11:50
11/6/2021

Włamywacze stojący za atakiem na ministra Dworczyka (któremu poświęciliśmy już trzy osobne artykuły) właśnie opublikowali korespondencję pomiędzy ministrem a premierem Morawieckim. Czy została ona zmanipulowana?

Zakładając, że screen nie został spreparowany (o tym więcej poniżej) to z wiadomości analityk badający kulisy włamania pozyskać może następujące informacje:

1. Ujawniony został adres e-mail skrzynki premiera na GMailu.
2. Data e-maila to 28 marca 2021 roku, a więc co najmniej do tej daty czytano maile Dworczyka

Ale najciekawszy jest drobny szczegół. Niekonsekwencja w znacznikach czasowych wiadomości e-mail z upublicznionego wątku.

Morawiecki odpisuje o 21:05 na emaila od Dworczyka, który jest cytowany i który został wysłany o 22:24 tego samego dnia

Czy to przeoczenie? Błąd kogoś, kto preparował wiadomość i zarazem dowód na dezinformację? Być może… Ale różnica w czasach może też wynikać po prostu z innej strefy czasowej, w której przebywał:

    a) albo oglądający e-maila i robiący mu screenshota
    b) albo sam premier, bo to w treści jego e-mail pojawia się cytat z “przyszłą” godziną, która dla niego mogła być godziną aktualną.
Technicznie: E-maile mają “zaszyte” w nagłówkach czasy, które wskazują na konkretną strefę i czas uniwersalny. Np. dla e-maila, którego otrzymaliśmy w redakcji dziś o 10:22 wygląda to tak: Fri, 11 Jun 2021 01:22:15 -0700 (PDT). Jak widać, nawet dodając 7 godzin, brakuje nam dwóch do 10. A to dlatego, że relacja czasu jest do strefy GMT, a obecnie w Polsce mamy +2 do czasu w Greenwich.

Tworzymy ten artykuł, aby pokazać, jak trudno jest ustalić autentyczność wiadomości e-mail bazując na znacznikach czasowych pochodzących ze screenshota. Niestety, niektórzy eksperci na podstawie tak wątłych danych próbują orzekać o prawdziwości/nieprawdziwości tego materiału. A nie zawsze to co się widzi i na pierwszy rzut oka wygląda na “nielogiczne” jest nielogiczne, a to co wygląda na prawdziwe, jest prawdziwe.

Nawet jeśli ta wiadomość jest prawdziwa (a może być). I inne publikowane przez włamywaczy materiały faktycznie pochodzą ze skrzynki ministra (a mogą). To warto pamiętać, że tego typu “operacje wpływu” mają na celu dezinformację lub poróżnienie społeczeństwa i często prawdziwe materiały mieszają z fałszywymi. Nie mówiąc już o tym, że udostępniane przez włamywaczy pliki mogą być zainfekowane — to taka uwaga dla tych, którzy je beztrosko pobierają i otwierają na swoich urządzeniach, na których być może przechowują informacje, które mogłyby ich skompromitować.

Spreparowana, czy nie?

Czy z tego artykułu dowiedzieliśmy się, że wiadomość jest spreparowana albo prawdziwa? Nie. Brakuje informacji, które by na to pozwoliły.

Aby ustalić prawdę, należałoby mieć:

  • albo dostęp do nagłówków tych e-maili, a to jest niemożliwe. I nawet udostępnienie ich przez włamywaczy niczego by nie potwierdziło, bo przecież też mogli je zmanipulować
  • albo oświadczenie premiera, odnośnie tego, jaką strefę czasową miał ustawioną na swoim urządzeniu w dniu wysłania tego maila. I być może takie oświadczenie się pojawi. Wtedy zostaniemy tylko z pytaniem, czy wierzyć w oświadczenie premiera.

 
Jak widzicie, praca śledczego, który do dyspozycji ma takie dowody, nie jest łatwa. Ale całkiem łatwe będzie ustalenie przy pomocy kilku prostych technik i narzędzi OSINT-owych odpowiedzi na poniższe pytania (na tyle, na ile to możliwe).

Konkurs OSINT-owy

  1. gdzie przebywał premier 28 marca 2021 w czasie pisania maila?
  2. w ilu (i których konkretnie) strefach czasowych przebywał w 3 dniach przed tą datą i jakie było przesunięcie czasowe w stosunku do czasu w Warszawie? (Strefę czasową mógł zmienić przecież przed podróżą).
  3. Czy da się ustalić, z jakiego urządzenia (klienta poczty) e-maila wysłał premier a jeśli tak, to jaki to klient i jak ktoś, posiadający sam screen e-maila, może to ustalić?
  4. Czy ten klient pocztowy zmienia znaczniki czasowe sam, automatycznie w zależności od (no właśnie, czego?), czy trzeba zmianę strefy mającą wpływ na cytowane godziny wymusić ręcznie.

Dla pierwszej osoby, która najpełniej odpowie na powyższe 4 pytania mamy nagrodę w postaci naszych gadżetów z naszego sklepiku. Kubek + koszulka + długopis i pakiet wlepek. Odpowiedzi piszcie w komentarzach poniżej, wtedy inni będą mogli wskazywać w nich ewentualne błędy :)

Przeczytaj także:

42 komentarzy

Dodaj komentarz
  1. Czyli można założyć że odpowiada o 23:05 na email z 22:24 albo o 21:05 na email z 20:24?

  2. Jaracie się jakimiś nagłówkami, strefami czasowymi i fejkami,
    A ja mam jeszcze inną teorię, że może eksperci Dobrej Zmiany opracowali metodę podróży w czasie? ;p

    • przecież Fogiel mówił ze pis nie zatrudnia ekspertów bo eksperci nie chcą realizować programu pis ;p

    • Oczywiście, że opanowali podróże w czasie. Właśnie fundują nam powrót do średniowiecza. Gdyby pandemia wybuchłą za rok, o szczepionkach moglibyśmy zapomnieć.

  3. Czemu wykluczacie, że w innej strefie czasowej był Dworczyk a nie PMM?

    Ogólnie dziwne te cytowania, dwa maile niby od premiera ale jeden cytat podaje nagłówki (From, Sent, …) a drugi ma intro „Wiadomość napisana przez…”. Różnych programów używał?

    A na koniec mamy „Do: mnie, m.dworczyk@wp.pl” w głównym nagłówku („mnie”?). Dokładając „drugi etat” trochę śmierdzi obłożeniem autentyka (najbardziej zagnieżdżony mail od MB) fejkami.

    PS Premier chyba był w W-wie ale nie jestem tego pewien (25.III występował ogłaszając restrykcje pandemiczne, 30.III miał konferencję prasową przed wylotem na Węgry a nie widać specjalnie announcementów o działaniach pomiędzy). 28.III była Niedziela Palmowa i mecz Polska-Andora. 29.III był wniosek do TK w sprawie „wyższości nad prawem unijnym” co mogło się wiązać z jakimiś debatami u nas ale mogło też z cichymi negocjacjami gdzieś z kimś.

    • Wpadł mi do główy jeszcze jeden pomysł co do „Mnie”, tym razem pro-hackerski

      A jeśli oni wrzucili Dworczykowi do setupu poczty automatyczny forward?

  4. 1. Premier przebywał na Węgrzech (?) – słabo z weryfikacją tego gdzie był konkretnie, bo nie było o nim 28.03 zbyt dużo informacji. Jedyne co, to wysłał na Twitterze posta apropos meczu piłki nożnej między Polską a Węgrami, co może coś oznaczać…

    2. 25.03.21 był w Warszawie (obecny na konferencji dot. koronawirusa)
    26.03.21 był we Wrocławiu (src: https://twitter.com/PremierRP/status/1375366280992202754 )
    27.03.21 prawdopodobnie był w Warszawie (mało informacji…)

    3. Tak, da się ustalić – mail został wysłany z Outlooka, co wiemy dzięki
    nagłówkowi “Wiadomość napisana przez …” przy używaniu RE. Maile od reszty nadawców to albo webowy gmail, albo thunderbird…?

    4. Według https://support.microsoft.com/en-us/office/add-remove-or-change-time-zones-5ab3e10e-5a6c-46af-ab48-156fedf70c04
    zmianę należy wymusić ręcznie – chyba, że chodzi o DST, wtedy zmiana zachodzi sama.

    Jeśli chodzi o samą teorie czemu daty się nie zgadzają – 28.03 była zmiana czasu, klient poczty zapisał aktualną godzinę w czasie lokalnym, webowe WP teraz pokazuje czas z przesunięciem z CET do CEST. Dodatkowy shift mógł wynikać z przetrzymania maila w delivery queue serwera pocztowego.

  5. teoretycznie 28 marca była zmiana czasu z letniego na zimowy, może komuś się pomyliło ;)

    • mea culpa, oczywiscie odwrotnie ;)

  6. 28 marca zmienialiśmy czas na letni, ale różnica w czasie wysłania mejli wynosi więcej, niż jedną godzinę.

  7. Nie zapominajmy o różnicy języków w stopkach: raz angielski, raz polski. Dwa różne urządzenia premiera?

    • Wygląda jakby premier na przestrzeni kilku godzin skorzystał do komunikacji z Dworczykiem z 2 klientów pocztowcyh a może 2 urządzeń nawet. Inny jest nawet krój jego treści. No chyba, ze ktoś jedną albo drugą wypowiedź premiera zfałszował, ale w tym kontekście one są tak zdawkowe, że po co?

    • Po to, by między te dwie zdawkowe, jak w kanapkę, wrzucić dużo istotniejszą.

    • Jakby ktoś miał manipulować przy wiadomościach najbardziej oczywistym było by skopiowanie nagłówków odpowiedzi z poprzednich wiadomości i używanie tylko takiego jednego schematu. Właśnie takie różne nagłówki różnych klientów poczty wg mnie uwiarygadniają te wiadomości.

  8. premier przebywał w Polsce, bo były święta, a przed i po tej niedzieli palmowej odwiedzał szpitale co relacjonowały media

  9. ” 2. Data e-maila to 28 marca 2021 roku, a więc co najmniej do tej daty czytano maile Dworczyka”

    A nie znaczy to, że akurat ten mail był w skrzynce w momencie “włamu”?

    • Przecież jest **co najmniej** a nie “najpóźniej do”

    • Chodzi o to, ze wszystkie emaile [od poczatku swiata] ktore na skrzynce mogly zalegac w momencie wlamu do [28 marca 2021] na pewno wyciekly, a maile po tej dacie wyciec tylko, na obecny stan wiedzy, *mogły* bo ciezko jest dokladnie ustalic kiedy (czy!) przestepcy utracili dostep do tego konta.

  10. Jakie GMT? W Polce obok CET obowiązuje UTC. Stąd rozbieżność.

    • Jak dobrze pamiętam GMT jest strefą, a UTC standardem. Ale dla CET/CEST są takie same +1/+2.

  11. 28 maja premier przebywał w domu bo jest to niedziela, więc trywialnym było by twierdzenie że podróżuje jednocześnie wiedząc że 29 był w swojej kancelarii uczestnicząc w wideokonferencji około godziny 14.00 czasu lokalnego. Zdjęcie wykonał fotograf Krystian Maj – możemy dopytać; tel 48669574000 pozyskany z exify zdjęcia.

  12. https://dorzeczy.pl/kraj/187838/polityk-po-ujawniala-nazwisko-polskiego-oficera-wywiadu.html ta sprawa bardzo ciekawie jest traktowana przez media zarówno “rządowe” jak i “opozycyjne”.
    PS. A może MB to nie jakiś Bućko tylko pancerny Marian Banaś

  13. Ja zadam trochę inne pytanie.
    W naszym kraju jest ABW, AW oraz inne podobne.
    Normalnie w prywatnych korporacjach nie dostaniesz się do konta pocztowego nie będądz w intranecie, nie wspomnę już MFA.
    Powyższe agencje mają Pegasusa oraz inne zabawki o których nam się nawet nie śni.
    Więc odpowiedzieć mi JAK można się włamać na konto pocztowe człowieka który jest ministrem w rządzie RP.
    To nie jest pan Heniu co ma konto na wp.
    Tu zanim by ktoś o takim włamie pomyślał już powinni odwiedzić go smutni Panowie.
    Więc albo ktoś shakował już wszystkie systemy RP i faktycznie nasze państwo jest z kartonu albo to fake i specjalna dezinformacja.

    • Albo Pegasus to fake i specjalna dezinformacja. Appear weak when you are strong, appear strong when you are weak.

    • “będądz” ?????

    • nie koniecznie pracowałem w dużej korporacji chemicznej dla ktorej dane były by wrazliwe, a dzięki officce 365 e-maile czytałem w domu bez żadnego VPN-a

    • Co do poczty “urzędowej” które należą do ministerstwa finansów (@mf.gov.pl) jest zgodnie z tym co mówisz, jedyna możliwość dostania się do poczty to dostęp lokalny, ewentualnie VPN. Nie ma innej możliwości.

  14. Szkoda że na maila ofert łapów i korupcji nie ma, a może były i za te zapłaci okup a inne upublicznione tylko po to aby wiedział że są i gorące do ujawnienia. Chociaż z reguły korupcja odbywa się na żywo w bezpiecznym miejscu na spotkaniu biznesowym a nie mailu czy telefonie.

  15. O ile mi wiadomo, zrzut ekranu przyjmie wszelkie modyfikacje oprócz nieudolnych

  16. outlook przez VPN w innej lokalizacji (tu: strefie)

  17. Pytanie, czy premier na pytanie o strefę czasową powinien odpowiedzieć sam, czy może nasz wywiad powinien podjąć grę operacyjną…i pewnie też posunąć się do jakiejś dezinformacji.

    Druga sprawa – jeśli ujawniane maile nie są wyssaną z palca prowokacją (a prawdopodobnie nie są, bo nawet jeśli są manipulowane, to zbyt dużo w tej historii trzyma się kupy), to najwyraźniej ktoś uznał, że zamiast po cichutku słuchać figurantów bardziej się opłaca ich skompromitować. To może oznaczać, że pozyskiwane tą drogą informacje albo są mało wartościowe albo równolegle są pozyskiwane z innego, pewnego, zaufanego i niezawodnego źródła.

    • “Pytanie, czy premier na pytanie o strefę czasową powinien odpowiedzieć sam, czy może nasz wywiad powinien podjąć grę operacyjną…i pewnie też posunąć się do jakiejś dezinformacji.”
      Chyba że to nasz wywiad pyta.

  18. Czemu nie zainteresowaliście się wyciekiem informacji o struktór jednostek wojskowych ? To już chyba podpada pod postawienie Pana Ministra pod Trybunał Stanu.

  19. Może Pan Premier używa prywatnie dobrze skonfigurowanego systemu i przeglądarki logując się do usługi Gmail (jakiś VM, Tails …)

    W Firefox dla przykładu – ustawienie poniższej zmiennej na = true powoduje zmianę parametru strefy czasowej w całej usłudze chmurowej (gmail, calendar …) w trakcie trwania sesji – wymoszone przez samą przeglądarkę.

    privacy.resistFingerprinting = true

    Nagłówki z wymiany maili się kumulują i historia jest zaburzona – co w zasadznie nie ma znaczenia dla samej komunikacji.

    Takowe minimalizowanie ryzyka w postępowaniu mogłoby świadczyć o jakimś bezpieczeństwu działaniu, co jest pocieszające, szkoda tylko, że z jednej strony.
    Tylko taki mój domysł.

  20. Ktoryś z asow pisu mial źle zegar ustawiony w kompie a jakies bizantyjskie konstrukcje tworzycie. Przseciez to polglowki są.

  21. Gdyby ktoś chciał wkopać ich specjalnie preparując wiadomości, mógłby napisać coś o planie wyeliminowania prezesa. Chwila moment i byśmy mieli nowy rząd.

  22. A sami jesteście pół połówki :)
    To wszystko jest z góry zaplanowana intryga obecnego rządu kierowana przeciw sąsiadom ze wschodu, aby:
    1. Wprowadzić ich w konsternację (tak jest takie słowo, sprawdziłem w słowniku :P)
    2. Pozyskać pomoc tzw. zachodu i zwrócić uwagę na zagrożenie cybercośtam
    3. Skompromitowanie totalnej opozycji.
    4. Sami możecie dodać jakiś równie sensowny powód jak te 3 powyżej.

    ehhh, masakra.
    napiszę tylko jedno: to na prawdę chyba tylko u nas.
    Bareja się w grobie przewraca, że takie tematy miałby na takie seriale przy których gra o tron (ten tytuł też by się nadał swoją drogą :P tylko tron taki ceramiczny a nie żelazny) to byłaby krótka i mało dynamiczna histeryjka :)

    pozdrawiam i życzę poczuci humoru z

    nie dalekich ludowych chin :P
    towarzysze ;)

  23. Nie zgadzam się z tym, że dostęp do nagłówków by niczego nie potwierdził. Przecież na WP działa DKIM, który podpisuje elektronicznie każdy email (https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail#Non-repudiability). WP oczywiście mogłoby opublikować swoje klucze DKIM, ale wystarczy że włamywacze użyją innego znacznika czasu na zebranym materiale, by potwierdzić, że byli w posiadaniu tych maili (wraz z prawidłowymi podpisami DKIM) zanim WP opublikowała klucze DKIM.

    Jest to ważne, bo oznacza, że mamy sposób by odróżnić sfałszowane wiadomości od oryginalnych (przy założeniu, że włamywacze nie złamali zabezpieczeń WP, nie ukradli kluczy DKIM itp.), więc możemy oczekiwać że albo włamywacze pokażą wiadomości surowe, albo wszystkie należy traktować jak fałszywki.

  24. Idzie cyberpolygon 2021, pod egidą WEF.

  25. Wystarczy że komputery mają inny czas , normalna sprawa

  26. Jeżeli włamywacze chcieli by potwierdzić wiarygodność informacji to chyba wystarczyło by opublikować “orginały wiadomości” chodzi mi nie o screeny tylko o wersje z podpisem cyfrowym serwera wp który nie został zhakowany

Odpowiadasz na komentarz Jarek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: