25.03.2020 | 21:30

Adam Haertle

5 powodów, dla których system zdalnego głosowania w Sejmie powinien przejść audyt

Niecodzienne czasy wzywają do niecodziennych rozwiązań. Doświadczamy tego wszyscy w mniejszym lub większym stopniu. Doświadcza także Kancelaria Sejmu, a my kawałek tych doświadczeń widzimy i komentujemy.

Nagła, przymusowa i nieco chaotyczna cyfryzacja w dobie przymusowej lub dobrowolnej kwarantanny jest sporym wyzwaniem technologicznym. Firmy dowiadują się, ile mają naprawdę licencji na VPN-a, rodzice dowiadują się, za co biorą pieniądze nauczyciele, a Kancelaria Sejmu poznaje numery telefonów do posłów.

Ale ja już nie jestem posłem

Zdalne posiedzeniu Sejmu to rozsądny ruch z punktu widzenia epidemiologicznego, lecz bardzo skomplikowany problem z punktu widzenia organizacji, technologii i prawa. Część tych problemów wyszła na jaw dzisiaj, gdy prezydent Warszawy Rafał Trzaskowski ujawnił, że otrzymał na swój numer telefonu nietypowe SMS-y.

Wiadomość od nadawcy „K.Sejmu” miała treść:

Ponizej przesylamy Pani/Pana login: [tu login] i haslo : [tu hasło] do aplikacji Polycom (RealPresenceHD), ktora znajduje sie juz na Panstwa tabletach w razie problemow prosze konakt na nr. [tu numer]

Pomińmy błędy interpunkcyjne (wypada ich nie robić w oficjalnej komunikacji…) i przyjrzyjmy się ważniejszych sprawom.

Problem pierwszy

Nazwa nadawcy (zamiast numeru telefonu) w żaden sposób nie gwarantuje tożsamości nadawcy. Wiedzą o tym świetnie złodzieje, którzy np. wysyłają wiadomości jako InPost, powodując, że telefony ofiar wyświetlają je w taki oto sposób:

Dwie wiadomości, prawdziwa i fałszywa

Nic zatem nie stoi na przeszkodzie, by ktoś o złych intencjach i znajomości numerów telefonów posłów wysłał kolejną wiadomość z tą samą nazwą nadawcy o np. odwołaniu posiedzenia. Lepiej jest jednak wysyłać wiadomości z konkretnego, stałego numeru telefonu (jeśli to już naprawdę muszą być SMS-y, bo polscy posłowie nie mają bezpieczniejszego kanału komunikacji…). Numer telefonu nadawcy też się da podrobić, ale wymaga to większego zachodu niż podrobienie samej nazwy (do czego wystarczy 5 PLN i bramka online).

Problem drugi

Wiadomość, którą otrzymał pan Trzaskowski, w swojej treści zawierała zarówno login, jak i hasło dostępowe do systemu. W naszym kursie wideo Security Awareness „Bezpieczeństwo Dla Każdego” mamy osobną lekcję poświęconą hasłom i powtarzamy prostą zasadę – hasło i login lub dokument, z którym jest skojarzone, nie jadą tym samym środkiem komunikacji. To nie znaczy także, że jednym SMS-em wysyłamy login, a drugim hasło – no, chyba że są to SMS-y (jeśli już muszą to być SMS-y…) na dwa różne numery telefonu. To prosta zasada, a jednak Kancelarii Sejmu udało się ją złamać.

Problem trzeci

Posłowie mają korzystać z aplikacji Polycom RealPresence, zainstalowanej na sejmowych tabletach. Polycom to rozwiązanie biznesowe z najwyższej półki. Nie wiemy, w jakim modelu licencyjnym Kancelaria Sejmu zakupiła to rozwiązanie, ale lektura jego umowy użytkownika oraz polityki prywatności jest ciekawa. Zwrócił na to uwagę na Twitterze Rafał Skrzypek:

Umowa użytkownika

My spojrzeliśmy jeszcze do polityki prywatności, gdzie są lepsze kwiatki:

We may also collect/obtain certain non-Personal Information from you including, but not limited to, your browser type (e.g., Netscape or Internet Explorer), operating system (e.g., Windows or Macintosh), Internet service provider, IP address, websites visited,  the domain name from which you accessed the Services (e.g., yahoo.com), how you use and interact with our Products (for example, we collect information about the related hardware, technical configurations, settings, licenses, versions), and meta-data about how you use the Product, (such as the length of usernames and passwords (but never the content)).

Nasze tłumaczenie:

Możemy także zbierać pewne dane nie stanowiące danych osobowych, takie jak między innymi rodzaj przeglądarki, system operacyjny, dostawca internetu, adres IP, odwiedzone strony WWW, domena, z jakiej uzyskujesz dostęp, sposób, w jaki używasz naszego produktu (na przykład zbieramy informacje o konfiguracjach technicznych, ustawieniach, licencjach, wersjach) oraz metadane na temat używania produktu (jak np. długość nazwy użytkownika i haseł (ale nigdy ich treść)).

Odwiedzone strony WWW? Długość hasła? Jeśli te warunki dotyczą produktu, za pomocą którego polscy posłowie będą za parę dni głosować, to chyba coś tu jest nie w porządku. Oczywiście jest także możliwość, że Kancelaria Sejmu wynegocjowała odpowiednie warunki tych umów, sprzęt niezbędny do realizacji usługi jest w całości pod kontrolą Kancelarii Sejmu i żadne dane nie są przekazywane producentowi. Jest taka możliwość.

Problem czwarty

Jak zauważył na Twitterze Maciej Broniarz:

Loginy do aplikacji są publicznie znane – to identyfikatory posłów, dostępne także na stronie Sejmu. Na dokładkę serwer, z którym posłowie mieli się łączyć, prezentował dzisiaj witrynę z nieprawidłowym certyfikatem SSL (obecnie wydaje się wyłączony).

Problem piąty

W sumie chyba najciekawszy – otóż wiadomość, którą otrzymał pan Trzaskowski, wcale nie była dla niego przeznaczona. SMS-a z tymi danymi miał otrzymać poseł Michał Urbaniak. Czy to oznacza, że Kancelaria Sejmu rozesłała wiadomości z loginem i hasłem do platformy zdalnej pracy na numery telefonów, które nie zostały wcześniej zweryfikowane?

Dyrektor Centrum Informacyjnego Sejmu, Andrzej Grzegrzółka, skomentował problem słowami:

[…] doszło do pewnego rodzaju nieporozumienia i błędu. Warto zaznaczyć, że skala tej operacji jest olbrzymia, zaś zastosowane rozwiązania bezprecedensowe.

Zgadzamy się w pełni, że są to wydarzenia bezprecedensowe. Mamy jednak nadzieję, że do kolekcji wydarzeń bezprecedensowych nie dołączą kolejne incydenty związane z bezpieczeństwem technologicznym platformy do zdalnej pracy.

Podsumowanie

Wszystkie powyższe punkty wołają jednym głosem – niech ktoś to przeaudytuje. Wiemy z rozmów z wieloma osobami zaangażowanymi w bezpieczeństwo cyfrowe kraju, że Kancelaria Sejmu jest (lub przynajmniej była) wyjątkowo oporna na wszelkie próby współpracy czy też kontroli ze strony organów odpowiedzialnych za kwestie bezpieczeństwa. Mamy nadzieję, że się to zmienia i system Polycom i procedury z nim związane przejdą porządny audyt bezpieczeństwa.

Powrót

Komentarze

  • 2020.03.25 21:56 Pete

    Hej, sąsiad z Zeromeskiego? :)

    Odpowiedz
  • 2020.03.26 07:39 RC

    Szukacie dziury w całym.

    Będzie 150% frekwencji podczas głosowania, kto głosował? A czy to ważne, ma wygrać partia rządząca….

    Odpowiedz
  • 2020.03.26 08:30 Pablo

    W sejmie pracują tylko ludzie ale widać nie mają działu zajmującego się bezpieczeństwem co jest chyba skandalem bo w tym przypadku zapadną decyzje które mają wpływ na los kraju bez żadnej gwarancji że głosujący to właśnie głosujący który jest do tego uprawniony. To chyba narusza poważnie prawo ale nie znam się aż tak na prawie.

    Odpowiedz
  • 2020.03.26 08:53 John Sharkrat

    Przecież to budżetówka i do tego rządówka, to po co audyt? Żeby się okazało, że informatyk, notabene kuzyn wybitnego, pobożnego kryształowego posła, to ignorant?
    Przecież w budżetówce pracują najlepsi z najlepszych, wybrani z najlepszych i do tego prawdziwi patrioci.

    Odpowiedz
    • 2020.03.28 02:22 Rob14

      A tymczasem w prorządowych mediach: o tym, że aplikacja „kwarantanna domowa” będzie obowiązkowa i o tym, że informatycy Sejmu nie boją się Władimira Putina:

      https://wpolityce.pl/polityka/493282-wiceminister-buk-mam-pewnosc-ze-putin-nie-glosuje-z-nami

      Trzymajcie mnie bo zacznę rzucać k… na tych co nami rządzą!

      Odpowiedz
      • 2020.03.28 11:12 John Sharkrat

        Tylko po co Putin miałby wtrącać się do zdalnego głosowania, jak ma świetnych agentów na samej górze.
        Tak dla przypomnienia, to agenci ci uziemili 56 sztuk migów 29 czyli wszystkie. Ud.pili przetargi na modernizację Leopardów i Caracale. Czy potrzeba czegoś więcej? Zakupili bez przetargów ale za to za wyższą ceną F35, które może dostaniem za kilka lat, na co się nie zanosi.
        Dodatkowo wywalana jest kasa na niewidzialny czołg.

        Odpowiedz
        • 2020.03.28 20:42 Panpiernik

          Mocno walisz, więc podam Ci taśmę z nabojami. Program „Mustang”, czyli Honker wiecznie żywy. Armia nie potrafi kupić wozów, którymi będzie dowozić grochówkę na poligon. Wszystko wskazuje na to, że Nissany spadną z rowerka. No i malowanie hełmów wz. 67, remonty Mi-2, badanie o ile można przedłużyć resursy Mi-24, i nieśmiertelne szelki- dusicielki :-)

          Odpowiedz
  • 2020.03.26 09:28 Pikolo

    Pełna zgoda, to jest wtopa! Nie można by wykorzystać czegoś, co już działa, np. Profilu Zaufanego jako SSO do logowania?

    Odpowiedz
  • 2020.03.26 10:55 TomaszJ

    A może po prostu próbowali wrobić Trzaskowskiego? Może już nawet mieli przygotowany pasek „Czaskoski głosuje za innych posłów” ?

    Odpowiedz
  • 2020.03.26 13:13 Blob

    Widzę że część komentujących jest równie „profesjonalna” – mowa nie o systemie do zdalnych wyborów tylko do zdalnych posiedzeń Sejmu.

    Odpowiedz
    • 2020.03.27 12:38 wojtek

      taa… a te przyciski [za] [przeciw] [wstrzymuję się] są dla hecy?
      no i słowo „tablet” wskazuje na posła – dziennikarze/widzowie nie mają rozdanych przez Sejm tabletów.

      Odpowiedz
  • 2020.03.26 14:12 Grzegorz

    Chyba grupy przestępcze są lepiej zorganizowane i zabezpieczone jeśli chodzi o bezpieczną komunikacje niż nasz Rząd.

    Odpowiedz
    • 2020.03.27 09:31 Łukasz

      W sedno! Problem w tym, że szeregowi posłowie jak też ministrowie – są w większości cyfrowymi analfabetami. Wiem jak wygląda praca takich kwiatków – czase muszę się użerać się w podmiotach publicznych… Tyle że on nich zależy najwyżej czy pasek wypłaty dla pana kazia będzie dobry czy nie ew. czy pani halinka do zusu wyśle papierek czy go zeskanuje po w Wordzie ew załączy w Excelu… to i tak będzie sukces…

      I ok – nie każdy musi – ale w rządowych – powinni mieć służby które ograniałyby to stado – edukując – albo biorąc za mordę…

      Odpowiedz
    • 2020.03.27 13:32 Krzysiek

      W punkt!

      Odpowiedz
  • 2020.03.26 17:41 RTs

    A nie wpadliście na pomysł, że ten zrzut z telefonu, może pochodzić od kogoś innego niż Trzaskowski i ta osoba ma Kancelarię Sejmu po prostu dodaną do swoich kontaktów w iPhonie? To wcale nie SMS wysłany bez numeru. Litości!

    Odpowiedz
  • 2020.03.27 01:26 Jacek

    A to nie jest tak, że być może Kancelaria Sejmu jednak wysyła sms-y z konkretnego numeru, tylko Pan Trzaskowski ma zapisany ten numer jako
    „K.Sejmu”?

    Odpowiedz
  • 2020.03.27 04:29 Joran

    Co ciekawe teraz poseł może dać małżonce login i hasło – choć jak wiadomo nikt tego nie zrobi bo to łamanie zasad bezpieczeństwa.
    I już się głosuje :) świat idzie do przodu- demokracja też. Może lepiej od razu członkowie partii dadzą swoje głosy w zarząd głównodowodzącego- wszystkim będzie łatwiej ;-)

    Odpowiedz
  • 2020.03.27 07:40 Leszek

    Tak jak ktos wspomniał, nie można udostępnić euslugi głosowania? Weryfikacja przez epuap, każde głosowanie nowa sprawa. Problemem jest 6 pewnie 6 tylko to, że posłowie nie mają epuapa. Na szybko nie założą, no nie wszyscy mają konto6w banku.

    Odpowiedz
  • 2020.03.27 09:20 lusac

    Władimir Putin: Lubię to!

    Odpowiedz
  • 2020.03.27 11:30 Vogel

    > skala tej operacji jest olbrzymia

    460 poslow to olbrzymia skala? chrystepanie. taka liczbe mozna obsluzyc bez problemu „recznie”.

    Odpowiedz
  • 2020.03.28 14:19 John Sharkrat

    Tak dla przypomnienia do kogo ma w zwyczaju dzwonić Putin https://www.youtube.com/watch?v=GgKYhXcZ_FQ

    Odpowiedz
  • 2020.03.28 14:30 ff

    ’Warto zaznaczyć, że skala tej operacji jest olbrzymia,’
    Wysłanie smsów do 460 posłów to olbrzymia skala? No sory, ale ja codziennie wysyłam smsy do ponad 500 ludzi, a bywają i takie dni, że 1500.

    Odpowiedz
  • 2020.03.28 17:33 Pio

    Login zaczyna się na Posel (to wiemy z artykułu)
    Hasło tego konkretnego zaczyna się na S i kończy na 6!
    (to wiemy ze screena czaskającego). Po wielkości czcionki można oszacować jego długość. Podobno wiadomo czyj to był login więc poszukać trzeba jego legitymacji w necie, może wrzucił fotkę – mamy login.
    Trochę zabawy w zgadywanie i głosuje jakiś Mirek z internetów ;)

    Odpowiedz
    • 2020.03.28 17:36 Pio

      Mam na myśli to, że czaskoski też się nie popisał publikując takie coś nie do końca dobrze zamazane.

      Odpowiedz
    • 2020.03.30 01:58 fgbf

      Zakładając, że nie zostanie zablokowany po nieudanej próbie.
      Wiemy też że w haśle nie ma wszystkich znaków ASCII jak ą.

      I najważniejsze, jak zamierzasz się dostać do sejmowego tableta ? Zakładam że musisz mieć fizyczny dostęp do sprzętu, a nie że całość będzie sobie ot tak dostępna z sieci.

      Tylko nie próbuj dopatrywać się fake newsa w samej wiadomości, co moim zdaniem jest prawdopodobne.

      Odpowiedz
  • 2020.03.29 12:25 Duży Pies

    Wszystko w tym kraju tak działa ;(

    idą miliardy złoty na inwestycje które są technologicznie złe że ręce opadają

    Odpowiedz
  • 2020.03.30 21:00 Daniel

    Bezprecendensowe to będzie jak 15 latek z piwnicy u taty będzie mógł zagłosować w sejmie :D

    Odpowiedz
  • 2020.03.31 13:19 Zbyszek

    Adasiu dlaczego jesteś taki stanowczy

    Odpowiedz

Zostaw odpowiedź do fgbf

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

5 powodów, dla których system zdalnego głosowania w Sejmie powinien przejść audyt

Komentarze