Наступне голосування – вибори?
Дія: падає при 15000 запитів на секунду. Ще раз, словами: п’ятнадцять тисяч запитів.
Монобанк: стоїть собі та посміюється при 580 мільйонах (!) запитів на секунду. Майже в 38 000 раз більше навантаження, на секундочку.
Це про що взагалі? Паперовий будиночок буквально.
Всі ж пам’ятають скільки раз я суворо критикував Дію? У січні 2022 ми з колегами навіть список основних її гріхів склали. Той список добрі люди англійською переклали.
Так от, моя критика стосувалася переважно ігнорування питань безпеки, неповаги до захисту персональних даних і хибної загальної концепції та ідеології цього одіозного державного додатку. Претензії до функціональності стояли десь в кінці списку.
І ось вчора лягла й функціональність. І далеко не вперше, між іншим.
Але тепер вона лягла у той критичний момент, коли ні за що не повинна була лягати: «додаток для голосування» не справився з голосуванням. Адже ні для кого вже не секрет, що таємне стратегічне призначення Дії – для «виборів у смартфоні» зі заздалегідь визначеним організаторами результатом.
До вчорашнього дня суспільний договір полягав приблизно у тому, що піпл не особливо париться стосовно викриків всяких там експертів, мовляв, «у Дії є проблеми з безпекою». Зате зручно! Можна водійське вдома забути, класно ж. Про штраф тебе одразу повідомлять, до суду викличуть, кредит тобі оформлять – краса ж?
Але після такого приголомшливого фіаско навряд чи репутація держдодатку колись відновиться. Розробники чомусь досі вірять, що, загнавши кілька десятків мільйонів користувачів в Дію, вони примусять їй довіряти.
Дослідження 2023 року свідчить, що 67% респондентів вважають Дію «засобом централізованого стеження за населенням».
У мене на телефоні немає ані Дію, ані Телеграму. А також додатків типу «яка ти рослина» чи «яким ти будеш через 30 років». Бо я ж експерт, бляха, з кібербезпеки. Тому мені важко зрозуміти нахіба люди тягнуть собі у смартофони подібне Г. Але якщо вже тягнете, ставитися до цього всього слід виключно як до розваги: ну прикольно, погрався та й видалив.
Всерйоз розглядати рукожопську поробку як спосіб для голосування за вище керівництво державою, як електронний кабінет призовника чи як електронне посвідчення особи не можна категорично.
І трохи зловтішних висновків.
Провал голосування через Дію на фіналі нацвідбору Євробачення показово візуалізував ризики №10 і №19.
Ті, у кого не було Дії, не могли проголосувати, – це реалізація ризику №11.
Завдяки повній непрозорості роботи додатку (ризики №№12, 13, 15, 16, 17, 18, 19) неможливо перевірити результати голосування, можна лише сліпо вірити організаторам.
Відсутність альтернативи – це ризик №15. І це просто дніще, додам від себе окремо. Примусове загоняння фанатів Євробачення в Дію. Неспортивно, не по-джентльменськи, фу. І цей підлий прийомчик вже не вперше застосовується: схожим чином набивали користувацьку базу при отриманні «ковідних сертифікатів», «8 тисяч компенсації для ФОПів» та «ковідної тисячі». Брудна гра.
До речі, маю стійку підозру, що більшу частину статистики «користувачів Дією» становлять люди, які змушені були її встановити, один раз скористалися і одразу, матюкнувшись, знесли. Тому що українці – це все-ж таки про свободу та незалежність. Коли до чогось примушують, це автоматично викликає підозру, невдоволення, спротив.
Так, багато хто користується Дією. Так, є деякі корисні функції. Але репутація – то досить специфічна штука. Достатньо один раз лажанути, і тебе будуть оцінювати саме по тому одному разу. А Дія лупить репутаційно у штангу приблизно у 70 відсотках випадків. Точніше, у 67%.
P.S.: Картинку ➡︎ взяв у Богдана Процишина. І взагалі, судячи з океану мемів на дану тему, більшість користувачів Дії ставляться до неї, м’яко кажучи, скептично. Ржуть, але продовжують користуватися. Але це вже тема для дещо іншого дослідження.
UPD1: Насправді було не 1500, а 15000 запитів на секунду, що принципово нічого не змінює.
UPD2: У жовтні 2023 було зафіксовано рекордну DDoS-атаку у Світі: 398 млн запитів на секунду проти Google, тому не виключено, що Гороховський теж міг трохи “перебільшити”. Що знов-таки нічого принципово не змінює.
UPD3: навіть 15 тисяч запитів на секунду – це дрібничка. Сам Федоров розказував два роки тому про рекордний DDoS у 2 млн. запитів на секунду.
* * *
Винесу окремо питання «маніпулювання цифрами» у моєму попередньому дописі стосовно причин падіння Дії під час голосування за переможця національного відбору на Євробачення.
Дивіться: про 15 тисяч запитів на секунду сказав сам Федоров, і це рознесли усі медіа, сказати «єто другойє», «ви невірно зрозуміли» вже не вийде. Тобто це факт. «Довіряйте виключно офіційний джерелам», авжеж? Я спочатку недогледів один нулик, але добрі люди мені на це вказали, я виправив, написав апдейт, відповів у коментарях. Хоча 1500 чи 15000 – це не принципово для такого масштабу проєкту.
Про «580 млн. запитів» повідомив співзасновник Монобанку Олег Гороховський. Щоправда, не уточнив – за який період чи точно «в секунду». І ось тут ноунейм-експерти з калькуляторами накинулися на мене зі звинуваченнями «так це ж за день/годину/за два дні», «ти – маніпулятор». Звідки вони це взяли, хтозна. Я ж як людина, звикла до стандартних метрик у кібербезі, автоматично розумію дані в уніфікованому форматі: запити на секунду, Гігабіти на секунду. Співвласник популярного банку у якості джерела інформації – це ж достатньо «офіційні джерела», так? Йому ж можна довіряти?
До речі, найбільшою зафіксованою атакою у жовтні 2023 була атака на Google: 398 мільйонів запитів на секунду.
Але ладно, довелося мені звернутися до більш об’єктивних джерел, близьких до мінеральних. З’ясувалося, що скоріше за все, параметри DDoS-атаки проти Монобанку 21-22 січня 2024 були десь в районі 9-10 мільйонів запитів на секунду. Тобто пан Гороховський, найбільш ймовірно, мав на увазі 580 млн. запитів НА ХВИЛИНУ. Але про це краще у нього уточнити. Як варіант, можна CSIRT-NBU запитати, але навряд чи вони скажуть.
То й що, хто у цій ситуації маніпулює? Точно не я 😉 .
У будь-якому випадку 15 тисяч запитів на секунду для рішення на (начебто) 20 мільйонів користувачів – це просто ні про що. Сам Федоров у лютому 2022 року повідомляв про «найбільшу в історії України DDoS-атаку», коли пікові значення сягали на 2 мільйонів запитів на секунду.
І до речі, а чому не згадують більш вживану метрику DDoS-атак Gbps (гігабіт на секунду)? Чому саме про кількість запитів йдеться? Там ще є «пакети в секунду». І який параметр більше коректний? Це питання до спеціалізованих фахівців.
І ще одне питання, значно важливіше, на яке не звернули увагу: голосувати в Дії можуть виключно авторизовані (!) користувачі. Це означає, що ззовні цього неможливо зробити, не може бути DDoS. Тобто не можуть неавторизовані росіяньскі хакери надсилати свої «голоси»-запити. І двічі голосувати теж начебто не можна. Тому беріть калькулятор, будемо рахувати: 15 тисяч запитів на секунду, це 900 тисяч у хвилину, за півгодини це вже 27 мільйонів. Авторизованих, перевірених користувачів, а не зовнішніх зловмисників! Звідки взялися усі, яких більше 20 млн? І це лише за 30 хвилин, не за годину.
Чи це не означає, що в Дії завелися кілька мільйонів «лівих» акаунтів, які кинулися раптом одночасно голосувати? І як таке взагалі могло статися? Невже вся екосистема Дії скомпрометована?
І останнє питання, найбільш тривожне: під час голосування за Євробаченн чи обов’язково вимагалося авторизуватися через Дія.Підпис? Бо ж у мене немає Дії, не можу перевірити. Якщо вимагалося, у нас дуже серйозна проблема, товариство. UPD1: Дія.Підпис не вимагалася.
P.S.: на скрині ⬇︎ відповідь, чому я не відповідаю на усі коментарі у попередньому дописі.