Nie bądź jak polityk II

Napoleon Bryl

1

Dodane: 3 lata temu

Nie bądź jak polityk – nie daj się hakerom jest jeszcze bardziej aktualne, niż kiedy pisałem o uwierzytelnieniu wieloskładnikowym za pomocą kluczy sprzętowych. Ministrowie nie czytają iMagazine, ze szkodą dla nich.

Na Twiterze pojawiły się zdjęcia instrukcji udostępnionej posłom.

Uwaga. Wrzucam tajne informacje po tajnym posiedzeniu sejmu. pic.twitter.com/VRcNc1uMeW

— Dominika Długosz (@domi_dlugosz) June 16, 2021

Zgodnie z tym wpisem parlamentarzyści dostali tę instrukcję na tajnym posiedzeniu 16 czerwca 2021 r. Moje źródła mówią jednak, że posłowie dostali taką samą lub nawet tę samą instrukcję na początku kadencji. Większość punktów jest słuszna, a wręcz powinna być oczywista dla odbiorców. Jest tu jednak jedno „ale” dyskwalifikujące autora bądź autorów owego poradnika w całości. „Łącząc się do publicznych sieci Wi-Fi używaj VPN”… – do tego miejsca jest dobrze, dalej powiało zgrozą – … „np. NordVPN”. Rekomendowanie komercyjnej usługi VPN, której właścicielem jest nie wiadomo kto, firmę zarejestrowano w Panamie i nie wiadomo co robi z danymi przechodzącymi przez ich serwery. Deklaracje, co z tymi danymi robi, to jedno, rzeczywistość – drugie.

Smaczkiem na koniec jest ostrzeżenie przed atakiem przez HDMI, niby niemożliwe, choć teoretycznie jest jedna podatność według Tavisa Ormandy’ego – za pośrednictwem złośliwych monitorów podłączanych przez HDMI do komputera. 

That is kinda fun, there are some real ones in there, although I dunno how many users plug in malicious monitors 😝 (I think the length of the last pair can exceed the edid[2] length check, i.e. a ton of len=1 and a len=0x1f at the end) https://t.co/raWYttaScz

— Tavis Ormandy (@taviso) July 19, 2019

Nie udało mi się znaleźć więcej informacji o udanym ataku przez HDMI. Jak coś macie, to podrzućcie w komentarzach.

Pomysł instrukcji, skróconego poradnika nie jest zły, niestety wykonanie jest złe, a w połączeniu z kompletnym brakiem szkoleń z podstaw bezpieczeństwa w sieci jest po prostu olbrzymim zaniedbaniem. Dodajmy do tego brak innych informacji: posłanki i posłowie dostają służbowe iPady zarządzane systemem MDM, ale nie powiadamia się ich, do jakich danych na tych iPadach ma dostęp Kancelaria Sejmu, właściciel sprzętu. Media mogą zapoznać się z taką oto informacją zamieszczoną na stronie Kancelarii Sejmu, ze stycznia 2021 r. Sama nota – to ciekawe – jest reakcją na doniesienia medialne dotyczące laptopa otrzymanego przez pewną posłankę, z danymi niewymazanymi, należącymi do poprzedniego użytkownika. To reakcja, podkreślam, a nie działanie proaktywne, którego oczekiwalibyśmy w kontekście bezpieczeństwa kraju.

Komunikat CIS

Według powyższego komunikatu Kancelaria Sejmu nie ma dostępu do żadnych danych na poselskich iPadach. Do danych prywatnych, zdjęć, prywatnego konta Apple ID i zainstalowanych nim aplikacji na pewno nie mają dostępu. Bez znajomości konfiguracji trudno napisać jednak, czy do danych służbowych (czyli poza wymienionymi objętymi prywatnym kontem Apple ID), dzięki MDM, jednak mogą mieć dostęp.

Ciekawy jest fragment w tym komunikacie o niszczeniu iPadów po upływie kadencji. Procedury bezpieczeństwa w systemie Apple pozwalają wymazać bezpowrotnie dane w iPadzie. Czteroletni, intensywnie używany iPad raczej nie nadaje się do przekazania posłance lub posłowi następnej kadencji, ale oddawanie go na przemiał to już nadgorliwość. Teraz dodajmy do tego fakt, iż Kancelaria Sejmu nie ma żadnej kontroli nad komputerami kupowanymi do biur poselskich ze środków przeznaczonych na prowadzenie biura. Ten sprzęt zapewne jest używany także do pracy poselskiej i może zawierać poufne dane. Jeżeli zestawimy to niszczenie iPadów z tą informacją, to wspomniana nadgorliwość co do niszczenia iPadów będzie już wywoływała tylko uśmiech politowania.

Miałem okazję współpracować z różnymi firmami czy korporacjami; w każdej przechodzi się szkolenie z bezpieczeństwa w sieci, mniej lub bardziej specjalistyczne, ponawiane regularnie. Podstawy na temat zagrożeń typu phishing są powtarzane do znudzenia. W niektórych firmach działy bezpieczeństwa robią wewnętrzne prowokacje, sprawdzając, w jakim stopniu szkolenia były skuteczne. Informacje o zagrożeniach są na bieżąco aktualizowane, nie ma sytuacji, że odbębni się szkolenie i na 10 lat spokój. Prywatnej poczty często się po prostu nie da użyć do służbowych rzeczy, a jeżeli komuś się zdarzy, to reakcja „bezpieczników” jest natychmiastowa i konsekwencje mogą być bardzo nieprzyjemne. Połączenie VPN z siecią fimową to podstawa, zwłaszcza od czasu pandemii, kiedy więcej pracuje się z domu, a przy trybie życia „w podróży”, co przecież stanowi esencję pracy naszych reprezentantów w parlamencie, jest absolutnie niezbędne. To, że Sejm najwyraźniej nie ma własnego VPN i np. aplikacje wgrane za pomocą MDM na iPady nie korzystają z „VPN na żądanie”, to jest jedna z wielu rzeczy, których nie rozumiem.

Wydawać by się mogło, że takie instytucje jak Sejm powinny być odpowiednio zabezpieczone cyfrowo, z wdrożonymi jak najbardziej przezroczystymi i przyjaznymi dla użytkownika rozwiązaniami, bo przecież nie każdy musi być specjalistą od bezpieczeństwa IT. Za to każdy powinien być przeszkolony z podstaw. Niestety, za tak podstawowe braki płacimy wszyscy. Ty, ja, my.

Napoleon Bryl