Oprogramowanie Cisco umożliwiało każdemu znalezienie w internecie linków do poufnych wideokonferencji niemieckiej Bundeswehry, a dziennikarka dostała się niepostrzeżenie na spotkanie kierownictwa partii SPD. Czy możemy sobie pozwolić na to, by uzależniać bezpieczeństwo Europejczyków od amerykańskich korporacji?
Firma Webex, należąca do amerykańskiej korporacji Cisco, oferuje narzędzia do zdalnych konferencji. Webex zapewnia wieloosobowe spotkania: czy to w formie rozmowy telefonicznej, czy wideokonferencji, reklamując swoje usługi jako wyjątkowo bezpieczne i przeznaczone do poufnych rozmów. Umożliwia także utworzenie osobistych pokojów spotkań dla użytkowników – połączonych na stałe, aby szybko i wygodnie dało się ich użyć w dowolnym momencie.
Firma cieszy się dobrą renomą, dlatego jest chętnie wybierana nie tylko przez sektor przedsiębiorstw, ale także przez różne europejskie służby czy instytucje. Zwłaszcza, że poza wariantem chmurowym, w którym wideokonferencje odbywają się na serwerach Cisco, możliwa jest też zapewniająca większą prywatność opcja on premises. Klient tworzy wtedy własną instancję Webexa na swoim serwerze. Daje to poczucie większej kontroli nad informacjami i na pierwszy rzut oka wydaje się bezpiecznym rozwiązaniem dla podmiotów szczególnie wrażliwych na ochronę danych. Z tej opcji korzystała między innymi niemiecka Bundeswehra.
Każdy mógł znaleźć linki do spotkań wojskowych czy polityków
Tymczasem, jak donosi Zeit Online w serii artykułów Evy Wolfangel, linki do spotkań niemieckich sił zbrojnych były łatwo dostępne w internecie. Dziennikarze zostali zaalarmowani przez jedną z politycznych organizacji skupionych wokół zagadnień cyfrowych, która odkryła problem z aplikacją Webexu.
Okazało się, że spotkania Bundeswehry, w tym także takie dotyczące poufnych zagadnień, można znaleźć w internecie. Wystarczy znać link, a adresy URL takich spotkań są nie tylko niezabezpieczone hasłem, ale także ułożone w kolejności numerycznej – tak, że licząc do przodu lub do tyłu, można było trafić na odnośniki do innych konferencji. Te zaś zawierały datę, godzinę, uczestników spotkania oraz jego temat – łącznie z frazami sugerującymi, że rozmowa będzie dotyczyć konkretnych pocisków, lub że spotkanie jest tylko do użytku służbowego. Instancja Bundeswehry uchodzi bowiem za szczególnie bezpieczną i korzystano z niej do prowadzenia poufnych rozmów wewnętrznych.
Według równie prostego schematu utworzono także adresy osobistych pokojów spotkań (w wersji chmurowej – automatycznie podczas rejestracji konta). W ramach dziennikarskiego śledztwa udało się odnaleźć osobiste pokoje różnych osób, w tym np. generała Ingo Gerhartza – naczelnika niemieckich sił powietrznych.
Większość pokoi nie była zabezpieczona hasłem i umożliwiała dostanie się do nich za pomocą prostych danych dostępowych (jak np. „test”). Z Webexu – dla odmiany w wersji chmurowej – korzystają także Bundestag i niemiecki rząd. W analogiczny sposób Zeit Online dotarło więc do pokoi ważnych niemieckich polityków, w tym Olafa Scholza, Roberta Habecka czy Christiana Lindnera.
Eva Wolfangel pojawiła się też na dwóch spotkaniach kierownictwa SPD (partii koalicyjnej, z której wywodzi się obecny kanclerz) przeprowadzonych za pomocą Webexu. Na pierwszym z nich ujawniła się po kilku minutach – wcześniej pozostała niezauważona. Dobitnie świadczą o tym słowa jednej z uczestniczek, która w oczekiwaniu na trzecią osobę powiedziała do kolegi: „chyba jest nas dziś tylko dwoje”. Na kolejnej konferencji dziennikarka została już dostrzeżona – jedna z uczestniczek szybko zapytała, kim jest Eva.
Nie bez znaczenia pozostaje fakt, że w obu przypadkach w rozmowach – poza dziennikarką – brały udział po trzy osoby. O ile więc przy pierwszej rozmowie – telefonicznej – rozmówcy mogli się nie zorientować, że ktoś im się przysłuchuje, to przy drugiej – mającej formę wideokonferencji – łatwo było zobaczyć obcą osobę, która pojawiła się na ekranie. W przypadku obrad w większym gronie, gdy niektórzy wyłączają kamery, a ludzie nie wpatrują się dokładnie w ekran – także łatwiej byłoby przegapić intruza.
Wszystkie sześć osób było zdziwionych, że link do spotkania był tak łatwy do odgadnięcia i niezabezpieczony hasłem. Żeby dołączyć do spotkania wystarczyło podać imię, nazwisko, e-mail i kliknąć przycisk „dołącz do spotkania”.
Czy Webex w jakikolwiek sposób weryfikował wprowadzone dane? Za odpowiedź niech posłuży fakt, że pozwalał dołączyć do pokoju za pomocą maila „test@test.de”.
Błędy amerykańskiej korporacji – problem europejskich demokracji
Bundeswehra o luce w zabezpieczeniach dowiedziała się od… dziennikarki piszącej artykuł. I nie była w stanie rozwiązać problemu – bo Webex to zamknięte oprogramowanie amerykańskiej firmy.
Dostępu do kodu nie miała więc nie tylko społeczność badaczy cyberbezpieczeństwa, jak by to miało miejsce w przypadku otwartego kodu, nie mieli go nawet informatycy niemieckich sił zbrojnych. Chociaż serwery należały do wojska, to aplikacja i jej kod – do Cisco. A Cisco nie poradziło sobie nawet ze sprawnym usunięciem linków do starych spotkań, zostawiając je w internecie przez kolejne kilka dni. Finalnie Bundeswehrze nie pozostało nic innego, jak odłączyć swoją instancję Webexu od internetu.
Problem nie dotyczy jedynie niemieckich władz. Według Zeit Online, badania ujawniły adresy URL setek tysięcy spotkań firm, instytucji i organów władzy z Niemiec, Niderlandów, Włoch, Austrii, Szwajcarii, Francji czy Irlandii. Nie tylko Bundeswehra czy politycy SPD dowiedzieli się o problemie od dziennikarki. Niderlandzki rząd (a ściślej jego National Cyber Security Centre) – także. Prawdopodobnie wszyscy klienci Webexu zostali dotknięci problemem.
W branży bezpieczeństwa IT istnieją pewne ogólne standardy. Security by design oraz security by default zakładają, że już na etapie projektowania systemu powinno się uwzględnić kwestie dotyczące bezpieczeństwa i zaimplementować je w ustawieniach domyślnych. W omawianym przypadku oznaczałoby to losowe generowanie linków, żeby utrudnić ich znalezienie potencjalnym intruzom oraz domyśle zabezpieczenie dostępu hasłem.
Czy Cisco tych standardów przestrzega? Stanem domyślnym w Webexie był brak hasła. Użytkownik musiał je włączyć ręcznie – i często tego nie robił. Wojskowi czy politycy mogli być obeznani w swoich dziedzinach – ale już niekoniecznie w kwestiach cyberbezpieczeństwa. To powierzyli Cisco – renomowanej firmie z sojuszniczego kraju, reklamującej swoją aplikację do prowadzenia poufnych rozmów. A opieranie się na renomie „dużych i znanych” firm bywa zgubne.
Czy poufne informacje dostały się w ręce wrogich państw?
Czy poufne informacje wyciekły i dostały się w ręce osób nieuprawnionych? Nie wiadomo. Pojawiły się sugestie, że za aferą Taurus Leak (powiązany z rosyjskimi mediami wyciek, na którym niemieccy oficerowie rozmawiają o rozmieszczeniu Taurusów i debatują, czy pociski manewrujące mogą zniszczyć rosyjski most prowadzący na Krym) może stać nie rozmowa telefoniczna w Singapurze, jak dotąd przypuszczano, a właśnie luki w zabezpieczeniach Webexu.
Jednak zarówno Bundeswehra i niemieckie Ministerstwo Obrony, jak i sama firma Cisco, ucięły te spekulacje. Luka w aplikacji, który umożliwiała dołączanie do spotkań tzw. użytkownikom-duchom (ghostuserom – osobom niewidocznym dla pozostałych uczestników rozmowy), została zamknięta w 2020 r.
Nie można jednak wykluczyć, że jakieś inne istotne informacje dostały się w niepowołane ręce. Z jednej strony nie ma doniesień, które by na to wskazywały, ale z drugiej – dobry szpieg po prostu by się nie ujawnił.
Przyzwyczailiśmy się do bardziej medialnych incydentów, w których rosyjscy pranksterzy dodzwaniają się do polskiego prezydenta – ale nawet przy lepszym aktorach tego typu rozmowa może dać potencjalnie dostęp do ograniczonej ilości informacji. Potajemne przysłuchiwanie się rozmowom polityków czy generałów daje ich znacznie więcej. Służby obcych wywiadów starałyby się możliwie długo pozostać niezauważone i gromadzić informacje, jak to było w przypadku Salt Typhoon Hack.
Najsłabsze ogniwo
Mówi się, że najsłabszym ogniwem jest zawsze człowiek. Owszem – tylko czy w tym wypadku tym człowiekiem będą użytkownicy, czy przedstawiciele korporacji, którzy najpierw zignorowali powszechne w branży zasady cyberbezpieczeństwa, a potem zlekceważyli problem? A może europejscy politycy, którzy tej korporacji zaufali?
Cisco po dziennikarskiej interwencji, zamiast od razu zabrać się za łatanie luki, najpierw w ogóle zignorowało zadane pytania, potem zaś… zażądało szczegółów dot. śledztwa, linków, screenów – i zrobiło to, przynajmniej w mojej opinii – w dość napastliwej formie.
Firma próbowała odciąć się od problemu argumentując, że jest jedynie dostawcą oprogramowania, a nie administratorem instancji – mimo, iż to właśnie oprogramowanie, a nie serwery, stanowiło problem.
Cisco argumentowało też, że luka umożliwiała jedynie dostęp do metadanych, a nie do treści rozmów – mimo, iż Eva Wolfangel swoim pojawieniem się na spotkaniach SPD udowodniła, że jest inaczej.
Finalnie korporacja naprawiła problem – ale dopiero pod koniec maja, po nagłośnieniu sprawy w mediach. W trakcie trwającego konfliktu w Ukrainie, krótko przed eurowyborami. Czy rodzima firma odpowiedzialna za cyberbezpieczeństwo sił zbrojnych i rządu własnego kraju pozwoliłaby sobie na tak arogancką i lekceważącą reakcję?
Nawet, jeśli afera z luką w Webexie nie dotyczy bezpośrednio Polski – to kwestie związane z nieodpowiedzialnym podejściem do cyberbezpieczeństwa czy nadmiernej ufności względem amerykańskich korporacji już jak najbardziej dotyczą.
Jeśli jeden z czołowych polskich polityków w ciągu kilkunastu lat ewoluuje od memicznego już „admin1” do odblokowania przed kamerami smartfona prostym, wszystkim nam już znanym PIN-em – to dodatkowy komentarz chyba jest tutaj zbędny.
Podczas gdy część państw, jak Francja czy Szwajcaria, pracują nad cyfrową suwerennością, polscy politycy odpowiedzialni za cyfryzację coraz bardziej pchają Polskę w ręce Big Techów i nawet nie specjalnie się z tym kryją. Nie widzą sprzeczności w mówieniu, że „zdanie Big Techu będzie na ostatnim miejscu” z robieniem sobie zdjęć w siedzibie Google’a.
Jednak uczciwie przyznając – nie są jedynymi, którzy pokładają nadmierne nadzieje w amerykańskich technologiach.
Ze względu na sytuację geopolityczną siłą rzeczy największe zagrożenie dla cyberbezpieczeństwa Europejczyków będą stanowić firmy z Chin czy Rosji – nie oznacza to jednak, że mamy bezkrytycznie i bezrefleksyjnie polegać na oprogramowaniu dostarczonym przez amerykańskiego sojusznika. Przynajmniej, jeśli chcemy z czystym sumieniem nazywać się „sojusznikiem” właśnie, a nie „cyfrową kolonią”.
Argumenty na rzecz sięgania po korporacyjne rozwiązania z za oceanu padają wszędzie te same: „renoma”, „wygoda”, „bezpieczeństwo”, „przyzwyczajenie”, „brak własnej infrastruktury i specjalistów”. Tyle, że za tę „wygodę” i „przyzwyczajenie” płacimy własnym bezpieczeństwem. Skoro Europie brakuje stosownej infrastruktury czy specjalistów, to warto zacząć wreszcie w to zainwestować, zamiast na siłę szukać sposobów na kolejne inwestycje w amerykańskie BigTechy. Naprawdę nie mamy już czasu, by wciąż zagadnienia związane z cyfrową suwerennością traktować jak niszę dla hobbistów.
Przy okazji – zdarza mi się dostawać od niektórych podmiotów prywatnych dostęp do interesujących mnie materiałów – zdjęć z różnych wydarzeń, do których i tak mają dostęp dziesiątki osób, ale jednak nie są to treści publicznie dostępne.
W trakcie pisania tego tekstu otrzymałam koleją tego typu wiadomość – link zabezpieczony prostym hasłem. Zawsze w takich sytuacjach irytowałam się, jak można tak słabo ogarniać kwestie cyberbezpieczeństwa. Dziś jednak moją myślą było „to i tak lepsze zabezpieczenia, niż te, które Cisco zaoferowało Bundeswerze”. Wymowne.
Źródła:
Eva Wolfangel, Jeder konnte sie finden – Zeit Online, 4.04.2024
Eva Wolfangel, SPD-Meetings, offen auch für Spione – Zeit Online 14.5.2024
Eva Wolfangel, Mithören, wenn Beamte sprechen – Zeit Online, 5.6.2024
Cykl artykułów Evy Wolfangel, za:
https://www.reporterpreis.de/upload/2409-reporterpreis-einreichung-webex-mit-name-66fa7ec007e8f.pdf
Bolesław Breczko, W Ministerstwie Cyfryzacji zdanie Big Techu będzie na ostatnim miejscu – wyborcza.biz, 14.12.2023
Tweet Gosi Fraser z 13.11.2024
