23:03
19/11/2015

W dniu dzisiejszym Kancelaria Prezydenta RP opublikowała na swoich stronach internetowych raport podsumowujący inwentaryzację dokonaną po opuszczeniu urzędu przez ekipę Bronisława Komorowskiego. Z naszego punktu widzenia interesująca jest strona 33 tego raportu:

ZABEZPIECZENIE SPRZĘTU O SPECJALNYM PRZEZNACZENIU
Nie wiadomo kiedy zagubiono jeden zestaw i część drugiego zestawu mobilnego niejawnego systemu Sieci Łączności Rządowej CATEL będących w posiadaniu Szefa Gabinetu Prezydenta RP oraz Szefa Kancelarii Prezydenta RP:
– Szef Gabinetu Prezydenta RP zagubił cały zestaw telefoniczny sieci CATEL,
– Szef Kancelarii Prezydenta RP nie zwrócił jednego z elementów zestawu – tokena RSA. Braki zostały stwierdzone w ostatnich dniach urzędowania odchodzącego kierownictwa .

Naszym zdaniem, niewyobrażalne byłoby zaprojektowanie systemu do bezpiecznej transmisji, który nie uwzględniałby procedury w przypadku zguby terminala. Współpracownicy prezydenta Dudy sugerują jednak, że strata zestawu telefonicznego “jest poważna i stwarza zagrożenie dla Polski“. Czy tak jest naprawdę?

Zacznijmy od wytłumaczenia, czym jest CATEL, bazując na depeszy PAP z 2010 roku:

Przygotowany przez ABW CATEL (nazwa pochodzi od Centrum Antyterrorystycznego, które jako pierwsze testowało ten system) jest niejawnym elementem Systemu Łączności Rządowej, za który odpowiada MSWiA. Jak zapewniają jego twórcy, system jest niezależny od operatora telefonii komórkowej, choć korzysta z oferowanej przez niego transmisji danych. Zabezpiecza także przed możliwością podszycia się pod inną osobę.
(…)
Telefony (które, poza specjalnym oprogramowaniem, niczym nie różnią się od normalnych smartfonów) i laptopy wykorzystywane w systemie CATEL mają takie same możliwości, jak zwykłe urządzenia tego typu; dodatkowo mają możliwość nawiązania niejawnej łączności. Rozmowy między użytkownikami systemu CATEL są bezpłatne, płacić należy tylko za połączenia na zewnątrz. Szyfrowane mogą być tylko połączenia wewnątrz systemu, rozmowy zewnętrzne odbywają się bez zabezpieczeń. Na razie system pozwala na zabezpieczenie rozmów telefonicznych, nie szyfruje natomiast sms-ów. Przedstawiciele ABW mówią, że być może zmieni się to w przyszłości.
(…)
CATEL jest przygotowany na obsługę 3,5 tys. telefonów oraz 400-500 laptopów. Obecnie można za jego pomocą przesyłać informacje zastrzeżone, docelowo także poufne. Według ABW w praktyce nie ma potrzeby wymieniania informacji tajnych i ściśle tajnych za pomocą urządzeń mobilnych
(…)
Pod koniec czerwca 2010r. w telefony zostały wyposażone służby odpowiedzialne za bezpieczeństwo prezydencji, głównie antyterroryści i kontrwywiad; na początku lipca urządzenia przekazano do KPRM. Wkrótce mają trafić do kolejnych instytucji: Kancelarii Prezydenta, BBN, Kancelarii Sejmu i Senatu, Straży Granicznej i Komendy Głównej Policji.

Dodatkowo, fragment artykułu z Forsala:

Projekt CATEL, czyli Systemu Łączności Rządowej, był priorytetowy dla byłego szefa największej polskiej służby specjalnej gen. Krzysztofa Bondaryka. Komórki umożliwiające nawiązywanie szyfrowanych połączeń otrzymało ok. 2 tys. osób. – System powstawał z myślą o prezydencji w Unii Europejskiej. Tworzyliśmy go, mając świadomość, jak łatwo jest podsłuchiwać telefony komórkowe obcym rządom, ale i zwykłym detektywom – mówi funkcjonariusz, który pracował w Agencji Bezpieczeństwa Wewnętrznego. – Wiedzieliśmy, że w tym kierunku (budowy programów szpiegowskich takich jak PRISM – red.) zmierzają wszystkie służby specjalne zaprzyjaźnionych i wrogich nam państw – dodaje.
(…)
Cały system został tak zbudowany, aby można było nim przekazywać nawet informacje objęte klauzulą „zastrzeżone”. Ta klauzula to dosyć niski poziom utajnienia, ale wyżej klasyfikowanych informacji i tak nie można powielać na komputerach, tabletach czy telefonach podłączonych do sieci.

Wszystko wskazuje więc na to, że wejście przez kogoś w posiadanie zagubionego zestawu nie stwarza żadnego zagrożenia. Spodziewamy się bowiem, wnioskując na podstawie powyższych informacji, że system weryfikuje tożsamość nadawcy komunikatu, a zatem został wyposażony w CA, które może unieważnić poświadczenia danemu użytkownikowi. I pewnie dokładnie to wykonano po zaraportowaniu straty urządzenia (“zestawu telefonicznego”). Zwłaszcza, że jak zapewnia były szef AWB:

system łączności niejawnej jest zabezpieczony na wypadek zgubienia lub kradzieży telefonu. W urządzeniu nie znajdują się niejawne informacje (są zapisane na serwerach), a pomocnicze informacje, które są w telefonach, są zaszyfrowane. Ponadto raz nad dobę telefon wymaga walidacji w systemie, a odblokowanie klawiatury wymaga wpisania kodu PIN. Zarówno telefony jak i laptopy mają zablokowane wszystkie zewnętrzne porty. – Próba dostania się do telefonu skutkuje jego całkowitym resetem i powrotem do ustawień fabrycznych – zapewnia kpt. Durbajło.

Podobnie rzecz ma się ze zgubą samego tokena RSA. Token jest wykorzystywany jako dodatkowy (drugi) element procedury uwierzytelnienia — a zatem osoba, która go zdobędzie, musi jeszcze dysponować hasłem/pinem właściciela zagubionego tokenu do urządzenia oraz samym urządzeniem pozwalającym na transmisję.

Niektóre z osób podnoszą, że nie wiadomo kiedy (w przypadku Szefa Gabinetu Kancelarii RP) zniknęło urządzenie z tokenem — a więc przez pewien czas ktoś mógł je w jego imieniu wykorzystywać do zapoznawania się z informacjami niejawnymi. To byłoby prawdą, gdyby poza urządzeniem i tokenem znał także pin/hasło. Odpowiednie służby na pewno prześledzą logowania do systemu ze zgubionego urządzenia i na tej podstawie określą, czy było ono “po zgubieniu” przez kogoś wykorzystywane do dostępu do sieci łączności niejawnej.

Podsumowując, telefony się gubiło, gubi i będzie gubić. Warto zawczasu się na to przygotować aktywując blokadę ekranu i szyfrując pamięć telefonu. Wtedy strata urządzenia będzie mniej dotkliwa. Jeśli były Szef Gabinetu Prezydenta RP nie miał na zgubionym telefonie żadnych prywatnych danych, to nikt nie ucierpi — ani on prywatnie, ani bezpieczeństwo systemu CATEL.

Dziękujemy czytelnikom Wojciech, Jacek i Pan Samsung za przesłanie informacji na temat 33 stron raportu.

PS. Swoją drogą, skoro to “zwyczajne smartphony” to czyżby elementem systemu CATEL była aplikacja na Androida? :-)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

59 komentarzy

Dodaj komentarz
  1. A skoro już jesteśmy przy Prezydencie, to z kronikarskiego obowiązku warto odnotować, że wczoraj z oficjalnego serwisu prezydent.pl zniknęła podstrona dotycząca ułaskawienia. Później, po podniesieniu kwestii przez internautów wróciła, ale ze zmienionym brzmieniem. Oto wersja obecna, ale starą znajdziecie tutaj. Jak widać, dodano następujący fragment:

    Prezydent może zastosować prawo łaski z pominięciem wskazanej procedury bezpośrednio na podstawie Art. 139 Konstytucji RP

    • I co z tego? Z tego co się orientuję to strona internetowa nie moa żadnej mocy wiążącej a jedynie informacyjną, więc zmiana błędnej (w mniemaniu kancelarii prezydenta) informacji na prawidłową jest normalne. A że zauważyli rozbieżność dopiero po tym jak została ona wskazana to kogoś dziwi lub oburza?

    • @Foris
      i to z tego, że Prezydent powinien publikować wyłącznie w BIP, bo tylko tę formę przewidują przepisy.
      A jeśli coś jest publikowane w BIP, to w ramach zasady zaufania do państwa, informacje tam umieszczone nie powinny tak sobie znikać. Bo dziś masz prawo do wolnego słowa i płacisz podatek 19%, a potem post faktum dowiesz się, że prawa nie miałeś i zapłaciłeś za mały podatek.
      Vide – argumentacje Vagla nt. komunikacji organów państwa poza BIP.

  2. Reakcja na Kremlu na słowo “zgubił”

    http://gfycat.com/MintyBitterFairybluebird

  3. “Jak zapewniają jego twórcy, system jest niezależny od operatora telefonii komórkowej, choć korzysta z oferowanej przez niego transmisji danych.”
    Skoro korzysta się z czyichś usług to chyba system jest od niego zależny, bo jak zestawić połączenie gdy nie ma się żadnych informacji na temat położenia terminali? No chyba, że mają postawiony osobny serwer i żadne logi nie są zapisywane na serwerach operatora. Coś na zasadzie Full MVNO, ale nawet jeśli padnie stacja bazowa to wtedy działanie systemu i tak zależy od operatora i jego łączności ze stacją bazową.

    ” Rozmowy między użytkownikami systemu CATEL są bezpłatne, płacić należy tylko za połączenia na zewnątrz. Szyfrowane mogą być tylko połączenia wewnątrz systemu, rozmowy zewnętrzne odbywają się bez zabezpieczeń.”
    Z takiego systemu korzystają najważniejsi i ważniejsi ludzie w państwie i za rozmowy poza system muszą jeszcze płacić? To już zakrawa na śmieszność. :)
    I bez zabezpieczeń? Chyba chodzi o brak zabezpieczeń ze strony systemu CATEL, bo przecież operatorzy mają swoje zabezpieczenia dla zwykłych klientów.

  4. “Naszym zdaniem, niewyobrażalne byłoby zaprojektowanie systemu do bezpiecznej transmisji, który nie uwzględniałby procedury w przypadku zguby terminala.”

    Enigma:)

    • Tyle że Enigma została złamana ze względu na źle wprowadzane bezpieczeństwo. “Design” owej machiny zakładał częste zmiany kodów, ale oczywiście jak zwykle zawinili ludzie. Powiedzmy sobie szczerze – hasła typu qwerty czy 12345 były tak samo popularne w latach 40 jak i teraz.

    • Zawiódł też design. Ale nie tyle samej maszyny, ile protokołu przekazania klucza wiadomości (powtórzenie klucza zaszyfrowanego kluczem dziennym). To dało naszym magikom elegancki punkt zaczepienia.

  5. Za pewnie grube miliony zlotych stworzono aplikacje na androida na wzór skypa tylko ze z szyfrowaniem i taki to wielki tajny system ;)

    • Widzę, że masz dostęp do tego systemu…

    • To nie jest żaden magiczny system, z opisu szyfrowany voip z podwójną autoryzacją tylko ciekawe czy wymienili tokeny po włamie do RSA. Coś podobnego ( może nawet bardziej zaawansowane ) od dawna mam zmajstrowane, ale komercyjnie nie wdrożone bo nie chce mi się użerać z trzyliterowymi. A brak szyfrowania wiadomości to po prostu żenada. Za udoskonalenie i tak zapłacą miliony bo kod pewnie zamknięty.

  6. Przecież my żyjemy w Polsce a tutaj wszystko jest możliwe!

  7. jak stwierdził Michałowski “token to nieistotny gadżet”.
    No dobra… ale generuje klucz. Czy posiadając token można złamać jego algorytm i sobie zrobić “maszynkę z kluczami”?
    Bo to jest drugie zabezpieczenie do tego systemu. Kod PIN to nie problem. Pamiętajmy, że na szczeblach władzy nie siedzą jakieś osoby obdarzone szczególna inteligencją oraz pamięcią. Orzechy przeciwko bananom, że połowa z nich ma te PINy gdzieś pozapisywane, niekoniecznie trzymane w sejfie. (A przynajmniej 10% ludzi z otoczenia to obce wywiady)

    • Gdyby posiadając token można było zrobić sobie “maszynkę z kluczami”, to token nazywałby się “urządzenie do robienia maszynki z kluczami”.

      A tak na marginesie – stawia się dolary przeciwko orzechom, nie jakieś banany.

    • Nie można. Na serwerze blokuje się dane konto/zmienia przypisany token co spowoduje wygenerowanie innych haseł.
      Z resztą cokolwiek ten token by robił (generował hasła, przechowywał klucze RSA, czy coś) to wystarczy zablokować ten konkretny token/klucz na serwerze uwierzytelniającym. Algorytmy tokenów praktycznie zawsze są dobrze znane.

  8. niebezpiecznik się bardzo polityczny robi. Ciekawe co by Wam powiedziano gdybyście to Wy sami taki sprzęt zgubili?Też nie byłoby najmniejszego problemu i żadnych konsekwencji?Wyolbrzymiacie najpierw problem,który jest w sposób właściwy opisany w raporcie,a później sami z tym wyolbrzymieniem próbujecie się rozprawić.PRL też miał taki zwyczaj by się rozprawiać z problemami, które sam tworzył.Niebezpieczniku nie idź tą drogą…

    • bul dupy masz, że robią jak zwykle aferę a potem się okazuje że afery nie ma tylko prezes akurat miał okres?

    • I uprzedzając: słowo “bul” ma błąd celowo, bo tacy jak ty mają wzwód na punkcie błędnie zapisanego słowa bul a już wziąść o dziwo zupełnie ich nie podnieca….

    • Każdy temat da się ugryźć ze złej strony i z dobrej. Ty ugryzłeś go od strony złej. Przecież art jest głównie o zgubionym telefonie co pasuje w tematykę strony. Co innego gdyby pisali, że Bronek zgubił nawet zlew i kibel z łazienki.

    • Weszliście w politykę i teraz macie onetowy poziom części komentarzy,a ostrzegałem.Gdyby niektórzy choć odrobinę zielonego pojęcie mieli jakie są procedury. Zastanawia też dlaczego być może dopiero po miesiącach,a może latach organa państwowe dowiadują się o braku takich urządzeń? Skoro zostały zagubione to czy ktoś niepowołany nie próbował z nich korzystać? Pytań nasuwa się dużo więcej ale dla niebezpiecznika nic się nie stało,można by rzec nawet Polacy nic się nie stało.Więc po co w ogóle stosować takie urządzenia?…
      Powtórzę raz jeszcze -niebezpieczniku nie idź tą,polityczną, drogą.

    • @a ugryźcie żubra: w artykule masz odpowiedzi na wszystkie twoje pytania:

      “Zastanawia też dlaczego być może dopiero po miesiącach,a może latach organa państwowe dowiadują się o braku takich urządzeń?”

      Bo ich zguba nie stanowi zagrożenia. Do skorzystania z urządzenia potrzebne jest urządzenie, hasło do urządzenia i zmienny w czasie token. Nigdy nie zginął komplet tych trzech.

      “Skoro zostały zagubione to czy ktoś niepowołany nie próbował z nich korzystać? ”

      Nie byłby w stanie bez aktywnej współpracy z prawowitym właścicielem. Ale przecież jeśli mówimy o przekupieniu kogoś, to lepiej nie narażać się na weryfikację poprzez wykazanie zguby. Obcy wywiad po prostu brałby informacje od kogoś kto ma do nich dostęp.

      Niektórzy też chyba zapominają że te urządzenia nie przechowują materiałów tajnych, a umożliwiają do nich dostęp. Dane są na serwerze, do którego urządzenie jest terminalem. W dodatku na serwerze są tylko “zastrzeżone” a więc najniższy poziom poufności.

    • Onetowy poziom komentarzy to zapuściłeś właśnie Ty, bo nawet nie umiałes artykułu dobrze przeczytać… Krytykę zawsze warto zaczynać od siebie. Pan powyżej Ci wyjaśnił wszystko.

    • Ale bzdury w niektórych komentarzach.To,że ktoś sobie napisał w artykule,że nie zgłaszanie nie było ważne nie ma wiele wspólnego z rzeczywistością.Cokolwiek zagubione w jakiejkolwiek firmie czy urzędzie,a co jest na stanie jakiejkolwiek firmy czy urzędu powinno być od razu zgłoszone.
      Jak zgubicie przykładowo dowód to nie zgłaszacie tego na policję?
      Chyba,że nie zgłaszacie żadnych zagubień,a później okazuje się,ze dopiero w takich raportach wychodzą różne nieprawidłowości i brak tokena,obrazów,wieży…
      Brak takich zgłoszeń-w zależności czego dotyczą-może skutkować wywaleniem z pracy lub nawet sankcjami prawnymi!
      Jaka jest bowiem gwarancja,że urządzenia zostały zagubione,a nie skradzione czy bezprawnie użyczone komuś niepowołanemu?Scenariusze mogły być różne.Przecież nie wiadomo co naprawdę zaszło,a opieramy się jedynie na słowach jednej strony zainteresowanej.
      Więc jeśli już podejmujecie jakiś temat to prośba o spojrzenie szersze,horyzontalne na całość,a nie krzyczenie nic się nie stało skoro jednak coś się stało.
      Ludzie o takim braku odpowiedzialności nie powinni zajmować takich stanowisk.Niebezpiecznik nie ma jak widać mądrości na wyłączność i z całym szacunkiem nie bardzo rozumiem po co pcha się w polityczne tematy bez omówienia całości złożonego zagadnienia jeśli już koniecznie taki temat chce poruszyć?Niestety wygląda na to,że niepotrzebnie bierze w obronę jedną z politycznych stron.Tylko po co?

  9. Czy ten na drugim zdjęciu to Tomuś?
    “Halo baza?”

    • Taaak, nasz agent 007, najlepszy z najlepszych….

    • …to jest Bond na miarę naszych możliwości

    • ziobro ziobro siedem :D

  10. Problemem jest też to kiedy został sprzęt zgubiony a kiedy zgłoszono jego zgubienie (zgłoszono AFAIK dzień przed końcem kadencji).

    • ja pierdzielę, nigdy nikt z was nie rozliczał się odchodząc z pracy? wiele rzeczy się gubi, zwłaszcza jak się ich nie używa … taki token mała rzecz, nie mruga, ni pika, nie da się na niego zagwizdać czy zadzwonić… ot wcięło gdzieś i już…
      Zamiast się cieszyć, że zgłosili, że używali (bo jakby nie używali to by spokojnie leżał w pudełku obok telefonu) to bijecie pianę nad teorią rozlanego kakao…

      Co do upolitycznienia się Niebezpiecznika …nie mnie to osądzać, ale faktycznie ostatnio bardziej proPaństwowi – choć tutaj, nie widzę by zrobili cokolwiek złego – poza tym, ze tytuł wprowadza faktycznie w błąd… jednocześnie sugerując opowiadanie się za jedną z opcji politycznych…

      pozdr.

  11. Ciekawe czy nie warto byloby zmienic na secusuite, tak jak Niemcy.

  12. *Wszystkie* podane niżej dane są dostępne w sieci: w artykule o zgubionym tokenie (informacja jakiej jest firmy), na stronach wiki i na StackOverflow (zasada działania tokena RSA), na strone Agencji (lista byłych Szefów) i w ustawie o ochronie informacji niejawnych (klauzule i ochrona). Punkty to tylko podsumowanie.

    1. Monsieur Durbajło nigdy nie był szefem ABW. Jakie piastował stanowisko, można sobie wygooglać, jest w jednym z pierwszych hitów.

    2. “Token” to token RSA. W wielkim uproszczeniu: RSA działa na zasadzie TOTP. Token w środku ma zegar tykający co mniej więcej minutę. Po “tyknięciu” jest on mieszany z kluczem prywatnym (symetrycznym) za pomocą AES128 i wyświetlany na ekraniku w postaci 6-cyfrowego kodu. Serwer ma swoją kopię klucza i sprawdza, czy zaszyfrowany odczyt zegara odpowiada czasowi rzeczywistemu. Token jest tak skonstruowany, że jakakolwiek fizyczna ingerencja fizyczna niszczy klucz prywatny. Możliwości blokady są wielorakie: usunięcie rekordu tokena z bazy w serwerze RSA, zmiana PIN bez wyrejestrowania tokena, blokada konta w systemie.

    3. Standardem serwerów RSA jest to, że przed 6-cyfrowym kodem odczytanym z wyświetlacza wpisuje się jeszcze 4-6 cyfrowy pin znany tylko użytkownikowi (i serwerowi). Dzięki temu nawet wejście w posiadanie i tokena i dostępu do sieci go używającej, jest ostatnia linia obrony w postaci “user knows”. Kiedyś był nawet “panic pin” – drugi pin, który działał dokładnie jak zwykły, tylko dodatkowo zgłaszał alarm na serwerze. Z jakiegoś względu RSA się z tego wycofało.

    4. Sprzęt do łączności o klauzuli “do X” sam musi mieć co najmniej klauzulę X. Więc większym problemem gubiącego nie są koszty zgubionego sprzętu a “utrata kontroli nad materiałem niejawnym”. Przy “zastrzeżone” nie jest jakoś masakryczne z punktu widzenia KK, ale może bruździć przy odnowie tzw. poświadczenia bezpieczeństwa. Z punktu widzenia IT – utrata kontroli nad sprzętem w żaden sposób nie kompromituje systemu.

    • ad4. Sprzęt nie musi mieć klauzuli. A sprzęt “mobilny” nawet nie może bo jak spełnić wtedy ochronę fizyczną zgodnie z zaleceniami :)

  13. Telefon… Sokowirówkę niech oddaje! ;)

  14. Jak to jest możliwe że nie wiadomo kiedy dokładnie zaginał zestaw.
    -Czy oznacza to że jego zaginiecie nie zostało zgłoszone?
    -Jeśli zaginięcie zostało zgłoszone to czy procedura zaginięcia nie wymaga dokładnego udokumentowania takiego przypadku(daty incydentu, daty zgłoszenia, opisu podjętych czynności i wyniku sprawdzenia czy zestaw był wykorzystywany po jego zaginięciu)?
    -Jeśli mówimy o zaginionym zestawie, to czy oznacza to że został zgubiony zarówno telefon jak i token RSA(jeśli tak to wtedy do odblokowania wystarczy sam pin, który zawsze można podejrzeć przy wprowadzaniu czy spróbować odtworzyć na podstawie odcisków na ekranie)
    -czy sprawdzono czy zaginiecie ma związek z telefonami na numery polskich żołnierzy sprzed kilku tygodni?

  15. Generalnie się zgadzam, że sprawa nie jest aż tak poważna jak mogłaby wyglądać. Natomiast zwróciłbym uwagę na dwie rzeczy.
    Po pierwsze w raporcie zajmuje ona pół strony na 40 stron całości więc kancelaria chyba też nie uznała tego za problem nr 1 a jedynie odnotowała sam fakt i fakt niezgłoszenia zaginięcia w odpowiednim czasie (z tego wynika określenie czasu zaginięcia jako nieznany).
    I po drugie to czy nie jest tak, że mając jeden egzemplarz terminala można pokusić się na o wiele łatwiejszą analizę działania całego systemu i poszukanie ewentualnych błędów. Przynajmniej jeśli się jest z FSB?

    • Jeśli się jest z FSB, to specyfikację się znało jeszcze przed uruchomieniem. ;)

      Zresztą nie jest to żaden cud techniki kryptograficznej – po prostu niejawny system do prowadzenia szyfrowanych rozmów. Podobnie jak apki RedPhone czy Motorole szyfrujące – albo bardziej “pro” tureckie Aselsan (który widzę że jest nawet certyfikowany “NATO restricted”).

  16. Bartosz

    czy moze tak sie zdarzyc, ze token zostanie zgubiony i nie da sie go zablokowac bo brak danych ID o tokenie?

    • weź na logikę, sam sobie odpowiedz :D Skoro Serwer wie o takim tokenie i o tym jaki ma u niego klucz… to jak może o nim nie wiedzieć ?! WTF!

    • Tak, ale czy ktoś zauważył, że zgubienie urządzenia zostało zgłoszone tuż przed zakończeniem kadencji prezydenta, To oznacza, że wcześniej nie widniało na liście rzeczy zgubionych, i tym samym token nie został wcześniej dezaktywowany. Wciąż działał, i ktoś z niego korzystał, bo pan prezes miał grymas i zgłosił jego zaginięcie tuż przed zakończeniem kadencji.

    • Skoro co 30 dni jest zmiana hasla, to raczej nie, jednak nie działał “wciąż”.

  17. Przecież jest wymienione, że wszystkie porty w telefonie są zablokowane, to jak w takim razie można się do niego dobrać ?
    każda próba dostania się do telefonu, podstawiona karta itp, powoduje reset do ustawień fabrycznych a cała wewnętrzna jest szyfrowana, to nawet odzyskiwanie takiej zawartości nic nie da, no chyba, że się mylę

    • Mylisz się.

  18. Pachnie raczej systemem łączności dyspozytorskiej oferowanej kiedyś na cdma, dedykowany roznym sluzbom, jako ze oferuje dodatkowe szyfrowanie wiadomosci. byle nie okazal sie to zwykly chinczyk.

    • niestety – nikt nie skorzystał z tzw 47… o czym piszesz … choć była taka możliwość

  19. Telefony to zwykłe Nokie na symbianie ze zmienionym softem ktory pozwala przejsc w tryb “niejawny” i realizowac szyfrowane rozmowy (w oparciu o dane pakietowe) z użytkownikami z zamkniętej listy. Sam sprzet nie jest objęty klauzulą. Zagubienie nie stwarza zagrożenia bo poza tokenem trzeba znać PIN. Wyjęcie karty sim powoduje hard reset.

    • Połączenia CATEL idą prze Polkomtela. Czyli dosłownie usługa push to talk tylko, że wersja szyfrowana?

  20. Tak czy owak, niezależnie, czy zagubienie “zestawu łączności” jest bardzo znaczące, czy mniej znaczące, nie przysłania to faktu, że ekipa Komorowskiego vel. Kukunia to złodzieje i ignoranci, o czym świadczy pozostała część raportu.

    • masz do tego prawo i bardzo szanuję to Twoje prawo do kreowania własnych wypowiedzi… ale czy one na pewno są Twoje, na podstawie Twoich wniosków, na podstawie widzianych przez Ciebie dowodów i ustalonych przez Ciebie faktów?

      Bo ja mogę co najwyżej domniemywać czy było tak czy inaczej, czy jedni drugim świnie podkładają … a kto zniszczył dworek to poczytaj raporty NIK z 2007-2008… uwaga, możesz być zaskoczony …

    • Ktoś: Masz link? Chętnie poczytam.

  21. Ok. Gubie laptopa z głupim dostępem VPN do firmy i zgłaszam to dopiero przed końcem zatrudnienia – za coś takiego było by zwolnienie dyscyplinarne, ewentualnie jeszcze sprawa w prokuraturze.
    P.S. A jeżeli pan przewodniczący sprzedał te urządzenia wraz z pinami?

    • no nie przesadzaj, nikt tu nie pisze o laptopie ani o telefonie – ale o tokenie… i do tego ten telefon nie daje ci dostępu do podsłuchiwania cudzych rozmów tylko do zadzwonienia do kogoś kto tez ma taki telefon … więc jak chciałbyś ten telefon wykorzystać? Jeżeli jest dobrze zaprojektowany, to dostęp do jego materiału kryptogrficznego jest dobrze chroniony, ale nawet gdyby Ci się udało uzyskać ten materiał – to co chciałbyś nim zrobić? podsłuchiwać? czy łączyć się do tajnych baz? (których u nas nie ma a zbiory są najczęściej na papierze, lub w systemach offline w wydzielonych strefach…)

  22. maslan
    … a wziąć pisze się przez Ć a nie nie ŚĆ … nie wszytko można braŚĆ …

  23. Ginie (telefon plus domen) służący do szyfrowane komunikacji w zamkniętej sieci. Nie wiadomo piszesz jak długo i przez kogo jest przechowywany, a jedyne co zabezpiecza przed jego użyciem to kilkucyfrowy pin użytkownika(bo domen też zaginął). Czy niebezpiecznik na prawdę nie widzi tu zagrożenia i czy jak zginie wam karta do bankomatu to tego też nie zgadzacie, bo przecież chroni ją pin?

