Co wiemy o rosyjskich szpiegach w poczcie polskich wojskowych
Jutrzejszy Wprost ma opublikować szczegóły informacji o tym, że rosyjscy szpiedzy uzyskali dostęp do tysięcy emaili polskich wojskowych. Informacje do tej pory ujawnione przez tygodnik są jednak bardzo niejasne.
Wprost opublikował artykuł pod tytułem Rosjanie szpiegowali Sztab Generalny Wojska Polskiego. Niestety nie tylko nie zawiera on żadnych szczegółów technicznych, ale także jest niemożliwy do weryfikacji i niejasny w swoim sensacyjnym przekazie.
Co wiemy o domniemanym ataku
Zacznijmy od tego, czego atak rzekomo dotyczył. Według informatorów Wprost był to „bardzo poważny atak hakerski skierowany głównie na prywatną pocztę elektroniczną osób pracujących w MON i Sztabie Generalnym Wojska Polskiego”. Zatem wygląda na to, że celem „hakerów” były prywatne skrzynki pocztowe pracowników kluczowych organów wojska. Wprost donosi, że pracownicy wykazywali się brakiem odpowiedzialności przy korzystaniu z prywatnej poczty. Z drugiej strony informuje także, że sprawę badało ABW i nie wykryło przypadku kradzieży istotnych informacji. Wiemy także, że „atak był prowadzony z serwerów na Łotwie” – jednak brak jakichkolwiek dalszych informacji na ten temat.
Co ciekawe, domniemanym skutkiem ataku miała być między innymi dymisja generała Janusza Noska, szefa Służby Kontrwywiadu Wojskowego. Do dymisji doszło we wrześniu 2013 roku, co oznacza, ze wspomniany atak musiał mieć miejsce jeszcze wcześniej. Wprost twierdzi, że atak był również jedną z przyczyn odejścia Krzysztofa Bondaryka, szefa Narodowego Centrum Kryptologii MON, który nie chciał być kojarzony z takim poziomem ochrony informacji.
Problemy logiczne i merytoryczne
Krótki tekst Wprost zostawia nas z wieloma pytaniami i brakiem odpowiedzi. Zacznijmy od skali ataku. Wprost twierdzi, że „przejętych zostało co najmniej tysiąc maili osób pracujących w wojsku”. Czy oznacza to tysiąc skrzynek pocztowych czy tysiąc wiadomości poczty elektronicznej? W tym pierwszym przypadku liczba brzmi całkowicie niewiarygodnie. Pomijamy już trudność w uzyskaniu listy tysiąca prywatnych adresów email osób zatrudnionych w armii. Nawet gdyby jakimś cudem szpiegom się to udało, to nie oznacza to przecież automatycznego dostępu do tych skrzynek (chyba że podsłuchiwali ruch MON pod Mostem Łazienkowskim…). Z kolei jeśli mowa jest o tysiącu wiadomości, to równie dobrze może to oznaczać włamanie do jednego konta jednego pracownika i przejęcie jego zawartości, co nie jest incydentem godnym głębszego rozważania.
Drugą niewiadomą jest waga zdarzenia. Z jednej strony w artykule Wprost czytamy, że w tej sprawie ABW przeprowadziło kontrolę, w której wyniku stwierdzono, że żadne istotne informacje nie zostały wykradzione. Skoro tak, to czy faktycznie skutkiem ataku mogły być dwie dymisje bardzo ważnych funkcjonariuszy? Nie wygląda to wiarygodnie.
Kolejną zagadką jest czas zdarzenia i czas jego konsekwencji. Jeśli do ataku doszło przed wrześniem 2013, to czemu miał on mieć wpływ na dymisję generała Bondaryka, do której doszło w styczniu 2015? Czekał półtora roku ze swoją decyzją? Wygląda to na mocno naciąganą tezę. Z kolei Wprost dowiedział się o sprawie podobno w lutym 2014 – czemu zatem czekał ponad rok z publikacją? Kolejny brak logiki.
Wielką niewiadomą są także informatorzy gazety, opisani jako „jedna z najbardziej wpływowych postaci w środowisku polskich służb specjalnych”, „rozmówca z resortu obrony narodowej” czy też „poseł 1” i „poseł 2”. To już rewelacje o Durczoku były lepiej udokumentowane.
Ciekawe mogą być także rozważania o tym, skąd polskie służby dowiedziały się o ataku. Czy na wykradzione informacje trafił kontrwywiad? Raczej nie, ponieważ to właśnie SKW została wskazana jako służba, której zaniedbania mogły przyczynić się do sukcesu włamywaczy. Skąd zatem wiedza o skali ataku? Wydaje się to jednym z najciekawszych pytań w tej sprawie.
Nie pierwszy i nie ostatni
MON stanowi jeden z głównych celów zagranicznych włamywaczy. Nie jest to pierwszy atak na tę instytucję. Pod koniec zeszłego roku dowiedzieliśmy się o ataku grupy APT28, prawdopodobnie pochodzenia rosyjskiego, która zarejestrowała domenę poczta.mon.g0v.pl w celu kradzieży haseł polskich wojskowych. Strona MON padła także ofiarą włamywaczy w styczniu 2012 (podobno przez błąd weryfikacji danych na formularzu wniosku o akredytację prasową). Od tamtej pory na serwery WWW MON nie można było nawet wchodzić przez Tora. Z kolei w ogromnym wycieku danych z serwerów firmy Adobe znalazło się 7 kont zarejestrowanych w domenie mon.gov.pl. Jak zatem widać, możliwości skutecznych ataków zawsze było wiele.
Domeny rejestrowane przez APT28
Nie liczymy za bardzo na więcej merytorycznych informacji w jutrzejszym artykule Wprost, ale jeśli ktoś z Czytelników chciałby się podzielić wiedzą na temat powyższego ataku, to zapraszamy do kontaktu i gwarantujemy anonimowość.
Aktualizacja 2015-03-02
Na podstawie artykułu opublikowanego w papierowym wydaniu możemy dodać, że wg Wprost:
- atak nie dotyczyły tylko Polski, ofiarami byli również wojskowi z innych krajów, np. Niemiec,
- atak miał miejsce w lipcu 2013,
- o ataku dowiedziała się ABW od łotewskich służb,
- atak dotknął kilkudziesięciu prywatnych skrzynek.
Z kolei wg oficjalnego stanowiska MON, które uzyskał Wprost:
Niestety po ujawnieniu pełnej treści publikacji Wprost nie jesteśmy dużo mądrzejsi. Źródło Wprost mówi o prywatnych skrzynkach, MON o służbowych. Ciekawie wyglądają także nieużywane konta na serwerach MON z niezmienionymi „hasłami startowymi” w możliwej do odgadnięcia formie. Może było to normą w 1999, ale w 2013?
Podobne wpisy
- Przestańcie nagłaśniać rosyjskie ataki DDoS – to ich akcje propagandowe
- Sobowtóry i liczne fałszywe nazwiska, czyli wszystkie (?) paszporty Prigożyna
- Operacja Triangulacja, czyli jak rosyjskie służby sieją dezinformację w oparciu o cudze badania
- Więcej informacji o wycieku danych Polaków – przyczyny, skutki, relacje firm i użytkowników
- Kilka milionów loginów i haseł z Polski wyciekło do sieci
No wprost ostatnio szaleje jeśli chodzi o jakość informacji, ich wiarygodność. Ciekawe czy to też ze śmietnika MON wygrzebali?
Czytałem dzisiejszy Wprost. Moim zdaniem dobra gazeta i jakością a także wiarygodnością informacji nie odbiega od innych polskich mediów.
A Narodowe Centrum Kryptologii to jakaś porażka i wywalenie pieniędzy podatnika w błoto. Cieszą się tak dużym „zaufaniem”, że nawet nie nadzorowali wyborów 2014. A jak nadzorowali to tym gorzej świadczy o nich. Kolejna organizacja, która nie wiadomo czym się zajmuje i po co jest.
Jak to po co ? Kaska leci dla znajomych polityków albo dla ludzi panów z wojska czy dla profesorów. Z drugiej strony – ta instytucja dopiero „raczkuje” gdy powinna istnieć od kilkudziesięciu lat więc nic dziwnego. No i kryptologia NIE JEST od analizowania źle zrobionego kodu w C#,PHP, ( zwłaszcza gdy kodu nie poddawano obfuskacji ;) ) Kryptologia jest oe przekazywania informacji tak,by osoby postronne nic z tej (z reguły ZASZYFROWANEJ) wiadomości nie zrozumiały – albo w formie zabezpieczania takiej wiadomości albo dobierania się do takiej wiadomości by ją jednak podsłuchać i zrozumieć.
Mam nadzieję,że ta wypowiedź wyjaśniła ci czym się różni kryptologia od „bug-huntingu” i testowania oprogramowania tudzież testów penetracyjnych. Proszę bardzo. :)
Na otarcie łez, po włamie (?) Ruskich na pocztę, poczytajcie o genialnym polskim narodowym szyfratorze: http://www.imk.wat.edu.pl/index.php/38-szyfrator-narodowy-nagrodzony-na-110-miedzynarodowych-targach-wynalazczosci-concours-lepine
Jak ktoś ma ochotę to zapraszam na świeży portal vigila semper poświęcony bezpieczeństwu IT, ochronie informacji i służbom specjalnym:
http://zawszeczujni.blogspot.com/