W piątek 4. lutego 2022 w polskich mediach pojawił się news mówiący o ponad 6 tysiącach ataków i 500 zainfekowanych urządzeniach mobilnych, należących do NIK. Tak wielkie liczby wydawały się być mało prawdopodobne, zwłaszcza w zestawieniu z tak precyzyjnym narzędziem, jak Pegasus.
Za analizę wiarygodności wspomnianego newsa wzięły się natychmiast różne portale, od mediów głównego nurtu takich jak Polityka, poprzez portal kontroli obywatelskiej OKO.press, aż po rozmaite trzecie, mniej lub bardziej zaufane strony. Nam też te liczby wyglądały od samego początku podejrzanie, jednak gdy zaczęliśmy się przyglądać tematowi, zwróciliśmy uwagę na całkiem inny aspekt.
Otóż mamy wrażenie, iż NIK stara się budować wokół siebie pewnego rodzaju "aurę ekskluzywności i tajemniczości" - podobnego typu, jak służby specjalne. I nie chodzi tutaj o faktyczną niejawność w rozumieniu prawa, gdyż NIK co do zasady działa jawnie (chociaż, naturalnie jak na taką instytucję, ma kancelarię tajną i osoby zajmujące się informacjami niejawnymi). Chodzi raczej o całokształt działań marketingowo-PR-owych, mających na celu zbudowane "prestiżu" NIK jako czegoś więcej niż "po prostu urząd", zwłaszcza w oczach tzw. przeciętnego Kowalskiego.
Nie zgadzamy się z takim podejściem. Dlatego też w poniższym tekście staramy się "odczarować" te sztuczne działania i choćby w pewnym zakresie zniwelować ten "prestiż", aby pokazać Polakom Najwyższą Izbę Kontroli od tej prawdziwej, a zarazem bardziej przyziemnej strony. Zaczniemy od struktury organizacyjnej i szczegółów dotyczących zatrudnienia, aby następnie obejrzeć budynki i przyjrzeć się ich ochronie fizycznej, aby na koniec skupić się na tym, co nasi stali czytelnicy lubią najbardziej - czyli IT i ochrona danych.
Wykorzystamy przy tym głównie materiały, które można (a przynajmniej można było do 6. lutego) znaleźć na stronie NIK, głównie w sekcjach , zamówieniach publicznych oraz sprawozdaniach z działalności. Będziemy też się posiłkować wiedzą własną, nabytą przez lata praktyki zawodowej - jednak przez cały czas jest to wiedza w pełni jawna. My po prostu zebraliśmy wiele "ciekawych" informacji w jednym miejscu.
Nieruchomości Najwyższej Izby Kontroli
Przeciętny Polak, gdy myśli o NIK, myśli o głównej siedzibie, przy ul. Filtrowej 57 w Warszawie. I całkiem słusznie, jednak poza centralą NIK posiada też delegatury w miastach wojewódzkich (a także duży ośrodek szkoleniowy pod Warszawą i kilkanaście mieszkań służbowych). Dokładnie wygląda to tak:
W dalszej części tekstu skupimy się przede wszystkim na centrali, wspomnimy też jednak o delegaturach w Łodzi i Lublinie.
Struktura organizacyjna NIK
Zanim jednak przejdziemy do samego budynku, omówmy pokrótce strukturę organizacyjną i to, jak przekłada się ona na poszczególne nieruchomości. Otóż cały NIK podzielony jest na:
- kierownictwo główne - w Warszawie
- departamenty merytoryczne, zajmujące się poszczególnymi dziedzinami tego, co ma być kontrolowane - również w Warszawie
- 4 biura, zajmujące się wsparciem (organizacją, IT, rachunkowością wewnętrzną itd.) - również w Warszawie
- delegatury, czyli oddziały zamiejscowe (zobacz mapę)
Szczegółowy podział kompetencji można znaleźć w tym zarządzeniu, a w uproszczeniu wygląda to tak:
Jak przekłada się to na zatrudnienie? Zacznijmy od tego, co NIK ujawnia wprost:
Na pierwszy rzut oka takie podsumowanie wygląda choćby całkiem szczegółowo. W kontekście doniesień o Pegasusie zadaliśmy sobie jednak proste pytanie: gdyby ktoś chciał wejść siłą do NIK i eksfiltrować dane ze wszystkich urządzeń, ile potrzebował by do tego zasobów:
- dysków twardych potrzebnych do zgrania tych danych (ilości i sumarycznej pojemności)
- wszelkiego innego sprzętu poza samymi nośnikami
- oraz oczywiście osób do przeprowadzenia takiej operacji
I tu pojawia się problem: NIK nie ujawnia, jak konkretnie podzielone jest zatrudnienie pomiędzy centralę i poszczególne delegatury. Dlatego spróbowaliśmy to odtworzyć. Znaleźliśmy ten oto materiał z 2019 o delegaturze w Lublinie, a w nim m.in. zdanie (dotyczące stanu z lat 2013-15):
W delegaturze zatrudnionych jest 47 osób, w tym 41 pracowników nadzorujących i wykonujących czynności kontrolne oraz 6 pracowników administracyjnych.
Jeśli zaryzykujemy ekstrapolację tego na cały NIK, to 12.7% zatrudnienia w delegaturach stanowią pracownicy zajmujący się administracją i obsługą (w tym IT) - co zgadza się z ogólną strukturą zatrudnienia: 92.5 etatu. Przyjmujemy więc, iż taki mniej więcej podział dotyczy wszystkich delegatur.
Przyjmując też zatrudnienie po średnio 6 pracowników administracyjnych we wszystkich 15 delegaturach (tj. z wyłączeniem warszawskiej, która korzysta z pracowników centrali), ich łączna liczba pokrywa się z deklarowaną sumą etatów w delegaturach - innymi słowy, najprawdopodobniej prawie wszyscy pracownicy ujęci w kolumnie Biura pracują bezpośrednio w centrali - z wyjątkiem:
- stosunkowo niewielkiej grupy pracowników Biura Gospodarczego, którzy pracują w ośrodku szkoleniowym w Goławicach pod Warszawą (trudno precyzyjnie ocenić ich liczbę z uwagi na hotelowy charakter tego ośrodka)
- niewielkiej grupy pracowników Biura Informatyki, zatrudnionych w Warszawie, ale zajmujących się pomocą techniczną dla delegatur bezpośrednio na miejscu w sytuacjach, gdy nie są w stanie pomóc lokalni pracownicy obsługi IT
Zakładamy, iż takich "wyjątkowych" pracowników jest łącznie od 25 do 40.
W Biurze Informatyki jest także kolejna grupa pracowników, zajmująca się koordynacją i kontrolą zadań związanych z IT stricte w delegaturach - ci pracownicy jednak pracują bezpośrednio w centrali, a wobec delegatur są pracownikami zdalnymi - ich więc w żaden sposób nie wyróżniamy.
Wśród wszystkich pracowników biur, łącznie od 22% do 31% osób (zależnie od sposobu interpretacji zarówno diagramu, jak i podlinkowanego wyżej zarządzenia ws. szczegółowego podziału kompetencji) - czyli ilościowo łącznie jakieś 60-90 osób, pracujących w centrali:
- potencjalnie przetwarza na swoich urządzeniach większą od przeciętnej ilość danych, zarazem mogą być to dane bardziej wartościowe od średniej pod kątem ewentualnej kradzieży np. przez wywiad obcego państwa (wrócimy do tego w dalszej części)
- potencjalnie może posiadać podwyższone uprawnienia w różnych systemach IT, pozwalające na wyciągnięcie z nich kluczy odzyskiwania do zaszyfrowanych dysków twardych (Active Directory, McAfee ePolicy Orchestrator, Micro Focus IT Service Manager i innych - do tego też wrócimy)
Rotacja i struktura wiekowa personelu
Wg sprawozdania z działalności za 2020, w strukturze wiekowej pracowników dominowały osoby w wieku od 40 do 60 lat (64%), zaś osoby poniżej 40 lat stanowiły tylko 14.8% wszystkich zatrudnionych. Ten ostatni wskaźnik warto jeszcze zestawić z faktem, iż 53 osoby (czyli 3.34% wszystkich zatrudnionych) były na urlopach bezpłatnych i wychowawczych. A więc statystycznie mniej więcej co piąty młody pracownik był na dłuższym urlopie.
Wysoka średnia wieku przekłada się też na wysoką rotację: w 2020 odeszły z pracy 103 osoby (czyli 6.5% zatrudnionych), w tym:
- 59 wskutek nabycia praw do emerytury
- 30 najprawdopodobniej z własnej woli znalazły sobie inną pracę
- tylko 2 osoby zostały zwolnione przez pracodawcę
Na ich miejsce przyszło 88 nowych pracowników.
Co wiemy o ubiegłych latach?
- ogólna liczebność zatrudnienia w NIK w kolejnych latach jest w miarę stała (1600-1700 osób - co zgadza się z liczbą "etatów planowanych", która w 2020 wynosiła dokładnie 1701)
- wskaźnik rotacji w ostatnich latach wynosi od ok. 5.7% do niecałych 7%
- w okresie co najmniej 2014-16 NIK zatrudniał 44 osoby niepełnosprawne, najprawdopodobniej były to te same osoby
Co nam mówi wskaźnik rotacji na poziomie 6.5%?
- o ile sama w sobie liczba mówi jeszcze niewiele, to zestawiając ją ze specyfiką zatrudnienia w NIK (głównie doświadczeni i bardzo wykwalifikowani pracownicy), rotacja prawdopodobnie jest tam postrzegana jako poważny problem (i to mimo tego, iż odpowiadają za nią w większości kwestie emerytalne) - pokrywa się to dość mocno z przedstawianymi w sprawozdaniach z działalności NIK liczbami awansów i rekrutacji wewnętrznych, znacznie przekraczających choćby to, co spotyka się w tej chwili w najlepszych firmach IT
- to oznacza, iż mimo wysokich wymagań merytorycznych przy rekrutacjach zewnętrznych, prawdopodobnie stosunkowo łatwo byłoby podłożyć tej instytucji tzw. śpiocha - gdybyśmy mieli wczuć się w wywiad obcego państwa, przypuszczalnie byłby to jeden z głównych wektorów ataku
Siedziba główna NIK w Warszawie
Centrala NIK mieści się przy ul. Filtrowej 57 w Warszawie i jest tak naprawdę złożona z dwóch osobnych budynków, w dokumentach przetargowych określanych jako A i B:
- A - budynek w kształcie litery H, wzniesiony w latach trzydziestych XX wieku w tradycyjnej technologii. Ma sześć kondygnacji, w tym piwnicę i poddasze. Kubatura 65000m3. Podlega ochronie, jako element wartościowego zespołu kolonii Staszica, wpisanego do rejestru zabytków decyzją nr 1536 z 20.12.1993 roku.
- B - nowoczesny budynek biurowy (znany też jako PWRN, a na poniższym rysunku określony jako "modernistyczny biurowiec"), oddany do użytku w roku 1960. Zaprojektowany został jako skrzydło wiążące obustronnie budynek istniejący A. Blok 8-kondygnacyjny, podpiwniczony, o konstrukcji monolitycznej wykonany z betonu. Wejście do budynku (z poziomu chodnika ul. Krzywickiego) prowadzi przez hall parterowy.
Zanim przejdziemy do zdjęć wnętrza, zacytujmy najciekawsze fragmenty, jakie udało nam się znaleźć w dokumentach przetargowych - idąc od góry budynku:
- Reflektory oświetlające siedzibę są sterowane dzięki protokołu DMX. Każde urządzenie ma swój osobny adres. Przewody sterujące są doprowadzone do skrzynki rozdzielczej, która znajduje się w poddaszu w części środkowej nad wejściem głównym.
- Pomieszczenie wentylatorni znajduje się na kondygnacji +5 - poddasze - pomieszczenie zlokalizowane jest na wysokości tympanonu (pole trójkątnego frontonu) nad wejściem głównym do budynku A. Nad pomieszczeniem tym znajduje się maszt flagowy oraz okno wyłazowe zapewniające dostęp do masztu. W pomieszczeniu tym została zamontowana rozdzielnica zasilająca i sterująca istniejącą iluminację budynku.
- Pokoje biurowe na kondygnacji +4 (III piętro) znajdują się po lewej i prawej od strony dziedzińca i ul. Filtrowej.
- Pomieszczenie węzła cieplnego znajduje się w piwnicy po prawej stronie od wejścia głównego.
- Pomieszczenie magazynowe znajduje się w piwnicy po lewej stronie od wejścia głównego.
W przyziemiu znajdują się pomieszczenia socjalne dla pracowników, w tym m.in. siłownia, sauna, czy bicze wodne - ale też własna transformatornia (co pozwala na niezależne zasilanie siedziby NIK kilkoma przyłączami energetycznymi, w tym bezpośrednio z przyłączy wysokiego napięcia), a także drukarnia:
Wejdźmy do środka
Wejście główne znajduje się w samym środku budynku A. Zaraz po wejściu trafiamy na barierki, wykrywacze metalu, rentgen do prześwietlania bagaży i strażników uzbrojonych w broń palną, posiadających uprawnienia SUFO. Wszystkie prezentowane niżej zdjęcia zostały udostępnione bezpośrednio na stronie NIK.
Widok od przodu, zaraz po minięciu bramy wejściowej (kliknij wybrane zdjęcie, aby je powiększyć):
- na półpiętrze widocznym na końcu znajduje się popiersie Józefa Higersbergera - charakterystyczny punkt, który można odnaleźć na wielu zdjęciach z siedziby NIK
- po prawej stronie, jeszcze przed filarem z przodu, znajduje się stanowisko strażników i prześwietlania bagaży - pokażemy je z bliska na kolejnych zdjęciach
- na wprost widzimy schody prowadzące na pierwsze piętro - dokładnie nad miejscem wykonania zdjęcia znajduje się jedna z głównych sal konferencyjnych, imienia Zimnego Lecha
- bezpośrednio po bokach tych schodów widzimy schody prowadzące do przyziemia
- po lewej i prawej stronie znajdują się schody boczne, również prowadzące na półpiętro, w korytarzu na poziomie 0
A tak to wygląda od przeciwnej strony:
Schody i korytarze na poziomie 0 części środkowej są symetryczne, pokazujemy więc tylko jedną stronę:
Tutaj widzimy stanowisko do prześwietlania bagaży - maszynę firmy Astrophysics Inc., taką samą, jak można znaleźć na wielu lotniskach. Dodatkowo po prawej stronie widzimy stanowisko depozytowe telefonów komórkowych (drewniany panel z poziomymi wnękami), a poniżej niego segregatory z dokumentami roboczymi. To ostatnie będzie lepiej widać na kolejnych zdjęciach.
Kolejne zdjęcie prezentuje strażnika używającego manualnego wykrywacza metali, pozwalającego na bardziej precyzyjną inspekcję osobistą. Przypuszczamy, iż taki wykrywacz jest w stanie wykryć nawet niewielkie pen drive’y, stąd uważamy za zasadne, aby uprzedzić chętnych o takiej "niespodziance". Na co jeszcze warto zwrócić uwagę na tym zdjęciu:
- strażnik ma na pagonach 2 proste paski (a na kolejnym zdjęciu zobaczymy broń) - nie jest to na pewno ranga policyjna
- legitymacja strażnika - mało wyraźna, ale specjaliści być może wychwycą istotne elementy
- dużo lepiej widać depozyt telefonów komórkowych (policzyliśmy pojemność: 160 telefonów)
- widać też segregatory z dokumentami (m.in. ewidencją osób wchodzących i wychodzących w danym dniu do budynku, oraz osób upoważnionych)
- poniżej legitymacji widać białą kostkę z kablami - wg nas jest to najprawdopodobniej punkt podłączenia telefonu cyfrowego na biurku strażnika do firmowej sieci LAN - a więc pierwszy potencjalnie słaby punkt do sprawdzenia w przypadku próby włamania do tej sieci
Na tym zdjęciu widzimy wspomnianą już wyżej broń palną, kajdanki, a także tył legitymacji strażnika. Na drugim planie widzimy zaś czarny czujnik zbliżeniowy, służący najprawdopodobniej do rejestracji "obchodów" siedziby przez strażnika na dyżurze - w przypadku wejścia siłowego, po obezwładnieniu strażników, jedna z osób z ekipy realizującej powinna pamiętać o wykonywaniu obchodów (jest to bowiem forma systemu prewencyjno-alarmowego).
Części osób taki czujnik może się też kojarzyć z czujnikiem kart zbliżeniowych dla pracowników NIK - początkowo też braliśmy pod uwagę taką możliwość, jednak czujniki kart zamontowane są już w bramkach pokazanych kilka zdjęć wyżej. A nie wydaje się nam, aby mieli 2 różne systemy tego typu (chociaż wykluczyć tego nie możemy).
No dobra, zobaczmy główne schody z bliska - dojdziemy nimi tylko na poziom +1 (prosto do reprezentacyjnej sali Zimnego Lecha), oraz do przyziemia:
Do wspomnianej sali prowadzą aż 3 drzwi. Ważne punkty orientacyjne to mosiężne tablice upamiętniające Waleriana Pańko i Józefa Piłsudskiego. Po prawej stronie tego zdjęcia mamy dojście od przedstawionych wyżej schodów. Nie ma natomiast w tym miejscu schodów do wyższych poziomów. W tle widzimy, jak długi jest korytarz do bocznej części budynku.
A tak to wygląda to samo miejsce drugiej strony. Przy okazji widzimy też:
- strażnika, również z dwoma prostymi paskami i bronią (domyślamy się, iż są tam też tacy z jednym paskiem i być może bez broni), przede wszystkim jednak z innym wzorem legitymacji
- przy lewym skrzydle drzwi - schody prowadzące na poziom +2, a na samym końcu schody w dół
Poziom +1 - sala Zimnego Lecha, do której najczęściej zapraszani są goście. Po lewej stronie widać światło słoneczne wpadające z 5 wysokich okien, widocznych na froncie budynku. Na ścianie zaraz za plecami fotografa, na wysokości ok. 2 metrów, umieszczona jest kamera kopułkowa, służąca najprawdopodobniej do monitoringu wizyjnego tej sali. Wybraliśmy to zdjęcie właśnie dlatego, iż przypuszczamy, iż pokazuje ono przypuszczalny zasięg tej kamery - z tym iż oczywiście rozwiązania tej klasy dają obraz dużo gorszej jakości, niż profesjonalny aparat fotograficzny, zwłaszcza w trybie nagrywania filmu.
Ostatnie ze zdjęć centrali pokazuje wewnętrzne mini-studio telewizyjne:
Delegatura w Łodzi
Poszczególne delegatury zatrudniają po ok. 45-50 pracowników, więc siłą rzeczy są nieporównywalnie mniej reprezentacyjne od budynku centrali. Niestety z tego samego powodu są dużo rzadziej remontowane w trybie przetargowym - a co za tym idzie, dużo trudniej znaleźć załączniki do dokumentacji przetargowej, pokazującej wnętrza.
Udało się nam jednak znaleźć bardzo interesujący projekt przebudowy delegatury NIK w Łodzi przy ul. Kilińskiego 210, pokazujący nie tylko surowe pomieszczenia, ale także rozmieszczenie stanowisk pracy oraz lokalne archiwum:
No dobra, czas na IT
Pierwotnie chcieliśmy po prostu policzyć zasoby (np. nośniki) potrzebne do ataku na NIK z użyciem projektu Funkcjonariusz.
Jednak przygotowując materiały zauważyliśmy, iż jest cała masa niewiadomych, na których szczegółowe rozpracowanie nie mamy czasu, jeżeli artykuł ma ukazać się w gorącym dla NIK okresie, gdy media mówią o ataku Pegasusem na otoczenie Prezesa NIK, Mariana Banasia. Dlatego albo bardzo mocno oprzemy się na różnych domniemaniach (które mogą się potem okazać nietrafne), albo... po prostu przedstawimy to, co mogłoby być przydatne przy samodzielnym opracowywaniu takiego ataku - np. przez analityków ze służb specjalnych. Aby zachować rzetelność dziennikarską, wybraliśmy tą drugą opcję.
Zadaliśmy sobie kilka pytań, co mogłoby być interesujące dla naszych stałych czytelników - i takie pytania chcieliśmy zadać Rzecznikowi prasowemu NIK, niestety nie udało nam się z nim porozmawiać. Oto więc te pytania - liczymy, iż dostaniemy jakieś odpowiedzi, jeżeli nie od rzecznika, to od osób trzecich:
- W jakim fizycznym układzie pracują pracownicy NIK: open space, a może osobne gabinety? Jakiej wielkości, po ile osób? Pracują raczej samodzielnie nad indywidualnymi zadaniami, czy kolektywnie?
- Jaki mają standard wyposażenia służbowego: komputer stacjonarny, laptop, tablet, telefon, inny sprzęt specjalistyczny z Windows lub Androidem?
- Ilu pracowników NIK pracuje zdalnie: w pełni, lub regularnie (na tyle, iż może mieć sens przygotowanie zdalnego stanowiska pracy)? Czy wynoszą do domu sprzęt służbowy, a jeżeli tak, to jaki? A może mają w domu osobny sprzęt do pracy zdalnej?
- Jaki procent czasu kontroler NIK pracuje w biurze lub w zdalnie w domu, a jaki spędza w siedzibie kontrolowanego? Czy zabiera do kontrolowanego sprzęt służbowy? telefona pewnie tak, ale komputer też?
- Jaki adekwatnie jest podział kompetencji pomiędzy centralą, a delegaturą w Warszawie, która mieści się w tym samym budynku i współdzieli pracowników?
- Jakieś konkrety odnośnie liczby pracowników obsługujących ośrodek szkoleniowy w Goławicach, oraz zajmujących się pomocą techniczną dla delegatur bezpośrednio na miejscu? Oszacowaliśmy ich liczbę na 25-40, ale chcielibyśmy to zweryfikować.
- W którym roku poszerzyli portfolio produktów McAfee Endpoint Protection (używanych w NIK co najmniej od 2011) o szyfrowanie dysków? Czy wcześniej używali innych metod szyfrowania dysków, np. Bitlockera? (to pytanie miało być podchwytliwe, a dlaczego, to zobaczycie nieco niżej)
- Czy możliwe jest uzyskanie jakichś zdjęć pokazujących kontrolerów przy pracy? Chodzi o zdjęcia reprezentatywne i zarazem realne, a nie pozowane. Twarze i inne szczegóły możemy oczywiście zamazać, jeżeli przekazujący tego zażąda.
Tymczasem jednak zobaczmy, czego udało nam się dowiedzieć samodzielnie.
Laptopy czy komputery stacjonarne?
To niby trywialna rzecz, w praktyce jednak rzutuje na całą resztę, dlatego postaraliśmy się sami znaleźć odpowiedź. Już w roku 2007 NIK przeznaczał na zakup komputerów przenośnych czterokrotnie więcej pieniędzy, niż na zakup komputerów stacjonarnych:
Natomiast w roku 2016 kupowane były wyłącznie komputery przenośne, oraz zewnętrzne monitory - zaś komputery stacjonarne tylko w pojedynczych egzemplarzach:
Oczywiście sam fakt, iż pracownicy mają do dyspozycji laptopy zamiast komputerów stacjonarnych nie mówi jeszcze, jak pracują - ale mówi, iż mogą pracować zdalnie, poza siedzibą NIK.
A co za tym idzie, można domniemywać, iż już gdzieś pomiędzy 2007 a 2016 (a już na pewno w okolicach 2018, gdy weszło w życie RODO) Biuro Informatyki powinno dojść do wniosku, iż konieczne jest wdrożenie szyfrowania dysków co najmniej w urządzeniach, które mogą być wynoszone poza siedzibę NIK. I tak dochodzimy do najciekawszego...
Szyfrowanie dysków twardych
Robiąc research natrafiliśmy na bardzo interesujące ogłoszenie o pracę, dla młodszego referenta w Biurze Informatyki w centrali NIK. A w nim:
praktyczna znajomość rozwiązań firmy McAfee w zakresie antywirusa i szyfrowania dysków
Przyznajemy się bez bicia, iż bardzo zasmucił nas fakt, iż NIK używa schematu szyfrowania dysków, którego póki co nie obsługuje jeszcze nasza platforma open source Funkcjonariusz - a przynajmniej nie w pełni, bo produkt McAfee Drive Encryption obsługuje 3 różne schematy szyfrowania, z czego pierwszy to po prostu nakładka na Bitlockera, w której klucze odzyskiwania są importowane do centralnego serwera ePO (McAfee ePolicy Orchestrator). No ale nie uprzedzajmy faktów...
W każdym razie zaczęliśmy drążyć temat systemu McAfee i dokopaliśmy się do przetargu BGO/BGZ-271-016/2011 - tak, jeszcze z 2011 roku. To był bardzo interesujący przetarg, i to z dwóch różnych powodów.
Po pierwsze, NIK - już w 2011 roku! - zamówił aż 2001 licencji na produkt McAfee Endpoint Protection Advanced Suite - w tym:
- 1650 licencji w postaci upgrade dla posiadanego już przez NIK starszego produktu McAfee Total Protection for Endpoint Essential
- 351 nowych licencji
Teraz bardzo ważna rzecz: produkty McAfee z tamtych lat nie oferowały jeszcze możliwości szyfrowania dysków twardych. A prawdopodobnie już wtedy wszyscy (lub prawie wszyscy) pracownicy NIK pracowali na laptopach (patrz wyżej) - potrzebowali więc szyfrowania i prawdopodobnie mieli je zapewnione dzięki Bitlockerowi.
Finalnie więc, stawiamy taką tezę: dzisiejsze szyfrowanie dysków w NIK, zapewniane przez McAfee Drive Encryption i zarządzane przez McAfee ePolicy Orchestrator, działa w trybie "Native encryption", czyli adekwatnym szyfrowaniem przez cały czas zajmuje się Bitlocker, a serwer ePO służy jedynie do zarządzania kluczami.
Po drugie - to taki mały off-topic - NIK złamał prawo. To chyba nieładnie, jak na instytucję o takiej randze, prawda? o ile bowiem przyjrzymy się zarówno opisowi równoważności w SIWZ do tego przetargu, jak i późniejszej informacji o wyborze oferty, zauważymy sformułowany wprost wymóg, iż "dowolny równoważny" produkt musi być centralnie zarządzany przez serwer ePO - co w praktyce oznacza, iż "dowolny równoważny" produkt musi być produktem McAfee. A więc równoważność jest tu kompletną fikcją.Tak skonstruowane warunki wypełniają znamiona naruszenia zasady uczciwej konkurencji. Co z tym zrobić, zostawiamy już odpowiednim organom. Acha, gdyby te pliki nagle znikły ze strony NIK, mamy ich kopie i w razie potrzeby udostępnimy je z naszych serwerów.
Co tam jeszcze mają ciekawego?
Wracając do wspomnianego wyżej ogłoszenia o pracę, można z niego wyczytać naprawdę wiele ciekawych rzeczy. W tym, iż NIK posiada też:
- Active Directory - no ale to przecież standard, zakładamy iż dzisiaj mają też pełną integrację z Azure Active Directory
- System Center Configuration Manager do zarządzania konfiguracją laptopów i serwerów (co ciekawe, SCCM obsługuje on nie tylko systemy Windows, ale też Mac OS, Linux i Solaris)
- Micro Focus IT Service Manager do organizacji Service Desku - założyliśmy więc, iż w NIK wdrożony jest framework ITIL w wersji 3 lub 4 - a szukając szczegółów dokopaliśmy się do tego przetargu na upgrade systemu HP Service Manager (którego najprawdopodobniej używali wcześniej), który wprost potwierdza nasze założenie
Przyjrzyjmy się też kolejnym przetargom:
- BGO-BGZ.261.042.2021, tym razem świeżutki, bo zakończony raptem niecałe 2 tygodnie temu, na dostawę 24 licencji VMware NSX Data Center Professional per Processor, oraz szkolenia z VMware NSX-T Data Center dla 3 osób
- BGO-BGZ.261.030.2021, zakończony w listopadzie 2021, na dostawę licencji dla niewymienionego wprost z nazwy systemu SIEM, gdzie jednak dzienne limity zdarzeń określone są kodami SA-SIEM-P-T1 i SA-NETMON-P-T1, co jednoznacznie wskazuje, iż tak naprawdę chodzi o system RSA Security Analytics i żaden inny (jak tam zasady uczciwej konkurencji? czyżby recydywa?)
- BGO−BGZ.261.026.2021, zakończony w grudniu 2021, na dostawę 8 licencji bazodanowych Microsoft SQL Server Enterprise Core 2 LS - tak punktowy przetarg wskazuje raczej na chęć wdrożenia jakiejś większej aplikacji opartej o MSSQL, niż na rozbudowę czegoś już posiadanego
- BGO-BGZ.261.027.2021, zakończony w listopadzie 2021, na dostawę 1900 licencji na Office 2019 Standard i 200 licencji na Office 2019 Professional
- BGO-BGZ.261.033.2021, zakończony zaraz na początku 2022, na zakup 1600 3-letnich subskrypcji Office 365 E1 (czyli tak naprawdę po prostu aplikacji Microsoft Teams, na co zresztą wskazuje nazwa załącznika SWZ) i 10 3-letnich subskrypcji Office 365 E5
Przyznamy, iż nieco nas zdziwił zakup klasycznych licencji na Office 2019, gdy cała organizacja i tak idzie w kierunku integracji z Office 365 (dzisiaj Microsoft 365), który jest zarówno wygodniejszy w zbiorowym zarządzaniu, jak i tańszy na dłuższą metę (no chyba iż z upgrade do nowej edycji Office czeka się na End-of-Life dotychczasowej, ale tak się chyba w NIK nie postępuje?). Ale nie będziemy tego drążyć - kwestia szyfrowania ciekawi nas dużo bardziej...
Zwróćmy tylko raz jeszcze uwagę na liczby:
- pracowników NIK jest średnio ok. 1600, a takich, którzy potrzebują licencji na Office, prawdopodobnie ok. 1500 (zostańmy jednak z obliczeniami przy 1600)
- licencji na McAfee Endpoint Protection mają 2000 sztuk
- licencji na Office - 2100 sztuk (ale już tylko 1600 subskrypcji na Teams, opłacanych na bieżąco tylko dla bieżących użytkowników)
- rotacja roczna to ok. 100 pracowników - a więc przypuszczalnie 50-100 licencji na nowe komputery trzymają jako zapas
Z tych liczb można dość łatwo wywnioskować, iż potencjalnie jakieś 300-350 pracowników (czyli jakieś 18-22% zatrudnionych) może dysponować drugim komputerem - np. do pracy zdalnej (chociaż pewnie nie tylko). To ważne, gdybyśmy chcieli "dobrać się" do wszystkich danych, zwłaszcza tych przetwarzanych przez kluczowych pracowników.
Zróbmy pewne założenia ilościowe
Na bazie naszej wiedzy ogólnej, przeciętny pracownik merytoryczny (kontroler, doradca, dyrektor):
- przetwarza na swoim komputerze służbowym standardowo pomiędzy 5 a 35 GB danych (odliczając pliki systemowe, tymczasowe i inne generowane automatycznie, bądź będące składowymi zainstalowanego na komputerze oprogramowania, których nie ma sensu eksfiltrować) - w uśrednionych kosztach nośników należy rozłożyć każde 100 GB rezerwacji miejsca na 3 kolejno eksfiltrowane komputery (z założeniem, iż najprawdopodobniej starczy na dużo więcej, ale to się dopiero okaże podczas reaizacji)
- w skrajnych sytuacjach przetwarza nie więcej niż 100 GB - tyle wolnego miejsca należy mieć zawsze w zapasie, choćby jeżeli w rejonie przydzielonym do operatora znajduje się tylko 1 komputer
- na firmowych serwerach, często zamapowanych jako dyski sieciowe, może trzymać dużo większą ilość danych (np. różne filmy instruktażowe, zdjęcia i relacje filmowe z różnych wydarzeń, filmy z oględzinami kontrolowanych miejsc albo innego rodzaju relacje z wykonywanych kontroli - jakość i zarazem rozmiary tego typu materiałów rosną z roku na rok, w 2022 rozmiary tego typu danych idące w 300-600 GB nie będą niczym nadzwyczajnym)
- pandemia i wymuszona przez nią od 2020 praca zdalna spowodowały, iż choćby pracownicy mający z domu nieograniczony dostęp do firmowych serwerów, trzymają na komputerach dużo więcej kopii materiałów zawartych na firmowych serwerach (np. na wypadek chwilowej awarii łącza Internetowego, czyli prostu z powodu powolnego działania łącza i/lub VPN) - są to wprawdzie powtarzalne i łatwo rozpoznawalne kopie, jednak ich w pełni automatyczna deduplikacja podczas ataku przez cały czas jest wyzwaniem
- do tego dochodzą jeszcze dane na telefonach - tu sumaryczny rozmiar samych zdjęć przekracza najczęściej rozmiar danych przetwarzanych na komputerze, z drugiej strony ograniczeniem jest wielkość karty pamięci, oraz pamięci wbudowanej w sam telefon - na rok 2022 można przyjąć, iż najczęściej jest to 128 GB
Dużo więcej danych przechowują i/lub przetwarzają na własnych komputerach:
- pracownicy zajmujący się opracowywaniem materiałów multimedialnych (kręceniem i montażem filmów, składem pism, grafiką komputerową itp.)
- pracownicy zespołu Service Desk, odpowiedzialni za instalację różnego specjalistycznego systemu dla użytkowników - dotyczy to szczególnie programów, które należy jakoś spreparować przed instalacją, np. edytując plik konfiguracyjny (wówczas częstą praktyką jest kopiowanie całej instalki na własny komputer i wykonanie tam odpowiednich zmian)
- programiści (tutaj sumaryczny rozmiar danych może nie jest szczególnie duży, za to bardzo często występuje mocno ponadprzeciętna ilość małych plików, co potrafi bardzo spowolnić proces eksfiltracji danych na nośniki SSD QLC, a tym bardziej magnetyczne, lub tanie MMC)
- pracownicy prowadzący wymianę dużych plików bezpośrednio jako załączniki do maili - np. rzecznik prasowy, oraz osoby biorące udział w tzw. elektronicznym obiegu dokumentów, np. odpowiedzialne za skanowanie wersji papierowych - w tym przypadku będziemy prawdopodobnie mieli do czynienia z bardzo dużymi plikami PST, których rozmiar może potencjalnie iść choćby w kilkadziesiąt GB, a jednocześnie pliki te mogą być przez większość czasu otwarte i zablokowane przez program Microsoft Outlook
Wróćmy też do budynku centrali:
- budynek A ma 6 kondygnacji - w tym piwnicę i poddasze, a więc na cele biurowe wykorzystywane są prawdopodobnie tylko 4 poziomy - z tego należy wyłączyć również całą część środkową (wejście na poziomie 0 i sala Zimnego Lecha z bardzo wysokim stropem, zajmująca co najmniej poziomy +1 i +2, prawdopodobnie także +3):
- daje to co najmniej 8 bardzo dużych stref, na które można podzielić realizację
- każdą z tych stref, patrząc na ich wielkość, można jeszcze podzielić na kilka osób (ilość zależy od użytych do realizacji narzędzi - w przypadku użycia Funkcjonariusza i Sherlocka, każda strefa powinna być rozpoczynana przez 2 operatorów, wspomaganych potem przez tych, którzy wcześniej skończyli swoje strefy)
- do tego kolejne 2 osoby powinny zająć się piwnicą i poddaszem
- budynek B ma 8 kondygnacji, w tym piwnicę - cała reszta jest najprawdopodobniej podzielona na niewielkie pokoje biurowe, mieszczące po kilku, maksymalnie kilkunastu pracowników - daje to kolejne 7 dużych stref (przynajmniej 2-osobowych), oraz piwnicę
- należy wziąć pod uwagę, iż w całej siedzibie fizycznie pracuje szacunkowo ok. 815-830 osób - z tego:
- ok. 50 osób przebywa na dłuższych urlopach - głównie wychowawczych, a więc biorąc pod uwagę przytoczoną wyżej strukturę zatrudnienia, można założyć, iż są to przede wszystkim osoby młodsze, zatrudnione w biurach na stanowiskach administracyjnych i pomocniczych - a więc należy je odliczyć głównie właśnie z powyższej puli
- statystyki zatrudnienia obejmują też uzbrojonych strażników - z uwagi na pracę z bronią palną, na stanowisku muszą być co najmniej 2 osoby (realizująca i asekurująca), a kolejny strażnik asystuje przy wycieczkach - więc choćby przy najbardziej kreatywnej optymalizacji ich czasu pracy i podziału na zmiany, co najmniej od 5 do 8 etatów to strażnicy (którzy z jednej strony nie mają własnych komputerów, z drugiej wymagają dodatkowych osób w ekipie realizacyjnej do obezwładnienia, rozbrojenia i późniejszego pilnowania)
Łącznie daje to:
- 15 dużych, 2+-osobowych stref, z pracownikami do ogarnięcia i pilnowania
- 3 strefy 1-osobowe - przy czym co najmniej w okolicy drukarni należy spodziewać się kolejnych pracowników do pilnowania
- 1 grupę strażników
Na tym poprzestaniemy z wyliczeniami - to nie ma bowiem być gotowy poradnik "jak zrobić napad na siedzibę NIK", tylko tekst uświadamiający, jak niewielkiej ekipy realizacyjnej potrzeba, aby taką operację przeprowadzić. A kto był szkolony z takich działań, ten potrafi sobie te wyliczenia dokończyć i sporządzić szczegółowy plan, z kolejnością obchodu stref, zabezpieczeniem pracowników itd.
Wróćmy do szyfrowania dysków twardych
Cała sprawa zaczęła się od wątku z Pegasusem, więc mając już wiedzę, jakich z grubsza systemów używa NIK, oraz powyższe założenia ilościowe, spróbujmy oszacować przypuszczalny koszt ataku polegającego na eksfiltracji wszystkich danych przetwarzanych przez NIK, ze wszystkich:
- laptopów służbowych
- serwerów i macierzy
- smartfonów - również tych prywatnych, które, jak zakładamy, niezależnie od polityk bezpieczeństwa NIK, z pewnością w jakimś stopniu używane są też do celów służbowych, a więc z nich również trzeba pozyskać dane
Zobaczmy, co adekwatnie potrafi pakiet McAfee Endpoint Protection. Zawiera on zintegrowane produkty:
- lokalny agent do zdalnego zarządzania systemem z poziomu serwera ePO
- antywirus, antyspam, firewall i filtr sieciowy - czyli klasyczna ochrona, typowa dzisiaj choćby dla wielu domowych komputerów
- system EDR - zbierający podejrzane zdarzenia w skali całej sieci (a nie tylko na pojedynczych komputerach) i umożliwiający ich centralną analizę
- system DLP - zapobiegający (głównie przypadkowym) wyciekom danych, oraz generalnie blokujący zapisywanie danych na niezaszyfrowane nośniki USB
- szyfrowanie dysków twardych i plików - obsługujące 3 osobne tryby szyfrowania:
- szyfrowanie całego dysku, zwane "Native encryption", realizowane dzięki Bitlockera (lub Apple FileVault w przypadku systemu Mac OS), gdzie serwer ePO jest tak naprawdę nakładką do centralnego zarządzania kluczami odzyskiwania w sposób bardziej efektywny, niż w "gołym" Active Directory
- szyfrowanie całego dysku w standardzie TCG Opal (realizowane w pełni sprzętowo, z kluczem trzymanym w module TPM)
- szyfrowanie plików i katalogów, zwane w różnych wersjach produktu FFRM lub EEFF, najprawdopodobniej oparte po prostu o mechanizmy szyfrowania dostępne w systemie plików NTFS, gdzie serwer ePO ponownie jest tylko nakładką automatyzującą zarządzanie kluczami
Aby skutecznie poradzić sobie z takim rozwiązaniem, trzeba do niego podejść od trzech różnych stron:
- atak na komputery pracowników poniżej warstwy systemu operacyjnego - np. dzięki platformy Funkcjonariusz - do tego jednak potrzeba kluczy odzyskiwania do dysków zaszyfrowanych Bitlockerem, więc wcześniej potrzebny jest...
- atak na serwer ePO w celu wydobycia z niego kluczy odzyskiwania - niezbędne dostępy posiada prawdopodobnie kilka do kilkunastu osób z większej grupy 60-90 osób, o której pisaliśmy wyżej, mogą się także przydać dostępy administracyjne do VMware, które, jeżeli wierzyć dokumentacji przetargu BGO-BGZ.261.042.2021, mają lub będą niedługo mieć 3 osoby - kluczowa jest więc identyfikacja imienna tych konkretnych osób - a żeby do tego sensownie podejść, konieczny jest też...
- wcześniejszy atak na komputery i telefony wstępnie wybranych pracowników kadr (z Biura Organizacyjnego) przy włączonym systemie operacyjnym - tak aby zdobyć pełną strukturę organizacyjną z nazwiskami poszczególnych pracowników (w przypadku telefonów można użyć np. systemu Pegasus zdalnie, bądź Funkcjonariusza Mobilnego, jeżeli mamy pomysł, jak zdobyć do tych telefonów dostęp lokalny)
Jest mało prawdopodobne, ale jednak niewykluczone, iż klucze odzyskiwania Bitlocker trzymane są też w jakiejś innej formie, np. w bezpiecznych kopertach w jakimś sejfie. Przeglądając dokumenty warto zwracać uwagę na ciągi znaków w następującym formacie (8 grup po 6 cyfr):
123456-123456-123456-123456-123456-123456-123456-123456
zwłaszcza jeżeli będą powiązane w jakiś sposób z konkretnymi pracownikami, komputerami, albo wręcz wprost dyskami twardymi.
Podobnie jak poprzednio, na tym poprzestaniemy ze szczegółami - to nie ma bowiem być gotowy poradnik "jak zrobić napad na siedzibę NIK", tylko tekst uświadamiający pewne sprawy odpowiednim osobom.
Chcesz wiedzieć więcej? Interesują Cię nasze usługi konsultingowe? Napisz do nas na kontakt@payload.pl, chętnie porozmawiamy o możliwościach współpracy.
Podsumowanie
Czy przedstawione wyżej informacje pozwalają na skuteczny atak dowolnego typu na NIK?
Nie. Albo przynajmniej nie wprost. Celowo bowiem zakończyliśmy różne rozważania i wyliczenia na tyle wcześnie, aby nie dawać nikomu za darmo gotowego instruktażu.
Pozwalają natomiast na zorientowanie się, na jakim mniej więcej poziomie została zawieszona poprzeczka - tak aby napastnik-amator nie wpadł przez jakiś głupi i łatwy do uniknięcia błąd. Skuteczny atak wymaga dalszego rekonesansu.
Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. jeżeli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeżeli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.
Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.