?

Log in

Глаз и солнце

Учетные записи с Госусулуг утекли?



Вот здесь и здесь у Навального и здесь на Хабрахабре - более технически - описывается проблема накрутки голосований на сайте  Российской Общественной Инициативы.

Оставим за скобками политическую подоплеку, а также оставим администраторам "Российской Общественной Инициативы" доказывать, что накрутки нет. Рассмотрим худший вариант - накрутка все-таки была и постараемся понять, какие это вызывает последствия для общества и для каждого из нас.

Предполагая наличие накрутки, возможны два метода ее проведения:

1) накрутка "изнутри" РОИ
2) накрутка "снаружи"

Если накрутчики находятся изнутри РОИ, имеют доступ к базе данных и вливают данные непосредственно туда, то мы имеем ненадежный инструмент для волеизъявления. в-общем-то это не очень удивительно, и тогда проблема локальна к РОИ и в какой-то мере компенсируется постоянным мониторингом сайта и общественным шумом (как сейчас и происходит).

Гораздо интереснее становится жить, если администрация РОИ не при чем и накрутка производится снаружи сайта, некоторыми, назовем их условно, "хакерами".



Чтобы понять, что это для нас значит,  нужно понимать как организуется голосование на РОИ. Проголосовать за инициативу может только человек, зарегистрировавшийся на сайте Госуслуг. Для регистрации иметь код активации, который либо тебе пришлют заказным письмом, либо в офисе Ростелекома - по предъявлению паспорта.

Прошедший такую регистрацию человек считается надежно аутентифицированным и госуслуги верят, что это именно данный конкретный человек, как будто бы он обратился к чиновникам лично и сам предъявил паспорт.

Выполнение такой проверки берет на себя Единая Система Идентификации и Аутентификации (ЕСИА), созданная и внедренная в рамках проекта Госуслуг. Что немаловажно, эта система предназначена для надежной аутентификации граждан РФ в ходе их официального взаимодействия с государством.

Подробнее про ЕСИА можно узнать, например из
Википедии, или из этой презентации руководителя группы разработки ЕСИА.

Соответственно, если предположить, что накрутки были и администрация РОИ не при чем, накрутку совершали "снаружи", то напрашивается вывод, что учетные данные ЕСИА могли быть похищены неизвестными злодеями. Это значит, что государственная (!) федеральная (!) система идентификации граждан скомпрометирована. ЕСИА нельзя использовать для аутентификации граждан при проведении значимых для них и общества операций.

Нельзя писать официальные заявления, аутентифицировавшись через ЕСИА. Нельзя голосовать. Злоумышленник может залогиниться Василием Пупкиным и от его имени сообщить например о заложенной на вокзале бомбе. При этом совершенно реальная ответственность за заявление ляжет на Пупкина.

Наверное, следующим разумным шагом была бы скрупулезная проверка подозрения о накрутках, и в первую очередь, в части источника накрутки.

Возможно, понадобится превентивное отключение до окончания проверки той части Госуслуг, неправомочное использование которой  может особенно навредить тем гражданам, учетные записи которых скомпрометированы.

PS
Пока я писал этот пост, в голову пришел еще один вариант возможных накруток "снаружи" - учетные данные не были скомпрометированы, но ЕСИА или РОИ были созданы таким образом, что как-то возможно обойти аутентификацию ЕСИА при голосовании. Такую возможность тем более надо проверить, поскольку если сегодня "ломанули" РОИ, завтра могут ломануть Госуслуги или любую другую систему - пользователя Госуслуг.    

Comments

эмм, ну никто не мешает накручивать счётчик голосов, а не сами голоса.
И это гораздо проще, чем остальные махинации
ну смотри - ЕСИА - это такой неслабого качества класса ААА сейфовый замок. Какой смысл ставить сейфовый замок на сарай из горбыля, никак не охраняемый? Если этой логике следовать, то о защите комнаты, закрываемой сейфовым замком, должны были подумать. В принципе, если порыться, можно наверное отыскать конкурсное задание - оно должно было быть на госзакупказ
Оно конечно возможно, но если систему делали с закладкой на признаваемые государством голоса, приектировали с использованием SSO - то есть, чтобы накруток _точно_ не было, то внутренние регламенты обслуживания и требования по безопасности на РОИ по идее должны соответствовать.

Хотя если выбирать - я был бы больше рад, если РОИ косячит, а не Госуслуги с ЕСИА
а это не могут быть какие-нибудь инфоцентры, например собирающие оффлайновые заявки и выливающие их по модемному соединению, но зато прямо в кремль?
на рои по идее ты не можешь проголосовать иначе чем залогинившись через Госуслуги. офлайна я там не видел, не?
кто ж знает, как работают какие-нибудь МФЦ
а вообще, даёшь смарткарты вместо паспорта и прав
ты уже заказал себе УЭК? Ж)
я пока даже не знаю, что это за зверь такой; пока лишь покупаю себе карты, которые называются именем, а не аббревиатурой =)