❗️❗️Обнаруженные на старте электронного голосования проблемы – не самые существенные. Эксперты из технической рабочей группы рассказали «Открытым медиа», что у организаторов онлайн-голосования сохранилась техническая возможность подменять выбор избирателей после заполнения бюллетеня. Это может повлиять на волеизъявление сильнее любого административного давления – в систему уже запишется исправленный голос, причем избиратель об этом не узнает.

Речь идет о фрагменте в исходном коде web-страницы бюллетеня для голосования, с помощью которого можно подключить дополнительную программу и манипулировать любыми элементами страницы. Впервые на эту особенность кода для голосования еще во время выборов Мосгордумы обратил внимание программист из рабочей группы Евгений Федин. Он предоставил ОМ видео, в котором наглядно продемонстрировал, как может работать подмена голоса.

Перед стартом голосования по Конституции глава смарт-проектов правительства Москвы Артем Костырко в ответ на замечание об уязвимости системы во время встречи с рабочей группой назвал ее «ошмётком» с прошлого года и пообещал убрать – но эксперты считают, что это не сделано, и система голосования по-прежнему уязвима для подтасовок.

https://openmedia.io/j6ra

Уязвимость тайны голосования при ЭГ: сценарий проверки.

После публикации о проблемах с тайной ЭГ с нами через нашего бота связался аккаунт "ДИТ Москва" и попробовал убедить, что у администраторов нет технической возможности соотнести гражданина с его голосом. Господа, вы нас за кого держите?

Мы публикуем подробный сценарий проверки, понятный для технических специалистов, и каждый, кто записан на электронное голосование, но еще не голосовал, может его проверить до 20:00 мск 30 июня. Для этого нужно в браузере открыть консоль разработчика и проследить сетевые запросы.

Заранее поясним ключевую мысль: все ваши запросы можно логировать на сервере (ЭГ использует веб-сервер Nginx) ПОЛНОСТЬЮ, вместе с заголовками и потрохами, и складывать с разных серверов в единое хранилище, например, Elasticsearch, для последующей аналитики.

Поехали:

1. Заходим на сайт 2020og.ru и логинимся. В процессе вас перебросит на elec.2020og.ru, login.2020og.ru, потом обратно, и все ответы от этих серверов будут ставить вам cookie laravel_session=abcdef123 (содержимое у каждого из вас будет свое). Это те самые куки для идентификации пользователя, о которых сейчас каждый сайт спрашивает "хотите ли вы их принять". ДИТ не спрашивает, ДИТ просто их ставит.

2. Обратите внимание на запрос при проверке номера телефона на сайте ЭГ, вот он в сокращенном виде
POST https://elec.2020og.ru/common/ajax/confirm/sms/
Cookie: laravel_session=https://elec.2020og.ru/common/ajax/confirm/sms/
Cookie: laravel_session=abcdef123
'type=sms&value=92612345679261234567&voitingId=0'
Внимание, гипотеза (неопровержимая): сервер elec.2020og.ru сохранил этот запрос, содержащий ваш cookie и номер телефона, в логи и отправил в единое хранилище.

3. Соглашаемся с условиями и получаем бюллетень. Вот как происходит его выдача, тут происходит несколько переадресаций, видимо, это и есть тот самый "анонимайзер", но спойлер: он ничего не анонимизирует:
POST https://elec.2020og.ru/#complete
Cookie: laravel_session=abcdef123
ответ: HTTP/2 302 Found
location: https://elec.2020og.ru/#complete
Cookie: laravel_session=abcdef123
ответ: HTTP/2 302 Found
location: https://elec.moscow/election/check/ длинная-длинная-цепочка-из-букв-и-цифр=
(на самом деле тут скрыт ваш номер бюллетеня, допустим, 777-ggg-aaa. Как проверить: вставить эту длинную цепочку на сайт https://www.base64decode.org/, раскодировать, потом взять из результата url и еще раз раскодировать. Нас наперстками не проведешь!)

GET https://elec.moscow/election/check/ длинная-длинная-цепочка-из-букв-и-цифр=
ответ: HTTP/2 302 Found
location: https://elec.moscow/election/ 777-ggg-aaa (тот самый номер вашего бюллетеня, уже в открытом виде)
Видите? Сервер (никто не сможет этого опровергнуть) сохранил лог, в котором есть ваш cookie, уже связанный с номером телефона, и номер вашего бюллетеня!

4. Ставим галочку и отправляем голос. Ваш голос зашифровывается, создается транзакция и отправляется на сервер, чтобы потом попасть в блокчейн.
POST https://elec.moscow/election/vote
rawStoreBallotTx=https://elec.moscow/election/vote
rawStoreBallotTx=транзакция_с_голосом
guid=777-ggg-aaa (номер вашего бюллетеня)
votingId=...
district=...
accountAddressBlock=...
keyVerificationHash=...
rawTxHash=xxxyyyzzz (вашу транзакцию можно будет найти в выгрузке блокчейна на сайте https://observer2020.mos.ru/observer/blocks-list по этому хэшу)

Что же, время собирать камни! После всего этого процесса в логах ДИТ, по неопровержимой гипотезе, хранится:
- связка cookie - номер телефона (laravel_session=abcdef123 и 92612345679261234567)
- связка cookie - номер бюллетеня (laravel_session=abcdef123 и 777-ggg-aaa)
- связка номер бюллетеня - зашифрованный голос (777-ggg-aaa и транзакция_с_голосом, ищется в блокчейне по rawTxHash=xxxyyyzzz)

Дальше сотрудникам ДИТ остается только расшифровать голоса (что будет сделано при подсчете голосов, либо заранее, потому что ключ-то у ДИТ есть, хоть они разделили его на три части, но и себе могли оставить копию про запас), сопоставить их через логи с номерами телефонов и сделать для начальства красивую табличку в экселе. Верите ли вы, что они этого не сделают?

https://t.me/patchcord/1601
А https://www.zerotier.com/ не пробовали?

Крупнейшая розничная сеть Америки Walmart прекращает продажу товаров с маркировкой "Все жизни важны".

Там объяснили, что хоть и придерживаются принципа равноправия, но в настоящее время люди "используют этот лозунг, чтобы приуменьшить проблему расового неравенства". Иными словами, негры "равны более, чем другие". 🤷🏾‍♂️

​​Amazon запустил сервис проверки программного кода, основанный на ИИ

Сегодня Amazon выпустил в публичный доступ сервис Codeguru, который с помощью машинного обучения анализирует логику, синтаксис и стиль программного кода и подсказывает, как улучшить его качество. Слоган сервиса — Find your most expensive lines of code (он подсказывает, сколько процессорного времени можно сэкономить, исправив ту или иную ошибку). Три месяца можно пользоваться бесплатно.

На прошлой неделе Amazon запустил сервис для создания приложений без программирования Honeycode. А в Facebook недавно разработали переводчик между языками программирования — система владеет Python, C++ и Java и конвертирует программный код с одного языка на другой.

Интересный тренд на облачное и автоматизированное программирование. С помощью таких инструментов программисты будут писать код быстрее и качественнее. И не только программисты.

Специализирующаяся на отслеживании транзакций в публичных блокчейнах компания Elliptic добавила поддержку ориентированных на приватность криптовалют Zcash (ZEC) и Horizen (ZEN).

https://forklog.com/elliptic-nachala-otslezhivat-tranzaktsii-s-kriptovalyutami-zcash-i-horizen/

На Android в бете вышла версия 6.3.
Как включить видеозвонки пока не ясно, хоть версия libtgvoip 2.4.4 как и в бете на iOS (но у кого-то я видел скрин с 2.7.7). Думаю 2.7.7 когда получается совершить видеозвонок, а когда у собеседника не активированы они то 2.4.4.
Скоро релиз?

Очередной шатдаун в Эфиопии. Там какого-то местного полевого командира убили, ну и власти хрясь интернет
вот тут смотреть подробнее: https://ioda.caida.org/ioda/dashboard#view=inspect&entity=country/ET&lastView=overview

MIT Sloan Management Review совместно с Deloitte провели исследование с целью определить, как компании лучше всего удерживать своих сотрудников.

Авторы работы опросили около 4 000 управленцев, менеджеров и аналитиков организаций со штатом разного размера со всего мира и провели 18 интервью с управляющими крупных компаний (Schneider Electric, Henry Ford Health System, DBS Bank (Сингапур), Marriott, Domino's и др.).

Как оказалось, сотрудники любой компании прежде всего ценят наличие перспектив, то есть возможность сменить направление деятельности, выбрать другой проект, выучить и применить новые навыки. Компании, в которых хорошо развит так называемый "маркетплейс перспектив" (opportunity marketplace), не имеют проблемы оттока сотрудников.

Маркетплейс перспектив - это  виртуальное пространство, биржа  небольших проектов или курсов с возможностью найти ментора и просто пообщаться.

74% респондентов считают, что их компании важно, чтобы скиллы сотрудников поддерживались на хорошем уровне,
34% довольны инвестициями компании в развитие скиллов сотрудников, из них 39% довольных топов и только 29% обычных сотрудников.
Cреди довольных 61% опрошенных указали, что в последние полгода их обучили новому навыку, а среди недовольных обучение проходили только 18%.
- 20% респондентов уверены, что их скиллы устареют уже через год, а 50% считают, что это случится в течение двух-четырех лет.

Половина участников опроса уверены, что компания больше заботится о клиентах, чем о собственных сотрудниках. Половина респондентов считают, что компания никак не инвестирует в развитие их навыков.

45% опрошенных хотели бы получить предложение уволиться с хорошим выходным пособием.

31% опрошенных утверждают, что компания постоянно измеряет их производительность. При этом только 61% подтверждает наличие обратной связи по этому показателю, которая помогает им улучшаться. И только 64% имеют свободный доступ к показателям своей производительности.

Авторы исследования считают, что при формировании стратегии развития сотрудников необходимо вместо вопроса "Каким образом лучше всего инвестировать в талант сотрудников?" задавать себе вопрос "Каким образом мотивировать сотрудников инвестировать свое время и ресурсы в самих себя?". (я тоже ищу ответ на этот вопрос)

Schneider Electric запустила внутрикорпоративную "биржу талантов". Используются алгоритмы AI для мэтча сотрудников с подходящими им краткосрочными проектами, полезными для развития навыков задачами, подработками, фулл-тайм позициями и менторами. В компании уверены, что если сотрудник выполняет каждый день только свою рутинную работу, он никак не развивается, и проигрывает от этого не только он сам, но и вся компания. Поэтому организация продвигает модерновую гигномику - внутренний фриланс для сотрудников.

Что делать с сотрудниками, которые не хотят учиться? Marriott считает, что мотивировать человека получить новые знания легко может начальник, который сам регулярно проходит курсы повышения квалификации. А в Ceridian (HR софт и услуги) считают, что вместо попыток мотивировать глубоко немотивированных сотрудников, лучше их просто уволить и сэкономить ресурсы компании.

По результатам исследования MIT предлагает три шага к созданию маркетплейса перспектив:

1. Разработайте собственную метрику "перспектив". Оцените, насколько сотрудники довольны возможностями личностного и профессионального роста внутри компании, мобильностью между позициями; насколько они мотивированы к этому росту и мобильности со стороны компании и менеджмента.

2. Спроектируйте систему аналитики для формирования контента вашего маркетплейса: прогнозируйте спрос тех или иных навыков, предлагайте тренинги релевантным кадрам, мотивируйте менеджмент поддерживать мобильность внутри компании.

3. Определите связь демографических признаков и восприятия собственных перспектив в компании. Для кого-то в жизни важна возможность поменять компанию, а для кого-то, например, чаще всего для поколения Z, важна стабильность, и они хотели бы менять проекты внутри компании, а не искать новое место работы.

@internetanalytics

Полная версия исследования MIT Sloan Management Review & Deloitte об удержании сотрудников

@internetanalytics