Previous Entry Share Next Entry
2016-01

[репост] О тщете криптографии

комментарий: не скажу чтобы меня особо интересовали результаты российских КСО, мотивы организаторов итд итп, но очень показательный пример конфликта требований по безопасности с другими бизнес-требованиями, плюс не менее показательное отсутствие мозгов (точнее, эмоциональная реакция в момент какого-нибудь локального пиздеца вместо того чтобы подумать о долговременных репутационных последствиях, особенно при работе на публику)

Оригинал взят у mi_b в О тщете криптографии
Вот так обычно и бывает:

1 October 2012: 10. Как вы гарантируете, что мои личные данные не попадут в руки злоумышленников, или, еще хуже, государства?
Мы добиваемся этого единственным возможным способом — мы вообще не храним персональные данные ни в каком виде. Сразу после регистрации, каждый избиратель представляется в базе данных ЦВК с помощью уникального кода, который вычисляется по его ФИО и дате рождения, но восстановить исходные персональные данные избирателя с помощью этого кода невозможно. 
Сервера, на которых проводится голосования, размещены в современных датацентрах за пределами России, и снабжены надежными системами защиты от DDoS-атак. 


24 October 2012: мы скриптом прогнали все имеющиеся у нас в базе телефоны через функцию "восстановление пароля" на сайте МММ, что позволило нам достоверно определить, на какие из номеров телефонов, присутствующих в нашей базе, зарегистрированы личные кабинеты участников их системы). 

То есть, все телефоны зарегистрировавшихся для голосования в КС были скриптом залиты на сервер МММ, которых естественно считать противником или на службе у противника:() уж проще было все данные о регистрирующихся публиковать открыто с самого начала.


  • 1
the_aaa13 October 25th, 2012
Это, в принципе, добросовестное использование персональных данных. Давая свои персональные данные в КСО, человек соглашается, что они будут использованы для обеспечения проведения выборов. Для обеспечения проведения выборов зачем-то понадобилось разделить участников на мммщиков и немммщиков, для чего они произвели их автоматизированную обработку. Если МММщики составят базу персональных данных из полученных ими телефонов, такая база будет созданной незаконно.

Другое дело, что указанное в первом линке весьма напоминает политику обработки персональных данных. Если это она, то она была нарушена, что уже плохо. Мало того, она вводит в заблуждение, что полученный из персональных данных хеш не является персональными данными.

wizzard0 October 25th, 2012
> весьма напоминает политику обработки персональных данных

да - в этом, собственно, и проблема.

edit: ну у них еще много других косяков, вот sporaw по каким-то своим мотивам их подробно выписывает, почитать ради того чтобы поучиться на чужих ошибках можно, написано мутным языком но фактологически у спорава ошибок нет.

Edited at 2012-10-25 12:16 am (UTC)

the_aaa13 October 25th, 2012
Ну, проблема даже глубже. Ни один закон не запрещает врать :( Соответственно, если сотрудник какой-то организации что-то врет про персональные данные, ничего незаконного не происходит :( То есть, у компании должен быть документ про то как они обрабатывают персональные данные. Но ничего не мешает ее сотрудникам вместо демонстрации этого документа что-нибудь врать.

По поводу косяков: Косяков там очень много. многих из них теоретически нельзя избежать. Некоторых можно избежать при должной квалификации ЦВК. Некоторых можно избежать при должной квалификации избирателей. Мне они нравятся тем, что это довольно масштабное проявление самоорганизации и вообще шаг в сторону более правильного общества. Мне не нравится, что они постоянно врут.

si14 October 25th, 2012
>Мне не нравится, что они постоянно врут
Мне кажется, что лучше следить за первоисточниками. Я просто достаточно подробно следил за ЖЖ и твиттером Волкова и я не увидел, где была бы прямая ложь. Были, конечно, спорные решения, принимаемые на ходу; но у меня язык не повернётся сказать, что сделанное на ходу сохранение телефонов (о чём было написано в ЖЖ) и использование их для вычистки МММ делает осознанной ложью FAQ про телефоны, который писался до того, как система была дописана и все подводные камни стали очевидны. Мне кажется, это гораздо, гораздо менее мерзко, чем заявления от первых лиц про «выборы прошли честно» после декабрьского ада, например. Ну и (вроде бы) не было выявлено серьёзных нарушений, способных повлиять на ход голосования (да, я знаю, как смешно звучит эта фраза на фоне «официальных» выборов, но всё же).

(прошу прощения за редактирование комментария, отправил случайно раньше времени)

Edited at 2012-10-25 10:02 am (UTC)

wizzard0 October 25th, 2012
> Мне кажется, это гораздо, гораздо менее мерзко, чем заявления от первых лиц про «выборы прошли честно» после декабрьского ада, например

Да, менее.

> Я просто достаточно подробно следил за ЖЖ и твиттером Волкова и я не увидел, где была бы прямая ложь

Ну если читать только волкова - то да. Противоречий с самим с собой у него меньше :)
Почитай спорава. За http://sporaw.livejournal.com/128228.html такие вот вещи в Европах можно запросто вкатить штраф на много млн евро, например.

http://sporaw.livejournal.com/127648.html Вот еще ржачных отмазок, со ссылками, между прочим.

si14 October 25th, 2012
>Ну если читать только волкова - то да. Противоречий с самим с собой у него меньше :)
Ложь это именно что противоречие дел и слов. И именно с этим я принципиально несогласен в посте, на который я ответил. Волков может косячить, может ошибаться, может хамить, в конце концов, но по крайней мере он признаёт свои ошибки и не гонит откровенной херни. Он живой человек, в конце концов (от чего мы тут все отвыкли со всякими российскими официальными лицами).

>Почитай спорава
Я почитал. И я должен сказать, что это читать либо очень сложно (потому что из потоков хамства, помоев, лжи, домыслов и передёргиваний надо выделять реальные претензии), либо очень вредно для мозга (потому что эти помои исподволь формируют отношение). Конкретно по тем ссылкам, что ты привёл:
-первая — какая-то бредятина; QRATOR это реверс-прокси, с тем же успехом можно обвинять Волкова, что трафик с персональными данными пойдёт через MSK-IX. Плюс там в комментариях резонно заметили, что с тем же самым успехом можно обвинить iCloud с синхронизацией контактов, где есть ФИО и телефон, а иногда и фотография;
-вторая — сплошное гадание на кофейной гуще. Аудитом занимался в т. ч. Сегалович, я не понимаю, почему этот товарищ всё время вопит о Носике (впрочем, нет, скорее понимаю). Более того, уже есть более чем обстоятельный анализ от члена националистической курии: http://www.apn.ru/publications/article27389.htm — и там все проблемы описаны спокойно, объективно и гораздо более полно. Безусловно, есть проблема с хешем от имени+даты, но, вроде (по крайней мере я что-то такое припоминаю), у этих хешей есть хорошая соль, что смягчает проблему.

wizzard0 October 25th, 2012
> можно обвинить iCloud с синхронизацией контактов, где есть ФИО и телефон, а иногда и фотография;
Можно :)
Если телефон используется в профессиональных целях - да, использование iCloud незаконно. Не могу сказать точно насчет РФ, а в Украине уже успешно выигрывались суды по этому поводу (в смысле, в отношении организаций, в которых HR/sales/whatever ходит со смартфонами, синхронизирующимися будь то с iCloud, будь то с Exchange, и не регистрирует их как базы ПД с соблюдением сопутствующего законодательства)

> хамства, помоев, лжи, домыслов и передёргиваний
Хамят и поливают помоями волков и спорав одинаково. Увы. А вот фактологические проблемы у волкова есть, а у спорава - нет. Поэтому приходится читать спорава. Раньше читал волкова, но со временем количество неадеквата нарастало, переменил отношение.

Edited at 2012-10-25 12:50 pm (UTC)

si14 October 25th, 2012
>в Украине уже успешно выигрывались суды по этому поводу
Ну да, а в Зимбабве просто выводят на улицу и расстреливают за оппозиционную деятельность. Не значит же это, что надо равняться на такую бредятину.

>Хамят и поливают помоями волков и спорав одинаково
Нет, не одинаково — у Волкова нет десятка постов про спорава, рассказывающих, какой он плохой. Да и простой греп по

>фактологические проблемы у волкова есть, а у спорава - нет
Что такое «фактологические проблемы» в данном случае, если спорав сам опирается везде на слова Волкова и его посты — этакие развёрнутые комментарии к постам Волкова? Да и как, интересно, ты можешь говорить про «проблем нет», если там через слово про Носика, и ни слова вообще про Сегаловича (специально поискал) или наблюдателей от курий (развёрнутеший отчёт одного из которых я тут уже кидал)?

>со временем количество неадеквата нарастало
Мне кажется, достаточно тупо посчитать количество смайликов в тексте (особенно вроде «)))»), чтобы разговор об адекватности того товарища перестал быть актуальным. Ну т. е., может быть, для читателей журнала Хакер или блондинки-домохозяйки это ок, но в этом контексте как-то немного странно.

wizzard0 October 25th, 2012
> Ну да, а в Зимбабве просто выводят на улицу и расстреливают за оппозиционную деятельность.
вот не надо передергивать, это нормальная европейская практика.

> у Волкова нет десятка постов про спорава, рассказывающих, какой он плохой.
здрасте, десяток постов пролинковано только со страничек которые ты якобы прочитал

> Мне кажется, достаточно тупо посчитать количество смайликов в тексте
рекомендую все же еще раз перечитать посты волкова :)

si14 October 25th, 2012
Список телефонов не является персональными данными.

the_aaa13 October 25th, 2012
Да ну? Ваш вывод на определении из какого закона основывается?

si14 October 25th, 2012
Цитирую ФЗ-152:

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

>информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу
Телефон сам по себе не относится к определённому физическому лицу, ровно как и на его основании нельзя определить физическое лицо. Упреждая вероятное возражение — да, пары паспорт-телефон существуют, но они являются самостоятельными персональными данными.

the_aaa13 October 25th, 2012
Важно различать технарский и юридический подход. Вот например моя дата рождения - 13/07/84. Она относится к определенному физическому лицу - мне. С технарской точки зрения - никакой новой информации это вам не добавило, так как вы не знаете кто это - я, и каждая дата - чей-то день рождения. Информация добавится когда(если) вы со мной познакомитесь. С юридической точки зрения - передача персональных данных произошла уже сейчас.
То же самое и с номером телефона, за исключением того, что многие номера телефонов относятся к определяемым физическим лицам. И то что в процессе определения нужно *также* использовать какие-то другие персональные данные - не делает физическое лицо неопределяемым на основании *этих* данных.

si14 October 25th, 2012
Скажите, пожалуйста, с чего вы это всё взяли? Есть конкретная формулировка, я её процитировал. Тут нет каких-то «точек зрения»:
>информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу
+79311234567 — относится к определённому физлицу? Физлицо определяется на основании этой информации? Нет. Равно как и ваша дата рождения. У вас есть свидетельства противоположного вроде решений судов?

the_aaa13 October 25th, 2012
>+79311234567 — относится к определённому физлицу?
Не знаю, возможно что да.
>Физлицо определяется на основании этой информации?
Не знаю, если на первое да, то на второе тоже скорее всего да.

Мои свидетельства противоположного касаются в основном Украины, так что думаю их обсуждать довольно бессмысленно. Определения у нас совпадают (поскольку утянуты из европейской конвенции), а вот правоприменительная практика - нет.

si14 October 25th, 2012
>Не знаю, возможно что да.
Что значит «возможно»? Какого числа родился тот, кому принадлежит этот телефон?

>Не знаю, если на первое да, то на второе тоже скорее всего да.
Каким образом, не обладая несомненно персональными данными в виде телефон-паспорт, вы можете сопоставить человека и телефон? Абсурдно расширять до персональных данных всё, что можно сопоставить с человеком, уже владея его персональными данными.

the_aaa13 October 25th, 2012
>Что значит «возможно»? Какого числа родился тот, кому принадлежит этот телефон?
То и значит, что может так случится, что этот телефон принадлежит какому-нибудь физлицу. По самому номеру это не очевидно. Это вообще довольно естественно для объектов - обладать неочевидными свойствами. По вещи тоже не очевидно, что она например краденая. Тем не менее это ее свойство влияет на сделки связанные с этой вещью.

>Абсурдно расширять до персональных данных всё, что можно сопоставить с человеком, уже владея его персональными данными.

Персональные данные бывают разные. И абсурда здесь нет. Например, допустим есть два набора данных - (Имя+телефон) и (телефон+позитивный анализ на ВИЧ). Второй набор является чувствительными ПД, и должен охраняться тщательнее, в то время как первый - довольно нечувствительные, и не исключено что объект ПД их добровольно разместил в социальной сети. Это не лишает его право на защиту второго набора.

si14 October 25th, 2012
Я правильно понимаю, что сейчас вы пытаетесь как-то альтернативно истолковать вполне однозначную формулировку путём рассуждений про «неочевидные свойства объектов»?

the_aaa13 October 25th, 2012
Почему альтернативно? Я просто пытаюсь вам объяснить, что формулировка "относящаяся к определенному физическому лицу" однозначно означает :)

si14 October 25th, 2012
В таком случае, мне кажется, вы пропускаете взглядом слово «определённое». К какому определённому физическому лицу относится телефонный номер +79311234567? Вот это вот «этот телефон принадлежит какому-нибудь физлицу» прямо противоречит слову «определённый».

wizzard0 October 25th, 2012
> мы вообще не храним персональные данные ни в каком виде
> мы скриптом прогнали все имеющиеся у нас в базе телефоны

а) без учета фз-152. между этими двумя утверждениями есть определенные противоречия. ну то есть да, все ошибаются. но почему волков с таким упорством пытается все это отрицать? детский сад, ей-богу.

> пары паспорт-телефон существуют, но они являются самостоятельными персональными данными.

б) насчет фз-152. список телефонов действительно не является ПД.

Но, т.к. он использовался без анонимизации (кучей) в определенном контексте - произошла передача пар (телефон=Х, человек_является_опп=1), которые уже являются ПД.

С юридической точки зрения это примерно эквивалентно ситуации с Яндексом, который проиндексировал чьи-то там смски через торчащую в инет историю вебинтерфейса, только хуже, потому что умышленно.

si14 October 25th, 2012
>почему волков с таким упорством пытается все это отрицать?
Послушай, ну ты же разумный человек вроде. Что он пытается отрицать? Вот это:
> мы вообще не храним персональные данные ни в каком виде
цитата из FAQ, который был вывешен сильно *до* выборов: http://leonwolf.livejournal.com/435991.html (1 октября)
Затем был вот этот пост: http://leonwolf.livejournal.com/445249.html (20 октября)
>Да, действительно в определенный момент мы решили привязывать номер телефона к пользователю, и это было нелегкое решение. Сделано это бы по нескольким причинам. Во-первых, для выборочного обзвона избирателей после выборов независимыми наблюдателями, чтобы убедиться, что за каждым голосом стоит реальный человек и нету вбросов. Во-вторых, чтобы обеспечить нормальную работу колл-центра в дни выборов, чтобы по номеру звонящего можно было определить его статус (зарегистрированный, верифицированный и т.д.). И в-третьих, для персонализированной смс-рассылки, чтобы можно было, к примеру, разослать сообщения только неверифицированным избирателям.
Где тут «пытается отрицать»? Ложью это было бы, если бы на момент написания FAQ они уже приняли решение хранить телефоны, что совершенно не очевидно. Кроме того, формально даже это дополнение не входит в противоречие с FAQ, потому как телефон не является персональными данными.

>произошла передача пар (телефон=Х, человек_является_опп=1), которые уже являются ПД
Нет, не являются. Посмотри ещё раз на определение — нет физического лица, сопоставленного с телефоном, значит нет и персональных данных.

wizzard0 October 25th, 2012
> Где тут «пытается отрицать»?
ты удивительным образом учитываешь то, что тебе удобно. не принимая во внимание то, что неудобно.

я, соответственно, учитываю другое. мне кажется, что моя выборка (мнения двух лиц - волкова и спорава) более правильна, чем твоя (мнения одного лица - волкова)

а вообще опирание на разные наборы исходных данных является признаком неконструктивной дискуссии, поэтому предлагаю обсуждение прекратить.

> Нет, не являются. Посмотри ещё раз на определение — нет физического лица, сопоставленного с телефоном, значит нет и персональных данных.
Правоприменительная практика в отношении Яндекса показывает, что это не так.

si14 October 25th, 2012
>ты удивительным образом учитываешь то, что тебе удобно. не принимая во внимание то, что неудобно.
Не учитываю что?

>я, соответственно, учитываю другое. мне кажется, что моя выборка (мнения двух лиц - волкова и спорава) более правильна, чем твоя (мнения одного лица - волкова)
При чём тут мнение-то? Спорав с кучей эмоций и собственных фантазий излагает части фактов, которые и так Волков в своей ЖЖшечке описывает. Более того, я кинул ссылку на значительно более подробное описание факапов ЦВК, но без «ололо представьте а если теперь Волков на ваши паспорта наберёт кредитов вот мудак надо его заранее засудить оппозиция все гондоны белолеточные дебилы путин путин путин путин» (я немного утрирую, но лишь немного). Это не вопрос мнений, это вопрос фактов.

>опирание на разные наборы исходных данных
Я ознакомился с жжшечкой спорава.

>Правоприменительная практика в отношении Яндекса показывает, что это не так.
Например?

si14 October 25th, 2012
При чём тут вообще этот линк? Там речь о предполагаемой краже сорцов у яндекса. При чём тут телефоны?

_winnie October 25th, 2012
Я к этим выборам отношусь нейтрально

Отделить технические подробности от фантазий фонтана говна у sporaw довольно сложно.

У меня общее ощущение - первый блин комом, баги есть, но не такие, что бы считать авторов халтурщиками или некомпетентными. Технический срочный проект для +тысячи людей который одновременно должен противостоять богатым и влиятельным чиновникам - это слишком круто, что бы с первого раза и без факапов.

wizzard0 October 25th, 2012
я собственно тоже так считаю. хороший пример, на котором стоит поучиться. другое дело, что есть масса людей, которые грудью защищают проект, отрицая факапы, и вот их-то я и не понимаю :)

  • 1
?

Log in

No account? Create an account