Аваковская школа внутренней цифровизации

«Будь-які додатки, які пропонує держава, вони за своїм означенням виконують ті функції, які туди закладені, що не можна сказати про мільйони інших додатків» Віктор Жора, заступник Голови ДССЗЗІ. Имел удовольствие присутствовать, подтверждаю, что именно так п. Жора и высказался. Собственно говоря, вот видео с его эпохальной тирадой, с отметки 1:42:00.

Watch on YouTube

Аваковская школа политической философии имеет массу поклонников в коридорах власти. Надо отдать CDTO ГСССЗИ должное - мало кто из энтузиастов этого направления в состоянии сделать свой собственный, оригинальный вклад. Нельзя не поздравить ведомство - ему крупно повезло с главным по цифровой трансмутации. Так ёмко выразить самую суть актуального курса надо уметь! Теперь к бессмертным "Подчиняйся потом обжалуй", "покричите, повоняете и успокоитесь", "у нас демократия, но строго" и "бе-бе-бе" можно добавить что-то вроде "Пользуйся и не задавай вопросов".

Между тем вопросы так и просятся на язык.

( Read more... )

"Народное багбаунти" и его дивные плоды

Не является секретом, что т.н. багбаунти приложения "Дия" является профанацией. В частности, его участники ковыряют вовсе не то приложение, которым пользуются миллионы граждан. Минцифры выдаёт за "Дию" некий муляж, схожий с ним лишь внешне. В частности, у этого муляжа отстутствует вся сразу функциональная часть, обеспечивающая авторизацию по BankID и распознавание лица, т.е. PhotoID. Участникам не предоставлены тестовые ID-карты для проверки авторизации через NFC. При этом, напомню, BankID уже использовали для успешных атак, а про свою способность обойти PhotoID лично мне заявили две отдельные группы энтузиастов.

Если называть вещи своими именами, участники багбаунти Минцифры на шару участвуют в PR-мероприятях ведомства, легитимизируя его неприличные телодвижения. У народа Украины не осталось иного выхода, кроме как организовать изучение и поиск уязвимостей в е-паспортах aka "мобильное приложение Дия" своими собственными силами. Народное, так сказать, багбаунти. Без денег (по крайней мере пока), но с огоньком. Собственно говор, выявление дефектов е-документов Минцифры продолжается уже второй год. Однако конец октября знаменовал переход этого процесса в новую фазу.

( Read more... )

Путь Вахтёра

В предыдущей части мы обсудили контекст неизбежных многочисленных попыток использовать дефекты е-паспортов для обхода карантинных ограничений. Сегодня начнём разговор о коммерческих перспективах подобных злоупотреблений.

С 1 ноября на бессрочную ковидную вахту заступили без преувеличения десятки тысяч граждан - сотрудники организаций и учреждений всех видов и форм собственности. Эти граждане, будучи физическими лицами, получили задачу проверять наличие сертификатов о вакцинировании/тестировании в упомянутых организациях и учреждениях. Основным, если не единственным инструментом такой проверки стало приложение "Дия". Чего, собственно добивалось и чему очень радо Министерство внутренней цифровизации.

Всё было бы хорошо и логично, если бы не три обстоятельства.

( Read more... )