Vytisknout si údajně nedůležitý e-mail na tiskárně bývalé firmy je jedna věc. Ale dlouhodobě servírovat na stříbrném podnose informace vedené v režimu utajení neprověřeným osobám spojeným se společností Agrofert? To je již zcela reálné bezpečnostní riziko pro celý stát.

Poznámka: Vzhledem k závažnosti zjištěných údajů jsme požádali o zodpovězení několika otázek Úřad vlády, ředitele Odboru komunikace V. Vořechovského a tiskovou mluvčí Janu Adamcovou. Do vydání tohoto článku jsme nedostali žádnou reakci ani odpověď.

Českým éterem aktuálně rezonuje přešlap premiéra Babiše v jeho týdenním hlášení “Čau lidi”. Ve videu čte projev z papíru, na jehož druhé straně je otisknutý vládní e-mail od Adama Vojtěcha zaslaný na soukromý e-mail premiéra. V záhlaví dokumentu je uvedena firma Imoba, pod kterou spadá mimo jiné i Čapí hnízdo. Premiér nevidí nic špatného na tom, že si nechal důvěrnou vládní korespondenci vytisknout u jedné ze svých bývalých firem.

Budiž, toner v tiskárně může dojít v těch nejméně vhodných chvílích. My ovšem nyní upozorňujeme na mnohem závažnější provinění, které je reálným a dlouhodobým ohrožením bezpečnosti státu.

Jak Agrofert k informacím přišel…

Je 11. prosince 2013, měsíc a půl po parlamentních volbách. Tento den zakládá jistý Martin Branský, tehdy i dnes zaměstnanec společnosti Agrofert, doménu e-babis.cz. Tu aktivně využívá i Andrej Babiš (prokazatelně minimálně od března 2016) ke komunikaci s ostatními ministry, úředníky státní správy i veřejností. Před březnem 2016 kombinoval oficiální e-mail ministerstva financí se svým účtem na doméně @agrofert.cz.

Poštovní server e-babis.cz využívá vnější i vnitřní infrastrukturu společnosti Agrofert. Veškeré e-maily poslané tímto serverem odcházejí z rozsahu IP adres, které jsou touto společností využívány. Společnosti spadající pod Agrofert a.s. pro svou činnost používají dva druhy poštovních serverů: Microsoft Exchange a IBM Domino server. Na druhém jmenovaném softwaru běží i mail server e-babis.cz.

Jak potvrzují technické detaily e-mailové komunikace, e-maily mezi SMTP servery, v infrastruktuře Agrofertu a také části internetu, putují zcela nešifrovaným způsobem.

Ano, stále se bavíme o i vládní korespondenci nejvyššího výkonného představitele státu, které by měly podléhat nejvyššímu zabezpečení!

“Veškerá korespondence na serveru e-babis.cz odchází z rozsahu IP adres, které jsou využívány společností společností Agrofert a.s. Server navíc nenabízí možnost šifrované komunikace, všechny e-maily tudíž mezi SMTP servery putují zcela nešifrovaným způsobem.”

Bezpečnostní rizika plynoucí z premiérovy mailové komunikace

Máme k dispozici řadu e-mailů dokazujících, že z adresy ab@e-babis.cz premiér komunikuje nejen s veřejností a svými spolupracovníky, ale také nejvyššími státními úředníky, ministry i firmami spolupracujícími se státem. Máme důkazy, že v těchto e-mailech aktivně řeší také projekty vedené v některém z režimů utajení.

V čem konkrétně spočívají bezpečností rizika používání soukromého emailu?

Mailový server e-babis.cz nespadá pod žádnou kontrolu kyberbezpečnosti od NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) či manažera pro kyberbezpečnost Ministerstva vnitra či Úřadu vlády. Není známa ani ověřena jeho instalace, konfigurace ani provozní parametry.



Není známa identita osob, které mailový server provozují. Tyto osoby nejsou prověřeny bezpečnostními složkami.



Není znám počet, bezpečnostní prověření ani identita osob, které mají přístup k mailovému serveru. Obecně platí, že administrátor mailového serveru má přístup ke všem mailům, a to bez zachování auditní stopy. Neboli, že může číst jakékoliv emaily na serveru a nezanechat za sebou žádnou stopu o této činnosti.



Není znám počet, bezpečnostní prověření ani identita osob, které mají fyzický přístup k mailovému serveru. Takové osoby si mohou snadno zjednat dostatečné oprávnění k přístupu k datům serveru, opět bez zachování auditních stop.



Není znám počet, bezpečnostní prověření ani identita osob, které spravují a mají přístup k síťové infrastruktuře, jež tento server používá. Z dostupných informací je zřejmé, že k síťové infrastruktuře mají přístup pracovníci společnosti z holdingu Agrofert, společnosti Cetin (hosting a konektivita) a najatí pracovníci třetích stran. Tyto osoby mohou snadno monitorováním síťového provozu k mailovému serveru veškerou komunikaci premiéra nejen sledovat, ale také ukládat a zcizit.





Není to poprvé

Za připomenutí stojí v této souvislosti opakované a úspěšné hackerské útoky na mailové servery Ministerstva zahraničí v letech 2016-2017 a v roce 2019 (např. zde a zde). Hackeři bez povšimnutí mnoho měsíců monitorovali veškerou e-mailovou komunikace na ministerstvu.

Bezpečnostní problém s používáním soukromého e-mailu pro pracovní účely řešil i předchozí premiér Bohuslav Sobotka v roce 2016. Do e-mailové schránky na Seznamu měli po nějakou dobu přístup neznámí hackeři.

Po tomto Sobotkově bezpečnostním incidentu NBÚ (z něj se NÚKIB vyčlenil až v 2017) doporučil Úřadu vlády sadu pravidel mezi než patřilo i varování před používáním soukromých e-mailových adres. Už v březnu 2016, pouhé dva měsíce po tomto bezpečnostním incidentu Bohuslava Sobotky, soukromý e-mail prokazatelně používal i Andrej Babiš.

NÚKIB obecně důrazně nedoporučuje používání soukromých e-mailových adres. Ke případu e-mailu premiéra Babiše se nechce konkrétně vyjadřovat.

Shrňme si fakta.

Po vnitřní síti společnosti Agrofert putuje nespočet nezašifrovaných e-mailů, které jsou velmi snadno čitelné pro kohokoliv s přístupem k serverům či infrastruktuře.

Případné sledování e-mailů může probíhat bez jakékoliv modifikace zpráv, bez auditních stop a bez možnosti ho odhalit.



Nezbývá než se ptát:

Kdo všechno čte důvěrnou korespondenci premiéra České republiky dnes?





Technické detaily

Přijímací SMTP běží na adresách slunce20.e-babis.cz (194.228.62.35) a slunce10.e-babis.cz (194.228.62.34). Druhá IP adresa má reverzní DNS záznam mail30.agrofert.cz.

Přijímací SMTP servery Agrofertu běží na adresách mail10.agrofert.cz (194.228.62.32) a mail20.agrofert.cz (194.228.62.33), tzn. hned na vedlejších IP adresách.

Emaily, odeslané poštovním serverem pro doménu e-babis.cz, odcházejí z rozsahu IP adres, které jsou využívány společností Agrofert a.s. (https://ipinfo.io/AS20884/195.5.186.0/24 ).

$ host http://ms1.e-babis.cz http://ms1.e-babis.cz has address 195.5.186.121 $ whois 195.5.186.121|grep -i agrofert % Abuse contact for '195.5.186.0 - 195.5.186.255' is 'stepan@agrofert.cz' org-name: Agrofert Holding, a.s. descr: AGROFERT CZ

% This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '195.5.186.0 - 195.5.186.255' % Abuse contact for '195.5.186.0 - 195.5.186.255' is 'stepan@agrofert.cz' inetnum: 195.5.186.0 - 195.5.186.255 netname: AGF-NET country: CZ org: ORG-AA432-RIPE admin-c: MS14227-RIPE tech-c: MS14227-RIPE status: ASSIGNED PI mnt-by: RIPE-NCC-END-MNT mnt-by: AS5610-MTN mnt-routes: AS5610-MTN mnt-domains: AS5610-MTN created: 2008-04-21T10:52:41Z last-modified: 2016-04-14T10:08:01Z source: RIPE sponsoring-org: ORG-STaN1-RIPE organisation: ORG-AA432-RIPE org-name: Agrofert Holding, a.s. org-type: other address: Praha 4, Pyselska 2 abuse-c: AR30110-RIPE mnt-ref: AS5610-MTN mnt-by: AS5610-MTN created: 2008-04-16T08:58:27Z last-modified: 2014-11-17T22:46:17Z source: RIPE # Filtered person: MARTIN STEPAN address: Pyselska 2 address: Praha 4 address: 14900 phone: +420602431453 nic-hdl: MS14227-RIPE created: 2008-04-16T09:17:11Z last-modified: 2016-04-06T21:17:54Z mnt-by: RIPE-NCC-LOCKED-MNT source: RIPE # Filtered % Information related to '195.5.186.0/24AS20884' route: 195.5.186.0/24 descr: AGROFERT CZ origin: AS20884 mnt-by: AS5610-MTN created: 2012-11-08T13:33:41Z last-modified: 2012-11-08T13:33:54Z source: RIPE % This query was served by the RIPE Database Query Service version 1.96 (HEREFORD)

Komunikace mezi přijímacím SMTP serverem a poštovním serverem není šifrovaná. (vyplývá z analýzy SMTP hlaviček mailů)

Komunikace mezi odesílacím SMTP serverem e-babis.cz a příjemcem není šifrovaná.

Přijímací SMTP servery slunce20.e-babis.cz ani slunce10.e-babis.cz nenabízí možnost šifrované komunikace (STARTTLS nebo SMTPS):

telnet slunce10.e-babis.cz 25 Trying 194.228.62.34… Connected to slunce10.e-babis.cz. Escape character is '^]'. 220 slunce10.e-babis.cz ESMTP email system ehlo mail.example.com 250-slunce10.e-babis.cz says EHLO to x.x.x.x:42892 250-SIZE 52428800 250-PIPELINING 250-8BITMIME 250 ENHANCEDSTATUSCODES quit 221 2.3.0 slunce10.e-babis.cz closing connection Connection closed by foreign host.