Rzetelna PAP składa doniesienie o możliwości popełnienia przestępstwa
Odnotowuję ten phishing, ponieważ ma on interesujące elementy, które nie występowały we wcześniejszych tego typu zdarzeniach. Chodzi oczywiście o list elektroniczny, który został wysłany rzekomo przez posłankę Beatę Kempę, w którym to liście miała rezygnować z kandydowania. Był to tzw. fake mail, czyli list wysłany w celu podszycia się pod rzekomego nadawcę. Wiadomo już, że list wysłano z wykorzystaniem serwera w Czechach, ale bardziej interesujące chyba są ewentualne skutki rozpowszechnienia informacji przekazanej na podstawie takiego listu. Bo na podstawie takiego maila swoją depeszę rozesłała PAP.
Maila wysłano do Polskiej Agencji Prasowej (zdaje się, że nie tylko tam). PAP zaś chwilę się zastanowił i puściła taką informację w swoich serwisach. Potem zaś pojawiło się dementi, a PAP skierowała doniesienie o możliwości popełnienia przestępstwa (a konkretnie - jak czytam w prasie - "podejrzenia popełnienia przestępstwa w postaci oszustwa komputerowego poprzez przesłanie PAP fałszywego e-maila z oświadczeniem Kempy o jej rzekomej rezygnacji"). Oszustwo komputerowe, czyli art. 287 KK.
Zgodnie z art. 42 ustawy Prawo prasowe - "Redaktor nie ponosi odpowiedzialności za treść publikacji nadesłanych przez Polską Agencję Prasową oraz za treść komunikatów urzędowych, o których mowa w art. 34, jak również za treść orzeczeń i ogłoszeń, o których mowa w art. 35.". Każdy zatem, kto puściła informację "z PAP" nie ponosi odpowiedzialności, np. z tytułu naruszenia dóbr osobistych (a jeśli wiedział o tym, że informacje te nie są prawdziwe?).
Nie tak dawno mieliśmy aferę z opublikowaniem przez Rzeczpospolitą tekstu jedynie na podstawie prowokacji SMS-owej redaktora naczelnego jej konkurenta. Dziennikarz nie sprawdził informacji o rzekomym zwolnieniu Prezesa Zarządu Towarzystwa Piotra Marii Śliwickiego. Do tej pory w serwisie Rzepy wisi oświadczenie. Jednocześnie Sąd Najwyższy na rozprawie 2 czerwca 2011r. oddalił skargę kasacyjną Wydawnictwa Presspublica w innej sprawie, tj. sygn. akt I CSK 548/10. Wówczas Sąd Najwyższy stwierdził, że "zasięgnięcie dwóch telefonicznych opinii ekspertów nie jest wystarczające, aby uznać artykuł prasowy za rzetelny". Mamy zatem kolejny wzorzec rzetelności.
Wydaje się, że PAP nie spełniła tego wzorca publikując depeszę jedynie na podstawie otrzymanego maila, którego wysłano - prawdopodobnie, bo przecież wcale nie musi być takiej pewności - za pośrednictwem Emkei's Fake Mailera. Gazeta.pl (por. niżej) pisze: "PAP nie udało się skontaktować z posłanką, ale zdecydowała się opublikować depeszę z tą sensacyjną informacją"... W tym przypadku mail wydawał się pochodzić z adresu beata.kempa@sejm.gov.pl (pamiętam, jak kilka lat temu pokazywałem Prezesowi Trybunału Konstytucyjnego, w jaki sposób można wysłać - dzięki słabej wówczas konfiguracji serwera poczty elektronicznej Trybunału - list "z adresu" prezesa TK...).
W tekście "Spam polityczny" z 2004 roku pisałem:
W trakcie kampanii wyborczej lub promocyjnej może dojść do sytuacji, w której ktoś „podszyje” się pod kandydata lub dany komitet i będzie „na jego rachunek” wysyłał niezamówionej komunikaty z treściami, z którymi kandydat lub komitet się nie utożsamia. Może to być przykładem nieuczciwej gry wyborczej, mającą na celu zdyskredytowanie przeciwników politycznych w oczach wyborców.
Tak się stało. Nie pierwszy raz, bo przecież już w 2000 roku sztab wyborczy jednego z kandydatów na urząd Prezydenta RP informował:
Sztab wyborczy Mariana Krzaklewskiego oświadcza, że list reklamowy wysyłany do użytkowników Internetu jest autorstwa osoby podszywającej się pod kandydata na prezydenta...
Przypuszczam jednak, że nawet teraz, po takim zdarzeniu z udziałem PAP (zastanawiam się, co ja bym zrobił w takiej sytuacji będąc na miejscu dziennikarza PAP i nie jestem pewny), dziennikarze nie będą się zastanawiali nad komunikatem, który podpisany będzie nawet z wykorzystaniem podpisu elektronicznego (np. PGP). Jest zielone? Wskazuje na określone nazwisko? Pewnie zatem to co w mailu to prawda...
Na stronie beatakempa.pl jest oświadczenie kandydatki z 12 września 2011 r.:
W związku z e-mailami, które dotarły do wielu redkcji o mojej rzekomej rezygnacji z ubiegania się o mandat poselski
w najbliższych wyborach parlamentarnych, oświadczam, iż nie są mojego autorstwa i są one nieprawdziwe.
Najprawdopodobniej ktoś dokonał przestępstwa włamując się do mojej skrzynki poselskiej lub podszywając się pod mój adres mailowy ,rozsyłając nieprawdziwe informacje na mój temat w celu zdyskredytowania mojej osoby jako kandydata na posła.
Jeszcze dziś sprawa zostanie zgłoszona do prokuratury celem wyjaśnienia i ukaranaia winnego lub winnych zaistniałej sytuacji.
Jednocześnie informuję, że w chwili obecnej jestem w trakcie wyjazdu na spotkanie z wyborcami w okręgu 33 Kielce.
Nie wiem, gdzie w internecie znajdę oświadczenie PAP?
A wobec tego typu sytuacji, w której nawet PAP puszcza to, co dostaje (por. Fake-MORE: czy pojawią się sprostowania? Chyba nie...), czemu dziwić się, że są tacy, którzy sięgają po tego typu narzędzia w kampanii wyborczej. Nadal dostępne jest w Sieci Oświadczenie dotyczące mailingu KWW Rafała Dutkiewicza z 2010 roku, a i w latach wcześniejszych - jak wspomniałem - tego typu historie już miały miejsce. Czy ktoś się podszył? To też może być wygodne wytłumaczenie się z czegoś, co zrobiło się nie do końca etycznie. Na przykład wytłumaczenie spamu wyborczego. To nie my, to ktoś chce zrobić z nas spamera.
Za trzy tygodnie wybory.
Przeczytaj również:
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
SMTP
W większości komentarzy medialnych zaskakuje kompletna nieznajomość sposobu działania poczty elektronicznej. Dziennikarze są zdziwieni, że można wysłać maila "z czyjegoś adresu", nazywają to "włamaniem", "atakiem", Marszałek Sejmu zarządza sprawdzanie czy mail wyszedł "ze skrzynki" sejmowej itp. Tymczasem RFC821 powstał w 1982 roku, a więc protokół SMTP będzie wkrótce obchodził swoje 30. urodziny. Jest pewnie starszy od wielu dziennikarzy opisujących problem i o wiele starszy od wszystkich Dzieci Neostrady. Może więc pora byłoby wreszcie uświadomić sobie, jak ten protokół działa?
Jak zabezpieczyć się przed spoofingiem?
Zacytuję post z niebezpiecznika:
http://niebezpiecznik.pl/post/nikt-nie-wlamal-sie-na-skrzynke-beaty-kempy-jeszcze/
to nie zadziała
Za pomocą SPF można wesprzeć klasyfikatory spamu. Jednak nie można wierzyć w SPF dla domeny, która nie stosuje DNSSEC (kryptograficznie podpisywany DNS). Rozwiązaniem dostępnym od zaraz jest podpis elektroniczny. Nie musi być kwalifikowany, relacje zaufania możemy budować samodzielnie, jak ma to miejsce w przypadku OpenPGP a mimo to podpis nadal będzie wiarygodny.
>steelman<
Dlaczego?
Użycie i zaufanie SPF wynosi kompleksowość takiego 'ataku' z poziomu gimnazjalisty. IMHO przez wielu mniejszych operatorów poczty SPF jest traktowany nieco po macoszemu i używany jedynie do punktowania wiadomości. Z mojej praktyki wynika, że spokojnie może być użyty już na samym początku by powiedzieć "nie gadam z tobą".
Raj w komentarzu z dnia
Raj w komentarzu z dnia 2011.09.14 12:53 w niezbedniku pod w/w linkiem wskazuje na zagrozenia plynace ze stosowania SPF.
SPF
z doświadczeń własnego serwera pocztowego wiem, że ustawienie go tak, żeby od razu odrzucał maile z SPF na poziomie "softfail" skutkuje odrzucaniem większości maili i buntem użyszkodników, natomiast ustawienie takie, żeby odrzucał tylko "fail" jest mało skuteczne, bo bardzo dużo domen i tak ma w rekordzie SPF na końcu ~all, więc praktycznie nic się nie zmienia.
Co prawda dla domeny sejm.gov.pl jest:
v=spf1 ip4:195.187.136.77 ip4:195.187.136.70 ip4:195.187.136.80 ip4:195.187.136.131 -all
ale polityka -all na dłuższą metę też się nie sprawdza, wielu użyszkodników poczty chce korzystać z niej za pośrednictwem innych kont pocztowych, np. w GMailu można dodać sobie inny adres i potem wysyłać z niego - jeśli zabraknie include:_spf.google.com to takie maile potem by nie dochodziły i znowu byłby płacz do helpdesku...
Oczywiście nie zmienia to faktu, że gdyby serwer PAP-u był dobrze skonfigurowany, nie przyjąłby tego fałszywego maila "od Kępy", to prawda.
Ja z troszkę innej strony
Ja z troszkę innej strony pociągnę temat - zgodnie ze starą zasadą, żeby patrzeć kto na tym "włamaniu" :-) zarobi/skorzysta, jako pierwszą podejrzaną osobą jest dla mnie p.Kempa. Przecież dla niej jest to DARMOWA reklama na CAŁĄ POLSKĘ i nie tylko w gorącym okresie przedwyborczym... Ciekawe, czy śledczy też biorą pod uwagę taki wariant...?
Osobna sprawa to zdziwienie dziennikarzy, że "tak można zrobić". Niby dorośli, wykształceni ludzie, a nigdy nie słyszeli o "fake mail"...?
A ja z jeszcze innej strony...
Tak naprawdę dziennikarstwo w Polsce zeszło na psy, w większości liczy się tylko sensacja/rozgłos, a czy dana informacja jest prawdziwa i rzetelna jest na ostatnim miejscu. Zweryfikowanie tego e-maila nie stanowiłoby problemu, ale po co weryfikować, przecież temat był chwytliwy. Kto z tego odniósł korzyść, śmiem twierdzić, że pokrzywdzona, bo sam e-mail nie miał żadnej mocy sprawczej... ale to moje prywatne zdanie
Autor zwraca również
Autor zwraca również uwagę, że może powstać sytuacja że z negatywnie odebranych informacji przez wyborców/odbiorców można się wycofać mówiąc, że to nie my rozsyłaliśmy tylko jakiś spamer. Tylko, że wówczas jeżeli zgłosimy to do prokuratury, może ona nas oskarżyć o fałszywym zawiadomieniu o niepopełnionym przestępstwie, bądź ktoś zostanie kozłem ofiarnym.