понеделник, 9 ноември 2015 г.

Защо не трябва да има електронно гласуване? - ІІ част

"Не е важно колко и как са гласували. Важното е кой брои гласовете."
Йосиф Висарионович Сталин
Борисов и Местан сред съпартийците си...

В предишната част вкратце показах, че вие не контролирате компютъра, телефона и таблета си, защото Големият брат го контролира заради, и вместо вас. Показах, как американската АНС / NSA ви е хакнала операционната система (Windows 10), фърмуера на твърдия диск, буутлоудъра, рутера, мобилния телефон / таблет и СИМ картата. Не говоря за специализиран шпионски софтуер, такива се десетки и ги има и ДАНС, както ще видим сега. Говоря за фабрично вградени софтуерно / хардуерни системи  уж "без съгласието" на големите корпорации производители, но това не е вярно. Не само са съгласни и съдействат активно на АНС, но и често разработките им са предварително съгласувани и даже поръчани от службите за сигурност. Ако не знаете, например прословутата система Tor e разработка на Изследователската лаборатория на американските военноморски сили (US Naval Research Laboratory). Още през деветдесетте години на миналия век беше открито, че Word и Excel вграждат във всеки създаден от тях документ уникален код съдържащ данни за компютъра и софтуера ви, включително серийните номера на производителите, така че, който трябва, по файловете да разбере кой сте и къде сте. В 1999 година в шведския парламент избухна скандал като откриха, че ползваната от тях американска документооборотна  система Lotus Notes има фабрично вградена "задна вратичка" от която ЦРУ получава цялата им информация. През същата година нашият президент Петър Стоянов с телешки възторг се хвалеше, как в президентската администрация внедрили Lotus Notes и служителите вече не подавали хартиени, а електронни молби за отпуск. Простотията по хората ходи, не по планините. А сега да продължим с невъзможностите на електронното гласуване в България.

Институционалните проблеми

Често чета с огромно садистично наслаждение невероятни глупости от уж "софтуерни професионалисти", които дават безумни аргументи в подкрепа на "сигурността" на електронното гласуване. Да  разгледаме някои от тях. 
Грантаджиите - хрантутници на  Джордж Сорос открито си го
имат за комунист - носят го в образа на комунягата Че Гевара
Започваме с великия специалист по всичко Асен Генов - (по образование занаятчия - грънчар с диплома по "керамичен дизайн" от техникум), впоследствие станал сектант - кришнар, след това водач на платените от соросоидите "протестуиращи", които върнаха на власт  за втори път организираната  престъпна група ГЕРБ начело с оперативно интересното лице от СИК - Бойко Методиев Борисов с прякор Боко Тиквата. 
Асен Генов - "Харе Кришна, Харе Рама на БоСтана..."
Понеже всички знаят за образованието на хрантутника на фондация "Америка за България" - Генов, той използва неназован "мрежови експерт" да пробутва глупостите си. Ето части от писанието му: с иначе хубавото заглавие "DDoS, хакерите и електронното гласуване""По тази причина реших да не импровизирам, а да задам няколко въпроса на човек, когото определям като експерт — мрежови инженер, специалист по опорни мрежи в частта им за достъп. Идеята ми бе на прост, разбираем за масовия потребител език да обсъдим сигурността в Глобалната мрежа, по отношение на дискутираните теми в България — електронното дистанционно гласуване и атаките срещу правителствените сайтове." Ето и обясненията за DDoS атаките: "DDoS атаката е атака на дадена онлайн услуга, при която се цели тя бъде претоварена с нелегитимен трафик, в резултат на което тя да спре да обслужва заявките на потребителите. Този вид атака обикновенно се осъществява от много места едновременно, с цел да се затрудни проследяването и блокирането на източниците. DDOS е тривиална, много лесна за изпълнение атака, която не изисква специфични познания. Тя не е особено трудна за предотвратяване, защото данните на атакуваната цел не са компрометирани, а самата атака не влияе на алгоритъма на работа на атакуваната услуга. Представете си 100 души, които са блокирали входовете на парламента. Да, те ще попречат на работата му, но по никакъв начин няма да повлияят на взетите от "Народното събрание" решения, нито пък ще повлияят на гласуването и т.н. Те просто пречат на входа и на изхода. Успеете ли да отстраните стотината души, цялата работа на парламента ще продължи по старому."
Мдаааа, значи потенциалната DDoS атака не била опасна. Само дето ще попречи на милиони българи да влязат в сайта на ЦИК или ОИК (зависи от техническото решение на евентуалното електронно гласуване) и да упражнят правото си на глас, защото те ще  са недостъпни, както видяхме на тези избори - сайтовете на ГРАО, ЦИК и "Информационно обслужване", после и на ДАНС, Президентството, че и на НАП бях блокирани, някои за по два-три дена, други за по четири-пет и разстроиха работата на тези институции. И ако сега хората просто не можеха да проверят в коя секция трябва да гласуват (в сайта на ГРАО), или не получиха информация за процента гласували (в сайта на ЦИК), или просто вместо да подават електронно документи в НАП, счетоводителите се разкарваха с обемисти хартиени папки и чакаха на опашки в офисите й, които неща са просто дреболии, то при електронно гласуване DDoS атака просто ще откаже милиони българи, особено в чужбина, изобщо да гласуват. Все пак "експертът" на Генов признава, че усилено пропагандираната от други разбирачи услуга Cloudflare, няма да оправи положението, и тук е прав: "Cloudflare е услуга, която кешира статичното съдържание на сайта Ви при себе си, разтоварвайки Вашия сайт от трафик на статично съдържание. Това не ви освобождава от риска някой да атакува базата данни например, събаряйки целия сайт, защото Cloudflare съхранява само статичното съдържание.  Цялата логика, която изгражда Вашия сайт си остава при Вас. Този тип услуги не са много подходящи за сайтове, като този на ЦИК, защото при тях динамичното съдържание значително превъзхожда статичното: постоянно се въвеждат протоколи, правят се справки в реално време — все неща, които статичен кеш не може да разтовари от Вас, облекчавайки трафика на сайта Ви."
Да го преведем на български: "Cloudflare" няма да спаси положението при DDoS атаки, а и ще позволи да ви "хакнат и базата данни", но за сметка на това, ще си плащате за него. Тук не коментирам, че някои лобисти гледаха да заработят пари, като пробутат безполезни "услуги" за да изкарат комисионна.  После експертът дава няколко "безценни препоръки" как да се борим с DDoS атаките включително със безумно скъпи хардуерни и софтуерни решения (които не работят, но нямам място да го опровергавам, че ще стане скучно от технически подробности). Дори накрая стига до там да се спира трафика от страна на международните интернет доставчици, когато има атака. "Допълнително, в случай на DDoS атаки, големите международни доставчици реагират в рамките на няколко минути и могат да филтрират трафика още при тях, изцяло разтоварвайки Вашия сайт от ненужния трафик." Преведено: "Сбогом на гласовете на българите в Америка и Европа, но пък удобно може да се пуснат тези от Турция, защото кой да гласува и кой не, ще решават някакви анонимни международни компании над които България няма контрол" и т.н. А Генов понеже е умен, след това отново пита това за което му е отговорено, че чак експертът се принуждава деликатно на следващия въпрос да му каже, че горе вече е отговорил: "— Как може да бъде избегнат и контролиран рискът от това DDoS атака да попречи, да забави или дори да направи невъзможно за известен период от време гласуването на българите в чужбина?
- Отговаряйки на предните въпроси, отговорих и на този."
Ако искате да се посмеете, прочетете тази безценна статия - интервю по темата, взето така "професионално" от грънчар - грантаджия със подобаващия му интелект и познания. Ако си мислите, че  DDoS атаката ще е единственият проблем на българските институции осигуряващи химерното електронно гласуване, много грешите. Аз на първо място поставям некадърността, подкупността и злонамереността на българските институции, на които бихме поверили гласовете си с надеждата да ги отчетат "правилно и честно". Само няколко примера: "Първият разпитан днес беше Иван Бонев – сега пенсионер, директор на отдел СДОТО в ДАНС в инкриминирания период. Според него първото искане за прилагане на СРС е постъпило от самия Тодор Костадинов. Средствата е следвало да бъдат приложени спрямо автоматизираната информационна система "Централен полицейски регистър" (АИС ЦПР) на МВР. В него се сочело, че служители на МВР са заличавали административни наказания, наложени при извършени ПТП срещу заплащане. Предполагало се е, че това е ставало през регионалните системи в Бургас, Шумен и Варна." - пише "Капитал" тукАко не сте разбрали краткия откъс, обяснявам. От ДАНС отиват да проверят сигнали, че корумпирани ченгета срещу заплащане изтриват електронни данни за пътни нарушения и произшествия на място в областните дирекции на МВР, но ДАНС-аджиите били толкова некадърни, че вместо да прихванат данните от АИС (автоматизирана информационна система) се разхождали в командировки напразно. "Капитал" пише в показателно подзаглавие:

"12 пъти не свършихме нищо

Самите агенти от СДОТО пък – Милко Миленов и Тодор Николов – също дадоха показания днес. Те са били избрани за задачата, тъй като преди това са извършвали проверка именно на сигурността на АИС в сградата на Дирекция "Комуникационни и информационни системи" (КИС) в София. Според показанията им, както и на свидетелите след тях обаче, те не са могли да придобият достатъчно умения за работа със системата, така че да могат да я манипулират. Това, което двамата посочиха, че са вършили при всичките си посещения в областните дирекции на МВР, е било да следят логовете на работните станции. Тези логове показват дали въобще някой е ползвал конкретния компютър. Целта им е била да видят дали някой е влизал в работните станции в извънработно време. Опитали са се и да приложат специален софтуер, който да засече екранната активност на няколко компютъра. Усилията им обаче ударили на камък, защото компютрите били защитени с антивирусен софтуер. На въпрос на съдията защо, при положение, че очевидно тези дейности са били безпредметни, са продължавали да ги извършват, Миленов посочи, че е искал да си свърши работата."
Да се смееш ли, да плачеш ли, - ченгетата ни са корумпирани, а контролиращите ги ДАНС-аджии - некомпетентни... Както питаха древните римляни: "Кой ще ни пази от пазачите". Те пазачите на пазачите, сами себе си не могат да опазят...

И понеже стана дума за лог - файловете, ето още една сладка история и за тях, от още по-хубавата ни съдебна система, където софтуерът за "случайно разпределение на делата" по конкретни съдии предизвикваше скандали цели 4-5 години:  "Така например става ясно, че едно и също дело може да бъде разпределено от софтуера няколко пъти и определя различни съдии докладчици. Отделно от това е възможно да се манипулира натоварването на отделните съдии в посока делото да се падне при най-ненатоварения, без това да оставя следи. Възможно е от друга инсталация на програмата да се разпечатва протокол за случайното разпределение с "правилния съдия". На практика log-овете на системата се пазят в незащитени файлове, които могат да се редактират с текстов редактор."  А ето и още по темата: "Експертите са единодушни, че действащата система за случайно разпределение на съдебните дела "LawChoice" е така създадена, че може лесно да бъде манипулирана и няма как да бъде "закърпена", а трябва да се направи нова, в която да се вградят всички принципи на информационната сигурност. "Софтуерът е много лесен за манипулиране. След едноминутна демонстрация как става, всяко 10-годишно дете може да се справи с това да изманипулира този софтуер и да прави n на брой разпределения, докато не се падне съдията, който "трябва да се падне", заяви пред Нова телевизия IT специалистът Васил Величков, който провери софтуера за разпределение на делата след съмненията около определянето на докладчика по делото за фалита на КТБ в Софийския градски съд. Той е съветник на вицепремиера Румяна Бъчварова и отговаря за електронното управление. Той посочи основните проблеми с "LawChoice" – тя не е централизирана и се инсталира на отделни компютри в съдилищата, самите компютри и софтуерът са много стари, а на всичкото отгоре кодът на софтуера се държи от създателя му - шефът на IT дирекцията на Висшия съдебен съвет (ВСС) Валери Михайлов."

Така, към прекрасните ни корумпирани полицаи и некадърни дансаджии, прибавяме и корумпираните съдии, работещи нарочно със злонамерено направен дефектен софтуер, чийто създател си пази кода за себе си.

Да продължим с още наши държавни институции - тези които ще броят гласовете ни. По-точно тези, които и в момента електронно ги броят - великата Централна Избирателна Комисия - ЦИК. Вижте разследването на журналистите от "Бивол": "Преди няколко дни, анонимни хакери предадоха на "Биволъ" компютърен код, за който се твърди, че пресмята изборните резултати точно като софтуера използван от фирмата Информационно обслужване, избрана от ЦИК за компютърна обработка на резултатите от изборите от 2013 г.  Офертата на фирма „Информационно обслужване“ беше единствената и възлизаше на 1 687 896 лева с ДДС. ЦИК категорически отказа да публикува изходния код за тази компютърна обработка, с несъстоятелния и комичен аргумент, че някой може да фалшифицира изборите. "Биволъ" се обърна към специалисти математици и програмисти сред българите в чужбина, които анализираха кода и за няколко дни написаха проста програма, която прави компютърна обработка със същите резултати като тези, очаквани от „Информационно обслужване“ срещу 1,7 млн. лева народни пари. За да пуснете програмата е достатъчно да имате инсталиран Excel, да свалите този файл : BgElections2013.xls (десен клик и Download, ако се отваря в браузъра), и да го отворите в Excel. На въпроса дали да бъдат активирани макросите отговорете с „Да“. Нещо повече, програмата демонстрира бъговете заложени в методиката приета от ЦИК, която е математически неиздържана и позволява да се манипулират изборните резултати на ниво персонификация на мандатите.

Най-просто казано, ако за един мандат на малка партия се конкурират един „сговорчив“ и един „несговорчив“ депутат, ЦИК може да реши да влезе послушния, а непослушният, дори да е лидер на партия, да остане извън парламента." 

Значи така ЦИК брояха гласовете ни в изборите през  2013 година, които са си все още хартиени, а само обработката на резултатите е електронна?  Тоест към корупцията, която взе да става вече симпатична с безвредността си, отново добавяме манипулация или дори фалшификация на резултатите? Прочетете отново последното изречение в цитирания абзац. А как ли ЦИК ще брои гласовете в бъдеще при масово електронно гласуване?
Институциите ни може и да са корумпирани и некадърни да защитават правата ни и правовия ред, но пък са много умели в нарушаването им. Ето например какъв софтуер е закупило правителството преди време. "Българското правителство е екслузивен клиент на фирмата Dreamlab, която заедно с Gamma International комерсиализира агресивния шпионски софтуер FinSpy. Освен това България има бизнес отношения с фирмата Trovicor, която се специализира в решения за тотално подслушване на телефонията и интернет трафика, с възможност за интрегриране на националните регистри (ГРАО, КАТ, НАП и т.н.). Това става ясно от поредица документи публикувани от сайта Wikileaks (проектът Spy Files 3). ....От документите става ясна и технологията за инфектиране с FinSpy. Сървърите на Dreamlab следят и филтрират трафика на дадено лице. За целта те трябва да са инсталирани на ниво интернет доставчик. В момента, в който компютърът на следеното лице изпрати запитване за обновление на някоя класическа програма (iTunes, Firefox, Flash), пакетът с обновлението се подменя с инфектиран такъв. След като инфектира компютъра FinSpy следи и изпраща на контролен сървър информацията за всички действия на потребителя в Мрежата. FinSpy е способен да записва глас и видео като пуска дискретно уебкамерата. Същото е възможно и на инфектирани смартфони от различни марки." Освен него ДАНС има и друг софтуер, макар, че отрича да го е закупила: "Шпионският софтуер на Hacking Team действа като вирус и позволява дистанционно управление на заразените компютри и телефони, вкл. открадване на паролите, наблюдение през уеб камерата и записване на всички действия на потребителя." Инфектиране на компютри и смартфони и събиране на различна информация от тях: Skype трафик, различни чат приложения (Facebook, WhatsApp, Line, Viber, др.) Запис на клавиатурата, локация на мишената, файлове, скрийншотове, подслушване чрез микрофона и камерата и много други възможности на Galileo – последният продукт на Hacking Team, са впечатлили шефа на ДАТО Цветан Китов.  «Основно се интересуваме да атакуваме PC-та с Windows и смартфони с Android и iOS. Бихме искали да добием по-добра представа за възможностите на Galileo, започвайки от инфектирането, през събирането на данни, дистанционен контрол на системата и накрая унищожаването на инфекцията. » – пишат родните шпиони до хакерската фирма, която е считана за враг на информацията от „Репортери без граници“. Да, хубави хора са тези от ДАНС, вижте колко са любознателни и какви интереси проявяват към нашите устройства..... 
Мога да дам още колкото искате такива примери, но тези не са ли достатъчни? Фирма "Информационно обслужване", която е взела 1 700 000 лева за да изчислява изборни резултати, което и една проста "Excel" таблица може да направи, нарочно сбърква софтуера, за да може ЦИК да избира, кой депутат да пусне и кой да спре, с елементарна игра с гласовете, а от друга страна не можа да си защити сайта от елементарна DDoS атака през тези местни избори. На ДАНС-аджиите, които уж защитават националната ни сигурност, включително информационната, също им блокираха сайта сега, но това  е дреболия, по-големият им проблем е некадърността с която изпуснаха корумпираните ченгета изтриващи електронни досиета на пътно-транспортните нарушители. А дали не са изтривани и криминални досиета по политически причини или заради корупция? Но за сметка на това пък, в ДАНС имат отличен софтуер да се бъркат в компютрите и телефоните ни...  Съдиите, при които се обжалват изборните резултати или  фалшификации и всякакви други нередности, нарочно си правят дефектен софтуер, за да манипулират "случайния избор на делата", та да попадат при верния съдия, който да реши случая "правилно", както му каже КОЙ-то трябва отгоре....
Те се къпят в народната любов

Институционална отврат, някой още мисли ли, че държавните ни институции ще направят и прилагат честна, почтена, професионална, сигурно защитена, електронна избирателна система?