26 września 2022

Sygnalista: Jak się przejmuje konta na Twitterze? Proste - dzięki niechlujstwu pracowników Twittera

Nastolatkom z Florydy udało się przejąć szereg popularnych kont na Twitterze. W tym konto byłego prezydenta USA Baracka Obamy, ówczesnego kandydata na prezydenta USA Joe Bidena czy miliarderów Jeffa Bezosa, Billa Gatesa i Elona Muska. Mimo że się bardzo pilnowali

Kolejny (po Facebooku) wielki portal społecznościowy doczekał się sygnalisty. Peiter "Mudge" Zatko, były szef bezpieczeństwa informacji w Twitterze, upublicznił informacje dotyczące problemów systemowych (zarówno w sensie systemów informatycznych, jak i w sensie kwestii ustrojowych, organizacyjnych) w firmie.

Kolejny (po Facebooku) wielki portal społecznościowy doczekał się sygnalisty. Peiter "Mudge" Zatko, były szef bezpieczeństwa informacji w Twitterze, upublicznił informacje dotyczące problemów systemowych (zarówno w sensie systemów informatycznych, jak i w sensie kwestii ustrojowych, organizacyjnych) w firmie.

O ile Facebookowe rewelacje Frances Haugen dotyczyły raczej algorytmów, moderacji czy promowania niebezpiecznych treści, o tyle materiały udostępnione przez Mudge'a skupiają się bardziej na kwestiach technicznych i dotyczących bezpieczeństwa informacji (choć dotykają też kwestii moderacji i walki z dezinformacją). Mają jednak nie mniejsze znaczenie i rzucają światło na to, jak krucha jest często infrastruktura zbudowana przez największe firmy technologiczne świata.

Według zeszłorocznego raportu Hootsuite, w Polsce z Twittera korzysta prawie 40 proc. wszystkich użytkowników i użytkowniczek internetu.

Kim jest Mudge?

Peiter Zatko, znany w kręgach technologicznych jako "Mudge", jest hakerem i doświadczonym specjalistą od bezpieczeństwa informacji. Zanim w 2020 roku zaczął zarządzać bezpieczeństwem informacji w Twitterze, pracował w Motoroli (wówczas będącej własnością Google) i w Stripe. Wcześniej zajmował się badaniami dotyczącymi bezpieczeństwa informacji w DARPA, amerykańskiej agencji rządowej, skupiającej się na rozwoju technologii przydatnych dla wojska.

Zaczynał jednak jako haker skupiający się na kwestiach bezpieczeństwa. Był członkiem L0pht oraz Cult of the Dead Cow - jednych z pierwszych, legendarnych dziś, grup hakerskich w Stanach Zjednoczonych, zrzeszających osoby niesztampowo korzystające z technologii. Znajdował luki w oprogramowaniu i informował o nich publicznie, stając się jednym z pionierów ruchu etycznego informowania o podatnościach bezpieczeństwa.

Echa ideałów ruchu hakerskiego słychać w oświadczeniu Mudge'a, złożonym w połowie września przed senacką komisją sądowniczą w USA: "Nadal wyznaję filozofię etycznego informowania o podatnościach i jestem tu dziś, ponieważ uważam, że niebezpieczne przetwarzanie danych użytkowników przez Twittera oraz niezdolność bądź niechęć poinformowania zarządu i instytucji kontrolnych o tych problemach stworzyły poważne zagrożenia dla dziesiątków milionów Amerykanów".

Nie powinno zatem dziwić, że postanowił on publicznie poinformować o zaniedbaniach i podatnościach, o których Twitter wiedział, ale których najwyraźniej nie naprawiał latami.

Dekada długów technologicznych

Po przeczytaniu upublicznionych dokumentów trudno nawet krótko podsumować wszystkie kwestie tam wymienione. Skupię się więc na kilku moim zdaniem kluczowych.

Zacznijmy od tego, że Twitter najwyraźniej ma potężny dług technologiczny. Przy tworzeniu systemów informatycznych często konieczne jest wdrożenie rozwiązań tymczasowych, które sprawdzą się w danym momencie, ale w dłuższej perspektywie wymagają poważnych zmian. Jeśli tak zaciągniętego "długu" nie spłacimy — poświęcając czas i energię na porządne zaplanowanie i wprowadzenie koniecznych ulepszeń — będzie on rósł i stwarzał coraz więcej problemów.

Wygląda na to, że dokładnie w tej sytuacji znalazł się Twitter. Na przykład, w jednym z dokumentów czytamy, że "z ponad 500 000 serwerów w serwerowniach Twittera, ~60% z nich ma nieaktualne systemy operacyjnie. (…) Wiele z tych nieaktualnych systemów operacyjnych nie jest już wspierana przez ich wydawcę".

Można by spytać: czemu? Przecież aktualizacje bezpieczeństwa to absolutna podstawa, nie tylko w serwerowni!

Jeśli wierzyć upublicznionym dokumentom,

wyłączenie nawet niewielkiej liczby serwerowni Twittera jednocześnie może spowodować globalną awarię, której naprawienie mogłoby zająć całe miesiące. Inżynierowie Twittera nie są też do końca pewni, czy byliby w stanie w ogóle ponownie uruchomić serwery.

W takiej sytuacji instalacja aktualizacji czy nowej wersji systemu operacyjnego jest dużo bardziej niebezpieczną operacją, niż być powinna. "Twitter ma 10 lat nieopłaconych rachunków dotyczących bezpieczeństwa" - zauważył (jak wspomina jeden z dokumentów) Parag Agrawal, dziś prezes firmy, a wcześniej jej dyrektor techniczny.

Mudge ujął to nieco bardziej dosadnie:

"Twitter dopuszcza się rażących zaniedbań w wielu obszarach związanych z bezpieczeństwem informacji".

Archaiczne praktyki

Na tych - działających pod kontrolą nieaktualizowanych, niewspieranych już przez wydawców systemów operacyjnych - serwerach przechowywane i przetwarzane są rzecz jasna dane i metadane osób korzystających z usług tej platformy. A więc na przykład metadane dotyczące lokalizacji (na podstawie geolokalizacji albo samego adresu IP), używanego oprogramowania i oczywiście sama treść wpisów, informacje o polubieniach i innych interakcjach itd. Ale również dane dotyczące stron odwiedzanych nie tylko przez osoby posiadające konta na tej platformie: Twitter śledzi to za pomocą przycisków "tweetnij" na stronach internetowych.

Mało tego: jak czytamy w dokumentach,

"Twitter nie posiada środowisk testowych",

na których zmiany w oprogramowaniu mogą być bezpiecznie testowane przed wdrożeniem. Ryzykowne zmiany wprowadzane są więc bezpośrednio na serwerach produkcyjnych, z dostępem do prawdziwych danych.

Sprawę pogarsza fakt, że "każdy inżynier pracujący w Twitterze, mieszkający w dowolnym kraju, ma obecnie bezpośredni dostęp do systemów produkcyjnych". Zgodnie z informacjami zawartymi w upublicznionych dokumentach, to obecnie około pięciu tysięcy ludzi.

Około 30 proc. laptopów używanych w firmie nie ma włączonych automatycznych aktualizacji bezpieczeństwa.

Z dokumentów nie wynika jednak jasno, ile z tych niezabezpieczonych laptopów używanych jest przez osoby z bezpośrednim dostępem do środowiska produkcyjnego.

Na tak dużą firmę technologiczną są to praktyki wręcz archaiczne. Pisze o tym Mudge w jednym z wewnętrznych raportów: "Twitter jest daleko za resztą sektora IT w kluczowych obszarach kontroli dostępu, aktualizacji i konfiguracji oprogramowania, procesów i zgodności z regulacjami".

Nieincydentalne incydenty

Nic więc dziwnego, że firma niemal non-stop mierzyć się musi z incydentami dotyczącymi bezpieczeństwa. "Incydenty związane z bezpieczeństwem są w Twitterze tak częste, że w 2021 roku zarejestrowano średnio około jednego na tydzień, a dotknięte nimi były dane milionów kont".

Twitter wydaje się nie mieć odpowiednio rozbudowanych systemów zbierania i analizowania danych o działaniach poszczególnych osób posiadających dostęp do serwerów:

"dostęp do systemów produkcyjnych nie jest kontrolowany"

- odnotowuje jeden z dokumentów (oznacza to, że trudno powiedzieć, kto i kiedy wprowadził dane zmiany lub wykonał dane działania na danym serwerze). W sierpniu 2021 system autoryzacji inżynierów Twittera odnotowywał ponad tysiąc nieudanych prób logowania dziennie.

W lipcu 2020 roku 17-latkowi z Florydy i jego znajomym udało się przejąć szereg popularnych kont na tej platformie. Było tam konto byłego prezydenta USA Baracka Obamy, ówczesnego kandydata na prezydenta USA Joe Bidena, czy miliarderów Jeffa Bezosa, Billa Gatesa i Elona Muska. Zostały wykorzystane do prób wyłudzenia kryptowalut.

Konta te nie zostały jednak przejęte, jak można by się spodziewać, przez nieuwagę czy niefrasobliwość ich właścicieli (w odróżnieniu od przygody pewnego polskiego użytkownika poczty elektronicznej).

Włamywacze wyłudzili dane logowania do wewnętrznych systemów firmy od kilku pracowników Twittera.

A jako, że ci (jak dziś wiemy z dokumentów upublicznionych przez Mudge'a) mieli pełny dostęp do systemów produkcyjnych platformy, atakujący mogli przejąć kontrolę nad dowolnymi kontami, niezależnie od zabezpieczeń, z których korzystali ich właściciele.

Jedną z konsekwencji tego potężnego włamania było podjęcie przez ówczesnego prezesa Jacka Dorsey'a decyzji, by zatrudnić kogoś, kto mógłby pomóc wyprowadzić kwestie bezpieczeństwa informacji w Twitterze na prostą: Peitera "Mudge'a" Zatko.

Moderacja z użyciem Google Translate w męskim gronie

"Twitter był i pozostaje jedną z najbardziej wpływowych platform komunikacyjnych na świecie. To, co dzieje się na Twitterze, ma wielki wpływ na dyskurs publiczny i naszą kulturę. Wierzyłem, że poprawa bezpieczeństwa tej platformy będzie miała pozytywny wpływ nie tylko na miliony osób korzystających z Twittera, ale również na ludzi, społeczności i instytucje, na które wymiana informacji i debaty mające miejsce na tej platformie mają wpływ" - pisze Mudge w przywołanym wcześniej pisemnym oświadczeniu.

To pewnie jedna z niewielu tez, które można znaleźć na około dwustu stronach upublicznionych dokumentów, z którymi zgodziłby się Twitter. W swoich materiałach marketingowych podkreśla przecież swoją rolę i oznajmia: "Służymy debacie publicznej. Dlatego tak ważne dla nas jest, by każdy miał swobodną i bezpieczną przestrzeń do rozmowy".

Jednak z raportu zewnętrznej firmy zatrudnionej do dokonania oceny tego, jak platforma walczy z misinformacją i dezinformacją, wyłania się raczej obraz firmy, która nie przykłada do moderacji zbytniej wagi. Dział Site Integrity (w skrócie "SI"; z grubsza można przetłumaczyć jako "Rzetelność Platformy") jest niedofinansowany, nie ma wystarczającej liczby pracowników (w momencie, gdy raport był pisany, zespół zajmujący się misinformacją składał się z dwóch osób), nie ma dostępu do niezbędnych narzędzi ani możliwości ich stworzenia.

"Twitter nie jest odpowiednio przygotowany do tego, aby globalnie wypełnić swoja misję, zwłaszcza w krajach nieanglojęzycznych"

- czytamy w raporcie. Dramatycznie brakować ma członkiń i członków zespołu władających innymi językami: "Jedna z pytanych osób powiedziała, że mocno polegają na Google Translate". Zwłaszcza członkiń: "zespoły SI nie są wystarczająco różnorodne, zwłaszcza pod względem płci"; brakuje również osób o zróżnicowanym doświadczeniu oraz możliwości zrozumienia lokalnego kontekstu w stopniu wystarczającym do oceny publikowanych na platformie treści.

Nie ulega wątpliwości, że moderacja i walka z dezinformacją to trudne orzechy do zgryzienia, nawet w niewielkiej społeczności. Twitter zdecydowanie nie jest społecznością niewielką, wyzwania, którym musi tu sprostać, są więc wielokrotnie bardziej złożone. Pamiętajmy jednak, że decyzja o stworzeniu scentralizowanej globalnej usługi społecznościowej nie została Twitterowi narzucona — była swobodnym wyborem tej firmy. Twitter ponosi więc odpowiedzialność za jego skutki.

Kultura zamiatania pod dywan

O wszystkich tych kwestiach Mudge rzekomo próbował informować Zarząd. W tym zresztą celu zaczął pisać raport. Udało mu się go jednak skończyć dopiero po zwolnieniu. Na bazie informacji zawartych w udostępnionych materiałach można dojść do wniosku, że w Twitterze problemy były celowo i systematycznie zamiatane pod dywan - ukrywane przed zarządem, udziałowcami oraz organami kontrolnymi.

Trudno nie odnieść wrażenia, że w ten trend wpisuje się reakcja Twittera na publikację dokumentów: "Pan Zatko został zwolniony z piastowanego przezeń wysokiego stanowiska w Twitterze w styczniu 2022 za nieefektywne przywództwo i niską skuteczność. Obserwujemy fałszywą narrację dotyczącą Twittera i naszych praktyk związanych z prywatnością i bezpieczeństwem informacji, która naszpikowana jest niespójnościami i nieścisłościami, i której brakuje ważnego kontekstu". Firma nie odniosła się jednak bezpośrednio do konkretnych twierdzeń w dokumentach tych zawartych.

W połowie września Mudge zeznawał pod przysięgą przed senacką komisją sprawiedliwości w USA, a materiały przez niego udostępnione stały się materiałem dowodowym w postępowaniu komisji. Niezależnie od przysięgi, składanie fałszywych zeznań przed Kongresem USA (w tym przed komisjami senackimi) jest przestępstwem.

Czemu to ważne?

No dobrze, ale jakie to wszystko ma znaczenie? Jakaś firma technologiczna oszczędza na bezpieczeństwie, a przecież ani to niespodziewane, ani odosobnione! "Gdy rozejrzycie się w swoich organizacjach, to kto oświadczy, że u niego nie ma problemów z zarządzaniem dostępem, kopiami bezpieczeństwa, aktualizacjami, niedojrzałym procesem rozwoju aplikacji i najwyższym kierownictwem, którego głównym zadaniem jest ukrywanie prawdziwego obrazu sytuacji przed audytorami, kontrolerami i udziałowcami?" - pisze Adam Haertle z Zaufanej Trzeciej Strony.

Od razu sobie jednak też odpowiada: "Twitter nie jest pierwszą lepszą firmą. To serwis kształtujący publiczną opinię, źródło nie tylko informacji, ale i przekonań dla milionów osób". I choć nie jest może najpopularniejszym serwisem społecznościowym w Polsce, używany jest szeroko przez dziennikarki i polityków. "Twitter staje się inkubatorem memów, komentarzy i myśli, którymi żyją później inne media, w tym telewizja" - napisał po wyborach w 2015 roku portal SpidersWeb.

Pośród tych milionów użytkowniczek i użytkowników są również osoby niewygodne reżimom, na przykład saudyjscy dysydenci.

Nie od dziś wiadomo, że w Twitterze pracowały osoby, które na zlecenie saudyjskich służb wykradały dane dotyczące konkretnych kont aktywistów i aktywistek. Co z pozyskanymi w ten sposób danymi może zrobić władza, która stoi za bestialskim morderstwem Dżamala Chaszukdżiego?

Proceder wykradania danych bez wątpienia ułatwiło to, że (jak napisałam wyżej) w zasadzie każda osoba techniczna pracująca w Twitterze ma dostęp do danych produkcyjnych oraz rzekomy brak mechanizmów kontrolnych (np. możliwości sprawdzenia, kto i kiedy uzyskiwał dostęp do konkretnych danych czy elementów infrastruktury firmy). Problemy techniczne mają swoje szersze konsekwencje. Zapewne dlatego rządowi Indii (jak twierdzi Mudge) tak bardzo zależało na tym, by firma zatrudniła konkretne, wskazane przezeń osoby. Być może miało to związek z Tek Fog, systemem nękania i uciszania krytyków (a zwłaszcza krytyczek) rządzącej partii w mediach społecznościowych.

Twitter miał też pozwalać podmiotom z Chin umieszczać reklamy profilowane, mimo że platforma nie jest w Chinach w ogóle dostępna. Znów Zaufana Trzecia Strona:

"Istniało podejrzenie, że za reklamodawcami stały organizacje, które dzięki mikrotargetowaniu reklam mogły ustalić tożsamość chińskich użytkowników omijających państwowe blokady".

Cytując upublicznione dokumenty: "Kierownictwo Twittera wiedziało, że przyjęcie chińskich pieniędzy oznaczało ryzyko stworzenia zagrożenia dla użytkowników w Chinach (...) Kierownictwo firmy rozumiało, że oznaczało to poważny dylemat etyczny. Pan Zatko został poinformowany, że na tym etapie Twitter zbyt mocno polegał na tym źródle przychodów, by móc zrobić cokolwiek innego, niż próbować go zwiększyć".

Gdzie kończy się niekompetencja i niedbalstwo, a zaczyna świadoma współpraca z opresyjnymi reżimami?

Bezpieczeństwo na końcu

Pochylmy się też nad tym, że w pierwszym odruchu chcemy machnąć ręką i stwierdzić: "przecież wszyscy tak robią". Co nam to mówi o stanie przemysłu IT?

Uber właśnie doświadczył potężnego włamania i to tydzień po rozpoczęciu się procesu przeciw byłemu szefowi bezpieczeństwa informacji w tej firmie, który miał ukrywać poprzedni podobny incydent kilka lat temu. W tym roku z włamaniem mierzył się też Microsoft (wykradziony został kod źródłowy wyszukiwarki Bing, serwisu Bing Maps, i usługi Cortana) oraz producent kart graficznych nVidia — wykradzione zostały projekty komponentów i dane logowania ponad 70 tysięcy jej pracowników.

To - rzecz jasna - tylko wybrane przykłady, poważnych włamań i incydentów było w tym roku znacznie więcej. Dokumenty upublicznione przez Mudge'a częściowo wyjaśniają, czemu.

Bezpieczeństwo informacji najwyraźniej nie jest wystarczającym priorytetem w ogromnych firmach technologicznych. Dopóki wszyscy traktujemy to jako normę i wzruszamy ramionami, nic się nie zmieni.

A chyba powinno. Jeśli globalna platforma społecznościowa dopuszcza się tak kardynalnych zaniedbań, to jak wygląda sytuacja u podmiotów zbierających o nas intymne dane za pomocą podłączonych do internetu kamer, zamków do drzwi, dziecięcych lalek, czy... sex-zabawek?

Udostępnij:

Michał rysiek Woźniak

(https://rys.io/) jest specjalistą ds. bezpieczeństwa informacji w rejestrze domen IS. Studiował filozofię, był członkiem Rady ds. Cyfryzacji, jest współzałożycielem warszawskiego Hackerspace’a. Pracował jako Dyrektor ds. Bezpieczeństwa Informacji w OCCRP – The Organised Crime and Corruption Reporting Project, konsorcjum ośrodków śledczych, mediów i dziennikarzy działających w Europie Wschodniej, na Kaukazie, w Azji Środkowej i Ameryce Środkowej, a wcześniej zarządzał Fundacją Wolnego i Otwartego Oprogramowania. Współpracuje z szeregiem organizacji pozarządowych zajmujących się prawami cyfrowymi w kraju i za granicą. Współautor „Net Neutrality Compendium”, oraz “Katalogu Kompetencji Medialnych”.

Komentarze

Komentarze będą wkrótce dostępne