Dyskusja o bezpieczeństwie systemów... Policji

Tak. Skoro zaczęła się już ta dyskusja, to wypada przynajmniej napisać tu o co właściwie chodzi. Dziennikarze programu Teraz MY zaprosili do studia Pawła "Goriona" Jabłońskiego, który miał w obecności przedstawicieli Policji odkryć treść listu wysłanego za pomocą "anonimowej skrzynki" do zgłaszania korupcji, która to skrzynka udostępniona jest poprzez strony internetowe Policji. Jestem daleki od tego, by podniecać się wyczynami hackierów. Nie jest w sumie nawet istotne, że Gorionowi (cokolwiek byśmy sobie myśleli o nim, jako o człowieku) nie udało się "na antenie" poznać treści wysłanego komunikatu. Ważniejsze jest coś innego - bezpieczeństwo IT to dla wielu tematyka z pogranicza magii.

Bezpieczeństwo serwerów rządowych jest bardzo słabe - twierdzi Gorion. OK. Nie będę się do tego odnosił, bo koń jaki jest - każdy widzi. Przedmiotem zainteresowania dziennikarzy było bezpieczeństwo Komendy Wojewódzkiej Policji w Katowicach. Goszczący w studio przedstawiciel Policji przyznał w programie Teraz My, że faktycznie wskazano dość istotny błąd. Rzecznik Policji w odniesieniu do systemów IT powiedział na antenie: „są wieloletnie zaniedbania (...) mamy świadomość, że nie jest dobrze (...) wieloletnich zaniedbań nie da się tak od razu wyrównać”. To mi wystarczy. Aby przypomnieć jedynie, że problem z bezpieczeństwem infrastruktury Policji nie dotyczy (nie dotyczył?) jedynie Katowic, warto przypomnieć zdarzenia z umieszczeniem zdjęcia na stronach suwalskiej Policji (por. Afera o zdjęcie na stronach suwalskiej policji oraz Zatrzymano chłopaka, który umieścił "złe psy" na stronie suwalskiej policji). Potem był Elbląg (tu również bawił się Fubu)... To nie tylko Policja. Tenże sam "harcownik" wykazał brak wystarczających zabezpieczeń Ministerstwa Gospodarki Wodnej czy BIPów (nie podnieca mnie to - to sucha relacja).

W swoim blogu Piotr Konieczny odniósł się do nieudanej próby poznania treści przesłanego w studio komunikatu, ale skomentował też coś innego: "...Wróćmy jednak do stanu bezpieczeństwa rządowych systemów informatycznych. W 100% zgadzam się z tezą Pawła, że problemem nie są ograniczone finanse Policji (ponoć komendy są w stanie znaleźć dobrego admina, który chciałby pracować za 3k PLN), a brak umiejętności..."

Tematem bezpieczeństwa systemów Policji zajmuje się też Gazeta.pl w tekście Nocne włamanie na internetową stronę śląskiej policji. W tekście czytamy m.in.: "Andrzej Morozowski i Tomasz Sekielski chcieli udowodnić w swoim programie, że można się włamać na każdą stronę internetową. Zaproszony przez nich haker w obecności rzecznika komendy głównej złamał zabezpieczenia i wszedł na stronę śląskiej policji. Gdyby chciał, mógłby tam umieścić list gończy za dowolną osobą, wpisać informacje o fikcyjnym zdarzeniu lub wstawić "rozebrane" zdjęcie".

Pomijam problem mówienia o sprawach bezpieczeństwa na łamach tytułów takich jak Gazeta.pl czy program Teraz MY. Te przekazy dziennikarskie są adresowane do innego targetu, wymagają innego języka (wystarczy przypomnieć: Ukradł 700 numerów IP? Zaczynam się bać). Prostszego języka. Tu działają proste formuły: da się zrobić? Da się. Proszę tak zrobić, żebyśmy to mogli pokazać na antenie. Ma pan 10 minut. I wszystko jasne. Nie ma znaczenia to, co to jest hosting, co to klasa adresowa, co to jest serwer, etc... Jak to podsumował dziennikarz: "ja nic nie rozumiem i myślę, że nasi widzowie też nic nie rozumieją". Tu chodzi o to, że nawet jeśli jest sobie sieć wydzielona, a uzyska się dostęp do sieci wewnętrznej i tam będzie się monitorowało poczynania funkcjonariuszy, to i tak - dla odpowiednio zdeterminowanego intruza nie będzie problemem uzyskanie (jakichś) danych wrażliwych. Na antenie padły takie słowa jak "niedopatrzenie komendy wojewódzkiej w Katowicach", zwrócono uwagę na to, że funkcjonariusze dysponują zdalnym dostępem do baz danych Interpolu, Europolu, FBI. Te sieci są wydzielone, ale dla chcącego... Wszak najsłabszym ogniwem jest człowiek. Przedstawiciel Policji wyraźnie powiedział w odniesieniu do pokazanego mu materiału: "zostały złamane podstawowe [zasady] polityki bezpieczeństwa" (zamiast zasady przedstawiciel Policji powiedział "aspekty", ale to było na żywo, wiec w cytacie poprawiłem). Jak wspomniałem - koń jaki jest...

Ten program Teraz MY zniknie pewnie z czasem z YouTube, wszak to naruszenie praw autorskich (sam się zastanawiam, czy umieszczenie jedynie linku, zagnieżdżonego odesłania do witryny, już samo w sobie takim naruszeniem przez przypadek nie jest). Tak czy inaczej - na razie program (fragment, chociaż pełne nagranie jest też w serwisie Wrzuta.pl) jest dostępny w Sieci a gościem programu - jak wspomniałem - był Paweł Jabłoński. Nie będę się odnosił teraz do uwag o lansie, o utarczkach słownych i przenoszeniu wpisów na wyższe poziomy w blogu mmazur@kernel.pl, albo dyskusji w Wikipedii, bo tu nie o to chodzi. W progamie pokazano listę kontaktową do dzielnicowych - jak podkreślają komentatorzy w Sieci: "Słusznie, że takie dane znajdują się na stronach internetowych - w jaki sposób społeczeństwo ma zgłaszać swoje problemy jak nie do dzielnicowych" - to z komentarzy pod notatką w blogu Jabłońskiego. Generalnie program uznany został za "kiepski", szukający skandalu. Ja zaś sobie myślę, że chociaż program był skandalizujący, a sam Jabłoński nie jest taki "powszechnie", to warto mówić o bezpieczeństwie systemów IT Policji.

Internetowe Forum Policji dyskutuje o programie w wątku Hakerzy w systemie informatycznym Policji?. Cytat z moderatora bobo1959: "No to sie na dobry początek w katowicach dym zrobi i to duży. Potem inne KWP. Oj!!!!!!!!! sie będzie działo". Kontrole podobno już były. Policjanci zwracają uwagę, że przypadek śląski to de facto wejście na sieć obsługiwaną przez zewnętrznego w stosunku do Policji partnera: "Serwer KWP w Katowicach nie jest zlokalizowany w KWP Katowice, ale obsługuje go zewnętrzna firma, która świadczy usługi hostingowe - PRO Futuro SA i to ona jest odpowiedzialna za jego zabezpieczenia". Nie zmienia to faktu, że jakiś problem jednak chyba istnieje? Przemawia jednak do mnie teza, że nie ma sensu włamywać się na serwery Policji: "łatwiej zapłacić za informacje policjantowi, czy informatykowi majacemu dostęp do baz danych". Dopowiem tylko, że czasem nie trzeba płacić, a wystarczy po prostu zapytać przez telefon (por. Spytaj policjanta, on ci prawdę powie)

9 grudnia na stronie Policja.pl ukazał się tekst: KGP: Jak chronić swój komputer. Przytoczę go w całości:

Czysto informacyjne i rozrywkowe wykorzystanie Internetu to już przeszłość. Dziś za pomocą sieci dokonuje się skomplikowanych transakcji finansowych, kupuje w wirtualnych sklepach i obsługuje konta bankowe. Niestety, zawsze tam, gdzie są pieniądze, są i oszuści. Dlatego policja radzi jak zabezpieczyć swój komputer, by korzystanie z Internetu było możliwie jak najbezpieczniejsze.

• Zachowujmy daleko posuniętą czujność i ostrożność. Na niektórych stronach, zwłaszcza pornograficznych i hakerskich, bardzo często znajdują się złośliwe programy, które możemy nieświadomie zainstalować na komputerze. Mogą one sparaliżować jego pracę bądź wyciągając z niego poufne dane.
• Korzystajmy z legalnego systemu operacyjnego. Pirackie oprogramowania są nie tylko nielegalne, ale mogą zawierać też programy szpiegujące, które bez naszej wiedzy zainstalują się w komputerze. Będą podglądały wszystko, co wpisujemy na klawiaturze i przekazywały tę wiedzę niepożądanym osobom. W ten sposób możemy utracić kody dostępu do naszych kont internetowych, poczty i autoryzowanych stron.
• Zainstalujmy program antywirusowy i antyszpiegowski – ich darmowe wersje można znaleźć w Internecie i legalnie je ściągnąć. Programy te uchronią nasz komputer przed wirusami i programami hakerskimi.
• Warto też zaopatrzyć się w tzw. firewall (dosł. ścianę ogniową), która zablokuje próby włamania się z sieci do naszego komputera. Z internetu możemy pobrać darmowe oprogramowanie tego typu.
• Regularnie aktualizujmy: system operacyjny, oprogramowanie antywirusowe i antyszpiegowskie i inne programy, których używamy podczas łączenia się Internetem. Luki w oprogramowaniu mogą posłużyć do włamania się do komputera.
• Dokładnie przyglądajmy się stronom banków, z których korzystamy za pośrednictwem Internetu. Oszuści często podszywają się pod pracowników banku i proszą nas o podawanie numerów kart płatniczych oraz kodów PIN. Nie odpowiadajmy na takie prośby, ale zgłośmy to obsłudze naszego banku. Można także zainstalować tzw. oprogramowanie antyphishingowe, które wychwytuje takie fałszywe strony.
• Korzystając z konta internetowego wpisujmy sami adres strony, nie posiłkujmy się linkami rozsyłanymi przez kogokolwiek. Mogą one kierować do „nowej strony banku”, której autorami są oszuści.
• Ściągając z Internetu muzykę i filmy łamiemy prawo i możemy przy okazji razem z nimi wprowadzić wirusy do naszego komputera.
• Nie otwierajmy maili od nieznanych adresatów i nie używajmy linków rozsyłanych w niechcianej poczcie (tzw. spamie) oraz przez komunikatory. Mogą prowadzić do niebezpiecznych stron lub programów. Oprogramowanie antyspamowe znacznie ogranicza przychodzenie niechcianej poczty.
• Komunikatory internetowe (np. Tlen, Gadu-Gadu) są bezpieczne pod warunkiem, że rozmawiamy tylko ze znanymi nam osobami i nie korzystamy z linków oraz plików przesyłanych przez niewiadomych nadawców.
• W przeglądarkach internetowych można ustawić opcję filtru rodzinnego lub zainstalować na komputerze oprogramowanie, które uniemożliwi młodszym członkom rodziny korzystanie z niepożądanych stron.

Pomijając tu stwierdzenia takie, jak "ściągając z Internetu muzykę i filmy łamiemy prawo", które moim zdaniem nie mają uzasadnienia w obowiązującym stanie prawa, to jednak trzeba powiedzieć, że problem edukacji związanej z bezpieczeństwem systemów IT istnieje. Policja nie jest od tych problemów wolna. A ma to tym większe znaczenie, że Policja przetwarza dane istotne (żeby nie napisać - wrażliwe, bo wrażliwe też przetwarza; por. Organy ścigania winny pamiętać o prywatności).

Na zakończenie przywołam jeszcze tekst, który ukazał się dwa dni temu w olsztyńskim dodatku do Gazety: Internetowa kafejka u policjantów: "W holu komendy wojewódzkiej przy ul. Partyzantów od wczoraj stoi komputer podłączony na stałe do internetu. Jest jednak zabezpieczony przed tym, by wchodzić na internetowe strony inne niż urzędowe. Na biurku jest też drukarka i skaner". I dalej: "Podobne stanowiska z dostępem do Internetu od poniedziałku działają już także w każdej miejskiej i powiatowej komendzie naszego regionu. Inwestycja kosztowała 412 tys. zł, a w 75 proc. zrealizowana została ze środków Unii Europejskich, reszta - z budżetu komendy wojewódzkiej w Olsztynie".

A zatem jesteśmy już w środku...

Przeczytaj felietony:

• Różne historie twardych dysków
• Aby spać mógł ktoś
• Zarzucają sieci w Sieci
• Sto i jeden serwisów administracji publicznej
• Prawnicy, wirusy i poufność danych
• To jest napad!
• Ważny jest kolor kapelusza

A już zupełnie na zakończenie warto odnotować, że dziś w IDG przedstawiciel Allegro odniósł się do wczorajszych rewelacji o złym zabezpieczeniu tego serwisu (pisałem o tym przy tekście Złote blachy - czy wszystko jest w porządku?). Patryk Tryzubiak, PR Manager Allegro.pl: "Rzeczywiście sytuacja opisywana przes serwis hacking.pl miała miejsce. Jednakże, twierdzenie że poziom zabezpieczeń naszego serwisu jest zerowy jest conajmniej nadużyciem. (...) Problem opisywany przez Pana Łukasza nie jest tak trywialny jak starają się go pokazać niektórzy internauci (...) Nie jest jednak tak, że dowlona osoba może przejąć dowolne konto Użytkownika. Błąd wykazany przez Pana Łukasza wymaga pewnej aktywności ze strony atakowanego Użytkownika, nie związanej z systemem Allegro.pl...". Są też inne stwierdzenia. Powyżej zacytowane wybrałem tendencyjnie. Jest też i oddźwięk ze strony internautów. Antoni Jakubiak publikuje w swoim blogu tekst Kłamliwe sprostowania Allegro, a w nim: "Po wczorajszej publikacji Allego załatało znane błędy. Dziękuję! Allegro umieściło jednak kłamliwe sprostowanie. Czytamy w nim: Z naszego serwisu nie wypłynęły żadne dane. To, czego dokonał pan Lukasz Lach było możliwe, ale nie jest możliwe hurtowe wyprowadzenie danych - NIE! hurtowe wyprowadzanie danych było możliwe. Napisano też: Znaleziony błąd wymagał zaś dodatkowej aktywności użytkownika - poza serwisem Allegro - NIE! wystarczyła aktywność w systemie Allegro". I tak dalej. Jest też drugi tekst Dlaczego ataki XSS są badzo groźne? Warto przeczytać.

Bezpieczeństwo IT to prawie magia.