НеДієве голосування: чергове фіаско жижиталізації
Дія: падає при 15000 запитів на секунду. Ще раз, словами: п'ятнадцять тисяч запитів.
Монобанк: стоїть собі та посміюється при 580 мільйонів (!) запитів на секунду. Майже в 38 тисяч разів більше навантаження, на секундочку. Це про що взагалі? Паперовий будиночок буквально.
Всі ж пам’ятають скільки раз я суворо критикував Дію? У січні 2022 ми з колегами навіть список основних її гріхів склали.
Той список добрі люди англійською переклали
Так от, моя критика стосувалася переважно ігнорування питань безпеки, неповаги до захисту персональних даних та хибної загальної концепції й ідеології цього одіозного державного додатку. Претензії до функціональності стояли десь в кінці списку.
І ось вчора лягла й функціональність. І далеко не вперше, між іншим.
Але тепер вона лягла у той критичний момент, коли ні за що не повинна була лягати: «додаток для голосування» не справився з голосуванням. Адже ні для кого вже не секрет, що таємне стратегічне призначення Дії – для «виборів у смартфоні» із заздалегідь визначеним організаторами результатів.
До вчорашнього дня суспільний договір полягав приблизно у тому, що піпл не особливо париться стосовно викриків всяких там експертів, мовляв, «у Дії є проблеми з безпекою». Зате зручно! Можна водійське вдома забути, класно ж. Про штраф тебе одразу повідомлять, до суду викличуть, кредит тобі оформлять – краса ж?
Але після такого приголомшливого фіаско – навряд чи репутація держдодатку колись відновиться. Розробники чомусь досі вірять, що, загнавши кілька десятків мільйонів користувачів в Дію, вони примусять їй довіряти.
Дослідження 2023 року свідчить, що 67% респондентів вважають Дію «засобом централізованого стеження за населенням».
У мене на телефоні немає ані Дію, ані Телеграму. А також додатків типу «яка ти рослина» чи «яким ти будеш через 30 років». Бо я ж експерт, бляха, з кібербезпеки. Тому мені важко зрозуміти нахіба люди тягнуть собі у смартофни подібне Г.
Але якщо вже тягнете - ставитися до цього всього слід виключно як до розваги: ну прикольно, погрався та й видалив.
Всерйоз розгядати рукожопську поробку як спосіб для голосування за вище керівництво державою, як електронний кабінет призовника чи як електронне посвідчення особи - не можна категорично.
І трохи зловтішних висновків.
Провал голосування через Дію на фіналі нацвідбору Євробачення показово візуалізував ризики № 10 та № 19.
У кого не було Дії – не могли проголосувати, це реалізація ризику № 11.
Завдяки повній непрозорості роботи додатку (ризики №№12, 13, 15, 16, 17, 18, 19) – неможливо перевірити результати голосування, можна лише сліпо вірити організаторам.
Відсутність альтернативи – це ризик № 15. І це просто дніще, добавлю від себе окремо. Примусове загоняння фанатів Євробачення в Дію. Неспортивно, не по-джентльменськи, фу. І цей підлий прийомчик вже не вперше застосовується: схожим чином набивали користувацьку базу при отриманні «ковідних сертифікатів», «8 тисяч компенсації для ФОПів» та «ковідної тисячі». Брудна гра.
До речі, маю стійку підозру, що більшу частину статистики «користувачів Дією» становлять люди, які змушені були її встановити, один раз скористалися і одразу, матюкнувшись, знесли.
Тому що українці – це все-ж таки про свободу та незалежність. Коли до чогось примушують – це автоматично викликає підозру, невдоволення, спротив.
Так, багато хто користується Дією. Так, є деякі корисні функції.
Але репутація – то досить специфічна штука. Достатньо один раз лажонути - і тебе будуть оцінювати саме по тому одному разу. А Дія лупить репутаційно у штангу приблизно у 70 відсотках випадків.
Точніше – у 67%.
P.S.: Картинку взяв у Богдана Процишина. І взагалі, судячи з океану мемів на дану тему, більшість користувачів Дії ставляться до неї, м’яко кажучи, скептично. Ржуть, але продовжують користуватися. Але це вже тема для дещо іншого дослідження.
А що поганого у зручності і доступності ?
Як працює ел. банкінг ? Там що, супер-пупер захист ? Номер телефону і пароль. І все !!!
А от Дія. Це всі Ваші дані, котрі є в держави. Всі. А потенційно, ще і голос на виборах. Як вам сподобається, коли хакери усе це вкрадуть. Про наслідки такого, можете пошукати дані в інтернеті, прикладів з Заходу більш ніж достатньо.
Дія це дуже зручно, дуже доступно, і наскільки ж і небезпечно.
P.S. Втім там є 2 недоліки - концептуальний і практичний. Концептуальний полягає в небезпеці збору даних в одному сервісі. Втім з цим ще можна було б змиритись, якби не практичний недолік Дії - спеціалісти вказують на ЗНАЧНІ проблеми з безпекою, які замість вирішення, Мінцифри просто....приховує.
Там передбачено 3 способи входу. Замовлення певних послуг можливе тільки при використанні КЕП. Тобто. Зловмисник повинен заволодіти смартфоном, знати усі паролі, мати КЕП жертви.
То ... вибачайте, це всерівно, що людину викрасти і праску на пузо покласти.
Далі, "немає даних про масовий злом", я раджу "не читати радянських газет", тобто менше вірити владі і більше слухати спеціалістів. Зломи були. Найбільший стався в січні 2022 року, коли рашистські хакери зламали купу держустанов і Дію. Звісно злом Дії заперечили, Кіберполіція нічого "не знайшла", влада вимагала "не дестабілізувати ситуацію", але..... через пару днів, вкрадені з Дії дані виставили на продаж. Дані 2млн. українців. Звісно все це назвали фейком і т.п., але https://dou.ua/lenta/news/diia-data-leak-2022/ ось тут , можете почитати що писали програмісти на Доу. Коротко - це дані з Дії, в т.ч. свіжі.
Далі, а для чого ламати кінцевого користувача? Знаєте яка безпека в самій системі? Впевнений, що не знаєте, і ніхто не знає, окрім Федорова. Ніякого аудиту безпеки там не було. Вас це не турбує? Тим більше мова йде про систему де можна продати Вашу машину, підтвердити особу для отримання кредиту на Вас, а потенційно продати Вашу нерухомість і проголосувати.
І останнє - можете почитати про https://legalinform.org/news/iz-rossii-s-********-vuha-chiyih-spetssluzhb-stirchat-za-rozrobkoyu-diyi/ російський слід в розробці самої Дії .
щоб вкрасти BankID досить отримати доступ до номеру телефона - ну так любе шахрайство на цьому побудоване, і з паперовими доками так.
де право перевипустити SIM-карту мають тисячі осіб по всій країні, - але ж чомусь цього не відбувається, для цього рекомендують преходити на контракт.
Що таке BankID? Це коли банк авторизує вас в сторонніх сервісах, причому: а) вашої згоди ніхто не питає - якщо звертається шахрай, то це не я, а шахрай і це кримінальний злочин.
Далі, "немає даних про масовий злом", я раджу "не читати радянських газет", тобто менше вірити владі і більше слухати спеціалістів. Зломи були - звичайно зломи були. І будуть. Мова іде про массові явища. А їх не спостерігається. Не дай Провидіння, якщо хтось потрапить у поле зору ОЗУ (ОПГ) - то звісно, без варіантів.
Основний механізм розкрадання бюджету - так званий "фонарь". Видумується якась державна програма, на якій можна максимально вкрасти, типу "великого будівництва". Бажано, щоб ще й іноземні гранти були - тоді можна вкрасти все, а на гранти щось зробити (подвійне фінансування). Саме тому державні програми виглядають повним ідиотизмом.
Так робиться все. Державні ворюги проявляють активність виключно тоді, коли мають на карман. У протилежному випадку, навіть якщо то вкрай необхідно для країни, палець об палець не вдарять. Чому Дія має бути винятком? Дія це типовий "фонарь", на якому крадуться гроші. На перших етапах до виконання робіт залучалися задарма студенти, а все фінансування розтягалося по кишенях. Сподобалося. Тепер на Дію будуть списуватися шалені гроші, а виконуватися роботи будуть по залишковому принципу бригадою кустарів.
Шановний пан Костянтин сам визнавав на ютубі, що давно вже нічого не пропонує, бо не вірить у фідбек та зміни.
Хоча він один з експертів з безпеки топ-рівня, саме тих, хто може зробити альтернативний додаток,
презентувати його, та продати державі. Ну по типу як стандартом стали Монобанк та Нова пошта, у сферах де здавалося новий підхід неможливий.
Скажіть, хто і як має ото все зробити правильно, якщо ціла країна буде експертна лише у зраді?
Як вийти з замкнутого кола? Чи то знов - про вибори; чи не про очікування доброго царя це?
хотіли, як краще, вийшло - гірше нема куди.
1500 дорівнює п'ятнадцять тисяч??
Шановний експерт! Спіймайте на вулиці будь-якого третьокласника, й він вам розтлумачить різницю!!
Запам'ятайте назавжди: не-rooted телефон - це не ваш телефон.
Музика, фото. Не писати "геть zє" з телефону. Мати окрему сім для банкінгу в 4G-модемі (не від Huawei, звісно), або на крайній випадок, замовити послугу "другий номер" для щоденних потреб. Ніколи не дзвоніть с фінансової сім і не відповідайте на радомні вхідні дзвінки.
https://lineageos.org/ + https://f-droid.org/ частково вирішує проблеми, але все одно - нічого важливого на телефоні бути не має.
Я вас услышала с первого раза
Меня в Дії нет
"Дія: падає при 1500 запитів на секунду. Ще раз, словами: п'ятнадцять тисяч запитів. "
Джерело:
Так 1500 (пiвтори) чи п'ятнадцать(15000)?
"Монобанк: стоїть собі та посміюється при 580 мільйонів (!) запитів на секунду. Майже в чотириста разів більше навантаження, на секундочку."
Джерело:
Якщо навiть повiрити у цифру 580 млн./с
15 000 * 400 = 6 000 000 (а не 580 000 000)
1500 * 400 = 600 000 (а не 580 000 000)
Таке враження - аби язиком молоти та манiпулювати числами.
Або помилка у кількісті нулів числа запитів, або - за годину
Або запити обслуговують сотні серверів.
Ядра процессора могуть виконувати працю паралельно - можете помножити результат на кількіть ядрів процессора - хай їх сотня - (аж тисяча за секунду
Запити, що не задовольнились - станов'ятся в чергу - яка має межу (timeout). Тобто при пікі навантажень запити можуть обслуговуватися пізніше. Но щоб тривалу навалу мільйонів запитів на секунду - це просто брехня
Результат "голосування" був відомий ще ДО голосування. Все як у ху@ла. Дивимось на дату новини про переможців в нижній частині картинки, виділене жовтим кольором.
"Монобанк держит 580 млн запросов в секунду" Ага, при населении Украины в 40 млн...
Также позабавило убеждение, что удаление программы-клиента с телефона, которая просто подтягивает существующую информацию с серверов, как обезопасит его личные данные. И взламывать будут не телефон, а сервера.
Еще раз - вы не вводите в Дию никакой информации, которой у государства еще нет. Она дает вам возможность тоже видеть ту информацию, которая у него уже есть.