szukaj

09.12.2014 | 11:08

avatar

Adam Haertle

Raport CERT.GOV.PL o fatalnym podejściu PKW do bezpieczeństwa

Rzeczpospolita opublikowała dzisiaj informacje pochodzące z raportu Rządowego Zespołu Reagowania na Incydenty Komputerowe na temat sytuacji w PKW. Wirusy w sieci wewnętrznej, ignorowanie zgłoszeń o problemach – nie wygląda to dobrze.

Na stronach Rzeczpospolitej można przeczytać bardzo niepokojące informacje o poziomie kultury bezpieczeństwa (lub jej całkowitym braku) w Państwowej Komisji Wyborczej. Nie jest to przyjemna lektura.

Mamy zainfekowane systemy, ale nie powiemy nikomu

Jak do tej pory PKW nie przyznała się, że już 24 września, czyli ponad miesiąc przed wyborami, otrzymała informacje o infekcji wewnętrznych systemów. Nie wiemy niestety, o jakim złośliwy oprogramowaniu mowa ani jak doszło do infekcji i jej wykrycia – możemy się tylko domyślać, że w procesie przejmowania ruchu od zakażonych maszyn (sinkholing) prowadzonym przez którąś z organizacji zajmujących się bezpieczeństwem natrafiono na adresy IP wchodzące w zakres adresacji w dyspozycji PKW. RP pisze o serwisach wybory.kbw.gov.pl oraz poczta.kbw.gov.pl – jeśli nie są to tylko „bramki” dostępu do sieci, to może to oznaczać infekcję ważnych serwerów i jest bardzo niepokojącą wiadomością.

Kolejnym poważnym incydentem z raportu było opisane jako pierwsze w naszym serwisie udostępnienie w sieci wersji testowej systemu wyborczego. Mimo wycieku wielu potencjalnie poufnych informacji incydent ten był lekceważony przez PKW.

Treść zapytania SQL (obraz celowo pomniejszony)

Treść zapytania SQL (obraz celowo pomniejszony)

Odmowa pomocy i gwałtowna zmiana frontu po włamaniu

Dzień po wyborach zespół CERT.GOV.PL zaproponował PKW pomoc w przywróceniu systemu do prawidłowego funkcjonowania. Dyrektor odpowiedzialny w PKW za informatykę odmówił tej pomocy, twierdząc, że jego zespół wraz z dostawca poradzą sobie z problemami. Dwa dni później ten sam dyrektor poprosił w trybie pilnym o pomoc po tym, jak Niebezpiecznik opublikował informację o wycieku danych z bazy PKW (prawdopodobnie przez błąd SQLi opublikowany miesiąc wcześniej na forum Devilteam). Dyrektor odszedł już z pracy, ale niesmak pozostał. Oby był to jedyny skutek zaniedbań.

Powrót

Komentarze

  • avatar
    2014.12.09 12:32 qqqqqqqq

    Tak właśnie w Polsce wygląda ignorancja w ITsec. Niekompetentni ludzie, podejmują błędne decyzje, dzięki czemu skutki liczymy w dziesiątkach złotych. :)

    Fajnie jest. Aż chce się pomagać, jak znajdzie się gdzieś przypadkiem dziureczkę .;]

    Odpowiedz
  • avatar
    2014.12.09 13:05 HecSec

    Przepraszam za polityczny komentarz ale wszyscy powinni się obudzić i zlikwidować partyjny system wyborów a wprowadzić jednomandatowy system! Przecież jak te trupy komunistyczne nie dostana głosów ich partia ich nominuje na wysokie, odpowiedzialne stanowiska i hulaj dusza nikt im nie przeszkodzi umieścić swoich ekspertów, pożal się Boże!

    Odpowiedz
    • avatar
      2014.12.09 13:55 LordBlick

      Każdy system wyborczy da się obejść przy tak niskiej świadomości politycznej. Medialnie.

      Odpowiedz
    • avatar
      2014.12.09 16:02 Ner

      Jedyny kompetentny system to monarchia absolutna. Raczej król nie zatrudniłby ekspertów dziadów by mu wirusy latały po komputerach. Zdarzają się źli monarchowie, jak S. Poniatowski w Polsce, ale demokracja zawsze jest zła.

      Odpowiedz
      • avatar
        2014.12.10 00:54 faneoi

        Oczywiście królem ma być sam Jezus Korwin-Mikke c’nie?

        Odpowiedz
      • avatar
        2014.12.11 07:33 Krzysiu

        Mówiąc o złym komunizmie porównujemy teoretyczną, dobrą demokrację, do praktycznego komunizmu. Mówiąc o pięknej monarchii, porównujemy jej romantyczną, utopijną wizję do praktycznej demokracji. A może tak wszystkie systemy porównać jak wychodzą w praktyce? :)

        A znacie anarchoprymitywizm? To pogląd, że ludzie z buszu mają pieskie życie. Nie imają się ich choroby, mają pełno jedzenia, a cały dzień spędzają na opieprzaniu się w zdrowiu, nasyceniu i szczęściu. To tak mi się przypomniało a propos tego jak fajna jest monarchia ze sprawiedliwym królem, mądrymi doradcami, wiernymi poddanymi. I jeszcze mi się przypomnieli przedstawiciele szkockich klanów zadumani, siedzący kamieniu, a ich blade twarze mienią się różowym rumieńcem. O, takie: http://en.wikipedia.org/wiki/File:Munro_%28R._R._McIan%29.jpg. I starczy ludzie, którzy pamiętają jak za ich czasów było super, nie było pedofilii, morderstw, a dzieciaki się bawiły do 3 w nocy na dworze.

        No tak. Monarchia, szkockie klany, anarchoprymitywizm, wspomnienia starych ludzi. Taka romantyczna nostalgia za czymś, czego naprawdę nigdy nie było.

        Odpowiedz
  • avatar
    2014.12.09 20:04 Alunmunin

    Wycieki nie są domena tylko polskiego it. Jednak inni poważnie podchodzą do już zaistniałej sytuacji. Według mnie ludzie z PKW powinni odpowiedzieć karnie za te horrendalną wtopę.

    Odpowiedz
  • avatar
    2014.12.09 22:15 Jcsnckc@

    Ani słowa o tym, że jedynymi osobami, którym mogło zależeć na zleceniu włamań do PKW są politycy.

    Odpowiedz
  • avatar
    2014.12.09 23:54 ows21

    Rozwiązanie problemu oszust na wyborach, pewnie nigdy nie będzie wdrożone
    Polskie napisy można włączyć na dole

    http://www.ted.com/talks/david_bismark_e_voting_without_fraud

    Odpowiedz
    • avatar
      2014.12.11 17:53 Krzysiu

      Tak dziwnie przesyłać film na Z3S gdzie gość mówi o absolutnym bezpieczeństwie systemu. Jakby takie systemy istniały, to by nie było Z3S. Piękna teoria, ale pomija masę wektorów ataku. Niech nie wprowadzają tego w Polsce. Jak w USA testowali superbezpieczny system wyborczy, to wygrał Bender Rodriguez. Poczytaj o tym.

      Odpowiedz
  • avatar
    2014.12.10 23:57 malpiadama

    Wy nadal nie dostrzegacie tego, co jest istotne, a co zostało wypowiedziane ustami „decydentów” — państwa nie ma, jest chvj, dvpa i kamieni kupa. Bezpieczeństwo IT to jest malutki kamyczek na górze łajna.

    Warszawa, SOR w jednym ze szpitali (Wołoska) — badania i decyzje po 23h oczekiwania (bez jedzenia, bez napojów, bo „kupse” (tzn. jest automat z batonikami), ale nie zawsze trafiając na SOR masz pod ręką wypchany portfel i telefon). Pod dziwną folią leży człowiek, myślisz, że może trup, ale po tej prawie dobie coś tam się rusza — bezdomny, nie będzie narzekał, że więc na SOR leży już trzeci dzień (łóżko otoczone folią, jak jakiegoś „zakaźnego”, pod wyciągiem, co by… nie wydzielał zapachu). Na SOR brak organizacji, pacjenci „losowani” — nie wsadzisz buta w drzwi, to też poczekasz 3 dni.

    Dalej medycznie? Brak badań przesiewowych — stąd „epidemia” raka, bo wykrywa się go często, jak jest już za późno. A nawet jak coś wyjdzie, to lekarze często bagatelizują i nie wysyłają na dokładne badania (wiadomo, kosztuje), trzeba na każdym kroku walczyć o swoje. Tymczasem idąc do lekarza ufasz, że jeżeli nie wysyła cię na dalsze badania, to jest zdrowy.

    Znajomy ma sprawę o posiadanie, bo złapali go z lufą i… wydrapywali ze środka — „posiadanie 0,07 mg” (aż dziwne, że na stronie policja nie chwaliła się zatrzymaniem dilera, który miał „100 porcji konsumenckich”).

    Wynajmowany lokal usługowy, przecieka odpływ, administrator przysyła hydraulików, którzy robią byleco, ale „u mnie” już nie cieknie. Pytam czy nie zalewam piwnicy? „Oj panie, tam jest taki syf, że może sobie pokapać dwa dni”. Mija miesiąc, nadal cieknie i to coraz bardziej, hydraulicy zapowiadali się już dwa razy i ani razu nie przyszli. Tumiwisizm.

    Konfilkt na Ukrainie, Rosja pręży muskuły, a UE? No my tak, jak najbardziej, pomagamy! Tzn. wy polacy macie blisko, to wy to zróbcie — a my co? My oczywiście musimy tańczyć jak nam zagrają. Dlaczego Niemcy się nie postawią? Francja? Tymczasem my się mamy zbroić za 1,5 mld i nastepnego dnia jakiś pajac z USA już ma u nas wizytę i już namawia do kupowania ich sprzętu (najlepiej takiego, ktory ma już 10-20 lat). I wiecie co? My to kupimy. Jestem o tym przekonany.

    Więzienia CIA? To już poniżej krytyki, dali kilka zielonych, a my im z wazeliną nadstawiamy 4 litery. Torturujcie sobie, my nic nie wiemy, nic nie widzimy. Później się zdziwimy, jak będzie, że „w polskich tajnych wiezieniach torturowano A albo B”.

    Robert N. i jego rajd? Wymiar sprawiedliwości to kpina (patrz: państwa nie ma), obywatele oglądają ten kabaret i jak tu wierzyć w sprawiedliwość? Gość, który wydawał opinię o stwarzaniu niebezpieczeństwa katastrofy lądowej jakiś oderwany od rzeczywistości. Tymczasem niepełnosprawnego za batonik to szybciutko do więzienia. Sprawy najlepiej kończyć szybko, żeby przełożony klepnął — sędziowie to też komedia, kolejni oderwani od rzeczywistości „nietykalni”.

    Najgorsze w tym wszystkim jest to, że nie ma żadnej realnej alternatywy. PO jest beznadziejne, niewiele, jeżeli cokolwiek, zrobiło dla dobra przedsiębiorców (nadal są w kolejności: potencjalnym złodziejami, dojnymi krowami, wyzyskiwaczami, a gdzieś na szarym końcu tymi, którzy dają ludziom pracę (no, ale wszystkie pociotki pewnie i tak już mają ciepłe posadki w budżetówce i okolicach)). PiS — oszołomy, JKM tak samo. Palikot zamiast robić swoje, to został włazidupem PO. PSL/SLD/inne „czerwone” bez komentarza.

    Nie o taką Polskę walczyliśmy…

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Raport CERT.GOV.PL o fatalnym podejściu PKW do bezpieczeństwa

Komentarze