Намирането на действащите български закони в интернет: мисията невъзможна (БГ)

Намирането на действащите български закони в интернет: мисията невъзможна (БГ)

Представете си, че искате да направите справка с Изборния кодекс – един от най-важните закони на държавата. Къде другаде да отидете да го потърсите, освен на сайта на Народното събрание, www.parliament.bg? Нали все пак там се коват законите, там се публикуват текстовете им?

На главната страница, вдясно в карето “търсене” въвеждате “изборен кодекс” и извършвате търсенето. Ето как изглежда резултатът:

Read more

Хакерските атаки срещу държавата: масово журналистическо невежество

Продължават тоталното шествие на журналистическо невежество за “хакерските атаки”, продължаващи от 2 седмици вече, в които се твърди че участвали “2 млрд. компютри“, които се “опитали да влязат” в сайтовете на българските държавни институции (ЦИК, президента, ДАНС).
Също, как “компютърните атаките срещу държавните ни сайтове са от целия свят – от Виетнам, Румъния, Турция, Украйна, САЩ и Африка“.
 
Първо да припомня стария виц: не било компютри, ами компоти; и не били изнесени, а върнати; и не в Япония, а от СССР.
 
Не било компютри, а компоти
Абсолютно невероятно е да има 2 милиарда заразени компютри (дори ако броим и смартфоните), които да бъдат насочени в атака срещу сайтовете точно на българската държава.
Най-големите мрежи с превзети компютри (наричани още “мрежа от роботи” или “армия от зомбита”) са от порядъка на 30 милиона. Което не е малко, но няма нищо общо с 2 милиарда.
 
Има число 2 милиарда – но то е броят заявки от тази “армия от роботи” за даден период от време, а не броят  уникални отделни компютри, участващи в атаките.

Read more

А “разкодирайте” ей тази електронна идентичност де!

А “разкодирайте” ей тази електронна идентичност де!

 

С наближаването на референдума за електронно дистанционно гласуване на 25-и октомври един от постоянно изтъкваните страхове на скептиците е, че електронния вот не може да бъде таен.

Това е абсолютно невярно – вероятно поради недостатъчна лично познания на твърдящите го, или поради липса на усилие да се консултират с експерти в областта на информационната сигурност.

Купуването или принуждаването на гласоподаватели са неизбежни независимо от технологията: е-гласуването няма да увеличи тези възможности 

Тайната на вота има две страни, които повечето противници на е-вота – дали заради незнание, дали заради удобство да защитят тезата си против – не си правят труда да забележат и разделят.

Първата страна няма нищо общо с технологиите или с начина на гласуване – тя е чисто психологическа. Въпросът при нея е колко е възможно и вероятно избирател да бъде подкупен или заплашен да гласува по даден начин от някого другиго. По тази страна на тайната на вота няма никаква разлика между сегашното присъствено гласуване в тайна кабинка, и от друга страна – електронното дистанционно. И при двете технологии, дали група избиратели ще бъдат подкупени или принудени зависи само от тяхното собствено решение дали са готови да се поддадат на натиск или продадат.

Read more

страхът от интернет гласуването

5 измислени мита, целящи да ни откажат от електронното гласуване

(снимка: time.com)

По повод на една публикация противника на е-гласуването на Петър Кичашки, който наскоро беше и в ТВ студио със същите аргументи:

Мит 1: “Електронното гласуване не е световна тенденция”

Не съм видял някой да твърди, че е преобладващо в света. Но определено е неизбежна тенденция.
И в случая България има уникалния шанс да е една от първите в света с нещо много напредничаво. Това какво – отрицателно ли е само по себе си?

Също така, авторът на “митовете” явно не знае, че Съвета на Европа подкрепя електронното гласуване, защото то е “съвместимо с изискванията за тайно, равно и пряко гласуване и е средство за демократично изразяване, както и обикновеното гласуване (с бюлетини).

И не е случайно, че именно в държави като Швейцария или Франция, гласуването по Интернет е вече всекидневие

Мит 2: “Електронното гласуване не е сигурно”

Всичко е възможно да се “хакне”, защото е направено от хора. А хората правят грешки пропуски.
Но не всичко е вероятно да се “хакне” – защото макар и с грешки, хората правят и много сигурни системи. Сигурността не идва само от технологиите, но и от практиките и дисциплината в прилагането им, от професионализма на хората в тези процеси.

Какво твърдят всъщност плашещите с несигурността на е-гласуването? Твърдят на практика, че понеже всяка система е възможно да бъде “хакната”, то заради това не трябва да ползваме технологии! Излиза, че би трябвало да се откажем от съвременния свят, защото всички бизнеси и въобще човешки дейности са “обречени” да бъдат “разбити”. Ако приемем просто възможното, без значение колко малка е вероятността му, за “сигурно“, то би трябвало вече всички да са хакнати, всичко да е в хаос!
А това – очевидно – няма нищо общо с реалността. Read more

Критика на критиката към естонската система за електронно гласуване

Критика на критиката към естонската система за електронно гласуване

(снимка: Estonian Public Broadcasting, news.err.ee)

Наближава референдумът по въпроса дали да въведем дистанционно електронно гласуване по Интернет. Медиите бълват статии – и особено коментари – дали и колко сигурен е този начин да упражняване на вота.

