Wielki wyciek z Wojska Polskiego, czyli trochę śmiesznie, a trochę…

payload.pl 2 lat temu

Czego w Wojsku Polskim jest więcej: czołgów, czy damskich sukienek? Albo np. gier komputerowych? Te i setki innych informacji można znaleźć w wycieku bazy eJIM, który zaczął żywot medialny jako „gigantyczny wyciek”, aby po chwili zaczęto twierdzić, iż to „nic tajnego”. Skoro nic tajnego, to przyjrzyjmy mu się bliżej.

Część pierwsza, czyli co się stało i chronologia zdarzeń

Zacznijmy od omówienia tego, co się po kolei działo. Pierwsze 4 punkty cytujemy z tego artykułu na Onet.pl, kolejne są już naszymi słowami:

  • 9 stycznia do sieci wyciekły bazy danych
  • 10 stycznia dowiedziało się o tym wojsko, a niedługo potem my
  • między 10 a 13 stycznia skonsultowaliśmy to z wysoko postawionymi oficerami, którzy stwierdzili, iż sprawa jest poważna i jak na razie nie udało się zdjąć z serwerów tych baz danych
  • [w piątek] 14 stycznia rano opublikowaliśmy w Onecie artykuł „Gigantyczny wyciek danych z wojska. Ponad 1,7 mln pozycji w internecie”
  • W piątek od rana rozpętuje się burza na Twitterze. W PAYLOAD akurat jesteśmy w niekompletnym składzie ze względu na zobowiązania służbowe, ale podsycamy, na ile tylko potrafimy i mamy czas. Siadamy też do dokładnej analizy zawartości tej bazy.
  • O 12:32 MON pisze na Twitterze: „Publikacja danych nie jest zagrożeniem dla bezpieczeństwa państwa ani funkcjonowania Sił Zbrojnych RP. Ujawniony indeks zawiera wyłącznie informacje powszechnie dostępne.”. A 2 minuty później Mariusz Błaszczak dodaje: „Uspokajam, nie wyciekły żadne tajne informacje, a Polska jest bezpieczna. Politykom totalnej opozycji rekomenduję otrzeźwienie i szklankę zimnej wody.”
  • Gdzieś ok. godz. 13-14 Zaufana Trzecia Strona publikuje swój słabiutki artykuł o tym wycieku, w którym pokazuje, iż redaktor nie poradził sobie ze znalezieniem ciekawych informacji w tej bazie z uwagi na… problemy z kodowaniem polskich liter (wspomnimy o tym niżej).
  • O 16:41 swój artykuł publikuje Sekurak. Też niestety bardzo powierzchowny.
  • W niedzielę o 19:10 Niebezpiecznik publikuje swój, zgodnie z zapowiedziami, dużo szerszy artykuł. przez cały czas jednak bez tych wszystkich konkretów, o których poczytacie niżej.

A my? A my postanowiliśmy poświęcić więcej czasu w dokładną eksplorację tej bazy, aby znaleźć dla Was jak najwięcej różnych ciekawych smaczków ?

Część druga, czyli trochę informacji technicznych

Plik o nazwie Jednolity Indeks Materiałowy baza JIM.zip można było ściągnąć stąd. Podajemy ten link, gdyż, po pierwsze, jak przyznało samo Ministerstwo Obrony Narodowej, są to „wyłącznie informacje powszechnie dostępne”, a po drugie, adekwatny plik i tak już został usunięty.

Na wszelki wypadek, gdyby ktoś próbował gdzieś wystawić „lewą” wersję tego wycieku, oto sumy SHA-256 całego archiwum, a następnie poszczególnych plików, jakie się w nim znajdują:

6e8ebc64335aa0852b2fb659685ff6837c821b5b7b497cd0e8876b8d07311e09 *Jednolity Indeks Materiałowy baza JIM.zip f16c5ed0fc038e7c6c4be652768e2fc7f64140997f354f98b795b7a74e159e31 *ejim.exe 1ffa12b118197c2b45ab574e5e0e5c587262cbcee6e904e9c37e50b2fe9dfcf2 *eJIM.db b8255442cea9e5f4112dd3b82e3fea5377c74696957918b90d7b477666533bab *vfp9r.dll de618974f0ac3865ec6ebd70137b9b69139cc1c9952ca089dd7370ad9b757981 *VFP9RENU.DLL 8094af5ee310714caebccaeee7769ffb08048503ba478b879edfef5f1a24fefe *msvcr71.dll b25bd08852f07213af9542d67ed18a698b6c0ad4135891cca56021ad5241c2e0 *Tmp\ejim_instrukcja.pdf ffca2fdbf72ebd80892992ba484851fb24d856ecb4c6e3b4729f1b14e12301d6 *Tmp\sqlite3odbc.dll

A więc mamy tutaj bazę danych SQLite 3, instrukcję PDF, oraz program napisany w Visual FoxPro 9 (i próbujący po uruchomieniu instalować sterownik ODBC). Zamiast niego polecamy tą przeglądarkę baz SQLite, która pozwala m.in. na ustawienie (i to per tabela!) niestandardowego kodowania polskich znaków. To ważne, gdyż zawartość tabel jest kodowana w standardzie Windows-1250, a nie UTF-8 – bez zmiany kodowania nie będzie Wam działać wyszukiwanie tekstów z polskimi literami.

Struktura bazy danych

W zasadzie najciekawsza jest zawartość tabeli jim, reszta to tabele pomocnicze z różnymi słownikami. Tabela jim ma raptem 9 kolumn, co jest naprawdę przyjemną odmianą w dobie mikroserwisów i ich baz danych, które potrafią mieć po kilkaset opasłych tabel. Oto znaczenie poszczególnych kolumn, wraz z naszą interpretacją:

  • id_jim – wygląda po prostu na ID danej pozycji w tej bazie
  • indeks_jim – „Indeks JIM” o bardziej sformalizowanej strukturze (4 cyfry, PL, 7 cyfr, np. 5355PL0224851 – pierwsze 4 cyfry są zawsze zgodne z pierwszymi 4 cyframi Klasyfikatora hierarchicznego, na tej podstawie można robić różne interesujące filtry, np. kod 7025, czyli „Informat. urządz. we/wy i urządz.pamięci”, to cała masa sprzętu IT kupowanego w kilku ostatnich latach)
  • nazwa_jim – nazwa, w większości pełna i całkiem dokładna, ale dla niektórych kategorii sprzętu stosowane są skróty zamiast pełnych nazw producentów (np. STE i TSB w dyskach zewnętrznych, albo KYO i K-M w drukarkach), jest też sporo literówek i niekonsekwencji w stosowaniu interpunkcji, więc generalnie należy ostrożnie filtrować po nazwach, bo łatwo można obciąć zbyt dużo
  • miara – np. SZT, KPL, L
  • sta_ind_mat – Stary Indeks Materiałowy (niżej)
  • sym_kata – Symbol Katalogowy (niżej)
  • gestor – to 2-znakowy kod określający 1 z 50 „wydziałów” w całym Wojsku Polskim, z którym powiązana jest dana pozycja, np. wódka powiązana jest zawsze z IWSZ Szefostwem Służby Żywnościowej, czołgi zawsze z „DGRSZ ZWPiZM IWLąd.”, ale już okręty z „DGRSZ ZUzbr.IMW” lub „Biuro Hydrograf. MW”, w zależności od przeznaczenia danego okrętu
  • kla_hiera – Klasyfikator hierarchiczny (patrz wyżej opis pola indeks_jim)
  • norma – to pole odnosi się najprawdopodobniej do numeru dokumentu z przepisem, np. do Polskich Norm

Ile mógłby kosztować atak na Polskę?

Bardzo wiele pozycji w tabeli jim ma puste pola Stary Indeks Materiałowy i Symbol Katalogowy. Inne mają wypełnione przynajmniej jedno z nich, albo oba.

Zauważyliśmy, iż w przypadku sprzętu o nazwach zawierających np. CZOŁG czy SAMOLOT:

  • jeśli wypełnione jest co najmniej jedno z tych pól (najczęściej to pierwsze, czyli Stary Indeks Materiałowy), to pozycja dotyczy faktycznego sprzętu bojowego (albo czasem szkoleniowego, np. CZOŁG DO NAUKI JAZDY LEOPARD NJ czy SAMOLOT MYŚLIWSKI SZKOLNO-BOJ.MIG-29UB M)
  • jeśli oba pola są puste, to często pozycja jest eksponatem, atrapą, makietą, modelem, pomnikiem, wrakiem itd. – w nazwach takich pozycji występują słowa typu EKSPONAT, MAKIETA czy POMNIK, ale niestety nie zawsze, więc te dodatkowe pola pozwalają na dokładniejszy podział

W powyższej tabeli zwróćcie uwagę na:

  • wyróżnione na czerwono elementy nazwy – dzięki odpowiedniego zestawu słów kluczowych można wstępnie podzielić cały sprzęt na bojowy, pomocniczy, szkoleniowy, uszkodzony (wraki), a także eksponaty i sprzęt reprezentacyjny
  • dodatkowo można się sugerować jednostkami miary, chociaż te są przydzielane różnie dla różnych kategorii sprzętu – np. wszystkie czołgi o zdolności bojowej to komplety, a bez niej sztuki – ale już samoloty to zawsze sztuki, a nie komplety (niezależnie od wartości bojowej)
  • gestor (przedostatnia kolumna) – pozwala przyporządkować dany sprzęt do typu wojsk, a w praktyce „zdjąć ze stanu” sprzęt bez zdolności bojowej (np. wraki SS i ZZ)
  • klasyfikator hierarchiczny (4 pierwsze cyfry numeru z ostatniej kolumny) – gdy już przefiltrowaliśmy dane po powyższych kryteriach, klasyfikator ten pozwoli jednoznacznie podzielić cały pozostały w wyniku sprzęt na bojowy-właściwy i bojowo-szkoleniowy (zobaczcie poniższą tabelkę)
  • Stary Indeks Materiałowy i Symbol Katalogowy – zestawcie sobie te pola z danymi z Wikipedii (hint: patrzcie też na lata w uwagach), a to co się Wam nasuwa na myśl, zweryfikujcie w przypadku innych kategorii sprzętu – jak widać, relacja pomiędzy wypełnieniem tych pól a wartością sprzętu i zdolnością bojową jest dość płynna, ale jak najbardziej da się jej użyć, aby uszczegółowić informacje wyciągnięte na podstawie opisanych wyżej pól

W przypadku innego sprzętu, fakt wypełnienia któregoś z tych pól miewa też inne znaczenie:

  • w przypadku sprzętu IT, a w szczególności licencji na oprogramowanie, wypełnione któreś z tych pól wskazuje na to, iż pozycja albo była zamawiana wielokrotnie, albo przynajmniej wielokrotnie wskazywana w dokumentach, np. przetargowych (stąd ma przydzielony najczęściej Symbol Katalogowy)
  • w przypadku większości sprzętu, wypełniony Stary Indeks Materiałowy jest przesłanką, iż pozycja może dotyczyć mienia o wyższej wartości, często stosunkowo niewielkiego (a więc np. łatwego do kradzieży i spieniężenia) – w przypadku licencji na oprogramowanie, najczęściej pozwala to odróżnić pojedyncze licencje od wielopaków (chociaż należy też zwrócić uwagę na różne dopiski w nazwie pozycji – a także zwróć uwagę na odpowiedź Bartka Jerzmana, którą dodaliśmy na samym dole, w aktualizacji artykułu)

Generalnie na podstawie Starego Indeksu Materiałowego, łącząc go umiejętnie z Klasyfikatorem hierarchicznym i słowami kluczowymi w nazwie, powinno się dać zbudować zapytania SQL dość precyzyjnie pokazujące, jaka część (i jakie typy, części zamienne, warianty uzbrojenia itp.) sprzętu bojowego z całej tej bazy jest faktycznie używana (lub może być użyta w przypadku wojny) przez Wojsko Polskie.

A jeżeli jeszcze nałożymy na to publicznie dostępne informacje o ilościach „bazowego sprzętu” (bo niestety wycieknięta baza nie zawiera najważniejszego, czyli ilości danego sprzętu „na stanie”), możemy z dość dużym przybliżeniem odtworzyć całokształt możliwości serwisowych WP – czyli do jakiego sprzętu jak długo będą dostępne części zamienne.

Finalnie więc – z perspektywy przeciwnika i łącząc te dane z jego wiedzą o swoich własnych możliwościach i kosztach – można by z całkiem niezłym przybliżeniem wyliczyć, ile kosztowałby go atak na Polskę i neutralizacja naszego sprzętu bojowego. Przybliżeniem na tyle dobrym, aby móc powiedzieć, czy od strony czysto ekonomicznej, napad na Polskę jest opłacalny i w jakich okolicznościach.

Brzmi szokująco? Więcej szczegółów napiszemy niżej, w części czwartej (o IT) i piątej (o sprzęcie bojowym). A tymczasem…

Część trzecia, czyli czas się trochę pośmiać…

No dobra, a więc z perspektywy totalnego laika, czego w wojsku powinno być najwięcej? Pewnie żołnierzy i sprzętu bojowego: czołgów, samolotów, karabinów różnego typu, do tego może jeszcze sprzętu medycznego. Osoby, które zaliczyły służbę poborową, pewnie zaś pomyślą, iż ciężarówek i innego sprzętu logistycznego, które są podstawą dostarczenia tych żołnierzy we adekwatne miejsca. Tak właśnie myśleliście?

Noo, i dobrze myśleliście! ?

Niestety to „dobrze” dotyczy tego, iż „powinno”. No dobra, może również tego, co formalnie jest na stanie. Ale czy jest sprawne?

No właśnie. Składając wszystkie dostępne informacje, Polska ma poniżej 300 czołgów sprawnych bojowo – czyli takich, które nie tylko są w stanie „jakoś jechać”, ale też manewrować, strzelać, komunikować się z innymi jednostkami i pozwalać na tankowanie w warunkach bojowych.

Tymczasem w wyciekniętej bazie można znaleźć np. 313 modeli różnych sukienek:

W tym 16 modeli ma wypełniony Stary Indeks Materiałowy albo Symbol Katalogowy, czyli można zakładać, iż były zamawiane więcej niż jeden raz – może choćby są na stałym wyposażeniu? Może ktoś z żołnierzy zechce się z nami anonimowo podzielić informacją, czy ktoś z oficerów Wojskowego Centrum Edukacji Obywatelskiej (bo przecież zwykli żołnierze by to zamawiali prywatnie, bez wciągania na stan) nie ma przypadkiem jakiegoś nietypowego hobby? ?

Bo jak niby inaczej uzasadnić taką ilość różnych sukienek? Przecież kobiety ponoć też służą w mundurach. A to, co się nam osobiście wydaje uzasadnione potrzebami wojskowymi (a nie prywatnymi fanaberiami) zaznaczyliśmy w powyższej tabelce na zielono. I są to raptem 3 pozycje na 313 wszystkich…

Acha, gdyby się komuś wydawało, iż to wyłącznie jakieś nasze insynuacje, czy „głodnemu chleb na myśli” – przyjrzyjmy się temu, co nasi żołnierze czytają:

Żołnierz nie kaktus…

…i pić musi. Dlatego też nasi dzielni obrońcy mają do dyspozycji aż 36 rodzajów piwa. W tym choćby beczkowe, aby się nie rozdrabniać na butelki:

Czasem jednak piwo nie wystarczy – w końcu nie bez powodu od lat krąży powiedzenie „gdzie kończy się logika, tam zaczyna się wojsko”. A na absurdy najlepsza jest… tak, zgadliście! I jest jej aż 86 rodzajów:

Co jednak, jeżeli żołnierz nie ma polskiego żołądka i polska wódka nie smakuje mu niezmiennie? Wówczas może poratować się jedną z 37 rodzajów whisky:

Zaraz, ale jeżeli to whisky pije oficer? Przecież to nie zwykły trep, któremu wystarczy klasyczny polski drink, czyli szklanka z wódką. Oficer powinien pić z klasą, czyli z porządnego szkła. A szkło ma ten feler, iż się niestety czasem tłucze, np. kiedy podczas spotkania w sztabie, drżąca ręka nie jest w stanie go już prawidłowo odstawić na stół i następuje niechybne starcie z grawitacją.

A jeżeli się stłucze? Nic prostszego, wystarczy co jakiś czas zamawiać nowe – stąd właśnie poniższe 5 rodzajów szkła do whisky ma wypełniony Stary Indeks Materiałowy albo Symbol Katalogowy – aby panowie oficerowie nigdy nie musieli ryzykować ujmy na honorze:

Żołnierz musi walczyć!

Tylko jak tu walczyć, skoro jak na złość, w Polsce czy choćby obok niej, nie ma akurat żadnej wojny? Ależ nic prostszego, przecież grafika w grach komputerowych doszła już do tego poziomu, iż można sobie „poćwiczyć”. No dobra, może i takie ćwiczenia nie mają żadnej wartości bojowej, ale przynajmniej można się trochę wczuć psychicznie:

Ponoć jednak nie wszyscy chłopcy lubią zabawę w wojnę (my tam się nie znamy, ale tak twierdzi dr Aneta Borkowska, psycholog kliniczny z UMCS, więc ktoś taki pewnie wie co mówi). Okazuje się, iż w Wojsku Polskim już o tym pomyśleli – dlatego nasi żołnierze mają do dyspozycji nie tylko powyższe pozycje z Call od Duty na czele, ale aż 1600 rodzajów bardzo różnych gier – w tym ok. 1100 gier komputerowych i ok. 500 innych (głównie planszowych).

Doliczmy do tego jeszcze 50 wariantów konsol do gier – głównie oczywiście Playstation i Xboxów. I tutaj dwie ciekawostki: po pierwsze, w wypełnionych indeksach zdecydowanie przoduje platforma Playstation. A po drugie, Radosław Fogiel chyba jednak nie kłamał ?

Dla spokojniejszych żołnierzy dostępne są szachy w 30 różnych wariantach rozmiarów planszy, od 20×20 aż do 58×58 centymetrów. A dla tych najspokojniejszych (ale czy tacy aby na pewno znaleźli się we adekwatnym miejscu?) dostępnych jest 360 wariantów modeli samolotów w różnych skalach, głównie od 1:72 do 1:32:

Będzie w sam raz na wypadek, gdyby na polskich wsiach pokończyły się drzwi od stodół i nie było już na czym latać. Albo przynajmniej „uczyć” latania. I nie ma się co śmiać, w niektórych typach wojsk już tak ćwiczą:

Gdyby zaś któryś z wojaków odkrył w sobie duszę artysty, zawsze może pograć na którymś z prawie 500 rodzajów gitar – głównie klasycznych, elektrycznych i basowych, ale są dostępne także różne nietypowe modele, np. 8- lub 10-strunowa gitara rumuńska. Całość wspiera 90 rodzajów gotowych zestawów perkusyjnych, 90 rodzajów pałeczek, oraz 190 różnych części zamiennych. W końcu w wojsku ponoć rzeczy zużywają się szybciej, a o ciągłość działania trzeba dbać…

No dobra, starczy już tego nabijania się. Przejdźmy teraz do tego, co pewnie najbardziej interesuje świadomych czytelników PAYLOAD, czyli…

Część czwarta, czyli co wiemy o IT w Wojsku Polskim?

Serwery i wirtualizacja

Wojsko to taka specyficzna instytucja, która nie za bardzo może trzymać swoje systemy w chmurze (no chyba, iż mowa o wojsku amerykańskim).

Dlatego też trzyma je na własnych serwerach – w większości (rozumianej jako ilość różnych modeli i wariantów konfiguracyjnych, a nie jako ilość sztuk łącznie) są to serwery Dell (300 pozycji, w tym na dzisiaj standardem wydają się być modele PowerEdge R900 do szaf rackowych, oraz T710 wolnostojące), a w dalszej kolejności HP, IBM/Lenovo i sporo innych marek. Co ciekawe, polskie serwery Actina Solar mają tylko 12 pozycji, ale aż 8 z nich była najprawdopodobniej zamawiana wielokrotnie. Nieźle!

Również polskiej produkcji są szafy serwerowe. A dla sprzętu sieciowego, standardem jest Cisco. Tu też nie mamy uwag, sami wybralibyśmy identycznie.

Nasze zastrzeżenia budzi natomiast obszar serwerów NAS, czyli w tym przypadku głównie urządzeń QNAP i Synology (a także Thecus, Netgear, WD MyCloud, Zyxel, a choćby D-Link). jeżeli przyjrzeć się Starym Indeksom Materiałowym i Symbolom Katalogowym przypisanym do niektórych pozycji (i modeli, np. QNAP TS-131), to mamy poważne wątpliwości, czy tak słaby sprzęt (w dodatku 1-dyskowy) może przedstawiać jakąś wartość dla wojska jako instytucji? Bo wg naszych doświadczeń, te modele nie pociągną choćby płynnego odtwarzania filmu HD w domu Pana Generała. A co dopiero jakieś 4K. Po co więc taki sprzęt był (najprawdopodobniej) zamawiany wielokrotnie?

W przypadku wirtualizacji, standardem jest platforma VMware (na co wskazuje aż 70 różnych wariantów licencji), uzupełniona rozwiązaniami Veeam do backupu.

Systemy operacyjne

Na komputerach biurowych standardem jest system Windows – co ciekawe, w tej chwili zamawiany jest Windows 10 N OEM, a więc dość specjalna wersja bez preinstalowanych funkcji medialnych, z licencjami przypisywanymi na stałe do sprzętu (czyli najczęściej komputerów Dell OptiPlex).

Prawdę mówiąc, spodziewaliśmy się raczej wersji BOX, które można przenosić komputerami – na wypadek wojny byłoby to znacznie praktyczniejsze. No chyba, iż Wojsko Polskie zakłada, iż na wypadek wojny będzie można olać kwestie licencyjne?

Na serwerach również standardem jest Windows – przy czym najwięcej pozycji mają Windows Server 2003, 2003 R2 i 2008. Jest też bardzo możliwe, iż niektóre z tych systemów nie są w ogóle aktualizowane ze względu na kwestie kompatybilności. Albo prostu całkowicie wyszły z użycia. Kolejną ciekawostką jest, iż backup warstwy serwerów Windows jest realizowany oprogramowaniem Symantec.

Oczywiście na Windows Server wojsko się nie kończy – jest też Linux, głównie w postaci drogiego Red Hat Enterprise Linuxa. Duża liczba kupowanych książek (pole Symbol Katalogowy zaczyna się od „ISBN”) świadczy o tym, iż ostro się tam Linuxa uczą – w przeciwieństwie do platformy Windows, którą wielu przyszłych żołnierzy lepiej lub gorzej zna już w momencie rekrutacji.

Czy jest coś jeszcze? Są jeszcze jakieś pojedyncze niedobitki systemów Unix typu Tru64 albo SCO (pamiętacie ich jeszcze?), a choćby jedna instalacja Novell NetWare, ale wygląda to wyłącznie na utrzymanie jakichś pojedynczych w skali całego kraju, starych systemów, których z jakichś specyficznych powodów nie można zmigrować ani po prostu wyłączyć.

Realnie można dzisiaj mówić o Windows i Linuksie – a zatem odczarujmy pewien mit: Wojsko Polskie wcale nie odbiega pod względem używanych komputerów, serwerów, systemów operacyjnych czy sprzętu sieciowego od firm komercyjnych.

Centralne zbieranie logów

Tu można się doszukać śladów po testach dwóch rozwiązań. Pierwszym jest Kiwi Syslog, do którego najprawdopodobniej robiono 3 podejścia. Jest to prosty serwer syslog dla Windows – umożliwiający odbieranie na maszynach Windows logów z maszyn z Linuxem. Autor tych słów też ćwiczył to rozwiązanie i było najlepsze… ale w 2006 roku.

Drugim rozwiązaniem jest szeroko znany system Splunk. Kupiono tutaj łącznie najprawdpodobniej:

  • 11 licencji na Splunka Enterprise, w większości w bardzo niedużych wariantach – a na pewno zbyt małych jak na skalę całego wojska, zaś ostatni zakup miał miejsce w drugiej połowie 2016 (wskazują na to konkretne numery wersji podane w nazwach pozycji)
  • 2 licencje na Splunk SIEM, na łącznie 11 serwerów (tu niestety nie ma podanych wersji, a więc ciężko wnioskować o datach zakupu)

Poczta

Standardem jest tu Microsoft Exchange, używany w Wojsku Polskim jeszcze od wersji 5.0, a dzisiaj w wersji Enterprise 2019. W bazie można znaleźć ponad 40 pozycji związanych z zakupem licencji, w tym 2 dotyczące otwartych licencji OLP GOV.

Apropos Exchange – kojarzycie tego gościa?

Poza nagrywaniem śmiesznych filmów, zdarza mu się też pracować jako prezes firmy CodeTwo, która tworzy to narzędzie:

Podpisy cyfrowe i szyfrowanie

Wojsko Polskie używa różnych systemów szyfrujących do różnych zastosowań. Natomiast co najmniej w tej części cywilnej (czyli przetargi, zatrudnienie, ZUS itp.) używa dokładnie tego samego sprzętu (w tym czytników Omnikey 6121, a wcześniej wycofanych już ze sprzedaży Omnikey 3821 Pinpad), z tymi samymi słabościami, co firmy cywilne:

No dobra, a co z popularnymi ostatnio kluczami U2F, z popularnym Yubikey na czele? Kupiono ich 3 partie, niestety nie znamy konkretnych ilości – nie przypisano im jednak żadnych indeksów, więc przypuszczalnie były to bardzo niewielkie partie, najprawdopodobniej wręcz pojedyncze klucze, 2-paki, albo maksymalnie 10-paki. Więc niezależnie od dokładnej ilości (czyli od 3 do 30 sztuk), mowa o zakupach na potrzeby indywidualnych osób, a nie całego wojska.

Kolejnymi systemami szyfrującymi, które można spotkać również w firmach cywilnych, są systemy polskiej firmy FUDO Security, kiedyś znanej jako WHEEL Systems – czyli urządzenia głównie do kontroli dostępu i nagrywania działań użytkownika, a także do inspekcji ruchu sieciowego:

Czy jest coś bardziej zaawansowanego i specjalistycznego? Takiego, z czym autor tego tekstu nie zetknąłby się wcześniej osobiście w firmach cywilnych? Owszem, szyfratory Compcrypt (również polskiej firmy Comp S.A.) i moduły HSM różnych firm, głównie Gemalto. Tych drugich nie ma jednak zbyt wiele:

Oprócz poniższych, baza zawiera też ok. 140 innych szyfratorów, deszyfratorów i elementów do nich. W większości są to jednak urządzenia jeszcze bardziej specjalistyczne, bądź jeszcze słabiej oznaczone – np. SZYFRATOR AAT-T, ZESPÓŁ SZYFRATORA OSZ M763, DESZYFRATOR DP-2, czy TELEFON Z SZYFRATOREM OMNISEC 212 V.24.

Rozwój własnej elektroniki i oprogramowania

Okazuje się, iż w Wojsku Polskim tworzy się specjalistyczną elektronikę i oprogramowanie na skalę niemalże masową – w każdym razie dużo większą, niż choćby w korporacjach, które utrzymują własne działy deweloperskie, zamiast kupować gotowe produkty.

Samych układów scalonych jest w bazie prawie 4,5 tysiąca wariantów. Do tego 30 tysięcy (!) różnych rezystorów i 15 tysięcy kondensatorów. Z gotowej elektroniki jest wiele standardów, np.:

  • Raspberry Pi – a standardowo używanym ekranem jest RB-LCD-7 (Drodzy Żołnierze, czyżbyście mieli problem z opracowywaniem sterowników do innych modeli? Spędziliśmy nad tym trochę czasu i chętnie pomożemy. Proszę, oto prezent od nas.)
  • Arduino – standardowo używane wersje to Mega 2560 R3 i Uno R3
  • sporo różnego rodzaju programatorów (np. Atmel, Altera) do programowalnych układów scalonych
  • oczywiście mnóstwo sprzętu pomocniczego, narzędzi itp.

Odczarujmy więc kolejny mit: Wojsko Polskie tworzy wprawdzie mnóstwo własnych, prawdopodobnie mocno unikalnych konstrukcji. Tworzy je jednak głównie z całkiem zwyczajnych części, jakie każdy cywil może sobie zamówić w dowolnym sklepie z elektroniką. Oraz przy użyciu całkiem zwyczajnego oprogramowania, głównie Microsoft Visual Studio, wspomaganego narzędziami Embarcadero, czyli dawnego Borlanda (któż nie słyszał o Delphi?).

Apropos, pamiętacie jeszcze z początku tego artykułu, w czym był napisany program, który właśnie wyciekł? Otóż właśnie w tym Visual FoxPro 9 – wygląda więc, iż książka się przydała ?

Przechowywanie i wymiana danych między aplikacjami „biznesowymi”

Ten termin cokolwiek dziwnie brzmi w przypadku Wojska Polskiego, niemniej jednak posiada i przetwarza ono jako instytucja różnego rodzaju dane. W tym dane uporządkowane, trzymane w bazach danych, systemach kolejkowych czy tzw. szynach danych.

Jeśli chodzi o dane relacyjne – tutaj zdecydowanym standardem jest Microsoft SQL Server, dla którego wojsko ma aż 9 otwartych licencji grupowych – przypuszczalnie dlatego, iż korzystają z nich różne oddziały niezależnie od siebie. Do tego, jak w każdej większej instytucji, zdarzają się pojedyncze egzemplarze wielu różnych baz danych, np. MySQL, czy choćby Pervasive, znienawidzony przez osoby zajmujące się systemami Symfonia.

Co ciekawe, nie ma jednego standardu płatnego narzędzia do zarządzania tymi bazami danych: dominujący zdaje się być SQL Toolbelt (świetne narzędzie!), ale mamy też np. Toad. Do tego SAP, o którym powiemy niżej, ma swoje własne narzędzia, a pewnie używają też całej gamy narzędzi darmowych.

Jeśli chodzi o wymianę danych – ciężko powiedzieć, na ile Microsoft BizTalk Server jest tam realnie standardem, bo w tej dziedzinie coraz bardziej rozpychają się rozwiązania open source. Niemniej jednak BizTalk jest podstawowym narzędziem komercyjnym tego typu:

Gotowe aplikacje ERP, finansowe i inne biznesowe

Zarządzanie w Wojsku Polskim na poziomie globalnym jest oparte o system SAP:

Lokalnie natomiast stosowane są różne systemy, gotowe i własne. Mamy więc np. 2 instancje wspomnanego nieco wyżej systemu Symfonia. Minimalnie wyróżnia się tu system RAKSSQL:

Inżynieria wsteczna

Zacznijmy od takiego banalnego tematu jak odzyskiwanie danych. Ujmijmy to w ten sposób: w naszym Ransomware.pl mamy lepsze zabawki ?

Dość standardowym (choć teoretycznie dostępnym tylko dla wybranych) narzędziem jest także IDA Pro:

No i wreszcie znaleźliśmy takie oto ciekawostki (w zasadzie głównie tą pierwszą):

Oprogramowanie szpiegujące zabezpieczające żołnierzy

W tej dość szerokiej kategorii znajdziemy klasyczne oprogramowanie antywirusowe (w tym świetne ESET, Kaspersky i BitDefender, dobre Trend Micro, średnie Dr Web, G-Data, Panda i Avast, czy bardzo słabe Symantec, McAfee i polski Arcabit).

Przede wszystkim jednak to systemy SIEM – czyli wymieniony już wyżej Splunk SIEM, nieco gorszy McAfee SIEM, a także kompletnie nam dotychczas nieznany IBM Security QRadar, I systemy DLP, np. DeviceLock. Czy wymienione wyżej urządzenia FUDO Security.

I wreszcie nasza ulubiona podkategoria, czyli narzędzia utrudniające korzystanie z portów USB, np. program USB Lock RP, czy wkładki USB Lindy, fizycznie blokujące dostęp do portów zewnętrznych. To naprawdę fajna rzecz. A tutaj pokazujemy, jak ją ominąć, gdyby się jednak komuś znudziła i chciał sobie np. posłuchać Lady Gagi z pen drive’a ?

Człowiek całe życie się uczy…

Wbrew obiegowym opiniom, również w wojsku. Dlatego też w bazie znajdziemy ponad 7,5 tysiąca książek – i mowa tylko o tych, które mają podany Symbol Katalogowy zaczynający się od ISBN. A to z pewnością nie wszystko, bo wielokrotnie przy najróżniejszych wyszukiwaniach wyskakiwały nam co najmniej dziesiątki książek bez podanego numeru ISBN – np. świetna (choć już dość stara) książka Jerzego Grębosza „Symfonia C++ Standard” pod indeksem 1377176.

A jak zarządzać taką ilością książek? Otóż wojsko używa do tego znanego systemu do obsługi bibliotek SOWA (dokładnie wersji SOWA2/MARC21).

Sprzęt mobilny

Dzisiaj IT to już nie tylko komputery stacjonarne, czy choćby laptopy. Większość ruchu do stron www w Internecie już teraz konsumowana jest z urządzeń mobilnych: telefonów i tabletów. Czy Wojsko Polskie pod tym względem nadąża?

W bazie znajduje się łącznie przynajmniej kilka (możliwe iż choćby kilkanaście) tysięcy różnych telefonów – bardzo różnych, od analogowych, przez ISDN i pierwsze telefony komórkowe, dzisiaj zwane „dumbfonami”, aż po najnowocześniejsze telefony, w tym te z wyższej półki. Ile dokładnie tego jest – ciężko powiedzieć bez poświęcenia kilku godzin na zbudowanie dobrej bazy słów kluczowych, a potem prześledzenie atrybutów, które mogłyby wskazywać na wielkości poszczególnych partii zakupowych. A atrybuty są tu bardzo niespójne – choćby w przypadku samego tylko sprzętu Apple, sposób ich opisywania zmienił się przypuszczalnie na przełomie 2016/17, w okolicach premiery iPhone 7 i 8.

Do tego dochodzi cała masa różnych kabli, ładowarek, przejściówek, etui, rysików, szkieł ochronnych – większość tego typu sprzętu kupowana jest wg indywidualnych preferencji, a to ma jeden efekt uboczny: pozwala zbudować relacje pomiędzy tego typu sprzętem pomocniczym, a sprzętem „właściwym”. Dzięki temu można by dość dokładnie ustalić, o jakich ilościach telefonów i tabletów mówimy – łącznie, w skali całej organizacji.

Jednak choćby bez dokładnych relacji, gołym okiem widać, iż oficerowie lubią sprzęt luksusowy, jak na możliwości finansowe, oraz statystycznie dokonywane wybory zakupowe tzw. przeciętnego Kowalskiego. Czyli np.:

  • telefony iPhone – a we wcześniejszych latach Nokia
  • tablety iPad i Samsung Galaxy Tab
  • sprzęt audio-video Sony, Panasonic/Technics, a choćby Denon (w tym sporo modeli uważanych „w swoich czasach” za audiofilskie, np. Denon DRA 800H ukryty pod indeksem 982018, który w przeciwieństwie do wielu innych modeli, które jeszcze można próbować wytłumaczyć, zupełnie nie nadaje się do pracy studyjnej, estradowej, czy żadnej innej poza uprzyjemnianiem czasu jakiemuś panu oficerowi)

oczywiście kupowane najczęściej z pełnym kompletem akcesoriów, w szczególności oryginalnych przejściówek od Apple (tu akurat Wojsko Polskie różni się od większości firm, które bardzo często decydują się na tańsze, a równie dobre przejściówki np. i-tec).

Część piąta, czyli co wiemy o sprzęcie bojowym?

Zacząć musimy od tego, iż jesteśmy kompletnymi laikami w tej dziedzinie. No dobra, wiemy oczywiście, choćby z filmów, iż każde wojsko używa broni palnej (karabinów, pistoletów itp.), pojazdów lądowych (czołgów, transporterów opancerzonych, aż po zwykłe ciężarówki, podobne do tych cywilnych) i wodnych (serio ma to sens na Bałtyku?), czy wreszcie lotnictwa.

Pewnie wiemy choćby odrobinę więcej, ale przez cały czas jest to wiedza, którą pewnie ma większość Polaków (a już na pewno wszyscy ci, którzy mają za sobą choćby służbę poborową), więc nie będziemy się tu próbować na siłę popisywać. Napiszemy tylko o paru sprawach, które rzuciły nam się w oczy.

I damy przy okazji małą deklarację: chętnie powspółpracujemy z kimś, kto ma większą wiedzę w tym kierunku. Ty możesz wskazać nam to, czego nie dostrzegamy albo nie potrafimy chwytliwie opisać, a my będziemy robić za Twojego ghost writera, tworząc kontynuację tego artykułu. Zapraszamy do kontaktu w dowolny, najwygodniejszy dla Ciebie sposób.

Sprzęt ciężki

A więc czołgi, samoloty, okręty itp.

Cały ten sprzęt trzeba oczywiście serwisować i dziesiątki tysięcy pozycji w tej bazie dotyczą właśnie różnego rodzaju części i sprzętu serwisowego. Tu jednak baza trochę zawodzi pod względem jakościowym, szczególnie w przypadku Marynarki Wojennej – większość przedmiotów związanych z serwisowaniem okrętów można wyszukiwać w zasadzie tylko po nazwach, gdyż nie mają wypełnionego ani Starego Indeksu Materiałowego, ani Symbolu Katalogowego, mają też kompletnie różne Klasyfikatory hierarchiczne (w tym wiele ma 9999, czyli „Pozostałe wyroby”), a choćby różnych gestorów.

Mimo tego naszym zdaniem da się zbudować relacje pomiędzy adekwatnymi pojazdami, a całością sprzętu do ich serwisowania – tym samym określając możliwości serwisowe w skali całego Wojska Polskiego. Pewnym problemem byłby natomiast koszt: co najmniej dziesiątki, może choćby setki godzin. No chyba, iż interesują nas głównie pojazdy naziemne – tutaj też idealnie nie jest, ale jakość indeksów (np. uzbrojenia, czy zestawów remontowych) jest zauważalnie lepsza, więc powinno pójść trochę szybciej. przez cały czas jednak to za dużo jak na ten artykuł (który robimy wyłącznie z „życzliwości”, bo ani nam nikt za niego nie płaci, ani choćby nie zarabiamy na reklamach) i nasze możliwości.

Podsumowując – uważamy, iż zbudowanie porządnych relacji i list słów kluczowych jest kwestią posadzenia do tej bazy 1-2 zdolnych analityków na raptem kilka tygodni (sami zobaczcie, ile my zdołaliśmy wycisnąć z tej bazy w nieco ponad 20 roboczogodzin, jako kompletni laicy, widząc ją po raz pierwszy na oczy). Ważne, aby:

  • byli to Polacy, a nie tylko osoby polskojęzyczne – w nazwach jest bowiem mnóstwo różnych drobnych niuansów, wyjątków, a choćby wyjątków od wyjątków, których nie wychwyci osoba, dla której język polski nie jest językiem natywnym
  • znali specyfikę wojska (chociażby na poziomie żołnierza po służbie poborowej, który się przykładał do szkoleń, zamiast tylko chlać)

ps. Pewną ciekawostką może być to, iż właśnie „w czołgach” znaleźliśmy najwięcej książek i innych materiałów szkoleniowych, które nie mają prawidłowo wypełnionego indeksu ISBN. Domyślamy się, iż filmy instruktażowe typu „Przeprawa czołgu T72 po dnie” mogą być materiałami wewnętrznymi i nie mieć w ogóle przydzielonego takiego numeru – ale też sporo materiałów ma Klasyfikator hierarchiczny 9915, co wskazuje, iż raczej nie są to materiały wewnętrzne. Warto więc nad tym popracować ?

Mundury i drobnica

Wojsko to nie tylko sprzęt ciężki. To również umundurowanie – bojowe (w tym różne rodzaje kamuflażu), ale też galowe. I masa akcesoriów, od menażek, przez jakieś światła chemiczne i inne narzędzia przydatne w terenie, aż po akcesoria medyczne, ratujące w polu walki życie żołnierza.

Tu ciekawostka: w Polsce umundurowanie jest produkowane i sprzedawane przez normalne cywilne firmy, a MON określa jedynie jego wzory. I może je bez problemu kupić zwykły cywil – dla siebie, żona dla męża-żołnierza itd. Zakazane jest co najwyżej noszenie munduru przez osoby nieuprawnione – a i to dotyczy wyłącznie bieżącego wzoru, oraz posiada szereg wyjątków (np. inscenizacje, plany filmowe, uroczystości itd.).

Jednym z bardziej znanych w Polsce producentów ubrań taktycznych (koszule, bluzy, kurtki, kamizelki taktyczne, spodnie, pasy, ocieplacze, rękawice, torby, plecaki itd.) jest firma Helikon-Tex. W całej bazie znajdziemy raptem 73 pozycje, z czego raptem 14 ma wypełnione indeksy sugerujące albo większą wartość zakupu, abo możliwość wielokrotnych zakupów. Wg naszej najlepszej wiedzy, sam tylko Szeryf USA swoimi rekomendacjami wygenerował większą sprzedaż indywidualną wśród żołnierzy, policjantów, czy wreszcie cywili: ochroniarzy, a choćby fanów ASG i podobnych zabaw. Trochę wstyd, zwłaszcza iż wg wielu relacji sprzęt Helikon-Tex jest dużo lepszy od tego „resortowego” (czyli również kupowanego od firm cywilnych, ale tych tańszych).

(Nie, nie dostaniemy za tą rekomendację ani złotówki, a firma choćby o niej nie wiedziała. Ale też używaliśmy ich sprzętu i serio jest dobry – choć czasem może nieco „szorstki”.)

Podsumowanie

Tak naprawdę zaledwie liznęliśmy tą bazę. Z braku czasu nie dotknęliśmy mnóstwa potencjalnie ciekawych i obiecujących tematów, choćby w dziedzinach, na których się choć trochę znamy – np. kamer i rejestratorów CCTV, co by potencjalnie mogło pomóc wskazać różne słabości stosowanego monitoringu wizyjnego.

Można by się też dużo bardziej przyłożyć do dokładnej analizy sprzętu audio-video i nagłaśniającego, korelując go z innym sprzętem i wskazując, jak duża część np. zakupionych przez wojsko wzmacniaczy audio ma jakość dużo wyższą, niż realnie wystarczająca do potrzeb wojskowych – prawdopodobnie z premedytacją, aby w wolnym czasie uprzyjemniać komuś wieczory…

I podobnie prawdopodobnie w kilkudziesięciu innych kategoriach…

Całkowicie też sobie odpuszczamy zgadywanie, czy za wyciekiem bazy i programu rzeczywiście stoi pan Kazimierz, jak to już ktoś gdzieś w Internecie zasugerował, czy może np. ktoś z usuniętych z tabeli uprawnienia użytkowników o numerach 3, 5, 6, 8, 11, albo 12. W gruncie rzeczy nie chcemy robić problemów żadnego indywidualnemu żołnierzowi. Tak na serio, to jesteśmy wdzięczni za Waszą służbę.

Jak widać, już to, co przy naszych niewielkich (a w ten piątek jeszcze dodatkowo ograniczonych) mocach przerobowych udało się nam opracować, dość jasno pokazuje, iż dysponując choćby szczątkowymi danymi, da się z nich wyciągnąć dużo więcej ciekawych wniosków, niż by się wydawało na pierwszy rzut oka. Wystarczy po prostu poświęcić na to odpowiednio dużo czasu, cierpliwości i dobrej woli.

A może znacie inne bazy tego rodzaju? Czyli również publiczne, których jednak nikt dotychczas porządnie nie przeanalizował? My możemy spróbować, jeżeli tylko zawartość będzie wyglądała na chwytliwą. Ponownie zapraszamy do kontaktu z nami.

Piszcie też w komentarzach, co Wam się w artykule spodobało, a co np. wymaga szerszego wyjaśnienia. Może niedługo zrobimy dogrywkę? ?

Aktualizacja #1 (jeszcze przed oficjalną publikacją)

Bartek Jerzman (były szef zespołu CTI w CSIRT MON) odpisał nam w dyskusji na Twitterze odnośnie liczby licencji na IDA Pro, wskazując, iż nasze generalne wnioski dotyczące opisywania zakupów licencji, nie zawsze muszą się sprawdzać w konkretnych przypadkach:

Aktualizacja #2 (poniedziałek 13:50)

Na prośbę zaprzyjaźnionego serwisu jeszcze jedna całkiem interesująca kategoria – silne leki narkotyczne i psychotropowe. I to tylko polskie nazwy, po kilku słowach kluczowych – są też leki z nazwami w języku angielskim i jest ich łącznie wielokrotnie więcej, niż w poniższej tabeli:

Autor artykułu na wszelki wypadek oświadcza, że:

  • nigdy nie składał przysięgi wojskowej (i nigdy nie zamierza – choć jest otwarty na współpracę z wojskiem jak z każdym innym potencjalnym klientem, ale na normalnych zasadach biznesowych, a nie żadnej „służby”)
  • nigdy nie służył w żadnych formacjach wojskowych, ani z nimi nie współpracował choćby jako cywil, a na terenie jednostki wojskowej ostatnio przebywał w roku 2003, dopełniając formalności związanych z uzyskaniem kategorii „D”
  • nie jest i nigdy nie był osobą upoważnioną do czegokolwiek w rozumieniu art. 129 Kodeksu karnego (lub podobnych przepisów z innych ustaw)
  • nie posiada żadnej wiedzy niejawnej w rozumieniu Ustawy o ochronie informacji niejawnych, ani też żadnych zobowiązań w zakresie ochrony takich informacji, nigdy też choćby nie próbował aplikować o certyfikaty potrzebne przy dostępie do jakich informacji
  • nie ujawnia żadnej wiedzy, która byłaby objęta podpisanymi przez niego cywilnymi umowami typu NDA
  • nigdy wcześniej (przed 14. stycznia) nie widział bazy eJIM, ani choćby KWO i nie posiada żadnej wiedzy przydatnej w ewentualnym śledztwie ws. tego zdarzenia
  • po prostu trochę interesuje się tematami około-wojskowymi, ale wyłącznie jako laik
  • po prostu ma umysł analityczny i łatwo mu przychodzi znajdowanie różnych wzorców w zbiorach danych
  • tworząc ten artykuł, kierował się dobrą wolą i deklaracją MON: „Ujawniony indeks zawiera wyłącznie informacje powszechnie dostępne.”

Zdjęcie przedstawiające 4 żołnierzy w trakcie libacji alkoholowej w jednostce wojskowej, jest kadrem z polskiego filmu Samowolka. jeżeli ktoś nie widział, polecam. Młodszym czytelnikom uświadomi on, dlaczego ci starsi robili, co tylko mogli, aby uchylić się od obowiązkowej (do 2008) poborowej służby wojskowej, często choćby trwale pogarszając własny stan zdrowia.

Idź do oryginalnego materiału