08.11.2014 | 21:49

Adam Haertle

Wersja testowa systemu PKW dostępna publicznie w trybie DEBUG

Wybory lada dzień, a podobno system informatyczny kuleje. Chcieliśmy poczytać o tym, jak system działa, a przez przypadek trafiliśmy na jego wersję testową, dostępną w sieci dla każdego, z włączonym pełnym debugowaniem.

Pełna konfiguracja środowiska WWW, zmienne serwera i aplikacji, pełne ścieżki całej aplikacji poza drzewem plików serwera WWW, treść i struktura zapytań SQL – takie informacje o aplikacji PKW można bez żadnego problemu znaleźć w ciągu kilku minut. Te informacje nie stanowią bezpośredniego zagrożenia dla bezpieczeństwa systemu, ale w naszej ocenie zdecydowanie nie powinny być udostępniane każdemu zainteresowanemu.

Testy się udały, bo wykryto błędy

System autorstwa firmy Nabino jest intensywnie testowany na ostatnią chwilę. Kolejne testy się nie udawały, ponieważ zawodził program Kalkulator lub serwery zbierające informacje. Przedstawiciel Krajowego Biura Wyborczego jeden z przerwanych testów skomentował nawet „Test się udał i wykazał istotne błędy”. Niestety nie można tego samego powiedzieć o instrukcjach.

Chcąc poznać sposób działania systemu wyborczego szukaliśmy jego instrukcji – spodziewaliśmy się, że będzie dostępna w sieci. Nie pomyliliśmy się – instrukcji nie brakuje. Można nawet powiedzieć, ze jest ich za dużo.

Bogactwo instrukcji

Jeszcze tydzień temu przedstawiciele samorządów skarżyli się, że nie otrzymali do tej pory żadnej instrukcji do używanego oprogramowania (dostawca zobowiązał się je dostarczyć do połowy października). Zapewne jest to powodem, dla którego w sieci znaleźć można liczne instrukcje w różnej formie, najczęściej zapewne tworzone na własne potrzeby przez pracowników samorządowych, którzy wzięli udział w szkoleniach. Nowy Sącz, Kielce, Wrocław, Gdańsk, Tychy – a co serwer, to inny plik odnaleziony przez Google.  W sumie zlokalizowaliśmy ich około 10, a w jednej z nich znaleźliśmy bardzo ciekawy link.

Ze strony jednego z urzędów pobraliśmy plik opisujący, w jaki sposób można w systemie PKW obsługującym wybory samorządowe wygenerować swój certyfikat. Choć w większości dostępnych instrukcji wszystkie zrzuty ekranów wskazują na serwer produkcyjny pod adresem

https://syswyb.kbw.gov.pl/users/login

to w tej jednej instrukcji zrzuty pokazują zupełnie inny adres.

Zrzut ekranu z instrukcji

Zrzut ekranu z instrukcji

Zrzuty ekranu wyglądają, jakby były tworzone nie przez informatyków urzędu, a dostawcę programu. Na niektórych widać fragmenty wskazujące na infrastrukturę sieciową dostawcy. Na powyższym obrazie kilka ścieżek i nazw plików było wymazanych, jednak w oknie dialogowym zapisywania pliku znajdowała się pełna nazwa serwera o innej nazwie, niż ten z pozostałych instrukcji (nazwę zamazaliśmy w redakcji).

Serwer testowy lub deweloperski

Kiedy zajrzeliśmy pod adres ze zrzutu ekranu, zobaczyliśmy ten sam panel logowania do systemu, co na oficjalnej stronie. Z jednym nie tak jednak małym wyjątkiem, a mianowicie dostępem do pełnej konsoli debugowania pakietu CakePHP.

Dostęp do debugowania

Dostęp do debugowania

Znajdziemy w niej na przykład treść zapytań SQL

Treść zapytania SQL (obraz celowo pomniejszony)

Treść zapytania SQL (obraz celowo pomniejszony)

Listę zmiennych środowiskowych

Lista zmiennych CakePHP

Lista zmiennych CakePHP

oraz szereg innych informacji technicznych. Co ciekawe, serwer, mimo iż dostępny publicznie, nie został do tej pory zindeksowany przez Google.

Potencjalne skutki

Tak jak wspominaliśmy na początku, opisana powyżej sytuacja nie oznacza, że bezpieczeństwo systemu wyborczego jest zagrożone. Pokazuje jednak, jak odstępstwa od tzw. dobrych praktyk (do których należy ograniczenie dostępu do testowych wersji aplikacji) może prowadzić do wycieku informacji, które nie powinny być dostępne publicznie. Epilogiem całej historii może być fragment informacji z witryny wrocławskiego BIP-u:

Złe znaki w haśle

Złe znaki w haśle

Pozostaje mieć nadzieję, że system w końcu prawidłowo zadziała i nikt nie zakłóci jego pracy w kluczowym dniu. Trzymamy też kciuki za wszystkich informatyków w całym kraju, którzy walczą z systemem. Powodzenia!

Powrót

Komentarze

  • 2014.11.08 22:01 Zaskoczony Jaromir

    CakePHP? Dobrze ze nie pisane w Delphi.

    Odpowiedz
    • 2014.11.12 19:43 User

      A co ma framework do języka programowania? Słabią mnie takie komentarze. Ogarnij najpierw podstawy a dopiero się wypowiadaj.

      Odpowiedz
      • 2014.11.14 14:04 Jarek

        Od kiedy Delphi jest językiem programowania?. Ogarnij najpierw podstawy ;)

        Odpowiedz
        • 2014.11.22 15:10 krystian

          bo to środowisko programistyczne Pascala.

          Odpowiedz
      • 2014.11.17 14:32 pczk

        Gimbaza za klawiaturą!

        Odpowiedz
    • 2014.11.17 11:33 Tomek

      Gdyby było napisane w Delphi z pewnością by działało. Najlepsze programy sa w tym napisane, poza tym w niczym tak łatwo nie stworzysz tak atrakcyjnych interfejsów jak w Delphi. te pisane w innych językach wyglądają jak ubodzy krewni tych napisanych w Delphi. przykłady aplikacji napisanych w Delphi to Age Of Wonders II, As-Aware, Dev-C++, PC Tools Spyware Doctor, Skype, Spybot Search & Destroy, The Bat, Total Commander, Winace,itd. Teraz w Delphi tworzysz aplikacje na Win,Mac, iOS, i Android na jednym kodzie.
      Sam napisałem program, w Delphi, którego sprzedałem w ciągu 2 lat ponad 100 tys. licencji.
      A jeśli chodzi o „język” Delhi, to Delphi już dawno jest językiem, nie tylko środowiskiem. Jęsyk delphi zastąpił Object pascal.

      Odpowiedz
  • 2014.11.08 22:05 kiler129

    Wszędzie ładnie wymazany URL … prócz screena ze zmiennymi (na miniaturce widać cache z CF) ;)

    Odpowiedz
    • 2014.11.08 22:11 Adam

      O, dzięki, już wyczyszczone z cache :)

      Odpowiedz
  • 2014.11.08 22:17 daxoo

    Moskwa testuje, dlatego dostępny :D

    Odpowiedz
  • 2014.11.08 22:41 TROLL

    Nie rozumiem Jaromir, co złego jest w CakePHP?

    Odpowiedz
    • 2014.11.17 17:08 Piotr

      Co złego w CakePHP? W sumie nic. Równie dobrze mogli to napisać w VBA, a bazę postawić na Accessie, też nie byłoby nic złego. :D

      A tak serio, to systemy tego typu muszą spełniać szereg warunków:

      1. Muszą mieć odpowiednio wysoką jakość i być poprawnie zaimplementowane.
      Języki statycznie typowane (Java, Scala, C#, Haskell) nadają się do tego lepiej niż PHP, Python, Ruby i PHP, i jest to udowodnione naukowo. Skrypcidełka są dobre na bloga albo mały sklep internetowy, a nie do budowy systemów o krytycznym znaczeniu dla funkcjonowania państwa. Jeśli ma być napisane na szybko na kolanie, to sobie można robić prototyp w PHP tanimi studentami, jak ma być napisane dobrze, to trzeba pisać w technologii, która ma odpowiednie wsparcie dla rygorystycznej kontroli błędów.

      2. Muszą gwarantować wysoką dostępność (HA). PHP tego nie wspiera, a tym bardziej w połączeniu ze standardowymi bazami SQL (np. MySQL, tak popularnym z PHP). Wysoka dostępność nie polega na postawieniu „dwóch slave’ów MySQL” i trzymaniu zapasowego switcha w szafie.

      3. Muszą wytrzymać odpowiednie obciążenie i skalować się. PHP jest bardzo nieefektywne wydajnościowo, nawet z przyspieszaczami/cache jest jakieś 10x-20x powolniejsze niż Java/.NET. Po prostu nigdy nie było do takich celów optymalizowane.
      Co do skalowalności, to ma to działać tak, że jeśli nagle o 20:00 w niedzielę okaże się, że system nie wyrabia wydajnościowo, to dostawia się 16 kolejnych serwerów i system zwiększa wydajność praktycznie natychmiast, bez przerywania pracy; i to niezależnie czy dotyczy to warstwy bazy danych czy warstwy aplikacji.

      4. Muszą być rygorystycznie przetestowane przez inny zespół niż ten, który pisał kod i to poza środowiskiem developerskim (i nie na jednej maszynie!). W powyższym przypadku testy polegały chyba na zapytaniu programistów czy działa.

      Poza tym programiści PHP są średnio znacznie słabsi (i tańsi) niż programiści np. C++, Javy, C# a co dopiero Scali, Haskella. Może to wynika z tego, że PHP jest łatwe? Taki VB XXI wieku?

      Odpowiedz
      • 2014.11.22 13:56 Jurek Wawro

        > PHP tego nie wspiera

        Dobrze, że pan Mark Zukerberg tego nie wie ;-)

        Odpowiedz
        • 2014.11.28 11:00 g.a

          I Google z Pythonem.

          Odpowiedz
        • 2014.11.29 17:24 Zukenberg

          Najwyrazniej wie i dlatego „kompiluje” PHPa do czegos co moze dzialac normalnie. Pozatym nie uzywa modulow do apache’a tylko wlasnej maszyny virtualnej. No i stworzyl tez wlasny jezyk, oparty na PHPie, ktory ma statyczne typowanie…

          Odpowiedz
      • 2014.11.23 23:57 Misiek

        Lepiej PHP i żeby działało, bo dorzucić do tego skalowalną bazę (a PHP ma klienty nie tylko dla MySQL, ale nawet do wspominanej przez wielu Cassandry) jak Cassandra lub Percony, czy MariaDB, czy lepiej tak jak tutaj fajniejszy język jak C# i żeby nie działało.

        Usłyszałem od profesora, że „czapki z głów dla Pani Agnieszki”, że na 1 roku to napisała. Ja mówię, że też mogę napisać, ale tutaj już „proszę testy i to i tamto”. Czyli błogosławimy kogoś, bo napisał pomimo braku doświadczenia, ale jak już ktoś chce zrobić, żeby działało (nawet w PHPie) to hejt. PHP też dałby sobie radę, bo dużo większy ruch obsługuję i ja i wiele stron i wszystko działa.

        Odpowiedz
      • 2014.12.01 14:57 Przemek

        Panie Piotrze

        „… Muszą gwarantować wysoką dostępność (HA) …” – HA nie musi być realizowane na poziomie Aplikacji.

        Jest wiele możliwości, ale trzeba mieć czas na dobranie odpowiedniego rozwiązania i przetestowanie go.

        Odpowiedz
    • 2014.11.17 21:16 l0co

      PHP

      Odpowiedz
  • 2014.11.08 22:48 Patryk

    Jestem koordynatorem obsługi informatycznej w gminie i powiem Wam, że w te wybory wszystko jest możliwe. Nie dotrzymywanie obiecanych terminów i założeń to standard. Daje temu systemowi 50/50 szans w noc wyborczą. Być może trzeba się będzie cofnąć do XX wieku i pisać protokoły ręcznie.

    Odpowiedz
  • 2014.11.08 23:14 java_dev

    Ciekawi mnie, czy firma Nabino (oby nie Nabito) jest w jakiś sposób powiązana z Asseco. Jak wiadomo trudno dostać się do zamówień rządowych bez odpowiedniego wsparcia. Szkoda, że takie rzeczy jak opisane wyżej mają miejsce. Ciekaw jestem, czy ktoś za to dostanie po uszach i pójdzie po rozum do głowy nim zabierze się za kolejny projekt.

    Panie i Panowie – jeśli zabieracie się za stawianie środowiska dev, test czy uat robicie listę TODO, na której jest kilka pozycji sprawdzenia zabezpieczeń przed niepowołanym dostępem?
    Jeśli tak, to jak zabezpieczacie?
    Dostęp z poszczególnych domen, ip?
    Może jakieś pudełkowe rozwiązania?
    Mam na myśli mniejsze firmy, które nie mają sztabu adminów.

    Dzięki za ewentualne odpowiedzi.

    Odpowiedz
    • 2014.11.09 11:28 Jaro070

      @java_dev

      A co jest nie tak (oprócz słabej komunikacji kierownictwo-pracownicy) jest z Asseco?

      Odpowiedz
      • 2014.11.10 09:20 Ninja

        Ban na Google?

        Odpowiedz
      • 2014.11.11 14:48 java_dev

        Jak poczytasz o sposobach realizacji projektów Asseco z ZUS, PZU itd to sam dowiesz się co jest nie tak.

        Odpowiedz
  • 2014.11.08 23:43 ron

    Te wybory będą tak samo dziurawe jak dziurawy jest soft i serwery PKW ;)

    Zdrastwuj moskwa, byle nie 102% głosów bo będzie podejrzanie.

    Odpowiedz
    • 2014.11.09 00:03 Robert Olechowski

      błędy przy fałszowaniu wyborów….
      goo.gl/T1iC3G

      Odpowiedz
  • 2014.11.08 23:57 Robert Olechowski

    Dlaczego maskujecie rozszerzenia przeglądarki?

    Odpowiedz
  • 2014.11.09 00:16 Ktoś

    Koledzy to jeszcze nic, link do pobrania najnowszych wersji też jest dostępny publicznie, ale to może akurat nie jest śmieszne, bardziej śmieszne jest to, że gdy pobierałem wersje do testów w ostatni piątek, to ważący 6.1MB plik exe lub rar do wyboru pobierał mi się z prędkością, uwaga! od 3 do 6 kB/s :) Nie chce być złośliwy, ale chyba jednak z polskim internetem jest lepiej, wypadało by wydać trochę kasy na lepszy serwer, a co najciekawsze mam podejrzenia, że firma ta korzysta z home.pl :) nie żeby coś, ale mam do tego szajskiego hosta dużo do powiedzenia.

    Odpowiedz
    • 2014.11.09 13:53 sdsds

      bo ruskie hakiery zeżarły całe pasmo

      Odpowiedz
  • 2014.11.09 08:00 operator

    Dokładnie kalkulator do pobrania leży na maszynie hostowanej w home.pl. To pokazuje jak bardzo profesjonalny zespół zabrał się za prace przy tym projekcie. Do tego pliki sterujące kalkulatorem sa zapisane jako czyste xml. Żadnego szyfrowania czy chociaż sprawdzania sumy kontrolnej.

    Odpowiedz
  • 2014.11.09 08:43 micra

    Wystawienie na Świat platformy testowej to rzeczywiście objaw braku profesjonalizmu, ale czymże jest przekazanie pierwszej wersji „kalkulatora”, czyli aplikacji klienckiej do testów ogólnopolskich, skoro miał problem z poprawnym rozpoznawaniem wartości w polach (zero traktował jako jako większe od zera i liczby większe od zera jako zero) tudzież nie działanie podstawowych funkcji – jak możliwość edycji już wprowadzonych danych? Po tygodniu nadal nie działała większość funkcji.

    7 listopada dopadł wszystkich problem „przeciążenia” systemu, ale skoro KBW zamawia taki system i dopuszcza, by wszystko było obsługiwane na bieżąco, a nie kolejkowane i przetwarzane sekwencyjnie – no to takie są efekty. Poziom zaawansowania „kalkulatora” jest absolutnie na poziomie końca technikum informatyczne, początku studiów. Tu nie ma żadnych zaawansowanych technologii, korzystanie z bibliotek szyfrowania, komunikacji w sieci, zapisywania i odczytywania danych z xml to przecież standardowe rzeczy, a jednak dało się to zepsuć.

    O części serwerowej nie będę się wypowiadał, bo jej nie analizowałem, ale niech o tym, z czym mamy do czynienia niech będzie instalator kalkulatora, który pod koniec instalacji mówi, że jest to darmowa wersja instalatora, który można kupić, więc oczekiwanie, że sam produkt będzie jakoś zabezpieczony, że będą sumy kontrolne, że będzie podpisany są marzeniami ściętej głowy. Tego gniota produkuje ktoś na kolanie, którego – część kliencką – można zrobić w ciągu dwóch tygodni i będzie działać poprawnie.

    Oprogramowanie z takimi błędami jak 7 listopada nadal nie powinno opuścić firmy Nabino.

    Odpowiedz
    • 2014.11.15 17:40 Bart

      Myśmy ten program rozbili do wersji projektowej… Napisany jest tak chaotycznie że nawet na podstawach programowania widziałem lepsze kody ludzi (1 rok studiów inżynierskich). Mnie wizualizacje rozwalają do dnia dzisiejszego :) Otóż lista z okręgami itd (DataGridView) jest nierozściągalny, i czy damy duży ekran czy malutki to nie ma większego znaczenia. Dalej jeżeli włączamy program to ikony standardowe od Visuala 2012 + standardowe badziewne przyciski, zero ikon, nazewnictwa pól czy opcji itd. To samo start programu a tu pół przycisku znikło w ekranie bo szerokość okna inna a rozstaw przycisków inny. :) Takie coś to w tydzień a nie dwa byśmy napisali z palcem w nosie i pijąc Jacka pół dnia :) Co do dalszych wad API to proces zakończenia całej wprowadzania, klikam podpisz i zapisz a robi wysyłanie na serwer, i dopiero drukuje itd… Jaki kretyn to wymyślił, nie wiem… Przecież przed wysłaniem należy to sprawdzić a dopóki nie sprawdzę to nie wyślę i teraz każdy protokół przed końcem (przed podpisaniem przez przewodniczącego) trzeba wyłączyć, wydrukować, później edytować, przeklikać wszystko, podpisać i wysłać :) BEZNADZIEJA… Pixel miał piękny program który był bardziej „rozsądny” niż ten badziew za niemal 500 tys zł :)

      Odpowiedz
  • 2014.11.09 08:52 roman

    ciekawą kwestia jest fakt, że pkw jest właścicielem kodów źródłowych poprzedniego kalkulatora. Po co pisano kolejny?

    Odpowiedz
    • 2014.11.10 06:03 TRforum

      Po to żeby ktoś mógł się nachapać.

      Odpowiedz
  • 2014.11.09 10:07 FRED

    Czyli byłoby na tyle jeśli chodzi o wolne wybory…

    Odpowiedz
    • 2014.11.09 10:23 sandalarz

      Właśnie teraz będą „wolne” wybory. Za to przetarg był „szybko” wygrany.

      Odpowiedz
  • 2014.11.09 10:17 Darek

    Wyglada na to, że artykuł przyczynił się do poprawy bezpieczeństwa maszyny testowej. W tej chwili wejście na stronę wymaga uwierzytelnienia.

    Odpowiedz
  • 2014.11.09 11:06 kuntakinte

    I w taki właśnie sposób firma, która nie potrafi tworzyć oprogramowania dostała darmowy audyt. Z ich strony wygląda to mniej więcej tak: my zrobimy ch****e oprogramowanie a internet nam go naprawi.

    Odpowiedz
  • 2014.11.09 11:11 agilob

    /mnt/? stawiają to na zewnętrznym dysku?

    Odpowiedz
    • 2014.11.19 22:57 shq

      co to za teoria, ze /mnt to „zewnetrzny dysk”? tak, z dyskietki ladowali strony :P

      Odpowiedz
  • 2014.11.09 12:26 Krzysiek

    airot? ;-)

    Odpowiedz
  • 2014.11.09 13:17 grigor

    Tak, airot. (Nie)stety już .htpasswd skonfigurowali

    Odpowiedz
  • 2014.11.09 15:30 Casper

    Przedstawiciel Krakowego Biura Wyborczego – nieźle, nieźle.

    Odpowiedz
    • 2014.11.09 16:03 Adam

      Poprawione, poprawione. Dziękujemy, dziękujemy.

      Odpowiedz
  • 2014.11.09 15:45 PanJaBu

    Postępy w produkcji kolejnych lepszych wersji można sprawdzić za pomocą wywołań usługi:
    http://klk.kbw.gov.pl/KALK/sysver/20141116/000000/SMD-sysver

    Wersja z 9 listopada z godziny 15:43

    KBW 2.0.0.77
    2014
    11
    3
    16
    16

    Do wyborów niewiele czasu.
    Powodzenia !!!

    Odpowiedz
    • 2014.11.09 16:00 PanJaBu

      Ta aplikacja ma coś wspólnego z jedna z amerykańskich firm ?

      // C:\Kalkulator\Kalkulator1.exe
      // Kalkulator1, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null

      // Entry point: Kalkulator1.Program.Main
      // Architecture: AnyCPU (64-bit preferred)
      // Runtime: .NET 4.0

      using System;
      using System.Diagnostics;
      using System.Reflection;
      using System.Runtime.CompilerServices;
      using System.Runtime.InteropServices;
      using System.Runtime.Versioning;
      [assembly: System.Reflection.AssemblyVersion(„1.0.0.0”)]
      [assembly: System.Diagnostics.Debuggable(System.Diagnostics.DebuggableAttribute.DebuggingModes.Default | System.Diagnostics.DebuggableAttribute.DebuggingModes.DisableOptimizations | System.Diagnostics.DebuggableAttribute.DebuggingModes.IgnoreSymbolStoreSequencePoints | System.Diagnostics.DebuggableAttribute.DebuggingModes.EnableEditAndContinue)]
      [assembly: System.Reflection.AssemblyCompany(„Hewlett-Packard Company”)]
      [assembly: System.Reflection.AssemblyConfiguration(„”)]
      [assembly: System.Reflection.AssemblyCopyright(„Copyright © Hewlett-Packard Company 2014”)]
      [assembly: System.Reflection.AssemblyDescription(„”)]
      [assembly: System.Reflection.AssemblyFileVersion(„1.0.0.0”)]
      [assembly: System.Reflection.AssemblyProduct(„Kalkulator1”)]
      [assembly: System.Reflection.AssemblyTitle(„Kalkulator1”)]
      [assembly: System.Reflection.AssemblyTrademark(„”)]
      [assembly: System.Runtime.CompilerServices.CompilationRelaxations(8)]
      [assembly: System.Runtime.CompilerServices.RuntimeCompatibility(WrapNonExceptionThrows = true)]
      [assembly: System.Runtime.InteropServices.ComVisible(false)]
      [assembly: System.Runtime.InteropServices.Guid(„7b7488f1-2f16-4e1b-b617-0e5b56dfb288”)]
      [assembly: TargetFramework(„.NETFramework,Version=v4.0”, FrameworkDisplayName = „.NET Framework 4”)]

      Odpowiedz
      • 2014.11.09 19:16 PanJaBu

        Kod nawet nie został zaciemniony co umożliwia zapoznanie się z tym dziełem.
        Mam nadzieje, że po stronie serwera certyfikaty i podpisy są właściwie weryfikowane bo to znajduje się w kodach kalkulatora mało ma wspólnego z dobrymi praktykami.
        Cała weryfikacja certyfikatu (licencji ?) ogranicza się do weryfikacji czy nie wygasł.
        Po stronie serwera powinna być jakaś funkcjonalność która weryfikuje czy osoba która podpisywała dokumenty przekazała je przy wykorzystaniu konta dla którego wygenerowano określony certyfikat.
        Ciekawe czy za tymi kodami stoi HP zgodnie z zapisem „Copyright © Hewlett-Packard Company 2014”.

        Odpowiedz
        • 2014.11.09 19:35 operator

          Przecież ten cały kalkulator to ewidentny śmietnik bo biblioteki do: kodów paskowych, obsługi formatu JSON, zip, docx, operacji na obrazkach, operacji na fontach, budowy formularzy i kryptograficzna pochodzą od zewnętrznych dostawców.
          Do tego instalator w darmowej wersji clickteam Install Creator 2 to wstyd na całego. Takie podcieranie tyłka szkłem. A NSIS (Nullsoft Scriptable Install System) taki darmowy.

          Odpowiedz
  • 2014.11.10 15:48 Andrzej

    To też fajne – instalator kalkulatora jest zrobiony DARMOWĄ wersją komercyjnego softu – widać to na screenach. http://zapasdlakbw.home.pl/kalkulator-wyborczy/data/documents/Kalkulator=20wyborczy-v2.pdf

    Odpowiedz
    • 2014.11.10 23:30 operator

      Tak tanio wycenili, że tego drobiazgu nie uwzględnili.
      I każda instrukcja aktualizacji zaczyna się od „usuń wszystkie wcześniejsze pliki” albo „odinstaluj poprzednią wersję” – to już nie łaska tego zautomatyzować?

      Odpowiedz
      • 2014.11.15 17:49 Bart

        Akurat tutaj się z Tobą nie zgodzę, PIXEL też miał tak rozwiązane że mimo odinstalowania normalnym instalatorem to z tempa trzeba było dla pewności wywalić wszystkie śmieciowe dane… Wiem powiecie że czemu tego nie zautomatyzują w pełni ale … Nie wymagajmy od nich aż tyle, oni się uczą dopiero programować :)

        Odpowiedz
  • 2014.11.11 02:12 Ktoś

    Co do szybkości tej aplikacji i mniemam, że również serwera. Nie chce wiedzieć jak oni piszą główny wątek aplikacji, ale błagam jeśli aplikacja przy większości, albo i każdym wykonaniu operacji np. wysłania protokołu wiesza wątek główny no to nie chce wiedzieć kto to programuje. Lecz pomijając ten cały szajs, najgorszy to będzie jak okaże się, iż można podsłuchiwać ruch, bo nie sprawdzałem ale czy to coś wie cokolwiek o SSL? Chociaż co ja mówię, pewnie łatwiej włamać się na serwery i zmodyfikować czy przejrzeć dane wyborcze po ich przesłaniu. Ruski chętnie się tym zajmą jak mniemam.

    Odpowiedz
    • 2014.11.11 11:43 14704

      Kilka dni temu serwery miały włączoną obsługę ssl3. Czyli jest problem MITM.

      Odpowiedz
  • 2014.11.11 11:36 observer

    Ręce opadają niżej kolan. Ktoś kręci takie wały…. a dostęp do informacji publicznej – gdzie są dane przetargu, kto sprawił że sprawy tak kluczowe realizuje ta firma?! przecież za to co już widzieliśmy, ktoś powinien wylecieć na zbity pysk… chyba oleje te wybory, bo szkoda czasu, wygra ten kto ma wygrać. Obawiam się że reszta obsługi organizacji wyborów jest na takim samym poziomie…

    Odpowiedz
  • 2014.11.11 12:01 Darek

    Do wyborów jeszcze kilka dni. System z pewnością przejdzie gruntowny pentest. Tak na poważnie przeraża mnie to, że tak istotna aplikacja jest wdrażana „za pięć dwunasta”.

    Odpowiedz
    • 2014.11.11 13:59 14704

      Aplikacja nie jest wdrażana „za pięć dwunasta”. Ona jest dopiero pisana na „kilka dni po dwunastej” :(

      Odpowiedz
  • 2014.11.11 20:31 Tomasz

    Generalnie uczestnicze w tych wyborach, dostaliśmy dostęp do „kalkulatorów” i uprzedzono nas że w tym roku są to inne rozwiązania niż w latach poprzednich. System rzeczywiście kuleje a koniec końców dojdzie do tego że protokoły będziemy mailem wysyłać (bo w przypadku sytuacji w której system kuleje tak się robi, rzekomo)

    Odpowiedz
  • 2014.11.12 15:38 Bary450

    na screenach w tej instrukcji do kalkulatora widać, że nawet nie pofatygowali się żeby ikonkę z domyślnej zmienić ;)

    Odpowiedz
  • 2014.11.13 09:39 Dev0

    „Nieważne, kto głosuje, ważne, kto liczy głosy.”
    Józef Stalin.

    Odpowiedz
  • 2014.11.14 13:06 Kenowipes

    Na chwilę obecną to 3 testy były zakończone fiaskiem …. chyba że znikające dane nazywamy testem pomyślnym …. jak w tym wypadku…. grunt by wiedziec które pozycje gubią głosy panowie ;) a swoją drogą widze excela w niedziele na biegu robionego ;)

    Odpowiedz
  • 2014.11.15 12:03 Członek komisji

    Mam zaszczyt być członkiem komisji wyborczej. Dzisiaj komisja miała zebranie i nasz „informatyk” (człowiek obsługujący kalkulator) zapytany o kondycje kalkulatora odpowiedział: „Nic nie działa!”

    Odpowiedz
  • 2014.11.15 17:12 Bronzowy

    Czy pkw robila moze jakies programy na komorki? Moze bylo by taniej?

    Odpowiedz
  • 2014.11.17 11:28 Korman

    Z Asseco jest wszystko w porządku – zwykła banda leniwych kombinatorów, tylko ich klienci nie śpią po nocach.

    Odpowiedz
    • 2014.11.17 16:01 PanJaBu

      Jutro nie macie w gimnazjum klasówki jakiejś ?
      Za ten system odpowiada Nabiano i prawdopodobnie HP (zgodnie z opisem programu Kalkulatora).

      Odpowiedz
  • 2014.11.18 01:42 AMAGAD

    Czas by zatrudnic CDProjekt RED i oszczedzic Agnieszce wstydu.
    No i oczywiscie wstydu Polakom za granica, bo my w kółko ogladamy wasze cyrki.

    Odpowiedz
  • 2014.11.19 02:40 wyborca

    Przejrzałem „Istotne warunki zamówienia” dla przetargu na kalkulator wyborczy. Oferty otrzymują punkty – pozwalające wyłonić zwycięzcę. Algorytm liczenia punktów jest tak skonstruowany, że przy jedynej ofercie jaka wpłynęła, zwycięzca musiał otrzymać całkowitą liczbę punktów, tym czasem Nabino otrzymał 69,3 pkt. Pani Agnieszko…

    Algorytm:
    liczba punktów = (cena_najniższej_oferty/cena_rozpatrywanej_oferty)*49 + a + b
    gdzie
    a – punkty za projekt kalkulatora, a ϵ {0,10,20,30}
    b – punkty za moduł wprowadzania danych, b ϵ {0,7,14,21}

    Odpowiedz
  • 2014.11.19 23:02 Artur programista w spoczynku

    nie wiem czy sie smiac czy plakac. wyjasnie wam, szkoda waszego czasu, bo dywagujecie glownie nad popierdulka, ktora nie ma zadnego znaczenia dla poprawnosci aktualnej akcji wyborczej. kalkulator jest prostym narzedziem do poprawnego przepisania protokolu stworzonego przez komisje OKW w celu ladnego wydrukowania dokumentu i poslania go w piz…u w postaci „kopii elektronicznej” na serwery KBW. OKW otwieraly urny i liczy glosy, to OKW oklesla ile jest kart niewaznych, ile glosow waznych i na kogo te glosy stawiano. jesli chodzi o poprawnosc przeslanego protokolu do PKW, to taki protokol jest jeszcze weryfikowany przez pelnomocnika przy TKW. jako pełnomocnik przy TKW nie dopatrzylem sie roznic w protokolach podpisanych przez komisje OKW i opatrzone tzw. suma kontrolna z tymi, ktore weryfikowalem i zatwierdzalem przy TKW. jesli mialy byc jakies manipulacje to tylko na serwerach PKW, ale one dotyczyly by jedynie powiatow i sejmikow. mozecie sobie dekompilowac co chcecie i jak chcecie, ale zapamietajcie, ze w aplikacji kalkulator istotna byla artytmetyka i to ona miala drobne bledy, i jesli nie bylo cudow w lokalach wyborczych typu: wyniesione karty, glosowanie przez pelnomoocnika czy glosowanie korespondencyjne, to kalkulator sie elegancko „bilansowal”. wiecej, kalkulator w jednym z moich obwodów pokazał komisji, ze zle policzyla glosy, wiec jako narzedzie sprawdzil sie w duzym stopniu. gdzie jest wiec problem? problem jest w portalu syswyb, bo to za jego pomoca dokonywano ustalenia wynikow. a na czym polega problem z sysweb? problem polega na tym, ze nie napisano calej wymaganej funkcjonalnosci, byly sobie batony, pod ktorymi nie podpięto zadnych skryptow, serwery poczatkowo wiec nic nie liczyly, a pozniej nie umial wypluc poprawnego wydruku. wiecej nie pisze, bo mi sie nie chce, jedno jest pewne – wina lezy po PKW bo nie upilnowala KBW i nie zablokowala terminu wyborow, co do wykonwacy to stwierdzam, ze to skonczeni idioci, bo sie napalili na smieszne 430 kPLN za cos, co jest warte ze 2,5 MPLN. jesli dziennikarze wesza afere, to prosze o obiektywnosc i informacje jak sie ma do calej sprawy PIXEL, ktory wypial sie na PKW…

    Odpowiedz
    • 2014.11.22 00:08 tks

      Pixel nie wypiął się na KBW ! Przewidział szykujące się kłopoty i nie złożył oferty. Co i tak nie miało wpływu na wynik – gdyby złożył, to pewnie by przegrał ceną z Nabino. To była niezależna decyzja KBW – zmieniać program za pięć dwunasta.

      Odpowiedz
    • 2014.11.22 17:20 Jurek Wawro

      Jeśli pominąć drobny problem polegający na tym, że pusty XML miał jakimś sposobem poprawną sumę kontrolną (zgodną z wydrukiem), to reszta się zgadza. Przynajmniej w oparciu o informacje powszechnie dostępne. Jednak nie postawiłbym pieniędzy na to, że wybory nie były fałszowane. Brakowało były nie tylko obsługi „niektórych przycisków”, ale też na przykład procedur weryfikacji autentyczności podpisu (certyfikatu) i nie wiadomo co jeszcze. Sama zmiana systemu jest podejrzana. No chyba, że zrobił to jakiś mądrala, któremu się Delphi nie podoba (zdaje się, że ten Pixela był w Delphi).

      Odpowiedz
      • 2014.11.22 20:48 tks

        Pixlowy kalkulator był pisany w Javie – echo wymogu neutralności technologicznej. W 2002 r. TKW miało aplikację w Delphim.

        Odpowiedz
  • 2014.11.29 15:22 StopCensorship

    xD

    Odpowiedz
  • 2014.12.01 15:16 Przemek

    Może zamiast tego systemu wykorzystać SMS-owy :D

    Wyśli sms o treści x na nr xxxxx dla kandadata numer xx

    myślę że na pewno zliczanie by działało :DDD

    Odpowiedz

Zostaw odpowiedź do Tomasz

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wersja testowa systemu PKW dostępna publicznie w trybie DEBUG

Komentarze