`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Реальная цена биткоина

На днях в мире криптовалют произошло интересное – криптовалюта Tether опубликовала свой первый отчет о структуре активов. Этот отчет она обязана публиковать в рамках соглашения с прокуратурой Нью-Йорка, которая до этого полтора года расследовала обвинения в мошенничестве.

Tether (USDT) можно называть первой stablecoin валютой – криптовалютой, привязанной к конкретной реальной валюте, то есть доллару. Придумана она была в далеком уже 2014 г. и изначально заявлялось, что она обеспечивается реальными долларами – то есть вы платите 1 доллар системе, выпускающей токен, и получаете 1 токен, который точно также можно обменять на 1 реальный доллар обратно. В определенном смысле эти токены обеспечивали поступление реальных денег в криптоэкосистему, поскольку дальше вы могли использовать USDT на биржах для покупки биткоинов. Тем более, что многие биржи сплошь и рядом ограничивали операции с реальными валютами, не желая связываться с официальными банковскими операциями.

Валюту долго упрекали в непрозрачности – как понятно, на её основе несложно эмитировать токены практически бесконтрольно и есть подозрения, что именно так и делали. Расследование прокуратуры Нью-Йорка закончилось штрафом в 18,5 млн долл., который согласились заплатить биржа Bitfinex и Tether, и соглашением о регулярной отчетности о структуре активов.

«Отчет», опубликованный на этой неделе, не страдает многословностью – на примерно половину листа A4 поместились две круговые диаграммы, из которых ясно, что наличные деньги (cash) составляют в структуре резервов примерно 2,94%. Остальное – облигации, ценные бумаги, ссуды и так далее.

Реальная цена биткоина

Вообще-то, в реальной жизни никто и не требует, чтобы реальное обеспечение резервов какого-нибудь банка или платежной системы хранилось в наличных где-нибудь в подвале. Но в данном случае вряд ли можно говорить о том уровне управления резервами, который является стандартом для традиционных финансовых учреждений.

При этом очень странно, что больше половины резервов сосредоточены в корпоративных акциях. Не в гособлигациях разных видов, которые общепризнаны самым надежным капиталовложением, а в неизвестно чьих акциях – вместе с волатильностью фондового рынка последних лет это хоть и нельзя напрямую сравнивать с вложениями в фишки казино, но все равно выглядит довольно азартно.

И очень большой вопрос, согласится ли прокуратура Нью-Йорка с тем, что две круговые диаграммы – это удовлетворительный отчет о деятельности компании с миллиардными резервами. На данный момент в оборот выпущено более 58 млрд токенов USDT, каждый из которых, как мы помним, должен соответствовать реальному доллару. При этом по некоторым оценкам примерно 80% всех транзакций с биткоином – это обмен Tether на биткоин и наоборот.

По всей видимости, никто не знает степень ликвидности вложений в ценные бумаги – она может варьрироваться от нуля до довольно больших величин, конечно, но сама ликвидность несколько ограничена, ведь быстро реализовать эти резервы без потери стоимости вряд ли удастся.

Отсюда возникает вопрос – если лишь малая доля (некоторые критики вообще ограничиваются только долей наличных денег, но, в принципе, с каким-то дисконтом можно считать обеспечением и другие активы) USDT обеспечена реальными деньгами и, следовательно, лишь малая доля транзакций с биткоином тоже ими обеспечена – то какова реальная цена биткоина? 48 тыс. долл., как сейчас, или раз этак в 10-15 меньше?

Реальная цена биткоина

Напрасный труд

Прокуратура Нью-Йорка выпустила доклад с результатами расследования кампании, которая была развернута в 2017 г., когда «Федеральная комиссия по связи» (FCC) готовилась принять решение об откате регулирования сетевой нейтральности, введенного администрацией Барака Обамы. Тогда в комиссию поступило 22 млн. обращений. Как выяснилось в ходе расследования, 18 млн. из них оказались фейковыми.

8,5 млн. обращений были сгенерированы искусственно «в нагрузку» к различным акциям и розыгрышам, проводимыми различными компаниями – люди регистрировались для участия в акции и буквально дополнительным чекбоксом «соглашались» подписать обращение в FCC. Почти 9 млн. обращений вообще были сгенерированы автоматически 19-летним студентом с помощью скрипта. Прокуратура при этом обвиняет в организации этих кампаний с фейками некоммерческую организацию Broadband for America (BFA), в списке членов которой значатся крупные американские провайдеры – AT&T, CenturyLink и другие, – а также отраслевые ассоциации.

