Drukuj
Kategoria: Polemiki

 W starym żydowskim dowcipie klient kupuje zapałki. Patrząc na otrzymane w cenie 50 groszy pudełko mówi: ale ja bym chciał, żeby główki zapałek były z drugiej strony. Sklepikarz wyjmuje wsuwaną część pudełka, odwraca i wkłada z powrotem: super ekstra wyjątkowe zapałki z główkami odwrotnie niż zwykle w okazyjnej cenie 2 zł.

Państwo polskie zachowuje się tak, jak ten klient w dowcipie. Złożyło arcyśmieszne zamówienie na nowy system do obsługi wyborów i teraz mamy cyrk, jak na „kupę kamieni” przystało

Cieszmy się - „państwo znów zdało egzamin”!

 

W tym zamówieniu śmieszny był nie tylko termin realizacji (3 miesiące). Stary system był „niedobry” z kilku powodów. Po pierwsze działał – a co to za zabawa liczyć sprawdzonym systemem. Po drugie był „przestarzały”. Sama zmiana technologii z klient-serwer (tradycyjne oprogramowanie łączy się z bazą danych na serwerze) na webową (przez internet) było zaproszeniem do ataków dla wszystkich hakerów świata (będzie zabawa – będzie się działo). Na dodatek część systemu („Kalkulator wyborczy”) zbudowano w nieco innej technologii (firmy Microsoft, która jak wiadomo robi wszystko najlepiej na świecie, przez co jest ulubionym celem ataków hakerów).

Ta część systemu była rozprowadzana jako odrębny program i dostała się w ręce hakerów. Zastosowana technologia (C#) umożliwia łatwe odtworzenie kodu źródłowego programu. Kod ten został opublikowany (jeszcze przed wyborami – co jest ważne) wraz ze złośliwym komentarzem: Na podstawie pobieżnej analizy pliku wykonywalnego i rozwoju aplikacji można dojść do wniosku, że wykonanie Kalkulatora Wyborczego powierzono pojedynczej studentce, pracującej prawdopodobnie dla zewnętrznego podwykonawcy. Pani Agnieszko, naprawdę współczujemy, jesteśmy z panią! Polska to kraj, w którym los tysięcy członków komisji spoczywa na barkach początkującej programistki.

Ciekawostką jest to, że dostępne są także pliki z danymi do "kalkulatora:http://klk.kbw.gov.pl/kalkulator/20141116/000000/SMD/

Analiza tego kodu ujawnia, że zawiera błędy w algorytmach autentykacji użytkownika. A to już przestaje być zabawne, gdyż umożliwia podszywanie się pod innego członka komisji. Mimo tego, że sytuacja jest poważna, zabawa trwa nadal. „Leśne dziadki” z PKW publikują częściowe wyniki wyborów, całkowicie rozbieżne z danymi sondażowymi exit-poll, które ponoć dają wyniki z dokładnością do 1%. Podkręca to atmosferę i skłania nawet do absurdalnych w polskich warunkach wezwań typu „bądźmy razem”. Zapewne razem z Gajowym, który już zwołał naradę w leśniczówce. Uaktywnili się też różni eksperci i komentatorzy – w tym jakiś politolog, specjalizujący się w zagadnieniach bezpieczeństwa. Mówi on: każdy średnio rozgarnięty student informatyki jest w stanie wejść do systemu wyborczego i dokonać zmian w protokołach wyborczych. Serwer PKW przyjmuje to do systemu. Różni ludzie, w tym pracujący dla bezpieczeństwa państwa, zrobili dziś testy. Np. dodali jakiemuś kandydatowi na radnego 10 głosów, potem je odjęli. System to przyjmował. Jeden z moich znajomych dopisał swojego szefa jako kandydata na burmistrza i wstawił go do drugiej tury.

 

Polska nauka bywa równie „profesjonalna” jak PKW. Wystarczy te nie sprawdzone plotki ('różni ludzie...' i 'jeden z moich znajomych...') porównać z tym, co piszą profesjonaliści na stronie niebezpiecznik.pl. Błędy w oprogramowaniu kalkulatora umożliwiają podszywanie się pod innego uprawnionego członka komisji i w ten sposób przesyłanie fałszywych protokołów (które jednak powinny być weryfikowane).

Dopisanie przy pomocy „kalkulatora wyborczego” kandydata (o czym wspomina politolog od zabezpieczeń) nie jest możliwe. Nie wykluczone więc, że pana doktora poniosła fantazja. Dzięki temu nawet poprawki nie mające wpływu na wynik wyborów (na przykład błędnie wpisana ilość uprawnionych do głosowania) powodują plotki o fałszerstwach.

Przy okazji wizyty na niebezpiecznik.pl można się dowiedzieć, że hakerzy skorzystali z zaproszenia, o którym mowa wyżej i bawiąc się w atakowanie serwerów KBW wykradli dane urzędników z zakodowanymi hasłami. Redaktorzy portalu komentują: Nie sądzimy, aby zaatakowany system był powiązany z infrastrukturą hostującą serwery biorące udział w zliczaniu głosów z niedzielnych wyborów, ale patrząc po tym, jak dokonano eskalacji uprawnień po niedawnym włamaniu do Giełdy Papierów Wartościowych, wszystko jest możliwe… .

 

Na warto zwrócić uwagę na jeszcze jeden ciekawy aspekt tej sprawy. Oto jak cytowany wyżej „doktorek” atakuje „firemkę”: Mamy do czynienia z całkowitą aberracją i państwem, które nie potrafi zarządzać swoimi obowiązkami. Tam, gdzie państwo powinno brać odpowiedzialność, posługuje się tanim kosztem i amatorską firemką. Za relatywnie niewielkie pieniądze zlecono robotę amatorom.

 

W USA zapewne „firemka” wzięłaby sobie „prawniczka” i pogoniła „doktorka” ;-). Nam pozostają smutne refleksje na ten temat. Problem nie leży bowiem w wielkości firmy, ani kosztach. Zdarza się (i to wcale nie rzadko), że duże firmy robią za duże pieniądze duże badziewie. Na przykład w bazie danych jednego z największych producentów oprogramowania w Polsce można było znaleźć kalendarz zaimplementowany w postaci procedury ('jeśli 1 stycznia to wolne' i tak dalej), a nie tabeli (skutkowało to tym, że co roku trzeba było aktualizować oprogramowanie). Historia systemu wyborczego PKW to małe piwo naprzeciw skandalu z systemem Prokomu dla ZUS (starsi ludzie pamiętają, że do sprzątania narobionego bałaganu zatrudniano oddziały wojska). Nie ma się co dziwić, że „firemka” połakomiła się na pieniądze które miało do wydania KBW. To ta instytucja poprzez tryb realizacji projektu praktycznie uniemożliwiła jego profesjonalne wykonanie.