Umowa Agencji Bezpieczeństwa Wewnętrznego, życiorys agenta Centralnego Biura Antykorupcyjnego, korespondencja policji i resortu finansów. To wszystko wpadło nam do internetowej skrzynki pocztowej przez nieuwagę nadawców. Ot, brak kropki w adresie.
Czy da się przechwycić korespondencję służb i państwowych instytucji? Przeprowadziliśmy prosty eksperyment: wykupiliśmy sześć domen internetowych: mofnetgov.pl, cbagov.pl, abwgov.pl, awgov.pl, policjawaw.pl, strazmiejskawaw.pl. Dlaczego takie?
Bo od prawdziwych adresów ABW, CBA, Agencji Wywiadu, policji i resortu finansów różnią się tylko brakiem kropki.
Domeny zarejestrowaliśmy 16 września. Po dwóch dniach przyszedł e-mail, który powinien trafić do resortu finansów. „Całość musimy mieć na pn na 11:00” – pisał o raporcie urzędnik do podwładnego. Następnego dnia wpadł do naszej skrzynki e-mail kierowany do CBA. Po dwóch tygodniach błąd w adresie popełnia jeden z pracowników Departamentu Zabezpieczenia Technicznego ABW. W załączniku jest projekt umowy Agencji z firmą zewnętrzną na serwisowanie oprogramowania ogólnopolskiego systemu monitoringu.
Łącznie w nieco ponad miesiąc dostaliśmy 40 e-maili. Dwa związane ABW, trzy – z CBA. Z policji – jeden, sześć – ze straży miejskiej i ok. 20 z resortu finansów. Były to m.in.:
* nazwiska kilkudziesięciu funkcjonariuszy CBA prowadzących szkolenia dla urzędników państwowych;
* opis zabezpieczenia przez policję stadionu Legii w czasie meczu piłki nożnej;
* korespondencja pracowników Ministerstwa Finansów – zarówno służbowa, jak i prywatna;
* odwołanie od mandatu wystawionego przez straż miejską;
* odwołanie od kary nałożonej przez urząd celny;
* zaświadczenie, że niedźwiedź został zabity zgodnie z prawem międzynarodowym.
Przez miesiąc nikt nie próbował się z nami skontaktować. Nikt się nie zainteresował, dlaczego wykupiliśmy te domeny. Roczny koszt utrzymania jednej to ok. 100 złotych.
– To jest problem i powinno się go traktować poważnie – mówi „Gazecie” Guillaume Lovet, ekspert ds. bezpieczeństwa internetowego firmy Fortinet. Niektóre firmy już się tym zajęły. Np. Google zadbał, by internauta błędnie wpisujący jego adres, np. googl.com czy wwwgoogle.com, i tak trafił na witrynę google.com. – By użytkownicy, którzy zrobią literówkę w adresie, nie trafili na stronę próbującą zainfekować ich komputer wirusem – tłumaczy.
Czy to poważne przeoczenie? – Prawdopodobieństwo, że e-mail z poufną i bardzo istotną informacją wycieknie w ten sposób, jest dość niskie. Ale jeśli już się zdarzy, konsekwencje mogą być poważne – ocenia Lovet. W skali 1 do 10? – Dałbym 5.
I dodaje, że ten eksperyment pomoże zwiększyć świadomość problemu. – Powiedzmy sobie szczerze, lepiej, że zrobiliście to wy niż prawdziwi cyberprzestępcy – mówi Lovet.
Tyle że w innych adresach ktoś nas ubiegł – błędne adresy MSWiA, UOKiK oraz kancelarii premiera kierują na filmik pornograficzny. Właściciel powyższej strony może więc dostawać e-maile kierowane np. do premiera. Zajęty jest też adres resortu sprawiedliwości.
ABW, do której zadań należy m.in. czuwanie nad bezpieczeństwem teleinformatycznym państwa, problem zna. W siedzibie Agencji działa Rządowy Zespół Reagowania na Incydenty Komputerowe – CERT. W 2008 r., gdy zespół powstawał, ABW zarejestrowała na siebie domenę certgov.pl.
Dlaczego nie zrobiła tak z witryną ABW? – Adresy internetowe pozbawione kropki nie są oficjalnymi, prawnie chronionymi domenami polskich instytucji państwowych. Trudno byłoby zastrzec wszelkie ich kombinacje, z użyciem wszystkich możliwych znaków interpunkcyjnych – tłumaczy rzecznik prasowy ABW ppłk Katarzyna Koniecpolska-Wróblewska. Dodaje, że problem Agencja uważa za „niezmiernie istotny”. Ale zaraz przekonuje, że informacje zawarte w poczcie e-mailowej instytucji rządowych nie zawierają żadnych informacji niejawnych, „gdyż jest to zabronione przepisami polskiego prawa”. A gdyby ktoś próbował się podszyć lub wyłudzić dzięki takim domenom poufne informacje, to ABW zadziała, ale wyłącznie na wniosek pokrzywdzonego (np. ministerstwa).
To nie tylko polski problem. We wrześniu prawdziwą bombę odpalili dwaj badacze z firmy Godai Group i to badanie zainspirowało nas do eksperymentu. Peter Kim i Garette Gee zarejestrowali nie sześć, ale trzydzieści domen, próbując się podszyć pod największe firmy z listy Fortune 500. I w pół roku na skrzynkę dostali ponad 120 tys. e-maili, w tym: opis infrastruktury jednej z dużych firm IT wraz z hasłami dostępu, hasła do zdalnego dostępu do systemu zarządzającego opłatami na autostradach. Na 30 domen tylko jedna firma zauważyła rejestrację domeny i zagroziła pozwem (inaczej niż w przypadku instytucji chronią ich znaki towarowe).