Niecodzienne czasy wzywają do niecodziennych rozwiązań. Doświadczamy tego wszyscy w mniejszym lub większym stopniu. Doświadcza także Kancelaria Sejmu, a my kawałek tych doświadczeń widzimy i komentujemy.
Nagła, przymusowa i nieco chaotyczna cyfryzacja w dobie przymusowej lub dobrowolnej kwarantanny jest sporym wyzwaniem technologicznym. Firmy dowiadują się, ile mają naprawdę licencji na VPN-a, rodzice dowiadują się, za co biorą pieniądze nauczyciele, a Kancelaria Sejmu poznaje numery telefonów do posłów.
Ale ja już nie jestem posłem
Zdalne posiedzeniu Sejmu to rozsądny ruch z punktu widzenia epidemiologicznego, lecz bardzo skomplikowany problem z punktu widzenia organizacji, technologii i prawa. Część tych problemów wyszła na jaw dzisiaj, gdy prezydent Warszawy Rafał Trzaskowski ujawnił, że otrzymał na swój numer telefonu nietypowe SMS-y.
Wiadomość od nadawcy „K.Sejmu” miała treść:
Ponizej przesylamy Pani/Pana login: [tu login] i haslo : [tu hasło] do aplikacji Polycom (RealPresenceHD), ktora znajduje sie juz na Panstwa tabletach w razie problemow prosze konakt na nr. [tu numer]
Pomińmy błędy interpunkcyjne (wypada ich nie robić w oficjalnej komunikacji…) i przyjrzyjmy się ważniejszych sprawom.
Problem pierwszy
Nazwa nadawcy (zamiast numeru telefonu) w żaden sposób nie gwarantuje tożsamości nadawcy. Wiedzą o tym świetnie złodzieje, którzy np. wysyłają wiadomości jako InPost, powodując, że telefony ofiar wyświetlają je w taki oto sposób:
Nic zatem nie stoi na przeszkodzie, by ktoś o złych intencjach i znajomości numerów telefonów posłów wysłał kolejną wiadomość z tą samą nazwą nadawcy o np. odwołaniu posiedzenia. Lepiej jest jednak wysyłać wiadomości z konkretnego, stałego numeru telefonu (jeśli to już naprawdę muszą być SMS-y, bo polscy posłowie nie mają bezpieczniejszego kanału komunikacji…). Numer telefonu nadawcy też się da podrobić, ale wymaga to większego zachodu niż podrobienie samej nazwy (do czego wystarczy 5 PLN i bramka online).
Problem drugi
Wiadomość, którą otrzymał pan Trzaskowski, w swojej treści zawierała zarówno login, jak i hasło dostępowe do systemu. W naszym kursie wideo Security Awareness „Bezpieczeństwo Dla Każdego” mamy osobną lekcję poświęconą hasłom i powtarzamy prostą zasadę – hasło i login lub dokument, z którym jest skojarzone, nie jadą tym samym środkiem komunikacji. To nie znaczy także, że jednym SMS-em wysyłamy login, a drugim hasło – no, chyba że są to SMS-y (jeśli już muszą to być SMS-y…) na dwa różne numery telefonu. To prosta zasada, a jednak Kancelarii Sejmu udało się ją złamać.
Problem trzeci
Posłowie mają korzystać z aplikacji Polycom RealPresence, zainstalowanej na sejmowych tabletach. Polycom to rozwiązanie biznesowe z najwyższej półki. Nie wiemy, w jakim modelu licencyjnym Kancelaria Sejmu zakupiła to rozwiązanie, ale lektura jego umowy użytkownika oraz polityki prywatności jest ciekawa. Zwrócił na to uwagę na Twitterze Rafał Skrzypek:
My spojrzeliśmy jeszcze do polityki prywatności, gdzie są lepsze kwiatki:
We may also collect/obtain certain non-Personal Information from you including, but not limited to, your browser type (e.g., Netscape or Internet Explorer), operating system (e.g., Windows or Macintosh), Internet service provider, IP address, websites visited, the domain name from which you accessed the Services (e.g., yahoo.com), how you use and interact with our Products (for example, we collect information about the related hardware, technical configurations, settings, licenses, versions), and meta-data about how you use the Product, (such as the length of usernames and passwords (but never the content)).
Nasze tłumaczenie:
Możemy także zbierać pewne dane nie stanowiące danych osobowych, takie jak między innymi rodzaj przeglądarki, system operacyjny, dostawca internetu, adres IP, odwiedzone strony WWW, domena, z jakiej uzyskujesz dostęp, sposób, w jaki używasz naszego produktu (na przykład zbieramy informacje o konfiguracjach technicznych, ustawieniach, licencjach, wersjach) oraz metadane na temat używania produktu (jak np. długość nazwy użytkownika i haseł (ale nigdy ich treść)).
Odwiedzone strony WWW? Długość hasła? Jeśli te warunki dotyczą produktu, za pomocą którego polscy posłowie będą za parę dni głosować, to chyba coś tu jest nie w porządku. Oczywiście jest także możliwość, że Kancelaria Sejmu wynegocjowała odpowiednie warunki tych umów, sprzęt niezbędny do realizacji usługi jest w całości pod kontrolą Kancelarii Sejmu i żadne dane nie są przekazywane producentowi. Jest taka możliwość.
Problem czwarty
Jak zauważył na Twitterze Maciej Broniarz:
Loginy do aplikacji są publicznie znane – to identyfikatory posłów, dostępne także na stronie Sejmu. Na dokładkę serwer, z którym posłowie mieli się łączyć, prezentował dzisiaj witrynę z nieprawidłowym certyfikatem SSL (obecnie wydaje się wyłączony).
Problem piąty
W sumie chyba najciekawszy – otóż wiadomość, którą otrzymał pan Trzaskowski, wcale nie była dla niego przeznaczona. SMS-a z tymi danymi miał otrzymać poseł Michał Urbaniak. Czy to oznacza, że Kancelaria Sejmu rozesłała wiadomości z loginem i hasłem do platformy zdalnej pracy na numery telefonów, które nie zostały wcześniej zweryfikowane?
Dyrektor Centrum Informacyjnego Sejmu, Andrzej Grzegrzółka, skomentował problem słowami:
[…] doszło do pewnego rodzaju nieporozumienia i błędu. Warto zaznaczyć, że skala tej operacji jest olbrzymia, zaś zastosowane rozwiązania bezprecedensowe.
Zgadzamy się w pełni, że są to wydarzenia bezprecedensowe. Mamy jednak nadzieję, że do kolekcji wydarzeń bezprecedensowych nie dołączą kolejne incydenty związane z bezpieczeństwem technologicznym platformy do zdalnej pracy.
Podsumowanie
Wszystkie powyższe punkty wołają jednym głosem – niech ktoś to przeaudytuje. Wiemy z rozmów z wieloma osobami zaangażowanymi w bezpieczeństwo cyfrowe kraju, że Kancelaria Sejmu jest (lub przynajmniej była) wyjątkowo oporna na wszelkie próby współpracy czy też kontroli ze strony organów odpowiedzialnych za kwestie bezpieczeństwa. Mamy nadzieję, że się to zmienia i system Polycom i procedury z nim związane przejdą porządny audyt bezpieczeństwa.
Komentarze
Hej, sąsiad z Zeromeskiego? :)
Szukacie dziury w całym.
Będzie 150% frekwencji podczas głosowania, kto głosował? A czy to ważne, ma wygrać partia rządząca….
W sejmie pracują tylko ludzie ale widać nie mają działu zajmującego się bezpieczeństwem co jest chyba skandalem bo w tym przypadku zapadną decyzje które mają wpływ na los kraju bez żadnej gwarancji że głosujący to właśnie głosujący który jest do tego uprawniony. To chyba narusza poważnie prawo ale nie znam się aż tak na prawie.
Przecież to budżetówka i do tego rządówka, to po co audyt? Żeby się okazało, że informatyk, notabene kuzyn wybitnego, pobożnego kryształowego posła, to ignorant?
Przecież w budżetówce pracują najlepsi z najlepszych, wybrani z najlepszych i do tego prawdziwi patrioci.
A tymczasem w prorządowych mediach: o tym, że aplikacja „kwarantanna domowa” będzie obowiązkowa i o tym, że informatycy Sejmu nie boją się Władimira Putina:
https://wpolityce.pl/polityka/493282-wiceminister-buk-mam-pewnosc-ze-putin-nie-glosuje-z-nami
Trzymajcie mnie bo zacznę rzucać k… na tych co nami rządzą!
Tylko po co Putin miałby wtrącać się do zdalnego głosowania, jak ma świetnych agentów na samej górze.
Tak dla przypomnienia, to agenci ci uziemili 56 sztuk migów 29 czyli wszystkie. Ud.pili przetargi na modernizację Leopardów i Caracale. Czy potrzeba czegoś więcej? Zakupili bez przetargów ale za to za wyższą ceną F35, które może dostaniem za kilka lat, na co się nie zanosi.
Dodatkowo wywalana jest kasa na niewidzialny czołg.
Mocno walisz, więc podam Ci taśmę z nabojami. Program „Mustang”, czyli Honker wiecznie żywy. Armia nie potrafi kupić wozów, którymi będzie dowozić grochówkę na poligon. Wszystko wskazuje na to, że Nissany spadną z rowerka. No i malowanie hełmów wz. 67, remonty Mi-2, badanie o ile można przedłużyć resursy Mi-24, i nieśmiertelne szelki- dusicielki :-)
Pełna zgoda, to jest wtopa! Nie można by wykorzystać czegoś, co już działa, np. Profilu Zaufanego jako SSO do logowania?
A może po prostu próbowali wrobić Trzaskowskiego? Może już nawet mieli przygotowany pasek „Czaskoski głosuje za innych posłów” ?
Widzę że część komentujących jest równie „profesjonalna” – mowa nie o systemie do zdalnych wyborów tylko do zdalnych posiedzeń Sejmu.
taa… a te przyciski [za] [przeciw] [wstrzymuję się] są dla hecy?
no i słowo „tablet” wskazuje na posła – dziennikarze/widzowie nie mają rozdanych przez Sejm tabletów.
Chyba grupy przestępcze są lepiej zorganizowane i zabezpieczone jeśli chodzi o bezpieczną komunikacje niż nasz Rząd.
W sedno! Problem w tym, że szeregowi posłowie jak też ministrowie – są w większości cyfrowymi analfabetami. Wiem jak wygląda praca takich kwiatków – czase muszę się użerać się w podmiotach publicznych… Tyle że on nich zależy najwyżej czy pasek wypłaty dla pana kazia będzie dobry czy nie ew. czy pani halinka do zusu wyśle papierek czy go zeskanuje po w Wordzie ew załączy w Excelu… to i tak będzie sukces…
I ok – nie każdy musi – ale w rządowych – powinni mieć służby które ograniałyby to stado – edukując – albo biorąc za mordę…
W punkt!
A nie wpadliście na pomysł, że ten zrzut z telefonu, może pochodzić od kogoś innego niż Trzaskowski i ta osoba ma Kancelarię Sejmu po prostu dodaną do swoich kontaktów w iPhonie? To wcale nie SMS wysłany bez numeru. Litości!
A to nie jest tak, że być może Kancelaria Sejmu jednak wysyła sms-y z konkretnego numeru, tylko Pan Trzaskowski ma zapisany ten numer jako
„K.Sejmu”?
Co ciekawe teraz poseł może dać małżonce login i hasło – choć jak wiadomo nikt tego nie zrobi bo to łamanie zasad bezpieczeństwa.
I już się głosuje :) świat idzie do przodu- demokracja też. Może lepiej od razu członkowie partii dadzą swoje głosy w zarząd głównodowodzącego- wszystkim będzie łatwiej ;-)
Tak jak ktos wspomniał, nie można udostępnić euslugi głosowania? Weryfikacja przez epuap, każde głosowanie nowa sprawa. Problemem jest 6 pewnie 6 tylko to, że posłowie nie mają epuapa. Na szybko nie założą, no nie wszyscy mają konto6w banku.
Władimir Putin: Lubię to!
> skala tej operacji jest olbrzymia
460 poslow to olbrzymia skala? chrystepanie. taka liczbe mozna obsluzyc bez problemu „recznie”.
Tak dla przypomnienia do kogo ma w zwyczaju dzwonić Putin https://www.youtube.com/watch?v=GgKYhXcZ_FQ
’Warto zaznaczyć, że skala tej operacji jest olbrzymia,’
Wysłanie smsów do 460 posłów to olbrzymia skala? No sory, ale ja codziennie wysyłam smsy do ponad 500 ludzi, a bywają i takie dni, że 1500.
Login zaczyna się na Posel (to wiemy z artykułu)
Hasło tego konkretnego zaczyna się na S i kończy na 6!
(to wiemy ze screena czaskającego). Po wielkości czcionki można oszacować jego długość. Podobno wiadomo czyj to był login więc poszukać trzeba jego legitymacji w necie, może wrzucił fotkę – mamy login.
Trochę zabawy w zgadywanie i głosuje jakiś Mirek z internetów ;)
Mam na myśli to, że czaskoski też się nie popisał publikując takie coś nie do końca dobrze zamazane.
Zakładając, że nie zostanie zablokowany po nieudanej próbie.
Wiemy też że w haśle nie ma wszystkich znaków ASCII jak ą.
I najważniejsze, jak zamierzasz się dostać do sejmowego tableta ? Zakładam że musisz mieć fizyczny dostęp do sprzętu, a nie że całość będzie sobie ot tak dostępna z sieci.
Tylko nie próbuj dopatrywać się fake newsa w samej wiadomości, co moim zdaniem jest prawdopodobne.
Wszystko w tym kraju tak działa ;(
idą miliardy złoty na inwestycje które są technologicznie złe że ręce opadają
Bezprecendensowe to będzie jak 15 latek z piwnicy u taty będzie mógł zagłosować w sejmie :D
Adasiu dlaczego jesteś taki stanowczy