Wielka afera – alarmujący raport o bezpieczeństwie Twittera

dodał 25 sierpnia 2022 o 23:17 w kategorii Info  z tagami:
Wielka afera – alarmujący raport o bezpieczeństwie Twittera

Szpiedzy, zaniedbania, kłamstwa i manipulacje – to wszystko opisuje raport byłego szefa bezpieczeństwa Twittera, jednego z najbardziej wpływowych serwisów w internecie. To prawdopodobnie najciekawsza z dotychczasowych branżowych afer tego roku.

Ten artykuł będzie nietypowy – celowo napiszę go w pierwszej osobie, bo temat jest nie tylko bardzo ciekawy, ale też mi bliski. W dużym stopniu identyfikuję się z jego bohaterem, chociaż jest mi do niego bardzo daleko. Co prawda, byłem przez kilkanaście lat CISO w dużym korpo i odpowiadałem za bezpieczeństwo milionów klientów najpierw w Polsce, a potem w kilku krajach regionu, sam też byłem „sygnalistą”, podobnie jak główny bohater artykułu, ale nigdy nie miałem nawet 5% jego doświadczenia, a tym bardziej nawet 1% rozpoznawalności i renomy. Postaram się streścić całą aferę, a na koniec odnieść się do niej z mojego punktu widzenia. Ciekaw też jestem waszych opinii – co zrobilibyście na miejscu Peitera Zatko?

Kim jest bohater i co takiego zrobił

Peiter „Mudge” Zatko w listopadzie 2020 został zatrudniony przez Twittera, by naprawić jego bezpieczeństwo. A było co naprawiać – kilka miesięcy wcześniej dwóch nastolatków przejęło konta najpopularniejszych użytkowników Twittera, by publikować oszustwa kryptowalutowe. Prezes Twittera nie bez powodu wybrał Mudge’a – trudno było o lepszego kandydata. To jeden z pierwszych rozpoznawalnych hakerów w historii całej branży. Peiter Zatko jest jednym z najważniejszych członków legendarnej grupy L0pht, autorem L0phtCracka, jednym w pionierów techniki buffer overflow, członkiem grupy Cult of the Dead Cow, a także byłym pracownikiem Google, Stripe i amerykańskiej agencji DARPA, gdzie zajmował się nadzorem nad badaniami dotyczącymi bezpieczeństwa. Kawał życiorysu, prawda? Nic więc dziwnego, że gdy Twitter znalazł się w opałach, sięgnął po eksperta.

Najwyraźniej jednak zatrudnianie ekspertów nie wszędzie dobrze wychodzi, bo eksperci nie zawsze chcą realizować program zatrudniającego. Praca Mudge’a dla Twittera zakończyła się po kilkunastu miesiącach jego zwolnieniem. Nie był to jednak koniec tej historii – 23 sierpnia do mediów przeciekł ocenzurowany raport sygnalisty, przekazany przez Mudge’a różnym organom rządowym i ustawodawczym w USA. O sprawie napisały równocześnie CNN i Washington Post (uwaga, ten drugi za paywallem).

W tym raporcie Mudge na ok. 200 stronach wymienia przeróżne problemy bezpieczeństwa Twittera, które zaobserwował w trakcie pracy, a których nie pozwolono mu z różnych powodów rozwiązać. Lista problemów jest długa i zawiera wiele ciekawych i różnorodnych pozycji. Zanim je ocenię, spójrzmy, co się na niej znalazło (to oczywiście tylko wybór – cierpliwym polecam lekturę całości, pod tym linkiem znajdziecie wszystkie materiały, te najważniejsze to pliki PDF).

Najważniejsze zarzuty z raportu sygnalisty

  1. Twitter nie ma systemu zarządzania dostępem, ponad połowa pracowników ma dostęp do środowiska produkcyjnego firmy i danych użytkowników. Przykładem niech będzie pracownik, który w 2017 na kilkanaście minut zablokował konto Donalda Trumpa.
  2. Tu ciekawostka – jeden z byłych pracowników napisał, że dostęp do zgłaszania poprawek do kodu serwisu stracił już po… 18 miesiącach od zakończenia pracy.
  3. Gdy kasujecie konto na Twitterze, ten nie potrafi go tak naprawdę skasować, bo systemy są zbyt skomplikowane i konto żyje dalej „w niebycie”.
  4. Brak mechanizmów audytowych uniemożliwia ustalenie, kto i do czego zaglądał lub co zmieniał.
  5. Połowa z 500 000 firmowych serwerów ma nieaktualne oprogramowanie, co powoduje, że nie szyfrują przechowywanych danych i nie otrzymują aktualizacji bezpieczeństwa.
  6. Brak skutecznych procedur ciągłości działania – nawet niewielkie problemy kilku kluczowych centrów danych mogą uniemożliwić przywrócenie usługi.
  7. Ponad 30% pracowników wyłączało aktualizacje bezpieczeństwa, wyłączało systemowy firewall i uruchamiało na własną rękę usługi, np. RDP.
  8. Pracownicy instalowali na swoich stacjach roboczych oprogramowanie szpiegujące na żądanie zewnętrznych organizacji (ten wątek nie jest niestety dalej wyjaśniony).
  9. Rząd Indii nakłonił Twittera do zatrudnienia konkretnych osób (prawdopodobnie agentów), którzy mieli dostęp do danych użytkowników w czasie intensywnych protestów społecznych w Indiach (tu warto przypomnieć, że w 2015 Arabia Saudyjska skutecznie przekupiła dwóch pracowników Twittera, by przekazywali dane osób krytykujących władze tego kraju).
  10. Twitter niezależnie otrzymał informacje od amerykańskich służb, że wśród jego pracowników znajdują się agenci obcych służb.
  11. Twitter chętnie sprzedawał reklamy chińskim podmiotom, choć sam serwis jest w Chinach zablokowany. Istniało podejrzenie, że za reklamodawcami stały organizacje, które dzięki mikrotargetowaniu reklam mogły ustalić tożsamość chińskich użytkowników omijających państwowe blokady.
  12. Prezes Twittera rozważał umożliwienie Rosji cenzurowania tego, co widzą użytkownicy platformy w tym kraju.
  13. Kierownictwo firmy dostaje bonusy w oparciu o wskaźniki wzrostu, więc nie jest zainteresowane wykrywaniem i usuwaniem fałszywych kont i botów.
  14. Twitter używał ciasteczek bezpieczeństwa do targetowania reklam. Gdy Francja tego zakazała, przedłużono okres wyłączania tej funkcji o miesiąc, by maksymalnie „wycisnąć” rynek francuski.
  15. Kiedy Mudge wynajął zewnętrzną firmę do audytu możliwości Twittera w zakresie zwalczania spamu, manipulacji i dezinformacji, wyniki okazały się tak fatalne, że kierownictwo Twittera kazało audytorom (bez wiedzy Mudge’a) przepuścić raport przez zewnętrzną firmę prawniczą, która usunęła z niego najgorsze fragmenty, mogące zagrozić reputacji Twittera w razie wycieku treści raportu.
  16. Mudge był naciskany, by zarządowi pokazywać mocno wyidealizowany obraz sytuacji i uniemożliwiono mu otwarte przedstawianie sytuacji w obszarze bezpieczeństwa.
  17. Mudge twierdzi, że został zwolniony po tym, jak mimo nacisków przedstawił raport dot. problemów zarządowi i zgłosił naciski do osoby odpowiedzialnej za przestrzeganie przepisów.

Komentarz Twittera i środowiska branżowego

Twitter oświadczył, że Zatko został zwolniony za „słabe wyniki i brak zdolności przywódczych”, jednocześnie w ogóle nie odnosząc się do merytorycznych zarzutów. Nie przekonało to większości osób z branży – Mudge przez kilkadziesiąt lat zapracował na reputację osoby niezwykle utalentowanej, bardzo uczciwej i pracowitej, z tego względu większość branżowych autorytetów stoi za nim murem.

Czy Mudge zrobił dobrze, czy źle?

Dobre pytanie! Stan bezpieczeństwa Twittera raczej nie powinien być dla nikogo wielkim zaskoczeniem. Co więcej, gdy rozejrzycie się w swoich organizacjach, to kto oświadczy, że u niego nie ma problemów z zarządzaniem dostępem, kopiami bezpieczeństwa, aktualizacjami, niedojrzałym procesem rozwoju aplikacji i najwyższym kierownictwem, którego głównym zadaniem jest ukrywanie prawdziwego obrazu sytuacji przed audytorami, kontrolerami i udziałowcami? Ten argument słyszałem już w kilku dyskusjach, gdzie moi rozmówcy byli nieco zniesmaczeni postępowaniem Mudge’a. Twierdzili, że sami taki raport o swoich firmach mogą napisać na jutro i zamieścić w nim podobne kategorie zarzutów, jednak nie planują tego robić.

Nie zgadzam się z twierdzeniem, że Mudge postąpił niewłaściwie. Zacznę od tego, że Twitter nie jest pierwszą lepszą firmą. To serwis kształtujący publiczną opinię, źródło nie tylko informacji, ale i przekonań dla milionów osób (prawdopodobnie w USA dużo bardziej niż w Polsce). To, co zrobił Mudge, w innej firmie można by nazwać publicznym praniem brudów. W moim odczuciu to raczej głos wołający o naprawę sytuacji, która może mieć istotny wpływ na bezpieczeństwo narodowe. Nie wierzę, że Mudge nie próbował najpierw tych problemów rozwiązać wewnątrz organizacji, a raport sygnalisty jest ostatnim, co mógł zrobić, by sytuację w Twitterze istotnie poprawić.

Dla mnie działanie Mudge’a jest dowodem, że nie jest mu wszystko jedno i jest gotów walczyć o bezpieczeństwo istotnych elementów infrastruktury swojego kraju, nawet za cenę własnej kariery (pojawiły się głosy, że nikt go po takim wyskoku już nie zatrudni – chociaż pojawiły się też głosy osób, gotowych zatrudnić go od ręki). Został wynajęty do wykonania konkretnego, ważnego zadania i nawet zwolniony za próbę jego wykonania będzie dalej dążył do celu, który sobie postawił. Szaleństwo? Być może, ale w szczytnym celu.

No dobrze, to co zrobilibyście na miejscu Peitera Zatko?