Щодо інтерв’ю самодержця української диджиталізації Федорова

Костянтин Корсун

Не зміг пройти повз інтерв’ю самодержця української диджиталізації Федорова.

Традиційно для «дієвих» та їх поплічників, це був густий суп з маніпуляцій, пустого бахвальства, глупства, казочок та відвертої брехні, з вкрапленнями правди, для достовірності.

Так, задля об’єктивності слід зазначити, що у діяльності Міністерства цифрової трансформації (МЦТ) є і позитивні моменти, а їхній начальник сказав немало правдивих речей. Але це не виправдовує напівправди, маніпулятивних тверджень та відвертої дезінформації, наявність яких перетворює зовнішньо смачну страву у мерзенну гидоту. Як муха в супі.

Отже, навожу цитати з моїми коментарями.

«Десь у травні ми вже готувалися до запуску. У нас ще не було технічних вимог, але ми розуміли, що потрібно доопрацювати реєстр Національної служби здоров’я».

Це або свідома брехня, або банальне невігластво, таке типове для жижиталізаторів. Насправді, технічні вимоги були опубліковані ЄС 21 квітня 2021.

«Без “Дії” Україна не була готова швидко запустити цифрові Covid-сертифікати, хто б не очолював уряд, і хто б не був президентом».

Усі країни Європи запустили якось без Дії, і в інших країнах Світу теж обійшлося. І при цьому там намагаються дотримуватися прав людини, а не тупо вдягати на громадян електронні кайданки, переконуючи «це ж для вашої безпеки».

«Окрім усього іншого, Covid-сертифікати дали можливість боротися з підробками».

Не зрозумів. Як справжні сертифікати дають можливість боротися з підробками? Самим фактом свого існування? Яким чином справжні гроші допомагають боротися з фальшивомонетниками? Можливість боротьби з підробками дають боротьба з корупцією, унеможливлення її причин, працююча правоохоронна та судова системи, нормальні зарплати лікарям. Як це пояснити схибленим невігласам, фанатично віруючим у чарівні властивості інформаційних технологій?

«Люди переважно старшого віку не могли згенерувати підпис, тому що в них або старий біометричний паспорт, або вони змінилися зовні. Ми прибрали ідентифікацію через електронний підпис, спростили життя всім, я думаю, після цього наша служба підтримки видихнула з полегшенням».

Зрозуміти, що натупив, але не визнати свою помилку. Зате продати це як “перемогу” та “покращення” – відчувається пацанський стиль та почерк. “Ми не можемо помилятися, адже ми – влада, усі наші рішення – правильні, просто ви цього не здатні оцінити”.

«Ми дуже багато оновлень випускаємо кожного тижня».

Буквально тиждень тому один його щуроподібний заступник сміявся та хапався за лоба на моє припущення, що у разі зламу внутрішньої мережі розробників Дії разом з апдейтами користувачам може приїхати малварь. Отже, апдейти виходять часто, а значить, подібний сценарій – цілком можливий. Я заскринив собі це твердження Федорова.

Питання:
«Чому неможливо було запустити генерацію сертифікатів на онлайн-базі системи охорони здоров’я? Навіщо потрібно було посередництво “Дії”?

Відповідь Федорова:
«По-перше, у нас більше 40 медичних інформаційних систем.
У МОЗ немає власної інформаційної системи, є тільки база даних, і всі доєднані до цієї бази. Я вам скажу чесно, якщо було б швидше зробити через медичні інформаційні системи або на базі якогось іншого рішення, ми б прийняли рішення робити це не в “Дії”».

Секундочку, стоп. Він же сам це сказав: “усі доєднані до цієї бази”. То нехай би у цій базі на кожного генерувався окремий QR, а через деякі (або одну) медичні інформаційні системи цей код доставлявся кожному зареєстрованому користувачу? Я майже нічого не знаю про особливості тих медичних систем (лише маю підозру, що там все дуже погано), але для швидкого та дешевого вирішення проблеми безпеки такої доставки можна було нагенерувати кілька мільйонів разових паролів, нанести їх на шматочки пластику, покрити напиленням (як колись на картках поповнення мобільного) і видавати у пунктах вакцинації. А тим часом розробляти окреме рішення для отримання сертифікатів, як, наприклад, швейцарський COVID Cert.

Або ще простіше – друкувати QR-коди на папері прямо у пунктах вакцинації і видавати вакцинованим. Нехай одразу їх фотографують та зберігають у смартфоні як фото або pdf-документ. Швидко і дешево за наявності програмки та принтера. Саме про це Федоров сам і сказав у наступному абзаці, зазначивши «Але це великі доопрацювання, на кілька місяців».

Як на мене, це завдання на кілька тижнів, з їхніми колосальними ресурсами. І хто їм заважав зробити це ще на початку масової вакцинації, навесні цього року, між іншим? Нехай би на місяць пізніше запустили, але вже нормально. Але ж задача була не “швидко вирішити проблему видачі ковід-сертифікатів”, а, користуючись слушною нагодою, загнати у Дію якомога більше вимушених користувачів.

Питання:
«Те саме і з “Дією” – багато хто з користувачів сприймає цей продукт “сирим”».
Відповідь Федорова:
“Я просто не знаю, про які саме претензії ви говорите”.

Капець. Два роки я та кілька інших блогерів пишемо про ці претензії. “Кредит Людмили”, нестабільно працюючий Дія.Підпис, фейкові сертифікати КСЗІ, відсутність документації на Дію та доступу до вихідного коду, недоведеність безпеки додатку, Security through Obscurity – і це лише головні претензії. Але “дієві” воліють їх не помічати. “Не знаю про що ви говорите”. Зробити морду ящиком. Іди у дупу, ось чому.

«І ось на порталі є можливість внести дані вашого паспорту для того, щоб згенерувати цей документ (Covid-сертифікат)».

Якщо мається на увазі портал Дія, то тут шахраям стануть у нагоді численні бази даних, які майже вільно продаються у даркнеті. Там і паспорти, і ідентифікаційні коди, і навіть фото. Вводь, генеруй, продавай. Все одно всередині країни майже ніхто ніколи не вимагає ідентифікаційних документів типу паспорту чи водійського.

«Ми постійно обираємо шлях, як зробити, щоб більше людей могли згенерувати сертифікат. У нас немає гітлерів (в європейській базі вакцинованих восени помітили сертифікати на імʼя Адольфа Гітлера, Губки Боба та Міккі Мауса – УП)».

Одразу після прочитання цих буковок я перевірив один з фейкових європейських QR-кодів (детальніше про це тут). І трапилося диво! Document found – радісно повідомила мені Дія (встановлена на жертовному смартфоні без контактів, фото, листувань і навіть без сім-картки, не повторюйте цей небезпечний експеримент без фахової підготовки). Може, у Дії й немає власних «гітлерів», але західні вона прекрасно валідує.

Питання:
«Ви вважаєте прийнятним, що державний сервіс може припинити роботу майже на 12 годин?».
Відповідь Федорова:
«Ми все прорахували, наскільки це можливо було. Якщо користувачі були авторизовані і не виходили з системи, всі документи і сертифікат працювали».

І це випадок так званої брехні. Я перевіряв. QR-коди на документи – закордонний паспорт, водійське, техпаспорт – не працювали. Тобто «веселі картинки» відображалися, але без їх валідації разовим QR-кодом – це не більше ніж картинки. І тому мають юридичний статус не більше, ніж розробки юнаків з Запоріжжя та Харкова. А це ніяк не можна назвати «працювали». Тобто збрехав цифровий міністр. Але вони настільки часто брешуть, що ще один раз вже мало кого «чіпляє».

«Ми навіть заздалегідь попередили поліцію про те, щоб під час переїзду людей, яких вони зупиняли і в яких не генерувався QR-код на правах, вони перевіряли за номером посвідчення в своїй системі».

Оце справді епохальна заява. Її суть навіть не в тому, що цифроміністр заперечив свої власні слова, сказані кількома абзацами вище (“всі документи і сертифікат працювали»). Але ж головний меседж полягає у тому, що для перевірки документів онлайн – якщо забув водійське вдома – не потрібно ніякої Дії. Воооот. Саме з цього посилу – “забув права вдома” – і починалася масова істерія навколо Дії, а лемінги радісно аплодували “дієвим” та верещали від захвату.

А тепер виявляється, що якщо правда «всі дані про громадянина і так є у держави» (ще один потужний аргумент цифрових махінаторів), то не потрібна ніяка Дія. Потрібні лише планшет патрульного з адекватно реалізованими правилами безпеки (логування, цифровий підпис, тунелювання трафіку і все таке різне) та громадянин з ідентифікаційним документом. Патрульний вводить ваші ПІБ і ще щось (на кшталт дати народження), бачить водійське на ваше ім’я, порівнює фото у планшеті з вашим оригінальним фейсом – і вуаля, півтори хвилини на все про все навіть на 3G.

І ще один нюансік: якесь міністерство якихось трансмутацій дає вказівки поліції, як їм перевіряти документи? Серйозно? А для чого тоді написані усі оті стоси законів, наказів, поліцейських інструкцій, конституцій всяких, прав людини? Для чого то все, якщо якесь мутне цивільне відомство в ручному режимі керує однією з ключових поліцейських функцій? Про що вони наступного разу «попередять» поліцію? Не слід перевіряти результати е-виборів?

Питання:
«Якщо людина має підтверджені лікарем протипоказання до вакцинації, чи зможе вона найближчим часом згенерувати документ про це в “Дії”?».
Відповідь Федорова:
“Станом на сьогодні у нас поки що немає технічного завдання”.

Ага, тобто ТЗ у тому світі таки існують? Цікаво, чи було воно на Дія.Підпис чи ковід-сертифікати? А якщо існують – чи не засекречені “для службового користування”? А якщо ДСК – чи створені належні умови ПД ІТР, металеві сейфи, вахтери, сургучні печатки, екранування, фельд’єгеря з піштолями, вотетовсьо?

А якщо грифу секретності на них немає – чому не публікуються? Питання без відповідей, традиційно. Хоча відповіді ми усі знаємо. “Патамушта пішов ти в в дупу”.

Федоров: “Багато людей, які перехворіли на ковід, взагалі не зверталися до лікаря, інформації про те, що вони хворіли, немає в інформаційній системі. Це виклик, і як його вирішувати, поки що незрозуміло”.

Ну, принаймні, чесно визнав. Хоча раз сказав правду. Молодець таки наш наймолодший міністр. Завжди так і кажи: “нам це не зрозуміло, але ми продовжимо це робити”.

Про “фейкову Дію” розробки парубка з Запоріжжя: “Хакером його важко назвати, бо він не базу зламав, а просто дизайн зробив…”.

Що ж це коїться, людоньки? На хлопця налетів спецназ з автоматами, пограбував його помешкання, в кайданках відвезли до Києва в кабінети Великих Начальників, державні чиновники публічно назвали його злочинцем, “його долю буде вирішувати суд”, а тепер “просто дизайн зробив??” А поки триває слідство, “він як радник на громадських засадах одного з моїх заступників”? Ви вже визначтесь, пане Федоров, чи труси, чи хрестик, а то люди сміються.

Про Bug Bounty Дії: “Спочатку вразливості шукали лише хакери з України, тепер з усього світу”.

І знов брехня. Ось мій детальний допис про перший Bug Bounty Дії. Тоді і Федоров і його посіпаки голосно верещали “хакери зі всього Світу”. Закінчилося все повним фіаско, вони навіть не хотіли звіту писати, поки я їх не буцнув.

Що зараз відбувається з поточним шестимісячним млявим Bug Bounty – без поняття, навіть не цікаво. Все одно ще буде обман, маніпуляції, дія-пропаганда, вискубізація.

“… із загального бюджету 35 тисяч доларів виплатили 1900” – значить, знов не дали повного доступу, знов штучно обмежили скоуп, знов використовується сам факт проведення в цілому корисного заходу як маркетинговий хід.

Питання:
“Скоріше хочемо дізнатися, чи відчуваєте ви себе священною цифровою коровою в уряді?”
Відповідь:
“Ні, точно ні, цифровою коровою не відчуваю себе”.

А ось я переконаний, що Федорова звільнять лише тоді, коли Зеленського якимось чином відсторонять від влади. Не раніше. Можуть мінятися міністри, прем’єр-міністри, керівники правлячої партії, фракції в Парламенті, але не Федоров. Він – основа режиму, його головний маркетолог та СММ-ник, на ньому тримаються залишки рейтингу.

Дія, на думку, ПреЗедента – найнадійнішій актив та найбільше досягнення, улюблена іграшка і перспективний засіб “виграти” наступні вибори – через фальсифікацію “виборів у смартфоні”. Тобто, як на мене, наш Мішаня – друга людина у країні за рівнем впливу на Зе, після Єрмака.

“А оцінити результат роботи можуть президент і парламент будь-коли”.

Отакої. А я думав, народ України має оцінювати результати. Ну проговорився, буває. Коли постійно брешеш, забуваєш, коли шо казав, і тому завжди існує ризик ляпнути правду. Я ж кажу – чиновники бояться виключно своїх начальників, на отой нарід їм начхати.

* * *

На початку інтерв’ю була фраза:

«Цей своєрідний бекап, як сказали б цифровою мовою, залишає можливість завжди відмотати трансформації до попередньої резервної копії».

Думаю, вже пора діставати цей бекап. Перевірити його цілісність, спробувати накотити на тестову систему – чи все гаразд. Тому що ось-ось він може знадобитися. Не хотілося б відкочуватися на рівень 2019 року, але абізяни з гранатами владних повноважень можуть нас до цього змусити.

 

Ілюстрація © Vector.media

Автори

Усі відео