Kilka tygodni temu świat obiegła informacja, że producent znanych antywirusów, firma Kaspersky, mogła wykradać dane z komputerów na całym świecie. Odbiorcą miały być rosyjskie służby. Podobno dowody są niezbite, a sam Kaspersky ma duży problem. Problem w tym, że nasze urzędy zamawiały to oprogramowanie w przetargach publicznych.
Całą sprawę, w sposób dokładny, opisał serwis Niebezpiecznik.pl. Z treści artykułu wynika, że sprawa jest poważna. W tle mamy działania służb izraelskich, amerykańskich i rosyjskich. Wszystko jednak sprowadza się do jednego mianownika. Okazuje się, że oprogramowanie antywirusowe Kaspersky skanowało dyski twarde w poszukiwaniu dokumentów o specjalnych oznaczeniach. Nie wiem, jakie były to dokładnie oznaczenia czy tagi, ale coś w stylu: poufne, tajne, czy ściśle tajne. Jak antywirus znalazł taki plik to … był on pobierany i wysyłany do chmury. Chmura to też serwery, a serwery są zlokalizowane w Rosji.
Kaspersky w Polsce
Firma Kaspersky sprzedaje także swoje programy antywirusowe w Polsce. Dla klientów indywidualnych, a także dla naszych urzędów. Przy tym wątku chciałbym się właśnie zatrzymać.
Na łamach Bezprawnika często poruszam kwestię polskich przetargów. W tym przypadku postanowiłem przyjrzeć się zakupom tego oprogramowania przez polskie instytucje. Okazało się, że takie oprogramowanie było zamawiane i można znaleźć dokumenty, które wprost mówią o zakupie antywirusa Kaspersky. W kwestii bezpieczeństwa oraz horyzontu zdarzeń postanowiłem zasięgnąć jednak opinii Niebezpiecznik.pl, gdyż warto posiadać szerszy pogląd w tej sprawie.
Kaspersky posiada różne wersje swojego oprogramowania antywirusowego. Natomiast, czy sprawa mogła dotyczyć wszystkich wersji oprogramowania czy tylko konkretnych produktów? Niebezpiecznik.pl odpowiada:
Sprawa może dotyczyć każdego produktu KAV, który ma łączność z internetem, a na pewno dotyczy wszystkich wersji oprogramowania, które korzystają z wsparcia tzw. „chmury”, czyli innymi słowy wysyłają skanowane pliki do internetu, na serwery Kaperskiego.
W obecnych czasach, prawie wszystkie komputery są podłączone do sieci internetowej. Aby skutecznie korzystać z oprogramowania antywirusowego, należy je aktualizować. Jest to banał, ale żeby aktualizacje były pobierane – potrzebny jest internet. Z tego wynika, że każda wersja oprogramowania antywirusowego mogła pobierać dane z dysków ofiary, gdyż każda posiadała połączenie z internetem.
Kolejną kwestią jest sam czas trwania procederu firmy Kaspersky. Sprawa została oficjalnie nagłośniona w roku 2017, lecz wiadomo, że izraelskie oraz amerykańskie służby badały sprawę, od co najmniej roku 2015. To są dwa lata. Natomiast, ile czasu mogło trwać pobieranie dokumentów przez rosyjskie służby przed 2015 rokiem? Niebezpiecznik.pl odpowiada:
Incydent, który stał się przyczynkiem do rozpoczęcia śledztwa miał miejsce w 2014 roku. Nie wiadomo tak naprawdę ile było przypadków nieautoryzowanego przeglądania danych pobranych na serwery Kasperskiego i od jak dawna funkcję „pobierania plików” wykorzystywano do pozyskiwania konkretnych dokumentów.
Jest to dosyć ciekawa odpowiedź, gdyż daje nam to, co najmniej 3 lata potencjalnego hulania przez rosyjskie służby po polskiej administracji publicznej. W tym momencie trudno jednoznacznie powiedzieć, kiedy to wszystko się zaczęło. Przyjmując, że sam pierwszy incydent wykrycia „nieprawidłowości” w oprogramowaniu Kaspersky był w roku 2014, to można zaryzykować stwierdzenie, że samo pobieranie przez rosyjskie służby dokumentów przy pomocy antywirusów Kaspersky mogło trwać już kilka dobrych lat wcześniej. Pytanie, czy był to rok, dwa lata czy może nawet i dłużej?
Kaspersky w chmurze
Cała historia z oprogramowaniem Kaspersky i rosyjskimi służbami dotyczy tzw. chmury. Większość z nas uważa, że jest pewien mistyczny twór internetowy. W wielkim skrócie: chmura to nic innego jak serwer, który przetwarza, pobiera i magazynuje nasze dane. Te serwery istnieją fizycznie, a nie latają w obłokach. W przypadku firmy Kaspersky są one zlokalizowane w Rosji. Z tego wynika, że wszystkie dane pobierane przez antywirusy KAV, z całego świata, wędrują rosyjskimi łączami do serwerowni, które znajdują się w Rosji. Jak rozumiem Kaspersky nie miał backupów poza Rosją i wszystkie dane, pliki, sygnatury z naszych komputerów objęte ochroną antywirusa Kaspersky i tak na końcu były przepuszczane przez Rosję: rosyjskie łącza oraz serwery? Na tak postawione pytanie odpowiedział Niebezpiecznik.pl.
Antywirusy korzystają z tzw. serwerów telemetrii. Te są zlokalizowane w przypadku Kasperskiego w Rosji. To oznacza, że potencjalnie rosyjskie służby mogą mieć wgląd w dane wymieniane pomiędzy serwerami producenta oprogramowania antywirusowego a „chronionymi” przez niego komputerami.
Z odpowiedzi Niebezpiecznik.pl wynika ciekawa konkluzja. Wszystko, co pobierał z naszego komputera antywirus Kaspersky i tak, na samym końcu, lądowało w Rosji. Nie chcę mówić, że łącza i serwery firmy Kaspersky były dziurawe jak sito i każdy mógł się do nich włamać, lecz … jeżeli rosyjskie służby miały dane z całego świata pod swoim nosem, we własnym kraju, a nie, np. w Niemczech, Brazylii, czy USA, to czy nie byłby to „łakomy kąsek” dla nich?
Jeżeli fizycznie mamy zlokalizowane serwery „u nas” to mamy większą przewagę i większe możliwości włamania. I już nie mówię tutaj o człowieku w kominiarce przed komputerem (jak to przedstawiają zdjęcia stockowe) – czyli hackerze, lecz o zwykłym przekupstwie czy zastraszeniu rosyjskiego pracownika przez służby, który ma dostęp do takich serwerów i mógł udostępnić zasoby. Niestety, nawet taka opcja włamania, najprostsza, może wchodzić w grę. Niestety, wszystko układa się w ponurą całość.
Kaspersky w przetargach
Tak jak wcześniej wspomniałem. Polskie instytucje także zamawiały oprogramowanie Kaspersky w przetargach publicznych. Od razu chciałbym zaznaczyć, że decyzje o zakupie antywirusa Kaspersky były podejmowane przez wypłynięciem tej historii na światło dzienne. Niemniej jednak fakt zaciągania ważnych dokumentów przez rosyjskie służby przy pomocy antywirusa Kaspersky jest wysoce prawdopodobnym i należy jednak przyjrzeć się instytucjom, które takie oprogramowanie kupiły.
Z drugiej strony są to przetargi, w których był wymagany taki antywirus, lecz czy został faktycznie zakupiony, zainstalowany, i czy aktualnie jest wykorzystywany, jest kolejnym pytaniem. Następnym zagadnieniem jest też czas i okres, w którym z tego oprogramowania korzystano. Moim zdaniem warto zacząć od roku 2012, czyli dwa lata przed pierwszym incydentem „wykrycia” (2014) nieprawidłowości w działaniu antywirusa Kaspersky.
2012:
- Państwowa Wyższa Szkoła Zawodowa w Nysie – Kaspersky Open Space Security: 385 licencji, BusinessSpace Security: 15 licencji.
- Szpital Specjalistyczny im. Ludwika Rydygiera w Krakowie: Kaspersky AntiVirus for Windows Workstation: 580 licencji, Kaspersky AntiVirus for Mail Servers: 300 licencji, Kaspersky AntiVirus for Windows Servers: 20 licencji.
- Państwowy Instytut Geologiczny-Państwowy Instytut Badawczy w Warszawie: Kaspersky EnterpriseSpace Security dla 1000 stacji roboczych oraz max 1500 skrzynek pocztowych.
- Akademia Górniczo-Hutnicza w Krakowie: Kaspersky AntiVirus: 60 licencji.
- Miasto Białystok, Urząd Miejski w Białymstoku: Kaspersky WorkSpace Security: 1200 komputerów (1100 szt. kontynuacja, 100 nowych licencji), Kaspersky Business Space Security dla 35 serwerów.
- Jednostka Wojskowa Nr 4024: Kaspersky Internet Security: 1 licencja, Kaspersky Antywirus 3 stanowiska.
- Uniwersytet Łódzki: Kaspersky AntiVirus Total Space Security: 67 licencji, Kaspersky Total Space Security – serwer: 3 licencje.
- Zarząd Geodezji I Katastru Miejskiego Geopoz Poznań: Kaspersky AntiVirus for WinGate unlimited user: 1 sztuka.
- Urząd Pracy m. st. Warszawy: Kaspersky AntyVirus: 250 licencji (przetarg ogłoszony w 2011 roku).
2013:
- Wyższa Szkoła Oficerska Sił Powietrznych: Kaspersky Business Space Security – 10 stacji roboczych/serwerów.
- Zarząd Dróg Wojewódzkich w Gdańsku: Kaspersky For Windows Workstation, Kaspersky Administration Kit (jako oprogramowanie używane).
- Warmińsko-Mazurski Ośrodek Doradztwa Rolniczego w Olsztynie: Kasperski Work Space Security: 350 licencji (posiadanych), Kaspersky Business Security: 10 licencji (posiadanych).
- Urząd Miejski w Świebodzinie: Kaspersky AntiVirus for Windows Workstations: 100 licencji.
- Starostwo Powiatowe w Ostrowie Wielkopolskim: Kaspersky WorkSpace Security: 140 licencji + rozszerzenie o kolejne 20 licencji, Kaspersky Business Space Security: 10 licencji.
- Wojskowa Akademia Techniczna: Kaspersky Endpoint Security for Business Select– odnowienie posiadanych licencji dla ochrony stacji roboczych i serwerów.
- Urząd Miasta Piekary Śląskie: Kaspersky WorkSpace Security oraz BussinesSpace Securit – system zainstalowany w urzędzie.
2014:
- Kancelaria Sejmu RP: Kaspersky Internet Security: 2 licencje.
- Krakowski Szpital Specjalistyczny: zakup oprogramowania Kaspersky – serwery.
- Wyższa Szkoła Oficerska Sił Powietrznych w Dęblinie: Kaspersky Endpoint Security for Business, odnowienie: 400 licencji.
- Komenda Główna Policji: aktualizacja Kasperski Internet Security 2013 do Kaspersky Endpoint Security.
- Kujawsko-Pomorski Urząd Wojewódzki w Bydgoszczy: Kaspersky WorkSpace Security – 600 stanowisk.
- Prokuratura Generalna: Serwer antywirusowy Kaspersky – eksploatowany w systemach informatycznych.
2015:
- Akademia Morska w Gdyni: program Kaspersky – wspólne zarządzanie licencjami.
- Katowicki Holding Węglowy S.A.: Kaspersky Lab zaimplementowany w usługach informatycznych.
- Główny Inspektorat Ochrony Środowiska: Kaspersky AntiSpam 300 Mailboxes GOV, Kaspersky AntiVirus Mailboxes GOV.
2016:
- Jednostka Wojskowa Nr 4724: Kaspersky Internet Security: 5 licencji.
- Izba Skarbowa w Warszawie: Kaspersky Endpoint Security for Buisness Core: 205 licencji rocznych.
- Centrum Systemów Informacyjnych Ochrony Zdrowia: Przedłużenie licencji na oprogramowanie Kaspersky Security for Mail Server: 150 licencji.
2017:
- Prokuratura Okręgowa w Rzeszowie: Kaspersky Endpoint Security for Business: 250 użytkowników.
- Telewizja Polska S.A.: Kaspersky Endpoint Security for Business Select: 5120 licencji.
- Sąd Rejonowy Katowice-Wschód w Katowicach: Kaspersky Endpoint Security for Business: Advanced – 500 licencji.
Kaspersky – co robić, jak żyć?
To są przykładowe przetargi, które można w sposób szybki znaleźć w internecie. Nie oznacza to oczywiście, że wszystkie przetargi zakończyły się kupnem oprogramowania Kaspersky. Niemniej jednak, to oprogramowanie jest wskazywane wprost jako potrzebne do zakupu. Mam świadomość, że MSWiA w swoim twitterowym komunikacie odcina się od użytkowania antywirusów Kaspersky. MSWiA informuje, że nie korzysta z tego oprogramowania, lecz jest to stwierdzenie w czasie teraźniejszym. Może MSWiA korzystało z antywirusa Kasperskiego (wskazują na to dokumenty) lecz po wypłynięciu skandalu firmy Kaspersky postanowiono odinstalować antywirusy? Prawdopodobnie.
Moim celem nie jest też pastwienie się nad wyżej wymienionymi instytucjami, które zakupiły systemy firmy Kaspersky i z nich korzystały. W tamtym czasie firma miała nieskazitelną reputację. Moim celem jest pokazanie, które potencjalne instytucje mogą być w zasięgu rosyjskich służb. Teoretycznie, owe służby, mogły przeszukiwać komputery, lub sieć danej instytucji w poszukiwaniu niejawnych dokumentów. Jak widać, dużo mniej ważnych instytucji, z punktu widzenia bezpieczeństwa państwa, korzysta, czy korzystało z antywirusów Kaspersky. W moim zestawieniu jest też kilka ważniejszych, jak jednostki wojskowe, Wyższa Szkoła Oficerska w Dęblinie, prokuratury, sądy, TVP, instytucje przy MSWiA.
Dlatego też chciałem pokazać pewną skalę, która może mniej wtajemniczonym uzmysłowić o co dokładnie chodzi z aferą Kaspersky oraz jak wiele zależy od bezpieczeństwa IT, a także, jak w XXI wieku dane typu tajne przez poufne mogą bezkarnie wypływać do innego kraju. Chciałem też pokazać, jak płynne może być nasze krajowe bezpieczeństwo informatyczne. Przez lata można korzystać z antywirusa o światowym zasięgu, który dzisiaj okazuje się być jednym wielkim podsłuchem rosyjskich służb specjalnych.