Віталій Шабунін Голова правління Центру протидії корупції

Депутати-хакери сфальшували злам системи Є-декларування

19 серпня 2016, 21:40

У спробах врятувати шкури Порошенка, Турчинова і Ко від міжнародної ганьби нардепи – Віннік та Геращенко – впали в маразм. Спочатку ми вважали, що вони скоїли злочин – ініціювали злам державного реєстру з деклараціями і самі ж продемонстрували це на широкий загал.

Утім, аналіз ситуації та розслідування, проведене ПРООН на місці подій – в НАЗК, звідки є доступ до системи з деклараціями, показав геть інше.

Депутати сфальшували злам системи та ввели суспільство в оману.

Зламу не було.

Система, попри те, що працює в режимі дослідної експлуатації, тобто – тестовому режимі, захищена від зламів – зовнішнього проникнення. Система була протестована незалежними тестувальниками, зокрема Прайсвотерхаузкуперз. Недоліки, які були знайдені під час тестування, були виправлені розробником. Цьому є документальні підтвердження.

Що показали депутати?

Вони імітували злам системи тим, що авторизувалися на порталі, що працює в тестовому режимі, за допомогою тестового ключа і ввели тестові дані в форму декларації, яку потім підписали тим самим ключем.

Тестовий ключ для авторизації в системі депутатам видали в Акредитованому центрі сертифікації ключів Державного підприємства "Українські спеціальні системи" – державній установі, де розміщені сервери з самою системою є-декларацій.

Саме ДП УСС – в структурі Держспецзвязку, яка за вказівкою Турчинова та Порошенка, свідомо валить всю систему е-декларування.

Акредитований центр при ДП УСС не роздає ці тестові ключі просто так, їх неможливо отриимати он-лайн. Нагадаю, саме ДП УСС впала в енергетичний колапс напередодні запуску системи е-декларування і ледь не зірвала весь процес.

Як депутати-хакери отримали ключ від Акредитованого УССом центру – питання слідства.

Очевидно інше. Це був не злам системи, а спланована провокація з боку народних депутатів, що має на меті дискредитацію системи, її розробників, її замовників – ПРООН, та головне – її адвокатів – громадських антикорупційних діячів.

Сама "декларація Рябошапки", а точніше "злам системи" відбувся акурат за декілька годин до прес-конференції депутатів-хакерів. Соупадєніє?



Можливість введення в систему тестових даних є однією з умов проведення сертифікації КСЗІ. Це – один із етапів цього процесу. Саме тому в режимі дослідної експлуатації система налаштована так, щоб в неї можна було вводити тестову інформацію.

Іще 14 серпня розробник публічно повідомив НАЗК, що система приймає тестові дані.

Саме це і продемонстрували депутати – отримали тестовий ключ, авторизувалися і створили там декларацію Рябошапки.

Тобто, фактично, вони зробили тест системи. Окей. Ніяких правових наслідків для особи, від ПІБ якої ця "декларація" була створена, немає.

Бо заповнена декларація посвідчується цифровим підписом особи.

В даному випадку для створення підпису був використаний тестовий ключ від Авторизованого Центру при ДП УСС.

НАЗК, отримуючи декларацію, бачить, що вона підписана тестовим ключем, і не може вважати таку декларацію справжньою. Жодних наслідків, як от кримінальна відповідальність, та навіть банальної перевірки НАЗК не може розпочати на основі декларації, яка підписана тестовим ключем!

Інакше кажучи, якби депутати-волонтери заповнили форму декларації від руки і підписали її хрестиком, ніхто б не вважав це за документ. Те саме відбувається і зараз, тільки в електронному режимі. Ніякого статусу така форма не несе, це не є документом.

Саме це ПРООН сотні разів демонстрував депутатам і урядовцям під час презентацій роботи системи.

Для чого це робиться?

Перше. Міжнародні партнери обурені поведінкою Києва і тим, що їх ще раз спробували намахати з реформою. Називаються конкретні прізвища і адресати цього обурення. Саме тому завдання влади номер один – очистити від підозр у свідомих махінаціях Євдовченка, Корчак, а також Турчинова і Президента.

Друге. Ніхто не розбирається в технічних деталях софту, тому дуже просто систему дискредитувати, підірвати до неї довіру як з боку користувачів, так і з боку міжнародних партнерів. Навіть якщо її доробить ДССЗІ, все одно, довіри до неї вже не буде.

Третє. У вересні все це згадають депутати в залі і питання буде просте – відмінити кримінальну відповідальність за подання недостовірних даних, тобто – брехню – в деклараціях. На фоні всього цього депутати проголосують аж бігом. На той час гроші і безвіз уже будуть отримані, назад їх ніхто не забере.

powered by lun.ua
Коментарі — 184
Максим Чарушниковв _ 21.08.2016 13:20
IP: 46.118.116.---
Цікаво хто з керівництва НФ і БПП взяв кучу грошей за відтягування введення е-декларацій, за 8 місячне відтягування закону про зниження акцизів на авто і т.п.

Тарифи для отримання мегаприбутків ахмєтовим піднімають вчасно, щоквартально,щей розміри тарифів випереджають очікування МВФ

армійський 100 міліардний бюджет Турчинов, Аваков, Пашинський, Коломойський пиляють аж гай шумить

А абізяни віннік і антоха аж піною заходяться, відробляючи "катлєти"
lohik _ 21.08.2016 12:18
IP: 134.249.42.---
Навіщо стільки шуму?...Ця система ІНФОРМАЦІЙНА і сама не шукає та не відслідковує прибутки чиновників...Вони самі повинні особисто здатись в полон і заповнити е-деклараціі для відкритого доступу...А писати будуть все, що захочуть...З великоі хмари буде малий дощ...І навіщо хакерам взламувати цю систему, коли вона і так доступна...Там РЕАЛЬНІ кошти не лежать, як в Банках чи банкоматах...
ashko _ 21.08.2016 12:03
IP: 178.151.182.---
Тарас Говда:
...и причем тут заявление от Шабунина про якобы тестовый режим работы. Обкакался и Шабунин
Напевно, тому, що в його голову не прийшла проста думка, що директор державного підприємства "Українські СПЕЦІАЛЬНІ системи" Тарас Олiйник мiг вчинити як мінімум посадовий злочин, сертифікувавши пiд заказ шахраїв з ВРУ підроблені ключі на ім'я Рябошапки. І це державне підприємство, яке працює в сфері захисту інформації! В мене немає сумнiвiв, що подiбнi хфiрми будуть запросто
зливати приватнi данi (ключi i т.i) своїх клiєнтiв.
Erida Chord _ 21.08.2016 11:33
IP: 178.95.193.---
Musya Lyusya:
Но ведь сейчас система действительно не выполняет интеграцию с другими государственными реестрами, в чем, собсно, ее смысл, не автоматизирует сопоставление данных декларации с недвижимостью, машинами и т.д. Это было заявлено в техзадании и не выполнено.

мусичка, об этом говорилось ещё на первой прессухе: интеграцию с другими реестрами могут сделать только государственные структуры, а не разработчик – система сопоставит, "только кто ж ей даст?!"
Erida Chord _ 21.08.2016 11:29
IP: 178.95.193.---
висновок один: всюди в нас у владних структурах переважають казнокради та брехуни – це все, що потрібно про це знати. Ой, ні, ледве не забула: ще потрібно знати, що вони бовдури
Musya Lyusya _ 21.08.2016 11:22
IP: 178.95.203.---
В конечном итоге защищенность будет обеспечиваться стандартными средствами через центры выдачи ключей. Но ведь сейчас система действительно не выполняет интеграцию с другими государственными реестрами, в чем, собсно, ее смысл, не автоматизирует сопоставление данных декларации с недвижимостью, машинами и т.д. Это было заявлено в техзадании и не выполнено. Кто будет анализировать, в декларации Жигули, а в реальности Порше? Вручную? Сейчас это простейшая база данных, на уровне студентов 2-го курса. Было бы интересно узнать, кто именно выбирал разработчика, как именно проходил тендер, проскакивало, что тендер был под Миранду, остальным (всем!) отказали, что в заявке вирус
ashko _ 21.08.2016 09:45
IP: 130.211.104.---
Навздогiн...И где гарантия, что ваш секретный приватный ключ при получении сертификата не будет передан третьей стороне? И причем здесь СЕД-софт от Миранды?
ashko _ 21.08.2016 09:30
IP: 178.151.182.---
Публичный и личный ключи вы можете сгенерировать даже у себя на компе, если установлен соответствующий soft (GPG, например). А вот чтобы заполнить ту самую декларацию, нужно эти ключи ещё и сертифицировать: с документами, которые подтверждают вашу особу, обратиться в одну из этих организаций czo.gov.ua/ca-registry
sidor _ 21.08.2016 09:29
IP: 77.52.70.---
Роман Зощенко:
Взадов, как гастарбайтеру тебе только учитывают определенные слова – типа хунта, фашисты, бандеровцы...? Так не напрягайся – пиши четко и по делу – " хунта гав,бандероцы гав, фашисты гав". Че вату зря катать!
-Vesna- _ 21.08.2016 09:11
IP: 93.72.142.---
Andrey Kononenko:
mihaylenco:
Andrey Kononenko
Ну вот, Мышкина, ты не айтишник, сразу видно. Публичный и личный ключи генерируются всегда одновременно в одном месте. Отсюда возникает вопрос – ты кто?

