01.10.2016 | 22:01

Adam Haertle

Rosyjscy szpiedzy w KNF, czyli jak zawiódł magiczny system Arakis

Polski sektor finansowy obiegła wiadomość o akcji organów ścigania w Komisji Nadzoru Finansowego. Oprócz nadużyć interesujących CBA i NIK w sprawie pojawił się także cyberwątek – zatem cyberreporterzy z3s ruszają do akcji.

Jak pisze Gazeta Finansowa, zmasowana akcja służb w KNFie u swojej podstawy miała głównie wątek korupcji i nadużyć w sprawie upadłego Spółdzielczego Banku Rzemiosła i Rolnictwa w Wołominie, znanego jako SK Bank. Na pokrycie depozytów jego klientów zrzuciły się wszystkie polskie banki (zatem także Pan, Pani i całe społeczeństwo). Przy okazji okazało się, że w Komisji Nadzoru Finansowego sprzedawano pytania egzaminacyjne dla brokerów ubezpieczeniowych, umarzano niewygodne kontrole czy stworzono fundusz imprezowy finansowany z procentu od wziętych łapówek. Nie to jednak nas najbardziej interesuje. Dużo ciekawsza jest historia rosyjskich szpiegów.

Jak zawiódł Arakis

Jak informuje Gazeta Finansowa, ABW miało się dowiedzieć od CBA, że w jednym z departamentów KNF pracuje 4 rosyjskich szpiegów, którzy regularnie przekazują do Rosji kluczowe informacje na temat polskie sektora finansowego. Zacytujmy obszerny fragment artykułu opisujący szczegóły – przeczytajcie uważnie. Najlepiej na siedząco.

Agenci raportowali na bieżąco, nawet nie opuszczając swoich stanowisk pracy. Używali nawet do tego swoich służbowych komputerów. Taka sytuacja teoretycznie nie powinna mieć miejsca. Systemy teleinformatyczne Komisji są stale chronione przez system Arakis-gov – stworzony i monitorowany przez Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL. Jednak to bardzo dobre i niezawodne oprogramowanie miało – jak się okazuje – jedną krytyczną lukę. Jego działanie polega na monitorowaniu przesyłu danych, które są wysyłane i pobierane przez dany komputer. Nikt jednak nie wpadł na to, że informacje mogą być przekazywane… bez ich przesyłania. A tak właśnie działała czwórka szpiegów. Wszyscy oni mieli założone konta pocztowe na rosyjskich serwerach. Po zalogowaniu się na nie z komputerów służbowych KNF, swoje raporty wpisywali w treści wiadomości, której nie wysyłali. Zapisywała się ona tylko jako „kopia robocza”. Następnie na to samo konto pocztowe logował się już zupełnie inny człowiek siedzący po drugiej stronie granicy i tę „kopię roboczą” odczytywał. Wiadomość przekazana, ale przesyłu danych nie ma. System Arakis-gov więc milczy jak zaklęty.

mozg

Nie wiemy w zasadzie od czego zacząć komentarz. Może od tego, że Arakis nigdy nie był, nie jest i raczej nie zostanie w najbliższym czasie systemem monitorującym wycieki danych? Arakis faktycznie chroni sieci najważniejszych rządowych instytucji, lecz chroni je tylko i wyłącznie przed atakami. Jak skomentował to jeden z na co dzień nie przeklinających ekspertów posiadających dobrą wiedzę o tym, jak działa Arakis (wypikaliśmy niektóre słowa bo był dość wylewny):

(piip) jaka banda (piip) pisała ten artykuł, żeby napisać takie (piip) to naprawdę trzeba być (piip).

Po drugie warto zauważyć, że nawet brak wiedzy o tym, jak działa system Arakis, nie upoważnia do pisania takich bzdur. Jeśli komunikacja szpiegów faktycznie przebiegała tak jak to opisano w artykule (choć brzmi to jak scenariusz z taniej powieści szpiegowskiej), to przesyłane treści jakoś trafiały na rosyjski serwer. Twierdzenie, że zapisanie na serwerze danych w formie „kopii roboczych” nie powoduje przesyłu danych, jest tak kuriozalne, że brak nam słów. To jednak nie koniec.

Po rosyjskim serwerze ich poznacie

W dalszej części artykułu czytamy w jaki sposób prowadzono śledztwo w sprawie szpiegostwa:

Oficerowie przekazali część swoich podejrzeń i zażądali pełnego współdziałania od urzędników. Tym nakazano dokładne sprawdzenie systemu i przede wszystkim sprawdzenie, kto logował się na skrzynki mailowe z końcówką „.ru”.

Jak skomentował to inny zapytany przez nas o opinię ekspert,

Shit. Wpadli na trop. Cały schemat działania carskiej ochrany został odkryty. Zablokują na PLIX ruch do .ru i koniec ze szpiegostwem.

Warto także zauważyć, że projekt opublikowanej kilka dni temu Strategii Cyberbezpieczeństwa RP nie przewiduje takich scenariuszy wycieku danych. Cały opis technicznych elementów afery szpiegowskiej jest tak nieprawdopodobny, że w naszej ocenie wygląda na zmyślony. Tak czy inaczej jego lektura dostarcza całkiem solidnej porcji rozrywki.

Powrót

Komentarze

  • 2016.10.01 22:11 KR1S

    Ale goroncy news – wyjebało mi skale w cyberometrze.

    Odpowiedz
    • 2016.10.03 13:03 maslan

      padłem XD

      Odpowiedz
  • 2016.10.01 22:31 P

    Mozna kupic sobie do domu takiego arakisa?

    Odpowiedz
  • 2016.10.01 23:25 Al

    Czyli Polska istnieje teoretycznie a kobkretnie Polski juz nie ma. Po co gineli Polacy w przeszloaci ?

    Odpowiedz
    • 2016.10.02 06:27 marianZ

      Przecież to się kupy nie trzyma i nie sądzę, by po mocnym szkoleniu (szczególnie, że Rosjanie mają sporą wiedzę o bezpieczeństwie informatycznym) jakikolwiek ruski agent wysyłał nieszyfrowane raporty łącząc się jeszcze z domeną .ru. Niektóre malware wysyła twórcom informacje zwrotne metodą „na komentarz” i możliwe, że nawet tak mogliby działać agenci i już mieliby wyższe bezpieczeństwo: Wysyłanie informacji w ustalony sposób w komentarzu w konkretnym artykule.
      Niestety do USA to władze same pielgrzymują i na klęczkach przekazują wszystko, i tego bardziej bym się obawiał niż grupy chcąca zrobić sobie nieprawe konta na pewnej ruskiej stronie +18 :). Za takie szpiegostwo to powinno się obywatelsko zatrzymać cały rząd. A podejrzewam, że owi „agenci” naprzykrzyli się bo byli z czasów PO i trzeba było ich usunąć by wprowadzić ludzi z PiS – ot, polska wolność i demokracja.

      Odpowiedz
    • 2016.10.02 06:59 Paweł

      Polacy w przeszłości ale również niestety w przyszłości walczyli, ginęli i będą umierali w imię idei która zagościła „na salonach” i w głowach dopiero w XVIII wieku za udziałem Johanna Gottfrieda Herdera. Trafiła na podatny grunt ówczesnych ruchów które dzisiaj nazwalibyśmy nacjonalistycznymi. Sam sobie odpowiedz czy warto przelewać krew, czy nie lepiej – wzorem rozsądniejszej części ludzkości – uciec ze strefy zagrożenia gdzieś gdzie nie biją i nie zabijają. Oczywiście, nie zawsze jest to możliwe ale dla mnie pomysł aby rzucać rodzinę i dać się zabić dla jakichś granic, idei, pieniędzy czy „za naród” jest tak idiotyczny, że aż absurdalny. Dlatego swoje dzieci uczę przede wszystkim języków aby przestały być obce i aby miały szansę uciec jak najdalej od szaleństwa wojny. Niestety obawiam się, że za ich życia, a być może jeszcze za mojego w naszym regionie zrobi się mało przyjemnie.

      Odpowiedz
      • 2016.10.04 21:40 Amen

        Tekst codziennej modlitwy wieczornej? Chyba że koment ma ukryty przed mym wzrokiem, całkiem oczywisty, związek merytoryczny z komentowanym artykułem.

        Odpowiedz
  • 2016.10.01 23:52 Shogun

    A co będzie jak rosyjscy szpiedzy będą logować się na polskie serwery pocztowe, a potem na te same konta zalogują się ich pracodawcy z rossiji. Głupszego artu nie czytałem jeszcze tutaj.

    Skąd to wyssaliście.

    Odpowiedz
    • 2016.10.02 02:13 Wiesiu

      glupszego komentarza jeszcze tu nie czytałem… czytanie ze zrozumieniem i https://pl.wikipedia.org/wiki/Analfabetyzm_funkcjonalny

      Odpowiedz
      • 2016.10.02 21:41 Shogun

        To ty przeczytaj dokładnie artykuł – sieroto.

        Odpowiedz
        • 2016.10.04 01:22 Rafał

          Kolega kulturalnie wytknął Ci analfabetyzm a Ty dalej swoje. Serio, spróbuj przeczytać artykuł jeszcze raz, może tym razem się uda.

          Odpowiedz
  • 2016.10.02 01:47 Bartek

    Czy dziś jest 1 kwietnia?

    Odpowiedz
  • 2016.10.02 04:51 Zdzich

    Skoro sami potwierdzacie w artykule że to bzdury to po co nadajecie tytuł który jednak 'obarcza winą’ system Arakis (i dlaczego niby jest on „magiczny”)?

    Odpowiedz
    • 2016.10.02 06:15 Adam

      1. Ironia. 2. Jak widać jego magia udzieliła się autorom artykułu.

      Odpowiedz
    • 2016.10.02 08:29 TomWo

      Zastanawiające jest jak Arakis miałby robić kiedykolwiek coś co rozszywało by ruch SSL/TLS. Czyżby wizja TAPowania polskiego ruchu zbliżała się nieuchronnie ? W państwie wolności Prawa i Swobody NSA tą funkcje realizuje… ;)

      Odpowiedz
      • 2016.10.02 11:57 Mateusz

        „jak Arakis miałby robić kiedykolwiek coś co rozszywało by ruch SSL/TLS”
        tak jak robią to korporacyjne firewalle?

        Odpowiedz
        • 2016.10.03 17:33 mąciciel

          Może tak, że instalują na końcówkach swoje CA?

          Odpowiedz
          • 2016.10.03 18:45 Mateusz

            No, właśnie mówię.

  • 2016.10.02 09:42 Majku

    Chyba Ci Russia Friends nie są wcale tacy Friends

    Odpowiedz
  • 2016.10.02 12:47 John Sharkrat

    Tylko po co serwer z końcówką .ru? Wystarczyło założyć konto na tlenia lub wp, efekt byłby dokładnie ten sam.

    Odpowiedz
  • 2016.10.02 13:37 mmm777

    Jeszcze sporo jest do zrobienia…
    “W lipcu 1942 r. rozpętano tydzień zwalczania szpiegostwa, poprzedzony drugą oficjalną kampanią podniecania ksenofobii, kontynuującą wywołaną nalotem Doolittle’a „kampanię okrucieństwa”. Japonię pokrywają melodramatyczne plakaty, wzywające ludność do czujności wobec zagranicznych szpiegów. Już w szkole wpaja się dzieciom nienawiść do gaidzinów (cudzoziemców), toteż uganiają się one za nimi po ulicach z okrzykiem: Spai! Spai! (Szpieg! Szpieg!). W stolicy i innych wielkich miastach organizuje się „antyspaiowe manewry”, podczas których na środku ulicy, w sklepach i fabrykach przebranych za cudzoziemców osobników zatrzymuje autentyczna policja pośród przerażonego i podnieconego tłumu, który nie wie, czy scena jest prawdziwa, czy pozorowana. Wokół tej kampanii prasa czyni wiele wrzawy. Z wielkim hukiem publikuje się zmyślone sensacyjne rewelacje, przedstawiając na przykład organizację brytyjskiego Ministerstwa Informacji na Dalekim Wschodzie w latach przedwojennych, które zawsze funkcjonowało najjawniej w świecie, jako rozgałęzioną siatkę szpiegowską, oplatającą Japonię i jej cesarza. Z widoczną nawet dla laika bezpodstawnością oskarżeń, wykorzystując łatwowierność społeczeństwa japońskiego, władze zarzucają wszechpotężnemu arcyszpiegowi tej organizacji, określanemu tajemniczymi inicjałami V. H. (pod którymi kryje się Vere H. Redman, dyrektor działu Ministerstwa Informacji na Dalekim Wschodzie), że… uczęszczał do TokioClub, normalnie dostępnego dla cudzoziemców, i… kazał sobie tłumaczyć z japońskiego emisje programu lokalnego „Radia Tokio”.
    W wielkonakładowym dzienniku „Asahi” rzecznik armii major Jahagi przekonuje czytelników, że pewien zdemaskowany ostatnio zagraniczny szpieg przerobił swój fortepian na krótkofalową radiostację. „Wynika z tego – dowodzi major – że każdy cudzoziemiec grający utwór, jakiego nie notuje podręcznik muzyki, jest niebezpiecznym osobnikiem”. ”

    Odpowiedz
  • 2016.10.02 14:11 Korsarz

    Albo ściema żeby służby sobie kolejny wirtualny sukces dopisały, albo cała metoda szpiegowania to zasłona dymna dla czegoś innego.

    Odpowiedz
  • 2016.10.02 15:31 Tito

    Moze sciagali filmy per2mail hehe i juz .ru jest hehe i konta z calego swiata.

    Odpowiedz
  • 2016.10.02 21:23 pcs

    Musiałem się upewnić, czy to nie jest ASZdziennik

    Odpowiedz
  • 2016.10.02 23:23 :)

    kazdy ma dostep do netu z telefonu … po co korzystac z sieci rzadowej … stosujac super niejawne metody komunikacji :) … ruscy sa dobrzy po co jeden skoro mozna miec czterech i jeden o drugim nie wie :) … zródlo informacji pewnych … tak nawiasem … Arakis obejmuje i filtruje cały ruch internetowy ? włącznie z satelitarnym ???? u nas rosyjscy szpiedzy ( oh my god ) a Deutche Bank umoczony na 55 bilionów , tak bilionow toksycznych opcji … tam to musi byc szpiegostwo lub glupota lub socjalizm … a my mamy bank Rzemiosła i Rolnictwa ….

    Odpowiedz
  • 2016.10.03 09:38 e

    Jak ktoś zapisuje wersję roboczą na skrzynce to treść nadal leci zapytaniem POST do serwera, czyli defakto jest wysyłana ze stacji roboczej na zdalny serwer. Nawet jakby ktoś kliknął przycisk „wyśli” to wiadomość jest wysyłana bez udziału stacji roboczej, więc system zarejestruje jedynie jakieś zapytanie do serwera o treści „wyśli meil xyz”.
    Opis tej historii przypomina primaaprilisowy żart.

    Odpowiedz
    • 2016.10.03 12:51 zdegustowany

      Nie do końca…

      Podobno taki sposób stosowali terroryści, tylko na amerykańskich serwisach (gmail albo yahoo, nie pamiętam). Zaleta taka, że nie widać kto komu udostępnia informacje bez łapania kompletnego ruchu z/do wszystkich uczestników albo współpracy serwisu pocztowego.

      Natomiast w przypadku ruskiego wywiadu to trochę dziwne by było.

      Odpowiedz
  • 2016.10.03 11:31 mastaofdizasta

    Od 1989r. polskojęzyczne służby specjalne z komunistycznym rodowodem złapały 1 (słownie: jednego) rosyjskiego szpiega. III RP jest poza zainteresowaniem Rosji. Kto twierdzi inaczej jest ksenofobem, rusofobem, idiotą, głupkiem i/lub chorym z nienawiści pisowcem.

    Odpowiedz
  • 2016.10.03 11:35 Trolololo

    Czy to czas się cofa czy kula ziemska kręci się w przeciwną stronę.

    Jestem na przywróceniem stacji dyskietek 1.44″ i wyłączeniem połowy internetu :)

    Banowanie po TLD .ru już dawno temu wyszło z mody. Ba! Banowanie po GEO-IP też się nie sprawdza (witajcie globalne CDNy oraz geo-cloudy).

    BTW: .ru to tylko 21% URLi miesięcznie, com 54% :)

    Ref: https://www.scumware.org/stats.scumware

    Odpowiedz
  • 2016.10.03 13:04 maslan

    Śmiejecie się, a będzie jak z tym mailem z nie pamiętam jakiej domeny: zablokują maile idące do urzędów z top level .ru

    Odpowiedz
  • 2016.10.03 13:48 konan

    Dżizas. Trzech ruskich agentów „i to tylko w jednym departamencie”!!!???
    Toż tam normalnie musi się aż roić od ruskich!
    :)

    Odpowiedz
    • 2016.10.03 17:07 gość

      na stażu byli :)

      Odpowiedz
    • 2016.10.04 21:49 Amen

      Nie czech, ale czterech ich było! Miauem na nich lormetke nakierowaną do stałego monitoringu. Jak oni same zostawali w pokoju w tenczas lanczbrejku, to wszystcy zakładali walonki, wyjmowali z taki duży matroszki butelkę Stolicznej i pili „Za rodinu!” Tak to widziałem!

      Odpowiedz
  • 2016.10.03 14:22 MatM

    No a teraz na poważnie… w to że dziennikarze to debile, nikt zapewne już nie wątpi. Wielokrotnie dali dowód swojej ignorancji i głupoty w różnych tematach. Ciekawy jest jednak wątek kto komu co wypuścił jako przeciek itp. Dlaczego to ciekawe? Bo albo 3-literowe służby to banda Misiewiczów albo celowo wyszła taka głupota w jakimś konkretnym celu, który warto by było odgadnąć i dopisać jako kontynuacja tego posta.

    Odpowiedz
  • 2016.10.03 15:24 blad201

    To przypomina doniesienia z 2012: „Były szef CIA i jego kochanka, dziennikarka Paula Broadwell, założyli wiele lat temu wspólne konto na poczcie Gmail i pisali do siebie, zapisując kolejne wiadomości w „skrzynce roboczej”.
    http://www.tvn24.pl/wiadomosci-ze-swiata,2/wersja-robocza-general-i-kochanka-komunikowali-sie-jak-szpiedzy-i-talibowie,288652.html

    Odpowiedz
  • 2016.10.03 20:30 Adam N.

    Ten artykuł raczej wiele nie wnosi. „Gazeta Finansowa” to prorządowa gadzinówka, do jej rewelacji trzeba podchodzić z bardzo dużym dystansem.

    Odpowiedz
  • 2016.10.03 22:01 Robur

    …no proszę was… To jest „Gazeta Finansowa”. Przeczytałem artykuł o wyborze pojazdu dla wojska (program „Mustang”). Cytaty- „W polskiej armii nastała bowiem moda na sprzęt zagraniczny i to ten z górnej półki. Jest on jednak zazwyczaj droższy od tego, który jest produkowany przez polskie firmy i nie służy wzmacnianiu rodzimej gospodarki.”. No bo wszyscy wiedzą, że takie pojazdy nie służą do ochrony Szwejów, ale miejsc pracy na Lubelszczyźnie. „Honker to sprawdzona konstrukcja, która brała udział w różnych misjach ONZ oraz towarzyszyła polskim żołnierzom w czasie ich misji w Iraku i Afganistanie.” Tego nawet komentować się nie da…

    Odpowiedz
    • 2016.10.04 21:53 Amen

      Teraz można spokojnie napisać: „Przez prasę polską przebiegła zatrważająca informacja o tragicznym stanie naszego bezpieczeństwa cybernetycznego. Pierwsze zareagowało na nią Ministerstwo Spraw Zagranicznych mianując kolejnego wiceministra rodem z USA, byłego funkcjonariusza FBI, którego dziadek osłaniał kiedyś jako zwykły policjant Paradę Pulaskiego”.

      Odpowiedz
  • 2016.10.06 07:41 Sclave

    Bo cały cytowany artykuł miał obsmarować ruskich i zwiększyć poziom rusofobicznego zagrożenia, a z IT nie miał wiele wspólnego.
    Jakby ktoś nie zauważył.

    Odpowiedz
  • 2016.10.06 10:26 gotar

    Z tym komunikowaniem się poprzez wspólnie edytowany tekst chodzi oczywiście (tak, oczywiście – aż się tego pisać nie chce, ale widocznie wiele osób jednak tego nie rozumie) o to, że nie następuje moment „wyślij (i zachowaj kopię do analizy)”. Taka treść „w trakcie” nie jest archiwizowana, a nawet gdyby zapisywać pośrednie etapy jej tworzenia, to ciężko to automatycznie analizować, bo dochodzi dziedzina czasu. Nie mamy wersji finalnej, więc trzeba oglądać każdy etap pośredni. Gdy drugi „obserwator” jest jednocześnie zalogowany, to problem jest tym większy, bo nie wystarczy analizować punktów czasowych związanych z jego zalogowaniem się, tylko trzeba oglądać całość. Jednocześnie jest to znacznie gorsze od typowego komunikatora czy nawet rozmowy głosowej (z której można zrobić stenogram), bo analizować trzeba różnicowo i z kontekstem – co w tekście dodano, co usunięto, w którym jego miejscu! Innymi słowy – tak przekazywana treść jest nieliniowa, więc z tego nie zrobisz zapisu dialogu.

    Bardziej obrazowo – zamiast wysyłać sobie listy, które bezpieka może czytać chronologicznie, piszemy kredą po tablicy. Każdy dopisuje lub usuwa symbole w dowolnym miejscu i w ten sposób się komunikujemy. Oczywiście nic nie stoi na przeszkodzie, żeby wykonywać fotografie tej tablicy, ale analizować musimy już wszystkie zmiany. Przykładowo – pisząc ten tekst wielokrotnie coś zmieniłem, a wy macie tylko efekt finalny. Tymczasem w międzyczasie mogło się tutaj znaleźć wszystko, a ponadto w różnych momentach w różnej formie (np. można zmieniać lokalizację zaprzeczeń czy choćby znaków interpunkcyjnych, całkowicie odwracając znaczenie tekstu – a zmieniając podmioty, można przekształcić Pana Tadeusza w Ogniem i Mieczem, przechodząc przez ustawę o VAT jako etap pośredni).

    Jeżeli ktoś uważa, że analiza zmian ciągłego tekstu z uwzględnieniem bieżącego kontekstu jest łatwa, to niech sobie zajrzy do gita jakiegoś aktywnie rozwijanego projektu i spróbuje przeanalizować ścieżkę zmian, jakim ulegał kod w ciągu kilku lat. A to jest język sformalizowany, który łatwo poddawać analizie…

    Różne były zabezpieczenia – techniczne (szyfrowanie, łamane czystą mocą obliczeniową), lingwistyczne (język nawaho czy jakiś farsi), a to jest kolejna warstwa, wymagająca czasu i człowieka.

    Odpowiedz

Zostaw odpowiedź do Shogun

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Rosyjscy szpiedzy w KNF, czyli jak zawiódł magiczny system Arakis

Komentarze