Забелязват се огромни приливни вълни от лаици, които може би добросъвестно, но твърде умозрително или повърхностно разсъждават по специфични въпроси, които не са по силите им.

Продължават да се ширят и масово отдавна разбулени, несвързани с електронното гласуване митове. Например, че гласовете се броят от “чували” – тотално невярно: броят се по данни на секционните избирателни комисии. Те от своя страна са ги преброили пред наблюдателите и застъпниците и изпратили протоколите веднага в РИК/ЦИК по факс или емейл.

Сред тази какафония, обаче, има и скептици, базиращи своето отрицателно отношение към е-гласуването на сериозни анализи на независими експерти.

Особено популярни са дискусиите за най-напредналата с електронно гласуване в света държава – Естония. Масово известни – цитирани в западаната преса и в България – са критичните видеопрезентации на професор Дж. Алекс Халдерман към естонската система.

Като старши специалист с над 10 години стаж в областта на информационната сигурност в мултимилиардна канадска компания, това няма как да не привлича моето внимание.

Няма “загадка” какво е моето лично мнение за това може ли да се подобри естонската система или дали може да се направи още по-добра такава. Фактът, че съм един от 42-мата членове на най-големият и най-известен граждански Инициативен комитет в подкрепа на електронното гласуване “Гласувай без граници” с представляващ тенис-легендата Мануела Малеева, говори красноречиво.

Read more

Електронното гласуване няма да застраши тайната на вота: и сега тя е гарантирана само ако имаме елементарни достойнство, гордост и смелост.

Електронното гласуване няма да застраши тайната на вота: и сега тя е гарантирана само ако имаме елементарни достойнство, гордост и смелост.

(оригинална снимка:  Jeff Widener – Associated Press)

Докога ще я караме така: да се самозалъгваме, че някакви технически системи или процедури извън нас, избирателите, ще ни “гарантират” честност и независимост в обществените дела?

Електронното гласуване с нищо няма да промени тайната на вота. Та нали и сега тези, които принуждават някого да гласува според тяхната команда, могат да проверят, че вотът на принудените е бил в желаната посока?
Елементарно и известно е: дават на принудения избирател смартфон да заснеме в “тайната кабинка” бюлетината с вота си – и така да “докаже”, че е гласувал според волята на принудителя.

На Ботев и Левски някой “гарантирал” ли е тайната на съзаклятието им? При това залогът на разкриването на тайната там е бил къде-къде по-голям – животът им, а не просто един вот!

Ако нямаме елементарни – в сравнение с тези на нашите революционери – смелост, самоуважение и достойнство да се противопоставим на някой, който ни принуждава да гласуваме по негово желание, защо се самозалъгваме, че сме заслужаващ място под слънцето народ?

(И да, точно с Ботев и Левски ще се сравняваме. С кого другиго – с чалга-певиците ли; с бандитите на нашето време ли; или с пошлите плоски “герои” на жълтите вестници?)

Половината съдилищни уебсайтове – недостъпни от чужбина

правосъдието го няма - достъпа отказан

Някой ще каже “на кого му трябват”?

На над 2 милиона български граждани (според МВнР), на които може да им потрябва да четат съдебна практика и решения. В много случаи – директно свързани с тяхна собственост или други казуси.

Да не говорим, че може да потрябват и на някой от Европейския съюз.

Накратко: изглежда преди няколко години, повечето съдилищни уебсайтове са били преместени на централен сървър на ВСС. Този сървър въобще не позволява достъп от чужбина.

Сайтовете на няколко някои съдилища са все още извън този сървър и така са достъпни. Това показва кристално ясно, че няма закон или друг акт, забраняващ достъпа до тези публични, държавни български сайтове от чужбина (то оставаше пък и да има подобна глупост!)

Проведох няколкомесечна кореспонденция, тръгвайки от Добрички окръжен съд (от Добрич съм и исках да проверя нещо на сайта на тамошното съдилище). След няколко месеца стигнах до ВСС и почти имах надежда за отговор и дори реакция – но нейсе, всичко секна, вече няколко месеца.

Хубаво ще е ВСС да оправи това очевидно недоразумение.

Прикачено: подробната ми кореспонденция с няколко нива съдилища и ВСС

Как да гарантираме достатъчно висока сигурност на неизбежната нова система за случайно разпределение на съдебните дела

Не стихва дебатът покрай зрелищния провал на сегашната система за случайно разпределение на делата (ССРД) в съдилищата. Макар да е отдавна известна (поне от началото на 2013-а) опасната възможност за манипулиране избора на съдии, общественото пространство беше взривено наскоро от необяснимата липса на разпределението не на кое да е, а на ключовото за политическото здраве дело за КТБ.

Мненията категорично клонят към създаване на нова система за случайно разпределение. Основното, на което тя  трябва да отговаря, е да истински сигурна. Сегашната платформа – “Law Choice” – е изключително лесно и елементарно манипулируема, както бе демонстрирано брилянтно в доклада на експерта Васил Величков, съветник на вицепремиера Румяна Бъчварова. Многократно “разпределение” до достигане на “желания” съдия по дадено дело може да извърши всеки с достъп до компютър в конкретното съдилище, без нужда от особени компютърни познания.

Колко добре сегашният софтуер “защитава” случайния избор на съдия по едно дело? Точно толкова, колкото ако заключите вратата на къщата си, но оставите прозорец отворен.

В дебатът по въпроса какво да правим се коментират най-вече мнения кой трябва да изготви новата система, по каква поръчка, колко ще струва тя …

В тази иначе изключително здравословна обществена дискусия, обаче, липсва нещо важно: какво ще гарантира, че новата система ще е по-добра от сегашната?

Главната опасност е в слагането на каруцата пред магарето. В случая – тенденцията първо да избираме кой ще осъществи проекта, и след това да се надяваме, че той “знае” как се “правят нещата”.

А трябва да е обратното. Държавата – в лицето на МС и ВСС – трябва първо да изготви детайлни изисквания каква сигурност очаква от една такава нова система. И чак тогава да започва конкурс за изпълнител и поръчка за изработката й.

Няколко фундаментални принципа на сигурността

На първо място, най-важно е да бъде търсена цялостна сигурност на системата. Една такава система не се състои просто от един “софтуер”, а е съвкупност от много повече компоненти. Най-просто те могат да бъдат дефинирани в четири обособени групи: софтуерни апликации, бази данни, сървъри и мрежова инфраструктура.

Read more

"Двойка" по сигурност за сайта на Министерството на отбраната

Министерството на О(т)браната – с широко отворени врати за кибер-атаки

Парадът на държавната администрация в областта на (не)сигурността на нейните интернет-сайтове продължава с гръмки примери.

Преди само малко повече от месец посочих сериозни дупки в министерството, което … отговаря за информационната сигурност.

Ето че сега дори и институцията с най-много и важни държавни тайни – Министерството на отбраната – тотално е неглижирала елементарната компютърна сигурност на интернет-сайта си.

Оценката на цифровия сертификат, който трябва да защитава – чрез криптиране – връзката между потребителя и сайта е “СЛАБ (2)”  (“F” – по американската система).

Нещо повече – посещаващият този сайт ще получи изрично предупреждение да не му се доверява, и дори че може би някой прихваща връзката:

недоверие към сайта на Министерстовото на отбраната

Но това не е всичко. Дори елементарен анализ показва други сериозни пробойни в сайта. Като една от най-прословутите в историята на интернет пробойна, а именно heartbleed (“сърцекървене”). Открита преди цели 6 месеца (април 2014), тя е премахната отдавна практически навсякъде в стотиците милиони сайтове по интернет – само не и в нашето министерство …

много пробойни на сайта на МО

С този конкретен бъг може да се подслушва не само конкретна, но тотално цялата криптирана комуникация на един сървър. При това, практически е почти невъзможно да бъде засечено това подслушване.

Нужен ни е явно “Държавен системен администратор по информационна сигурност”, който да мисли и да действа бързо и категорично, според реалностите в днешния преобразяващ се за часове свят на мощни кибер-атаки.

Някой ще каже: “какво толкова – някакъв си уебсайт на МО, не е нещо важно”.
Може ли този някой също да отговори дали компютъра, на който е сайта на институцията, не е в мрежа с други, непублични компютри с много по-важна за националната ни сигурност информация? Не след няколко месеца, не след година –  а веднага да отговори?
И колко защитени са те, при положение че крайно вероятно някой там си мисли “те не са публично изложени за достъп – няма нужда да ги пазим кой знае колко”?

В областта на сигурността основна парадигма е, че една сложна система е точно толкова сигурна, колкото най-слабото й звено.
Ако това, което демонстрира Министерството на отбраната, е нивото на “грижа” за елементарните защити в най-слабото звено на НАТО и ЕС, то каква ли е степента при  важните отбранителни активи?

Информационна сигурност? “Няма такава страница”, казва сайтът на Министерството на … информационната сигурност

mtits-404-security

Само преди два дни (11.09.2014) писах за потенциални проблеми със сигурността на интернет-сайта на Министерството на транспорта, информационните технологии и съобщенията (МТИТС) … натоварено с информационната сигурност на държавата.

Днес се поинтересувах какво прави, по същество, министерството в областта на информационната сигурност. Следвайки на сайта им Начало >> Електронно управление >> Политики >> Информационна сигурност, стигнах до страница с крайно претенциозното название “Национален регистър на стандартите”. Претенциозно, защото на нея има само една връзка – “Национален регистър на стандартите за оперативна съвместимост и информационна сигурност“.

Избрах тази връзка, но ме изненада съобщение за грешка: че не съществува такава страница на сайта.

Read more