Historia polskiego mobilnego antywirusa za 2 mln PLN, którego nie było

dodał 26 stycznia 2018 o 20:57 w kategorii Prawo  z tagami:
Historia polskiego mobilnego antywirusa za 2 mln PLN, którego nie było

Jak pewnie wszyscy się zgodzicie, najlepiej wydaje się cudze pieniądze. Gorzej, że czasem wydawane są nasze pieniądze – z budżetu państwa lub Unii Europejskiej. Losy takich projektów można prześledzić na przykładzie z naszej działki.

Media poinformowały dzisiaj, że CBA zatrzymało w Krakowie i Warszawie dwie osoby, podejrzane o wyłudzenie 2 milionów złotych od Polskiej Agencji Rozwoju Przedsiębiorczości na utworzenie polskiego systemu antywirusowego. Przyjrzeliśmy się sprawie – i warto pokazać, jak bardzo tego antywirusa nigdy nie było.

Krótkie śledztwo

Początkowe komunikaty prasowe nie wskazywały na nazwę podmiotu lub marki, która była przedmiotem śledztwa. Na trop naprowadził nas tweet h0wlu:

Faktycznie, trop wyglądał wiarygodnie. Szybka wizyta w Google potwierdziła spostrzeżenia Pawła, a do prasy trafił dłuższy komunikat wskazujący na firmę Laboratorium MSF. Słyszeliście kiedyś o takim antywirusie? Nie? Co za zaskoczenie.

Szybka wizyta na stronach PARP pozwala potwierdzić, że firma Laboratorium MSF otrzymała dwie dotacje:

POIG.04.02.00-12-024/09 Laboratorium MSF Sp. z o.o. Projekt budowy i uruchomienia LabMSF – Laboratorium badawczo-rozwojowego systemów bezpieczeństwa mobilnego małopolskie 1,011,500.00
POIG.01.04.00-12-115/09-00; POIG.04.01.00-12-115/09-00 Laboratorium MSF Sp. z ograniczoną odpowiedzialnością Warszawa; mazowieckie Uniwersalna platforma bezpieczeństwa użytkowników mobilnych LabMSF Platform – Mobile Secure Family 1,241,250.00

Mamy zatem ładną kwotę 2,2 mln PLN – ale gdzie jest antywirus?

Dofinansowania miały miejsce w latach 2010 i 2012, zatem czasu na zbudowanie programu nie brakowało. Szukamy antywirusa. Trafiamy na profil firmy na Facebooku, z ostatnim wpisem z sierpnia 2017 i historią sięgającą początków roku 2011. Wpisów jest kilkadziesiąt, większość jeszcze z 2011, dotyczą głównie technologii mobilnych, jednak nie natrafiamy na żaden ślad firmowych produktów. Wpisy od 2012 są po angielsku (wcześniej były po polsku), a od 2013 pojawiają się z intensywnością kilku rocznie. Antywirusa brak. Poszukajmy zatem na Twitterze.

Konto firmy w tym serwisie założone było w roku 2012, lecz publikowało jedynie kopie wpisów z Facebooka. Trafiamy za to na trop antywirusa! W nagłówku profilu znajduje się link do „darmowego antywirusa”.

Link prowadzi do aplikacji w sklepie Androida, która została już usunięta – pozostała tylko kopia z Archive.org.

Z uwagi na użycie skracacza bit.ly możemy zobaczyć statystyki. Od kwietnia 2015 do dzisiaj link był odwiedzony 42 razy (w tym raz przez nas). Imponujące.

To może inne produkty?

Paweł odnalazł inną aplikację firmy – LabMSF Authorisation. Namierzył też APK „antywirusa”. Kiedy jednak do niego zajrzał, znalazł niezłe ciekawostki:

Tak, hasło do usługi zapisane było na stałe w kodzie a sekret brzmi „zaiste”.

Niestety strona firmy już nie działa, ale jej piękno możemy podziwiać w Archive.org.

Oczywiście nie mogło zabraknąć najważniejszego elementu strony – i nie chodzi tu o link do pobrania produktu firmy, a o…

jedyną słuszną stopkę wskazującą, kto za to wszystko zapłacił.

Kiedy już znaleźliśmy linka do opisu produktu „Authorisation” okazało się, że jest tam tylko pusty fragment szablonu WordPressa. Z kolei w zarchiwizowanym linku do firmowego bloga znaleźliśmy… reklamę Viagry.

To jak z tym antywirusem

Może antywirus był, działał, tylko firma sobie nie poradziła? Odpowiedź na to pytanie mogą przybliżyć wyniki testów uznanej organizacji AV Test z marca 2012 roku. Wzięła ona do obróbki kilkadziesiąt dostępnych wówczas programów antywirusowych dla Androida i LabMSF Antivirus beta zajął zaszczytne ostatnie miejsce (ex aequo z MobileBot Antivirus), ponieważ NIE WYKRYŁ ŻADNEJ PRÓBKI, łącznie z plikiem testowym EICAR. Parafrazując Kapitana Bombę:

-Mamy 2 wiadomości, dobrą i złą, od której zacząć?
-Od złej
-Nie działa
-A ta dobra?
-Zbudowaliśmy antywirusa

Co ciekawe, aplikacja doczekała się w roku 2014 swojego CVE – ktoś odkrył, że nie weryfikuje prawidłowo certyfikatów przy łączeniu ze swoimi serwerami. Gdyby ktoś chciał rzucić okiem na kod tego „antywirusa”, to znaleźliśmy wersję 1.0.2 do pobrania.

Co na to CBA

Trzeba przyznać, że CBA też doceniło wysiłek autorów aplikacji. Zarzuty dotyczą przedłożenia w latach 2009-15 r. do Polskiej Agencji Rozwoju Przedsiębiorczości nierzetelnych wniosków o dofinasowanie ze środków Programu Operacyjnego Innowacyjna Gospodarka na lata 2007-13, dwóch projektów informatycznych. Szczegóły wskazują na

przedkładanie w celu rozliczania tych projektów wniosków o płatności zawierających nieprawdziwe pisemne oświadczenia odnośnie realizacji projektów oraz nierzetelne dokumenty, w wyniku czego Polska Agencja Rozwoju Przedsiębiorczości została wprowadzona w błąd co do istotnych okoliczności mających wpływ na rekomendację płatności i przyznanie refundacji wydatków związanych z realizacją zadań objętych dofinasowaniem oraz doprowadzona do niekorzystnego rozporządzenia mieniem znacznej wartości w kwocie 2,15 mln zł.

Czekamy na wynik sprawy i liczymy na szybkie postępowanie, bo lista „innowacyjnych” projektów informatycznych finansowanych z naszych pieniędzy, które umarły śmiercią gwałtowną jest długa.