W środę, 16 czerwca, odbędzie się niejawne posiedzenie Sejmu, zwołane na wniosek premiera Mateusza Morawieckiego z powodu ostatnich cyberataków na polityków, czyli przede wszystkim wycieku danych ze skrzynki mailowej szefa Kancelarii Premiera ministra Michała Dworczyka.
Informacje zostaną przedstawione wyłącznie do wiadomości parlamentarzystów, przynajmniej oficjalnie nic się na ten temat nie dowiemy – mimo że sprawa jest publiczna, a nie niejawna.
Haker bowiem codziennie publikuje nowe dokumenty, które mają pochodzić z ministerialnego maila. Z najnowszych wynika, że sam premier korespondował ze swoimi najbliższymi rządowymi współpracownikami, wykorzystując skrzynkę pocztową na gmailu – i kierując maile także na prywatne skrzynki. Ustalano w ten sposób kwestie istotne z punktu widzenia polityki państwa, m.in. strategię reagowania dotyczącą budowy gazociągu Nord Stream, polityki polsko-ukraińskiej czy nawet kolejnych lockdownów w Polsce. Oczywiście – jeśli publikowane przez hakera na platformie Telegram screeny maili są prawdziwe.
O czym mailował premier?
Wśród najnowszych materiałów, udostępnionych w sieci, są:
– projekt ustawy o wsparciu realizacji zadań państwa w przypadku wystąpienia stanu zagrożenia życia lub zdrowia ludności,
– zestawienie zapotrzebowania na środki Rządowego Centrum Bezpieczeństwa na 2022 rok.
W przypadku tych dokumentów nie ma dowodów, że pochodzą one ze zhakowanej skrzynki. Poza nimi haker zamieścił jednak też cztery screeny mailowej korespondencji, z udziałem premiera Morawieckiego, ministrów: Jarosława Gowina, Adama Niedzielskiego, Tadeusza Kościńskiego, rzecznika rządu Piotra Müllera, szefa Kancelarii Premiera Michała Dworczyka i innych pracowników KPRM. Korespondencja toczyła się głównie za pomocą gmaila.
Pokazane screeny dają wgląd w rządowe rozmowy na temat:
– sytuacji w czasie pandemii – w mailu ze stycznia 2021, Jarosław Gowin wytyka premierowi nieprzewidywalność w działaniach rządu w walce z pandemią,
– reakcji na uchwałę ukraińskiego rządu w sprawie upamiętnienia bohaterów narodowych, wśród których miał być Kłym Sawur (właściwie Dmytro Klaczkiwski), główny sprawca ludobójstwa wołyńskiego,
– czy premier powinien zabrać głos („mocny”) w sprawie wstrzymania budowy Nord Stream 2, w lutym 2021 roku.
– użycia wojska „w aktualnej sytuacji”, czyli w czasie masowych protestów Strajku Kobiet. Mail pochodzi z wieczora 27 października 2020 r. Dyskusja toczyła się tuż po opublikowaniu na kanale YT Prawa i Sprawiedliwości wystąpienia Jarosława Kaczyńskiego, w którym wzywał on do obrony świątyń.
W mailu, adresowanym m.in. do premiera, minister Dworczyk wyjaśnia, dlaczego jego zdaniem użycie wojska byłoby złym rozwiązaniem i nie należy tego robić, lub wykorzystać żołnierzy jedynie do zabezpieczenia protestów w niektórych sytuacjach. Korespondencja wskazuje jednak, że taki pomysł – użycia wojska do opanowania sytuacji w kraju – rozważano.
Na niższym poziomie, bez udziału premiera i ministrów, dyskutowano mailowo choćby o wynikach rankingu zaufania do polityków w kwietniu 2021 roku, z których wynikało, że liderzy Zjednoczonej Prawicy poprawili odrobinę swoje wyniki.
„Powoli, powoli, mozolnie, małymi kroczkami ale do przodu… Dzięki panowie, bo to dzięki Waszej współpracy i pomocy” – miał pisać Michał Dworczyk m.in. do Karola Kotowicza, jednego z bohaterów opisywanego przez OKO.press tzw. układu wrocławskiego, a obecnie sekretarza dyrektora Centrum Informacyjnego Rządu.
Wszystkie adresy mailowe widoczne w tych korespondencjach, to adresy prywatnych skrzynek, głównie na gmail.com, oraz należąca do Michała Dworczyka skrzynka na wp.pl. Wciąż nie wiemy, czy opublikowane maile są prawdziwe, czy w jakiś sposób sfabrykowane. Być może informację na ten temat w środę poda parlamentarzystom premier, podczas zamkniętego posiedzenia Sejmu.
Niespójności w metadanych?
Sprawdziłam również metadane nowo opublikowanych plików. Okazuje się, że jeden z nich znów zawiera informację o elemencie formatowania, zapisaną cyrylicą (pozostałe dane są zapisane alfabetem łacińskim) – podobnie jak trzy opublikowane wcześniej.
Chodzi o plik, pochodzący z Kancelarii Premiera, zawierający informacje dotyczące projektu ustawy o zarządzaniu bezpieczeństwem narodowym. Co ważne – plik w treści i nazwie jest datowany, ma pochodzić z 1 grudnia 2020 roku, natomiast metadane wskazują, że został on stworzony oraz zmodyfikowany 2 lutego 2021 roku.
Oczywiście, ta niespójność może być efektem prac autora dokumentu nad plikiem (np. kopiowania go z innego pliku), ale trzeba szybko wyjaśnić, czy to naturalny efekt prac, czy już dowód na fabrykowanie plików przez hakera.
Przyglądając się dokładniej metadanym plików (indywidualne informacje o każdym pliku) widać jeszcze jedną zadziwiającą cechę: niektóre z nich (ale nie wszystkie!) mają zadziwiająco krótki czas edycji – to czas od pierwszego zapisu do dokonania w pliku ostatniej zmiany.
Znalazłam kilka plików z czasem edycji 1 minuta, są też takie, których czas edycji to… zero minut. Może to wskazywać, że pliki rzeczywiście nie są oryginalne – choć niekoniecznie muszą być „fabrykowane” (takiego określenia użył minister Dworczyk w swoim drugim oświadczeniu na temat przecieku).
Być może zostały skopiowane z oryginałów i na Telegramie publikowane są obecnie wyłącznie ich kopie, stworzone przez hakera. Taka wersja zmuszałaby do postawienia pytania, od jak dawna haker ma dostęp do ministerialnego maila, opisywane pliki mają bowiem w metadanych dość odległe daty powstania. Nie da się odpowiedzieć na to pytanie bez dostępu do oryginalnych plików, znajdujących się w skrzynce Dworczyka.
W trzech plikach autorem ich ostatniej modyfikacji jest ktoś podpisujący się jako „montik!”. Nie wiadomo, czy to czyjś pseudonim, a jeśli tak, to czyj i czy ma jakikolwiek związek z hakerem, czy raczej np. z jakimś pracownikiem Kancelarii Premiera.
Czwarty plik z cyrylicą
Przyjrzyjmy się bliżej plikom, w metadanych których pojawiła się cyrylica i przypomnijmy wcześniejsze ustalenia. Na razie mamy takie cztery w opublikowanym zbiorze, a zapisane cyrylicą informacje zawsze dotyczą formatowania plików. Daty ich edycji wskazują, że treść dokumentów nie była zmieniana w ciągu ostatnich miesięcy. Są to:
– CV obecnego szefa Rządowego Centrum Bezpieczeństwa, płk. Konrada Korpowskiego,
– pismo wiodące do kompletu dokumentów dotyczących prac legislacyjnych nad projektem ustawy o rezerwach strategicznych, pochodzące z Departamentu Analiz Przygotowań Obronnych Administracji KPRM.
– i najnowszy plik, dotyczący ustawy o zarządzaniu bezpieczeństwem narodowym.
W metadanych każdego z tych dwóch plików cyrylicą zapisane jest jedno słowo, w części dotyczącej formatowania (a dokładnie: nagłówków).
Czwarty materiał to wojskowa prezentacja, której autorem – wg meta danych – jest płk Krzysztof Gaj, obecny doradca Dworczyka, wcześniej związany z Antonim Macierewiczem, który musiał odejść z wojska po ujawnieniu jego antysemickich i antyukraińskich wypowiedzi. Tutaj rosyjskich słów jest znacznie więcej, ale również dotyczą formatowania prezentacji.
Jak te dane odczytać? Pamiętajmy, że metadane plików można modyfikować. To właśnie powoduje, że łatwe skojarzenia, związane z faktem użycia cyrylicy, nie muszą być prawdziwe i niekoniecznie potwierdzają popularną tezę, że za atakiem hakerskim na skrzynkę ministra stojąc rosyjskie lub białoruskie służby. Jeśli bowiem tak by było, dlaczego rosyjski alfabet pojawia się wyłącznie w danych dotyczących formatowania, a nie w nazwie autora czy tytule? I dlaczego te same metadane pokazują, że pliki były edytowane kilka miesięcy temu (plik Gaja – 19 października 2020 roku, plik Korpowskiego – 2 lutego 2021, plik z departamentu KPRM – 3 listopada 2020), a nie ostatnio? Jeśli metadane zostały spreparowane i edytowano daty tak, by odsunąć podejrzenie o rosyjskiej/białoruskiej ingerencji w pliki, dlaczego zostawiono wpisy w cyrylicy, widniejące kilka wersów obok? Byłby to poważny błąd preparujących.
Są też inne możliwości. Cyrylicy mógł użyć haker podczas edycji metadanych – byłby to tzw. błąd intencjonalny, którego cel jest oczywisty: skierowanie podejrzeń na Rosjan lub Białorusinów. Trzecia opcja: metadanych nikt nie edytował, są prawdziwe, a cyrylica pochodzi od autorów plików. Czyli od dwóch ważnych polskich wojskowych oraz z Kancelarii Premiera. Czy ktokolwiek w KPRM posługuje się oprogramowaniem w rosyjskiej wersji językowej?
Przy obecnym stanie wiedzy na temat opisywanego hakerskiego ataku żadnej z powyższych możliwości nie jesteśmy w stanie wykluczyć.
Operacja Ghostwriter? Niekoniecznie
Jak już informowaliśmy, modus operandi ataku hakerskiego na maila Dworczyka każe go porównać do wcześniejszych cyberataków, do których również użyto kont polskich polityków. Było ich już naprawdę dużo, choć dotychczas żaden atak nie dotknął premiera ani nie ujawnił wewnętrznej, rządowej korespondencji.
Kompromitujące wpisy lub fałszywki pojawiły się już na kontach: posłanki Joanny Borowiak (PiS), posła Marcina Duszka (PiS), Marleny Maląg (PiS), Iwony Michałek (Porozumienie), Marka Suskiego (PiS), Włodzimierza Bernackiego (PiS), Arkadiusza Czartoryskiego (PiS), byłego posła Andrzeja Melaka (PiS), byłego senatora Jarosława Chmielewskiego (PiS). Zhakowano również stronę internetową marszałkini Sejmu Elżbiety Witek, a na Twitterze powstało fałszywe konto senatora PiS Marka Martynowskiego.
Amerykańska firma Fire Eye, zajmująca się cyberbezpieczeństwem, przypisała te ataki grupie hakerów UNC1151, podejrzanej o działalność szpiegowską finansowaną przez państwa (prawdopodobnie przez Rosję), a realizowaną przez nią operację nazwała „Ghostwriter”. Jest prowadzona nie tylko w Polsce, ale także na Ukrainie i w krajach nadbałtyckich, a ostatnio została rozszerzona na Niemcy.
Hakerzy z UNC1151 rozprowadzają złośliwe oprogramowanie, by zdobyć dane uwierzytelniające (np. loginy i hasła) użytkowników. Celują przy tym głównie w podmioty rządowe, wojskowe, dziennikarzy i aktywistów. Raz nawet rozesłali mailem fałszywy newsletter Polskiego Radia. Hakują strony internetowe, tworzą fałszywe witryny, włamują się na konta mailowe.
Sprawa jest publiczna, wyjaśnienia też powinny takie być
Podobieństwa ich działań do ataku hakerskiego na konto Michała Dworczyka są wyraźne, ale jednocześnie widać też istotne różnice.
Ta operacja, w przeciwieństwie do opisanych powyżej, jest rozciągnięta w czasie, informacje z maila ministra (prawdziwe lub nie) prezentowane są codziennie od 4 czerwca. Tym razem nie chodzi więc o wprowadzenie do opinii publicznej konkretnych treści, lecz o ośmieszenie ministra, być może także – zdyskredytowanie wiarygodności całego polskiego rządu.
Poza tym nie wykorzystano ani fałszywych stron, ani nie włamano się na żadną witrynę, by rozprowadzić prezentowane materiały. To spowodowało, że przez cztery pierwsze dni istnienia publikującego dane z wycieku kanału na Telegramie nie zdobyły one zainteresowania. Sprawa stała się publicznie znana, dopiero gdy haker włamał się na facebookowe konto żony Michała Dworczyka.
Wciąż nie wiemy, co jeszcze zostało wykradzione z ministerialnej skrzynki ani tym bardziej – kto to zrobił. Politycy Zjednoczonej Prawicy wskazują na służby ze Wschodu jako na te, które mają stać za całym atakiem – ale na tym etapie (jeśli chodzi o informacje dostępne publiczne) trudno wykluczyć inne możliwości.
Motywację do działań dyskredytujących Dworczyka, a także rząd Zjednoczonej Prawicy mogą być szerokie – od prywatnej zemsty, przez oburzenie choćby nowymi propozycjami podatkowymi (niekorzystnymi m.in. dla tzw. wolnych strzelców z branży IT), po działanie czysto polityczne. Dobrze, że premier zdecydował się poinformować parlamentarzystów o tym, co wiadomo o hakerskich włamaniach. Źle, że stanie się to na niejawnym posiedzeniu Sejmu – sprawa jest publiczna, dane z wycieku dostępne dla każdego zainteresowanego (wystarczy korzystać z aplikacji Telegram), wyjaśnienia więc także powinny być publiczne.
W sytuacji gdy plik jest kopiowany, często następuje nadpisanie obu dat – utworzenia i edycji. Stąd te wartości bardzo słabo nadają się do oceny autentyczności i są bardziej poszlaką. Dopiero gdyby znane były urządzenia, systemy operacyjne oraz programy użyte do manipulowania tymi plikami, można byłoby wnioskować czy charakter dat jest wiarygodny.
Ogólnie beznadziejnie słaba jest polityka bezpieczeństwa polskich władz. Informatycy może i by chcieli, i dali radę coś poprawić, ale wtedy niejeden poseł musiałby pewnie wnuczkę albo wnuczka prosić o pomoc.
Brak separacji przetwarzania danych istotnych dla państwa od danych prywatnych.
Brak podpisywania plików.
Brak szyfrowania plików.
Brak szyfrowania dysków.
Słabe hasła, słabe mechanizmy uwierzytelniania.
Brak potwierdzania spójności dokumentów za pomocą mechanizmu łańcucha bloków (blockchain).
Przywiązanie do zamkniętego oprogramowania od jednego dostawcy.
[1] https://www.cvedetails.com/product/529/Microsoft-Word.html?vendor_id=26
[2] https://www.cvedetails.com/product/21008/Libreoffice-Libreoffice.html?vendor_id=11439
Nnajlepszym rozwiązaniem takich problemów z pewnością jest zwiększenie liczby (obowiązkowych) lekcji "religii". Dzięki temu może więcej osób wiedziałoby, iż takie sprawy należy zawierzyć Św. Izydorowi – patronowi informatyków i programistów.
" posługuje się oprogramowaniem w rosyjskiej wersji językowej?"
Jest jeszcze inna możliwość. Jest wiele darmowych programów zrobionych przez rosyjskich programistów. Ktoś mógł je używać, bo były pod ręką.
Nie wszystkie programy zawierają angielskie słowa.
(Telegram też był zrobiony w Rosji.)
Biorąc pod uwagę, że ujawniono maile, które mają dosyć długą treść, można zweryfikować ich prawdziwość poprzez analizę składniową. Każdy posiada swoje unikalne cechy układania zdań i doboru słów. Oczywiście byłby w tym przypadku potrzebny ekspert, ale jest to jak najbardziej możliwe do zweryfikowania.
Komentarz został usunięty ponieważ nie spełniał standardów społeczności.
Na mój gust, rosyjskie i białoruskie (przeszkolone przez Rosjan) tajne służby na pewno nie są nieprofesjonalne i gdyby naprawdę stały za tymi atakami, to zadbałyby o to, by w metadanych nie ostała się ani jedna bukwa. Oczywiście nawet FSB nie jest nieomylne, ale prawdopodobieństwo takiego błędu jest znikome. Bardziej bym tu widział próbę świadomego skierowania podejrzeń na Wschód – choć jako sceptyk wobec teorii spiskowych nie podejmuję się wyrokować, kto naprawdę ma w tym interes i za tym stoi.
„rosyjskie i białoruskie tajne służby na pewno nie są nieprofesjonalne”
Hm…, polecam łaskawej uwadze ten tekst:
https://www.bellingcat.com/news/uk-and-europe/2020/12/21/if-it-hadnt-been-for-the-prompt-work-of-the-medics-fsb-officer-inadvertently-confesses-murder-plot-to-navalny/
W skrucie – jeden z agentów, który brał udział w akcji otrucia Nawalnego dał się podejść i w rozmowie telefonicznej opowiedział wszystko jak na spowiedzi… Nawalnemu.
W tym samym portalu można tez znaleźć historię jednego z ważniejszych hakerów w ichniejszych strukturach, któremu zhakowano skrzynkę e-mail, do której miał ustawione hasło składające się li i jedynie z jego nazwiska („Badim” bodajże). Przy wycieku danych po jakimś czasie okazało się, że facet uczy się na błędach i zmienił hasło na znacznie silniejsze: „Badim2”.
Także z tym profesjonalizmem rosyjskich agentów to ten tego.
Nareszcie ktoś się poważnie dobrał do rządowej mafi.
Cześć panowie, mam na imie Monika. Chętnie poznam normalnego faceta. Nie szukam sponsora, nie interesuje mnie jakie masz zarobki, samochód itp. Przede wszystkim cenię kulturę osobistą i poczucie humoru, wygląd dla mnie to sprawa drugorzędna. Zainteresowanych panów zapraszam do kontaktu. Numer telefonu i więcej fotek wrzuciłam na swój profil tutaj: http://panieonline.pl/monika26
Jeśli to by były autentyczne maile to na pewno "hakerzy" pokazali by podpisy DKIM, które weryfikują nagłówek wiadomości; tak chociażby uprawdopodobniono maile Podesty. Bez tego to albo amatorka albo dezinformacja, niestety nie ma co się ekscytować.
"na pewno "hakerzy" pokazali by podpisy DKIM … Bez tego to albo amatorka albo dezinformacja"
No jeśli by to byli "profesjonalni" hakerzy co bardzo dbają o swój zawodowy "image", na pewno by pokazali "podpisy DKIM" panu Nn Nn aby ich nie nazwał amatorami. Jeśli to dezinformacja, to po co robić sprawę i dochodzenia?
Znacznik czasowy (utworzenie i edycja dokumentu) o niczym nie świadczy. Stwierdza tylko, że po utworzeniu dokumentu (czy kopii) nie dokonywano edycji. Oczywiście, te daty można zmienić, ale po co? Cała ta afera wskazuje na działalność jakichś hakerów nie związanych z jakimikolwiek służbami. Ale to wystawia świadectwo NASZYM służbom: bardzo negatywne. Jeżeli nie potrafią sobie poradzić z "amatorami", to jak "dziurawi" jesteśmy dla wyspecjalizowanych służb?
Czas edycji o niczym nie świadczy, niektórym po prostu nie odpowiadają ograniczone opcje formatownia tekstu w skrzynkach popularnych portali i wolą niekiedy przez pół godziny skrobać maila w wordzie i potem przekleić treść do wiadomości, i zaraz wysłać.
Dotarłem do takiej "ciekawostki" (długa, w 2 częściach):
Część 1:
Zadzwonił do mnie kolega radioamator z dawnej pracy w związku z niejawnym posiedzeniem Sejmu w dniu 16.06.2021.
Oto zapis naszej rozmowy:
On: Dysponuję nagraniem audio całego dzisiejszego tajnego posiedzenia Sejmu. Czasami są drobne zaniki, bo to nagranie drogą radiową, ale generalnie nadaje się do wykorzystania. Trwa 2:17:23. Co ty na to?
Ja: Zatkało mnie, bo trudno w to uwierzyć. Przecież były środki bezpieczeństwa.
On: Jak się postarać, zawsze jest jakieś obejście. Chcesz trochę posłuchać?
Ja: Puszczaj. [Słuchałem ok. 2 minut. Wygląda na autentyk.]
On: No i co?
Ja: Rzeczywiście, chyba wszystko jest OK. Coś chcesz ode mnie?
On: Tak. Ja nie istnieję w żadnych mediach społecznościowych, a ty chyba tak?
Ja: To prawda. I co z tego?
On: Mógłbyś to jakoś ogłosić, bo dałoby się na tym zarobić. Wchodzisz w to?
Ja: No, nie wiem. A jak służby do mnie dotrą i poproszą o szczegóły?
On: To zrób to tak, aby nie dotarły.
Ja: To co proponujesz?
On: Włącz teraz nagrywanie naszej dalszej rozmowy.
Ja: OK, włączyłem. Mów.
Część 2:
On: Ogłoś, że masz dostęp do autentycznego nagrania drogą radiową całego przebiegu posiedzenia tajnego Sejmu w dniu 16.06.2021. Czas nagrania wynosi 2:17:33. Próbka nagrania trwająca około 2 minut, w formacie MP3, może być na prośbę udostępniona w chmurze o nazwie "Mega" wraz z podaniem nazwy pliku próbki i linku dostępu. Ty dostałbyś ten link i ty przesłałbyś go kontrahentowi zainteresowanemu kupnem całego nagrania.
Ja: Co dalej?
On: Jeżeli kontrahent wyrazi zainteresowanie, z pewnością zapyta o cenę. Nie podajemy jej na tym etapie. Zadbaj o to, aby konieczna w kolejnych krokach korespondencja między wami odbywała się za pośrednictwem komunikatora "Signal" zainstalowanego na waszych smartfonach.
Ja: OK, mów dalej.
On: Ty udostępniasz mu przez "Signala" link do próbki nagrania i jednocześnie go pytasz, ile płaci za całość. Przekazujesz to mnie. Ja Ciebie powiadamiam, czy się zgadzam. Jak nie, podaję Ci moją cenę i Ty ją negocjujesz. Jeżeli się dogadamy, ja umieszczam na "Mega" pierwszą godzinę nagrania, podaję Ci odpowiedni link, Ty go przekazujesz nabywcy, on pobiera plik i jednocześnie podajesz mu moje konto, na które ma wpłacić połowę ustalonej ceny. Po wpłynięciu zapłaty za 1. godzinę ja umieszczam na "Mega" pozostałą część nagrania, ale włączam ograniczenie, że można je tylko odsłuchać. Podajesz mu link do odsłuchania. Po wpłacie drugiej połowy ceny likwiduję to ograniczenie i on pobiera tę połowę. Jasne?
Ja: Muszę zrobić sobie transkrypt zarejestrowanej części rozmowy i go sobie wydrukować. Przeanalizuję to wszystko po wydrukowaniu. Odezwę się do Ciebie wkrótce. Cześć.
On: Czekam. Cześć.
Słuchajcie no Dworczyk, koryto usuwa się w szybkim tempie, trzeba niestety się pakować. To tak z kodeksem honorowym w prawdziwej polityce, tutaj zapewne będzie kodeks p(i)siarni.