Хто, хто... Троль! Ось хто!
Это понятно. Но зачем?
Троли – явление самодостаточное.
ashko _ 21.08.2016 09:07
IP: 178.151.182.---
О яка багатоходiвочка омерти подонкiв-депутатiв-казнокрадiв разом з продажним помийником пiд назвою державне підприємство "Українські спеціальні системи" вимальовується:
1. ДП УСС "за долю малую" генерує i cертифiкує ключі ЕЦП на Рябошапку, який звicно туди i не звертався.
2. Далi ключі передаються свинi, яка вiд iменi Рябошапки заповнює його декларацію (IP компа з якого це робилось слiдство вже знає?)
3. Потiм подєльники Вінник та Геращенка пiднiмають гевулт, що буцiмто система електронних декларацій скомпрометована.

Що будуть далi робити шахраї можна легко спрогнозувати. Коли системи ЕД буде введена в промислову експлуатацію i чиновники пiдуть в акредитованi центри сертифікації ключів (весь список центрiв дивiтьcя тут czo.gov.ua/ca-registry), копії їх персональних приватних ключiв корупованими робiтниками центрiв будуть переданi третiм особам.
А тi в свою чергу почнуть вибiрково спотворювати декларацiї.
Почнеться завершуючий етап кампанiї знищення СЕД.
Andrey Kononenko _ 21.08.2016 09:07
IP: 188.163.73.---
mihaylenco:
Andrey Kononenko
Ну вот, Мышкина, ты не айтишник, сразу видно. Публичный и личный ключи генерируются всегда одновременно в одном месте. Отсюда возникает вопрос – ты кто?

Хто, хто... Троль! Ось хто!
Это понятно. Но зачем?
mihaylenco _ 21.08.2016 07:16
IP: 37.55.120.---
Andrey Kononenko
Ну вот, Мышкина, ты не айтишник, сразу видно. Публичный и личный ключи генерируются всегда одновременно в одном месте. Отсюда возникает вопрос – ты кто?

Хто, хто... Троль! Ось хто!
Andrey Kononenko _ 21.08.2016 00:06
IP: 188.163.73.---
myshkina:
PKEY I PUBKEY
private key i public key
лічний ключ і публічний ключ.
Ціля імеет доступ к лічному ключу, которий генеріруєт сервер, благодаря вонючому ригу Рябчіну.
а публічний ключ генеріруєт сама.
спросі Леночку айтішніцу, она подтвердіт...))
Ну вот, Мышкина, ты не айтишник, сразу видно. Публичный и личный ключи генерируются всегда одновременно в одном месте. Отсюда возникает вопрос – ты кто?
sidor _ 20.08.2016 23:57
IP: 77.52.3.---
myshkina:
sidor:
myshkina:
Всеволод Николаев:
Веня, випиші мне шо нібудь успокоїтельноє.

Кононенко мне все нерви іспортил...
устала какашки на вентилятор кидать? То-то же! Строчение с методички теж силу видиймае.
ти знайшов фотки штурма Туровской.?
дуже прикольні
шкода юлі там не було...)))
вам шо денюжку платят за кл-во упоминаний с негативным оттенком с привязкой к самым дурацким ситуациям? Ну не может же особь в здравом рассудке постоянно нести всякую херь на одной и той же волне
Вы наверное думаете – какашек накидаю – легче жить станет? Да вы с ПрАнальниками братья – близнецы (тем более – однояйцевые)! Только там рабы на заводах и в шахтах а вы рабы на вырубке леса. Там копают копанки с углем – у вас с янтарем, там контрабас на запад – там на восток...Вы по-жизни черти и без кнута не представляете свое существования.
Вам дан был шанс стать людьми а вы его про...ли.
myshkina _ 20.08.2016 23:38
IP: 130.211.122.---
sidor:
myshkina:
Всеволод Николаев:
Веня, випиші мне шо нібудь успокоїтельноє.

Кононенко мне все нерви іспортил...
устала какашки на вентилятор кидать? То-то же! Строчение с методички теж силу видиймае.
ти знайшов фотки штурма Туровской.?
дуже прикольні
шкода юлі там не було...)))
sidor _ 20.08.2016 23:25
IP: 77.52.3.---
myshkina:
Всеволод Николаев:
Веня, випиші мне шо нібудь успокоїтельноє.

Кононенко мне все нерви іспортил...
устала какашки на вентилятор кидать? То-то же! Строчение с методички теж силу видиймае.
Елена Величко _ 20.08.2016 23:25
IP: 95.133.235.---
myshkina:
Ты себя веди прилично на страницах издания, прежде чем к кому то обращаться.
Знание информации еще не значит, что знаешь о чем речь.
Ко мне не обращайся и имя мое не погань.
sidor _ 20.08.2016 23:23
IP: 77.52.3.---
Роман Зощенко:
...Вата в Армянске в ужасе строчит Гоблину: "Видали уже эту "мощь" российскую 6-7 августа, когда кучка боевиков с Украины перешла кордон, так ещё и убила нескольких военнослужащих. Так потом мы ещё 5 суток и без интернета сидели, а ваше Минсвязи брешет теперь, что каналы связи расширяли.

В общем, нефиг нам рассказывать, как россия о нас заботится. Если Украина что-то начнёт, то нам в Армянске хана. Ну а Севастополь, Симферополь россия защитит, конечно. Вообще, пошли вы... балаболы"... Чувствуете, как поменялась риторика за 2 года? h.t.t.p.s://twitter.com/KrimRt/status/766893689322872832 (скрин).
myshkina _ 20.08.2016 23:23
IP: 104.155.83.---
Всеволод Николаев:
Веня, випиші мне шо нібудь успокоїтельноє.

Кононенко мне все нерви іспортил...
myshkina _ 20.08.2016 23:21
IP: 195.123.209.---
Andrey Kononenko:
хрен старий, открой картинку

eurointegration.com.ua/files/c/6/c694e50-14064291-10209186875682489-4773222494341273990-n.jpg

тут все маніпуляції с ключамі Рябошапки показани.
до 20 августа і после.
єслі вийдут на Туровский айпі – Ціля сядет.
myshkina _ 20.08.2016 23:10
IP: 104.155.84.---
Andrey Kononenko:

Суку на Гіляку.!!!!

.
Скажу по секрету, что для создания реальных ключей не нужен доступ к серверу, а нужен только генеоальный ключ самого центра выдачи ключей. И тогда создавать ключи можно на любом компьютере.
Так что расследуй тему похищения Юлей ключа.
раскажу тебе тоже по секрету.
шоб загрузить фальшівую декларацію нужни 2 ключа

eurointegration.com.ua/files/c/6/c694e50-14064291-10209186875682489-4773222494341273990-n.jpg

PKEY I PUBKEY
private key i public key
лічний ключ і публічний ключ.
Ціля імеет доступ к лічному ключу, которий генеріруєт сервер, благодаря вонючому ригу Рябчіну.
а публічний ключ генеріруєт сама.
спросі Леночку айтішніцу, она подтвердіт...))
Andrey Kononenko _ 20.08.2016 23:09
IP: 188.163.73.---
Тарас Говда:
Всеволод Николаев:
============
я не знаю, для меня загадка. куда делись все активисты майдана, которые клятвенно заверяли, что они не за смену фамилий, а за сменцу системы, и если что пойдет не так, они опять выйдут на майдан.
но не вышли.
а кто, по Вашему организовал майдан?
Майдан был организован и финансирован киевским средним классом. Исполнителями при этом были разные люди.
Andrey Kononenko _ 20.08.2016 23:07
IP: 188.163.73.---
Тарас Говда:
Мнение о том, что уже пора бы собраться майдану, ошибочно. Ни первый, ни второй майдан не собирался из-за низкого уровня жизни.
myshkina _ 20.08.2016 22:54
IP: 130.211.104.---
Ціля заметаєт следи.

Експерти зазначають, що в суботу статус ключа змінився на "відкликаний", а згодом і він зник з бази даних

eurointegration.com.ua/files/c/6/c694e50-14064291-10209186875682489-4773222494341273990-n.jpg

до красной лінії алгоритм ключа суппортед – ключ реальний
после красной лінії – ансуппортед – ключ не принимаєтся.
число – 20 августа 2016.
Зеленський3 Донбас5 Корупція1305 Aтака Путіна1200 Україна та Європа1071
АВТОРИЗАЦІЯ І ВХІД ДЛЯ АВТОРІВ


УвійтиСкасувати
Якщо ви новий читач, будь ласка, зареєструйтесь
Забули пароль?
Ви можете увійти під своїм акаунтом у соціальних мережах:
Facebook   Twitter