22:54
15/7/2020

Nie postrzegamy tego tematu jako superciekawego pod kątem bezpieczeństwa IT, ale rozumiemy, że rodzi on wiele pytań, a nawet powoduje wygłaszanie teorii spiskowych przez mniej świadome technicznie osoby. Od rana otrzymujemy od Was prośby o komentarz i wyjaśnienia w związku z nagraniem rozmowy z prezydentem Andrzejem Dudą, jakie na YouTube opublikowało dwóch komików. No to wyjaśnimy kilka kwestii…

O sprawie najobszerniej pisze Onet i TVN24 i tam odsyłamy po tło tej historii. Sama rozmowa Vovana i Lexusa (Władimira Kuzniecowa i Aleksieja Stolarowa) z Andrzejem Dudą jest do znalezienia na YouTube. My w tym artykule ograniczymy się do odpowiedzi na najcześciej zadawane nam pytania, oceniając całość tylko i wyłącznie pod kątem technicznym. Aspekty i wojenki polityczne narastające wokół tego incydentu nas nie interesują.

Czy to deep-fake?

Nie, to nie jest deep fake. Autentyczność rozmowy potwierdziła Kancelaria Prezydenta i sam Andrzej Duda na swoim Twitterze.

Skąd komicy mieli numer prezydenta?

A skąd informacja, że mieli? Podejrzewamy, że nie mieli i prawdopodobnie wciąż nie mają (oby!). Oficjalne rozmowy ważnych osób są “łączone” przez sekretariaty.

Z informacji, które krążą po internecie, wygląda to tak, że komicy podszywając się pod pracowników ONZ wysłali maila z prośbą o kontakt, ktoś im odpowiedział “OK”. Następnie — i tu już zdobyte przez nas informacje, bazujące na rozmowach z osobami “pracującymi w okolicy”:

zapewne ustalono godzinę i numer na który należy się wdzwonić, aby zostać połączonym z PAD. Być może z racji tego, że PAD był w ruchu, rozmowę odebrał na komórce któryś z jego asystentów, który następnie przekazał mu telefon. Podanie prywatnego numeru telefonu, nawet wysokiemu rangą VIP-owi z ONZ uważam za małoprawdopodobne. “Byłby to duży błąd” — kwituje nasze źródło.

Na marginesie, 10 lat temu, prefiksy numerów telefonicznych pracowników kancelarii prezydenta ujawniły dokumenty przetargowe. Zakres: 721 800 000 – 721 800 999. Może wciąż korzystają z tych samych? Jeśli tak, w 1000 strzałek da się ustalić do kogo należy dane numer :-)

Jak komikom udało podszyć pod sekretarza ONZ?

Jak informuje Onet:

Mail od rosyjskich prowokatorów z prośbą o rozmowę z prezydentem trafił na biurko dyrektora biura spraw zagranicznych Kancelarii Prezydenta Witolda Dzielskiego, który dwukrotnie otrzymał drogą mailową od przedstawicielstwa RP w Nowym Jorku potwierdzenie autentyczności wiadomości.

Zwracamy uwagę, że w dyskusji publicznej nie pada informacja na jaki adres komicy wysłali e-maila “z prośbą o kontakt z Prezydentem”, ale istotne jest to, że trafił on do odpowiednich osób, które umożliwiły zestawienie rozmowy. Wiarygodność e-maila, jak widać, była “potwierdzana dwukrotnie”. Czy zawinił “głuchy telefon”, czy niekompetencja, któregoś z pracowników — tego nikt nie zdradza.

Skorzystali z Protonmaila

Wedle Onetu, e-mail z prośbą o rozmowę przyszedł ze skrzynki w domenie @protonmail.com. Ciężko, naprawdę ciężko pomylić to z oficjalną domeną ONZ, ale…

Nie znamy treści e-maila!

Ktoś mógł w nim podać się za asystenta sekretarza generalnego ONZ António Guterresa i stwierdzić, że prosi o “zestawienie rozmowy” i przeprasza, że pisze z protonmaila.com uh, oh, tak nieprofesjonalnie, ale jest na urlopie, a szef naciska, żeby jak najszybciej móc pogratulować. (Nie wiemy, kiedy obywała się ta rozmowa, ale zapewnie zaraz po zakończeniu wyborów).

Takie tłumaczenia, nie są niczym niespotykanym. Wielokrotnie z naszą redakcją kontaktowali się i poważni dziennikarze i przedstawiciele poważnych firm, pisząc z …e-maila w domenie WP lub skrzynki na Yahoo. Mało to służbowe, prawda? Ale “bo z telefonu piszę“, “bo komputer mi padł“, “bo z firmowej skrzynki nie mogę Wam wysyłać załączników“.

To się zdarza. I właśnie to mogło “zsocjotechnikować” osobę “weryfikującą”. Czekamy aż ktoś wycieknie pełną treść e-maila do prasy, aby można było poznać poziom “warsztatu” komików …lub poziom niekompetencji osoby, która maila odczytała i “podała dalej”.

Braki w procedurach dot. niełatwej weryfikacji tożsamości na odległość

Oczywiście, na takim poziomie, procedury weryfikacji rozmówcy powinny być ostrzejsze niż “nawijka się spina, daję okejkę i klikam forward do PAD-a“. Tożsamość osób powinno się potwierdzać dodatkowym kanałem komunikacji, u znanych sobie przedstawicieli konkretnej instytucji.

W przypadku telefonu od osoby, która podaje się za pracownika firmy X, prosimy aby wysłała nam e-maila z służbowego adresu, na który odpowiemy. W przypadku e-maila od osoby podającej się za pracownika firmy X, dzwonimy do firmy X i weryfikujemy, czy dana prośba jest wiarygodna lub prosimy o przełączenie do osoby, która rzekomo do nas pisała.

Temat weryfikacji osób na odległość to trudny temat. Perfidnie wykorzystują to przestępcy, którzy podszywają się pod kontrahentów danej firmy lub jej prezesa i proszą o płatność. Tak miliony złotych straciła spółka Cenzin (sektor wojskowy), warszawskie metro a także LOT (por. Jak ukraść miliony z polskich firm jednym e-mailem? oraz Z LOT wyleciało 2,6 miliona PLN).

Z tematem weryfikacji tożsamości współpracownika/kontrahenta na odległość zmagają się też częściej niż zwykle pracownicy polskich firm, którzy z racji pandemii pracują “zdalnie”, spoza biura. Czy na pewno dzwonił do mnie ktoś z IT, zazwyczaj przychodzili, w sumie zrozumiałe, że teraz dzwonią. I w drugą stronę: pracownik IT myśli sobie, czy na pewno dzwonił do mnie nasz pracownik, kiedyś do nas przychodzili z problemami, teraz zrozumiałe, że dzwonią bo siedzą w domach.

Jak poprawnie weryfikować ludzi “na odległość” e-mailowo i telefonicznie i jakie jeszcze pułapki czekają w trakcie pracy spoza biura? O tym opowiadaliśmy w naszym webinarze poświęconym bezpieczeństwu pracy zdalnej. Z kodem “ZUBROWKA” możecie go zobaczyć w cenie niższej aż o 40 PLN, ale tylko do 23:59 w czwartek.

E-maile można podrabiać!

Pamiętajcie też, że e-maile da się podrabiać. Tu co prawda podstawowym problemem była niewłaściwa weryfikacja osoby (niezależnie z jakiej domeny wysłałaby ona e-maila). Ale warto nadmienić, że wiadomość od komików mogła zostać wysłana zarówno z adresu un.org (i przy odrobinie szczęścia nie wpaść do spamu) jak i z domeny podobnej, np. un-mail.org i na pewno nie wpaść do spamu.

Jak takie podróbki są proste w wygenerowaniu pokazujemy podczas naszego kursu online “Cyberbezpieczeństwo dla Firm“, gdzie podszywamy się pod nomen-omen prezydenta Andrzeja Dudę, zobaczcie okrojone demo jednej z lekcji:

Phishing jest cholernie skuteczny i nabierają się na niego także eksperci ds. bezpieczeństwa. Wśród ofiar naszych ataków socjotechnicznych zamawianych przez firmy (by przetestować odporność pracowników na phishing) mamy nawet dyrektorzy działów bezpieczeństwa banków :)

Na marginesie, pozdrawiamy Czytelnika, który podesłał nam takiego e-maila. Zabawne ))

Andrzej Duda “nie miał nic do gadania”

Na koniec trochę pobronimy Pana Prezydenta. Można się z niego śmiać, że “się nabrał”, ale za weryfikację rozmówców nie odpowiada on, a “jego ludzie” — służby pewnie ustalą, kto bardziej zawinił, czy pracownicy Kancelarii Prezydenta czy MSZ; nas mało interesuje, która z instytucji bardziej, natomiast szalenie interesuje nas dlaczego. Można za Andrzejem Dudą nie przepadać, ale ciężko go winić za “odebranie” tej rozmowy, bo to nie jego rolą była weryfikacja rozmówcy.

Można też żartować z akcentu Andrzeja Dudy (choć żarty z akcentu drugiego języka są strasznie słabe), ale warto zwrócić uwagę, że świadomie (lub przypadkiem) w rozmowie — analizując jej treść obiektywnie — nie padły żadne kontrowersyjne zwroty (no może poza tym źródłem koronawirusa…). Na szczęście prezydent nie dał się “sprowokować” tematem odzyskania miast od Ukrainy. Jeśli to wynik przeszkolenia PAD-a, żeby nigdy, przenigdy w rozmowach telefonicznych nie mówił tego, czego nie chciałby upublicznić, bo wszystko może być podsłuchiwane, to brawa dla służb za dobrze zrobioną robotę.

Można sugerować, że PAD powinien był rozmowę szybciej przerwać, bo była “od czapy”. Nie nam oceniać, nie jesteśmy politykami, którzy prowadzą takie rozmowy. Może wszystkie są równie kuriozalne, wiec i ta nie odbiegała wybitnie od “normy”.

I na koniec, jak sugeruje Beata Biel, warto przywołać tekst z Guardiana sprzed kilku lat. Gazeta zauważyła, że żarty komików (którzy nabrali już wielu VIP-ów, m.in. księcia Harrego, prezydentów Macrona, Poroszenko, Saakaszwiliego, oraz Erdogana, a także kandydata na prezydenta Berniego Sandersa), są być może przypadkiem, a być może celowo, dość zbieżne z agendą rosyjskich służb. Czy ten “prank” bardziej ośmiesza prezydenta, czy Polskę i czy jednoczy czy dzieli Polaków? Odpowiedzieć na to musicie sobie sami. Zabawne, prawda? Da, da, odpowiedziało echo.


Aktualizacja 16.07.2020, 13:19
Money.pl opublikowało rozmowę z komikami, w której zdradzają, że dobicie się do PAD-a wcale nie było takie łatwe:

Muszę pochwalić tu otoczenie prezydenta Dudy, bo nie poszło to tak łatwo. Znacznie prościej było wkręcić Emmanuela Macrona czy Borisa Johnsona – stwierdził rosyjski komik. – Można powiedzieć, że jego [Dudy – red.] odpowiedzi były dość dyplomatyczne. Inni światowi liderzy potrafią mówić bardziej kontrowersyjne rzeczy – ocenił Stoliarow w rozmowie z money.pl.

Przeczytaj także:



46 komentarzy

Dodaj komentarz
  1. “(Nie wiemy, kiedy obywała się ta rozmowa, ale zapewnie zaraz po zakończeniu wyborów).”

    To chyba można spokojnie ustalić na podstawie tego co pada w rozmowie, kiedy PAD mówi, że oficjalne wyniki wyborów będą za około godzinę: https://youtu.be/zu4x31g42K4?t=597

    • “Nie znamy treści e-maila! […] (Nie wiemy, kiedy obywała się ta rozmowa, ale zapewnie zaraz po zakończeniu wyborów).”

      Nie o rozmowę głosową tutaj chodziło portalowi a o “rozmowę” mailową, w sensie kiedy te maile zostały wysłane, autentyczność potwierdzona etc. Sama rozmowa telefoniczna, to inna sprawa.

    • Wyniki wyborów były znane nim jeszcze ludzie poszli do urn.
      Ten incydent tylko potwierdza, że Polska to państwo z dykty.

    • Studenciku, wiesz jakby się ucieszyły (a może się cieszą) obce służby z takiego myślenia Polaków o Polsce? Dziel i rządź – stara reguła “dyplomacji”

  2. “Mail od rosyjskich prowokatorów z prośbą o rozmowę z prezydentem trafił na biurko dyrektora biura spraw zagranicznych Kancelarii Prezydenta Witolda Dzielskiego, który dwukrotnie otrzymał drogą mailową od przedstawicielstwa RP w Nowym Jorku potwierdzenie autentyczności wiadomości.”
    pozytywna historia że mają tam internet

  3. Pamiętam podobną co do skali, albo nawet i gorszą wpadkę naszych służb kontrwywiadowczych jaką opisał portal energetyka24.pl – https://www.energetyka24.com/elektroenergetyka/zagadka-piotra-niewiechowicza–jak-wymyslony-ekspert-publikowal-teksty-zdobywal-niejawne-informacje-o-baltic-pipe-i-obnazal-slabosc-panstwa
    – chodziło o prowokacje polskich (tym razem) dziennikarzy ,którzy byli w stanie tworząc zupełnie fałszywą acz ciekawą i dobrze skrojoną tożsamość “ekspercką” – skutecznie “zakumplować się” z człowiekiem w randze ministra (vice) i pod pozorem tworzenia fachowych materiałów wyciągnąć od niego wiele danych w tym takich które przyjęliśmy okreslać jako wrażliwe m.in.dot tak strategicznych podówczas programów jak Baltic Pipe. co więcej opublikować część z nich – w branżowym periodyku, zanim sprawa nie wyszła (a to też, jesli mnie pamięć nie myli – tylko dlatego że dziennikarze podający się za “Piotra Niewiechowicza” po prostu sprawę ucięli – informując o prowokacji prasowej.

    Tutaj skala problemu była jednak większa i groźniejsza, bo czymś innym jest wkręcenie znanego i skądinąd sympatycznego Pana Polityka , który zresztą , jak piszecie *) nie dał się wywieźć w pole – a czym innym osiągnięcie trwałego dojścia do wrazliwych danych na poziomie ministerialnym i międzynarodowym.

    ciekaw jestem – w teorii rzecz jasna – jakie po tym incydencie z 2018 przedsięwzięto środki zaradcze :) Bo mam nadzieję że jednak przedsięwzięto – inne niż zwolnienie paru osób bezpośrednio zainteresowanych…

    Pozdrawiam

    ————–
    * (i tez mam po przesłuchaniu kilkukrotnym orginalu rozmowy podobne zdanie)

  4. I jeszcze jedno – pojawił się także wyczerpujący materiał na portalu Cyberdefence24.pl – w troszkę odmiennym do tutejszego tonie i inaczej rozłożonych akcentach. Tam w roli eksperta wypowiadał się były szef AW pułkownik Grzegorz Małecki, który raczej nie pozostawił suchej nitki na osobach odpowiadających za bezpieczeństwo informatyczne naszej Głowy Państwa. Tak cywilnych jak i ze służb…
    Oczywiście – “podziękował” poniekąd obu prankerom za fajną inicjatywę – ponieważ, jak stwierdizł “Urzędnicy i ochrona prezydenta z Kancelarii powinni być wdzięczni autorom tego żartu, ponieważ tych dwóch Rosjan pokazało co nie działa. W pewnym sensie przetestowali system i pokazali co mogą zrobić inne służby wywiadowcze, które z całą pewnością nie zajmują się kompromitacją urzędników, tylko zdobywaniem wiedzy, manipulowaniem czy wypływaniem na zachowania. “

  5. A skąd się wyrwało to wideło? Żartownisie weszli do gabinetu Prezydenta i ustawili kamerę? Podejrzane jest już samo to, że upublicznione zostało nagranie video.

    • Obejrzyj najpierw film, który komentujesz. Na nagraniu jest rozmowa telefoniczna, a tłem jest nieruchomy obraz rozmawiającego przez telefon prezydenta, zapewne wzięty z jakiejś notatki prasowej.

  6. “nie padły żadne kontrowersyjne zwroty (no może poza tym źródłem koronawirusa…)”

    Wynika to wyłącznie z ograniczeń językowych a nie z przeszkolenia. Gdyby potrafił to by się rozwinął.

  7. Kolejny raz Rosjanie pokazują że polskie służby są nic nie warte. Nie było tutaj żadnej ochrony kontrwywiadowczej. Tak jest za każdej kadencji prezydenta. Przy Komorowskim w tłumie na Ukrainie ktoś z ludzi rozbił mu jajko na ramieniu. Przy pozostałych też z ochroną nie najlepiej…

    • Skoro wkręcili podobnie prezydenta Francji to francuskie służby też nie lepsze :)

    • pocieszać się że “innych też biją” słaba to pociecha…

  8. Mnie bardziej niż sam sposób jak to zrobili i że w ogóle to zrobili irytuje poziom rozmowy. Zawsze myślałem, że tam “na górze” rozmowy wyglądają bardziej poważnie i dostojnie. A to wyglądało jak rozmowa na działce przy grillu.

    • Też kiedyś myślałem podobnie, ale politycy to po prostu tacy sami ludzie jak ci ‘na dole’, więc mają dokładnie te same wady i zalety. Podejrzewam, że nie raz kiedy my oglądamy ściskanie sobie rąk i klepanie po plecach to ci po drugiej stronie mówią cicho do siebie: no dobra, to teraz musimy uścisnąć sobie dłonie i odstawić tą całą szopkę, bo wiesz kamery obserwują itd. :)
      A co myślą o sobie nawzajem wtedy tacy polityce to już nawet nie chcę się domyślać, bo wystarczy się chwilę zastanowić, jak my podchodzimy do naszych współpracowników czy klientów :) Zasada ‘na dole’ i ‘na górze’ jest dokładnie ta sama :)

    • Ludzie są ludźmi, niezależnie od zajmowanego stanowiska :)

    • Bo też i była to taka właśnie “rozmowa przy grillu” – tyle że obaj uczestnicy byli od siebie o kilka tysięcy km. Jak sadzicie – ile takich telefonów z gratulacjami (mniej lub bardziej szczerych ,ale – “sytuacja przecież wymaga żeby pogratulować”) odebrał PAD w ciągu pierwszej doby ?
      Na pewno nie jeden i pewnie nawet nie kilkadziesiąt…

      Na jego miejscu też bym miał dość już po 10tym i, o ile nie dzwoniłaby jakaś osoba do której miałbym naprawdę osobisty emocjonalny stosunek, albo odpowiadałbym zdawkowo, grzecznie albo luźno…

      Ale tez i zauważcie, że ten luźny i pół-formalny ton zaproponował (czy tez narzucił na wstępie) sam interlokutor, więc trudno się dziwić że Prezydent mu odpowiedział w podobnym.

      Co do znajomości języka i biegłości – bez przesady znowu – ale TEGO akurat się od prezydenta żadnego kraju nie wymaga, to bonus rzecz jasna, ale ważniejsze jest to CO się ma do powiedzenia i JAK się to zrobi od tego czy za pośrednictwem tłumacza czy samemu.

      W sumie tylko ta kwestia ze “źródłem koronawirusa” może być odrobinę wątpliwa – na ile to zabrzmiało ….lekceważąco a przyn. troszkę nieprzyjemnie w stos do Ukrainy … ?
      Nie wiem, ale na szczęście w chwilę potem pada zapewnieni “tak my teraz mamy mocny sojusz z Ukrainą , wspieramy ich mocno”.

      W każdym razie – od teraz jeśli ktoś bedzie podnosił w Waszym towarzystwie nasz jakiś hipotetycznie wątpliwy stosunek do Ukrainy czy jej obywateli – bedziemy zawsze mogli wstać i zaprzeczyć “słyszałem – i to z z ust samego Prezydenta RP – że to nie prawda ! ” :)

    • Z tego co słyszałem ze źródeł zbliżonych do dobrze poinformowanych, zazwyczaj wysyła się po prostu list z gratulacjami. Rozmowa to jednak już dość bliska relacja – zwłaszcza, że trzeba w nią włożyć sporo wysiłku organizacyjnego. A list można wysłać z szablonu w skrajnym przypadku.

  9. Państwo z gównolitu. Dobór kadr po prostu żenujący (mierni ale wierni). Niby nie powinno się śmieszkować z poziomu języka urzędującego prezydenta, natomiast ja czułem srogie zażenowanie gdy to słyszałem. Kompromitacja całego pionu zarządzania

    • Ksiaze Harry, prezydent Macron, Poroszenko, Saakaszwili, Erdogan, Bernie Sanders…. tez panstwa z gownolitu?

  10. Warto byłoby poruszyć jeszcze temat numeru, z którego zadzwonili żartownisie, czyli sekretarz ONZ. Czy to nie wzbudziło niczyich podejrzeń i dlaczego mogło tak być. Napiszcie coś o operatorach VoIP i zmianie caller ID.

    • Telefon byl z numeru ‘amerykanskiego’. Prawdopodobnie jednorazowka (chociaz tu jest wiele pytan – wiem jak w stanach jest z prepaidami – musisz sie wylegitymowac itd) no i nie supermarketowa (z nich nie da sie zestawiac polaczen poza USA i siecia jednego operatora).
      Obstawialbym ze ktos po drugeij stronie kaluzy pomagal (obstawialbym jakiegos juz spalonego rezydenta albo ‘pozytecznego idiote’ bo nikt dla takiego czegos nie bedzie poswiecal wartosciowych aktywow)

    • Tak. Pomógł VoIP i internet.

  11. Tego typu rozmowy odbywają się według ustalonego protokołu. W tym przypadku zawinił kontrwywiad, a dokładniej politycy skutecznie niszczący kontrwywiad.

  12. O sprawie pisze Onet i TVN. Przedstawili swoje tłumaczenia tekstu. Onet podaje słowa Dudy, że Rosjanie okupowali nas po drugiej wojnie i nazywali to przyjazną obecnością. TVN przetłumaczył, że okupowali nas “podczas” wojny. Przypadek?

    • Nie koniecznie, tylko rozległość czasu tejże okupacji. Być może dziennikarz TVNu miał na myśli okres jesieni 1944-1945 już po Bagrationie. Czas manifestu PKWN.

      Inna sprawa – że jako TŁUMACZ powinien się bardziej przyłozyć a tłumaczenie takich tekstów powinno być bardziej wierne (niż “piękne” ). Bo cóż oznacza zdanie-fraza “[…] they also occupied our country. After the second world war ” …??
      Cóż wynika z tego że narzekają na Prezydenta, a sami jeżyka dobrze nie znają …

    • ZSRS okupowało nas od 17 września 1939. Co więcej okupowane ziemie przez Sowietów nigdy do Polski nie wróciły.
      To taka mała powtórka z historii i geografii.

    • @wer :
      Jasne, ale zauważyc nalezy że Jedno nie wyklucza wcale Drugiego.
      Co do września 1939 roku to oczywiście tak to wygląda z naszej, polskiej strony.
      Problem tylko w tym, że strona Rosyjska nie uważa (i nigdy nie uważała) 1939 roku za poczatek II wojny światowej. W ich rozumieniu – i utrwalonej jeszcze w latach 40′ XX wieku wersji historii – II wojna światowa rozpoczęła się (dla nich) 22 czerwca 1941…
      Nawet nazywają ją (przyn. od czasu slynnego przemówienia Stalina z 3 lipca 1941) trochę inaczej – Wielką Wojną Ojczyźnianą (Великая Отечественная война).
      Wszystko co działo się wcześniej – a więc agresja
      na Nas 17 wrzesnia 1939 , aneksja Państw Bałtyckich , aneksja Besarabii,
      czy wojna zimowa z przełomu 1939-40 z Finlandią
      były (i są) zupełnie inaczej tłumaczone czy uzasadniane przez ichnie władzę.
      (np. w oficjalnej nocie dyplomatycznej odczytanej ambasadorowi Grzybowskiemu w nocy z 16 na 17 wrzesnia władze sowieckie uzasadniały wkroczenie swoich wojsk na terytorium Polski m.in. “[…]dezintegracją władz [polskich] i koniecznością obrony mniejszości narodowych zamieszkałych na terytorium Polski” )

      Jako że juz nawet dawni mistrzowie erystyki oraz dyplomacji (np. Chińscy z okresu dynastii Zhou) zauważali że aby skutecznie rozmawiać z oponentem
      nalezy przyjąć takie stanowisko żeby definicje i pojecia były
      dla obu zrozumiałe. Dlatego napisałem o okresie po Bagrationie, ponieważ jest to dla obu państw i stanowisk strefa – swoista “część wspólna” w wyznaczaniu zakresu trwania II Wojny Światowej, nie negowana przez nikogo. W kontekście rozmowy z np. prezydentem Putinem takie ujęcie nie mogłoby zostac zakwestionowane – wobec powyższego … :)

      Ale oczywiście Kolega ma rację historyczną że taka okupacja nastąpiła już wcześniej.
      Tez lubie repetytoria z historii i geografii historycznej :)

    • Nie wnikając w szczegóły rozmowy i tłumaczenia, były dwie okupacje sowiwckie: 1939-1941 oraz powojenna, której data początkowa zależy od tego o jakich granicach polski myślimy. Jeżeli o współczesnych, to 1944+. Jeżeli o przedwojennych, to trochę wcześniej. Ale dlaczego w stosunku do okresu sprzed wymiany ludności i wypędzeń (aka repatriacji) mielibyśmy myśleć o Polsce w dzisiejszych granicach?

  13. Z tego co można było zasłyszeć w radiu zeszłego dnia to rząd szykuje jakiś system do eliminacji tego typu ruchów. Czyli kolejny projekt filtracji połączeń w polsce (w mojej opinii), jakby obecnie tego brakowało…

  14. Identyfikacja numeru dzwoniącego (CLIP) to strasznie słabe zabezpieczenie. Na stosunkowo prostej centralce mogę ustawić dowolną identyfikację. Całkiem fajnie można by podbić wiarygodność ataku socjotechnicznego w ten sposób – wystarczy zaprogramować sobie “wiarygodny numer”.

    A jeśli w tym pranku maczały palce służby to już w ogóle nie ma tematu – jakby była potrzeba to mogli to całkiem profesjonalnie sfabrykować. Choć jak z artykułu wynika to wcale nie musieli :)

    • Są służby (wcale nie tylko agencje wywiadu/kontrwywiadu) które i tak mają możliwość identyfikacji KAŻDEGO dzwoniącęgo. Pomimo takiej blokady jak Kolega pisze) dokładnie i “czarno na białym” . M.in. służby teletechniczne (na odp poziomie). Kiedyś również taką miałem jak pracowałem w branży . Można było czasem sprowadzić do parteru jakiegoś nadętego ..upka albo nachalnie dzwoniącą firmę reklamową podając im numer (zestaw numerów) którego używają …

      Jedna uwaga – nie dotyczy grupy telefonów tzw. specjalnych (czyli Służby, CD i okolice)

    • “Są służby (wcale nie tylko agencje wywiadu/kontrwywiadu) które i tak mają możliwość identyfikacji KAŻDEGO dzwoniącęgo. Pomimo takiej blokady jak Kolega pisze) dokładnie i “czarno na białym” . M.in. służby teletechniczne (na odp poziomie).”

      Oczywiście, masz rację że fałszywy CLIP jest stosunkowo łatwy do wykrycia (dla osób na odpowiednim poziomie). Jednak zaryzykuję stwierdzenie, że w 99/100 zadziała.

      Zwróćmy uwagę, że nasza administracja złapała się na korespondencję z protonmaila. Nawet nie było potrzebne jakieś wyrafinowane podszywanie się- choćby spreparowania maila żeby wyglądał jak z oficjalnego adresu.

    • “Identyfikacja numeru dzwoniącego (CLIP) to strasznie słabe zabezpieczenie. Na stosunkowo prostej centralce mogę ustawić dowolną identyfikację.”

      Możliwość ustawienia prezentacji numeru nie jest niczym nadzwyczajnym. To podstawowa funkcjonalność każdej centrali telefonicznej. Natomiast fakt, że twój operator dopuszcza dowolność w tym zakresie, nie jest już taki oczywisty. Większość firm dostarczających rozwiązania VoIP zabrania prezentacji numerem, który nie należy do puli danego abonenta. Odrzuca więc takie połączenia albo ignoruje prezentację i nadpisuje ją właściwą. Tłumaczą to zabezpieczeniem przed fraudami. Znam też operatorów, którzy po cichu przyzwalają na taką wolną amerykankę. Klienci wykorzystują to, żeby przekierowywać sobie odebrane połączenia od swoich klientów na kolejne numery, tak jak przy klasycznym transferze. Niektórzy dzwonią w ten sposób do klientów przez tańszego operatora VoIP, a połączenia przychodzące odbierają już przez innego, który jest właścicielem danego numeru.

  15. Trudno Dudę winić za to, że telefon odebrał, ale później miał co najmniej kilka możliwości, żeby się zorientować, że coś nie gra. Nie wiem jak wyglądają rozmowy telefoniczne na wysokim szczeblu, ale myślę, że gdyby PAD nie był tak bardzo skupiony na tym, żeby wykrztusić coś po angielsku, mógłby zwrócić uwagę, że skretarz generalny raczej unikałby żartów na temat orientacji seksualnej Tuska itp. Ogólnie ton rozmowy był taki, że PAD nawet z taką znajomością angielskiego, jaką pokazał (było słabo ale też nie tragicznie) powinien był moim zdaniem się zorientować, że coś nie gra. Może zawiniły zmęczenie i euforia po kampanii?

  16. Aż musiałem doczytać, co to jest ten PAD…

    • Skrót ten wywodzi się z Twittera, z czasów, gdy jeszcze obowiązywał limit 140 znaków na komentarz.

  17. Taki problem podpisywać i szyfrować maile PGP?

    • Większy niż Ci się wydaje.

    • A problemem jest bardziej kwestia połączenia PGP do powszechnie używanych w biurze klientów poczty czy wiarygodna i automatyczna weryfikacja kluczy?

    • Wydawać by się mogło – że to pierwsze.
      Bo np. integracja PGP z klientem poczty M$, per firma, stanowi pewne wyzwanie (z reguły dla administratora danej domeny w chmurze M$, chyba ze jest to jednosobowo- SZEF firmy…). Poza tym sam M$ oferuje takie technologie jak OME czy IRM które mogą zmylić typowego użytkownika,ale które w rzeczywistości nie są szyfrowaniem/podpisywaniem wiadomości w tradycyjnym rozumieniu. Miło i przejrzyście prezentuje ta sytuację artykuł : https://www.comparitech.com/blog/information-security/pgp-encryption-with-outlook/

      W przypadku Grzmotoptaka i rozszerzenia Enigmail – to choć znacznie się to uprościło przez ostatnie lata i tak jest kilka rzeczy do zrobienia (najwięcej jeśli zaczynasz dopiero swoją przygodę z PGP) ze świadomością co , jak i dlaczego robisz.
      Szkoda tylko że pojawiają się czasem zawirowania (jak obecne z aktualizacją do wersji 70 i przeniesieniem funkcjonalności do samego Thunderbirda (oczywiście należałoby się wstrzymać tutaj z aktualizowaniem do czasu jak podaje wydawca..) – niemniej takie zawirowania , osłabiają na pewno medialnie pozycję tak klienta poczty jak i samego PGP (przepraszam, oczywiście implementacji PGP dla Th.), ale dla przeciętnego zjadacza bitów – “coś tu na rzeczy śmierdzi skoro ostrzegają”…

      Co do samej weryfikacji podpisywanych treści – to po pierwsze np. w Grzmotoptaku jest to zrobione o tyle miło – że mamy
      1) linie – wzrokową/graficzną – wiadomości podpisane kluczem (prawidłowym,zaakceptowanym) są oznaczone NA ZIELONO (+komunikat) w widoku szczegółowym nagłówków w skrzynce odbiorczej/nadawczej/folderach pocztowych
      2) po rozwinięciu szczegółów takiej wiadomości – mamy możliwość sprawdzić dokładnie wszystkie informacje takie jak odcisk klucza, kiedy został wystawiony ważnośc itp itd ….
      Czyli podobnie jak weryfikacja certyfikatu SSL w typowej przeglądarce.

      Dlatego nie sądzę żeby – jak już się uda komuś (adminowi) w ogóle przewalczyć “włączenie PGP” w firmie – nie sądzę żeby nauczenie pracowników NA CO NALEŻY zwracać uwagę – przy weryfikowaniu nadawcy oraz PO CO to robimy :) – miało być jakimś dramatycznym, niewykonalnym zadaniem ….

      Ale trzeba się potem tego – konsekwentnie trzymać ! Np. mieć przećwiczone z nimi – PROCEDURĘ WERYFIKACJI – czyli jak i co robimy kiedy otrzymujemy wiadomości od stałych partnerów biznesowych którzy również używają na co dzień PGP – a wiadomość nie będzie poprawnie podpisana …

  18. Nie tak dawno pracownik MSZ zmuszał firmy zewnętrzne do przesyłania inf niejawnych zwykłym e-mailem. Zabraniał nawet szyfrowania ZIP. Argument pracownika MSZ: macie Państwo swoją domenę w mailu, to jest bezpieczne.

  19. @przesyłanie-treści-niejawnych-odkrytym-mailem:

    W sumie to co się dziwić takim praktykom… ?
    Przecież w 90% firm (jak nie więcej) z sektora prywatnego taki problem jak i pytanie “czy coś należy szyfrować” i po co? w ogóle NIE ISTNIEJE :) Ktoś, kto zechce sam nawet podpisywać tylko (a co dopiero szyfrować) korespondencje wrażliwa za pomocą PGP – uchodzi , najdelikatniej mówiąc – za dziwaka czy “wieszcza zagłady” . Podejrzewam (a mam niestety powody) że również w ramach większych i budżetowych korporacji – nie jest wcale lepiej. Najprostszym “rozwiązaniem ” i odpowiedzią na pytania czy watpliwości z zakresu bezpieczeństwa – jest wzruszenie ramionami i stwierdzenie “przecież pocztę mamy w firmowej chmurze XX.YY – i płacimy za to miesięcznie – to niech oni się martwią o bezpieczeństwo!”. Tak nota bene – wielkie korporacje tez nie zachęcają do wzmocnienia poziomu bezpieczeństwa – do niedawna taki np. Małomiekki w swoim Office 365 (chmurowym) i kliencie poczty nie udostępniał żadnego rozszerzenia obsługi PGP…! Owszem, dało się to zrobić, samemu, ale było raczej odradzane przez Firmę jako “third party extension” …

    Jakiś czas temu miałem okazje popracować trochę w/dla biznesu średniej wielkości (i nie tylko polskiego żeby dodać pikanterii nieco) gdzie naprawdę przewijały się “poważne pieniądze” i byłem sam naprawdę zszokowany poziomem świadomości nie tylko szeregowego, pojedynczego pracownika – ale , o zgrozo , zwłaszcza czynników decyzyjnych, czyli menadżerskich … (!) Powiem w skrócie – jedyną osobą która używała w pracy PGP byłem ja sam, (“po co, przecież mamy pocztę bezpieczną – w chmurze!”) a na próby np. wnioskowania o zasoby na przeniesienie do wewnątrz firmy pewnych, dość newralgicznych procesów biznesowych, obrotu danymi, czy komunikacyjnych – otrzymywałem w najlepszym razie wzruszenie ramionami ze strony ogólnie rozumianego kierownictwa. W realiach gdzie np. nie było niczym dziwnym włączenie w sieć/strukturę wewnętrzną IT firmy jakiegoś obcego, przyniesionego przez szeregowego pracownika urządzenia (!) komunikacyjnego (np. komórki z LTE czy prywatnego routera) doprawdy nie dziwię się że coś takiego jak szyfrowanie transmisji mailowych czy w ogóle głosowych na linii UE/reszta Europy jest traktowane jako fanaberia. Zresztą na równi przez pion zarządzający nasz krajowy jak i obcy.
    Naprawdę przez parę miesięcy byłem coraz bardziej zaszokowany zastaną sytuacją, i dość szybko się stamtąd zwinąłem (uznawszy że skoro nie mogę mieć wpływu na pewne rzeczy to nic po mnie) .

    zapytacie – czemu nie zorganizowałeś dla tych ludzi np. pakietu szkoleń albo nie wynająłeś ekipy z poważnej firmy szkolącej/audytorskiej z zakresu security (np. Niebezpiecznika)?
    – A co, miałem to robić za swoje, prywatne pieniądze i jeszcze przekonywać ludzi “że Pani/Pana obecność jest niezbędna” ?? Skoro mają zarabiać te swoje ciężkie miliony, to nie można im przecież przeszkadzać w tak ważnych sprawach ….

    Oczywiście to przykład , pojedynczy, ale sądząc z innych “jaskółek” które otrzymuję często sygnały ze nie jest to, niestety, sytuacja bardzo odbiegająca od “standardów” w wielu miejscach.

    reasumując : co się dziwić że do struktur rządowych trafiają potem tacy “tak wychowani i świadomi pracownicy ” ….? :)

  20. Nic nie powiedział kontrowersyjnego, bo brakuje mu słownictwa ot tyle :P

  21. @przesyłanie-treści-niejawnych-odkrytym-mailem:

    W sumie to co się dziwić takim praktykom… ?
    Przecież w 90% firm (jak nie więcej) z sektora prywatnego taki problem jak i pytanie “czy coś należy szyfrować” i po co? w ogóle NIE ISTNIEJE :) Ktoś, kto zechce sam nawet podpisywać tylko (a co dopiero szyfrować) korespondencje wrażliwa za pomocą PGP – uchodzi , najdelikatniej mówiąc – za dziwaka czy “wieszcza zagłady” . Podejrzewam (a mam niestety powody) że również w ramach większych i budżetowych korporacji – nie jest wcale lepiej. Najprostszym “rozwiązaniem ” i odpowiedzią na pytania czy watpliwości z zakresu bezpieczeństwa – jest wzruszenie ramionami i stwierdzenie “przecież pocztę mamy w firmowej chmurze XX.YY – i płacimy za to miesięcznie – to niech oni się martwią o bezpieczeństwo!”. Tak nota bene – wielkie korporacje tez nie zachęcają do wzmocnienia poziomu bezpieczeństwa – do niedawna taki np. Małomiekki w swoim Office 365 (chmurowym) i kliencie poczty nie udostępniał żadnego rozszerzenia obsługi PGP…! Owszem, dało się to zrobić, samemu, ale było raczej odradzane przez Firmę jako “third party extension” …

    Jakiś czas temu miałem okazje popracować trochę w/dla biznesu średniej wielkości (i nie tylko polskiego żeby dodać pikanterii nieco) gdzie naprawdę przewijały się “poważne pieniądze” i byłem sam naprawdę zszokowany poziomem świadomości nie tylko szeregowego, pojedynczego pracownika – ale , o zgrozo , zwłaszcza czynników decyzyjnych, czyli menadżerskich … (!) Powiem w skrócie – jedyną osobą która używała w pracy PGP byłem ja sam, (“po co, przecież mamy pocztę bezpieczną – w chmurze!”) a na próby np. wnioskowania o zasoby na przeniesienie do wewnątrz firmy pewnych, dość newralgicznych procesów biznesowych, obrotu danymi, czy komunikacyjnych – otrzymywałem w najlepszym razie wzruszenie ramionami ze strony ogólnie rozumianego kierownictwa. W realiach gdzie np. nie było niczym dziwnym włączenie w sieć/strukturę wewnętrzną IT firmy jakiegoś obcego, przyniesionego przez szeregowego pracownika urządzenia (!) komunikacyjnego (np. komórki z LTE czy prywatnego routera) doprawdy nie dziwię się że coś takiego jak szyfrowanie transmisji mailowych czy w ogóle głosowych na linii UE/reszta Europy jest traktowane jako fanaberia. Zresztą na równi przez pion zarządzający nasz krajowy jak i obcy.
    Naprawdę przez parę miesięcy byłem coraz bardziej zaszokowany zastaną sytuacją, i dość szybko się stamtąd zwinąłem (uznawszy że skoro nie mogę mieć wpływu na pewne rzeczy to nic po mnie) .

    zapytacie – czemu nie zorganizowałeś dla tych ludzi np. pakietu szkoleń albo nie wynająłeś ekipy z poważnej firmy szkolącej/audytorskiej z zakresu security (np. Niebezpiecznika)?
    – A co, miałem to robić za swoje, prywatne pieniądze i jeszcze przekonywać ludzi “że Pani/Pana obecność jest niezbędna” ?? Skoro mają zarabiać te swoje ciężkie miliony, to nie można im przecież przeszkadzać w tak ważnych sprawach ….

    Oczywiście to przykład , pojedynczy, ale sądząc z innych “jaskółek” które otrzymuję często sygnały ze nie jest to, niestety, sytuacja bardzo odbiegająca od “standardów” w wielu miejscach.

    reasumując : co się dziwić że do struktur rządowych trafiają potem tacy “tak wychowani i świadomi pracownicy ” ….? :)
    Inna sprawa – że gdzie jak gdzie, ale akurat TAM – powinni podlegać OBLIGATORYJNYM i cyklicznym szkoleniom z zakresu bezpieczeństwa – by “już dokładnie wiedzieć czemu służy szyfrowanie korespondencji i danych”

    Pozdrawiam

  22. @UP
    Przepraszam Wszystkich za dublet :) – ale powód był prozaiczny – wysłałem go najpierw w piątek pracując i skoro przez dobe nie pojawił się (a pojawiały się inne , późniejsze tresci) więc myślałem że gdzieś sie po prostu zagubił nałączach…i wysłałem ponownie – z malym dopiskiem.
    Podziękowania należą się też Redaktorom z NBZ za publikację wiernej treści obydwu :)

Odpowiadasz na komentarz Kamerzysta

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: