Я вас всех, наверное, уже заебал с этим Парнасом. Но тут подвезли инсайд по решению ЦВК, и хочу его тоже прокомментировать.
Для начала несколько разъяснений к уже известному ранее.
Первое. Для многих учётных записей в базе указано несколько паролей одновременно. Что это значит наверняка — сказать сложно. Но самая очевидная гипотеза заключается в том, что это история смены пароля. Вообще, хранить информацию о старых паролях — достаточно распространённая практика, если не сказать стандартная. Считается, что если человек меняет пароль — этот пароль не должен совпадать с предыдущими его паролями (или N предыдущих). Это тем более актуально, если необходимость смены пароля с определённой периодичностью заложена в систему, либо если предыдущий пароль был скомпрометирован. Но, конечно же, никакие пароли — ни старые, ни текущие — нельзя хранить в открытом виде (или даже с обратимым шифрованием, что одно и то же). Об этом мы уже говорили.
Второе. У некоторых учётных записей оказались одинаковые пароли. Это первой обнаружила Диана — и это был такой простой и красивый шаг, что мне даже жалко, что не я первый додумался. (Ссылка на твит со статистикой по паролям была выше). Конечно, все решили, что это свидетельство регистрации ботов. Но дело в том, что таких учётных записей оказалось что-то между одним и двумя процентами от заявленного чила регистраций. Надеяться таким образом повлиять на исход голосования было бы несколько наивно. Поэтому тут есть два более вероятных предположения.
Либо это действительно боты, но их целью было не изменить результаты голосования, а просто скомпрометировать их. (Например, раскрыв факт голосования ботами после объявления результатов). Либо — что даже более вероятно — кто-то просто заргистрировал большую группу настоящих избирателей от их лица. Например, по партийным спискам. (Что было бы, в принципе, логично). С таким же успехом кто-то мог бы в частном порядке зарегистрировать своих пожилых родственников. Вероятно, такой человек тоже не стал бы заморачиваться с уникальными паролями, правда?
Третье. За сегодня свою версию событий опубликовал только один из непосредственных участников истории — это некто Кирилл Хрусталёв. Одно время он руководил разработкой сайта, но затем был отсранён. Поэтому понятно, что его комменатрии надо, образно говоря, делить на шестнадцать. И конечно, все на этого Хрусталёва сразу накинулись. В связи с этим хочу по некоторым пунктам прокомментировать комментаторов. (Это не значит, что я поддерживаю Хрусталёва. Многое из его объяснений не заслуживает доверия. Но про это и так все написали, не буду повторяться).
Версия с балансировщиком нагрузки не такая уж нереальная. Во-первых, балансировщики могут использоваться не только для, собственно, распределения запросов из соображений производительности — но и для банального повышения доступности. Во-вторых, на них вполне могут находиться данные запросов в расшифрованном виде, если используется технология SSL Offload. И то, и другое, — это в общем-то хорошо и говорит скорее о профессионализме архитекторов системы, а не наоборот.
Версия с кражей данных из памяти сервера тоже теоретически возможна. Это конечно экзотика, но в этом нет ничего невозможного. Даже если исключить заражение машины вирусом (или использование модифицированного дистрибутива), можно прочитать память машины целиком, если эта машина виртуальная. Конечно, для этого надо быть администратором хостинга (или взломать хостера), но дальше это несложно. При необходимости я могу показать, как это делается на примере одного из гипервизоров (угадайте какого). На сегодняшний день ни один из имеющихся на рынке гипервизоров не имеет защиты от такой атаки. (Скоро будет. Угадайте какой).
Ну и про то, что он не готов раскрывать бюджет — тоже, в общем-то, понятно. Если он был именно техническим руководителем проекта, то ничего удивительного, что финансовые вопросы с исполнителем решались мимо него. Не то что бы это было хорошо и правильно, но это довольно распространённая практика. А на технические претензии он худо-бедно ответил. Ну или попытался.
Для начала несколько разъяснений к уже известному ранее.
Первое. Для многих учётных записей в базе указано несколько паролей одновременно. Что это значит наверняка — сказать сложно. Но самая очевидная гипотеза заключается в том, что это история смены пароля. Вообще, хранить информацию о старых паролях — достаточно распространённая практика, если не сказать стандартная. Считается, что если человек меняет пароль — этот пароль не должен совпадать с предыдущими его паролями (или N предыдущих). Это тем более актуально, если необходимость смены пароля с определённой периодичностью заложена в систему, либо если предыдущий пароль был скомпрометирован. Но, конечно же, никакие пароли — ни старые, ни текущие — нельзя хранить в открытом виде (или даже с обратимым шифрованием, что одно и то же). Об этом мы уже говорили.
Второе. У некоторых учётных записей оказались одинаковые пароли. Это первой обнаружила Диана — и это был такой простой и красивый шаг, что мне даже жалко, что не я первый додумался. (Ссылка на твит со статистикой по паролям была выше). Конечно, все решили, что это свидетельство регистрации ботов. Но дело в том, что таких учётных записей оказалось что-то между одним и двумя процентами от заявленного чила регистраций. Надеяться таким образом повлиять на исход голосования было бы несколько наивно. Поэтому тут есть два более вероятных предположения.
Либо это действительно боты, но их целью было не изменить результаты голосования, а просто скомпрометировать их. (Например, раскрыв факт голосования ботами после объявления результатов). Либо — что даже более вероятно — кто-то просто заргистрировал большую группу настоящих избирателей от их лица. Например, по партийным спискам. (Что было бы, в принципе, логично). С таким же успехом кто-то мог бы в частном порядке зарегистрировать своих пожилых родственников. Вероятно, такой человек тоже не стал бы заморачиваться с уникальными паролями, правда?
Третье. За сегодня свою версию событий опубликовал только один из непосредственных участников истории — это некто Кирилл Хрусталёв. Одно время он руководил разработкой сайта, но затем был отсранён. Поэтому понятно, что его комменатрии надо, образно говоря, делить на шестнадцать. И конечно, все на этого Хрусталёва сразу накинулись. В связи с этим хочу по некоторым пунктам прокомментировать комментаторов. (Это не значит, что я поддерживаю Хрусталёва. Многое из его объяснений не заслуживает доверия. Но про это и так все написали, не буду повторяться).
Версия с балансировщиком нагрузки не такая уж нереальная. Во-первых, балансировщики могут использоваться не только для, собственно, распределения запросов из соображений производительности — но и для банального повышения доступности. Во-вторых, на них вполне могут находиться данные запросов в расшифрованном виде, если используется технология SSL Offload. И то, и другое, — это в общем-то хорошо и говорит скорее о профессионализме архитекторов системы, а не наоборот.
Версия с кражей данных из памяти сервера тоже теоретически возможна. Это конечно экзотика, но в этом нет ничего невозможного. Даже если исключить заражение машины вирусом (или использование модифицированного дистрибутива), можно прочитать память машины целиком, если эта машина виртуальная. Конечно, для этого надо быть администратором хостинга (или взломать хостера), но дальше это несложно. При необходимости я могу показать, как это делается на примере одного из гипервизоров (угадайте какого). На сегодняшний день ни один из имеющихся на рынке гипервизоров не имеет защиты от такой атаки. (Скоро будет. Угадайте какой).
Ну и про то, что он не готов раскрывать бюджет — тоже, в общем-то, понятно. Если он был именно техническим руководителем проекта, то ничего удивительного, что финансовые вопросы с исполнителем решались мимо него. Не то что бы это было хорошо и правильно, но это довольно распространённая практика. А на технические претензии он худо-бедно ответил. Ну или попытался.
Так, ладно. Теперь собственно про решения ЦВК. Они ээээ, несколько странные. По крайней мере — то, что мы видим из твитов членов ЦВК и слухов. (Самого текста решения ещё нет — но не исключаю, что он будет опубликован раньше, чем я допишу этот пост).
Во-первых, они там заявляют, что подвести итоги голосования невозможно. Это совершенно справедливо. Мы не знаем, как именно были получены данные об учётных записях, и когда. Если допустить, что злоумышленники давно контролировали серверы — они могли точно так же спокойно манипулировать результатами. И даже если они украли данные где-то «по дороге» — могли использовать их для фальсификации голосов. Поэтому никакого доверия текущим результатам (на любой момент от начала и до преждевременной остановки голосования) быть не может.
Но из этого они делают два парадоксальных вывода. Во-первых, они решили опубликовать, по их выражению, «промежуточные» результаты. Зачем? Если допустить, что в самой идее праймариз ещё есть смысл, и целесообразно попытаться провести повторное голосование (например, на другой площадке или после восстановления доверия к текущей, если это вообще возможно) — то публикация результатов сейчас будет иметь такой же эффект, как на нормальных выборах публикация результатов экзит-поллов до завершения голосования. Это неэтично и может повлиять на голоса неопределившихся. Так делать нельзя. Даже если на минутку забыть о том, что этим данным нет никакого доверия, и они не стоят и выеденного яйца.
Во-вторых, они решили всячески устраниться от принятия любых решений после публикации этих результатов. Простите, а что это за орган тогда такой, который не может принять решение в сложной ситуации? Зачем он тогда вообще нужен? Ну хорошо, допустим — они не могут заставить Парнас принять какое-то решение или решить за всю партию. Но будучи организатором и органом, который теснее всех вовлечён в процесс, понимает его ход и видел процесс принятия тех или иных решений, они должны как минимум дать свою квалифицированную оценку случившемуся и вынести какие-то рекомендации.
Ну и самое феерическое. Они не только отключили сервер (что опять же, имело смысл), но и — пользуясь их выражением — УДАЛИЛИ его. Да, вы не ослышались — УДАЛИЛИ СЕРВЕР. Нет, погодите, а как же расследование причин? Как же изучение логов? Как же анализ кода на предмет несанкционированных изменений (или просто незамеченных уязвимостей)? Кто так делает вообще? Зачем?!
К сожалению, такое решение подталкивает нас к самым конспирологическим выводам. И если завтра Касьянов вдруг выйдет и заявит, что из-за срыва праймариз весь список будет формировать лично он волевым решением (ну или по результатам оффлайн-голосования, которых ещё никто не видел) — я, скажем так, совсем не удивлюсь.
Во-первых, они там заявляют, что подвести итоги голосования невозможно. Это совершенно справедливо. Мы не знаем, как именно были получены данные об учётных записях, и когда. Если допустить, что злоумышленники давно контролировали серверы — они могли точно так же спокойно манипулировать результатами. И даже если они украли данные где-то «по дороге» — могли использовать их для фальсификации голосов. Поэтому никакого доверия текущим результатам (на любой момент от начала и до преждевременной остановки голосования) быть не может.
Но из этого они делают два парадоксальных вывода. Во-первых, они решили опубликовать, по их выражению, «промежуточные» результаты. Зачем? Если допустить, что в самой идее праймариз ещё есть смысл, и целесообразно попытаться провести повторное голосование (например, на другой площадке или после восстановления доверия к текущей, если это вообще возможно) — то публикация результатов сейчас будет иметь такой же эффект, как на нормальных выборах публикация результатов экзит-поллов до завершения голосования. Это неэтично и может повлиять на голоса неопределившихся. Так делать нельзя. Даже если на минутку забыть о том, что этим данным нет никакого доверия, и они не стоят и выеденного яйца.
Во-вторых, они решили всячески устраниться от принятия любых решений после публикации этих результатов. Простите, а что это за орган тогда такой, который не может принять решение в сложной ситуации? Зачем он тогда вообще нужен? Ну хорошо, допустим — они не могут заставить Парнас принять какое-то решение или решить за всю партию. Но будучи организатором и органом, который теснее всех вовлечён в процесс, понимает его ход и видел процесс принятия тех или иных решений, они должны как минимум дать свою квалифицированную оценку случившемуся и вынести какие-то рекомендации.
Ну и самое феерическое. Они не только отключили сервер (что опять же, имело смысл), но и — пользуясь их выражением — УДАЛИЛИ его. Да, вы не ослышались — УДАЛИЛИ СЕРВЕР. Нет, погодите, а как же расследование причин? Как же изучение логов? Как же анализ кода на предмет несанкционированных изменений (или просто незамеченных уязвимостей)? Кто так делает вообще? Зачем?!
К сожалению, такое решение подталкивает нас к самым конспирологическим выводам. И если завтра Касьянов вдруг выйдет и заявит, что из-за срыва праймариз весь список будет формировать лично он волевым решением (ну или по результатам оффлайн-голосования, которых ещё никто не видел) — я, скажем так, совсем не удивлюсь.
Хотя нет, всё-таки пишут, что сервер «удалили» не они сами, а именно злоумышленники. (Причём речь идёт якобы про тот самый многострадальный балансировщик).
Ну это конечно тоже позор, но несколько меньший. Почему сервер не был изолирован сразу, как обнаружился взлом? Или с него не сняли точную копию для проведения анализа в дальнейшем?
Хотя с другой стороны, можно же вспомнить, что у них этот сервер и раньше был дырявым как летние ботинки. Его как минимум дважды уже ломали в прошлом. Один раз когда выложили фотографии из телефона Пелевиной, и второй я забыл.
Это же всё был один и тот же сервер, я ничего не путаю? Ну тогда чего удивляться, что его использовали для похищения данных и в этот раз?
Прямо не сервер политической партии, а бесплатный анонимный хостинг картинок. Извините.
Ну это конечно тоже позор, но несколько меньший. Почему сервер не был изолирован сразу, как обнаружился взлом? Или с него не сняли точную копию для проведения анализа в дальнейшем?
Хотя с другой стороны, можно же вспомнить, что у них этот сервер и раньше был дырявым как летние ботинки. Его как минимум дважды уже ломали в прошлом. Один раз когда выложили фотографии из телефона Пелевиной, и второй я забыл.
Это же всё был один и тот же сервер, я ничего не путаю? Ну тогда чего удивляться, что его использовали для похищения данных и в этот раз?
Прямо не сервер политической партии, а бесплатный анонимный хостинг картинок. Извините.
В рабочий Яммер (не спрашивайте) запостили вот это видео. Очень трудно удержаться от подозрений, что это фейк и постановка. С другой стороны — кто может такое выдумать? К тому же, они там хвастаются, что у них уже есть один участник из России. Надо понимать, это делает историю гораздо убедительнее.
https://m.youtube.com/watch?v=jmmmxI-Y_6U
https://m.youtube.com/watch?v=jmmmxI-Y_6U
YouTube
Washing machine collectors awash with enthusiasm on laundry day
Most people consider doing laundry a chore. They obviously don't belong to the Washing Machine Collectors Club, whose 3,000 members collect rare, vintage washing machines. Bill Geist join some of them as they get together for a "wash-in" and air their dirty…
image_2016-09-10_21-53-58.png
446.2 KB
Не устану повторять, что действительность гораздо увлекательнее любых постмодернистских придумок.
И заметьте, не я это предложил. В 2016 году до людей массово начинает доходить, что куда бы ни писала Линор, у неё всюду получается энциклопедия нашей жизни.
(Кстати, зацените хороший канал вот).
(Кстати, зацените хороший канал вот).
Про блокировку Порнхаба. Срочно хочу почитать аналитику о том, насколько это увеличит выручку платных порносайтов, насколько — рынок безблагодатной рекламы проституток, и насколько — количество жертв фишинга и участников ботнетов. (А также хуй вам, а не улучшение демографии).
(Да, оба неэлегантных каламбура в предыдущем посте были нарочно. Кто оценил — <s>тот получил два ретвита</s> молодец).
А я завтра лечу в Бухарест. (Надеюсь, у них там есть вкусный сыр). Из-за некоторых там выборов придётся не прямым рейсом, днём и за мили — а ночью, с пересадкой и за деньги. (За свои, да).
Так вот — вы тоже обязательно сходите и проголосуйте. Это, конечно, тоже не мешки ворочать. Но так, программа-минимум. А кто не пойдёт — тот нацпредатель. Или совок. Кому что обиднее.
А я завтра лечу в Бухарест. (Надеюсь, у них там есть вкусный сыр). Из-за некоторых там выборов придётся не прямым рейсом, днём и за мили — а ночью, с пересадкой и за деньги. (За свои, да).
Так вот — вы тоже обязательно сходите и проголосуйте. Это, конечно, тоже не мешки ворочать. Но так, программа-минимум. А кто не пойдёт — тот нацпредатель. Или совок. Кому что обиднее.
Нахожу ИРОНИЧНЫМ, что единственные, кто (судя по всему) воспользовался той-самой-базой "Парнаса" для рассылки спама — это некое объединение нациков под названием "Комитет Нация и Свобода".
(Да, у них там два пробела между "комитетом" и "нацией", я это скопипастил из письма, и править не хочу).
(Да, у них там два пробела между "комитетом" и "нацией", я это скопипастил из письма, и править не хочу).
В аэропорту открыли избирательный участок и рекламируют его звуковыми объявлениями. Говорят, мол, нужно иметь открепительное и паспорт. Надо ещё добавлять — если будете тупить, скоро вам и аэропорт не нужен станет.
Пока я лечу из Варшавы в Бухарест (и вообще-то должен рисовать презентацию, а не травить байки), хочу спросить — а как вы летаете во сне? Наверное, со всеми людьми это случалось хотя бы изредка. Но вот как именно?
Когда при мне (наяву) кто-то произносит фразу «летать во сне», я представляю себе не самолёт, и даже не известную старую рекламу — а расслабленную фигуру, парящую где-то высоко над открыточными пейзажами, раскинув руки. Но при этом у меня самого это получается совсем по-другому.
Начнём с того, что вопрос «а как летать» на повестке дня не стоит. Потому что само собой разумеется — вот просто так оторваться от земли и зависнуть в воздухе вообще не составляет труда. Просто лежишь на пузе, где-то в полуметре от земли. Да, обзор получается так себе. Но поскольку это всегда почему-то происходит в городе, дорогу я и так знаю.
Более серьёзная проблема заключается в том, чтобы как-то сдвинуться с места. Конечно, можно барахтаться руками и ногами, как будто ты плывёшь. Но эффективность такого метода — ещё ниже, чем удобство смотреть по сторонам. Сил уходит много, а передвигаться удаётся крайне медленно. Среда-то разреженная. Это, конечно, во сне явно ощущается.
Поэтому гораздо удобнее оказывается отталкиваться от чего-то. Например, от каких-то построек. Или просто перебирть руками по земле! Да, получается, как ходьба. Но при этом гораздо быстрее, и инерция ого-го. Таким образом можно спокойно разогнаться, и потом пару минут ещё лететь без усилий. И даже лавировать, обгоняя пешеходов.
Которым почему-то на тебя наплевать. Потому что ночь, и они спешат домой.
(И да, очень жалко, конечно, что какой-то там уточке её дом оказался важнее, чем нам с вами).
Когда при мне (наяву) кто-то произносит фразу «летать во сне», я представляю себе не самолёт, и даже не известную старую рекламу — а расслабленную фигуру, парящую где-то высоко над открыточными пейзажами, раскинув руки. Но при этом у меня самого это получается совсем по-другому.
Начнём с того, что вопрос «а как летать» на повестке дня не стоит. Потому что само собой разумеется — вот просто так оторваться от земли и зависнуть в воздухе вообще не составляет труда. Просто лежишь на пузе, где-то в полуметре от земли. Да, обзор получается так себе. Но поскольку это всегда почему-то происходит в городе, дорогу я и так знаю.
Более серьёзная проблема заключается в том, чтобы как-то сдвинуться с места. Конечно, можно барахтаться руками и ногами, как будто ты плывёшь. Но эффективность такого метода — ещё ниже, чем удобство смотреть по сторонам. Сил уходит много, а передвигаться удаётся крайне медленно. Среда-то разреженная. Это, конечно, во сне явно ощущается.
Поэтому гораздо удобнее оказывается отталкиваться от чего-то. Например, от каких-то построек. Или просто перебирть руками по земле! Да, получается, как ходьба. Но при этом гораздо быстрее, и инерция ого-го. Таким образом можно спокойно разогнаться, и потом пару минут ещё лететь без усилий. И даже лавировать, обгоняя пешеходов.
Которым почему-то на тебя наплевать. Потому что ночь, и они спешат домой.
(И да, очень жалко, конечно, что какой-то там уточке её дом оказался важнее, чем нам с вами).
Во время последней поездки в Сиэтл гулял по старому райончику, который называется Квин Энн. Зачем я туда попёрся — второй вопрос, но нашёл милый книжно-сувенирный магазинчик с кучей занятной ерунды. В частности, в нём обнаружилась моя нынешняя тотемная книга. Теперь очень сложно бороться с искушением отвечать этой картинкой на каждое второе письмо.
...на третий день вождь Зоркий Глаз заметил, что в камере не хватает одной стены.
Сегодня перекладывал вещи из сумки для поездок в городскую. Внезапно вспомнил, что мне уже несколько лет как не 28. Выложил из паспорта военный билет.
Сегодня перекладывал вещи из сумки для поездок в городскую. Внезапно вспомнил, что мне уже несколько лет как не 28. Выложил из паспорта военный билет.
В прошлом году, когда в Москву приезжали Garbage, я купил билет — и вместо этого, внезапно, за два дня улетел в штаты. То есть вот буквально — в четверг узнал о готовящемся мероприятии, в пятницу согласовал командировку, в субботу собрал вещи и сел в самолёт. Проклял всё на свете.
В этом году пока не знаю, что получится, — но Garbage снова приезжают, 17 и 18 ноября. Так что надо ещё раз попробовать. Кто ещё пойдёт?
(Чтобы два раза не вставать — старый их очень клип, из любимого: https://www.youtube.com/watch?v=8C5NLfYdZaE).
В этом году пока не знаю, что получится, — но Garbage снова приезжают, 17 и 18 ноября. Так что надо ещё раз попробовать. Кто ещё пойдёт?
(Чтобы два раза не вставать — старый их очень клип, из любимого: https://www.youtube.com/watch?v=8C5NLfYdZaE).