Nie trzeba było go psuć. Ono było popsute… Przyjrzymy się temu, co mogliby zrobić źli ludzie (albo obce służby), gdyby chcieli jeszcze bardziej zdezorientować naszych posłów i sparaliżować nasze państwo w tych trudnych czasach. Wszystkie informacje potrzebne do przeprowadzenia udanego sabotażu są dostępne na …Twitterze. A opublikowali je tam sami posłowie.

Sejm ma problem z poufnością

Burza dotycząca niecodziennego posiedzenia sejmu, w ramach którego z racji zagrożenia koronawirusem miało dojść do głosowania “zdalnego” zaczęła się od wpisu Rafała Trzaskowskiego na Twitterze. Prezydent zdradził, że dostał SMS-a z loginem i hasłem umożliwiającym dostęp do posiedzenia sejmu, choć… nie jest posłem tej kadencji:

Kancelaria Sejmu, nie dość że rozesłała login i hasło niegwarantującym poufności sposobem, czyli SMS-em (nie rozdzielając ich na dwa niezależne kanały komunikacji), to — co równie niepokojące — przesłała dane nie do tej osoby (tych osób?) do której powinna.

Błąd (a nawet błędy) poważne, ale wielu komentujących zapomina, że te dane nie umożliwiały oddawania głosów. Poprawcie nas, jeśli się mylimi, ale to była platforma do streamingu posiedzenia sejmu, a posiedzenia są jawne i jak ktoś chce, może je oglądać w TV. Głosowanie nie było “przez internet”. Głosy liczono (w każdej z sal) ręcznie. Zdalne głosowanie dopiero przed nami i coś czujemy, że też powstanie na ten temat artykuł na Niebezpieczniku…

Ale to nie koniec wpadek…

Posłowie, którzy próbowali logować się do systemu, nie byli w stanie się do niego dobić. Zamiast zachować to dla siebie (lub sejmowego helpdesku), postowali takie oto screeny do internetu, ujawniając to w jaki sposób budowane są loginy do tego (tylko tego?) systemu.

Powyższe zdradza, że wzorem jest słowo Posel i numer legitymacji posła. Tajny? Nie w przypadku wszystkich! Niektórzy chwalą się tymi legitymacjami w internecie, ujawniając ich numery. Ale umówmy się, nawet gdyby tego nie robili, zenumerowanie ~500 możliwych “loginów”, to nie jest wiele roboty. Zresztą, te numery i tak dla osób, które odrobine się wysilą, są łatwe do znalezienia w innym miejscu (z nazwiskiem posła obok).

Złośliwość, to pierwszy krok do zwiększenia “wycieku”

Tym posłom frakcji jednej, którzy mieli problem z dostępem do systemu i publicznie się na to żalili, z pomocą przychodzili posłowie frakcji drugiej, którzy nie mogąc odpuścić sobie złośliwości, upubliczniali URL endpointa do logowania:

Ryzyko? Nie chodzi o tajność adresu (security by obscurity to i tak zazwyczaj zły pomysł), a o to, że serwer był dostępny z publicznego internetu i ktoś mógłby go złośliwie zacząć DDoS-ować, aby sparaliżować dostęp posłom. Jeśli dało się sparaliżować jeszcze bardziej ;)

But wait, there is more!

Połączenie do endpointa nie posiadało odpowiednio skonfigurowanego certyfikatu SSL.

Wygląda zabawnie, ale lojalnie uprzedźmy, że nie wiedzieliśmy tego certyfikatu na oczy i mogło to być prywatne CA, które jest zaufane wyłącznie na urządzeniach posłów. Nie każdy błąd certyfikatu oznacza od razu problem z poufnością danych. A czasem wygasanie może sugerować, że konfiguracja — przynajmniej w zamyśle — jest bardziej bezpieczna.

Poznajmy kolejne systemy…

…które były wykorzystywane do obsługi posiedzenia Sejmu. A jak? Oczywiście dzięki wpisom posłów! M.in. od posłanki Lubnauer:

Odnośnie tego samego systemu — przez łzy (trochę ze śmiechu) — chwalimy posłankę Nowacką, która własnego screena opublikowała lepiej, bo z cenzurą.

Tak, cenzurą “kropek”. No ale przynajmniej nie widać jak długi jest kod. A może widać? Ustalenie długości zostawiamy Czytelnikom jako zadanie domowe ;-)

Krytykowali Sejm, a sami wyciekali dane….

Prawdziwym hitem dla nas są natomiast nagrania posłów, którzy złoszcząc się na Kancelarię Sejmu, demonstrowali błędy “na żywo”, zapominając, że kamera ich nagrywająca nagrywa też to jak ruszają palcami po ekranie.

Kolejne zadanie domowe dla Czytelników — jaki kod otrzymał poseł Joński (10 sek. nagrania) oraz pytanie numer dwa — jaki ma kod blokady ekranu telefonu (25 sekunda nagrania).

Nie bądź jak ci posłowie. Dowiedz się jak uchronić swoje dane (nie tylko osobowe) przed wyciekiem. Naucz się sprawdzać, czy już wyciekły oraz poznaj co krok-po-kroku trzeba zrobić, jeśli faktycznie wyciekły… Kliknij tu aby zapisać się na nasz praktyczny webinar! Nie bądź jak ci posłowie. Dowiedz się jak uchronić swoje dane (nie tylko osobowe) przed wyciekiem. Naucz się sprawdzać, czy już wyciekły oraz poznaj co krok-po-kroku trzeba zrobić, jeśli faktycznie wyciekły… Kliknij tu aby zapisać się na nasz praktyczny webinar!

Gdyby nie poszło Wam z posłem Jońskim, to spróbujcie przy pośle Sowie, który kod — co prawda testowy — wrzucił na lajwie na Facebooku (obejrzało go ponad 900 osób, ilu próbowało logować się razem z posłem?)

Ale nawet ci posłowie, którzy sami nie nagrywali, “wyciekli” swoje hasła, bo byli nagrywani. I nie ochronili ekranu podczas logowania w trakcie posiedzenia, które było przecież rejestrowane:

Zmęczenie? A może po prostu duże zaufanie, zarówno dla kolegów z innych partii jak i suwerena? :-)

Pracować poza biurem trzeba umieć! Dowiedz się jak nie narażać swojej prywatności i danych klientów pracując z domu (i nie tylko). Porady plus narzędzia w 1.5h. Kliknij tu aby zobaczyć nasz webinar! Pracować poza biurem trzeba umieć! Dowiedz się jak nie narażać swojej prywatności i danych klientów pracując z domu (i nie tylko). Porady plus narzędzia w 1.5h. Kliknij tu aby zobaczyć nasz webinar!

Czy Sejm wie jaką politykę prywatności zaakceptował?

Z SMS-a ujawnionego przez prezydenta Trzaskowskiego, można poznać nazwę systemu do videokonferencji, który jest wykorzystywany w Sejmie. To Polycom. Aplikacja do jego obsługi ma ciekawe zapisy prywatności, na które uwagę zwrócił Rafał Skrzypek:

Mogą przerażać, ale tu znów trochę uspokójmy. Wiele firm w regulaminach i politykach prywatności jest napisane — za namową swoich prawników — wiele rzeczy mocno na wyrost. Aby umożliwić sobie pewne działania, często dopiero w przyszłości. A jeszcze więcej firm, jak zbiera pewne dane, to nie potrafi z nich skorzystać (hłe hłe).

Nie umniejsza to problemu — zbierane, ale nieinterpretowane dane, dalej są zbierane i mogą zostać przez kogoś pozyskane (wykradzione) i zinterpretowane już w zupełnie innym celu niż ten głoszony w polityce prywatności danej aplikacji.

Każde popularne oprogramowanie ją ma. Od systemów operacyjnych, produkowanych przez znane firmy z wieloosobowymi działami bezpieczeństwa aż do malutkich aplikacj, pisanych przez jednego programistę. Fakt występowania w jakimś oprogramowaniu błędów (załatanych już zresztą) to nie jest powód, aby z niego rezygnować. Co mocniejsi technicznie mogą przeanalizować typy (i powtarzalność) błędów, aby wyrobić sobie opinię, czego zespół programistów całkowicie nie ogarnia). Rafał zarzucił też, że Polycom ma pokaźną historię błędów bezpieczeństwa i sporo osób podniosło ten argument. Spoiler alert!. Od systemów operacyjnych, produkowanych przez znane firmy z wieloosobowymi działami bezpieczeństwa aż do malutkich aplikacj, pisanych przez jednego programistę. Fakt występowania w jakimś oprogramowaniu błędów (załatanych już zresztą) to nie jest powód, aby z niego rezygnować. Co mocniejsi technicznie mogą przeanalizować typy (i powtarzalność) błędów, aby wyrobić sobie opinię, czego zespół programistów całkowicie nie ogarnia).

Rosjanie kontrolowali certyfikat dla systemu sejmu!!!1!

OK, podowcipkowaliśmy trochę z “informatyzacji” Sejmu i przeanalizowaliśmy bezradność posłów. Ale warto na koniec wspomnieć, że o ile nie wszystkie głosy krytykantów były w pełni uzasadnione, to jednak powody do krytyki jakieś były. Co innego ten wpis posłanki Gill-Piątek, roznoszony po internecie, najwyraźniej przez osoby nie mające pojęcia, co roznoszą:

Fajnie brzmi, nie? Tak spiskowo. Są Rosjanie. Jest wykreślona z KRS firma i tajemnicze “certyfikaty bezpieczeństwa”. Zanim zaczniecie się chować przed nadlatującymi chemtrailsami, wyjaśnimy: wykreślenie wynika ze zmiany formy (Unizeto zostało kupione przez Asseco). Firma ta od lat działała na polskim rynku i wystawiała certyfikaty SSL, a w zarządzie mógł zasiadać sam szatan i nie miałoby to znaczenia dla bezpieczeństwa połączenia między klientem a serwerem przedstawiającym się certyfikatem podpisanym przez Unizeto. Ale to jednak trzeba znać podstawy kryptografii asymetrycznej, aby to zrozumieć. A to trudniejsze niż bezmyślne naciśnięcie “retweet” na narracji, która pasuje do naszego światopoglądu.

Not good, not terribe

Podsumowując, Kancelarii Sejmu można wystawić ocenę 3.6 w skali Roentgena, czyli Not Great, Not Terrible.

A już bardziej poważnie, to okoliczności i wynikające z nich ograniczenia wymuszają szybkie zmiany, które — co widać — nie zostały ujęte w procedurach BCP Sejmu. W trudnych czasach “standardowy poziom bezpieczeństwa” niekiedy trzeba poświecić, aby zachować coś ważniejszego — ciągłość działania. Bo jak nie będzie ciągłości działania, to na co nam bezpieczeństwo czegoś, co już nie istnieje? Ale — i to kluczowe — decyzję ile tego bezpieczeństwa poświęcić (i czy w ogóle!) podjąć należy po szczegółowej analizie. W Kancelarii Sejmu chyba jej zabrakło. Nie wnikamy w to, z jakiego powodu. Tak po prostu nie powinno być.

Łatwo się oczywiście “śmiać” z sejmowych informatyków, czy posłów, ale warto pamiętać, że nie ćwiczyli wcześniej takiego scenariusza. Czy powinni? Może powinni. A czy wy wiecie co zrobić, kiedy wielki metalowy rekin spadnie na Wasz dom i przebije dach? Niby mało prawdopodobne, ale jednak — zdarza się!

Czy to oznacza, że należy już dziś wszystko rzucić i zacząć ujmowanie deszczu metalowych rekinów w swoim modelu zagrożeń? I ćwiczyć ewakuacje, odświeżać kontakty z dźwigowcami, aktualizować telefony do dekarzy, umacniać drogi dojazdowe pod posesje oraz przenosić najcenniejsze rzeczy ze strychu do piwnicy?

Odpowiedź na to pytanie kryje się w procesie zwanym w IT Security “analizą ryzyka”. Ocenia ona prawdopodobieństwo i koszty pewnych zdarzeń. Na miejscu Sejmu, deszcz rekinów byśmy pewnie olali, ale na zdalną pracę, to przygotowywalibyśmy się już od dawna… Analizę ryzyka warto robić, raz na jakiś czas. W sytuacji globalnej pandemii zwłaszcza.

PS. Pewnie zauważyliście, że wystartowaliśmy z cyklem webinarów. Na razie jest ten o bezpieczeństwie pracy zdalnej i ten o wyciekach danych. Ale jak chcecie posłuchać o innych tematach, to dajcie nam znać:

Wpisz adres e-mail:

O czym chciałbyś webinar?

Rozwiąż CAPTCHA (ochrona przed botami): HP



Bez obaw, podane e-maile wykorzystamy wyłącznie do komunikacji w sprawie przyszłych webinarów. Jeśli lubisz czytać o RODO, kliknij tutaj.

Przeczytaj także: