Dlaczego hackowanie aplikacji webowych jest proste? Zapisz się na darmowe szkolenie od sekuraka.

„Gigantyczny wyciek z wojska” – czyli afera „z czapy”.

14 stycznia 2022, 16:41 | Aktualności | komentarzy 40

Różne media wspominają dzisiaj o „gigantycznym wycieku z wojska”. Przyjrzyjmy się mu nieco bliżej.

Sam wyciek (tj. link do archiwum „System Informatyczny Jednolitego Indeksu Materiałowego”) pojawił się na jednym z forów dnia 9. stycznia 2022r.

A że lubimy od czasu do czasu analizować różne fora, plik namierzyliśmy 11.01.2022 (trzy dni temu) i od razu temat zgłosiliśmy do CSIRT MON, pytając od razu dwa niezależne źródła o szacunki powagi „wycieku”. Oba źródła związane z wojskiem stwierdziły, że informacje te nie są „tajne” czy też „poufne”.

O tym, że „nie ma paniki”, może sugerować również sama dokumentacja systemu dostępna w „wycieku”:

Czy Polska posiada np. „Rakiety jądrowe” – bo taka pozycja znalazła się w bazie? Wg Onetu być może tak ;-) Ale na pierwszy rzut oka widać, że coś tutaj nie gra. Słusznie to zresztą podsumował Adam z Zaufanej Trzeciej Strony:

Nasza ocena zawartości bazy danych wskazuje, że nie ma w niej informacji w rodzaju „W Pułtusku mają trzy czołgi, z czego jeden zepsuty”. Udostępniony w sieci plik jest czymś w rodzaju indeksu materiałowego, bez stanów magazynowych.

No więc czym przykładowo „dysponuje” Polska Armia? Są sanki (amortyzowane):

Są kwiaty (piwonia), ciasteczka oraz piwo:

Są też strategiczne „zestawy do monitoringu security” ;-)

Oraz oczywiście PSY ;)

Można też pograć (tematyka – w większości przypadków – zdecydowanie około-wojskowa):

W bazie jest również sprzęt wojskowy – ale raczej nie ma sensu go wyliczać…

Warto również zaznaczyć, że baza potencjalnie może być „przydatna”, w połączeniu z ew. innymi bazami (które mogą wyciec np. w przyszłości), więc choćby z tego względu nie udostępniamy jej publicznie – i to mimo uspokajającego wpisu sformułowanego przez MON (patrz poniżej). W paczce widać również niezbyt dobre praktyki bezpieczeństwa sugerowane podczas używania systemu, ale ten wątek zostawmy może na kolejny wpis.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Sempol

    A petunia w doniczce? (not again) ;)

    Odpowiedz
    • Wieloryb

      Miło przeczytać :)

      Odpowiedz
  2. W wojsku mają taki sprzęt, który pozwoli im zagrać m.in. w oba Drivery? A może mają komputery z programem udającym takowy (emulator PlayStation 1)? Bo mocno mnie to intryguje. Według mnie powinni zamówić chociażby automat (na monety) z grą Tank Force (produkcja Namco ltd, rocznik 1991, z amerykańskim romem dla 4-ch graczy). To byłoby sensowne. Dodam, że mogli także nakupować FamiComów (nintendowski sprzęt do gier na cartridge) i grę Battle City. NES-y też mogli kupić, tak samo jak Contrę i Super C (do pogrania sobie). Bo dlaczego nie?

    Odpowiedz
    • Milosz

      Praktycznie wszystkie te gry mozna odpalic. A Playstation 3.

      Odpowiedz
      • Możliwe, że PlayStation 3 też mają. Ale wymagania emulatora „peestrójki” są tak wygórowane, że jak do tej pory żaden komputer nie jest w stanie płynnie odwzorować wrażeń z PS3. Ale na automatach, standardowym i Super Nintendo chętnie bym zagrał!

        Odpowiedz
        • Batteries

          PS3? To nie o moc i szybkość chodzi a o całkowicie obcą architekturę (cell) więc wszystko musi być w locie tłumaczone i emulowane. Więc de facto trzeba zaimplementować skomplikowane funkcje procesora w kodzie. I pewnie robią to fanatycy ochotnicy a nie zgrany dobrze płatny zespół z armią testerów.

          Nie wiem jak sobie radzą z grafiką. Może tego nie trzeba emulować a wystarczy warstwa translacji.

          https://rpcs3.net/quickstart

          Odpowiedz
  3. Kloss, Hans Kloss

    Oczywiscie w doniczce. Stawia sie ja na parapecie w lokalu kontaktowym. Bez doniczki (na lezaco) nie bylaby widoczna z ulicy, zreszta szybko by uschla.
    Sluzy do sygnalizacji, czy nie ma tzw. kotla. W razie wsypy doniczke z roslina usuwa sie z parapetu. W wojsku kazdy to wie.

    J-23.

    Odpowiedz
    • Stirlitz

      Ależ Haaans… Sygnalizujemy to zawsze trzynastoma doniczkami i kalesonami Bormana…

      Odpowiedz
  4. Krzysztof

    Sznaucer olbrzym O.o Ciekawe czy futerko na wystawe psów już ogarnięte

    Odpowiedz
  5. ewa

    A jest młotek. Nie opozycja nim w lep się walnie.

    Odpowiedz
    • Miodek

      A słownik ortograficzny jest?

      Odpowiedz
  6. Żenua

    Klasyfikacja Wyrobów Obronnych (KWO) istnieje od co najmniej 1999 roku (szybkie googlowanie: https://sip.lex.pl/akty-prawne/dzu-dziennik-ustaw/klasyfikacja-wyrobow-obronnych-kwo-16834138). To tylko potwierdza słuszność przypuszczenia, że ktoś sobie mógł wyciągnąć tabelki z różnych systemów (jawnych, niejawnych?), by własnoręcznie sobie joinować bo tak wygodniej, i wyciekło. I te grupy KWO to tabelka „wymiarowa”, zaś we tabelkach „faktowych” wcale nie musi być wszystkich kluczy, np. tych od broni jądrowej, albo statków kosmicznych:

    18 POJAZDY KOSMICZNE
    1810 Pojazdy kosmiczne
    1820 Elementy składowe pojazdów kosmicznych
    1830 Układy zdalnego sterowania pojazdami kosmicznymi
    1840 Wyrzutnie pojazdów kosmicznych
    1850 Wyposażenie serwisowo – obsługowe pojazdów kosmicznych
    1860 Sprzęt umożliwiający przetrwanie w przestrzeni kosmicznej

    Jeżeli precyzyjna informacja jaki typ wojska ma dokładnie jaki sprzęt (i w domyśle jakiego sprzętu nie posiada na stanie) jest informacją jawną, to ja się pytam, CO ZA KRETYN TRZYMA TAKIE INFORMACJE W JAWNYCH DOKUMENTACH??

    A Sekurak się kompromituje, robiąc sobie heheszki i tym samy powtarzając partyjny przekaz dnia.

    Odpowiedz
    • Nie mówimy tutaj o KWO (chociaż one też są w bazie) – nic ciekawego.

      „Jeżeli precyzyjna informacja jaki typ wojska ma dokładnie jaki sprzęt (i w domyśle jakiego sprzętu nie posiada na stanie)” -> gdzie masz w tej wyciekniętej bazie taką informację?

      Odpowiedz
      • Nux

        No właśnie, są czy nie ma. Bo sam indeks, to informacja za pewne bezużyteczna, ale payloadpl twierdzi, że są tam przydziały do jednostek i są stany magazynowe.

        Sam indeks byłoby w ogóle bezużyteczny. Znaczy po co ktoś miałby go robić? Chyba że to była pusta baza z samymi kategoriami do wypełnienia dopiero.

        Odpowiedz
        • A gdzie payload pisze, że są konkretne stany magazynowe dla sprzętu (dasz linka proszę) ?
          Przydziałów do konkretnych jednostek też niebardzo widać – chyba że pisali o ogólnych 'gestorach’ (czyli ogólnych dysponentach). Bo mapowanie dany sprzęt -> gestor (jeden z ~50) jest w bazie.

          Odpowiedz
          • Nux

            Jak rozumiem chodzi o przydział odpowiedzialności co najmniej. Więc to jednak coś więcej niż tylko indeks.
            https://twitter.com/PayloadPl/status/1481983698882936832

            W ogóle to z tym, że z3s nie ogarnęła kodowania znaków to moim zdanie spora wtopa. Co prawda widywałem już takie rzeczy. Zajmuje się w pracy m.in. bazami danych. Ale jak się już dziennikarzy oskarża o brak staranności, a swoje są opiera o bardzo pobieżnej analizie, to jednak trochę nie fair…

          • To są właśnie ci „gestorzy”, o których wspominałem we wcześniejszym komentarzu. Coś może z tego się uda wyciągnąć, ale:
            1) to raczej jest informacja, że ktoś tym konkretnym sprzętem „zarządza” – nie ma tam stanów magazynowych, nie wiadomo też czy jest jego 0 czy 1000000 i zdaje się czy w ogóle było kupowane.
            Bardziej na zasadzie NCBC – ok, to oni zarządzają np. licencjami na IDA Pro, a nie dział zaopatrzenia żywnością.
            2) przykładowa informacja: gestorem przedmiotu 'KOSTIUM MYSZY’ jest „wojskowe centrum edukacji obywatelskiej” (to jest autentyczny przykład. Tych ostatnich nazw jest ~50 – nie są to wiec jakieś poszczególne jednostki)
            3) Z informacji MON wynika że te informacje (m.in. pierwsze i drugie zdanie tego komentarza) to nie są informacje poufne czy tajne.

          • Nux

            To znaczy chodzi mi o to, że jeśli to jest baza binarna, to do jej analizy nie wystarczy tak sobie przescrolować jakiś edytor (ewidentnie nie działający w pełni z tą bazą). Tak na prawdę trzeba by otworzyć tą bazę w tym programie. Bo część danych może być zaszyte chociażby w enumach itp opisujących np. typy zapisów. Część w ogóle może być zapisana w poszczególnych bitach, bo i takie rzeczy się robiło kiedyś z oszczędności miejsca.

            Jak już się robi shaming to wolałbym, żeby był rzetelny. Mogę zrozumieć dziennikarski pośpiech, ale trochę się zawiodłem. Liczę na jakąś lepszą analizę od Was lub od Z3S.

          • Czy wg Ciebie oficjalny klient tej konkretnej bazy to jest „edytor (ewidentnie nie działający w pełni z tą bazą)” ? ;-)

            Ogólnie baza jest prosta jak drut, potencjalnie są pojedyncze pola, które mogą mieć dalsza strukturę, ale przy najmniej na razie nie widzimy żeby miały coś sensownego/istotnego dla sprawy znaczyć.
            Jedyne sensowne powiązanie to baza <-> gestor (patrz inny komentarz tutaj)

    • Andrzej

      Ja też nie rozumiem bagatelizowania tej sprawy przez było, nie było jeden z najpoważniejszych portali o tematyce bezpieczeństwa.

      Moim osobistym zdaniem, nawet jeśli te dane są testowe to i tak pozostaje sam fakt wycieku.

      Kto, jak, dlaczego? Czy to próba przed czymś większym? Czy zajmują się tą sprawą ludzie o odpowiedniej wiedzy? Co zawiodło, co należy poprawić?

      Pytania możnaby mnożyć, a zaufania do obecnej władzy nie przybywa. Kompromitacja na cały świat, nie ważne jak mocno bagatelizowana.

      No ale nic sie nie stało bo to lipna lista… hehe… pegazus… hehe taki koń… (facepalm)

      Odpowiedz
      • Czy dobrze że te dane znalazły się publicznie? Nie.
        Czy absurdalne rozdmuchiwanie tego faktu do granic możliwości i robienie z tego politycznej zadymy jest dobre? Nie^2. I wpis zrobiliśmy w kontrze do tego co dzieje się obecnie w mainstreamie, który chyba w ogóle nie widział na oczy tej bazy…

        Odpowiedz
        • Andrzej

          Jeszcze raz napiszę. Nie chodzi o to co wyciekło ale, że wyciekło. I znając nasz rząd zaraz to zgarną pod dywan, bo „piorun nie uderza dwa razy w to samo drzewo”.

          Przypominam, że to także ten sam rząd, który nie uznaje wycieku rządowej komunikacji, z GMAILOWEJ skrzynki za coś poważnego. Ten sam rząd który twierdzi, że nie używał Pegasusa i zupełnie nie jest zainteresowany żeby dowiedzieć się jaki inny rząd używa tego na polskich politykach i obywatelach.

          Zamiast posypać głowę popiołem będziecie brnąć że nic się nie stało bo dane nieistotne i nikt ich nie widział?
          To może jeszcze powiecie że Tusk się wam na stronę włamał i artykuł napisał. XD

          Czyżby jakiś kontrakcik rządowy się szykował? ;)

          Odpowiedz
          • Andrzej:
            1) to, że wyciekło to jest jak najbardziej problem, o czym piszemy w jednym z poprzednich komentarzy.
            2) gdyby cała sprawa była nieistotna, to w ogóle nie byłoby newsa u nas :-) Sprawa nie jest istotna w miejscu, w jakim przestawia to mainstream
            3) miej litość – jeśli ktoś przykładowo traktowałby wyciek czystych adresów e-mail z gmaila (bez haseł, imion, etc) – jako coś „gigantycznego”, co stanowi o niesamowitej kompromitacji polskiej armii i w zasadzie to trzeba przez to zdymisjonować Ministra Obrony, jak nie cały rząd – to chyba taki ktoś nie widział żadnego poważnego wycieku. Taki news stanowi ordynarną pałkę polityczną. Stąd nasz protest w formie niniejszego newsa.

        • Spiknief

          Dokładnie! Brawo za trafne wnioski i obiektywizm!

          Odpowiedz
      • goszszszsz

        Wycieka coś, co jest publiczne i ministrowie mają iść do dymisji???

        Odpowiedz
  7. Jozin z Bazin

    Przy tak szczegółowych informacjach na temat wyposażenia można wiele zrobić, ciekaw jestem co będzie się działo w niedalekiej przyszlości na ukrainie
    \

    Odpowiedz
  8. Gdzie zaczyna się woisko

    Wojsko Polskie nie ma pocisków jądrowych, ale miało. 9K79 Toczka
    została wycofana w 2005. Część pocisków miała głowice konwencjonalne, a część nie miała głowic – te w wersji jądrowej miały być nam przekazane od wojsk radzieckich.

    Podobnie było z bombami jądrowymi które mogły przenosić niektóre MiG-21, Su-7 i Su-22 (ostatnie w użyciu do dzisiaj).

    Tak więc występowanie takich haseł w indeksie materiałowym ma sens.

    Odpowiedz
    • kdr

      W trzecim zdaniu zaprzeczasz temu, co napisałeś w pierwszym.

      Odpowiedz
  9. Janek

    Na Z3S wyszczególniali whisky. I nawet pegasusa znaleźli i to nie jednego. A potem commodore i atari. Ale Wy to przecież wiecie 😉
    Rozdmuchany temat żeby sensacja była w pudelkach i faktach.

    Odpowiedz
  10. RaK

    Piwonia to nie kwiat tylko artyleria samobieżna. Wycofana w Polsce
    https://pl.wikipedia.org/wiki/2S7_Pion
    Swoją drogą brakuje mi tablic Mendelejewa.
    Ktoś chciał zrobić sztuczny dym, aby przykryć czyjąś nieudolność.
    Albo żołnierzyna, który skopiował tę bazę został namierzony i aby chronić d… puścił to do mediów robiąc z siebie bohatera jednego wieczoru.

    Odpowiedz
  11. K.

    Jeżeli chodzi o gry to zwróćcię uwagę, że większość tytułów jest już stara. W niektóre gry żołnierze mogli pograć po służbie np. w klubie żołnierskim i wypić przy tym piwko (dla relaksu). W wojsku istnieje tendencja, żeby spisywać wszystko i stąd taka obszerność tematyki bazy gdzie każdy materiał dostaje swój numer. Są w bazie także rzeczy powstałe np. podczas „spisów z natury”, np. jak żołnierz zostawił po sobie „coś” odchodząc z wojska.

    Odpowiedz
  12. Potomek Szwejka

    Prawie zupełnie nie w temacie: jak wygląda oficjalne godło Polski? Jaką koronę ma na głowie? Są afery o tęczowe obwódki, inne obrazy uczuć duchowych a tutaj CISZA!

    Odpowiedz
    • pepe

      Do Potomka Szwejka:
      Godło jak najbardziej prawidłowe!!!!
      Polski orzeł – ten oryginalny.
      I korona – zamknięta zwieńczona krzyżem.
      1. Korona zamknięta – nie jesteśmy królestwem lennym, poddanym innym – patrz cesarstwo ( wszyscy królowie z „otwartymi” koronami zawsze komuś podlegali ).
      2. Krzyż na koronie oznacza tylko tyle i aż tyle, że nad nami tylko Bóg!
      I nie koniecznie chodzi tutaj o jakąś konkretną wiarę.
      Pozdrawiam
      Pepe

      Odpowiedz
  13. ffatman

    Owóż baza wyciekła nie potrzebuje dodatkowych, urianchajski minister wojny ma ludzi, którzy mu wyszacują, czego Błaszczak nie wie, co powinien ukrywać.

    Autor artu najwyraźniej nie ma analitycznego umysłu.

    W czasie poprzedniego, macierewiczowskiego, wycieku zainteresowani szczegółów zapoznali się z zestawem drukarek w centrali MON i upoważnionymi do obsługi.

    Odpowiedz
  14. B

    Raczej daliście się nabrać na „damage mitigation” – stworzenie własnego „wycieku” w celu zbagatelizowania sprawy (wycieku prawdziwych danych). Jest to standardowa technika używana od początku istnienia czegoś takiego jak śledztwa – coś jest na rzeczy, podrzucane są absurdalne poszlaki/dowody w celu zdyskredytowania prowadzących działania operacyjne.

    Dwa: taki wyciek nie służy do tego, żeby zobaczyć, w co grają żołnierze po godzinych. Te dane służą do zderzenia rzeczywistości z informacjami podawanymi przez wywiad / szpiegów / wtyki (prawdopodobnie każdego z osoba, bo obcy wywiad zna stan magazynowy bantustanu). Dzięki temu wiadomo, z kim można współpracować, a kto jest np z kontrwywiadu.

    Odpowiedz
    • No dobrze, powiedz proszę jakie to ważne dane są w tym „wycieku”? Albowiem:

      1) jeśli coś jest na liście, to nie ma pewności, że jakakolwiek formacja to posiada / posiadała
      2) nie ma stanów magazynowych
      3) nie ma przypisania do jednostek
      4) nie ma statystyk o sprawności/niesprawności sprzętu

      PS
      Temat gier wymyśliliśmy sami, tak żeby była trochę nietypowa kontra do mainstreamu, który łamiącymi wiadomościami grzmiał o „gigantycznym wycieku”, którego ze sporym prawdopodobieństwem nawet nie widział na oczy…

      Odpowiedz
  15. Już podaje

    Powszechny dostęp rozumiem, że był wcześniej, czy od tego wycieku? Banda partaczy, razem z autorem postu, broniącego polskiej władzy

    Odpowiedz
    • Ochłoń trochę, pozbądź się politycznego hejtu (w dowolna stronę) i jeszcze raz przeczytaj wpis (plus komentarze).

      Odpowiedz
    • Komu podajesz?

      Powinien bronić obcej, tak?

      Odpowiedz
  16. Spokojnie. To przeciek kontrolowany. najważniejsza informacja płynąca z niego jest taka, że – co niektórzy podejrzewali już od dawna. Polska posiada broń jądrową, zapewne w porozumieniu z USA i NATO.

    Odpowiedz

Odpowiedz na Spiknief