Kilka ciekawych szczegółów na temat „największego wycieku w historii”

dodał 14 kwietnia 2016 o 21:33 w kategorii Info, Prywatność, Włamania  z tagami:
Kilka ciekawych szczegółów na temat „największego wycieku w historii”

Kilka dni temu dziennikarze ujawnili gigantyczny wyciek danych z panamskiej kancelarii podatkowej i prawnej Mossack Fonseca. Jak prawie 3 terabajty informacji mogły ujrzeć światło dzienne i jak pracowali nad nimi dziennikarze?

Mimo iż od ujawnienia wycieku upłynęło już trochę czasu to ciągle wiele pytań dotyczących tej afery pozostaje bez odpowiedzi. Nie znamy źródła wycieku ani szczegółowego przebiegu ujawnienia milionów plików. Dostępne dane pozwalają nam jednak spojrzeć za kulisy tej sprawy i przyjrzeć się dwóm wątkom: technologiom ochrony danych stosowanych przez dziennikarzy pracujących nad sprawą oraz potencjalnym podatnościom w serwerach firmy mogących być wskazówką metody zdobycia informacji.

Jak to było możliwe

Dziennikarze śledczy pracowali nad ogromnym zbiorem dokumentów przez około rok. Skłania to do zadania kluczowego pytania: jakim cudem kilkuset dziennikarzy z setki różnych tytułów utrzymało przez wiele miesięcy tak ogromny wyciek w tajemnicy? Bez wątpienia ważnym elementem była elitarność grupy pracującej nad materiałami i pełna świadomość, ze jeśli ktokolwiek złamie embargo i opublikuje cokolwiek wcześniej niż przewidywały wewnętrzne ustalenia to już nigdy więc tak ciekawego tematu na oczy nie zobaczy. Pomocą w utrzymaniu tajemnicy służyła także technologia. Dopiero pytania rozesłane przez dziennikarzy do osób występujących w dokumentach uchyliły rąbka tajemnicy na kilka dni przed publikacją pierwszych artykułów.

Osoba która wykradła dane najpierw nawiązała kontakt z dziennikarzem Süddeutsche Zeitung. Komunikacja odbywała się za pomocą różnych aplikacji szyfrujących (dziennikarz nie chciał wyjawić ich nazw) a za każdym razem rozmówcy potwierdzali swoją tożsamość ustalonym wcześniej zestawem pytania i odpowiedzi. Dziennikarz przekazał otrzymane dokumenty Międzynarodowemu Stowarzyszeniu Dziennikarzy Śledczych, które podjęło się koordynowania prac nad dokumentami. Sam dziennikarz fizycznie zniszczył telefon oraz komputer za pomocą których komunikował się ze źródłem wycieku – jak sam twierdzi „na wszelki wypadek”. Dane dotarły na dyskach twardych, zaszyfrowane za pomocą programu VeraCrypt. Pliki zawierające prawie 5 milionów emaili, ponad 2 miliony dokumentów PDF i ponad milion plików graficznych zostały wgrane na serwery Amazona. Do ich przeszukiwania wykorzystano narzędzie oparte na Apache Solr  oraz Apache Tika, umożliwiające indeksowanie także plików PDF czy graficznych. Przygotowanie plików do ich przeszukiwania zajęło wiele miesięcy a podobno nadal nie wszystkie piki zostały zindeksowane. Interfejs dostępu do danych oparty był na Blacklight a do wizualizacji powiązań wykorzystywano  Neo4j oraz Linkurious. Główny serwis znajdował się pod niepublikowanym nigdzie linkiem (obecnie adres jest już nieaktywny) i obsługiwał wyłącznie połączenia HTTPS. Istniała także druga, jeszcze lepiej zabezpieczona sekcja, w której dziennikarze mogli dzielić się swoimi odkryciami i rozmawiać w swoim gronie. Mechanizmy współpracy oparte były o Oxwall a dostęp do tej części serwisu wymagał użycia aplikacji Google Authenticator. Wygląda zatem na to, że nawet dziennikarze potrafią sensownie zbudować system analizy i zabezpieczenia informacji.

Jak mogło dojść do włamania

Pierwszy i jak na razie jedyny komunikat firmy Mossack Fonseca wspomina o udanym ataku na serwer pocztowy, co biorąc pod uwagę charakter wydobytych danych i ich zakres (sięgają 40 lat wstecz) wydaje się być tylko wierzchołkiem góry lodowej.

Amatorzy testowania bezpieczeństwa serwisów WWW od razu zabrali się za strony firmy Mossack Fonseca i znaleźli kilka potencjalnych problemów:

  • webmail obsługiwany był przez Outlook Web Access 2009
  • portal dla klientów podatny był na atak DROWN
  • sam portal obsługiwany był przez Drupala w wersji z roku 2013
  • główna strona obsługiwana była przez WordPressa sprzed 3 miesięcy
  • wtyczka Revolution Slider była podatna na atak zdalnego wykonania kodu
  • serwery pocztowe nie korzystały z TLSa

Oczywiście są to tylko pasywne obserwacje oparte na nagłówkach lub też istnieniu pewnych plików na serwerze WWW a same usługi mogły być załatane, lecz jeden z użytkowników poszedł o krok dalej i opublikował informacje wykradzione z serwera firmy:

Wynik włamania

Wynik włamania

Jak zatem widać, potencjalny włamywacz miał pewne pole do popisu. Pojawiają się także teorie mówiące, że za wyciekiem mogą stać rosyjskie służby specjalne, jednak oczywiście brak na to jakichkolwiek dowodów.

Źródła: Forbes, SZ, Wired, Mashable, Wired, Wordfence.