Кампании при этом не достигли своей цели – FCC в конце 2017 г. приняла решение по отмене принципов сетевой нейтральности. Не помогли и полмиллиона фейковых писем в Конгресс, которые вроде тоже были организованы в рамках этих усилий.

Напрасный труд

Новости про Epic и Apple

Приближается начало рассмотрения иска Epic Games против Apple и стороны активно готовятся, предоставляя в суд большое количество документов, необходимых для рассмотрения. Например, уже доступен список свидетелей, которые дадут показания в суде – и со стороны Apple там выступят и Тим Кук, и Фил Шиллер, Крэйг Федериги, сотрудники App Store и разработчики. От Epic будет участвовать тоже не маленькая группа, начиная с CEO Тима Суини.

В наборе документов интересно почитать мнения сторонних экспертов, которые с разных точек зрения исследуют вопросы, является ли Apple монополистом, каково состояние бизнеса Epic и так далее. Но самый интересный документ – это подготовленные обоими сторонами выдержки из показаний свидетелей – так называемые Deposition Designations. Это те самые показания, на которые, в частности, ранее ссылался Epic, обосновывая свою позицию в суде. Но теперь можно почитать живую речь и много дополнительных деталей – хотя это выдержки и там есть лакуны, связанные с конфиденциальной информацией.

Так, из показаний Филипа Шумейкера, руководившего модерацией в App Store, можно узнать, что гайдлайны в App Store сознательно составлены довольно субъективно, чтобы не ограничивать модераторов в принятии субъективных решений для соблюдения духа правил. Кстати, с похожей ситуацией мы сталкивались в Яндексе, когда оптимизаторы требовали описать точные критерии поискового спама. Проблема в том, что дав определение спама, как «белый текст на белом фоне», ты получаешь в ответ претензию «Почему вы забанили страницу с темно-серым текстом на бледно-черном фоне» и так далее. Впрочем, именно из показаний Филипа следует, что существовала ERB (Executive Review Board или как-то так), состоящая из Фила Шиллера, Эдди Кью и Скотта Форстала, определяющая итоговую политику по модерации. Правда, при прямом вопросе он вспомнил лишь одно приложение, которое не пропускали в App Store – это Google Voice.

Скотта Форсталла юристы тщательно расспрашивали о процессе создания iOS (включая период неопределенности, когда команда изначально собиралась делать планшет, а спустя год переключилась на телефон) и как компания все же пришла к допуску сторонних приложений на платформу. Главным противником этого был Стив Джобс – он вообще не хотел допускать даже веб-приложения. Кстати, на первой презентации iPhone часть приложений Apple были именно веб-приложениями и они, как сказал Форсталл, «не работали хорошо». К выходу смартфона в продажу их переписали в нативном виде. Там еще много вопросов относительно того, какими соображениями диктовались детали запуска App Store, включая выпуски сертификатов и ограничение дистрибуции приложений исключительно через App Store. Интересная деталь – оказывается, Apple какое-то время пыталась помочь Adobe в разработке Flash, чтобы он нормально работал на iPhone. Но производительность оставалась ужасной и он оставался рассадником вирусов – хотя Скотт до сих пор считает, что, если бы у них получилось, это было бы здорово. Форсталла также расспрашивают про конфликт с Facebook, когда Apple отказалась пропускать приложение соцсети, содержавшее встроенные приложения, настояв на приложении со встроенным браузером или ссылками, которые бы открывались в Safari.

Относительно использования IAP Форсталл объяснил, что ограничения, из-за которых можно было использовать только их, диктовались несколькими соображениями. Во-первых, так было удобнее пользователям – им не приходилось покидать приложение, вводить карту и так далее. Во-вторых, стандартный интерфейс для оплаты внушал больше доверия пользователям. В-третьих, использование сторонних систем для оплаты означало бы нарушение бизнес-модели магазина – когда приложение пользуется бесплатными возможностями для дистрибуции, но само при этом бесплатным не является.

Интересно прочесть показания Эдди Кью – я его видел вживую в дискуссии и в стенограмме он звучит как живой. Пожалуй, основной факт, который он сообщил – ставка в 30% комиссии App Store выбиралась не путем расчета себестоимости или даже вообще окупаемости, а практически на глаз – существовавшие тогда магазины брали комиссию в 40-50%, компания хотела сделать дешевле и выбрала 30% для платных приложений и 0% для бесплатных. Из показаний вообще следует, что Стив Джобс одно время интересовался, окупает ли себя вообще App Store, но Эдди его успокоил, что да, он не убыточен.

Интересен также момент, когда Эдди настаивал на выпуске iMessage для Android – он считал, что нельзя упускать возможность оказаться с лучшим, по его мнению, мессенджером на массовой платформе. На что Крейг Федериги в переписке довольно остроумно ответил, что не существует никакой особой стратегии, как пересадить пользователей с WhatsApp на iMessage, а в этом случае единственное, чего можно достичь выпуском мессенджера для Android – это стимулировать владельца iPhone купить дешевый Android для ребенка, поскольку он теперь сможет оставаться на связи. Вообще, из показаний Эдди можно многое узнать – оказывается, Netflix в свое время проводил эксперименты, которые показали, что использование IAP (встроенной системы платежей в App Store) приводит к снижению продолжительности подписки пользователей, в отличие от других способов подписки.

Наделавшие много шуму пару недель назад показания руководителя группы по борьбе фродом в App Store оказались гораздо большее взвешенные – громкие цитаты про пластиковый нож и перестрелку и другие оказались цитатами из его писем коллегам пятилетней давности, которые он же комментирует как довольно устаревшие, поскольку за это время многое было сделано в части безопасности. Оказывается, Apple, а именно эта группа, мониторила интернет на предмет дистрибуции приложений в обход App Store. Например, в Китае было такое количество пиратских магазинов приложений, что в еще одном письме он описали ситуацию как «Черный рынок и есть рынок, а легальные магазины – ошибка округления».

Несколько раз в показаниях разных людей встречается вопрос про то, насколько серьезно выглядела конкуренция за разработчиков с Android, но, кажется, только Шумейкер высказывал опасения, что излишней модерацией можно выдавить хороших разработчиков с платформы. Кажется, что юристы и не ставили такую цель – они скорее хотели показать, что аргумент Apple «Мы не монополисты, разработчики могут переключиться на Android» несостоятелен, поскольку все сотрудники Apple признают, что они о таком не слышали.

Еще один грандиозный документ – это показания сотрудников Epic, которых опрашивали юристы Apple, но на него у меня сил не хватило, да и не интересно мне особо разбираться в тонкостях бизнеса Epic.

Новости про Epic и Apple

Про современный интернет-маркетинг

Удивительно всё-таки – вот я больше 20 лет назад занялся интернет-маркетингом. Никто тогда ничего не знал, включая всех – кто размещал, кто продавал и кто покупал услуги маркетинга. Все эти годы это направление росло, охватывало всё новые понятия и аудитории. Теперь про него знают все, всем он нужен, в кого ни плюнь (автор не выражает намерение плевать и никого не призывает это делать) – попадешь в таргетолога, контекстолога или вообще сммщика (если уж плюете, постарайтесь попасть, а то у меня статистика пострадает).

И при этом, как не посмотри на конкретные случаи, не оставляет ощущение какого-то шаманства, мистических ритуалов, местами даже суеверий. Четверть всех обсуждений о рекламе в Facebook посвящены теме «Что делать, если вам заблокировали рекламный аккаунт?», а я за 12 лет размещения самой разной рекламы так и не понял, что надо сделать, чтобы вам его заблокировали. Треть всех обучающих курсов рассказывает, как найти в интерфейсе функцию, расположенную в одном клике от стартовой страницы, и сделать с ней единственное возможное действие. Каждое изменение в интерфейсе обеспечивает работой тысячи авторов курсов и школ, которые спешно переделывают скринкасты. Недавно довелось посмотреть лекцию одного инстаграм-гуру, который минут 40 палил тему про то, что в хештегах надо использовать поисковые запросы из вордстата, а если типа такого запроса нет, то использовать не надо.

Клиенты, кстати, тоже мало изменились – одни, как 15 лет назад, признаются, что ничего не понимают, вот у них бизнес, помогите. Другие что-то где-то слышали – если в 2008-м они требовали покупать ссылки для неготового сайта, то сейчас показывают неплохой сайт и спрашивают в лоб «Какую стоимость лида можете обеспечить? Покажите ваши кейсы!». После ответа «Ребята, у вас онлайн-магазин, вам не лиды нужны, а покупки» клиент исчезает или переключается на вопросы о контент-плане.

Что тоже та еще проблема – после того, как всем объяснили, что надо вести страницы и собирать аудиторию, довольно сложно объяснить небольшому бизнесу, что ему не надо заниматься контент-маркетингом – как ни пытайся скопировать весь интернет по своей теме, никто тебя не посчитает википедией или хотя бы авторитетным источником.

Правда, часто это хорошо – когда начинаешь задавать вопросы про бизнес-процессы, понимаешь, что никто их до тебя не задавал. Так что, коллеги по профессии, продолжайте готовить контент-планы, генерировать лиды и изучать интерфейсы – на этом фоне легче выделяться.

Про современный интернет-маркетинг

Сенаторы разбирались в работе магазинов приложений Apple и Google

Вчера прошли слушания в Сенате США, где сенаторы пытались разобраться в работе магазинов приложений Apple и Google и тому, насколько они соответствуют антимонопольному законодательству. В целом сенаторы остались скорее неудовлетворенными объяснениями топ-менеджеров магазинов – например, после долгого объяснения, как жесткий контроль за магазинами с разделением дохода способствует безопасности пользователей и приложений, глава комплаенса Apple отказался заявить, что вся комиссия уходит на расходы по безопасности и модерации. А объяснения от представителей Apple и Google, почему для Uber и приложений, продающих физические товары, делаются исключения в ставках комиссий, привели к признанию одного из сенаторов, что он себя чувствует юристом из пещерного века и просто не понимает аргументов компаний.

Сенаторы разбирались в работе магазинов приложений Apple и Google

В ходе слушаний выступали представители Match, Spotify и Tile – главный юрист Match (владельцы Tinder, утверждается, что общая комиссия магазинов на их приложениях составляет полмиллиарда долларов в год) сообщил, что после публикации заранее подготовленного заявления ему позвонил коллега из Google с вопросом, почему содержание заявления к слушаниям отличается от предыдущих комментариев компании. Выглядит, конечно, некрасиво. Tile подлил масла в огонь, сославшись на только что представленные AirTag от Apple – компания давно продает аналогичные метки, а новый продукт от Apple составит им серьезную конкуренцию. Правда, тут довольно сложно наехать на Apple – компания заранее открыла сторонним разработчикам к приложению Find My, которое есть на любом iPhone, а сам Tile до сих пор значился как featured аксессуар в Apple Store – что же им теперь, вовеки не задумываться даже о производстве устройства, полностью укладывающегося в продуктовую линейку, только потому, что его кто-то уже делает?

Нынешние слушания – это лишь слушания, без формальных последствий, хотя сенаторы и могут использовать услышанное для формирования позиций и подготовки законодательных предложений. Но внимание к платформам явно усиливается.

Сенаторы разбирались в работе магазинов приложений Apple и Google

Индустрия ополчилась на FLoC от Google

Индустрия ополчилась на FLoC от Google

Кажется, новому стандарту Google под названием FLoC не суждена легкая судьба – помимо наотрез отказавшихся на этой неделе поддерживать этот стандарт Brave и Vivaldi, никаких планов на предмет его поддержки не имеет Mozilla, а Microsoft, которая активно развивает Chromium-based браузер под названием Edge, на вопрос о поддержке отвечает уклончиво – мол, мы привержены идее privacy и активно исследуем разные возможности.

Журналисты TheVerge попытались собрать комментарии от разработчиков основных браузеров и сделали вывод, что никто пока не собирается участвовать в этой затее – даже Apple, точнее, один из её разработчиков, прокомментировал, что они не заявляли о поддержке, тем более, что у них есть своя технология предотвращения отслеживания, а вообще надо, мол, подумать над серьезными предложениями.

Я бы сказал, что вот таким образом телега отъезжает и мы видим Google в интересной позе, как единственную компанию-производителя браузера, которая хочет сделать вид, что тоже с детства за приватность, но при этом немалую часть денег зарабатывающую на интернет-рекламе.

Индустрия ополчилась на FLoC от Google

Менеджер паролей для инфраструктуры

Вы же наверняка не раз и не два, особенно в последнее время, слышали о громких взломах и утечках, вызванных тем, что в открытом доступе оказались пароли, сертификаты или ключи для доступа к внутренней инфраструктуре крупных компаний? Я навскидку могу вспомнить штук пять таких инцидентов за последние несколько месяцев и все они связаны с тем, что среднестатистические разработчики и сисадмины – такие же люди, как и обычные пользователи, только вторые записывают односложный пароль на записке, прилепленной к монитору, а первые генерируют ключ для доступа к облачному серверу и сохраняют его в публичном репозитории на Github.

Менеджер паролей для инфраструктуры

Кажется, с этой проблемой решили побороться как раз те ребята, которые с успехом борются против пользовательских односложных паролей – 1Password. Компания, прекрасно зарекомендовавшая себя среди обычных пользователей, запустила сервис под названием Secrets Automation – это решение делает примерно то, что и традиционный 1Password, только для ключей, токенов и секретов, которые используются скриптами и программами. Сервис интегрируется с популярными системами, используемыми в разработке и оркестрации ПО, и имеет готовые библиотеки на Go, Node.js и Python для желающих добавить необходимую интеграцию, при этом все токены и ключи, генерируемые системами, хранятся в 1password.com, что позволяет ротировать их практически мгновенно.

Правда, можно это расценивать как создание одной точки отказа – мол, а что будет, если сервис окажется недоступен или будет взломан? Но сам сервис никакого доступа к сейфам пользователей не имеет – они шифруются ключом, которые не хранятся в сервисе. Сервис платный, подписка начинается с $29 в месяц за 25 кредитов, то есть за 25 токенов доступа к хранилищу, выдаваемых на скрипт или сервис пользователя, при этом по умолчанию каждой компании доступно три бесплатных токена.

Посмотрим, как пойдет сервис – у компании уже есть немало корпоративных пользователей обычного 1password, так что есть все шансы удачного внедрения и нового продукта.

Менеджер паролей для инфраструктуры

Немного о модерации в AppStore

Если стали реже писать о суде Epic против Apple, то это не значит, что там ничего не происходит. Свидетели дают показания, выписываются ордера, подаются заявления – всё готовится к предварительному слушанию, которое пройдет в виде Zoom-встречи 21 апреля, а потом будет назначено само слушание. И местами появляются очень интересные документы – например, Epic на этой неделе подал огромное исследование – 365 страниц текста (PDF, EN), – в котором подробно разбираются показания специалистов Apple относительно того, как работает App Store с системой модерации. То есть понятно, что одной из целей исследования является показать, что Apple стремится к монополии, что эта монополия ведет к ухудшению продукта и, в частности, что система модерации не способна решить поставленную задачу обеспечить контроль за качеством приложений.

Заключение базируется на показаниях Скотта Форстала, Филиппа Шумейкера, Крейга Федериги, Тристана Косминки, C.K.Хона и других специалистов и руководителей, имеющих непосредственное отношение к разработке ПО и организации работы AppStore. Читать можно долго – например, в апреле 2016 г. в среднем на модерацию одного нового приложения тратилось 13 минут, а на апдейт существующего – 6 минут. В среднем модераторы Apple проверяют от 50 до 100 приложений в день, в некоторых случаях принимая решение меньше чем за минуту. Кроме того, описывается, что Apple долгое время использовала статический анализ кода, в то время как в Google Play давно использовали динамический.

С самого начала курировать App Store взялся Фил Шиллер, при этом у троих – Шиллера, Форстала и Эдди Кью, которые составляли ERB (Editorial Review Board) – было право абсолютного вето, при использовании которого приложение никогда не пропускалось в AppStore. Приложение, конкурирующее по мнению ERB с продуктами и сервисами Apple часто не пропускалось без даже сформулированной причины.

Одним из ключевых свидетелей, показания которого цитируются в материале, стал Эрик Фридман, глава подразделения FEAR (Fraud Engineering Algorythm and Risk). По мнению Фридмана, система модерации App Store была похожа на использование пластикового ножа для масла в перестрелке. Даже после внедрения в 2017 г. отдельных систем автоматических проверок приложений, процесс App Review походил, по утверждению Фридмана, на «симпатичную девушку, которая встречает туриста в аэропорту на Гавайях, а не на натренированную на поиск наркотиков собаку-ищейку».

В общем, там очень много фактов и примеров того, как модераторы Apple заворачивали приложения по антиконкурентным причинам и пропускали явно нарушающие правила, будь-то malware или порнография, но, понятно, что на больших числах обработанных приложений можно найти десятки и сотни частных примеров. Тем не менее, материал, конечно, серьезный и Apple будет сложно оспаривать такую трактовку показаний своих специалистов.

Немного о модерации в AppStore

Про «Дию» и виртуальные паспорта

Итак, Верховная Рада приняла закон, по которому электронные паспорта являются такими же официальными документами, как и бумажные паспорта или ID-карта, и должны приниматься наравне с бумажными оригиналами всеми организациями и учреждениями. В соцсетях восторги, мол, первая в мире страна, где можно предъявить паспорт в смартфоне и не надо носить с собой бумажку, ведь так и удобнее, и некоторые даже добавляют – надежнее. Разумеется, под электронными в первую очередь подразумеваются соответствующие записи в приложении «Дия», которые можно предъявить в виде QR-кода, который живет три минуты и представляет собой ссылку на запись в «Едином реестре», по которой уполномоченный сотрудник может пройти и прочесть необходимую информацию.

Давайте я сразу скажу, что я думаю о такой цифровизации, а потом разверну по пунктам.

«Паспорт» в приложении «Дия» показывает, что его разработчики плохо понимают суть процесса документирования личности. В погоне за модными фишечками – то есть возможностью вместо документа предъявить QR-код в смартфоне, – разработчики в очередной раз оцифровали хаос и сделали странный продукт. Решение очень уязвимо с точки зрения безопасности и контроля доступа к персональной информации граждан. Наконец, оно нереализуемо практически в полной мере, а частичная реализация лишь ухудшает все риски безопасности.

А теперь подробнее.

Удостоверение личности

Я много раз повторял одну и ту же фразу и всякий раз собеседники смотрели на меня удивлённо, как будто я сообщаю какое-то новое откровение. Вот эта фраза – «Когда вы говорите об удостоверении личности, вы чаще всего путаете документ и процесс».

Дело в том, что правильно оформленный документ, удостоверяющий личность, – это лишь часть процесса. Второй необходимой частью в нём является сама личность – живой человек, предъявляющий правильно оформленный документ. И процесс заключается в сверке личности с документом, который выдан неким авторитетным органом. Если личность совпала с документом – всё в порядке, гражданин, проходите.

Проблема тут в том, что в этом процессе участвует еще один человек. Именно он осуществляет сверку и делает заключение о её успешности. Или наоборот. И участие именно этого человека критично для процесса – и именно это участие выпускается из виду нашими диджитализаторами, которые уверены, что сам по себе документ достаточно заменить записью в реестре или даже QR-кодом самим по себе.

В чем отличие бумажного документа от его цифрового аналога? В его уникальности. Когда вы держите в руках свой паспорт, вы можете быть практически уверены, что держите в руках единственный такой документ и ни у кого другого такого документа – с теми же параметрами, как имя с фамилией, номером, серией и другими сведениями в нём, – нет и быть не может. Водяные знаки, биометрические показатели, дорогая печать особым образом – это всё призвано сильно усложнить изготовление копии, если уж не получится сделать такое изготовление абсолютно невозможным. С точки зрения идентификации личности при этом справка на плохой бумаге с неразборчивой подписью работает не хуже – вспомните «пачпорта», которые оформлял шельмец-писец из «Формулы любви», или бумагу за подписью Ришелье, которую Атос отнял у миледи.

В чем отличие цифровой сущности от физической? В возможности быть скопированной, причем так, что получившаяся копия абсолютно идентична оригиналу. Понимая это, нормальные разработчики средств цифровой идентификации шифруют исходные сущности так, чтобы даже в случае копирования информация, находящаяся в документе, была бы недоступна неавторизованным пользователям – например, информация в вашей ID-карте закрыта несколькими паролями, которые известны только вам и вносятся при выдаче карты, причем это делаете вы сами. Теоретически, конечно, возможно перехватить этот ввод, но это рискованная затея, которая требует компрометации всего пункта выдачи документов.

Поэтому ID-карта – то есть фактически уже имеющийся цифровой паспорт, – вполне соответствует понятию документа – она уникальна, она содержит полную информацию о личности, более того, если бумажный паспорт можно украсть, то ID-карту красть менее полезно – в ней содержатся биометрические показатели типа отпечатков пальцев, а защита паролями делает часть функций недоступными для всех, кроме оригинального владельца.

А на практике?

Печальная правда заключается в том, что на сегодняшний день в Украине использование ID-карты в полной мере невозможно. Да, она содержит всю информацию, но для её считывания необходимы специальные ридеры и юридическое основание. Я много раз повторял людям, занимающимся этой цифровизацией – все усилия бессмысленны, пока действует инструкция «Минюста», требующая от нотариусов ксерокопировать паспорт, документ о присвоении ИНН и, с тех пор как информация о месте регистрации перекочевала в чип ID-карты, – отдельную справку о месте регистрации, выдаваемую отдельно от паспорта. Обратите внимание, что идентификационный код ясно напечатан на пластике карты – но нотариусу нужна именно пожелтевшая справка, которая в моем случае выдана более 20 лет назад, напечатана на матричном принтере и на которой давно неразличима печать.

Что даст замена в этой схеме физического паспорта на электронный? А вообще ничего. Приходите 23 августа к любому нотариусу страны и проверьте – да, наверное, вы сможете предъявить паспорт в «Дие», который начнут как-то копировать нотариусы (впрочем, я даже в этом сомневаюсь), но не забудьте захватить справку о коде и справку про регистрацию – их в свежепринятом законе нет, как нет и поручения министерствам прекратить требовать документа про сведения, которые и так содержатся в реестрах и ID-карте.

Два пути

В соответствии с принятым законом, электронный паспорт – это фактически электронная копия информации, которая содержится в «Едином реестре» о гражданине. Причем, как мы уже знаем на практике, QR-код – это фактически ссылка на сам реестр, позволяющая проверить подлинность информации. Иначе, разумеется, любой разработчик мобильных приложений был бы в состоянии собрать полную копию приложения «Дия», которая бы отображала любую информацию.

Внимание, вопрос – если подлинность информации может быть проверена только путём обращения в реестр, в чем смысл вообще предъявления какой-либо копии, в смартфоне или ещё как-то? На телевидении руководитель разработчиков «Дии» подробно рассказывал, что вы можете предъявить водительское удостоверение в приложении, а если у вас нет интернета в смартфоне, то сотрудник полиции должен со своего планшета осуществить поиск в реестре и работать с полученной информацией. И тут сразу возникает закономерный вопрос, на который я пока не услыхал внятного ответа, «а зачем тогда вообще предъявлять что-то?», пусть сразу меня ищет.

Но это именно то, что я называю «цифровизацией хаоса» – если информация в любом случае сверяется с реестром, совершенно неважно, что я предъявлю – QR-код, фотоснимок информации о паспорте или кусок бумаги, где будут разборчиво написаны имя с фамилией. Придумывание еще одной сущности происходит лишь потому, что разработчики привыкли, что надо что-то предъявлять.

Путь, при котором вся информация содержится в реестре, можно условно назвать китайским – там действительно так происходит и вам достаточно показать лицо, чтобы вас идентифицировали. Для функционирования такой модели требуется полное покрытие населения и полное покрытие территории. Более того, покрытие территории подразумевает не только доступность информации в любой точке страны, но и доступность информации из реестров в любом учреждении, где она требуется. У нас нет ни первого, ни второго, ни, тем более, третьего.

Ну, казалось бы, и ладно – правда, победа смартфонов откладывается, поносим пока бумажные паспорта, но что в этом опасного-то?

Мир цифровых копий

Ну, во-первых, давайте сразу скажем, что смартфон – так себе устройство с точки зрения безопасности. У него довольно скромные способы защиты, при этом они постоянно конфликтуют с удобством, в результате у большого количества людей средства безопасности на смартфоне минимальны или вовсе отсутствуют. Чем мощнее и сложнее становятся смартфоны, тем выше их уязвимость и вирусы для них не вчера появились.

С точки зрения безопасности, хранить паспорт в смартфоне – равносильно ношению физического паспорта, расклеенного отдельными страницами по всей одежде, с рекомендацией для вящей безопасности клеить страницы на голое тело и не забывать одеваться.

Вы скажете – да ладно, мы же используем смартфоны для платежей и деньги особо не пропадают, в чем проблема так же хранить паспорт?

Совершенно верно, смартфоны и даже умные часы позволяют хранить в себе цифровые копии платежных карт и расплачиваться, просто поднося их к терминалу торговой точки. Правда, при этом они хранят эти копии в специальном хранилище, которое разблокируется только на момент транзакции и только самим пользователем – с идентификацией паролем, отпечатком пальца или лицом.

Но, что намного важнее, идентификация при этом производится через специальный терминал авторизованной организации (банка) путем автоматической сверки с реестром (аккаунтом в банке).

А теперь замените в этой схеме платежную карту на паспорт.

Инфраструктуры в виде терминалов и доступа к реестру у нас нет. При этом необходимость предъявлять паспорт как раз возникает в большем количестве случаев и мест – то есть такая инфраструктура должна быть даже более распространена по сравнению с карточными терминалами.

Однако с 23 августа вы имеете полное право предъявить паспорт в виде записи в приложении «Дия» и отказываться предъявлять бумажный.

При этом – вернитесь в начало статьи, – процесс идентификации личности проводит человек. Не компьютер в виде процессинга банка, не терминал, проверяющий корректность ввода пин-кода, а живой человек. Которому предъявили вместо физического документа изображение на экране смартфона, проверить которое он не может, поскольку – смотри выше, – инфраструктуры у нас нет.

Давайте я перефразирую в духе популярного мема – с 23 августа не только лишь вы имеете полное право предъявить свой паспорт в электронном виде, но и много кто имеет возможность предъявить ваш паспорт в электронном виде. Это может быть изображение на экране или картинка, выдаваемая самособранным приложением, имитирующим «Дию». Даже не обязательно к нему прикладывать средства убеждения типа портретов американских президентов – ведь способ проверить подлинность предъявляемого «документа» есть только один, а его (доступа к реестру) в большинстве случаев у человека не будет.

Впрочем, даже в случае наличия доступа к реестру последним звеном всё равно остается человек. Помните истории 90-х-2000-х про компании, регистрируемые на паспорта бомжей или умерших? А сейчас и паспорта в физическом виде не понадобится.

А если будет инфраструктура и любой, кому требуется проверить паспорт, получит доступ к реестру?

А вот тут-то мы и увидим подлинный Хаос.

Вот еще и поэтому я говорю о бессмысленной цифровизации хаоса – потому что вместо тщательной и полномасштабной проверки существующей практики идентификации личности предлагается максимально облегчить этот процесс. Министр цифровизации не задаётся вопросом «Зачем отелю копия моего паспорта?» – он придумывает способ одним кликом отправить менеджеру отеля цифровую копию паспорта. Он не задается вопросом «Зачем нужна отдельная карточка налогоплательщика в Дие, при наличии идентификационного кода в электронном паспорте здесь же в Дие?» – он радуется возможности отдельно предъявить электронную карточку, потому что прикольно же, в смартфоне, рядом с приложением фейсбука есть еще и такой QR-код.

Конечно, вероятно, в архитектуре реестра предусмотрена возможность документирования обращения к нему и можно будет посмотреть лог таких обращений. Тут возникают еще две проблемы. Во-первых, чем больше народу имеет права доступа к реестру, тем менее полезны любые механизмы контроля доступа к нему. «Что знают двое, знает свинья», как говорил папаша Мюллер.

Во-вторых, вы же помните – цифровая копия неотличима от оригинала. Следовательно, получивший раз доступ к реестру с вашими данными, вполне может иметь эту информацию всегда, полностью и в идеальном качестве.

Что с этим делать?

С тенденцией реестризации всего живого, к сожалению, ничего. Видимо, к этому идёт всё человечество и с пути не свернёт.

С доступом к информации в реестре вы тоже ничего не поделаете. Системы представительской демократии, к сожалению, лишены механизмов прямого влияния на радостных диджитализаторов, получивших возможность порулить.

Остаётся только один вектор защиты – не пользоваться. Не оставлять цифровых копий, не предоставлять доступа к ним, продолжать носить физические документы и предъявлять именно их.

И не удивляться новостям о том, что разработчики «Дии» в очередной раз в публичном месте оставили пароли доступа. Собственно, вся стратегия кибербезопасности в Украине вполне описывается двумя высказываниями соответствующих должностных лиц «Система безопасности развивается параллельно с цифровизацией» и «Роль кибербезопасности преувеличена».

P.S. Пожалуйста, проявите немного уважения и не приводите в пример Эстонию. Страна с населением одного, не самого большого, украинского города с территорией Волынской и Ровенской областей вместе взятых вряд ли может служить примером для всей Украины. А история с выборами, где примерно каждый раз находят уязвимости в электронном голосовании и где ни разу еще не проголосовало электронным способом более 45% от принявших участие в выборах – и подавно не пример.

Про «Дию» и виртуальные паспорта

Еще одна катастрофическая утечка

В январе компания Ubiquiti – производитель сетевых устройств, в частности популярных Wi-Fi роутеров UniFi, сообщила своим пользователям, что в результате утечки данных стороннего провайдера (имелся в виду Amazon Web Services) злоумышленники получили доступ к пользовательским данным. Правда, в сообщении несколько раз повторялось, что никаких свидетельств подозрительной активности в связи с этим компания не имеет, но вы лучше смените свои пароли.

Еще одна катастрофическая утечка

В действительности, как сообщает Брайан Кребс (Brian Krebs), ссылаясь на источник внутри компании, всё намного хуже. Взлом начался с того, что у одного из сотрудников IT в LastPass хранился его доступ с большими правами. Завладев им, атакующие фактически получили доступ ко всем аккаунтам компании в AWS, включая корзины на S3, логи, базы данных, аккаунты пользователей и даже секреты для доступа на пользовательские устройства. Хакеры установили несколько виртуальных машин и бэкдоров для доступа в сеть. Когда сотрудники компании обнаружили активность и вычислили один из бэкдоров, хакеры потребовали 50 биткойнов за информацию о втором бэкдоре. Платить им не стали и в итоге нашли его сами.

Источник Кребса утверждает, что компания специально преуменьшила масштаб взлома, чтобы не повлиять на акции компании, и в результате не предприняла нужных мер для того, чтобы обезопасить пользователей – например, следовало сбросить все секреты для доступов пользователей, а не рекомендовать сменить пароли.

Учитывая, что Ubiquiti продало более 85 млн устройств по всему миру, можно предположить, что такая новость не только уронит акции, но и приведет к немалым штрафам. Хотя напрямую требования, например, GDPR в части сообщения об утечках сюда не относятся. Но похожие положения и штрафы за скрытие реальных проблем с безопасностью государства уже, кажется, применяли.

Еще одна катастрофическая утечка

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT