Kilka dni temu dziennikarze ujawnili gigantyczny wyciek danych z panamskiej kancelarii podatkowej i prawnej Mossack Fonseca. Jak prawie 3 terabajty informacji mogły ujrzeć światło dzienne i jak pracowali nad nimi dziennikarze?
Mimo iż od ujawnienia wycieku upłynęło już trochę czasu to ciągle wiele pytań dotyczących tej afery pozostaje bez odpowiedzi. Nie znamy źródła wycieku ani szczegółowego przebiegu ujawnienia milionów plików. Dostępne dane pozwalają nam jednak spojrzeć za kulisy tej sprawy i przyjrzeć się dwóm wątkom: technologiom ochrony danych stosowanych przez dziennikarzy pracujących nad sprawą oraz potencjalnym podatnościom w serwerach firmy mogących być wskazówką metody zdobycia informacji.
Jak to było możliwe
Dziennikarze śledczy pracowali nad ogromnym zbiorem dokumentów przez około rok. Skłania to do zadania kluczowego pytania: jakim cudem kilkuset dziennikarzy z setki różnych tytułów utrzymało przez wiele miesięcy tak ogromny wyciek w tajemnicy? Bez wątpienia ważnym elementem była elitarność grupy pracującej nad materiałami i pełna świadomość, ze jeśli ktokolwiek złamie embargo i opublikuje cokolwiek wcześniej niż przewidywały wewnętrzne ustalenia to już nigdy więc tak ciekawego tematu na oczy nie zobaczy. Pomocą w utrzymaniu tajemnicy służyła także technologia. Dopiero pytania rozesłane przez dziennikarzy do osób występujących w dokumentach uchyliły rąbka tajemnicy na kilka dni przed publikacją pierwszych artykułów.
Spooked Kremlin spokesman tells Russian media that @ICIJorg to run special report about Putin, his fam, Rotenbeg etc https://t.co/N9kKKWUVDm
— Ryskeldi Satke (@RyskeldiSatke) March 28, 2016
Osoba która wykradła dane najpierw nawiązała kontakt z dziennikarzem Süddeutsche Zeitung. Komunikacja odbywała się za pomocą różnych aplikacji szyfrujących (dziennikarz nie chciał wyjawić ich nazw) a za każdym razem rozmówcy potwierdzali swoją tożsamość ustalonym wcześniej zestawem pytania i odpowiedzi. Dziennikarz przekazał otrzymane dokumenty Międzynarodowemu Stowarzyszeniu Dziennikarzy Śledczych, które podjęło się koordynowania prac nad dokumentami. Sam dziennikarz fizycznie zniszczył telefon oraz komputer za pomocą których komunikował się ze źródłem wycieku – jak sam twierdzi „na wszelki wypadek”. Dane dotarły na dyskach twardych, zaszyfrowane za pomocą programu VeraCrypt. Pliki zawierające prawie 5 milionów emaili, ponad 2 miliony dokumentów PDF i ponad milion plików graficznych zostały wgrane na serwery Amazona. Do ich przeszukiwania wykorzystano narzędzie oparte na Apache Solr oraz Apache Tika, umożliwiające indeksowanie także plików PDF czy graficznych. Przygotowanie plików do ich przeszukiwania zajęło wiele miesięcy a podobno nadal nie wszystkie piki zostały zindeksowane. Interfejs dostępu do danych oparty był na Blacklight a do wizualizacji powiązań wykorzystywano Neo4j oraz Linkurious. Główny serwis znajdował się pod niepublikowanym nigdzie linkiem (obecnie adres jest już nieaktywny) i obsługiwał wyłącznie połączenia HTTPS. Istniała także druga, jeszcze lepiej zabezpieczona sekcja, w której dziennikarze mogli dzielić się swoimi odkryciami i rozmawiać w swoim gronie. Mechanizmy współpracy oparte były o Oxwall a dostęp do tej części serwisu wymagał użycia aplikacji Google Authenticator. Wygląda zatem na to, że nawet dziennikarze potrafią sensownie zbudować system analizy i zabezpieczenia informacji.
Jak mogło dojść do włamania
Pierwszy i jak na razie jedyny komunikat firmy Mossack Fonseca wspomina o udanym ataku na serwer pocztowy, co biorąc pod uwagę charakter wydobytych danych i ich zakres (sięgają 40 lat wstecz) wydaje się być tylko wierzchołkiem góry lodowej.
"Oops" #PanamaPapers pic.twitter.com/ISwm6II4Hc
— WikiLeaks (@wikileaks) April 3, 2016
Amatorzy testowania bezpieczeństwa serwisów WWW od razu zabrali się za strony firmy Mossack Fonseca i znaleźli kilka potencjalnych problemów:
- webmail obsługiwany był przez Outlook Web Access 2009
- portal dla klientów podatny był na atak DROWN
- sam portal obsługiwany był przez Drupala w wersji z roku 2013
- główna strona obsługiwana była przez WordPressa sprzed 3 miesięcy
- wtyczka Revolution Slider była podatna na atak zdalnego wykonania kodu
- serwery pocztowe nie korzystały z TLSa
Oczywiście są to tylko pasywne obserwacje oparte na nagłówkach lub też istnieniu pewnych plików na serwerze WWW a same usługi mogły być załatane, lecz jeden z użytkowników poszedł o krok dalej i opublikował informacje wykradzione z serwera firmy:
Wynik włamania
Jak zatem widać, potencjalny włamywacz miał pewne pole do popisu. Pojawiają się także teorie mówiące, że za wyciekiem mogą stać rosyjskie służby specjalne, jednak oczywiście brak na to jakichkolwiek dowodów.
Komentarze
Fakt, że nad wyciekiem pracowały tak 'wybitne’ redakcje jak Guardian czy Gazeta Wyborcza, sam w sobie powinien powodować zapalenie się czerwonej lampki. Kolejną kwestią do zastanowienia jest jak to możliwe, że z Polski znalazły się tam (przynajmniej według GW) jedynie trzy osoby, podczas gdy z prawie 4-krotnie mniejszych Czech jest to kilkaset osób.
musisz zdawać sobie sprawę z tego że to tylko jedna kancelaria z jednego kraju. podobnych firm i kancelarii jest na pęczki więc nie ma co się spodziewać że w znajdziemy tu wszystkie osoby korzystające z tego typu usług.
Z jednej strony masz rację, że trudno się tu spodziewać wszystkich w jednej kancelarii, z drugiej – podejrzewam, że jak jeden z naszej lokalnej sitwy skorzystał to pewnie kumplom powiedział. No i fakt, że bezstronność GW jest mocno wątpliwa… Z trzeciej strony, gdyby to dostała Gazetka Polska to pewnie byśmy zobaczyli inny zestaw zdemaskowanych.
Teraz będzie niestety trudniej zdobyć dane z pozostałych takich kancelarii bo na pewno pośpiesznie zatrudnili kogoś od zabezpieczeń.
Zastanawiający jedynie jest twój komentarz. Jak można było pomyśleć, że cała „elita” świata korzysta z jednej kancelarii, w jednym kraju z listy rajów podatkowych.
„dziennikarze potrafią sensownie zbudować system analizy i zabezpieczenia informacji” – tak, dziennikarze :) :) :) polecam poszperac, jak brakuje pomyslu to najprostszym, follow the money. Swoja droga na DI byl niezly artykul o tym tzw. „wycieku”.
sorry, nie DI, ale dobreprogramy
„Pojawiają się także teorie mówiące, że za wyciekiem mogą stać rosyjskie służby specjalne” – gdyby tak było, to wśród dokumentów byłyby materiały obciążające m.in. USA, Niemcy i Izrael, a takowych nie ma. Są za to materiały szkodzące Rosji i jej przyjaciołom oraz generalnie pisząc wrogom USA, takim jak Chiny czy Syria. Stąd teorie (bardziej sensowne niż wywiad Rosji), że to CIA. Zwłaszcza że pan Mossack jest synem zasłużonego żołnierza Waffen-SS, który po zakończeniu wojny zbiegł do USA i zaczął współpracować z CIA.
O święta naiwności, Rosjanie potrafili wysadzać bloki z własnymi obywatelami, wsadzać do więzień zbutnowanych oligarchów, mordować w wyrafinowany sposób dysydentów, co to w ogóle za argument „szkodzenie swoim” – wówczas autor w oczywisty sposób wskazałby siebie, nie sądzisz? Legendowanie. Rosjanie są naturalnie pierwszym podejrzanym ponieważ w ich interesie jest jak największy bałagan na zachód od nich, zawsze wtedy na tym zyskują, to jest ich strategia polityczna od 300 lat.
Widac, ze bardzo dobrze przygotowane, az za dobrze :) daje to do myslenia. Co do materialow to w polowie maja ma byc nastepna czesc danych (listy osob itd).
Nie wydaje mi się, aby przyczynił się do tego rosyjskie służby specjalne, biorąc pod uwagę, że jest tam zbyt wiele dokumentów obciążających chociażby samego Putina.
Nie samego Putina ale osoby z jego otoczenia, to spora roznica.
Co z tego? Przecież rosyjskie media są w rękach Putina. Ludzie popierający Putina nawet jak się o tym dowiedzą (a pewnie nie bardzo) to i tak dalej będą go popierać – bo Krymnasz, bo Wielka Rosja, bo wojsko ma dobrze i jest wódka (tania).
Putin nie taki święty, jak niektórym wydawało się. Ukrywał majątek na masową skalę, a każdy myślał, że walczył z korupcją :D
Bardziej Soros. Już raz „jąkałe” wpuścił jako pierwszego do IPN-u by mieć „haki” na ścierwo, które dorwało się do władzy po 1989r. Teraz jest potrzebna nowa wiedza o przekrętach polskiej „elyty” poniekąd tej samej co współpracowała kiedyś z SB.