Pod poprzednią notką (pisaną jeszcze przed programem) rozgorzała zacięta dyskusja na temat fachowości ekspertów i tego, że wszyscy im zazdrościmy. Dlatego obejrzałem rzeczony program kilka razy w Sieci (telewizora nie posiadam) i poniżej przedstawiam bardziej lub mniej obiektywną analizę.

Teraz My… wiemy lepiej

Program idealnie pasuje w ramy typowego programu o Hakerach. Celowo pisane z namaszczeniem, bo w środowisku informatycznym hakerami tytułuje się nie włamywaczy, a ludzi o wyjątkowych zdolnościach. Podobnie, jak można zostać hakerem wśród modelarzy.

Redaktorzy wykazali się wyjątkowym brakiem przygotowania merytorycznego do tematu. Kto to widział, żeby na hasło hosting robić zdziwioną minę i pytać, co to za trudne słowo (alegoria)? Wydarzony redaktor powinien w tym miejscu się odwrócić i powiedzieć: szanowni państwo, spieszę wyjaśnić, że chodzi o komputer, który umożliwia umieszczenie strony internetowej w Sieci tak, żeby inni ludzie mogli z niej korzystać za pośrednictwem Internetu.

Zdaje się, że w pewnym momencie zorientowali się w swoim braku zorientowania, bo przez drugą połowę programu wciąż czytali z kartki jedno i to samo hasło: jak to możliwe, że tajne dane nie są chronione? Nie zwracali przy tym uwagi na to, że przedstawiciele policji usilnie próbowali ich naprowadzić na właściwy trop — najpierw grzecznie i okrężnie, potem tłumacząc wprost, że to nie jest prawda.

Równie słabym zagraniem było rozpoczęcie rozmowy od zapytania jednego z gości, co myśli o drugim gościu. Biorąc pod uwagę, że przedstawiciel policji wyglądał na dobrze wychowanego, nie mam pojęcia, jakiej odpowiedzi oczekiwała szanowna redakcja. Szczerze, to powiem, że pierwszy raz gościa na oczy widzę, szukaliśmy go trochę w Google, ale trafiliśmy tylko na stronę na Wikipedii, którą sam sobie założył i jego bloga, gdzie sam tytułuje się ekspertem?

Ekspert

Pierwszy kontakt z panem Pawłem mieliśmy (z czego zdałem sobie sprawę dopiero wczoraj) nieco ponad dwa lata temu, kiedy to we wrześniu groził Mariuszowi Mazurowi pobiciem za krytykę jego zdolności językowych.

23:12:46 <gorion> jesli chciales we mnie wroga to ci sie udalo.
23:25:02 <gorion> co takiego boli cie w tej stronie?
23:25:33 <gorion> ze postanowiles sobie zalatwic wpierdol ;]

Powyższa rozmowa nie jest teraz publicznie dostępna, mmazur zdecydował się ją zdjąć na prośbę Pawła na tydzień równo dwa tygodnie przed programem. Czyżby dbanie o wizerunek, gdyby ktoś zechciał zweryfikować jego tożsamość w Sieci? Na to wygląda, bo…

Nie uchroniła się też Wikipedia - internetowa encyklopedia. Na miesiąc przed programem, Paweł postanowił napisać tam artykuł poświęcony samemu sobie, w którym podkreślał swoje umiejętności i osiągnięcia.

Komentarze na temat usunięcia strony z zasobów Wikipedii wyjaśniają też kontakty ze sceną hakerską, którymi Paweł chwalił się tak w Sieci, jak w samym programie. Otóż artykuł z Wikipedii usunął nie kto inny, jak sam Michał Zalewski, znany w środowisku informatyków jako lcamtuf.

Analiza włamania

W samym programie nie zostało pokazane praktycznie nic. Kilka efekciarskich przejazdów kamerą po terminalu z listą plików w bieżącym katalogu (jakość nagrania w Internecie nie pozwala na przeczytanie zawartości; podobny efekt można uzyskać, wpisując dir w Wierszu poleceń MS-DOS, dostarczanym z każdą kopią systemu Windows), parę ekranów z przeglądarki Opera i właściwie na tym się skończyło.

Paweł w swoich wypowiedziach uparcie twierdził, że uzyskał dostęp do serwera katowice.kwp.gov.pl (serwis internetowy Komendy Wojewódzkiej Policji w Katowicach), skąd wykradł dane policjantów, a następnie uruchomił automatyczne kopiowanie przychodzącej poczty na własną skrzynkę e-mail.

Szybko okazało się jednak, że tylko to ostatnie jest prawdą, bo wykradzione dane stanowią publicznie dostępną listę dzielnicowych wraz z danymi kontaktowymi do nich. Zanim zostanę wyśmiany jako zazdrosny laik, pozwolę sobie zacytować kolegę.

Błażej Miga (7 lat administracji systemów, 8 lat w bezpieczeństwie IT, były policjant pracownik policji, między innymi brał udział we wdrożeniu systemu autoryzacji pracowników za pomocą kart cyfrowych):

Przez kilka lat pracowałem w Policji, więc tematyka zabezpieczeń serwerów w KWP nie jest mi obca. Od kilku lat jestem moja praca jest związana z bezpieczeństwem komputerowym, dlatego pozwoliłem sobie na kilka własnych uwag do wczorajszego programu.
  1. Program był kiepski - redaktorzy na siłę próbowali wyszukać skandalu. Brawo dla Andrzeja Machnacza, który jako jedyny posiadał odpowiednią wiedzę z tematyki :)
  2. Lista danych osobowych - litości p. Paweł pokazał w programie listę kontaktową do dzielnicowych. Na liscie tej zawarte są adresy zamieszkania + numery kontaktowe do tych dzielnicowych. Słusznie, że takie dane znajdują się na stronach internetowych - w jaki sposób społeczeństwo ma zgłaszać swoje problemy jak nie do dzielnicowych. Szkoda tylko, że pan rzecznik prasowy kgp zapomniał o tym. :(
  3. Dane ksipowe. Na każdej stronie internetowej kwp umieszczone są dane o co ciekawszych zdarzeniach. Dane te są później przedrukowywane w lokalnych czasopismach. Problem w tym, że w danych tych nie ma informacji o danych osobowych, bo dane te są po prostu wycięte.
  4. Dlaczego p. Paweł nie pokazał formatki logującej do KSIP’u? Skoro mówił że istnieje możliwość podłączenia się do KSIP, to dlaczego tego nie zrobił? Sprawa jest prosta - nie mógł tego zrobić bo ten system działa w odseparowanej sieci i bez podłączenia do PSTD (policyjny intranet) nie ma możliwości zalogowania do systemu.
  5. Czy przestępcy są zainteresowani włamaniami do serwerów policyjnych? Odpowiedź brzmi nie. Dlaczego mieliby płacić setki tysięcy zł hakerom za wykradanie danych, skoro mogą dać policjantowi, który zarabia 1000zł, łapówkę za którą otrzyma te same dane :). Z tego co wiem, najbardziej interesujące dane przestępcy uzyskują za pomocą metod siłowych, więc nie wiem czy są zainteresowani płaceniem za dane które mogą otrzymać za darmo :).
  6. W jakim celu p. Paweł pokazał włamanie go NFZ? Co ma włamanie do NFZ w programie o słabości zabezpieczeń serwera KWP w Katowicach?

Tragiczny poziom zabezpieczeń serwerów rządowych

Być może będzie to zaskoczenie nawet dla naszego eksperta, ale wystarczy poświęcić kilka sekund, żeby wpisać poniższe dwa polecenia:

[patrys@meaw ~]$ host katowice.kwp.gov.pl
katowice.kwp.gov.pl has address 81.219.17.16
katowice.kwp.gov.pl mail is handled by 10 post.katowice.kwp.gov.pl.
[patrys@meaw ~]$ host 81.219.17.16
16.17.219.81.in-addr.arpa domain name pointer www16.srvs.futuro.pl.

Spieszę z wyjaśnieniami — pierwsze polecenie sprawdza internetowy adres serwera katowice.kwp.gov.pl, drugie zaś sprawdza, do jakiego komputera ten adres jest przypisany. W tym przypadku jest to www16.srvs.futuro.pl.

Wbrew temu, co powiedział w programie Paweł, nie jest to serwer należący do katowickiej policji, a tym bardziej nie znajduje się on w tej samej sieci, w której komputery pracowników komendy. Jest to tak zwany serwer wirtualny, wykupiony przez pracowników komendy w firmie Pro Futuro, w ramach usługi Flexo Partner. Ciężko zatem o dostęp do stacji roboczych policjantów z Katowic za pośrednictwem serwera, który znajduje się w Warszawie, czyż nie?

Podsumowując

Jeśli coś udowodniono, to tylko tyle, że klienci firmy Pro Futuro powinni się powoli zacząć rozglądać za innym hostingiem dla swoich serwisów. Pojawiła się też druga kwestia, poczta elektroniczna w Interii działa skandalicznie wolno.

Sieć policyjna i dane w niej są bezpieczne i odporne na tego typu włamania z prozaicznego powodu — nie istnieje kabelek, który ficzynie łączyłby policyjne rejestry z Internetem.

Update: mamy i oficjalną odpowiedź na powyższy post spod ręki samego eksperta.

Kończąc niniejszy wpis, chciałbym serdecznie podziękować wszystkim za e-maile, wiadomości i komentarze. Wszystkie z nich - a są ich setki okazały się wyrazem życzliwości, gratulacji i ofert współpracy. Nikt z ludzi zawistnych nie napisał na pocztę, gdyż oczywiście najlepiej czują się na blogach i w komentarzach, gdzie anonimowość pozwala ulżyć ich kompleksom.

Widocznie zmęczony sławą po programie, przeoczył imiona i nazwiska ludzi z branży…