Дiя

Вопчем потыкал я тут намедни палкой в страну. И не просто в страну, а в страну в смартфоне. Говоря другими словами, в так активно распиаренную Дiю. И теперь у меня есть шо сказать, как у человека, который ни в чем не разбирается.

Ваще я давно на пенсии и не брал в руки шашек лет уже десять как. Но любопытство взяло вверх над ленью и вчера полдня на это говно потратил.

Сначала, когда я начал ковыряться, все это выглядело как поделка пионэров-придурков на поляне, если бы не одно маленькое «но». Но за это чуток папизже.

Ни одного нестанартного решения. Эта конструкция — набор то тут, то там надерганных API или фрагментов кода.

И да, я знаю, где вы — рогопилы криворукие, подрезали функцию распознавания документов по NFC и лиц. То бишь вас ваще не смутило то, откуда это родом?

Вставили в свою поделку и радуетесь?

Ой! У нас так классно можно зарегиться через загранпаспорт, патаму шо там есть чип. Какие мы технологичные!

А то, шо вся инфа может (я подчеркиваю, я не утверждаю, но вероятность такая есть и не маленькая) утекать, ибо код закрыт, и предлагают верить на слово в их честность апеллируя к тому, что их услугами пользуются там и вот там, так вас это не смутило?

Да и хрен бы с ним, если бы рожи пользователей утекали. Так вы ж сканируете загранники, в которых есть вообще весь набор закрытой инфы, отпечатки пальцев + фотка в подарок.

А вот это я ваще комментировать не буду. Просто повешу тут картинку, те кто в теме, надеюсь те поймут.

Вопчем, че хотелось бы сказать? По моему скромному мнению это уровень стартапа и школяров.

Когда ваша апликуха распознает винишко — базара нет. Можно привлекать не свои решения от сторонних производителей.

А вы ваще-та претендуете на государственный уровень и тут не иметь своих, написанных с нуля продуктов, это лютый зашквар, шо бы там не обещали представители некоторых товарищей.

Ваще ни для кого не секрет, шо APK от гугла это кагбэ открытая штука.

Я десять лет уже не в теме, но ниче сложного в том, чтобы разобрать последнюю версию вашей поделки, отрихтовать напильником код, который легко дисассемблируется в SMALI, а затем все собрать и подписать, так чтобы смартфон не ругался не составило труда.

Теоретически, если бы была такая необходимость, лично мне было не сильно сложно отучить это говно от ваших серверов и приучить к моему. И затем я бы мог иметь 100500 паспортов, справок вакцинаци и всех оттех сортов говна, шо вы туда насовали.

Да, конечно жэ, это было палево при проверке оригинальной версией, но я прям уверен, шо в иностранных аэропортах проканало бы. Вы хотели, чтобы по этому говнищу люди границу пересекали?

Серьезно?

Хотя, я могу и ошибаться, а это прорывный прорыв мамкиных укроАйтишнегов.

Но меня заинтересовало не это. Меня заинтриговали 2 вещи. Первая вот это вот:

Я хрен его знаю, шо это. То ли карта прививок деток типа АКДС и дальше по возрасту, то ли вы там детей колоть собрались левым ширевом так и не прошедшим весь спектр испытаний?

Оно лезет куда-то в реестры, но какие и куда из софтины не понятно.

А вот это ваще прям интрига, и за это нужно поговорить отдельно, беря во внимание некоторые так сказать догадки:

Это менюха голосовалочки. Да, да. Оно самое. Электронное голосование на выборах и не только, как я себе ошибочно понял.

Следите за руками.

Эстония. Страна победившего АйТи, где почти все можно сделать онлайн. В том числе и проголосовать. В процессе голосования нужно дважды вставить карточку в кард-ридер. Дважды, епта! Один человек, у которого карта, сможет проголосовать 1 раз. При этом дважды подтверждая что он — это он.

Литва. Там электронное голосование пытались протолкнуть для тех, кто типа за кордоном, но не взлетело. Ну не суть. При любых действиях с государством в онлайне формируется push сообщение, которое привязано к уникальному налоговому номеру, приходящее в момент совершение действа на телефон, номер которого привязан к юниту. И в это сообщение нужно ввести персональный пароль за короткий промежуток времени.

Обрисовал как смог, надеюсь было понятно.

Это защита. Защита от налюбилова.

Для того, чтобы подделать массовость условного голосования, нужно крепко замахаться. Наворовать карточек, как в Эстонии или телефонов, как в Литве, или жэ навыпускать их через официальные каналы, в количествах, которые могли бы хоть как-то повлиять на исход плебисцита.

Ну сами понимаете. Палево палевное.

Можно, в теории, но на практике сидеть обвешавшись всем этими кардриадерами вводя пароли сразу на 10 телефонах за секунду, ну такое себе решение.

В котором главная стрёмная часть — это наличие большого количества участников, от которых может потечь в любую минуту.

А что жэ происходит в случае поделки на коленке украинских супер АйТишнегов? А ничо. Я так понял, шо проверка шо ты — это ты, происходит один раз.

При регистрации.

А дальше только вход в апликуху по фэйс-айди, или паролю, или отпечатку, ну или как там, лень тонну кода переворачивать.

И все. Причем я могу руками эту проверку входа отключить. Вернее не отключить, а переделать задом на перед.

Знаете, шо это напоминает? Догадались уже наверное. Как мне ошибочно кажеться, ботоферму это напоминает, тока в профиль.

Когда в реальности можно раскрутить 1005000 устройств на одном компе в эмуляторе.

А дальше совсем просто. Берем базу данных погранцов и выгружаем из нее загранпаспорта тех, кто выехал из Украиняши и потерялся.

Таких примерно 10 лямов, если верить Арахамии.

Берем базу избирателей, которые не ходили на выборы крайние раза три, а лучче пять.

Убираем повторы. И готово!

И они дружно, аккурат перед выборами, пылают любовью к родине и прям горят желанием зарегиться в этой хрени, а потом дружно голосуют, даже не подозревая за это.

И кто скажет, шо это невозможно при таком алгоритме, пусть первый полюнет в меня через монитор.

Меня терзают смутные сомнения.

Вот смотрите. Я двумя руками за онлайн сервисы со стороны государства. Даже за электронное голосование. Это все уменьшает коррупцию, paperless, короче четко, удобно, стильно, молодежно.

За это говорено, переговорено 100500 раз, и спорить с этим бессмысленно.

Это все весело, зарегить ребенка по удаленке, подать просьбу о бумажке, ну и прочий шлак.

Только у меня вопрос. А нахрена это все в смартфоне?

Я не регистрирую детей каждый день. Я не регистрирую фирмы или ФОП каждый день, я не запрашиваю никаких бумажек каждый день. Я этим пользуюсь даже не каждый год.

Мне не нужно это все под рукой на улице. Я потерплю до дома или до компа с интернетом.

И для всего этого подойдет обычный сайт.

Непосредственно в процессе этих действий единственное, что мне нужно — это подтвердить, шо я это я, а этого как раз и нет в этом глючном, слепленном из чужих кусков кода «не имеющим аналогов в мире» приложении.

В других странах нет ничего подобного не потому, шо это шота свеженькое и умненькое, а потому шо это как неуловимый Джо. Нахрен никому не вперлось.

Зачем вообще права и паспорт в телефоне? Нахрена? В виде пластиковой карты они ничего не весят. Даже портмоне не нужно. У большинства чехлов для смартфона есть отделения для карточек.

Я вам больше скажу. Подделать пластиковую карту сильно труднее, чем подделать ваше сраное приложение. Пленки с голографией, рифленые печати и отэтовсе.

А офицер типа полиции, по вашей гениальное идее, при проверке должен эту поделку верифицировать со своего смартфона.

Ну ок. Ни у кого не было так, шо смартфон сел под вечер? А если связи нет. Вот так вот раз и нет. Прием есть, интернетов нет. Че, прям ни у кого не было такого?

А не проще оставить ультрафиолет и все такое? Ну на крайняк кард-риадер без доступа к интернету, который на экранчике покажет все, что на чипе прописано.

Только мне видны очевидные логические пробелы в работе этой системы?

А тогда к чему все это? И вот тут мне на ум приходит очень неудобный ответ.

Если это не игра детства в жопе у школьников, которые мнят себя великими АйТишнегами, то что это?

У меня только один ответ. Это ширма. Прикрытие для муток с голосовалочкой, и не более того.

А отэто все: паспорт, водительское удостоверение, и прочая муть поросячья, никому не нужная в телефоне в реальности — это способ придать весу и замаскировать этот процесс.

Сейчас проиллюстрирую.

В электронном голосовании, если упростить схему, задействованы три вещи.

Сервер, обрабатывающий результаты.

Канал связи от устройства голосования до сервера.

Устройство на котором будет физически проходить голосование. То бишь процесс нажатия на кнопку. Или кликания по экрану. Или мышкой.

Принципиальной разницы нет. Веб сайт или приложение в смартфоне (планшете) решают эту задачу на ура.

Сервер абсолютно защищен. Я уже рассказывал за крипту, но повторюсь. Смарт-контракт не позволяет вносить какие-либо изменения извне. Не получится как у Януковича с транзитным серваком. Как записано единожды — так и будет в результате.

Не сможет условный Мишка по команде нарисовать голоса.

Канал связи тоже защищен. Если соблюсти все условия, то хэширование по SHA-256 безопасно для передачи волеизъявления от юнита к серверу.

Слабая часть — это смартфон или сайт. Ну грубо говоря, можно запилить так, что на какую бы вы кнопку не нажали, голос будет уходить за того, за кого надо. Или ответ на животрепещущий вопрос всегда будет из серии «Да, не против» или «Нет, не против».

И вот тут нет никаких аргументов, что все работает адекватно, а не как угодно заинтересованной стороне. Ну почти нет. Можно вывалить исходный код на всеобщее обозрение или заказать независимый аудит приложения или сайта.

В принципе и то и другое должно проканать. Ведь не каждый юнит даже понимает, шо такое хеширование. Тоже верит на слово умным дядям.

И воооот тут и нужна ширма.

Если вызывать в процессе голосования ну скажем процедуру верификации паспорта, ни у кого из аудиторов это не вызовет никаких подозрений.

А вот давать исходный код этот процедуры проверяющим ваще не обязательно, ибо это жэ страшная тайна, а тож нашим гражданам так довподобы и прям вот кровь из носу нужна картинка в смартфоне, а не карточка в кошельке.

И да, в сторонней процедуре, вызываемой с моего сервера, но прямо не относящейся к голосованию я могу делать, шо мне в башню стукнет.

Моя корова, шо хочу — то и делаю. И нарисую любой результат ибо 10 лямов с хвостиком это дета 30% населения, если чо.

Если бы передо мной стояла задача обеспечить электронное голосование, я бы пошел по пути эстонцев с одним изменением. Это был бы отдельный сайт и только сайт, ибо раз в 4 года уж как-то можно поднапрячься зайти на него. И в процессе голосования нужно было бы считать отпечаток пальца, благо портативные сканеры сейчас дешевые как говно.

Все. Просто и понятно. И не надо городить никому не впершийся огород.

И главное прозрачно. Без лишней мути, в которой и так разбираться лень. В теории проголосует даже пенсионер, если до этого получит пластиковую карточку вместо паспорта-книжечки. Ну шоб было с чем сравнить отпечатки пальцев.

Очень хотелось бы, шоб эта страна у смартфонi была бы на самом деле игрушкой тупоголовых пионэров, которая впоследствии будет выкинута на мороз адекватными людьми.

Не, сайт можно и нужно оставить. Речь идет исключительно о приложении для андройда, поскольку оно слеплено на коленке, дырявое как ржавое ведро и выглядит изнутри как работа пэтэушников-паграмистов с УПК.

Но шота мне подсказывает шо так не будет. Я ща фоточку покажу одну:

Знаете, шо это за дядя? Это директор по взаимодействию с органами государственной власти стран и регионов из одной яблочной будки Маркуша Леннон.

Интересный штришок, должен вам заметить. У него как-то внезапно аж два места работы. Отто, шо я сейчас указал и еще одно.

Вот так в профайле указано. Но я прям уверен, шо это какая-то ошибка.

Офицер разведки из Пентагона делает обнимашки с укроправительством и президентом под соусом пересчета населения и онлайн голосования?

Да не! Ну бред жэ! Украина — суверенное государство, епта!

Что хотелось бы сказать в конце?

Этот кусок говна первым делом, помимо привата и монобанка с мессенджерами ищет на вашем смартфоне следующие приложухи от банков:

Х.з. зачем ему это. Лень разбираться. Возможно это кусок от BankID, но я прям не уверен шо все эти банки в нем участвуют.

Такие дела.

Но это все не точно, я ж ни в чем не разбираюсь, вот и ляпаю языком шо попало.

Чмоки.

UPD: Эта статья не самостоятельная. Она написана в продолжение вот этой, если кто пропустил.