5 powodów, dla których system zdalnego głosowania w Sejmie powinien przejść audyt

Niecodzienne czasy wzywają do niecodziennych rozwiązań. Doświadczamy tego wszyscy w mniejszym lub większym stopniu. Doświadcza także Kancelaria Sejmu, a my kawałek tych doświadczeń widzimy i komentujemy.

Nagła, przymusowa i nieco chaotyczna cyfryzacja w dobie przymusowej lub dobrowolnej kwarantanny jest sporym wyzwaniem technologicznym. Firmy dowiadują się, ile mają naprawdę licencji na VPN-a, rodzice dowiadują się, za co biorą pieniądze nauczyciele, a Kancelaria Sejmu poznaje numery telefonów do posłów.

Ale ja już nie jestem posłem

Zdalne posiedzeniu Sejmu to rozsądny ruch z punktu widzenia epidemiologicznego, lecz bardzo skomplikowany problem z punktu widzenia organizacji, technologii i prawa. Część tych problemów wyszła na jaw dzisiaj, gdy prezydent Warszawy Rafał Trzaskowski ujawnił, że otrzymał na swój numer telefonu nietypowe SMS-y.

Właśnie otrzymałem login i hasło do posiedzenia Sejmu. Tak właśnie rządzący chcą profesjonalnie zapewnić bezpieczeństwo obrad.

PS W tej kadencji nigdy nie byłem posłem. pic.twitter.com/tTxZkQAqwz — Rafał Trzaskowski (@trzaskowski_) March 25, 2020

Wiadomość od nadawcy „K.Sejmu” miała treść:

Ponizej przesylamy Pani/Pana login: [tu login] i haslo : [tu hasło] do aplikacji Polycom (RealPresenceHD), ktora znajduje sie juz na Panstwa tabletach w razie problemow prosze konakt na nr. [tu numer]

Pomińmy błędy interpunkcyjne (wypada ich nie robić w oficjalnej komunikacji…) i przyjrzyjmy się ważniejszych sprawom.

Problem pierwszy

Nazwa nadawcy (zamiast numeru telefonu) w żaden sposób nie gwarantuje tożsamości nadawcy. Wiedzą o tym świetnie złodzieje, którzy np. wysyłają wiadomości jako InPost, powodując, że telefony ofiar wyświetlają je w taki oto sposób:

Dwie wiadomości, prawdziwa i fałszywa

Nic zatem nie stoi na przeszkodzie, by ktoś o złych intencjach i znajomości numerów telefonów posłów wysłał kolejną wiadomość z tą samą nazwą nadawcy o np. odwołaniu posiedzenia. Lepiej jest jednak wysyłać wiadomości z konkretnego, stałego numeru telefonu (jeśli to już naprawdę muszą być SMS-y, bo polscy posłowie nie mają bezpieczniejszego kanału komunikacji…). Numer telefonu nadawcy też się da podrobić, ale wymaga to większego zachodu niż podrobienie samej nazwy (do czego wystarczy 5 PLN i bramka online).

Problem drugi

Wiadomość, którą otrzymał pan Trzaskowski, w swojej treści zawierała zarówno login, jak i hasło dostępowe do systemu. W naszym kursie wideo Security Awareness „Bezpieczeństwo Dla Każdego” mamy osobną lekcję poświęconą hasłom i powtarzamy prostą zasadę – hasło i login lub dokument, z którym jest skojarzone, nie jadą tym samym środkiem komunikacji. To nie znaczy także, że jednym SMS-em wysyłamy login, a drugim hasło – no, chyba że są to SMS-y (jeśli już muszą to być SMS-y…) na dwa różne numery telefonu. To prosta zasada, a jednak Kancelarii Sejmu udało się ją złamać.

Problem trzeci

Posłowie mają korzystać z aplikacji Polycom RealPresence, zainstalowanej na sejmowych tabletach. Polycom to rozwiązanie biznesowe z najwyższej półki. Nie wiemy, w jakim modelu licencyjnym Kancelaria Sejmu zakupiła to rozwiązanie, ale lektura jego umowy użytkownika oraz polityki prywatności jest ciekawa. Zwrócił na to uwagę na Twitterze Rafał Skrzypek:

Fajnie wygląda licencja aplikacji Polycom.

Może mi ktoś wytłumaczyć, dlaczego polscy posłowie mają udostępniać logi swoich telefonów amerykańskiej korporacji Plantronics, Inc.?

CC @Anna_Mierzynska pic.twitter.com/i0fWwVxE7B — Rafał Skrzypek #FBPE #SilniRazem (@Zulus_pl) March 25, 2020 Umowa użytkownika

My spojrzeliśmy jeszcze do polityki prywatności, gdzie są lepsze kwiatki:

We may also collect/obtain certain non-Personal Information from you including, but not limited to, your browser type (e.g., Netscape or Internet Explorer), operating system (e.g., Windows or Macintosh), Internet service provider, IP address, websites visited, the domain name from which you accessed the Services (e.g., yahoo.com), how you use and interact with our Products (for example, we collect information about the related hardware, technical configurations, settings, licenses, versions), and meta-data about how you use the Product, (such as the length of usernames and passwords (but never the content)).

Nasze tłumaczenie:

Możemy także zbierać pewne dane nie stanowiące danych osobowych, takie jak między innymi rodzaj przeglądarki, system operacyjny, dostawca internetu, adres IP, odwiedzone strony WWW, domena, z jakiej uzyskujesz dostęp, sposób, w jaki używasz naszego produktu (na przykład zbieramy informacje o konfiguracjach technicznych, ustawieniach, licencjach, wersjach) oraz metadane na temat używania produktu (jak np. długość nazwy użytkownika i haseł (ale nigdy ich treść)).

Odwiedzone strony WWW? Długość hasła? Jeśli te warunki dotyczą produktu, za pomocą którego polscy posłowie będą za parę dni głosować, to chyba coś tu jest nie w porządku. Oczywiście jest także możliwość, że Kancelaria Sejmu wynegocjowała odpowiednie warunki tych umów, sprzęt niezbędny do realizacji usługi jest w całości pod kontrolą Kancelarii Sejmu i żadne dane nie są przekazywane producentowi. Jest taka możliwość.

Problem czwarty

Jak zauważył na Twitterze Maciej Broniarz:

Paździerz że brak słów. Loginy posłów to Poseł i numer jego legitymacji. W Google Images jest od groma fotek legitymacji poselskich, które sami zainteresowani tam wrzucili (pojecia nie mam czemu). Sam system do telekonferencji jest wystawiony do świata i ma zły certyfikat SSL. pic.twitter.com/1cZ0dEp0EE — Maciej Jan Broniarz (@mjbroniarz) March 25, 2020

Loginy do aplikacji są publicznie znane – to identyfikatory posłów, dostępne także na stronie Sejmu. Na dokładkę serwer, z którym posłowie mieli się łączyć, prezentował dzisiaj witrynę z nieprawidłowym certyfikatem SSL (obecnie wydaje się wyłączony).

Problem piąty

W sumie chyba najciekawszy – otóż wiadomość, którą otrzymał pan Trzaskowski, wcale nie była dla niego przeznaczona. SMS-a z tymi danymi miał otrzymać poseł Michał Urbaniak. Czy to oznacza, że Kancelaria Sejmu rozesłała wiadomości z loginem i hasłem do platformy zdalnej pracy na numery telefonów, które nie zostały wcześniej zweryfikowane?

Dyrektor Centrum Informacyjnego Sejmu, Andrzej Grzegrzółka, skomentował problem słowami:

[…] doszło do pewnego rodzaju nieporozumienia i błędu. Warto zaznaczyć, że skala tej operacji jest olbrzymia, zaś zastosowane rozwiązania bezprecedensowe.

Zgadzamy się w pełni, że są to wydarzenia bezprecedensowe. Mamy jednak nadzieję, że do kolekcji wydarzeń bezprecedensowych nie dołączą kolejne incydenty związane z bezpieczeństwem technologicznym platformy do zdalnej pracy.

Podsumowanie

Wszystkie powyższe punkty wołają jednym głosem – niech ktoś to przeaudytuje. Wiemy z rozmów z wieloma osobami zaangażowanymi w bezpieczeństwo cyfrowe kraju, że Kancelaria Sejmu jest (lub przynajmniej była) wyjątkowo oporna na wszelkie próby współpracy czy też kontroli ze strony organów odpowiedzialnych za kwestie bezpieczeństwa. Mamy nadzieję, że się to zmienia i system Polycom i procedury z nim związane przejdą porządny audyt bezpieczeństwa.