IT и СОРМ
38.9K subscribers
323 photos
31 videos
15 files
994 links
Download Telegram
❗️❗️Обнаруженные на старте электронного голосования проблемы – не самые существенные. Эксперты из технической рабочей группы рассказали «Открытым медиа», что у организаторов онлайн-голосования сохранилась техническая возможность подменять выбор избирателей после заполнения бюллетеня. Это может повлиять на волеизъявление сильнее любого административного давления – в систему уже запишется исправленный голос, причем избиратель об этом не узнает.

Речь идет о фрагменте в исходном коде web-страницы бюллетеня для голосования, с помощью которого можно подключить дополнительную программу и манипулировать любыми элементами страницы. Впервые на эту особенность кода для голосования еще во время выборов Мосгордумы обратил внимание программист из рабочей группы Евгений Федин. Он предоставил ОМ видео, в котором наглядно продемонстрировал, как может работать подмена голоса.

Перед стартом голосования по Конституции глава смарт-проектов правительства Москвы Артем Костырко в ответ на замечание об уязвимости системы во время встречи с рабочей группой назвал ее «ошмётком» с прошлого года и пообещал убрать – но эксперты считают, что это не сделано, и система голосования по-прежнему уязвима для подтасовок.

https://openmedia.io/j6ra
Forwarded from Политрук 2.0
Уязвимость тайны голосования при ЭГ: сценарий проверки.

После публикации о проблемах с тайной ЭГ с нами через нашего бота связался аккаунт "ДИТ Москва" и попробовал убедить, что у администраторов нет технической возможности соотнести гражданина с его голосом. Господа, вы нас за кого держите?

Мы публикуем подробный сценарий проверки, понятный для технических специалистов, и каждый, кто записан на электронное голосование, но еще не голосовал, может его проверить до 20:00 мск 30 июня. Для этого нужно в браузере открыть консоль разработчика и проследить сетевые запросы.

Заранее поясним ключевую мысль: все ваши запросы можно логировать на сервере (ЭГ использует веб-сервер Nginx) ПОЛНОСТЬЮ, вместе с заголовками и потрохами, и складывать с разных серверов в единое хранилище, например, Elasticsearch, для последующей аналитики.

Поехали:

1. Заходим на сайт 2020og.ru и логинимся. В процессе вас перебросит на elec.2020og.ru, login.2020og.ru, потом обратно, и все ответы от этих серверов будут ставить вам cookie laravel_session=abcdef123 (содержимое у каждого из вас будет свое). Это те самые куки для идентификации пользователя, о которых сейчас каждый сайт спрашивает "хотите ли вы их принять". ДИТ не спрашивает, ДИТ просто их ставит.

2. Обратите внимание на запрос при проверке номера телефона на сайте ЭГ, вот он в сокращенном виде
POST https://elec.2020og.ru/common/ajax/confirm/sms/
Cookie: laravel_session=
abcdef123
'type=sms&value=9261234567&voitingId=0'
Внимание, гипотеза (неопровержимая): сервер elec.2020og.ru сохранил этот запрос, содержащий ваш cookie и номер телефона, в логи и отправил в единое хранилище.

3. Соглашаемся с условиями и получаем бюллетень. Вот как происходит его выдача, тут происходит несколько переадресаций, видимо, это и есть тот самый "анонимайзер", но спойлер: он ничего не анонимизирует:
POST https://elec.2020og.ru/#complete
Cookie: laravel_session=abcdef123
ответ: HTTP/2 302 Found
location:
https://elec.moscow/election/check/ длинная-длинная-цепочка-из-букв-и-цифр=
(на самом деле тут скрыт ваш номер бюллетеня, допустим, 777-ggg-aaa. Как проверить: вставить эту длинную цепочку на сайт https://www.base64decode.org/, раскодировать, потом взять из результата url и еще раз раскодировать. Нас наперстками не проведешь!)

GET https://elec.moscow/election/check/ длинная-длинная-цепочка-из-букв-и-цифр=
ответ: HTTP/2 302 Found
location:
https://elec.moscow/election/ 777-ggg-aaa (тот самый номер вашего бюллетеня, уже в открытом виде)
Видите? Сервер (никто не сможет этого опровергнуть) сохранил лог, в котором есть ваш cookie, уже связанный с номером телефона, и номер вашего бюллетеня!

4. Ставим галочку и отправляем голос. Ваш голос зашифровывается, создается транзакция и отправляется на сервер, чтобы потом попасть в блокчейн.
POST https://elec.moscow/election/vote
rawStoreBallotTx=
транзакция_с_голосом
guid=777-ggg-aaa (номер вашего бюллетеня)
votingId=...
district=...
accountAddressBlock=...
keyVerificationHash=...
rawTxHash=
xxxyyyzzz (вашу транзакцию можно будет найти в выгрузке блокчейна на сайте https://observer2020.mos.ru/observer/blocks-list по этому хэшу)

Что же, время собирать камни! После всего этого процесса в логах ДИТ, по неопровержимой гипотезе, хранится:
- связка cookie - номер телефона (laravel_session=abcdef123 и 9261234567)
- связка cookie - номер бюллетеня (laravel_session=abcdef123 и 777-ggg-aaa)
- связка номер бюллетеня - зашифрованный голос (777-ggg-aaa и транзакция_с_голосом, ищется в блокчейне по rawTxHash=xxxyyyzzz)

Дальше сотрудникам ДИТ остается только расшифровать голоса (что будет сделано при подсчете голосов, либо заранее, потому что ключ-то у ДИТ есть, хоть они разделили его на три части, но и себе могли оставить копию про запас), сопоставить их через логи с номерами телефонов и сделать для начальства красивую табличку в экселе. Верите ли вы, что они этого не сделают?
​​Это, пожалуй, всё, что нужно знать о защите ваших персональных данных государством.
Я призывал не пользоваться «пропусками» в том числе по этой причине.
И вы даже не сомневайтесь, что с базами пропусков будет так же.
И не сомневайтесь, что за это никто не понесёт наказание. Потому что государство никогда не накажет само себя.
​​Администрация президента, где понимают полный провал доверия к 78% на «голосовании» на пеньках и в тележках (и делают социологию, которая это показывает), скупила всю рекламу во всех соцсетях и повесила там очень смешные картинки.
Картинки лезут уже изо всех щелей, и теперь люди смеются не только над 78% и «голосованием», но и над этими картинками.
Посмотрите, если вдруг не видели: 1, 2, 3, 4, уморительная картинка «Голосование прошло без серьёзных нарушений», и моё любимое: «Блокчейн защитил от фальсификаций». Блокчейн, конечно, сам по себе, не защищает от фальсификаций, и «электронное голосование» — один из главных инструментов фальсификаций на этом «голосовании» и на будущих выборах.

2020 — это очень плохой год для Путина. Первый год, когда ему очень сильно не везёт.
Этому поспособствовали два фактора: кризис и вырождение кадров.
Идиоты, сидящие в АП, косячат раз за разом.

Они обозлили всех парадом во время кризиса, когда многим людям буквально есть нечего. Эти олухи почему-то думали, что парад поднимет патриотический дух перед «голосованием» и увеличит количество голосов за обнуление.
Потом они просто нарисовали 78% с какой-то нелепой явкой в большинстве регионов. Путина не устраивали более реальные (но по-прежнему фейковые) 65%, а отговорить его было некому.
Кто верит в эти 78%? Все, даже самые аполитичные люди, смеются над этой цифрой.
Теперь они пытаются легитимизировать это «голосование», но получается очень плохо.
Всё сыпется из рук у обслуги нелегитимного престарелого Путина, который хочет быть пожизненным царём.
Через 3.5 часа приговор псковской журналистке Прокопьевой.
Она написала обычную статью, а местному ФСБ нужны были палки.
Они завели на неё уголовное дело за «оправдание терроризма», а прокурор запросил для неё 6 лет колонии.
Помимо того, что преступлений без потерпевших существовать не должно, никакого оправдания там конечно не было, а в материалах сфабрикованного дела полный ад.
Прокопьева должна быть немедленно оправдана и освобождена.

Почитайте: https://zona.media/article/2020/06/16/prokopieva
Что важно понимать про приговор Светлане Прокопьевой?

Начать следует с хорошего: власти все сложнее сажать невиновных за слова. У них жгучее руки желание заткнуть всем рты, но оно натыкается на оффлайновый «эффект Стрейзанд». Годы свободного интернета привели к тому, что российское общество относится к свободе слова как к ценности, которую оно не хочет отдавать.

Это важно зафиксировать: свобода слова стала ценностью общества, а не узкой демократической тусовочки, и не когорты журналистов. Именно поэтому посадить Светлану все-таки не получилось.

Второй немаловажный момент: общество научилось худо-бедно отбивать «своих». Когда в 2013 году условный срок получил Навальный, это казалось какой-то фантастикой и вызывало целую волну недоверия Алексею. Нас с нулевых лет приучали: не пытайся отбивать своих, ничего не получится, не пытайся, это бессмысленно, государство не поддается давлению. Поддается, еще как. Счет условно осужденных под давлением общества уже пошел на десятки. Без всех нас все эти люди уезжали бы на реальные сроки, и многие — вслед за ними.

И это второй важный факт, который надо зафиксировать: общество умеет отбивать своих. И это без преувеличения, настоящая победа гражданского общества.

Но такие победы — как вкус крови для убийцы. Нам должно быть мало. Условно-оправдательные приговоры должны перестать нас устраивать. Если человек невиновен, значит, он невиновен. Если в «преступлении» нет жертвы, значит, нет никакого преступления. Точка.

Это будет сложный рубеж: наше государство если и оправдывает, то пытается снова посадить (см. Юрий Дмитриев). Но мы его должны пробить. Освобождение невиновного в зале суда, пусть и с условным сроком, казалось совершенно нереальным какие-то 7 лет назад.

Рано или поздно прогнется и сделает то, что ему приказано волей граждан. Надо просто давить столько, сколько надо давить.
Вчерашние события глубоко оскорбили тонкую душевную организацию вечно-обиженных снежинок в погонах. Ну не бывает такого, чтобы снежинка решила посадить невиновного журналиста, а его, оказывается, нельзя посадить!

По понятиям снежинок, если нельзя скушать одного, надо скушать другого. А иначе они будут постоянно плакать по ночам, сучить ручками, топать ножками и ходить под себя.

«Дело» о «госизмене» Сафронова — ровно об этом.

Снежинки, конечно, рассчитывают на то, что журналистское сообщество не станет впрягаться за Сафронова, потому что он вроде последнее время и не журналист вовсе. При этом, конечно, все всё должны понимать и воспринимать на свой счёт, забиваться под стол и бояться выполнять свою журналистскую работу хорошо. Писать о том, о чём нужно писать.
И сейчас главный вопрос — тот же самый, что и всегда: будет ли общественная и журналистская солидарность достаточной, чтобы отбить человека, или нет.
— Обвинение в госизмене журналисту Ивану Сафронову;

— Задержания людей у здания ФСБ, которые пришли на пикеты в поддержку Сафронова;

— Обвинение по 330.2 УК РФ Петру Верзилову за Медиазону;

— Пятый обыск у Верзилова, теперь в квартире его матери;

— Обыск и допрос журналистки Таисии Бекбулатовой;

— Третье дело о ЛГБТ-пропаганде против Юлии Цветковой;

— Прокурор запросил 15 лет Юрию Дмитриеву за то, что он разворошил карельских НКВД’шников.

Третий день после официального пожизненного царства Путина ещё не закончился.
Журналиста Ивана Сафронова, арестованного по делу о госизмене, подозревают в передаче секретных данных чешским спецслужбам, которые действовали под руководством США, в то время, когда он работал в Коммерсанте.

Просто от и до выдуманная хрень из их параноидального минямирка «Передавал Чехии, то есть в конечном итоге США, потому что США контролирует Чехию».
Это именно атака на журналистов и месть за журналистскую деятельность.
Ни в коем случае не ведитесь на эту фигню «человека не нужно защищать, потому что он госслужащий».
В этом кейсе и заключается их уловка.

Как обычно — всё зависит от гражданского общества.
Ежедневные массовые пикеты, бесконечные статьи и посты в соцсетях и угроза массовой акции вытащат его оттуда.
Всё это нужно активно делать перед обжалованием ареста.

И классика: чешский шпион — журналист, не имевший доступа к гостайте, а не глава СК Бастрыкин, имеющий ВНЖ и недвижимость в Чехии.
Обыск у Юлии Галяминой.
Обыск у Ольги Горелик (жены Константина Янкаускаса).
Обыск у Татьяны Усмановой (Открытая Россия).

9-й день после официального назначения Путина пожизненным царём начинается интересно.
Прямо сейчас Путин на встрече с Памфиловой: «Организация голосования по поправкам к Конституции была организована по-современному качественно и на высоком уровне»
Защита Руслана Шаведдинова потребовала от Йоты миллион рублей.
Это очень правильно.

Напомню, что Йота помогла похитить сотрудника ФБК Руслана Шаведдинова, незаконно выключив ему сотовую связь во время похищения, чтобы он не мог сообщить об этом.
Логичным действием в ответ на это со стороны любого нормального человека, является не пользоваться этим бандитским операторам и отговаривать от этого друзей и знакомых.
Какой позор.
Минкомсвязи опять ест говно в прямом эфире и вместо того, чтобы строем отправиться под статью, называет хеши номеров паспортов без соли — шифрованием.

Прошли сутки с выхода статьи о базе паспортов всех электронных избирателей, которую выложило в открытый доступ само Минкомсвязи с описанием перевода хешей в номера паспортов.
Перевели уже все, кому было интересно.
Обезьяны из Минкомсвязи коллективно сделали классическое 🙈🙉🙊 и делают вид, что не замечают, как обосрались.
Forwarded from ЗаТелеком 🌐
ЦЫТАТЫ ВЕЛИКИХ.
На самом деле, все это выглядит как кто-то обосрался и ножкой, так, дерьмо под стул задвигает.

Но смешнее другое, официальное: https://tass.ru/ekonomika/8928357

МОСКВА, 9 июля. /ТАСС/. Паспортные данные россиян, удаленно голосовавших по поправкам в конституцию, кодировались специальным образом, чтобы исключить любую возможность утечки персональных данных.

Тут смотрите какая штука: если ты даже очень-очень старался не обосраться, но все же обосрался, то это все равно считается, что обосрался.
Forwarded from Бесконечный сентябрь
(глядя на весь этот бардак с утечкой паспортов из МГИКа)

Ну что, ждём, когда Екатерина Лахова предложит запретить на территории РФ радужные таблицы?..

С пятницей всех нас.
Forwarded from Навальный
Ну вы по ссылочкам-то покликайте!

Меня спрашивают о большом посте Иван Голунов, который прервал своё долгое молчание, чтобы написать о том, что я веду себя как вице-губернатор, а расследования ФБК основаны на материалах журналистов.

Прямо сейчас я не могу ответить Ивану и разобрать его аргументы. Есть другие дела. Вице-губернаторские. Вчера вечером уже третьего сотрудника ФБК похитила ФСБ, чтобы под видом призыва в армию законопатить куда-то к белым медведям. Вроде бы парня уже отправили на самолёте в Архангельск. Но другие источники говорят, что на Дальний Восток.

Мы пытаемся что-то выяснить. История Руслана Шаведдинова, который уже 4 месяца не звонил и не писал даже своей матери и служит на вертолётной площадке в глубине архипелага Новая Земля, где вообще нет связи, нас не радует. Все эти полгода "приключений" Руслана, мы отчаянно нуждались в какой-то информации о нём. Вроде тех удивительных инсайдов из МинОбороны, которыми, как сейчас выясняется, обладал Иван Сафронов. К сожалению Иван не делился ими с широкой общественностью. У него в какой-то момент сменились интересы.

Пост Ивана Голунова я прилагаю. Всем очень советую почитать, чтобы не только наблюдать удивительное перерождение человека, но и оценить потрясающий феномен соцсетей. Можно накидать в текст много ссылок и куча олухов будет доверчиво его репостить с комментариями "как классно и с пруфлинками!"

А кликать на ссылки никто не будет. Почти никто. В комментариях будут бродить 2-3 очень удивленных человека и повторять: "позвольте, мы нажали на ссылки. Они совсем не подтверждают написанное, а ровно наоборот".

Поэтому у меня пока простая просьба: вы на ссылки-то нажмите и почитайте что там.

Ивану Голунову я подробно отвечу, хотя к моему огромному сожалению, ответ этот только ещё дальше уведёт всех от темы защиты Ивана Сафронова. Понимаю и Голунова, и некоторых его коллег, сконцентрировавшихся на фейсбук-критике меня. Это комфортно и безопасно. Глупо же идти на пикет в защиту Сафронова или организовывать митинг/шествие/любую кампанию (см сегодняшний Хабаровск). Там могут ведь и в автозак потащить. Лучше здесь. Так хорошо, так безопасно. Можно писать и держать в руке баночку с газировкой.

Ответить же я вынужден буду по простой причине. Я ни в коем случае не могу позволить, чтобы мелкий врунишка из "Медузы" (Извини, Иван, я тебя теперь иначе не могу называть) распространял чушь о том, что наше расследование о хищении на "восточном" "основаны на статьях Ивана Сафронова". Извините, но это охренеть можно. Многомесячная кропотливая работа основана на чем-чем? Каких-каких статьях?
Неудивительно, что эту наглую ложь так радостно репостят Симоньян и Соловьёв.

Бедный Иван Сафронов. С такими друзьями никаких врагов не надо.

А на ссылочки обязательно последовательно нажмите и прочитайте, что там. Очень поучительно.
https://t.me/GolunovForever/617
Я хочу провести один эксперимент.
Это — зеркало Умного Голосования, расположенное не на гугле.
В Умном Голосовании очень важно зарегистрироваться, особенно перед выборами 13 сентября и в Госдуму.
В рамках эксперимента, если вы ещё не регистрировались в УМГ — зарегистрируйтесь, пожалуйста, по этой ссылке: https://smartvote.live.

Это не новый сайт, а именно зеркало, поэтому если вы уже регистрировались — повторно регистрироваться не нужно.
​​Постоянная рубрика #говнотелеком, а точнее, её менее постоянный подраздел #пиздоболывтелекоме.
Опять же, мелочи, но из них, как известно, складывается всё.
Есть такой оператор — МТС. Мерзкий оператор, который помог взломать ФСБ'шникам телеграм Георгию Албурову и Олегу Козловскому, отключив услуги.
Мне прислали вот этот возмутительный ролик, после просмотра которого у меня так пригорело, что я даже этот пост решил написать: https://www.youtube.com/watch?v=4dOhDHZM_ls

Все, кто понимает в IT хотя бы на уровне продвинутого пользователя — посмотрите, разделите мою боль.

В ролике говорится: «Даже в толпе, при высокой нагрузке на сеть, тяжёлый контент летает. Технология airdata переноси контент сайтов и приложений в облако в сети МТС».
Что не так с этим роликом и этими утверждениями?

1. Самое узкое место сотовой сети — часть от базовой станции до мобильного телефона, так называемая «последняя миля». Именно из-за нехватки ёмкости в этом месте происходит перегрузка и плохая работа сети при скоплении людей.
Мифический «кеш в облаке» никак не решает эту проблему, потому что находится, условно говоря, «в ядре» сети, абсолютно не уменьшая количество передаваемых данных по радио.

2. Все современные приложения и сайты работают по зашифрованному протоколу TLS (и другим), который невозможно кешировать в промежуточном месте, не расшифроввывая его.
Например, одна и та же картинка, переденная дважды через Telegram или с любого сайта в ваш браузер, для оператора МТС выглядит как случайный набор знаков, абсолютно разный оба раза.
Для тех, кто не очень в теме — нет, у МТС нет никакой возможности расшифроввывать трафик, чтобы его кешировать.

То есть, даже если кеш МТС, а не крупных сервисов на сети МТС, и существует, то он точно кеширует минимальную часть трафика и никак не влияет на загрузку сети «в толпе».

МТС держит своих абонентов (существующих и потенциальных) за идиотов, пользуясь тем, что очень немного людей разбираются в технологиях, чтобы понять это.