Odpowiedź od rzecznika prasowego ABW (jak wiarygodnie informować o ew. atakach na infrastrukturę?)

Jak wiadomo poprosiłem rzecznika prasowego ABW o komentarz dot. podanych przez rzecznika prasowego MKiDN informacji o ataku na strony ministerstwa. Otrzymałem dziś odpowiedź: "Uprzejmie informuję, iż oceny dotyczące zabezpieczeń poszczególnych witryn administracji rządowej kierowane są wyłącznie do adresata – tj. organu administracji rządowej, który zwrócił się do ABW z wnioskiem o jej dokonanie. Agencja przekazuje jego przedstawicielom szczegółowe informacje oraz ewentualne zalecenia. Ogólne dane dotyczące stanu zabezpieczenia witryn rządowych znajdują się w cyklicznie w publikowanych Raportach o stanie bezpieczeństwa cyberprzestrzeni RP, przygotowywanych przez zespół CERT.GOV."

Kilka dni temu na stronach CERT.GOV.PL opublikowano raport zatytułowany Wyciąg z ogólnej analizy ataków na witryny administracji państwowej RP w okresie 21 - 25 stycznia 2012r. Ów wyciąg dotyczy pierwszej fali niepokojów, o których pisałem w tekście Proszę o spokój. Nie było żadnego ataku, przynajmniej początkowo. Niektórzy dziennikarze skoncentrowali się tylko na pierwszej części zdania, które jest w tytule przywołanej notatki i tak np. w Gazeta.pl czytamy dziś nadal tekst Waglowski: Proszę nie wierzyć w informacje o ataku hakerów. Ja tytułu swojej notatki nie zmieniałem, tekst opublikowałem w nocy, na przełomie 21-22 stycznia. Zatem tak, jak było opublikowane, nadal końcówka tego tytułu brzmi: "...przynajmniej początkowo".

Analiza CERT nie wspomina o jakichkolwiek problemach z 25 megabajtowym plikiem na stronach MKiDN, który opisywałem wcześniej.

Wykres dotyczący "ilości odwiedzin na minutę strony sejm.gov.pl w dniach 21 – 25 stycznia 2012". Nie zdefiniowano pojęcia "odwiedzin", w wyciągu znalazła się jedynie informacja, że "W celu realizacji poniższych statystyk brano pod uwagę ilość odwiedzin stron a nie ilość żądań HTTP". Materiał CERT nie wspomina sygnalizowanej w mediach awarii serwera Sejmu. Z obserwacji, które przeprowadzaliśmy w dniu 21 stycznia wynikało, że w pewnym momencie serwer webowy Sejmu został odcięty, co wyglądało tak, jakby ktoś wyciął ruch na firewallu. Materiał CERT nie zawiera informacji, które mogłyby takie obserwacje potwierdzić lub im zaprzeczyć.

Zakładając, że CERT opublikuje kolejny raport, a w nim informacje na temat dnia, w którym na stronach MKiDN opublikowano część materiałów na temat ACTA (opublikowany już raport nie obejmuje tego dnia), dowiem się więcej o tym, co w istocie działo się w chwili, gdy pod wpływem irytacji opublikowałem tekst Zainteresowanie ludzi, a "atak" (puszczają mi nerwy) (za brak profesjonalizmu którego zaraz potem przeprosiłem czytelników w tekście Przesłałem pytania dot. ataku na MKiDN do rzecznika prasowego ABW).

Z nieoficjalnych sygnałów, które do mnie docierają, wynika, że 8 lutego rzeczywiście mógł zostać przeprowadzony atak na infrastrukturę teleinformatyczną MKiDN, przy czym obserwatorzy infrastruktury sugerują, że nie nastąpił z komputerów w Polsce, a np. z innych państw, być może za pośrednictwem botnetu. Nie mam pomysłu na to, kto i dlaczego miałby przeprowadzić taki atak. Tym bardziej, że - o ile mi wiadomo - nikt się nie przyznał do takiego ataku. Aby potwierdzić sam atak, a także aby poznać jego ew. charakter, zwróciłem się wówczas do CERT.gov.pl i do ABW.

Jeszcze raz mogę tylko ubolewać, że nie mam zaufania do stanowisk MKiDN. Tym bardziej, że wraz z opublikowanymi w lutym materiałami na temat ACTA ministerstwo umieściło na serwerze dwa dodatkowe pliki o wadze ok. 25 MB, co jest dla mnie niepojęte.

Zdając sobie sprawę z tego, że publikowanie szczegółowych informacji na temat infrastruktury krytycznej państwa może być niebezpieczne dla ogólnego poziomu bezpieczeństwa tej infrastruktury (np. sygnalizować o skuteczności lub nieskuteczności pewnych form przeprowadzanych ataków, etc.), a sama analiza po ew. ataku wymaga czasu, to jednak zastanawiam się stale nad tym, że nie ma jak potwierdzać komunikowanych przez polityków informacji na temat ew. ataków. To zaś pozostawia pole do ew. manipulacji i za pomocą takich, nie mających szybkiego i wiarygodnego potwierdzenia komunikatów można sterować nastrojami opinii publicznej.

Tak czy inaczej - czekam na ew. kolejny raport CERT.