Hillary Clinton, w latach 2009 – 2013 amerykański sekretarz stanu, odpowiednik naszego ministra spraw zagranicznych, w pracy korzystała wyłącznie ze swojej prywatnej skrzynki pocztowej na swoim domowym serwerze.
Wyobraźcie sobie np. artykuł w Rzeczpospolitej o tym, że Radek Sikorski jako minister spraw zagranicznych korzystał z domowego serwera pocztowego i adresu [email protected]. Skala afery jest trudna do wyobrażenia – złamane ustawy, rosyjscy szpiedzy, zdrada stanu i kompromitacja na arenie międzynarodowej. Tymczasem w analogicznej sytuacji w USA zaczęło się od rozważań o ewentualnych problemach związanych z dostępem do informacji publicznej a dyskusja o bezpieczeństwie informacji toczy się głównie w gronie specjalistów.
Przypadkowe odkrycie
Od 2012 w USA prowadzono śledztwo w sprawie wydarzeń w Benghazi, gdzie zginął ambasador USA w Libii. Wśród dokumentów przekazanych śledczym zabrakło oficjalnej korespondencji sekretarz stanu. Kilkaset emaili trafiło do śledczych dopiero w zeszłym miesiącu. 2 marca The New York Times ujawnił, że powodem takiego stanu rzeczy było to, że Hillary Clinton nigdy nie korzystała ze służbowej poczty elektronicznej Departamentu Stanu. Zamiast tego przez 4 lata pełnienia swojej funkcji używała wyłącznie prywatnej skrzynki pocztowej.
W USA przepisy federalne nakazują przekazywanie do państwowych archiwów całej oficjalnej korespondencji zarówno pisemnej jak i elektronicznej (za wyjątkiem materiałów objętych klauzulą tajności). Czy żona byłego prezydenta USA je złamała? Niekoniecznie, ponieważ szczegółowe wytyczne, wskazujące na pocztę elektroniczną jako objętą regulacją, weszły w życie dopiero po jej ustąpieniu ze stanowiska. Rzecznik Clinton dodatkowo tłumaczył, że korespondując z urzędnikami zakładała ona, że jej korespondencja jest utrwalana po stronie odbiorcy, tym samym spełniając kryteria retencji. Tłumaczenie dość naiwne, ponieważ część korespondencji musiała być kierowana do innych krajów lub osób spoza administracji rządowej. W sumie współpracownicy Clinton dokonali selekcji wiadomości prywatnych i służbowych oraz przekazali do archiwizacji około 50 tysięcy wydrukowanych stron tych drugich.
Adres sekretarza stanu: [email protected]
Adres poczty elektronicznej sekretarz stanu znany był od co najmniej dwóch lat. Jest to zasługą rumuńskiego hakera o pseudonimie Guccifer. Włamał się on na skrzynkę doradcy Clinton, niejakiego Sidneya Blumenthala. Znalazł tam wiadomości zarówno wysłane przez Blumenthala do Clinton, jak i jej odpowiedzi.
Fragment skrzynki doradcy
Tematy wiadomości, które można znaleźć na zrzutach ekranów ze skrzynki doradcy, wyraźnie sugerują, że wbrew zapewnieniom właścicielki prywatna skrzynka Clinton była wykorzystywana do wymiany poufnych treści.
Serwer był bezpieczny bo pilnował go Secret Service
Skoro znamy już adres email, to czego możemy dowiedzieć się o serwerze, z którego korzystała Clinton? Okazuje się, że całkiem sporo. Jako że dzisiejsze ustawienia serwera mogą znacząco odbiegać od historycznych, warto zacząć od weryfikacji, jaki adres IP miał serwer mail.clintonemail.com w trakcie, gdy Hillary używała go jako sekretarz stanu. Z pomocą przychodzi serwis DNS History, który wskazuje adres 24.187.234.187 w dniu 22 stycznia 2010. IP ten należy do zakresu przyznanego niejakiemu Ericowi Hotehamowi pod adresem, pod którym znajduje się rezydencja państwa Clinton. Błąd w nazwisku sprawił, że dziennikarze początkowo mieli problem ze zidentyfikowaniem faktycznego posiadacza konta Erica Hothema, wieloletniego asystenta Hillary Clinton, który odpowiadał za obsługę IT. We wcześniejszych raportach podawano nawet, że adresacja była zarejestrowana na fałszywe nazwisko. Oczywiście o tym, gdzie obsługiwana jest poczta, decydują wpisy MX, a nie adres rejestracji domeny, ale sama Hillary Clinton potwierdziła, że serwer znajdował się w jej domu,
W momencie ujawnienia afery adres serwera pocztowego wskazywał już na firmę MX Logic, wykupioną przez McAfee, oferującą usługi filtrowania spamu. Pod adresem serwera WWW http://mail.clintonemail.com co prawda witał błąd 403, ale wystarczyło wzbogacić ścieżkę o ciąg /owa/ by zobaczyć panel logowania interfejsu Outlook Web App. Co ciekawe, okazuje się, że w tej samej domenie znajduje się również serwer sslvpn.clintonemail.com, oferujący usługę VPN.
Sama Hillary Clinton w końcu odniosła się do zarzutów w trakcie konferencji prasowej. Stwierdziła wprost, że uznała noszenie dwóch telefonów za niewygodne. Na pytanie o niezależny audyt serwera odpowiedziała, że był bezpieczny, ponieważ znajdował się na terenie chronionym przez agentów Secret Service oraz nigdy nie zanotowano żadnego incydentu z nim związanego.
Trafny komentarz
Komentarz
Czy Hillary Clinton popełniła błąd korzystając z prywatnej skrzynki pocztowej? Oczywiście próbujemy odpowiedzieć na to pytanie z punktu widzenia bezpieczeństwa informacji, rozważania prawne zostawiając prawnikom.
Wykorzystanie prywatnej skrzynki zmienia znacząco profil ryzyka. Po pierwsze korzystanie z własnego serwera oznacza najprawdopodobniej niższy poziom bezpieczeństwa całego systemu. Oczywiście możliwe, że Clinton miała świetnych administratorów, systemy monitoringu i analizy ruchu, najnowocześniejsze mechanizmy zabezpieczeń i regularne audyty, jednak można założyć, że skrzynka w profesjonalnej komercyjnej usłudze (np. Gmail) czy też skrzynka służbowa mogły korzystać z lepszego poziomu zabezpieczeń, oferującego chociażby szybsze wykrywanie zagrożeń. Drugim problemem własnego serwera i domeny jest łatwość przejęcia całego ruchu serwera. Domeny state.gov czy gmail.com są lepiej zabezpieczone przed przejęciem niż clintonemail.com, kupiona w firmie Network Solutions. Warto także pamiętać, że w roku 2010 Network Solutions odnotowała poważne włamanie, w trakcie którego podmieniono zawartość tysięcy domen w jej usłudze hostingowej.
Z drugiej strony posiadanie własnej skrzynki daje pewne, nieraz bardzo istotne zalety. Clinton sama przyznała, że chodziło jej głównie o wygodę, jednak trzeba pamiętać, że korzystając z dwóch telefonów łatwo o pomyłkę i np. wysłanie wiadomości poufnej z konta niezaufanego. W przypadku jednego urządzenia przynajmniej wiadomo, że do tego rodzaju pomyłki nie mogło dojść. Musimy także zdawać sobie sprawę z tego, że konto pocztowe w domenie state.gov nie rozwiązuje automagicznie problemów bezpieczeństwa. Nie dalej jak kilka miesięcy temu system pocztowy Departamentu Stanu został wyłączony wobec podejrzeń ataku włamywaczy a administratorzy rzekomo do dzisiaj nie mogą sobie poradzić z usunięciem intruzów. Swoją drogą korzystanie z rządowej infrastruktury IT musi być dość uciążliwe – niedawno wyszło także na jaw, że ambasador USA w Kenii miał tak bardzo dosyć wsparcia IT oferowanego przez Departament Stanu, że kazał zainstalować komercyjne łącze internetowe w swojej łazience i oficjalnie pozwolił pracownikom ambasady na korzystanie z prywatnych kont pocztowych do celów służbowych.
Czy Hillary Clinton naraziła siebie i interesy USA na niepotrzebne ryzyko? Pewnie nigdy się nie dowiemy, tak samo jak nie dowiemy się, czy ktoś włamał się do jej serwera pocztowego. Na pewno dobrym komentarzem do tej sprawy może być fakt, że Hillary w czerwcu 2011 rozesłała do wszystkich pracowników Departamentu Stanu oficjalne wytyczne dotyczące bezpieczeństwa prywatnych kont poczty elektronicznej. Oprócz wskazówek, jak zabezpieczyć swój prywatny adres, znajduje się tam wyraźna informacja, iż korzystanie z prywatnych skrzynek do celów służbowych jest niewskazane. Zawsze mogła także iść w ślady swojego męża, który według jego rzecznika prasowego w całym swoim życiu wysłał zaledwie dwa emaile.
Źródła:
- Gawker: Hacked Emails Show Hillary Clinton Was Receiving Advice at a Private Email Account From Banned, Obama-Hating Former Staffer
- Gawker: How Unsafe Was Hillary Clinton’s Secret Staff Email System?
- The New York Times: Hillary Clinton Used Personal Email Account at State Dept., Possibly Breaking Rules
- The New York Times: Using Private Email, Hillary Clinton Thwarted Record Requests
- The New York Times: Complete text of Hillary Clinton’s remarks on e-mails, Iran
- The Wall Street Journal: Bill Clinton Still Doesn’t Use Email
- The Washington Post: State Department shuts down its e-mail system amid concerns about hacking
- Wired: Hillary Clinton says her email was secure; she can’t know
- Ars Technica: The Ambassador who worked from a Nairobi bathroom to avoid State Dept. IT
- Fox News: State Department cable, June 28, 2011
- Associated Press: House committee subpoenas Clinton emails in Benghazi probe
- The Daily Beast: Hillary Email ‘Scandal’? Not So Fast
- KrebsOnSecurity: Hundreds of Network Solutions Sites Hacked
- DNS History, WHOIS
Komentarze
A skad wiadomo że intel skrzynki clinton załączniki nie byly szyfrowane ?
Co to za telefon, że nie mogła skonfigurować kilku kont email?
Prawdopodobnie z dedykowanego szyfrowanego rządowego urządzenia. Konfiguracja mogła nie zezwalać na prywatne funkcje właśnie ze względu na bezpieczeństwo i konieczność zachowania tajemnicy państwowej. W USA powszechnym służbowym telefonem było Blackberry działające z dedykowanymi rządowymi usługami BES. Co do działania samej Hilary z prywatnym kontem mailowym to po prostu lenistwo/głupota, ale myślę raczej, że polityczne cwaniactwo. Niewygodna poczta jest łatwiej usuwalna z prywatnego serwera niż oficjalnego, gdzie każda wiadomość szła do rządowego archiwum. O łatwości zatarcia śladów na domowym urządzeniu już nie wspomnę. Jeszcze jedna myśl mi się nasuwa: zawsze bardziej elegancki będzie pozłacany srajfon od Diora z kryształami Swarowskiego, niż stara kanciata jeżynka…
@krowasc – też myślę,że o to w istocie może chodzić. Własny serwer oznacza łatwiejsze ukrycie wszelkich własnych machinacji politycznych,wykorzystywania pozycji do prywatnych celów i „wycięcia” niewygodnych faktów. Dodajmy do tego jeszcze działalność partyjną (neutralne politycznie służby specjalne nie ingerujące w rozgrywki polityczne – no błagam) poza zewnętrzną kontrolą.
Oczywiście atak na „uprowadzenie domeny” czy coś podobnego owszem,jest niebezpieczeństwem.Oczywiście – jej serwer mógł być gorzej zabezpieczony (choć nie jest wykluczone,że był lepiej zabezpieczony – a przynajmniej lepiej zabezpieczony przed własnymi służbami) – no ale: coś za coś.
„Własny serwer oznacza łatwiejsze ukrycie wszelkich własnych machinacji politycznych,wykorzystywania pozycji do prywatnych celów i „wycięcia” niewygodnych faktów.”
A co z danymi które lecą w cyberświat? Ich nie ukryjesz, bo w którymś momencie stały się niewygodne. Poza tym, NSA na pewno lukała na ten prywatny serwer Hillary, więc mieli jej korespondencję jak na dłoni. I Bóg wie kto jeszcze lukał tam, a staruszka Clinton cieszyła się jak głupia, że ma swoją pocztę.
Nie jestem pewien czy poczta i pliki na takim serwerze są bezpieczniejsze
„A co z danymi które lecą w cyberświat? Ich nie ukryjesz, bo w którymś momencie stały się niewygodne.”
Wszystkiego się nie posprząta,ale część rzeczy zawsze da się zataić.
„Nie jestem pewien czy poczta i pliki na takim serwerze są bezpieczniejsze”
Tu nie chodzi o UNIWERSALNE bezpieczeństwo.To było na 90% gorsze.Chodzi o większe bezpieczeństwo przed CZĘŚCIĄ ADMINISTRACJI mającą nieoficjalny dostęp do serwerów gov przez „znajomych”.Naprawdę przy tego typu biurokratycznych systemach „atak od środka” nie wymaga NSA. O bezpieczeństwo przed „mniejszymi figurami” i częścią współpracowników. Słowem – jeśli chodzi o utrudnienie pomniejszym przywódcom demokratów i republikanów dobrania się do jej skrzynki – mogło działać. No i co innego „serwisowanie” przez służby domeny gov,a co innego atak na prywatną skrzynkę wysoko postawionego VIPa. Naprawdę podczas serwisowania czy pentestu można zrobić też sporo „brzydkich” rzeczy.
Gdyby NSA coś TAKIEGO akurat jak inwigilowanie Hillary udowodniono byliby w niezłych opałach,bo oficjalnie obywateli Amerykańskich nie powinni ruszać. Ale zgadam się,że raczej głupia babcia Hillary spaprała generalnie sprawę…
Po 1sze to NSA z pewnoscia rejestrowala i przegladala wszystkie maile zwiazane z administracją USA a juz na pewno dotyczylo to sluzb i dep. spraw zagranicznych gdzie ryzyko szpiegostwa tudziez szantazu politykow jest ogromne. A skoro Obama byl okablowany jeszcze za senatora to co dopiero Hilary.
Po drugie o ile mi wiadomo to NSA moze spokojnie podsluchiwac amerykanina jezeli dostal lub wyslal wydomosc od/do obcokrajowca :) czyli …bardzo często.
Dodatkowo jezeli wiadomosci sa wymieniane miedzy amerykanami to sposobem na to jest wspolpraca z brytyjczykami a oni maja prawo nagrywac amerykanow. Takie brytyjskie proxy do podsluchiwania calej populacji w usa bylo omawiane przez Snowdena jaka wyjątkowo wredne i chamskie zagranie.
Literówka ;)
[email protected]
Zawiesili ci strone :D