  24. @vanitas: To moze inna analogia. Zatrudniasz sie w firmie, dostajesz super-szyfrowanego pendrivea, ale nie potrzebujesz go akurat na swoim stanowisku sluzbowym, wrzucasz gdzies do szuflady i zapominasz. Po 5 latach odchodzis z firmy, prosza o zwrot prndrivea. Robisz ooops, nie wiesz gdzie go zapodziales. Zatem zglaszasz zaginiecie tego pendrivea. Zagadka: jaka date zaginiecia wpiszesz na protokole?

    • A jaka jest twoja odpowiedzialność za powierzony ci służbowy sprzęt, dostęp do zastrzeżonych informacji itd: – “Oj tam, oj tam, zgubiłem, to zgubiłem, na chooj drążyć”? A zagwarantujesz, że jełop z takim podejściem do sprawy nie zapisał sobie pinu/hasła na obudowie?
      Poza tym, to nie był sprzęt “awaryjny”, używany tylko na wypadek kataklizmu, tylko do normalnej, codziennej komunikacji na szczeblu rządowym. Marne szanse aby zaginął na 5 lat w szufladzie, bo czego inaczej używałby Szef Kancelarii i Szef Gabinetu Prezydenta – gadu-gadu?
      Może i nie da sie podsłuchiwać cudzych rozmów, ale skąd wiesz czy taki telefon nie ma dostępu do jakiejś tajnej skrzynki głosowej, wiadomości wysyłanych grupowo etc. Za takie “zgubienie” powinny być wyciągane poważne konsekwencje.

  25. Bardzo dobry artykuł, podobnie jak ten o bitcoinach. W pierwszej chwili myślę co za głupi news z tym że ISIS ma bitcoiny i to że koĺeś zgubił ten zestaw, jednak potem dokładnie opisujecie co i jak, podoba mi się ten poziom artykułów, a nie jakiś tabloidoy crap. Tak trzymać. Szkoda tylko, że nie ma autora, tylko taka odpowiedzialność zbiotowa – redakcja, bez sensu.

  26. Dziwi mnie troche dlaczego nie umieszczają w słuchawkach sprzętowego szyfrowania, dzwoni sie wybiera kod z klawiatury i bez opóźnień można sobie swobodnie rozmawiac. Czyżby był zakaz umieszczania ?

  27. Zadziwiają mnie niektóre komentarze dotyczące jakoby niby utrata systemu nie była ułatwiała jej “kompromitacji” – a czy na temat “enigmy” to lekcje odrobione ?
    Oczywiście, że utrata systemu jest mocno niebezpieczna – a tekst o tokenach czasowych itp to zdaje się ktoś zaczerpnął z np. LukasBank gdzie mniej – więcej tak to działa ale zdaje się że dla rozmów telefonicznych to chyba musi być odrobinę inaczej choćby z powodu zmian wartości na tokenie co 30sekund – a zdaje się rozmowy troszkę dłużej trwają. Ponadto, wygenerowanie drugiegoKlucza dla RSA np 128Bitów na komórce potrwałoby z dwa tygodnie, a to zdaje się nie do końca świadczy o kluczach jednorazowych – czyli bezpiecznych, z drugiej strony jeśli AES to symetryczny czyli problem z wymianą kluczy, no chyba, że baza kluczy jest na “zestawie” i tu już jest duuuuuuuuzy problem z bezpieczeństwem również innych użytkowników – dla których klucze są w “zestawie” i może z tego względu ograniczenia liczby użytkowników ….. Generalnie uważam, “a sie troche natym znam” że jest duży albo jeszcze większy problem …
    Pozdrawiam
    JJ

Odpowiadasz na komentarz Janusz

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: