Głośno o sprawie zrobiło się kilka dni temu, gdy rzekoma korespondencja najważniejszych osób w państwie pojawiła się na rosyjskim komunikatorze internetowym Telegram. E-maile wyciec miały z prywatnego konta mailowego szefa kancelarii premiera, ministra Michała Dworczyka.
Wyjątkowo niebezpieczny proceder również wśród polityków?
Jak wynika z nieoficjalnych informacji, Dworczyk korzystał z prywatnej skrzynki mailowej również w sprawach służbowych - choć sam na razie tego nie potwierdził, bo unikał odpowiedzi na pytania dziennikarzy.
Podobno jednak wśród polityków w Polsce korzystanie z prywatnego maila w sprawach służbowych nie jest niczym nowym. Nawet wysoko postawionym w rządzie osobom ma zdarzać się, wykorzystywać nieodpowiednio zabezpieczone skrzynki w takich celach. Wskazuje na to m.in. wypowiedź ministra edukacji i nauki Przemysława Czarnka, który stwierdził w środę, że posiada "mnóstwo skrzynek" i nie wie, która z nich jest prywatna.
Jeszcze bardziej zaskakujący może być jednak fakt, że skrzynka Dworczyka była najpewniej słabo zabezpieczona, co wręcz mogło stanowić "zaproszenie" dla cyberprzestępców. Jak oświadczył portal Wirtualna Polska (to właśnie z poczty WP korzysta polityk), "wejście na konto ministra Michała Dworczyka i - co za tym idzie - uzyskanie dostępu do jego e-maili nastąpiło na skutek podania poprawnego loginu i hasła". Hakerzy nie zadali więc sobie szczególnie dużego wysiłku, aby się do niego dostać.
Ekspert: niedopuszczalne złamanie polityki bezpieczeństwa w świecie korporacyjnym
Można domyślić się, że gdyby ewentualne wrażliwe e-maile (o ile oczywiście są prawdziwe) były przechowywane na służbowej skrzynce, do przejęcia ich w ogóle by nie doszło. Czy jednak korzystanie z prywatnej skrzynki w celach służbowych (chociażby w korporacji) faktycznie jest tak niebezpieczne? O opinię na ten temat poprosiliśmy eksperta z firmy Niebezpiecznik.pl, który na co dzień zajmuje się szukaniem luk w systemach bezpieczeństwa.
Korzystanie z prywatnej skrzynki w celach służbowych, które jest niedopuszczalnym złamaniem polityki bezpieczeństwa w świecie korporacyjnym, jak widzimy, wśród polityków - i to każdej partii - jest normalne. Podobno dlatego, że politykom paradoksalnie nie przeszkadza ryzyko podglądania przez prywatne firmy, ale boją się, że na służbową skrzynkę łatwiej zajrzą im rodzime służby
- mówi w rozmowie z Next.Gazeta.pl Łukasz Grzmot, pentester w Niebezpiecznik.pl, firmie zajmującej się włamywaniem na serwery innych firm za ich zgodą, w celu namierzenia błędów bezpieczeństwa w ich infrastrukturze teleinformatycznej, zanim zrobią to prawdziwi włamywacze.
Łukasz Grzmot dodaje jednak, że z punktu widzenia atakującego nie ma znaczenia, czy skrzynka mailowa jest prywatna, czy służbowa. Różnicę robią zabezpieczenia, które trzeba pokonać, aby się na nią włamać.
W przypadku służbowych kont mailowych zazwyczaj mamy do czynienia z zabezpieczeniami trudniejszymi do pokonania, bo narzuca je organizacja. W przypadku skrzynki prywatnej samodzielnie ustalamy, które z dostępnych zabezpieczeń chcemy włączyć.
Technicznie, to czy skrzynka jest służbowa, czy prywatna, atakuje się ją tak samo. Różnica polega na tym, że wymagania dotyczące konfiguracji pod kątem bezpieczeństwa na skrzynce służbowej są narzucane przez pracodawcę, a na skrzynce prywatnej każdy sam musi sobie wszystko skonfigurować. W omawianym przez nas przypadku, co najmniej na skrzynce ministra Dworczyka, jak ujawniła Wirtualna Polska, takie dodatkowe zabezpieczenia nie zostały włączone. Choć z kronikarskiego obowiązku trzeba tu nadmienić, że nawet gdyby były, to i tak atakujący mogliby je ominąć, bo akurat ten dostawca poczty nie wspiera tzw. kluczy U2F, które jako jedyne są w stanie ochronić kogoś przed atakiem phishingowym. Czy na służbowej skrzynce Pana ministra takie zabezpieczenie jest wspierane i wymuszane? Dobre pytanie! Chciałbym poznać na nie odpowiedź
- tłumaczy Łukasz Grzmot.
Jak mówi ekspert, w przypadku usługi pocztowej, z której prywatnie korzysta Dworczyk, nie ma możliwości uruchomienia najbezpieczniejszej metody weryfikacji, czyli tzw. klucza U2F. To niewielkie urządzenie wpinane do komputera na czas logowania, które pozwala bezpiecznie potwierdzić naszą tożsamość. Klucze U2F są znacznie bezpieczniejsze od samego hasła lub uwierzytelniania dwuetapowego, bo do zalogowania konieczny jest fizyczny dostęp do urządzenia.
Więcej o metodach zabezpieczania prywatnych kont w sieci pisaliśmy w poniższym artykule:
Dworczyk nie jest jedyną ofiarą ataku cyberprzestępców?
Wiadomo już, że Michał Dworczyk nie jest jedynym politykiem, który padł ofiarą cyberprzestępców w ostatnim czasie. Piotr Müller, rzecznik rządu zapowiedział już nawet, że Polska będzie "przedmiotem bezprecedensowego ataku dezinformacyjnego".
Może okazać się zatem, że echa afery mailowej jeszcze długo nie ucichną. W niedługim czasie możemy bowiem poznać nazwiska kolejnych polityków, których konta zostały przejęte w przeszłości lub dopiero zostaną przejęte.
Zgadza się z tym nasz ekspert. Jak twierdzi, ofiary ataków, o których dowiemy się w przyszłości, mogły zostać zaatakowane już wcześniej, ale wciąż o tym nie wiedzą.
Politycy, ale także ich asystenci, a nawet rodziny byli od lat, są i będą atakowani. Takie ataki w stosunku do VIP-ów to od lat standardowy sposób zdobywania informacji, baza pod operacje dezinformacji i narzędzie wpływu. Jestem pewien, że za kilka miesięcy przeczytamy o kolejnych ofiarach. I to wcale nie będą musiały być osoby, które dopiero zostaną wtedy zaatakowane. Niektórzy mogli paść ofiarą włamywaczy a wciąż o tym nie wiedzą
- kończy ekspert.
