Hlavní navigace

Sněmovna přestala mlžit: Co skutečně stojí za pornem na psp.cz a únikem dat?

Daniel Dočekal

Za červnový incident na webu Poslanecké sněmovny opravdu nemohou hackeři. A zářijové zveřejnění údajů o poslancích a senátorech je jeho přímým důsledkem. Mluvili jsme s pracovníky sněmovního IT a mám jejich verzi, jak k oběma událostem došlo.

Když v polovině září Anonymous zveřejnili sadu údajů o českých poslancích, uvedli, že jde o data získaná ze stránek Poslanecké sněmovny. Zajímalo nás, zda odpovědní lidé ve sněmovně tuší, odkud údaje pocházejí, a zda nejde o data z červnového bezpečnostního incidentu na jejím webu. 

Mluvčí Roman Žamboch na otázky k naší zprávě odmítl odpovědět a reagoval návrhem na osobní schůzku, na které chtěl poskytnout i více informací k původnímu incidentu i „novému“ úniku informací. Vydali jsme se tedy „na místo činu“, kde jsme se kromě několika extravagantních vyjádření (například, že ředitel tiskového odboru „není tiskový mluvčí a nemusí se vyjadřovat“ – to když jsme chtěli vědět, proč v případě zářijového „úniku“ odmítl odpovědět na naše otázky – nebo že se mu „nelíbí jak o Sněmovně píšeme“) dozvěděli i několik nových informací týkajících se jak zářijového „úniku“, tak červnové aféry. Je důležité zdůraznit, že jde o verzi těch, kteří původní bezpečnostní incident způsobili. Verzi, která nicméně vypadá velmi pravděpodobně.

Připomeňme, že se letos v červnu ukázalo, že web www.psp.cz zpřístupňuje poměrně velké množství velmi různorodých souborů. Vedle jinak veřejně dostupných dokumentů Sněmovny se na serveru nacházely i volně dostupné zdrojové kódy webu, certifikáty k bankovnictví, warez, hudba, filmy či software ASPI. Ale také soubory s přihlašovacími údaji a nějaké ta osobní fotografie, videa a pornografie. 

Okolo „porna na psp.cz“ se v médií objevila řada článku a sněmovna tehdy nezvládala komunikaci. Vše vyvrcholilo tím, že Sněmovna mlžila a tvrdila, že porno je od hackerů. Včetně toho, že mluvčí popíral, že by na webu psp.cz vůbec nějaké porno bylo (viz Porno na PSP.cz? Pár dalších poučení z této kauzy).

Hackeři? Ne, záloha na síťový disk

Co nového tedy víme? Především: „nový“ únik ze září byl – jak jsme předpokládali – pouze využitím toho, co bylo na bylo z psp.cz možné získat už v červnu. „Anonymous“ soubory s přihlašovacími údaji, e-maily, telefony a adresami v září pouze zveřejnili. A to včetně částečně chybné identifikace, protože jeden ze souborů pocházel ze Senátu. Podle lidí z IT oddělení Sněmovny, kteří se schůzky také účastnili, šlo o data automaticky předávaná mezi Sněmovnou a Senátem. Potvrdilo se také to, že šlo o data poměrně stará. Až tak stará, že je nyní obtížné i přijít na to, o co se konkrétně jednalo. Data navíc neobsahovala nic, co by nebylo veřejně přístupné – s výjimkou hashů, které mohou (ale nemusí) pocházet z hesel (na což jsou dost krátká).

Co se červnového úniku dat týče, je – na rozdíl od směšné historky o hackerech - vysvětlení sněmovních IT až tak prosté, že mu zřejmě skutečně lze věřit. V polovině května měl podle nich webový server psp.cz technické potíže a docházelo k zálohování na síťový disk, který ale nebyl oddělený od prostoru přístupného uživatelům. Na stejný disk navíc jeden z techniků udělal zálohu uživatelských dat z notebooku. který právě reinstaloval. Právě tímto způsobem se měla na disk dostat osobní data. A pak už stačila jenom další chyba: technik nechal tuto část diskového pole „připojenou“ k webovému prostoru a volně přístupnou pro procházení.

Není zcela jasné, jak se k takto zpřístupněnému obsahu (šlo zhruba o jeden terabajt data) dostal Google, ale každopádně tento obsah zaindexoval. Tak si souborů všiml server www.soom.cz a posléze se vše dostalo na Lupu a do dalších médií. Nutno dodat že mezi zaindexováním v Google a mediální smrští uplynulo možná i několik týdnů.

Kdo to zavinil

Sněmovně se podařilo data otevřená světu skrýt až několik hodin poté, co už se jimi stihl pobavit snad celý český internet. Částečně také proto, že jediný člověk schopný něco takového udělat měl právě dovolenou. A shodou okolností to byl také člověk, který celý incident zavinil. Mimochodem – ve Sněmovně pracuje dál, na schůzce byl přítomen a za své selhání byl postižen finančně.

Sněmovna poté celý „nový“ web odstavila a zpřístupnila pouze náhradní statické řešení – jedním z důvodů bylo i to, že unikly kompletní zdrojové kódy a nebylo tedy jasné, jestli někde není „něco“, co by skutečně mohlo umožnit přístup na web zvenčí. Hlavní obava ve Sněmovně přitom panuje z případného zasahování do dat hlasování a dokumentů.

Sněmovní web vzniká interním programováním a jde o kolekci aplikací a skriptů, které za sebou mají nějakých 10 – 15 let postupného vývoje, včetně toho, že aplikace například doposud používala (dnes již hodně staré) SQ/w, se všemi typickými průvodním jevy. Externí dodavatel zajišťuje pouze grafiku webu.

START17

Co našla policie

Výsledek červnového incidentu je ten, že Sněmovna web odstavila, vývojáři vše podstatné napsali znovu a proběhl bezpečnostní audit. Ten, podle informací ze schůzky, „něco malého našel“ – o co konkrétně jde ale zástupci Sněmovny neprozradili. Kdo do dneška nic nenašel, je Policie ČR – samotný červnový únik nešetřila (pochopitelné, viník byl znám a potrestán interně) a u pozdějšího DDoS útoku si vyžádala logy serveru. Ale zatím s ničím nepřišla.

Červnový bezpečnostní incident má jeden pozitivní dopad. Sněmovně se podařilo získat víc peněz na zabezpečení webu a posílit rozpočet v této oblasti. Do konce roku by měl být web zcela funkční včetně všech vlastností, které měly být hotové už v době prvního incidentu. A pokud jsem to správně pochopil, IT tým posílil o jednoho člověka.

Našli jste v článku chybu?