13:17
1/12/2015

Rzeczpospolita informuje o artykule gen. Krzysztofa Bondaryka z listopadowego miesięcznika “Raport” (czy któryś z czytelników ma jego pełną treść? EDIT: podlinkowane w komentarzach, plus udało nam się namierzyć stronę tego pisma). Bondaryk, który w latach 2008-2013 był szefem ABW, a potem sprawował funkcję doradcy ds. cyberbezpieczeństwa w MON, ujawnia, że

“kilkaset konto zostało zhackowanych, m.in. pracowników Inspektoratu Uzbrojenia, pionu kadr, sekretariatu ministra obrony narodowej i poszczególnych członków ścisłego kierownictwa resortu. Ponadto kilkaset tysięcy wiadomości zostało skradzionych”

Bondaryk informuje, że “hakerzy bez zakłóceń działali co najmniej przez 4 lata od 2009 roku“, a ich efektem było pozyskanie informacji na temat stanowisk negocjacyjnych, notatek ze spotkań z partnerami NATO oraz szczegółów przetargów zbrojeniowych. Obawia się także, że na skutek niedawnych zmian w MON-ie, atakujący znów są górą i aktywnie penetrują sieć ministerstwa.

Z artykułu wynika, że wspomniany w artykule gen. Bondaryka incydent miał dotyczyć zarówno sieci jawnej (INTER-MON) jak i sieci niejawnej (MIL-WAN). Wiemy, że do skrzynek w sieci jawnej włamać się można “z internetu” (dokonał tego m.in. opisywany na naszych łamach Alladyn2) — nie wiemy jednak czy to o jego działaniach pisze Bondaryk, bo artykuł nie wskazuje bezpośrednio na “sprawców”.

Rzeczpospolita samodzielnie więc zastanawia się kto mógł stać za atakami — sugerując m.in. Rosjan. A prawda jest taka, że stać mógł każdy. Alladyn2 nie jest ani Rosjaninem, ani “sojusznikiem”, a zwykłym obywatelem. Nie ma też znaczenia, czy to MON, czy inna instytucja. Do każdej sieci można się włamać. Dlatego w dzisiejszych czasach najbardziej liczy się szybkie wykrycie incydentu i prawidłowa jego obsługa. A w tym akurat, MON należy pochwalić — włamanie w wykonaniu Alladyna2 z 2013 roku zidentyfikowano błyskawicznie, m.in. dzięki temu, że MON utrzymuje zespół MIL-CERT, oraz wprowadziło SRnIK (System Reagowania na Incydenty Komputerowe).

Artykuł (ten Rzeczpospolitej, nie gen. Bondaryka) zdaje się też mieszać różne incydenty — włamania do sieci niejawnej i incydenty w sieci MIL-WAN. Jeśli wierzyć znajomym wojskowym, do sieci MIL-WAN nie można się włamać “z internetu”, ani nawet z sieci intranetowej MON-u, gdyż obie sieci są odseparowane od siebie. W takim wypadku przyczyną najprawdopodobniej był nośnik zainfekowany złośliwym oprogramowaniem (np. na skutek podpinania go także do prywatnych komputerów wojskowych).

Z artykułu dowiemy się także, że polskie Siły Zbrojne korzystały z Blackberry (ujawniając tymsamym informacje producentowi systemu: Kanadzie) i poznamy twarze zwycięzców konkursu LockedShield oraz wiele ciekawostek związanych z powstawaniem NCK (Narodowego Centrum Kryptologicznego).

Aktualizacja 16:00
Od jednego z czytelników otrzymaliśmy trochę dodatkowych informacji na temat zabezpieczeń w MIL-WAN:

Generalnie jeśli chodzi o sieć mil-wan, do komputerów podłączonych do tej sieci nie wolno podłączać niezarejestrowanych pendrive’ów.
Każdy komputer posiada dodatkowo antywirusa, który zaciąga bazy wirusów z centralnego serwera z Warszawy.
Podłączenie pendrive’a, który jest zainfekowany jakimś syfem, który antywir wyłapuje, trigeruje momentalnie powiadomienia w Warszawie.
Później następuje cała procedura, co to za nośnik, dlaczego zainfekowany itd.
Skoro wskazujecie na taki wektor ataku, musiała to być podatność nieznana ówcześnie działającemu antywirusowi.

Aktualizacja 19:00
No i mamy kolejną informację “z pola walki” dot. sieci MIL-WAN:

Kilka słów komentarza do komentarza jednego z użytkowników: faktycznie obecnie komputery w sieci zastrzeżonej MIL-WAN pobierają aktualizację z sieci i wszystkie incydenty informatyczne (potocznie zwane podpinaniem niezarejestrowanych nośników do komputerów) są rejestrowane “w centrali” ale nie zawsze tak było. Wcześniej takie incydenty były rejestrowane “lokalnie” w jednostce wojskowej i nie trafiały “do centrali” więc zdarzało się że komputery były zainfekowane (zazwyczaj był to wirus autostartu, który po kliknięciu na ikonkę pendriva powodował ukrycie wszystkich plików na nim zawartych).
Ponadto system wymuszając zmianę hasła od niedawna wymusza na użytkownikach stosowanie bardziej skomplikowanych haseł zawierających małe, duże litery i znaki specjalne ale hasła mogą się powtarzać. Wystarczy, że w czasie kiedy system wymusi na użytkowniku zmianę hasła ten je zmieni na jakieś inna a następnie poprzez Panel sterowania zmieni hasło ponownie na to które miał poprzednio. Oczywiście często jest tak, że hasła do takich komputerów są mało skomplikowane. coś w stylu “1234QWER90-=

2.12.2015, 9:50
I kolejny komentarz z MON:

Jak już było wcześniej wspomniane przez kolegów, faktycznie istnieją mechanizmy zawiadamiające o podłączeniu niedozwolonego nośnika danych centralę w Warszawie. I znów faktycznie procedury wyjaśniające sprawę są prowadzone szybko i skutecznie. Jednak jak zwykle, słabym punktem zabezpieczeń jest błąd ludzki. Zacznijmy może od tego, że każdy pracownik czy to cywilny czy wojskowy przechodzi szkolenie o obchodzeniu się z informacjami niejawnymi, jednak z własnego doświadczenia wiem, że te szkolenia są prowadzone totalnie po łebkach, byle szybko załatwić sprawę i mieć podpisany papier, co skutkuje tym, iż zmiana hasła u Pani Krysi w kadrach sprowadza się do zmiany cyferki na końcu zgodnie z kalendarzem, albo co gorsza zmiana nazwy miesiąca + stały wzorzec. O naklejkach przypominajkach na monitorze nie wspomnę. Kolejnym słabym punktem jest wymiana informacji pomiędzy siecią jawną a niejawną. Odbywa się to poprzez nośniki USB zarejestrowane w systemie niejawnym. Każdy pracownik z dostępem do milwana posiada dwie stacje robocze – “tajny” i “normalny”. Wystarczy, że cracker dostanie się do komputera jawnego który zainfekuje wspomniany nośnik i wepnie go w komputer niejawny – operacja faktycznie zostanie zarejestrowana ale nie wzbudzi od razu większych podejrzeń. To że jest sito antywirusów nie oznacza, że nic się nie prześlizgnie..

PS. Przenieśliśmy post z *ptr na główną z racji dużej popularności.


Przeczytaj także:



54 komentarzy

Dodaj komentarz
  1. Nie rozumiem. Co da zainfekowanie malware’em z pendrive’a stacji roboczej w wydzielonej sieci? Chyba, że ta sieć jest “odseparowana inaczej”.

    • Przechwycone dane możesz zapisać na innym pendrive i gdy będzie on miał dostęp do “normalnej” sieci – wyśle dane do odpowiedniej osoby.

    • Może być chociażby pendrive z wbudowaną kartą SIM transmitujący wszystko co znajdzie malware.

    • No dobra.Ok,ale taki atak zdalny MOŻNA sensownie zaimplementować i przeprowadzić ? Już pomińmy ukrycie przed użytkownikiem wyniesienia danych porządnie (co pewnie wymagałoby przeprogramowania mikrokontrolera i może jakichś kombinacji z pamięcią – wymagałoby ?) ,ale taki wirus musiałby jeszcze wyszukać interesujące dane (zainfekowany pendrive nie musi mieć od razu 32 GB !) i nie zostać wykrytym w systemie. Pewnie,w teorii da się coś takiego zrobić (przynajmniej pod Windows).Ale w praktyce to chyba NIE JEST takie proste i poza NSA/CIA i Rosyjską Razwiedką nie powinno być takie łatwe ?

    • Wyjaśnienie: Poprzedni post był odpowiedzią na post użytkownika Grzegorz. W szpiegowskie sztuczki typu Pendrive z kartą SIM i problemy pozornej izolacji nie chcę wchodzić,moje pytanie to pytanie o możliwość ataku poprzez wirusowego agenta programowego działającego z pendrive. Mnie się to wydaje trochę przekombinowane.

  2. Ten kraj faktycznie tylko na papierze funkcjonował…

    • Chcesz powiedzieć, że za rządów PO krążyły wytyczne jak źle utrzymywać sieć, jak stosować złe polityki bezpieczeństwa, a teraz nagle wszystko się zmieni i będzie poprawnie? Mentalność ludzka też się zmieni?
      Bardzo to naiwne, wiesz?

  3. W artykule jest to wszystko lepiej wyjaśnione i wygląda na to, że sieć jest zainfekowana nadal (lol).

    Niektóre fotki trochę rozmyte, ale chyba się da przeczytać. Z góry przepraszam magazyn Raport, ponieważ to bardzo fajne czasopismo i takie wałki w MON opisuje regularnie :).

    http://imgur.com/a/neWSk

    • Mysle ze dosc duzo bzdurek w tym artykule i pochpnych wnioskow. Rzeczywistosc jest najczesciej troche bardziej skomplikowana. Z jednym sie zgadzam – najslabszym ogniwem jest zawsze czlowiek. Swoja droga ciekawe te zdjecie zespolu od LockedShields – z tego co pamietam, to zespoly mialy po +-10 osob, a na zdjeciu to chyba jest cala dywizja :)

  4. Może być chociażby pendrive z wbudowaną kartą SIM transmitujący wszystko co znajdzie malware.

  5. to ten nowy doradca..

  6. Z informacji ogólnodostępnych na necie wynika, ze pod mostem lazienkowskim (ten który niedawno sie spalil) biegły kable do MONu. Przypadegggg ??

  7. Kompy które przetwarzaja informacje EU/NATO restricted (zastrzeżone) nie mają USB, wszystkie dane trzeba przenosić na cd/DVD. Skoro taki wymóg jest przy Z, to przy Pf i wyżej wymogi bezpieczeństwa są jeszcze dalej posunięte.

    • Bzdury, MIL-WAN ma dopuszczenie do “Z” krajowego oraz międzynarodowego, tj. “NATO Restricted” oraz “UE Restricted”, co oznacza, że do wszystkich stacji stosuje się te same polisy zabezpieczeń.

      Tka jak wspomnieli poprzednicy – do niedawna w sieci MIL-WAN można było hulać z dowolnym pendrivem, niewiadomego, często prywatnego, pochodzenia. Teraz jest oprogramownaie, które blokuje nośniki niezarejestrowane. Jednakowoż nie rozwiązuje nadal innego istotnego problemu i słabego punktu – informacje wytworzone w ramach sieci MIL-WAN można bezproblemowo przenieść poza sieć, bez żadnych dodatkowych obostrzeń.

  8. W niektórych firmach są dwie sieci i są komputery które przepinają się między tymi sieciami zamieniając “kabelek” lub po prostu są podłączone dwie sieci do komputera i wyłączając i włączają połączenia sieciowe w PS.
    Odseparowana sieć to czasem tylko chłyt marketingowy :)

  9. Kilka razy spotkalem sie z ciekawa koncepcja w naszej kochanej budzetowce, ze “calkowicie odseparowane sieci” nie oznacza dedykowanej infrastruktury bez punku styku tylko zarzadzalnego switcha z 802.1q. I oni tak serio…

  10. Skoro sieć jest odseparowana od internetu to jak do cholery wyciekły z niej dane
    Pendrajw się odłączył przykręcił sobie nogi i wyszedł ?

  11. A później ludzie się dziwią, że Polska jest traktowana jak obywatel 2 kategorii w NATO.

  12. “…Jednak również w systemie niejawnym MIL-WAN w latach 2013–2014 obserwowano obecność złośliwego oprogramowania…”

    W świetle aktualizacji z 16:00 to już nie do końca wiadomo czy do infekcji doszło czy też nie.

    • Ta infekcja jest cos w stylu stuxnet. Przez zainfekowany pendrive.

  13. Ciekawe – co jest gorsze : to że trwało to aż tyle, czy to że nikt o tym nie wiedział w tym czasie, czy to, że dzieje sie to w takiej instytucji?

  14. Proponuję zmienić system SRnIK na nowy: SERnIK – System Ekspresowego Reagowania na Incydenty Komputerowe.

  15. A co w tej sytuacji zrobiłby Petru? ;-)

    • Wyniósłby co by mógł/\

  16. informatyk w WOGu 1500 zł a wy się dziwicie. Dobrze że można dorobić u ruskich

    • Oczywiście w kwestii “dorobienia” nie masz żadnych wątpliwości. Liczy się kasa? Gratuluje.

  17. Jakby zrobili symulację sieci MIL-WAN, to fajne hackme by z tego było ;). Wydawało mi się, że sieć tak poważnej instytucji jednak traktuje poważnie swoje bezpieczeństwo, a tutaj podobno kilka lat sobie ktoś zbierał informację na temat NATO…

  18. Nie chcę się wdawać w politykę, ale Pan Bondaryk ma chyba bardzo głęboki uraz wobec byłego kierownictwa i chyba nie przez przypadek a z zemsty ujawnia te informacje. I chociaż opisanie incydentu mógłbym zrozumieć, to samo wrzucenie zdjęcia zespołu jest już chyba sporą przesadą.

  19. Kilkaset kont…. szukanie dziur, podatności na ataki… a najsłabsze ogniwo tego łańcucha zawsze siedzi za klawiaturą. Często gęsto jest niezadowolone z pracy/płacy… i jakiś 6 zmysł mi podpowiada, że to raczej tędy droga.

  20. pytanie czemu oni robią bezpośrednio na kompach a nie na serwerach terminalowych lub czymś takim jak citrix ? w takim rozwiązaniu można co najwyżej łapać ekrany.

  21. Jak moze człowiek z mon pisać o szkoleniach z niejawnych że robione po łebkach skoro to wymóg ustawowy i jesli jest zle wykonywany to po D powinien dostać pełnomocnik OIN. U mnie w “firmie” szkolenie trwa 3-4 godziny i nie ma przebacz że sie komuś nie chce. Poza tym nie pojmuję jak mozna doprowadzać do sytuacji możliwości wpinania pendraków jawnych do systemów niejawnych. Tym bardziej ze nie ma to uzasadnienia bo nie ma za bardzo czego przenosic miedzy systemami. Chyba że ktoś swiadomie łamie przepisy i pisze na jawnym to co powinno byc pisane na klauzulowanym. O reagowaniu na incydenty to juz nawet szkoda słów…

  22. Odnoszę nieodparte wrażenie, że od dłuższego czasu nawet się nikt nie kryje z walką na najwyższych szczeblach. Podsłuchy, afery, skandale…

  23. Wypowiedź “iż zmiana hasła u Pani Krysi w kadrach sprowadza się do zmiany cyferki na końcu zgodnie z kalendarzem, albo co gorsza zmiana nazwy miesiąca + stały wzorzec” brak mi słów do osób które to piszą oczywiście nie zgodne z prawdą. Pozdrawiam

    • Oj, jak są ramy interoperacyjności wdrożone, wraz z zaleceniem zmiany hasła co miesiąc, to niestety bardzo popularną w urzędach praktyką jest 1 każdego miesiąca zmiana hasła na “Grudzień2015!”… Wykonując phishingi widzimy jakie hasła wpisują niektóre ofiary i ten szablon jest bardzo popularny. Nie ma się co dziwić – łatwo pracownikowi zapamiętać.

    • Polityka ustawiania haseł w tej sieci jest trochę bardziej skomplikowana.

  24. W ABW pracuja takie same orly. Podpieraja sie zespolem CERT od NASKu.

    • Bo ja wiem ? Prasówkę mają niby zacną: IT Professional, IT w administracji, Linux Magazine, Admin Magazine, Journal of Cryptography,Cryptologia, ,2600. (skąd wiem ? A tam – po wpadce lokalowej MSW z ciekawości przejrzałem BIP agentury ;> )

      Choć w praktyce nie wiemy, czy to czytają. Niby brzmią dobrze,choć pewny że coś to jest warte jestem tylko w przypadku 3 ostatnich i chyba tego IT Professional. Admin Magazine nie wydaje mi się aż tak dobry jeśli rzucić uwagę na ich stronę.

  25. 1. antywirus to takie samo zabezpieczenie, jak firanka w oknie – na byle przechodnia z ulicy, a nie atak celowany, więc żeby w ogóle o tym wspominać, to trzeba mieć cholernie niski poziom ogólny zabezpieczeń.

    2. polityka zmiany haseł – zaraz zaraz, jeszcze raz czego – HASEŁ?! Poważnie?! Hasłem to można zabezpieczyń dzienniczek ucznia w gimnazjum, a nie poważne dane. Nie odkryję chyba Ameryki, gdy przeprowadzę pewne wnioskowanie:
    a) ludzie, szczególnie nietechniczni i szczególnie wtedy, gdy dane nie są ICH własne, mają w dupie jakość hasła (i ogólnie zabezpieczeń),
    b) skomplikowane hasło da się zapamiętać jedno – gdyby ktoś się na prawdę przyłożył lub został przekonany do tego (poprzez mechanizm ‘wielkie litery, znaki specjalne’ itd.),
    c) nawet najbardziej skomplikowane hasło zostanie zniweczone, gdy pracownik z grupy ‘b’ zostanie zaatakowany przez drugą politykę bezpieczeństwa (‘zmiana co miesiąc’) – zaczyna się enumeracja haseł,
    d) poprawnie zrealizowana polityka regularnej zmiany hasła powinna liczyć metryki względem kilku poprzednich haseł, aby uniemożliwić jakąkolwiek rotację (‘to teraz wpisuję nowe superskomplikowane, a zaraz wracam do poprzedniego’ lub ‘nowy miesiąc, nowe cyferki’) – to wymaga trzymania haseł w formie odtwarzalnej do pełnego tekstu, celem liczenia np. odstępu Hamminga.
    e) inaczej projektujemy zabezpieczenia, gdy użytkownik może utracić swoje dane i to będzie jego problem (sam niech dba o jakość hasła), a inaczej, gdy pracuje na NASZYCH dancyh i to będzie nasz problem, gdy jego konto zostanie przejęte.

    A i B lub C lub D oznacza, że system haseł jest z natury rzeczy (nie tylko ludzi!) niebezpieczny, niezależnie od E. Podobne wnioskowanie można przeprowadzić dla każdej innej metody ograniczania dostępu, dlatego też należy stosować wszystkie łącznie, w tym także takie, które identyfikują terminal (wersja oprogramowania, adres IP) czy przykładowo ‘posiadacza’. I tego ostatniego mi tutaj szczególnie brakuje – klucza sprzętowego (np. podpisującego zgłoszenie o ticket do systemu AAA) czy chociażby głupiego tokena generującego OTP. Ten klucz powinien być używany w systemie RCP, aby aktywny był tylko wtedy, gdy pracownik jest w budynku, gdzie wykonuje pracę (dostęp spoza potrzebuje tylko mała część pracowników).

    Da się zaprojektować porządne zabezpieczenia, ale się tego zwykle nie robi, gdyż na przeszkodzie stoją:
    1. szefowie – ‘ja nie będę tego nosił’ albo ‘ile to ma kosztować?!’ albo ‘weź zmień tam lepiej obrazek na stronie’,
    2. prawo – ‘hasło MUSI być zmieniane’,
    3. niestety, ale – sami projektanci systemów zabezpieczeń. Nie czują tego tematu i wydaje im się, że antywirus to jest jakiekolwiek zabezpieczenie. A jednocześnie nie implementują zabezpieczeń ‘łatwych’ do obejścia, typu GeoIP czy wręcz rejestrowanie numerów AS sieci, z których konkretni pracownicy mają dostęp (gdy ktoś potrzebuje z domu, to sprawdzamy jakiego ma operatora i dopisujemy, albo wręcz wykupujemy mu usługę stałego adresu IP; BGP hijacking nie jest ani tak prosty, jak się wydaje, ani nie przejdzie niezauważony – zamiast tego trzeba się fizycznie wpiąć w sieć operatora, ale tego samego adresu publicznego nam nie sprzeda; to zabezpieczenie JEST trudne do obejścia). Zamiast tego robi się VPN-a i ‘mamy bezpiecznie’.

    Tak na prawdę wszystkie te wymagania prawne określają tylko pewne ramy zabezpieczeń, jakie należy stosować, ale każde z nich może być wdrożone prawidłowo lub nie. Niestety wielu ludziom się wydaje, że to jest gotowa recepta, albo gorzej – checklista do odznaczenia.

    • Smutna prawda. Dodałbym jeszcze że świadomość osób jest tragicznie niska – i to od góry do dołu z wyjątkami, które tylko wrzodów mogą się nabawić z tego powodu.

      Bo raz, że “kto się będzie włamywać do nas”, dwa “a po co komu moje/nasze dane”, trzy “to drogie”, cztery – “to skomplikowane”…

      Właśnie teraz w jednej placówce wdrażam tokeny jako metodę autoryzacji połączoną z kontrolą stref dostępu, goście tam robiący w IT mają pojęcie i się im chce. W drugim, podobnym podmiocie z którym współpracuję, podsuwam pomysł – i delikatnie sugeruję, aby może zdjąć hasła typu “basia13” na rzecz tokenów – słyszę aby “spi…” bo nie ma pieniędzy. Pytam kiedy dostęp z WAN do serwerów będzie po VPN – jako że samo RDP to kpiny, słyszę aby spier… bo nikt się nie będzie szarpał z VPNami srami itd… mnie osobiście to wali – to nie mój problem, nie moja odpowiedzialność – ale się zastanawiam jak daleko posuniętym trzeba być ignorantem – analfabetą – aby nie rozumieć pewnych rzeczy, które nie są aż tak trudne…

  26. “Generalnie jeśli chodzi o sieć mil-wan, do komputerów podłączonych do tej sieci nie wolno podłączać niezarejestrowanych pendrive’ów.”

    A co to daje? Ewidencjonowanie sprzętu nie zabezpiecza sieci przed infekcją.

    “Podłączenie pendrive’a, który jest zainfekowany jakimś syfem, który antywir wyłapuje, trigeruje momentalnie powiadomienia w Warszawie.”

    “trigeruje” zamiast odrazu blokować go w sieci Good Job!

    “Później następuje cała procedura, co to za nośnik, dlaczego zainfekowany itd.”

    Którą pewnie wypełnia Karyna… z pomocą jakiegoś informatyka. Genialne! Zamiast zbadać nośnik w “laboratorium” środowisku do tego przystosowanym.

    “Skoro wskazujecie na taki wektor ataku, musiała to być podatność nieznana ówcześnie działającemu antywirusowi”
    No tak to wyjaśnia wszystko i usprawiedliwia całą akcję. Wszelkiego rodzaju ataki zazwyczaj są możliwe dzięki nie znanym lukom w systemie. Jeżeli bazujecie tylko na antywirusie to nie mam pytań.
    “Ponadto system wymuszając zmianę hasła od niedawna wymusza na użytkownikach stosowanie bardziej skomplikowanych haseł…”

    Nawet nie chce się tego czytać/słuchać… może warto stosować:
    http://imgs.xkcd.com/comics/password_strength.png

    “Oczywiście często jest tak, że hasła do takich komputerów są mało skomplikowane. coś w stylu “1234QWER90-=”

    Bo to bardziej utrudnienie dla użytkownika niż zabezpieczenie…

    “I znów faktycznie procedury wyjaśniające sprawę są prowadzone szybko i skutecznie.”

    Who the fak care? Procedury wyjaśniające lekiem na zainfekowaną sieć? Trojan śmiga po waszych kompach, a wy przeprowadzacie “ankiety” wyjaśniające wśród użytkowników? Jessus…

    “Zacznijmy może od tego, że każdy pracownik czy to cywilny czy wojskowy przechodzi szkolenie o obchodzeniu się z informacjami niejawnymi…”

    xD śmiechu warte…

    “…szkolenia są prowadzone totalnie po łebkach, byle szybko załatwić sprawę i mieć podpisany papier…”

    Tym stwierdzeniem poprzednie zdanie autora padło w gruzach… Jeśli robicie szkolenie byleby podpisać papier to nie argumentuj tego “Zacznijmy może od tego, że każdy pracownik czy to cywilny czy wojskowy przechodzi szkolenie…”

    “zmiana hasła u Pani Krysi w kadrach sprowadza się do zmiany cyferki na końcu zgodnie z kalendarzem”
    Dlaczego Pani z kadr działa w tej samej sieci co reszta pracowników działów/pionów? Takie działy jak kadry, sprzątaczki, ochrona(rotfl obiekty wojskowe są chronione przez agencje ochrony) itp. należy traktować jako “obce” potencjalne niebezpieczne, bez dostępu do sieci MON.
    “…Kolejnym słabym punktem jest wymiana informacji pomiędzy siecią jawną a niejawną. Odbywa się to poprzez nośniki USB zarejestrowane w systemie niejawnym. Każdy pracownik z dostępem do milwana posiada dwie stacje robocze – “tajny” i “normalny”. Wystarczy, że cracker dostanie się do komputera jawnego który zainfekuje wspomniany nośnik i wepnie go w komputer niejawny – operacja faktycznie zostanie zarejestrowana ale nie wzbudzi od razu większych podejrzeń. ”

    Jaki jest więć sens posiadania dwóch komputerów “tajny” i “normalny” skoro oba są obięte ochroną przez ten sam antywirus… (prawdopodobnie przez symantec – wiadomo dlaczego -.- )? Rozumiem, że ten “tajny” jest wpięty do “sieci” wewnętrznej, bez dostępu do internetu? I jest to “terminal”? I nie korzystacie z produktów ms (haha pewnie, że korzystacie wiadomo dlaczego -.-)? W przeciwnym wypadku jaki jest tego wszystkiego sens… wtf?

  27. Panowie, apeluję do Was nie wypisujcie żadnych danych na temat zastrzeżonej sieci MIL-WAN. Wymieniacie jej słabości itd. O pewnych rzeczach co się dzieję wewnątrz nie musi wiedzieć cały świat.
    Pozdrawiam

    • Minister zaczął. A dla Rosjan to i tak nie jest tajemnica. Security by obscurity nie jest dobrą metodą zabezpieczeń.

    • “Security by obscurity nie jest dobrą metodą zabezpieczeń”

      Jest. Równie dobrą/słabą, jak stosowanie haseł.

      Bo choćby opóźniło atak o godzinę, to jest to dodatkowa godzina dla zespołu reagowania na incydenty. Bo osobna sprawa to poleganie na SbO, a osobna jego niedocenianie – po profesjonaliście Piotrze bym się tego nie spodziewał. Domu też nie zamykasz, bo złodzieje wchodzą przez bramę garażową? Przecież taki zamek to SbO – ukryta jest bardzo mała entropia, a pewnie dobrej klasy sprzętem foto można by podejrzeć układ nacięć i odtworzyć klucz. To po co zamykasz drzwi?

      Odpowiem – zamykasz, żeby byle łachudra nie weszła po laptopa. I tak samo SbO na dzień dobry wyeliminuje byle łachudrę, która wejdzie w posiadanie jakiegoś hasła, tokena czy 0-daya. Jeżeli rekonesans nie ma znaczenia, to po co tyle narzędzi do tego powstaje? Przecież wystarczy wysłać wniosek o dostęp do informacji publicznej – w sądzie udowodnisz, że nie jest to warte ochrony i dostaniesz. A może opublikujesz projekt swoich zabezpieczeń w domu? Przecież od tego, że złodziej pozna lokalizację czujek, nic nie ryzykujesz.

      Bezwartościowość SbO to największy mit tej branży. Większy, niż ‘siła hasła’.

    • Trochę się z gotarem musze zgodzić.
      Nieznajomość zabezpieczeń jest jakimś zabezpieczeniem. Czasem (a w sumie często) można usłyszeć skrobanie i zareagować. Po to m.in są robione skany sieci – i odpowiedzi adminów typu Fail2Ban etc. Gdyby atakujący wiedzieli jakie są usługi, system, zabezpieczenia, etc. to pukaliby nakierowanym exploitem zamiast skanować – a tak to się nacieli na Fail2Ban’a i po ptokach – jedni chwilowo, inni na amen.

    • @Gotar:
      ““Security by obscurity nie jest dobrą metodą zabezpieczeń”
      Jest. Równie dobrą/słabą, jak stosowanie haseł.
      Bo choćby opóźniło atak o godzinę, to jest to dodatkowa godzina dla zespołu reagowania na incydenty.”

      W tym przypadku ? Czyżby ? Powiem tak. Większość tych rzeczy jest absolutnie DO PRZEWIDZENIA w przypadku tego rodzaju rządowych sieci. Takie dane ułatwiają może odrobinę sam atak i zwiększają jego prawdopodobieństwo w przypadku “byle kogo” – ale w kwestii zapewnienia jego bezkarności są bezwartościowe.

      PK ma dużo racji.SbO jest niebezpieczne w takich wypadkach.Nie dlatego,że to nie jest kolejna warstwa ochrony.Teoretycznie – na byle kogo – jest. Problemem jest jednak nie samo SbO,a WIARA W SbO. Problem polega na tym,że ta godzina o której mówi gotar tylko teoretycznie jest zyskaną – w przypadku byle kogo.Tylko jednocześnie w przypadku dobrze przygotowanego napastnika może być godziną straconą,admin może mieć bowiem fałszywy komfort.Głównym problemem nie są przypadkowe osoby…

      Ponieważ problem staje się jeszcze poważniejszy gdy “nie ma widocznych ataków”. Co to daje ? We własnym domu możesz owszem zrobić co chcesz – zabezpieczając cudzą firmę musisz jednak pamiętać,że Z REGUŁY CIĘTE SĄ KOSZTY.RÓWNIEŻ KOSZTY BEZPIECZEŃSTWA.Co to oznacza chyba nie muszę tłumaczyć. Stare podejście “mam zamek to po co zabezpieczać dodatkowo garaż”…

      Ujawnianie wad sieci ma zatem pewnie pozytywny cel.Zachęcić szefów do zmiany niebezpiecznych praktyk.Najpewniej niewiele to da,lecz co adminom zostało ?

    • Dokładnie. Informacje o systemie mającym znaczenie (mniejsze lub większe, ale jednak) dla obronności państwa publikuje portal, który traktuje o bezpieczeństwie. Z waszej nazwy powinna zniknąć litera k, wtedy by się zgadzało.

    • Te domene tez mamy.

    • O jakiej my tu tajemnicy rozmawiamy, wystarczy poczytać BIP i wiadomo jakie oprogramowanie jest stosowane. Przykre ale wychodzi na to, że byle bank z poza pierwszej 20-stki ma lepsze zabezpieczenia bo trzyma go za mordę KNF. Jak sobie przypomnę wymagania dla kancelarii tajnej i zestawie to z opisywaną siecią to i śmieszno i straszno. I po co te dedykowane światłowody, dublowane stacje, VPN-y, strażnicy z bronią na bramie jak byle półdebil uzbrojony w pendriva może pół jednostki rozłożyć. No tak, zawsze zostaje papier, ołówek, finka, granat i czołg ale czy w XXI wieku tak na pewno będą wyglądały przyszłe wojny!? Parafrazując klasyka, armia istnieje teoretycznie…

  28. Zeby chronić to trzeba mieć co ! Stan polskiej armii jest powszechnie znany . Chciałbym mieć przekonanie iż sami żołnierze są postrzegani inaczej niż cała organizacja WP, ale jak się domyślam jestem w błędzie. Podobno ryba psuje się od głowy, patrzcie przetargi. Z burdelami jest tak że pomimo iż są obiektami tajnymi to każdy taksówkarz wie gdzie są nawet jeżeli indywidualni lokalni patryjoci myślą inaczej. 25 lat postsocjalizmu zabiło w Pani Krysi poczucie że chroni coś większego niż własne krzesełko,a przecież bez Pani Krysi nie ma to sensu to całe bezpieczeństwo. Zapytajcie żołnierza i Panią Krysię czy jest co chronić … bo może spinanie się Panów od bezpieczeńswa stoi w sprzeczności z całym organizmem.

  29. @kez87

    Pełna zgoda. Mówenie “nie dyskutujmy tematu bo to pomoże ‘wrogom'” powoduje, że nasi dzielni cyberwojowie mają poczucie, że “nikt o tym nie gada w internecie – więc niczego nie poprawiajmy, i nie ma problemu”.

    A błędy w oprogramowaniu i w dizajnie istnieją, bo, uwaga – tautologia, istnieją, a nie, że ktoś publicznie o tym mówi.

  30. przypomniej hasło i wklej na facebook
    Pozosta³e pos³anki i pos³owie

    iwona.arent@sejm.pl
    urszula.augustyn@sejm.pl
    anna.bankowska@sejm.pl
    beata.bublewicz@sejm.pl
    bozenna.bukiewicz@sejm.pl
    joanna.fabisiak@sejm.pl
    magdalena.kochan@sejm.pl,
    magdalena.gasior-marek@sejm.pl
    agnieszka.kolacz-leszczynska@sejm.pl

    domicela.kopaczewska@sejm.pl
    ewa.malik@sejm.pl
    maria.nowak@sejm.pl,
    miroslawa.nykiel@sejm.pl
    krystyna.pawlowicz@sejm.pl
    danuta.pietraszewska@sejm.pl
    teresa.piotrowska@sejm.pl
    agnieszka.pomaska@sejm.pl
    bozena.slawiak@sejm.pl
    bozena.szydlowska@sejm.pl
    jadwiga.wisniewska@sejm.pl
    ewa.wolak@sejm.pl
    marzena.wrobel@sejm.pl
    jadwiga.zakrzewska@sejm.pl
    maria.zuba@sejm.pl
    ewa.zmuda-trzebiatowska@sejm.pl
    leszek.aleksandrzak@sejm.pl
    waldemar.andzel@sejm.pl
    tadeusz.aziewicz@sejm.pl
    krzysztof.brejza@sejm.pl
    jerzy.budnik@sejm.pl
    jan.bury@sejm.pl
    piotr.chmielowski@sejm.pl
    piotr.cieslinski@sejm.pl
    eugeniusz.czykwin@sejm.pl
    andrzej.dera@sejm.pl
    jerzy.fedorowicz@sejm.pl
    stanislaw.gawlowski@sejm.pl
    john.godson@sejm.pl
    artur.gorski@sejm.pl
    biuro@czeslawhoc.pl
    tadeusz.iwinski@sejm.pl
    dawid.jackiewicz@sejm.pl
    michal.jaros@sejm.pl
    mariusz.jedrysek@sejm.pl
    roman.kaczor@sejm.pl
    ryszard.kalisz@sejm.pl
    mieczyslaw.kasprzak@sejm.pl
    jan.kazmierczak@sejm.pl
    adam.kepinski@sejm.pl
    zbigniew.konwinski@sejm.pl
    henryk.kowalczyk@sejm.pl
    slawomir.kowalski@sejm.pl
    lukasz.krupa@sejm.pl
    marek.kuchcinski@sejm.pl
    tomasz.lenz@sejm.pl
    mieczyslaw.luczak@sejm.pl
    maciej.mroczek@sejm.pl
    arkadiusz.mularczyk@sejm.pl
    jacek.najder@sejm.pl
    slawomir.neumann@sejm.pl
    tomasz.nowak@sejm.pl
    marek.opiola@sejm.pl
    ostroartur@wp.pl
    stanislaw.ozog@sejm.pl
    pawel.papke@sejm.pl
    jaroslaw.pieta@sejm.pl
    dariusz.piontkowski@sejm.pl
    kazimierz@plocke.pl
    marek.plura@sejm.pl
    piotr.polak@sejm.pl
    adam.rybakowicz@sejm.pl
    zbigniew.rynasiewicz@sejm.pl
    dariusz.seliga@sejm.pl
    edward.siarka@sejm.pl
    biuro@siedlaczek.pl
    tomasz.smolarz@sejm.pl
    franciszek.stefaniuk@sejm.pl
    michal.szczerba@sejm.pl
    stanislaw.szwed@sejm.pl
    kontakt@tomaszszymanski.pl
    marcin.swiecicki@sejm.pl
    ryszard.terlecki@sejm.pl
    biuro@tadeusztomaszewski.pl
    cezary.tomczyk@sejm.pl,
    robert.tyszkiewicz@sejm.pl
    jan.warzecha@sejm.pl
    marcin.witko@sejm.pl
    norbert.wojnarowski@sejm.pl
    marek.wojtkowski@sejm.pl
    grzegorz.wozniak@sejm.pl

    Senatorzy

    kontakt@jerzychroscikowski.pl
    poczta@stanislawgorczyca.pl
    biuro.senatorskie@hotmail.com
    biuro@ryszardgorecki.pl
    senator.gorski@neostrada.pl
    biuro@grubskimaciej.pl
    biuro@iwan.senat.pl
    biuro.kilian@wp.pl
    andrzej@kobiak.plbiuro@kraska.home.pl

  31. Poniżej link do artykułu w “czytelnej” wersji

    http://www.altair.com.pl/news/view?news_id=18223

  32. Przez cztery lata nikt nie zauważył że jest wirus ??? Zwolnić wszystkich informatyków od sieci i przeprowadzić na nich badania wariografem czy nie szpiegują dla innego kraju.

    • Ot, powiedział co wiedział.
      Wszystkich czyli ilu? Masz kolego świadomość jak liczna jest ta grupa?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: