14.08.2016 17:16

-

Sergiy Fakas Information Security Officer в Oro 15.08.2016 12:39

А де можно почитати SOC від PWC?

anonymous

anonymous 14.08.2016 16:13

-

Anton Krasnopolsky 14.08.2016 16:25

Тут нет ничего конкретного, просто сказано что были какие то предварительные тесты PwC, неизвестно по какой методике и чего конкретно

anonymous

undefined pointer 14.08.2016 16:28

вот и я про то.

зато я угадал, это именно miranda.net.ua — фирма специализирующаяся на гос секторе.

а там выжить честно — невозможно.

Гай Пирсон 16.08.2016 09:34

И на сайт даже денег не могли насобирать.
Короче кто то в НАЗКе явно прокололся!
Доверить такую важную вещь конторе которая даже нормального офиса или собственности не имеет надо быть полным неучем.

Sergiy Fakas Information Security Officer в Oro 16.08.2016 12:53

Выбирал не НАСК, а ПРООН. И очевидно при активном участии шабунинсикх аентикоррупционеров.

Максим Бублик 14.08.2016 17:06

Там же вроде вполне конкретно указано: PwC — тесты на функциональность и проникновение, TestLab2 — нагрузочные тесты. Далее приводится 21 подсистема с коротким описание фукнционала.

Andrii Rodionov JUG UA, Викладач в НТУУ «КПІ» та УКУ 14.08.2016 16:35

Под тем 17-страничным документом вижу подписи людей от Спецсвязи в компетентности которых у меня сомнений нет. И очень хотелось бы увидеть «окрему думку» Сагайдака )

anonymous

Sergey Nekolaiv 14.08.2016 16:37

в компетентности которых у меня сомнений нет

а в искренности и честности?

Andrii Rodionov JUG UA, Викладач в НТУУ «КПІ» та УКУ 14.08.2016 16:45

Скажу так. На нас как на экспертов никогда не было давление со стороны Спецсвязи кого-то валить и непущать, зато бывало чудовищное давление со стороны тех, кто хотел пропихнуть систему. И да, нас в обвиняли в политическом заказе, коррумпированности, срыве международных обязательств страны

Sergey Nekolaiv 14.08.2016 17:04

Вот читаю фб Чаплинского, и вижу там другую точку зрения. И кучу фактов, в его поддержку.

Петр Иванов 17.08.2016 00:17

Там только подпись Сагайдака, Грохольский в отпуске, а Мялковский в командировке. Так что отдувался только Сагайдак с окремой думкой) Тоже хотелось почитать, но журналисты забыли отсканировать с обратной стороны лист, где как-раз и была уже практически легендарная окрема думка пана Романа)

Александр Бобров 14.08.2016 16:31

Антон, давай не будем переходить на личности. Или ты думаешь нечего рассказать про тебя и твою компанию? В ГПУ уже все показания дал?

Sergey Chetverikov 14.08.2016 18:29

Дело не о конкретной конторе, а как минимум о престиже IT отрасли Украины. Когда берешь такие заказы, нужно понимать уровень ответственности.

Максим Бублик 14.08.2016 15:52

Вечер перестает быть томным. Не пора ли прогуляться на Соломенскую 13?
Sasha Drik: “Розробників системи е-декларування фізично не випускають з Держспецзв’язку!”
Update: відпустили www.facebook.com/...5617725155414?pnref=story

undefined pointer 14.08.2016 14:32

Юрій Новіков, директор ТОВ “Міранда”
На вчерашнем утреннем заседании НАЗК представители Госспецсвязи говорили о “10 типах уязвимостей” реестра деклараций, из-за которых она не получила их атестат. Ближе к ночи мы наконец-то смогли ознакомиться с этим экспертным выводом, пройдя длинные переговоры о получении нами допуска к документу. Поскольку он не для всех, копии не имею, цитировать не могу. Но общими выводами поделюсь.

Во-первых, сам экспертный вывод ни содержит НИ ОДНОГО ЗАМЕЧАНИЯ к програмному обеспечению реестра. Все письменные замечания касаются сопроводительной документации. Некоторые из них можно считать не лишенными смысла, получили бы мы этот вывод в 14.00 субботы, как и было обещано — документация уже была бы поправлена.

Еще раз обращаю внимание: утром — рассказ о “10 типах уязвимостей”, вечером — письменный вывод о замечаниях лишь к документации, не самой программе.

Не смотря на эти вроде бы радужные новости, я сегодня твердо убедился, что аттестат система в ближайшие дни ни в коем случае НЕ ПОЛУЧИТ. Ведь кроме экспертного вывода, который был камнем преткновения утром, уже вечером Госспецсвязь вывалила нам на голову ряд новых, устных замечаний. Например: раньше, согласовывая Техническое задание на систему, Госспецсвязь не видела проблемы использовать определенный модуль, описанный в ТЗ. А теперь — увидела, и говорит что этот модуль сертификацию не пройдет ни в коем случае. В общем, готовят пустить нас по кругам своего внутреннего ада

пост в FB

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 14.08.2016 15:05

Например: раньше, согласовывая Техническое задание на систему, Госспецсвязь не видела проблемы использовать определенный модуль, описанный в ТЗ. А теперь — увидела, и говорит что этот модуль сертификацию не пройдет ни в коем случае. В общем, готовят пустить нас по кругам своего внутреннего ада

Потому что ТЗ было сделано на отъебись — много воды, никакой специфики, а реализация — это уже специфика и если там лажа ДСС об этом явно и говорит. В общем я на стороне спецсвязи, т.к. проходил эти процедуры много раз и догадываюсь, что такую реакцию могли вызвать настоящие соддом и гоморра в коде.

Sergey Nekolaiv 14.08.2016 16:29

Коментар порушує правила спільноти і видалений модераторами.

Александр Бобров 15.08.2016 23:47

Так код никто и не смотрел — вот в чем вся прелесть ситуации

George Kashperko 16.08.2016 00:51

Никто не запрещал разработчику реализовать и задокументировать BankID частью КЗЗ и провести его экспертизу.
Набросы о «нам разрешили BankID а теперь запрещают» тупая манипуляция, к удивлению дающая устойчивый позитивный результат.
Причина всех проблем НАЗК и разрабов с атестацией КСЗИ — нужно было заниматься подготовкой к ней ещё с весны — когда, судя по опубликованным документам, они передали первые 3 результата 1го этапа в НАЗК.
Впрочем эту причину можно сформулировать ещё короче и одним словом — некомпетентность.

Andrii Rodionov JUG UA, Викладач в НТУУ «КПІ» та УКУ 16.08.2016 01:08

Мне кажется, что ребята просто полезли в воду совсем не зная броду, без специалиста в команде у которого был бы опыт проведения/участия в экспертизах. Иначе он бы им должен был объяснить перспективы BankID и сертификатов от коммерческих банков в качестве надежного средства аутентификации.

Serhiy Kurtenko 16.08.2016 16:14

Скорее всего с BankID виноват заказчик НАЗК/ПРООН, а не исполнитель Миранда: есть ТЗ, в нем бизнес хочет BankID и разработчик реализует пожелания заказчика. А то что BankID не подходит для получения атестацией КСЗИ, так как сам BankID еще не сертифицирован в Украине, это должно было изначально понимать НАЗК.

Nataliya Zubar Chair в Maidan Monitoring Information Center 16.08.2016 16:31

Банайді хоче не бізнес а рішення

НАЗК

, мені усі лінки на всі законодавчі аспекти накидали. рішення від 30.06

Maxim Gorban Game Designer 17.08.2016 16:47

Охъ, не работали вы с дебилами, ой, политиками :)
ТЗ было составленно именно так что бы в любой момент по политическим причинам завалить систему на корню.
Автору многоходовочки — отдельные лучи поноса в карму :)

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 17.08.2016 23:25

Охъ, не работали вы с дебилами, ой, политиками :)

Работал :(

ТЗ было составленно именно так что бы в любой момент по политическим причинам завалить систему на корню.

При госпопиле за ТЗ платят от 10 до 20% денег за проект как завершенный первый этап. Поэтому ТЗ делается большим, отчего растёт его мутность и непонятность. По неписанным правилам все КСЗИ делается как доп ТЗ, чтобы 1) не зависеть от основного ТЗ, 2) быть предлогом дальнейшего попила денег. Там действительно на лицо не многоходовочка, а Жорж прав — некомпетентность.

Maxim Gorban

Александр Бобров 14.08.2016 14:28

Я думаю вот эта www.eurointegration.com.ua/...icles/2016/08/13/7053339 статья хоть немного прольет свет на происходящее.

anonymous 14.08.2016 13:41

-

Александр Бобров 14.08.2016 13:39

Все это хорошо, только очень далеко от истины.
Государство заплатило за этот проект 0 грн, платил за него ПРООН. Буковки ООН, что-то вам говорят? Проект прошел несколько независимых экспертиз, не от украинских компаний. Все есть в открытом доступе. Госслужащие просто бесятся, что им не досталось не копейки с этого пирога.

Iryna Volkodav engineer в e-commerce startup 14.08.2016 13:47

В топике написано обратное:

Руководство НАЗК признало, что качество программного обеспечения таково, что систему может взломать любой среднестатистический хакер. С таким качеством электронные декларации не могут быть правовым документом, и превращаются где-то в компьютерную игру.

пока фактическим владельцем программы является частная структура, она не передала НАЗК ни ключи, ни коды. То есть, эта частная структура некачественно выполнила роботу, и, по сути, срывает старт процесса.

undefined pointer 14.08.2016 13:57

Руководство НАЗК признало, что качество программного обеспечения таково, что систему может взломать любой среднестатистический хакер

и везде пишут что никакого документа, с описанием дыр не предоставило.

про то так тендеры работают, уже писал.

а госконторы, такого уровня работают так:
есть «аналитический отдел» в котором давно выпавшие из отрасли «аналитики». не только в ИТ, ведомства связанные с той же угольной промышленностью — тоже сплошь забиты давно забывшими нюансы, не говоря о новшествах. с минздравом — тоже самое. как они туда попали, и почему сидят годами, и не сковырнуть их майданами — отдельный вопрос.

и вот, им приходит задание. а они и «приватным репозиторием Битбакета» пользоваться не умеют.
ну что ж — время надо «потратить», вот неделями «анализируют». ну что там помнится еще, на то и обращают внимание. типа — «программа должна быть совместима с Windows 95».

потом руководство конечно требует отчет. в ответ — а какой нужен?
руководство думает, советуется с «смотрящими».

— а вот такой примерно пишите.

— Есть!

и пишут аналитический отчет.

здесь просто это громко вспыло, потому что проект ну очень важный. а система работать по другому не умеет, как написал выше.

Александр Бобров 14.08.2016 14:10

Между разработчиком и НАЗК нет никаких договорных отношений. Разработчик передал систему ПРООН, а уже ПРООН передавал систему НАЗК. На все это есть документы. В т.ч. подписанные главой НАЗК, о полной приемке системы.

Andrii Rodionov JUG UA, Викладач в НТУУ «КПІ» та УКУ 14.08.2016 15:09

Передали нам когда-то на экспертизу систему очередного «государственного документооборта» с полным комплектом документов с актами и приемкой. Беда только что работающего варианта системы никто и никогда не видел ...
А так, наличие Top 10 от OWASP, у проверяемых систем, было скорее правилом чем исключением

anonymous 14.08.2016 15:12

-

Andrii Rodionov JUG UA, Викладач в НТУУ «КПІ» та УКУ 14.08.2016 15:31

Да, действительно есть )
А не использовать SSL это так задумано или тестовый вариант?

anonymous

anonymous 14.08.2016 15:32

-

Sergiy Fakas Information Security Officer в Oro 16.08.2016 12:56

Еммм... А сенс тестувати неправильну конфігурацію?

anonymous

Mykola Makhin Solution architect, team leader в EPAM 14.08.2016 17:32

Что это за чушь вообще? Сейчас декларации, например, народных депутатов как выглядят? Тупо отсканенные бумажки в PDF на сайте Рады.
Аналогично другие “посадові особи” — выкладывают сканы на сайтах соответствующих держустанов.
Кого там взломали и нафига? Это публичная информация все равно.

Я вот смотрю, например, на Приват24 — 2-факторная аутентификация пароль + смс/звонок. Смотрю на пейпал — вообще только пароль. А тут в декларациях, где большая часть данных должна стать публичной все равно, вдруг понадобилась какая-то убер-секьюрити? Да неужели?

undefined pointer 14.08.2016 17:43

Как я понял игра там такая
Неотвратимость запуска эл декларирования уже поняли.
Поэтому нужно запустить такое — чтобы всегда
можно было декларировать не все.
Значит надо показать что степень надежности не позволяет декларировать вот какую-то инфу(она может быть клеветнически подделана! Что приведет к репутационным издержкам декларанта — и на кого за них подавать в суд?
В итоге формально все будет соблюдено, а реально будет декларироваться не все

И, вот тут и непонятно кто прав то. Возможно что этот сценарий был изначально заложен, начиная с тендера, а мы видим только одну из финальных сцен спектакля

Mykola Makhin Solution architect, team leader в EPAM 14.08.2016 18:04

Пишут на УП что хотят сделать так чтоб кое-кто подал декларацию в то время, пока система типа «не соответствует требованиям», чтоб потом можно было отмазаться что декларация подана в соответствии с законом, того требующим, но она же может быть любая левая и наказать за это нельзя, потому что система «не соответствовала требованиям» на момент подачи.

«Чиновники за законом мають вносити дані в систему два місяці після її запуску. З цих двох місяців місяць вона буде експлуатуватися в дослідному режимі. За цей місяць внесуть всі ‪#‎потрібнілюди‬. Потім їх зловлять на гарячому — апартаменти в Лондоні не задекларував і пояснити звідки гроші на них не може. Сидів би б такий от Романко років зо два, але він йде в суд і каже: система в дослідній експлуатації. Я все вчасно вніс, по закону, а притягнути ви мене по закону не можете. Бо у вас система не справжня. І вносити ще раз я не буду, бо закон я виконав.»

www.facebook.com/...yn/posts/1215536268496893
По ссылке с www.eurointegration.com.ua/...icles/2016/08/14/7053339

Serhii Zakrevskyi PM в ISM 16.08.2016 12:34

Сейчас за подачу неправдивой или неполной декларации предусмотрена уголовная ответственность. Выложил, к примеру, какой-нибудь чиновник-реформатор декларацию в которой у него однокомнатная квартира в Жмеринке и мотоцикл, оставшийся от дедушки в наследство. А какой-нибудь кулхацкер проник в систему и удалил мотоцикл из декларации. На утро реформатора пакует НАБУ. Вот что бы не было такого сценария и нужна убер-секьюрити.

Iryna Volkodav engineer в e-commerce startup 14.08.2016 13:53

Госслужащие просто бесятся, что им не досталось не копейки с этого пирога.

Система писалась для абстрактного государства и интеграции ее в тепличных условиях?

undefined pointer 14.08.2016 14:02

наверняка.

потому что ТЗ дожидались бы еще не один год.

мало того, по другому даже подобие реформ в Украине невозможно.

только проталкивание полностью далеких от реалий идей может что-то изменить.

сейчас например такое готовит новый министр здравоохранения. там полный разгром украинской медицины, по факту, на первых этапах будет. сломается и то что хоть как-то работало. а если не сломать — то медленно будет догнивать еще мноооого лет.

Iryna Volkodav engineer в e-commerce startup 14.08.2016 14:08

Я хз насчет ТЗ Сережа, но почва должна была быть подготовлена к интеграции и до минима сведено количество зависимостей на прогнивший госсектор.

Iryna Volkodav engineer в e-commerce startup 14.08.2016 14:11

Кто-то должен после такого фейла уйти в отставку в лучшем случае.

undefined pointer 14.08.2016 14:20

никто ничего никому не должен, когда речь о системных процессах.

undefined pointer 14.08.2016 14:19

это не коммерческая программа, чтобы избежать ее «контакт» с госсектором.
а как раз наоборот, это программа для госсектора.

почва должна была быть подготовлена к интеграции

чтобы построить дом на болоте — его вначале нужно осушить.

кто занимается осушением «прогнившего госсектора» в Украине? он же — госсектор.

поэтому никакого другого пути и не придумано пока, кроме как — сторонние, внешние силы и организации предлагают, навязывают внедрять в госсекторе нечто, НЕ согласовывая это нечто с госсектором.

это уже не первый случай когда госсектор встает на дыбки от требований МВФ, ЕС, и т.п. или саботирует.

Iryna Volkodav engineer в e-commerce startup 14.08.2016 14:32

поэтому никакого другого пути и не придумано пока

Чем не вариант отдать это в руки предпринимателям? Зачем отдавать тем кто ничего не хочет менять?

undefined pointer 14.08.2016 14:42

Чем не вариант отдать это в руки предпринимателям?

кто отдаст — госсектор?

а ему, «госсектору» это выгодно?

Зачем отдавать тем кто ничего не хочет менять?

у вас уже несколько постов побуждают меня напомнить

«политическая трескотня» — это когда в тексте присутствуют «должно», «будет лучше», и прочие, и напрочь отсутствуют — субъекты.

уточните пожалуйста, КОГО вы имеете ввиду, в фразе
Зачем отдавать ...?

КОМУ зачем отдавать? в смысле КТО этот отдающий?

а то я вас не понимаю.

Iryna Volkodav engineer в e-commerce startup 14.08.2016 14:56

уточните пожалуйста, КОГО вы имеете ввиду, в фразе
Зачем отдавать ...?
КОМУ зачем отдавать? в смысле КТО этот отдающий?
а то я вас не понимаю.

Те-же кто несут ответственность за реформы.

А я вот не понимаю как можно делать продукт для тех кому он не нужен.

undefined pointer 14.08.2016 15:02

Те-же кто несут ответственность за реформы.

а кто ее несет? и какого вида?

я вот вижу что ее никто не несет. даже политическую.

вы знаете кто и какую? так назовите КОНКРЕТНО — КТО, и КАКУЮ а не лейте воду.
хватит пустомель политиков, у них работа такая. вы — политик? если нет — то говорите конкретней

А я вот не понимаю как можно делать продукт для тех кому он не нужен.

уже пояснил — болоту не нужно чтобы его осушали.
это нужно тем кто хочет построить дом.
поэтому интересы болота — строителями дома — игнорируются.

например
если учитывать интересы коррупцинеров — то судебная реформа им не нужна.
значит, по вашему, ее и не следует проводить?

электронное декларирование не нужно — минимум 50 тыс чиновников.
и его бы и не было.

но оно зачем-то нужно ЕС, для безвизового режима с Украиной. и предоставляющие кредиты зачем-то его требуют.

так что это вам в Брюссель, в МВФ, с вопросом — зачем они Украине навязывают не нужное ей декларирование.

Iryna Volkodav engineer в e-commerce startup 14.08.2016 15:21

Я и не говорю о том, что это не нужно Украине

undefined pointer 14.08.2016 15:26

нынешнему, такое какое есть, государству Украина — не нужно.
стране Украина — нужно.

если страна не может изменить государство, то будет мучиться долго.
либо государство будут менять внешние силы.

итак, вернемся — КТО конкретно, и КАКУЮ конкретно несет ответственность за реформы?
если это государственные деятели — то им НЕ нужны реформы. Соответственно они и не брали на себя ответственность за них.

так кого вы имели ввиду, не пойму.

Iryna Volkodav engineer в e-commerce startup 14.08.2016 15:31

президент

undefined pointer 14.08.2016 15:36

ему не нужны реформы. ему нужно соблюдение олигархического консенсуса и сохранение власти.

если б на него не давили США с ЕС, война с РФией и призрак Третьего Майдана — то он вообще ничего не затевал.

например те же реформы в МинОбороны, хоть какие-то подвижки к ним — сугубо из-за войны.

Александр Бобров 14.08.2016 14:19

Система писалась для нашего государства, с учетом всех нюансов изменяющегося законодательства (зимой-весной 16 года). Над ней работала большая группа людей, в т.ч. и юристы выверяющие каждую запятую и формулировку.

Andrii Rodionov JUG UA, Викладач в НТУУ «КПІ» та УКУ 14.08.2016 14:48

7 месцев работы за 1,5 млн. — это чистыми без налогов.
На несколько студентов-разработчиков хватит ;)

Oleksandr Kurtiak Project manager 16.08.2016 14:22

в НТУУ КПИ сильно переживают что бы не дай бог миллион не заработали

Alexandr Sova Developer 16.08.2016 16:25

Да при чем тут миллион? Для компании с годной командой это не деньги. Идея же в том чтоб провести систему через все бюрократические заморочки и довести до продакшена, а не просто предоставить куски кода.

Oleksandr Kurtiak

Oleksandr Kurtiak Project manager 17.08.2016 09:19

Миллион тут при всем! Даже самая годная команда не будет работать просто за идею.

anonymous 14.08.2016 13:25

-

Sergey Chetverikov 14.08.2016 18:52

Вам не кажется что ваш вопрос отвечает на ваш первый комментарий?

anonymous

undefined pointer 14.08.2016 12:58

Круговая порука. Почему чиновники не вывернут карманы
biz.liga.net/...i-ne-vyvernut-karmany.htm

Iryna Volkodav engineer в e-commerce startup 14.08.2016 13:04

Сережа я думаю что это было понятно многим на старте. Но что было сделано, чтоб систему сделать конкурентной текущему положению вещей?

Iryna Volkodav engineer в e-commerce startup 14.08.2016 13:14

Контора миранда, о которой хз кто вообще слышал совместно с гос датацентром были выбраны инноваторами. Это на цирк больше похоже. Я считаю нужно отделять все что связано с бюрократическими тресинами от инновационных решений. Нужно создавать здоровую конкуренцию чтоб оставалось лучшее. А так пчелы против меда и забулькало...

Александр Бобров 14.08.2016 14:12

Так тендер на разработку объявленный ООН еще осенью 2015 года был вполне открытым. Что вам мешало участвовать в нем?

Iryna Volkodav engineer в e-commerce startup 14.08.2016 14:26

Вопрос поставлен неправильно. У меня нет необходимой компетенции и влияния для участия в такого рода тендерах, затем об этом и не думаю. А вот вопрос как там оказались конторы с 0 выхлопом по факту на сегодня?

Александр Бобров 14.08.2016 15:00

Откуда у вас информация про нулевой выхлоп? Систему все могут оценить, она уже почти месяц висит в открытом доступе try.declaration.org.ua . И сделано это было, в т.ч. для удобства чиновников, которые хотели научиться пользоваться системой. Было проведено куча обучающих семинаров. Проведено несколько независимых экспертиз системы международными компаниями на вторжение и защиту.

undefined pointer 14.08.2016 15:07

кстати, я погуглил, оказывается сложно найти информацию и про систему, и про ход тендера.
я сходу и не нашел.

например
где-то есть новости о проведенной куче обучающих семинаров?

и т.д. Вы, и не только упоминаете что все открыто есть в интернете, но и на сайте ПРООН я не врубился как найти.

то есть похоже — с информационным сопровождением проекта — очень плохо. вроде никто и не прячет инфу, но найти ее — как-то непросто.

ни в коем разе не имею ввиду именно этот проект, но как получают гранты от уважаемых организациях, и как их пилят — тоже уже вполне известно.

признаки те же что и с гос распилом — все ограничиваются общими словами, а точную информацию получить в действительности оказывается непросто.

anonymous 14.08.2016 15:14

-

undefined pointer 14.08.2016 15:19

, а це проблема розробників чи НАЗК і ПР ООН?

якщо розробники нічого конкретного не можуть довести спільноті — то це й їх проблема.

anonymous

Александр Бобров 15.08.2016 23:42

Специально для Вас погуглил — dou.ua/forums/topic/15098 ))))

undefined pointer 16.08.2016 11:02

спасибо :)

но про результат тендера, я уже сказал, да и не только я в этой
выиграла его типичная «пригосударственная шарашкина контора».

т.е. как будто это был обычный гос тендер, а всякие там ПР ООН , - просто вывеска.
грантоедство — тоже не ноу хау в Украине.

как и с системой ProZorro‎ уже все чаще пишут — «те кому надо» — научились ее обходить.

вернее применять старый способ в новых условиях:

условия тендера нужно выписать так — чтобы прошел только тот кто нужен. а чтобы создать видимость выбора — в финал должны выйти несколько фиктиных компаний (или реальных, но с которыми договорились) — которые сами выйдут из тендера.

подробностями в обсуждаемой истории я мало интересуюсь. потому что они не важны.

Ievgen Safronenko Senior Software Engineer в zooplus 16.08.2016 11:04

условия тендера нужно выписать так — чтобы прошел только тот кто нужен. а чтобы создать видимость выбора — в финал должны выйти несколько фиктиных компаний (или реальных, но с которыми договорились) — которые сами выйдут из тендера.

Ну так и делается. Потом еще тендер можно отменять. И проводить заново. И пока контора под которую тендер создавался его не выиграет повторять этот цикл.

Alexandr Sova Developer 14.08.2016 16:02

Что вам мешало участвовать в нем?

Понимание того что сложности будут не технического характера, а в разного рода продавливания, в бюрократии, в получении Понимание того что для этого всего нужны ресурсы не разработчиков, что даже если предоставить годный продукт — на тебя всё равно переведут стрелки. Это же как работа с предметной областью.

Iryna Volkodav engineer в e-commerce startup 14.08.2016 12:56

Я считаю что решения под государство должны создаваться открыто и с исходным кодом, чтоб было ревью и каждый мог контребьютить. Была ли возможность посмотреть какие решения использует Эстония для решения подобных проблем?

Максим Бублик 14.08.2016 13:20

Какая разница как и кем создавался код, когда аттестующий госорган (Госспецсвязь) срывает согласованные сроки, отступает от одобренного ранее ТЗ и создает препятствия даже к ознакомлению с замечаниями?

anonymous 14.08.2016 13:27

-

George Kashperko 16.08.2016 00:29

Сроки сорвал НАЗК, и лишь благодаря неимоверным усилиям разрабов это случилось столь феерично. Госспецсвязь же констатировала импотенцию официалов НАЗК и разрабов в деле преодоления отечественного законодательства в сфере защиты информации и отказалась подписывать атестат на то, что им нарожали за 4 дня с позволения сказать «экспертизы».
И вообще, виновник торжества до сих пор не назван, хотя крайне любопытно кто же этот уникум из НАЗК, кто курировал проект и удосужился выдвинуть а атестацию КСЗИ её же разработчика, причем за 2 недели до проведения атестации, вместо того чтобы ввести в проект подрядчика-эксперта ещё весной.

Sergiy Fakas Information Security Officer в Oro 17.08.2016 18:10

Проектным менеджером ПРООН является Иван Пресняков как я понимаю.

Alexander Vostres .NET Lead в ProSim-AR 14.08.2016 11:47

Я підозрюю що в нас, як завжди, все не так просто :)
А саме — розробник під тендер пиляє бабло, НАЗК забиває болти на всьому проміжку роботи і просинається за день до запуску системи а прийомна комісія — зацікавлена «не пущать».
Ну і всі сторони процесу ДУЖЕ зацікавлені перевести стрілки.
«Я не я і хата не моя»

Максим Бублик 14.08.2016 11:41

Постить мнение журналиста о качестве софта в качестве экспертной оценки на ДОУ. Дожили. Там же еще дата-центр, госпредприятие «Українські спеціальні системи», снял с себя всю ответственность за сохранность серверов. Совпадение?

Alexandr Sulimov freelance ASP .Net MVC 14.08.2016 11:36

Так какие технические проблемы? Я больше склоняюсь, что проблема в саботаже со стороны коррумпированных госслужащих.

Максим Бублик 14.08.2016 11:21

Я бы не спешил верить тем, кто утверждает, что там говнокод. Повесить всех собак на IT очень заманчиво. На сайте Госспецсвязи указано, что ее руководитель, генерал-майор, уже успел оформить себе УБД. Гугл поведает о его карьере. Верить этим людям?

Yuriy Novikov 16.08.2016 01:57

человеку который завалил примерно все проекту по реформировани страны за последний год как возглавляет службу? — Конечно да))

Sergey Chetverikov 18.08.2016 17:32

Систему лично генерал тестировал?

undefined pointer 14.08.2016 11:03

— Чого бiдний?
— Бо дурний.
— А чого ж дурний?
— Бо бiдний...

Гос заказы в корумпированном государстве — это почти всегда распил бюджета.
Выиграть тендер без отката — это чудо

Призывать не участвовать в них — наивно, потому что требуется то пара десятков исполнителей, и такие всегда найдутся.

Победить наивностью коррупцию... перечитайте пост с начала

Artyom Fedosov Front-end Developer в Nextiva 15.08.2016 14:11

Тендер устраивало не коррумпированное государство, а ООН. Кто там занимается откатами?

undefined pointer 15.08.2016 14:32

ООН — это название агроменной организации.

и то что деньги на разработку выделены ПР ООН — ничего само по себе не значит.
условия тендера составляли — конкретные люди. и реализовывали, и т.д. Я не вникал кто и как, подставил ПР ООН, или откатил кому-то из нее. не суть. Итог тендера — типичен.
и результат получился тоже типичным для Украины.

про наивность обывателя о «чистоте» международных организаций я уже приводил байку. см. выше. можно еще из крупных примеров о FIFA напомнить.
там где на кону большие и «ООН» сложно уследить.

Artyom Fedosov

Vanya Yani Web Developer в Capgemini Engineering 17.08.2016 04:02

[Анекдот про мужика и осла]

Mykola Kulieshov 18.08.2016 00:02

Сергей, опять... Каким образом госзаказ относится к теме?
Если Вы не углублялись в особенности проведения процедур закупок международными организациями в Украине и привыкли «пилить» бюджет по-украински, то говорите о себе.
Если не везёт Вам в «выигрывании» тендеров — значит у Вас слабо квалифицированные специалисты (впрочет в этом случае и не стоит ожидать от Вас какого либо интересного комментария на эту тему). Почему, Вы считаете, что если выиграл тендер — значит дал откат? Привычка или лично Ваша неспособность работать честно?
Обидно за подобные комментарии.

anonymous 14.08.2016 10:54

-

Andriy Shevchyk Developer в SimCorp 14.08.2016 10:52

Я хз, що це за «Міранда», і що вони там написали для системи декларування, але пост Олесі — повний якихось лозунгів і популізму. Зокрема, апеляції до Міранди в п.3 і до громадськості в п.4 некоректні, поки доступу до висновків прийомної комісії не мають ні перші, ні другі через гриф «для службового користування».

Illia Khabibrakhmanov SSE 14.08.2016 11:48

Ага. «Мы нашли ошибки в вашем ПО. Но мы вам про них не расскажем, у вас докУментов нету»

Andriy Shevchyk

undefined pointer 14.08.2016 13:38

подозреваю что это вот эта Миранда:
miranda.net.ua

из “Наші клієнти” видно что они давно в госсекторе.
на скудность сайта можно не обращать внимания.
в госсекторе хорошие заказы можно получать вообще без какого-либо сайта.

Andriy Shevchyk

Гай Пирсон 16.08.2016 09:18

Значит вы никогда не принимали участия в разработке ПЗ и последующей экспертизе.
Все тут такие умные как погляжу, а о предмете о котором пишите вообще ничего не понимаете.
Выступаете как болельщики в футболе, вроде все и разбираются, но как по делу ЛЧ выигривают все равно гранды у которых тренера профессионалы.
А тут в систему ТЗИ лезут недоучки, которые читать НД ТЗИ даж не могут.
А всего то нужно пройти курсы трехмесячные и все будет понятно. Вот я не поленился, а всех остальных жаба душит, в том числе и горе рахработчика Миранду, нанять всего лишь специалистов в данной области.
Да и стоимость экспертизы по сравнению с самим ПЗ копейки, зато в суде в случае чего декларант вас не обскакает когда будут рассматривать его коррупционную схему

Andriy Shevchyk

anonymous 14.08.2016 10:41

Да и вообще что это за миранда, ее в гугле нет, ее часом не спецом под этот проект создали?

Taras Voloshenko :-) 14.08.2016 11:19

В соседней ветке есть крмпания которая борется с коррупцией, думаю сейчас ее выход)

anonymous

Максим Бублик 14.08.2016 11:48

Можете спросить непосредственно: www.facebook.com/yuriy.novikov.98

anonymous

Blitz Senior .net Developer / Architect 14.08.2016 23:10

Есть она в Гугле miranda.net.ua/index.php
Любопытно, что у этих сайтоделов — табличная вёрстка. Да и кто вообще будет называть компанией Мирандой? Первая мысль, что это — Рога и Копыта по айтишному.

anonymous

Максим Бублик 14.08.2016 23:22

Да и кто вообще будет называть компанией Мирандой?

ЯП можно назвать Мирандой, а компанию — не моги. «О дивный новый мир!». :)

Blitz

Blitz Senior .net Developer / Architect 15.08.2016 00:02

Этих миранд — что фантиков. Название компании должно быть уникальным и узнаваевым.

Victor Goncharenko 15.08.2016 15:09

Такое впечатление, что компания Миранда сродни известной киевской компании УнИТ. Цель — выиграть тендер, распилить деньги. Понятно, что при этом что-то программируется и даже доводится до определенного уровня. Потом меняется власть, меняются люди у заказчика, заказ замыливается — а дальше хоть трава не расти.

Blitz

Олексій Пєніє 15.08.2016 15:12

Странно было бы в нашем государстве по-другому. К каждому гос.заказу обязательно идёт бонус — обыск, разумеется со спиzдингом имущества по беспределу. Соответственно, гробить реальную компанию ради одного гос.заказа может только тот, кто до этого в Украине не работал.

Victor Goncharenko

Blitz Senior .net Developer / Architect 15.08.2016 19:12

Тоже так подумал.

Victor Goncharenko

Bogdan Parhomchuk - в + 15.08.2016 20:41

Да и кто вообще будет называть компанией Мирандой?

а мессенджером?

Blitz

Александр Бобров 15.08.2016 23:24

Тут еще вопрос кто у кого название украл ))))
Миранда существует с 1993 года. Имеющие доступ к соответствующим реестрам легко это могут проверить.

Bogdan Parhomchuk

Bogdan Parhomchuk - в + 15.08.2016 23:26

Да как-то пофиг)
Я вообще сначала подумал что речь идет об одной и той же команде в этой шумихе)

undefined pointer 16.08.2016 11:04

Миранда существует с 1993 года.

...кстати, вот риторический вопрос

как эта пригосударственная фирма, с таким стажем в гос секторе — и не научилась работать с этим самым гос сектором?

Anton Krasnopolsky 16.08.2016 18:01

Зазнались немного, думали всегда все можно протолкнуть

Halya Kokhan 16.08.2016 17:37

www.miranda.net.ua

anonymous

Igor Guseinov 25.07.2023 16:15

Коментар порушує правила спільноти і видалений модераторами.

Mykola Kulieshov 17.08.2016 23:23

Смотрите в гугле... Относительно названия, то есть такой персонаж у Шекспира.... (поэт такой, если что... хотя исходя из логики комментариев, то хто ж Шекспиром поэта то назовёт...).
Отдельно Сергею Скинико на: «как эта пригосударственная фирма, с таким стажем в гос секторе — и не научилась работать с этим самым гос сектором»...
Сергей, какая «пригосударственная фирма», что за спам...? Бред какой то...

anonymous

undefined pointer 21.08.2016 11:23

Начиная с этого, первого на доу комментария посмотрел и остальные.

Основная масса вот такого глубокомысленного содержания — бред, мне обидно, вы не компетентны, и обычный троллинг.

А что сказать то хотели своим появлением на доу?

anonymous 14.08.2016 10:39

Я думаю проблема кроется выше, бабки успешно попилили, а не вложили в проект. Думаю это был изначальный план госспесвязи, пилить бабло и рассказывать вечно что проект сырой

Pavel Kandzuba iOS developer 16.08.2016 08:58

Да так и есть. При чем в наглую. Я когда то пронюхал об одном из таких очередных тендеров. И написал в антикоррупционный комитет с подробной информацией о сумах и должностях и фамилиях. Потом написал второе письмо. И знаете чем это закончилось? НИЧЕМ. Потому что всем на....ть и в том антикоррупционном бюро сидят и просиживают штаны и скорее всего тупят в соц сетях вместо того что бы работать.

anonymous

N Poludnenko 24.05.2017 14:05

Тогда было некстати, а вот теперь телега кажется покатилась. ua.interfax.com.ua/news/general/423591.html Правда не стараниями НАБУ, там болото.

Pavel Kandzuba

Гай Пирсон 16.08.2016 09:13

Бред не постите!
Бабло попилили как раз в НАЗКе, когда выбирали разработчика проги.

anonymous

Mykola Grechukh 16.08.2016 10:45

в НАЗк не заказывали разработку и не выбирали никого

Andriy Krot Software Engineer в IonIdea 16.08.2016 17:14

Выбирал и заказывад ПРО ООН. Классика распила грантового бабла. ООН большой спец в этом.

Mykola Grechukh

Olena Demchenko директор, Corporate HRD в Right People Management, Intecracy Group 18.08.2016 15:57

именно в этом корень зла. Плюс, скажу еще не очень популярную мысль: а вот Шимкив, если он реформы курирует (а это — реально реформа) и + понимает что-то в ИТ, должен был курировать и предоставляемые государству услуги, (хоть и не за деньги государства), если нам важно качество реформ. Но его кроме лоббирования интересов MS в паблик секторе, кажется, ничего не интересует...Сорри, если неправа

Andriy Krot

Артем И 18.08.2016 16:13

Вам ничего не напоминает?
js.sign.eu.iit.com.ua