Hlavní navigace

Sněmovna přestala mlžit: Co skutečně stojí za pornem na psp.cz a únikem dat?

Daniel Dočekal

Za červnový incident na webu Poslanecké sněmovny opravdu nemohou hackeři. A zářijové zveřejnění údajů o poslancích a senátorech je jeho přímým důsledkem. Mluvili jsme s pracovníky sněmovního IT a mám jejich verzi, jak k oběma událostem došlo.

Když v polovině září Anonymous zveřejnili sadu údajů o českých poslancích, uvedli, že jde o data získaná ze stránek Poslanecké sněmovny. Zajímalo nás, zda odpovědní lidé ve sněmovně tuší, odkud údaje pocházejí, a zda nejde o data z červnového bezpečnostního incidentu na jejím webu. 

Mluvčí Roman Žamboch na otázky k naší zprávě odmítl odpovědět a reagoval návrhem na osobní schůzku, na které chtěl poskytnout i více informací k původnímu incidentu i „novému“ úniku informací. Vydali jsme se tedy „na místo činu“, kde jsme se kromě několika extravagantních vyjádření (například, že ředitel tiskového odboru „není tiskový mluvčí a nemusí se vyjadřovat“ – to když jsme chtěli vědět, proč v případě zářijového „úniku“ odmítl odpovědět na naše otázky – nebo že se mu „nelíbí jak o Sněmovně píšeme“) dozvěděli i několik nových informací týkajících se jak zářijového „úniku“, tak červnové aféry. Je důležité zdůraznit, že jde o verzi těch, kteří původní bezpečnostní incident způsobili. Verzi, která nicméně vypadá velmi pravděpodobně.

Připomeňme, že se letos v červnu ukázalo, že web www.psp.cz zpřístupňuje poměrně velké množství velmi různorodých souborů. Vedle jinak veřejně dostupných dokumentů Sněmovny se na serveru nacházely i volně dostupné zdrojové kódy webu, certifikáty k bankovnictví, warez, hudba, filmy či software ASPI. Ale také soubory s přihlašovacími údaji a nějaké ta osobní fotografie, videa a pornografie. 

Okolo „porna na psp.cz“ se v médií objevila řada článku a sněmovna tehdy nezvládala komunikaci. Vše vyvrcholilo tím, že Sněmovna mlžila a tvrdila, že porno je od hackerů. Včetně toho, že mluvčí popíral, že by na webu psp.cz vůbec nějaké porno bylo (viz Porno na PSP.cz? Pár dalších poučení z této kauzy).

Hackeři? Ne, záloha na síťový disk

Co nového tedy víme? Především: „nový“ únik ze září byl – jak jsme předpokládali – pouze využitím toho, co bylo na bylo z psp.cz možné získat už v červnu. „Anonymous“ soubory s přihlašovacími údaji, e-maily, telefony a adresami v září pouze zveřejnili. A to včetně částečně chybné identifikace, protože jeden ze souborů pocházel ze Senátu. Podle lidí z IT oddělení Sněmovny, kteří se schůzky také účastnili, šlo o data automaticky předávaná mezi Sněmovnou a Senátem. Potvrdilo se také to, že šlo o data poměrně stará. Až tak stará, že je nyní obtížné i přijít na to, o co se konkrétně jednalo. Data navíc neobsahovala nic, co by nebylo veřejně přístupné – s výjimkou hashů, které mohou (ale nemusí) pocházet z hesel (na což jsou dost krátká).

Co se červnového úniku dat týče, je – na rozdíl od směšné historky o hackerech - vysvětlení sněmovních IT až tak prosté, že mu zřejmě skutečně lze věřit. V polovině května měl podle nich webový server psp.cz technické potíže a docházelo k zálohování na síťový disk, který ale nebyl oddělený od prostoru přístupného uživatelům. Na stejný disk navíc jeden z techniků udělal zálohu uživatelských dat z notebooku. který právě reinstaloval. Právě tímto způsobem se měla na disk dostat osobní data. A pak už stačila jenom další chyba: technik nechal tuto část diskového pole „připojenou“ k webovému prostoru a volně přístupnou pro procházení.

Není zcela jasné, jak se k takto zpřístupněnému obsahu (šlo zhruba o jeden terabajt data) dostal Google, ale každopádně tento obsah zaindexoval. Tak si souborů všiml server www.soom.cz a posléze se vše dostalo na Lupu a do dalších médií. Nutno dodat že mezi zaindexováním v Google a mediální smrští uplynulo možná i několik týdnů.

Kdo to zavinil

Sněmovně se podařilo data otevřená světu skrýt až několik hodin poté, co už se jimi stihl pobavit snad celý český internet. Částečně také proto, že jediný člověk schopný něco takového udělat měl právě dovolenou. A shodou okolností to byl také člověk, který celý incident zavinil. Mimochodem – ve Sněmovně pracuje dál, na schůzce byl přítomen a za své selhání byl postižen finančně.

Sněmovna poté celý „nový“ web odstavila a zpřístupnila pouze náhradní statické řešení – jedním z důvodů bylo i to, že unikly kompletní zdrojové kódy a nebylo tedy jasné, jestli někde není „něco“, co by skutečně mohlo umožnit přístup na web zvenčí. Hlavní obava ve Sněmovně přitom panuje z případného zasahování do dat hlasování a dokumentů.

Sněmovní web vzniká interním programováním a jde o kolekci aplikací a skriptů, které za sebou mají nějakých 10 – 15 let postupného vývoje, včetně toho, že aplikace například doposud používala (dnes již hodně staré) SQ/w, se všemi typickými průvodním jevy. Externí dodavatel zajišťuje pouze grafiku webu.

Co našla policie

Výsledek červnového incidentu je ten, že Sněmovna web odstavila, vývojáři vše podstatné napsali znovu a proběhl bezpečnostní audit. Ten, podle informací ze schůzky, „něco malého našel“ – o co konkrétně jde ale zástupci Sněmovny neprozradili. Kdo do dneška nic nenašel, je Policie ČR – samotný červnový únik nešetřila (pochopitelné, viník byl znám a potrestán interně) a u pozdějšího DDoS útoku si vyžádala logy serveru. Ale zatím s ničím nepřišla.

Červnový bezpečnostní incident má jeden pozitivní dopad. Sněmovně se podařilo získat víc peněz na zabezpečení webu a posílit rozpočet v této oblasti. Do konce roku by měl být web zcela funkční včetně všech vlastností, které měly být hotové už v době prvního incidentu. A pokud jsem to správně pochopil, IT tým posílil o jednoho člověka.

Našli jste v článku chybu?
Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem