Wielka afera – alarmujący raport o bezpieczeństwie Twittera
Szpiedzy, zaniedbania, kłamstwa i manipulacje – to wszystko opisuje raport byłego szefa bezpieczeństwa Twittera, jednego z najbardziej wpływowych serwisów w internecie. To prawdopodobnie najciekawsza z dotychczasowych branżowych afer tego roku.
Ten artykuł będzie nietypowy – celowo napiszę go w pierwszej osobie, bo temat jest nie tylko bardzo ciekawy, ale też mi bliski. W dużym stopniu identyfikuję się z jego bohaterem, chociaż jest mi do niego bardzo daleko. Co prawda, byłem przez kilkanaście lat CISO w dużym korpo i odpowiadałem za bezpieczeństwo milionów klientów najpierw w Polsce, a potem w kilku krajach regionu, sam też byłem „sygnalistą”, podobnie jak główny bohater artykułu, ale nigdy nie miałem nawet 5% jego doświadczenia, a tym bardziej nawet 1% rozpoznawalności i renomy. Postaram się streścić całą aferę, a na koniec odnieść się do niej z mojego punktu widzenia. Ciekaw też jestem waszych opinii – co zrobilibyście na miejscu Peitera Zatko?
Kim jest bohater i co takiego zrobił
Peiter „Mudge” Zatko w listopadzie 2020 został zatrudniony przez Twittera, by naprawić jego bezpieczeństwo. A było co naprawiać – kilka miesięcy wcześniej dwóch nastolatków przejęło konta najpopularniejszych użytkowników Twittera, by publikować oszustwa kryptowalutowe. Prezes Twittera nie bez powodu wybrał Mudge’a – trudno było o lepszego kandydata. To jeden z pierwszych rozpoznawalnych hakerów w historii całej branży. Peiter Zatko jest jednym z najważniejszych członków legendarnej grupy L0pht, autorem L0phtCracka, jednym w pionierów techniki buffer overflow, członkiem grupy Cult of the Dead Cow, a także byłym pracownikiem Google, Stripe i amerykańskiej agencji DARPA, gdzie zajmował się nadzorem nad badaniami dotyczącymi bezpieczeństwa. Kawał życiorysu, prawda? Nic więc dziwnego, że gdy Twitter znalazł się w opałach, sięgnął po eksperta.
Najwyraźniej jednak zatrudnianie ekspertów nie wszędzie dobrze wychodzi, bo eksperci nie zawsze chcą realizować program zatrudniającego. Praca Mudge’a dla Twittera zakończyła się po kilkunastu miesiącach jego zwolnieniem. Nie był to jednak koniec tej historii – 23 sierpnia do mediów przeciekł ocenzurowany raport sygnalisty, przekazany przez Mudge’a różnym organom rządowym i ustawodawczym w USA. O sprawie napisały równocześnie CNN i Washington Post (uwaga, ten drugi za paywallem).
W tym raporcie Mudge na ok. 200 stronach wymienia przeróżne problemy bezpieczeństwa Twittera, które zaobserwował w trakcie pracy, a których nie pozwolono mu z różnych powodów rozwiązać. Lista problemów jest długa i zawiera wiele ciekawych i różnorodnych pozycji. Zanim je ocenię, spójrzmy, co się na niej znalazło (to oczywiście tylko wybór – cierpliwym polecam lekturę całości, pod tym linkiem znajdziecie wszystkie materiały, te najważniejsze to pliki PDF).
Najważniejsze zarzuty z raportu sygnalisty
- Twitter nie ma systemu zarządzania dostępem, ponad połowa pracowników ma dostęp do środowiska produkcyjnego firmy i danych użytkowników. Przykładem niech będzie pracownik, który w 2017 na kilkanaście minut zablokował konto Donalda Trumpa.
- Tu ciekawostka – jeden z byłych pracowników napisał, że dostęp do zgłaszania poprawek do kodu serwisu stracił już po… 18 miesiącach od zakończenia pracy.
- Gdy kasujecie konto na Twitterze, ten nie potrafi go tak naprawdę skasować, bo systemy są zbyt skomplikowane i konto żyje dalej „w niebycie”.
- Brak mechanizmów audytowych uniemożliwia ustalenie, kto i do czego zaglądał lub co zmieniał.
- Połowa z 500 000 firmowych serwerów ma nieaktualne oprogramowanie, co powoduje, że nie szyfrują przechowywanych danych i nie otrzymują aktualizacji bezpieczeństwa.
- Brak skutecznych procedur ciągłości działania – nawet niewielkie problemy kilku kluczowych centrów danych mogą uniemożliwić przywrócenie usługi.
- Ponad 30% pracowników wyłączało aktualizacje bezpieczeństwa, wyłączało systemowy firewall i uruchamiało na własną rękę usługi, np. RDP.
- Pracownicy instalowali na swoich stacjach roboczych oprogramowanie szpiegujące na żądanie zewnętrznych organizacji (ten wątek nie jest niestety dalej wyjaśniony).
- Rząd Indii nakłonił Twittera do zatrudnienia konkretnych osób (prawdopodobnie agentów), którzy mieli dostęp do danych użytkowników w czasie intensywnych protestów społecznych w Indiach (tu warto przypomnieć, że w 2015 Arabia Saudyjska skutecznie przekupiła dwóch pracowników Twittera, by przekazywali dane osób krytykujących władze tego kraju).
- Twitter niezależnie otrzymał informacje od amerykańskich służb, że wśród jego pracowników znajdują się agenci obcych służb.
- Twitter chętnie sprzedawał reklamy chińskim podmiotom, choć sam serwis jest w Chinach zablokowany. Istniało podejrzenie, że za reklamodawcami stały organizacje, które dzięki mikrotargetowaniu reklam mogły ustalić tożsamość chińskich użytkowników omijających państwowe blokady.
- Prezes Twittera rozważał umożliwienie Rosji cenzurowania tego, co widzą użytkownicy platformy w tym kraju.
- Kierownictwo firmy dostaje bonusy w oparciu o wskaźniki wzrostu, więc nie jest zainteresowane wykrywaniem i usuwaniem fałszywych kont i botów.
- Twitter używał ciasteczek bezpieczeństwa do targetowania reklam. Gdy Francja tego zakazała, przedłużono okres wyłączania tej funkcji o miesiąc, by maksymalnie „wycisnąć” rynek francuski.
- Kiedy Mudge wynajął zewnętrzną firmę do audytu możliwości Twittera w zakresie zwalczania spamu, manipulacji i dezinformacji, wyniki okazały się tak fatalne, że kierownictwo Twittera kazało audytorom (bez wiedzy Mudge’a) przepuścić raport przez zewnętrzną firmę prawniczą, która usunęła z niego najgorsze fragmenty, mogące zagrozić reputacji Twittera w razie wycieku treści raportu.
- Mudge był naciskany, by zarządowi pokazywać mocno wyidealizowany obraz sytuacji i uniemożliwiono mu otwarte przedstawianie sytuacji w obszarze bezpieczeństwa.
- Mudge twierdzi, że został zwolniony po tym, jak mimo nacisków przedstawił raport dot. problemów zarządowi i zgłosił naciski do osoby odpowiedzialnej za przestrzeganie przepisów.
Komentarz Twittera i środowiska branżowego
Twitter oświadczył, że Zatko został zwolniony za „słabe wyniki i brak zdolności przywódczych”, jednocześnie w ogóle nie odnosząc się do merytorycznych zarzutów. Nie przekonało to większości osób z branży – Mudge przez kilkadziesiąt lat zapracował na reputację osoby niezwykle utalentowanej, bardzo uczciwej i pracowitej, z tego względu większość branżowych autorytetów stoi za nim murem.
Czy Mudge zrobił dobrze, czy źle?
Dobre pytanie! Stan bezpieczeństwa Twittera raczej nie powinien być dla nikogo wielkim zaskoczeniem. Co więcej, gdy rozejrzycie się w swoich organizacjach, to kto oświadczy, że u niego nie ma problemów z zarządzaniem dostępem, kopiami bezpieczeństwa, aktualizacjami, niedojrzałym procesem rozwoju aplikacji i najwyższym kierownictwem, którego głównym zadaniem jest ukrywanie prawdziwego obrazu sytuacji przed audytorami, kontrolerami i udziałowcami? Ten argument słyszałem już w kilku dyskusjach, gdzie moi rozmówcy byli nieco zniesmaczeni postępowaniem Mudge’a. Twierdzili, że sami taki raport o swoich firmach mogą napisać na jutro i zamieścić w nim podobne kategorie zarzutów, jednak nie planują tego robić.
Nie zgadzam się z twierdzeniem, że Mudge postąpił niewłaściwie. Zacznę od tego, że Twitter nie jest pierwszą lepszą firmą. To serwis kształtujący publiczną opinię, źródło nie tylko informacji, ale i przekonań dla milionów osób (prawdopodobnie w USA dużo bardziej niż w Polsce). To, co zrobił Mudge, w innej firmie można by nazwać publicznym praniem brudów. W moim odczuciu to raczej głos wołający o naprawę sytuacji, która może mieć istotny wpływ na bezpieczeństwo narodowe. Nie wierzę, że Mudge nie próbował najpierw tych problemów rozwiązać wewnątrz organizacji, a raport sygnalisty jest ostatnim, co mógł zrobić, by sytuację w Twitterze istotnie poprawić.
Dla mnie działanie Mudge’a jest dowodem, że nie jest mu wszystko jedno i jest gotów walczyć o bezpieczeństwo istotnych elementów infrastruktury swojego kraju, nawet za cenę własnej kariery (pojawiły się głosy, że nikt go po takim wyskoku już nie zatrudni – chociaż pojawiły się też głosy osób, gotowych zatrudnić go od ręki). Został wynajęty do wykonania konkretnego, ważnego zadania i nawet zwolniony za próbę jego wykonania będzie dalej dążył do celu, który sobie postawił. Szaleństwo? Być może, ale w szczytnym celu.
No dobrze, to co zrobilibyście na miejscu Peitera Zatko?
Podobne wpisy
- Podstawy Bezpieczeństwa: Prywatność i bezpieczeństwo na Twitterze
- Niecodzienny atak na konto Twittera Marka Suskiego i publikacja wykradzionych zdjęć
- Bitcoiny, giełdy i wycieki, czyli jak znaleziono sprawców ataku na Twittera
- Kto, jak i dlaczego włamał się do Twittera w pamiętnym incydencie
- Poważny atak na Twittera – przejęte konta Apple, Ubera, Muska, Gatesa i wiele innych
Zgłosiłbym do PiP. ;D
Pewnie to samo.
Czy mogą mu grozić konsekwencje prawne za to co zrobił?
Peiter Zatko ujawnił wszystkie informacje korzystając z pośrednictwa Whistleblower Aid. Jest to organizacja non-profit, która zatrudnia prawników i specjalizuje się w pomaganiu sygnalistom.
https://whistlebloweraid.org/
Ujawniając te informacje na pewno zdawał sobie sprawę z ewentualnych konsekwencji prawnych.
W dzisiejszych czasach, cytując Taviso, każdy może posądzić każdego o cokolwiek ;-)
Przyklad konsekwencji daje Julian Assange. Skala dzialan nie ta, wiec i konsekwencje mniejsze. Ale spodziewac sie nawet powinien.
Jeśli chodziłoby o rządowy „spisek” to jestem w stanie zrozumieć taką postawę, ale to jest firma/korporacja, jeśli leci z klientami w kulki to tylko rynek powinien tutaj interweniować, gdzie jest konkurencja skoro Twitter jest tak beznadziejny?
konkurencja pojawia się z kolejnymi 'pokoleniami’ tak jak kiedyś bezkonkurencyjne było icq, potem gg, etc. tak długo jak platforma jest w stanie utrzymać sporą grupę użytkowników to impulsu do odejścia nie ma
koszt konkurowania z monopolistą wycenianym na dziesiątki miliardów jest astronomiczny a gwarancje zwrotu zerowe bo użytkowników twittera równie dobrze może przejąć z czasem np. tiktok
Jeśli Mudge najpierw próbował rozwiązać te problemy wewnętrznie to moim zdanie dobrze zrobił.
Co do kariery to może mu to pomóc. Po tej sytuacji będzie zatrudniany tylko przez osoby, którym zależy na prawdzie.
Jak dla mnie zastanawiające jest, że sam nie odszedł widząc opór materii, który uniemożliwiał mu pracę. Drugą zastanawiającą kwestią jest moment, w którym wypuścił ten donos – dziwnie zazębia się z ofertą Elona Muska, wycofaniem jej i sprawą w sądzie.
kolesiostwo i pudrowanie g*wna nie świadczy o niedojrzałości
jako fachowiec został wynajęty do poprawy sytuacji, wyczerpał możliwości wewnętrzne bez sukcesów więc opublikował informacje o poważnych nadużyciach względem użytkowników
tak to powinno działać
Bardzo fajny, zwięzły artykuł. Zgadzam się, ze Twitter to nie jest pierwsza lepsza firma, tylko bardzo mocne medium, sczegolnie dla pokoleń które „nie wierzą już TV”.
Jednocześnie bardzo zastanawia mnie stwierdzenie z pkt 5., że nieaktualne oprogramowanie serwerowe sprawia iż dane nie są szyfrowane. Możesz rozwinąć? Czy to znaczy, ze jak będę odkładał aktualizacje windowsa, to bitlocker przestanie działać?
Bredzisz.
Gniazdo to można mieć na ośce, dzielni czy wiosce ale korpo to korpo, dzisiaj Cię potrzebują jutro spuszczają w kiblu, nie nazwał bym tego Gniazdem, co z resztą widać po całej sytuacji. Gdyby im zależało to albo by się z typem dogadali albo przynajmniej by tak rozwiązali sprawę że by nie napisał tych raportów, a jak spuścili w kanał to gość wrzucił gówno do wiatraka i karuzela kręci się dalej.
W kazdym dzikim azjatyckim kraju obowiazuja te same zasady. Kto ujawnia nieprawidlowosci to jest kapus, konfident, kala wlasne gniazdo. Kolesiostwo, nepotyzm, lapowkarstwo – tak trzeba zyc. Reka reke myje. Oczy widza, uszy slysza, usta milcza.
Tylko czy chcemy zyc w takich warunkach?
„uwaga, ten drugi za paywallem”
…którego bardzo łatwo oszukać. Wystarczy zainstalować dodatek zapisujący stronę jako MHT. Trzeba szybko po załadowaniu strony, zapisać ją jako archiwum MHT i mamy zarchiwizowaną pełną stronę, za którą trzeba by normalnie zapłacić.
***** ***
„No dobrze, to co zrobilibyście na miejscu Peitera Zatko?”
To samo co on! A może i więcej. Nagrałbym, jak próbuje się mnie zmanipulować i naciskać. A potem wrzuciłbym to do netu, żeby wszyscy to posłuchali (lub zobaczyli). A na koniec powiedziałbym bucom z zarządu, żeby się poszli zabić!
A jaki dodatek zapisujący do MHT warto zainstalować?
Format MHT jako wygodne archiwum stron webowych pamiętam z dawnych czasów Internet Explorera.
Dla Chrome’a i Chromopodobnych przeglądarek (Edge, Opera, Brave) dobre są 2 dodatki: „Save as MHTML” oraz „Save As MHT”. Używam obydwu.
A co zrobić jak się używa Tor Browsera?
Tor Browser to Firefox na „anonimizujących sterydach”, którymi są ustawienia przeglądarki do pracy w sieci Tor + preinstalowane i skonfigurowane dodatki (NoScript, TorButton).
Nie zaleca się instalowania dodatków innych niż preinstalowane w tej przeglądarce.
.
Jeśli bardzo chcesz używać dodatków do Chrome’a, takich jak wyżej wymienione i jednocześnie używać sieci Tor, możesz to zrobić poprzez przeglądarkę Brave, która jest na silniku Chrome’a, a więc będą na niej działały wtyczki do Chrome’a, oraz ma wbudowaną obsługę tej sieci.
.
Tak naprawdę, to każdą współczesną przeglądarkę można wysterować do pracy w sieci Tor, ale trzeba co nieco wyklikać i doinstalować. Brave jest gotowy do takiej pracy i nie trzeba nic konfigurować.
@Duży Pies
Oprócz dostosowania przeglądarki do trasowania cebulowego, ekipa z Tor Project tak ustawia Tor Browser, żeby wszędzie dawał ten sam fingerprint. Brave ani samodzielnie ustawione przeglądarki tak nie robią. Brave zresztą oficjalnie ostrzega, że tryb Tor w Brave może być znacznie mniej bezpieczny niż Tor Browser.
@coxv
Fingerprint możesz sobie ręcznie ustawić w przeglądarce, albo poprzez dodatki. To podstawa dla osoby znającej i stosującej OpSec, szczególnie gdy pracujesz poprzez sieć anonimizującą.
„Ustawić fingerprint”? Co masz na myśli? Może chodziło Ci o „ustawić UserAgent”? Fingerprint to coś znacznie szerszego niż UA.
Jestem bardzo ciekaw, w jaki sposób chciałbyś „ustawiać fingerprint”…
Zatko miał dwa gniazda – jak pracownik Tweetera jego gniazdem była firma. Jako użytkownik jego gniazdem była społczność użytkowników. Praca na rzecz poprawy bezpieczeństwa Twitter była w interesie obu gniazd. Milczenie i przymykanie oka było w interesie tylko nielicznej grupy piskląt w tym pierwszym. No i branie pieniędzy i niewywiązywanie się z warunków kontraktu też jest wątpliwe moralnie. W sumie wychodzi na to, że Zatko nie miał wyboru za to miał jaja.
@Tralala
Też uciekałem z lekcji polskiego, ale potem sobie doczytałem:
hxxps://polska-poezja.com/cyprian-kamil-norwid/czy-ten-ptak-kala-gniazdo-co-je-kala/
Akurat brak zdolności przywódczych to częsta przypadłość najbardziej uzdolnionych osób i wcale mnie to nie dziwi. Rzadko kiedy takie osoby piastują kierownicze stanowiska bo po prostu się do tego nie nadają chociażby dlatego że wymagają od innych tego samego co oni wiedzą a przecież jak są najlepsi to trudno żeby zespół reprezentował ten sam poziom. To się nawet jakoś nazywa w psychologii.
O take artykuły wyczekujem!
Co zrobił to zrobił, a teraz pewnie Musk go od nowa zatrudni.