Strona Mirosława Dakowskiego
Odwiedza nas 16 gości
S T A R T arrow O POLSKĘ arrow Bzdety za PiS-u arrow Ataki hakerów w stu krajach - ale "polska wieś bezpieczna, polska wieś spokojna"... Włamania.
Sunday 15 December 2019 05:42:28.28.
W Y S Z U K I W A R K A
Ataki hakerów w stu krajach - ale "polska wieś bezpieczna, polska wieś spokojna"... Włamania. Drukuj Email
Wpisał: Wanda Buk, Dyrektor CPPC   
14.05.2017.
Ataki hakerów w stu krajach – ale „polska wieś bezpieczna, polska wieś spokojna”... Włamania.

https://niebezpiecznik.pl/post/tajemnicze-wlamanie-do-rzadowej-instytucji-zarzadzajacej-miliardami-zlotych-oraz-tragiczny-obraz-polskiego-cyberbezpieczenstwa-w-sektorze-publicznym/



Tajemnicze włamanie do rządowej instytucji zarządzającej miliardami złotych oraz tragiczny obraz polskiego cyberbezpieczeństwa w sektorze publicznym



Ktoś próbował ukraść pieniądze z Centrum Projektów Polska Cyfrowa.

Nazwa tej instytucji pewnie nic Wam nie mówi, ale ma ona wpływ na wydawanie olbrzymich sum, które zostały przyznane Polsce przez Unię Europejską. CPPC twierdzi, że nic wielkiego się nie stało, ale nasi informatorzy są innego zdania..

I choć CPPC nie chce powiedzieć zbyt wiele o włamaniu i jego skutkach, to z pozyskanych przez nas informacji wynika, że cyber-bezpieczeństwo tej instytucji znajduje się w opłakanym stanie, a gromadzone przez nią dane dotyczące projektów realizowanych za unijne pieniądze w polskich firmach oraz dane beneficjentów, mogły zostać wykradzione.

Kiedy słyszymy hasło “atak na instytucję rządową” to wyobrażamy sobie poważny atak na ministerstwo albo infrastrukturę krytyczną. Rzadziej myślimy o tych mniej znanych instytucjach, które na co dzień także wykonują ważne zadania, nierzadko decydując o losie dużych sum pieniędzy. Przykładem takiej instytucji jest właśnie CPPC.



Centrum Projektów Polska Cyfrowa, które wcześniej nosiło dumną nazwę Władzy Wdrażającej Programy Europejskie (WWPE), to instytucja powołana w 1994 roku na mocy Umowy Finansowej zawartej pomiędzy rządem RP i Komisją Europejską.

Powierzano jej realizację pewnych unijnych programów np. Phare Współpracy Przygranicznej (CBC), a potem Program Operacyjny “Innowacyjna Gospodarka” i Program Operacyjny “Polska Cyfrowa”.

W roku 2015 zmieniono nazwę WWPE na Centrum Projektów Polska Cyfrowa.

Pierwszy Atak na CPPC

Pod koniec marca dotarły do nas informacje, że doszło do poważnego ataku na CPPC. Ktoś włamał się i podmienił zawartość strony internetowej (tzw. deface) na napis:

Hacked By MuhamadEmad”.

Zostało to udokumentowane 6 lutego w serwisie zone-h.org:

Podmiana strony, o ile kłopotliwa wizerunkowo, nie zawsze musi oznaczać poważne problemy. Wewnętrzne systemy przetwarzające istotne dane nie zawsze muszą być przecież osiągalne z poziomu informacyjnych stron internetowych. W przypadku CPPC — jak można łatwo sprawdzić — serwis obsługiwany jest przez WordPressa, a więc i włamanie nie musiało być ukierunkowane. Ot, ktoś w CPPC nie zdążył w porę zaktualizować WordPressa, a ktoś inny masowo skanował internet w poszukiwaniu dziur w tym oprogramowaniu i znalazł ich setki, także tę na stronach CPPC.

W takich sytuacjach zawsze jednak nasuwa się pytanie, czy przy okazji nieautoryzowanego dostępu do webserwera nie doszło jeszcze do jakiegoś dodatkowego zdarzenia — kradzieży danych lub ich złośliwej modyfikacji? Złośliwa strona publicznej instytucji może być przecież użyta by atakować odwiedzających (por. bardzo podobny sposób działania przestępców na przykładzie włamania na serwery KNF) lub wyłudzać wpłaty, jeśli podmieniony zostanie numer rachunku bankowego.

Incydentów w CPPC było więcej…

O tym, że w CPPC źle się dzieje dowiedzieliśmy się od osoby, która choć nie jest bezpośrednio związana z CPPC, to dysponuje sporą wiedzą dotyczącą tej instytucji.

Nasze źródło przekazało wiele informacji, z których większość udało nam się potwierdzić w innych miejscach. Najważniejszą z informacji było to, że ataki na CPPC nie skończyły się na podmianie strony — oprócz deface’a miały mieć miejsce 2 inne incydenty (ciężko powiedzieć, czy powiązane ze sobą):

  1. Ktoś wysłał do księgowej CPPC e-mail podszywając się pod dyrektor CPPC, Panią Wandę Buk. Wiadomość nakazywała księgowej wykonanie przelewu.

  2. Mogło dojść do wycieku danych z prywatnej chmury CPPC (bazującej na ownCloud), używanej przez CPPC do wymiany informacji z innymi instytucjami rządowymi, w tym z służbami. Według naszego źródła chmura CPPC zawiera m.in. projekty i umowy dotyczące połączeń sieciowych pomiędzy organami ścigania, gdyż były one finansowane z unijnych środków. Można się dowiedzieć jacy operatorzy je obsługują i jakie są parametry usług. Co gorsza – według informacji naszego źródła — incydent ten nie został zauważony ani przez CPPC, ani przez niezależną firmę (Inteligentne Systemy Edukacyjne Sp. z o.o.) która w tym czasie, od 10 marca 2017, wykonywała audyt bezpieczeństwa środowiska CPPC. A danych przechowywanych przez CPPC jest sporo, bo z systemu — wedle naszego źródła — nie są usuwane archiwalne projekty i wnioski, a zatem jeśli ktoś miał nieautoryzowany dostęp, miał go do całości danych.

Ponieważ opis obu incydentów był niepokojący, zaczęliśmy drążyć. Zwróciliśmy się do CPCC z prośbą o komentarz dotyczący wyłącznie ataku na stronę internetową — początkowo nie zdradzając, że jesteśmy świadomi innych niż włamanie na stronę incydentów. Zadaliśmy następujące pytania:

1. Czy [poza podmianą strony internetowej] doszło do wykradzenia jakichś danych lub miały miejsce inne incydenty bezpieczeństwa, których CPPC jest świadoma?
2. Kto wykrył incydent (lub incydenty)? Jakie zaniedbania były przyczyną sukcesu atakujących?
3. Jakie kroki podjęto, aby podobna sytuacja się nie powtórzyła?
4. Czy CPPC posiada do swojej dyspozycji osoby zatrudnione na stanowiskach związanych z bezpieczeństwem informatycznym?
5. Czy CPPC korzysta z usług zewnętrznych firm lub organizacji w celu ochrony swojej sieci? Jeśli tak, których i w jakim zakresie?

Pytania skierowaliśmy do sekretariatu dyrektora. Czekaliśmy kilka dni — niestety żadna odpowiedź nie nadeszła.

W reakcji na to milczenie podobne pytania skierowaliśmy do Ministerstwa Cyfryzacji nadzorującego CPPC. Dopiero wtedy skontaktowała się z nami telefonicznie przedstawicielka CPPC, która zapewniła, że odpowiedzi zostaną nam udzielone (ta osoba wiedziała, że wysłaliśmy pytania do Ministerstwa, więc najwyraźniej to ministerstwo ponagliło CPPC do udzielenia nam odpowiedzi).

Dyrektor CPPC: “To nie jest informacja publiczna”

Odczekaliśmy 14 dni, ale niestety, pomimo obietnic nie otrzymaliśmy żadnych odpowiedzi. Zwróciliśmy się więc znów do CPPC zapowiadając, że w razie zignorowania naszych pytań skierujemy sprawę do sądu, skarżąc się na bezczynność w przedmiocie ujawnienia informacji publicznej.

Dopiero wtedy otrzymaliśmy pismo z “odmową” ujawnienia informacji.



Z pisma wynika, że w opinii dyrektor CPPC (Wanda Buk) informacje o ataku nie stanowią informacji publicznej. Takie podejście do sprawy było wysoce niepokojące, ponieważ ewentualna kradzież informacji z instytucji rządowej nadzorującej projekty dotyczące Polaków to jednak… bardzo ważna sprawa publiczna. Co istotnie Dyrektor CPPC w żaden sposób nie uzasadniła dlaczego ta informacja publiczna nie jest informacją publiczną..



Wanda Buk, Dyrektor CPPC oraz członek rady nadzorczej NASK 4INNOVATION (źródlo fot.: LinkedIn)

https://niebezpiecznik.pl/wp-content/uploads/2017/05/cppc-wanda-buk-255x250.png





Tu musimy nadmienić, że urzędnik zobowiązany do ujawnienia informacji publicznej nie powinien ot tak sobie orzekać, że coś nie jest informacją publiczną. Owszem, informacja publiczna może podlegać ograniczeniu w ujawnianiu, ale należy to uzasadnić i trzeba wydać decyzję administracyjną w sprawie odmowy. W odpowiedzi CPPC skierowanej do nas to nie nastąpiło.

Odnieśliśmy wrażenie, że Pani Dyrektor potraktowała sprawę niezbyt poważnie. Dlatego zasięgnęliśmy w tej sprawie opinii dra Pawła Litwińskiego, adwokata z kancelarii Barta & Litwiński, związanego także z instytutem Allerhanda. Pan mecenas nie miał wątpliwości, że żądaliśmy informacji publicznej.

CPPC „realizuje w imieniu Rządu Rzeczypospolitej Polskiej zadania związane z zarządzaniem środkami funduszy strukturalnych Unii Europejskiej, środkami pochodzącymi z bezzwrotnej pomocy zagranicznej oraz środkami innych programów powierzonych jej do realizacji”. Nie ma więc żadnej wątpliwości, że jest to podmiot objęty zakresem podmiotowym udip.
Z kolei żądanie przez Was informacje dotyczą bez wątpienia spraw publicznych, bo takimi sprawami jest bezpieczeństwo informacji, które CPPC przetwarza jako podmiot publiczny, w wykonaniu swoich zadań. Nie mam więc wątpliwości, że przesłana odpowiedź jest błędna.
Co do kwestii formalnych – to nie jest decyzja odmowna; to jest błędna informacja o tym, że żądana informacja nie stanowi informacji publicznej. Ponieważ jest błędna, CPPC pozostaje w zwłoce nie udzielając informacji, a więc przysługuje Wam od razu skarga do sądu na bezczynność.

Warto zauważyć, że CPPC nie zaprzeczyła jakoby atak miał miejsce. Nie zapewniła nas o ograniczonych skutkach ataku. Jedynie odmówiła informacji i tyle! To było jeszcze bardziej niepokojące. Próba wybielenia przynajmniej pokazuje dziennikarzowi, że dany podmiot jest świadomy powagi problemu, jest mu głupio, wolałby sprawę zamieść pod dywan, ale coś tam robi. Odpowiedź z CPPC zasugerowała nam, że kierownictwo tej instytucji może nie zdawać sobie sprawy, jak poważne mogą okazać się skutki nieautoryzowanych dostępów do systemów IT.

Prosimy o pomoc panią Minister

Postanowiliśmy, że przed złożeniem skargi do sądu zgłosimy się jeszcze do Ministerstwa Cyfryzacji. Wysłaliśmy e-maila do rzecznika ministerstwa oraz do Pani minister Anny Streżyńskiej z pytaniem o komentarz z ich strony. Minister Anna Streżyńska, jak zwykle, odpowiedziała nam błyskawicznie i zapowiedziała, że dowie się wszystkiego co trzeba.

I zgadnicie, co było dalej!

Niedługo po naszym e-mailu do Pani minister odpisała nam dyrektor CPPC, Wanda Buk. Tym razem Pani dyrektor była bardziej skora do udzielenia informacji i przyznała, że…

Incydent polegał na wysłaniu maila do Głównej Księgowej CPPC z prośbą o dokonanie przelewu. W polu „od” znajdował się adres sekretariatu dyrektora CPPC, który został sklonowany.
(…)
2. Nie wyciekły żadne dane.
3. Nie zostały przelane żadne pieniądze.
4. Sprawa została zgłoszona na policję i innych służb.

Pani Wanda Buk poprosiła nas również o wydanie swojego źródła informacji. Oczywiście odmówiliśmy. Poczuliśmy się nawet lekko dotknięci tym, że ktokolwiek liczył, iż spełnimy taką prośbę.

Sprawa wątku ataku na księgową wydawała się wyjaśniona — była próba ataku, ale nie doszła do skutku! Brawa dla księgowej — mamy nadzieję, że została nagrodzona za wyłapanie próby ataku. Nie wszystkim pracownikom to się udaje (por. Pracownik urzędu przelał 3,7 miliona złotych na złe konto).

Ale to przecież to nie był jedyny incydent jaki wedle naszej wiedzy miał mieć miejsce w CPPC. Wiedzieliśmy jeszcze o ataku na system komputerowy wykorzystywany przez CPPC do komunikacji z innymi podmiotami i mieliśmy informację o możliwym wycieku danych z tego systemu.

Skierowaliśmy więc do pani Wandy Buk kolejne pytania, a kopię pytań przesłaliśmy do minister Streżyńskiej. Zwróciliśmy też uwagę, że formalnie CPPC nadal pozostaje w bezczynności w przedmiocie udzielenia nam informacji publicznej. Oto odpowiedź, jaką otrzymaliśmy od Pani Wandy Buk.

Szanowny Panie,
oczywiście rozumiem, że dr Litwiński ma inny pogląd, CPPC stoi jednak na stanowisku, które już przekazałam.
Na ten moment wszystko wskazuje na to, że skrzynki nie zostały skontrolowane przez osoby z zewnątrz. CPPC stale monitoruje swoje systemy i w przypadku jakichkolwiek sygnałów o działaniach niepożądanych na bieżąco reaguje, również poprzez współpracę ze odpowiednimi służbami.
Na tym zakończę swój komentarz.
Pozdrawiam,

Odpowiedź pozostawimy bez komentarza, czyniąc jedynie jedną uwagę, iż lekko nas zmartwiło, że urzędnik państwowy (i w dodatku prawnik!) ignoruje przewidziane ustawą obowiązki dotyczące udzielaniu dostępu do informacji publicznej i potrafi sprowadzić opinię doświadczonego prawnika do kwestii jakiegoś luźnego “poglądu”.

Trochę więcej światła na sprawę rzuciła Pani minister Anna Streżyńska, która ponownie włączyła się w komunikację. W przeciwieństwie do dyrektor CPPC, Pani minister była nam w stanie wyjaśnić, powody dla których CPPC może chcieć się wstrzymać z przekazaniem informacji:

To co od wczoraj wiem pozwala mi uznać że, z uwagi na śledztwo policji i ABW oraz okoliczności o których właśnie nie chce mówić Pani Dyrektor, a które są przedmiotem śledztwa, nie jest właściwe żeby rozszerzać ilość informacji w przestrzeni publicznej (…). Sprawa nie jest typowa chociaż prawdopodobnie skończyła się od strony samych skutków – niczym. Na pewno doprowadzę do pełnej informacji gdy skończy się postępowanie ale teraz jest przestępstwo i śledztwo.

Takie tłumaczenie jest dla nas zdecydowanie bardziej satysfakcjonujące (nie jest odpowiedzią w rodzaju „nie udostępnimy Panu informacji i co nam Pan zrobi?”).

Ponieważ ustaliliśmy, że o incydencie powiadomiony został Rządowy Zespół Reagowania na Incydenty Komputerowe, o sprawę spytaliśmy również ABW. W odpowiedzi otrzymaliśmy bardzo ogólne oświadczenie.

Szanowny Panie Redaktorze,
uprzejmie informujemy, że Rządowy Zespół Reagowania na Incydenty Komputerowe (CERT.GOV.PL) działający w strukturach Agencji Bezpieczeństwa Wewnętrznego realizuje zadania związane z koordynacją procesu obsługi incydentów teleinformatycznych w obszarze administracji rządowej Rzeczypospolitej Polskiej.
Po każdorazowym otrzymaniu zgłoszenia o incydencie zespół CERT niezwłocznie podejmuje odpowiednie działania min. kontaktuje się z administratorami poszczególnych, atakowanych witryn, przekazując aktualne rekomendacje oraz gromadzi materiał dowodowy, który następnie jest poddawany ocenie formalno – prawnej.
Z poważaniem,
Zespół Prasowy ABW

Na marginesie,

Pani Wanda Buk mogłaby poprosić ABW o podesłanie kilku szablonów odpowiedzi. Ta służba zawsze potrafi z wysoką gracją i należytym szacunkiem do adwersarza odpisać “nie ma mowy, że coś Wam powiemy w tym temacie” :-)

Na tym etapie, wydaje się, że wyczerpaliśmy możliwości zdobycia dalszych oficjalnych komentarzy w tej sprawie.

Tymczasem (bo sprawą zajmujemy się od prawie 2 miesięcy), wedle monitorującego defacementy serwisu Zone H, CPPC zostało ponownie zhackowane…

Kolejny atak na CPPC

Tym razem atak dotyczył domeny cloud.cppc.gov.pl — czyli właśnie tego systemu, który wedle naszego źródła hostuje system do wymiany dokumentów (m.in. z służbami) i z którego mogły zostać wykradzione istotne dokumenty:



Wiele pytań bez odpowiedzi…

Nasze źródło przekazało nam w sprawie CPPC więcej niepokojących informacji, których nie udało nam się oficjalnie potwierdzić. Możemy je wymienić jako wiadomości niepotwierdzone i wymagające weryfikacji, niemniej dość ciekawe, a zważywszy na to, że źródło nie myliło się w poprzednich sprawach, nie mamy powodu nie dawać wiary poniższym informacjom. Oczywiście, jeśli któraś z zaangażowanych w sprawę instytucji, chciałaby coś sprostować lub wyjaśnić — zapraszamy do kontaktu!

  • Nie wiadomo, czy w CPPC pracuje obecnie ktokolwiek na stanowisku administratora i/lub osoby odpowiedzialnej za bezpieczeństwo. W przesłanym do nas piśmie wspomniano o “administratorze”, ale nasze źródła mówią o latach zaniedbań w obszarze bezpieczeństwa, których wdrożenie wymagałoby zaangażowania większej liczby kompetentnych osób. Obecnie ograniczone mają być nawet możliwości wdrażania rekomendacji z trwającego (lub już zakończonego) audytu w CPPC.

  • W okresach pomiędzy pomiędzy włamaniami na stronę główną i na serwer cloud.cppc.gov.pl udokumentowanymi przez serwis Zone-H, w sieci CPPC miano odnotować kilka innych incydentów — m.in. zwiększony ruch oraz obciążenie serwerów i tajemnicze “automatyczne” rekonfiguracje urządzeń. Niestety, nasze źródło nie posiada informacji, kto je w ogóle zauważył (CPPC, audytorzy, czy NASK dostarczający CPPC łącza) i czy CPPC udało się ustalić przyczynę tych anomalii lub powiązać je za atakiem.

  • Pomimo kilku incydentów, w CPPC nie zarządzono żadnej ich formalnej analizy. Można powiedzieć, że życie toczy się dalej, tak jak się toczyło.

 

Ukrywanie incydentu i dalsze zaniedbania…

“Ukrywanie” incydentu i brak szukania pomocy w kwestii bezpieczeństwa sieci nie jest dobrym podejściem. A odnosimy wrażenie, że CPPC dokładnie taką taktykę obrało.



===========================

[Urywam, bo mi wstyd za tą pociągającą panią, - a reszta podobna. M.D.]

 


Zmieniony ( 14.05.2017. )
 
« poprzedni artykuł   następny artykuł »
Top! Top!

Nasza strona korzysta z plikow cookies w celu gromadzenia anonimowych statystyk, jesli nie blokujesz tych plikow, to zgadzasz sie na ich uzycie oraz zapisanie w pamieci urzadzenia. Mozesz samodzielnie zarzadzac plikami cookies w ustawieniach przegladarki.