Informacja o wycieku poufnych wiadomości prywatnych z iPhona i iPada prezydenta Ekwadoru jest bezpośrednim nawiązaniem do tzw. afery INA Papers, w którą niedawno prawdopodobnie celowo został wplątany założyciel portalu WikiLeak Julian Assange. Dziennikarz nominowany do nagrody Nobla za ujawnianie afer na najwyższych szczeblach osobiście nie mógł się bronić. Jego redakcyjni koledzy z WikiLeaks stanowczo zaprzeczają rozgłaszanym pogłoskom przez ekipę rządzącą Ekwadoru, że to WikiLeaks miało ujawnić rozmowy pogrążające prezydenta Lenina Moreno. Na specjalnej stronie poświęconej INA Papers WikiLeaks pisze, że nie miało nic wspólnego z wyłożeniem na stół żadnych informacji dotyczących afery INA Papers, ponieważ dokumenty ujawniła jako pierwsza redakcja New York Timesa, która jest raczej krytyczna wobec działalności portalu WikiLeaks. Dziennikarze WikiLeaks zwrócili uwagę na swoim Twitterze na aferę odtajnioną przez NYT, przez co narazili się na atak prezydenta Ekwadoru. Najwyraźniej ktoś za wszelką cenę usiłuje utemperować założyciela WikiLeaks, wytaczając przeciwko niemu liczne pomówienia. Podobno w zamian za wydanie Juliana Assange Amerykanie obiecali Ekwadorowi umorzenie długu finansowego…

INA Papers to prywatne zdjęcia, kontakty, rozmowy i wiadomości potwierdzające korupcję

„INA Papers” to zbiór dokumentów opublikowanych w lutym 2019 roku rzekomo na temat działalność m.in. spółki INA Investment Corp. założonej przez brata ekwadorskiego prezydenta. Mówi się, że e-maile, połączenia telefoniczne i rachunki wydatków łączą prezydenta Ekwadoru oraz jego rodzinę z korupcyjnymi transakcjami prania pieniędzy na zagranicznych rachunkach bankowych.

Na stronie internetowej http://inapapers.org opublikowano szereg dokumentów związanych z korupcyjnym skandalem. Czytamy tam m.in. że prezydent Ekwadoru oraz jego współpracownicy mieli do dyspozycji co najmniej kilkanaście spółek zarejestrowanych w rajach podatkowych, a także liczne zagraniczne konta, na które spływały łapówki. Spółki oprócz wyprowadzania dochodów z oszustw podatkowych zajmowały się kupowaniem towarów luksusowych (samochodów marki Ferrari), portfeli ze skóry krokodyla, biżuterii, a nawet pośredniczyły w przejmowaniu luksusowych domów jednorodzinnych w Hiszpanii. Za jeden z nich zapłacono 18 milionów dolarów.

Afera INA Papers - wyciekają tysiące wiadomości z GMail
INA Papers to także ponad 200 000 prywatnych maili. Źródło: http://inapapers.org/borrando-la-evidencia.html

INA Papers stanowi zbiór ponad 200 000 prywatnych maili, które wyciekły z poczty GMail (politycy nie zadbali o zabezpieczenie i szyfrowanie poczty), w tym setki wiadomości z komunikatorów oraz prywatnych zdjęć najwyższej rangi polityków. Dokumenty opisują jak powstała organizacja przestępcza w Ekwadorze, Panamie i na Kubie oraz jak spółki-duchy pojawiały się i znikały. Krótko mówiąc, są to niezbite dowody ujawniające mechanizm korupcji i sieci prania pieniędzy, które pogrążają prezydenta Ekwadoru Lenina Moreno i jego rodzinę, a także współpracowników biznesowych.

INA Papers
Z telefonu m.in. prezydenta wykradziono zdjęcia, wiadomości, kontakty, historię rozmów. Jednym słowem: WSZYSTKO. Źródło: http://inapapers.org/ina-phones.html

Dostępne są do pobrania pełne kopie zapasowe plików z iPhona i iPada prezydenta Moreno, a także jego żony. Zdjęcia i wiadomości potwierdzają butę rodziny prezydenta, który był świadomy udziału w nieczystych interesach, a także tego, że jego partnerów biznesowych łączyły kontakty z osobami podejrzanymi o przestępstwa gospodarcze. Prezydent z rodziną nie mieli oporów, aby podróżując po świecie, pławić się w luksusach, kupować drogie koszule, krawaty, torebki, paski, zegarki i biżuterię międzynarodowych marek, zostawiając tysiące dolarów w ekskluzywnych sklepach i hotelach.

Wyciek dokumentów wywołał w Ekwadorze medialny skandal. Powołano specjalny zespół polityków, aby zbadać wiarygodność tych informacji. Na razie Lenin Moreno sprawuje funkcję prezydenta, dlatego nie może być przesłuchany ani oskarżony. Niewątpliwie zaszkodzi to jego reputacji.

WikiLeaks INA Papers
Ekwador i USA zamykają usta założycielowi WikiLeaks. Źródło: https://www.facebook.com/inapapersoficial/photos/a.605666129844250/613068075770722/?type=3

W całej tej historii zastanawiające jest, że w ciągu kilku miesięcy po objęciu urzędu prezydenta przez pana Lenina Moreno rząd Ekwadoru przyznał Assange’owi obywatelstwo i potajemnie realizował plan zapewnienia stanowiska dyplomatycznego w Rosji — byłby to jakiś sposób na uwolnienie Juliana z więzienia w ambasadzie Ekwadoru w Londynie. Plan został ostatecznie porzucony w obliczu sprzeciwu władz brytyjskich, które zapowiedziały, że aresztują założyciela WikiLeaks, jeśli opuści ambasadę. Później za sprawą wycieku INA Papers i nacisków Brytyjczyków oraz Amerykanów nastąpił nieoczekiwany zwrot.

INA Papers i aresztowanie Juliana Assange z WikiLeaks — chronologicznie

24 maja 2017 roku: Lenin Moreno zostaje prezydentem Ekwadoru.

26 marca 2019: WikiLeaks na Twitterze informuje o INA Papers, powołując się na New York Times.

27 marca 2019: Minister Spraw Zagranicznych Jose Valencia powiedział publicznie:

„Tweet WikiLeaks był absurdalnym kłamstwem, które zaszkodziło godności naszego kraju (…). Nie będziemy tolerować takich działań.”

28 marca 2019: Sekretarz Komunikacji Andrés Michelena powiedział dla CNN Español, że INA Papers było częścią spisku zainicjowanego przez Juliana Assange, a także prezydenta Wenezueli Maduro oraz byłego prezydenta Ekwadoru, aby obalić rząd obecnego prezydenta Moreno.

Tego samego dnia Zgromadzenie Narodowe wezwało Ministerstwo Spraw Zagranicznych do podjęcia działań w związku z udzielonym azylem. Oświadczenie rządu Ekwadoru celowo oskarża WikiLeaks o wyciek INA Papers. Wiceprezydent Ekwadoru Otto Sonnenholzner powiedział w wywiadzie dla lokalnego radia:

„To, co WikiLeaks i inni aktorzy polityczni zrobili, aby opublikować prywatne zdjęcia prezydenta Republiki Ekwadoru i jego rodziny jest podłym i odrażającym aktem.”

Minister Spraw Zagranicznych José Valencia dodaje:

„Będziemy analizować, czy agresywne publikacje pana Juliana Assange przeciwko Ekwadorowi zasługują na działania prawne ze strony państwa ekwadorskiego”.

1 kwietnia 2019: Ekwador składa wniosek do Organizacji Narodów Zjednoczonych o podjęcie pilnych działań w odpowiedzi na publikację INA Papers, wymieniając WikiLeaks jako stronę odpowiedzialną.

2 kwietnia 2019: Prezydent Ekwadoru oświadcza, że Assange naruszył warunki swojego azylu i że „podejmie decyzję w krótkim okresie”. Po czym dodaje:

„WikiLeaks ma dowody na szpiegostwo i hakowanie [mojego] telefonu, z którego zostały przechwycone prywatne rozmowy, a nawet zdjęcia mojej sypialni”.

Prawnik Assange'a w Ekwadorze Carlos Poveda wyjaśnił, że Assange nie miał nic wspólnego z publikacją:

„WikiLeaks ma wewnętrzną organizację, a pan Assange nie pracuje już w redakcji.”

Były konsul Ekwadoru Fidel Navarez potępia rezolucję opartą na kłamstwie, która obwinia Assange za INA Papers:

Reakcja rządu ekwadorskiego na skandal nie mogła być gorsza. Zamiast wyjaśnić sprawę i uczynić ją przejrzystą, rzecznicy rządu, aby odwrócić uwagę, umieszczają kłamstwo, oskarżając WikiLeaks o wyciek informacji i zdjęć z kręgu rodziny prezydenta Moreno.

Żaden dokument odnoszący się do INA Papers ani rodziny prezydenta nigdy nie został ujawniony lub opublikowany przez WikiLeaks, nie mówiąc już o Julianie Assange, który nie był redaktorem WikiLeaks i który był izolowany przez rok przez rząd Ekwadoru.

Mimo że jest to oburzające oskarżenie, farsa osiągnęła punkt, w którym Ekwadorskie Zgromadzenie Narodowe wydało rezolucję mającą na celu przesłuchanie Juliana i zachęca rząd do podjęcia działań w celu „ochrony interesów narodowych”. Krótko mówiąc, rząd poszukuje fałszywego pretekstu do zakończenia azylu i ochrony Juliana Assange.

Fałszywy pretekst został znaleziony. Julian Assange 11 kwietnia 2019 roku został aresztowany przez brytyjską policję, po tym, jak Ekwador wycofał azyl i pozwolił policji wejść na teren ambasady.

Czy komunikatory są bezpieczne?

Nie dotarliśmy do informacji w jaki sposób prywatne rozmowy i maile wyciekły z telefonu prezydenta Ekwadoru. Sam pan Lenin Moreno wspomina w wywiadzie dla krajowego radia, że jego telefon został zhackowany. To jedyny trop.

Najważniejsze techniczne przesłanie dotyczy słabo zabezpieczonego komunikatora Telegram i WhatsApp, które były zainstalowane na urządzeniu prezydenta Ekwadoru. Do równania obejmującego polityka najwyższej rangi dodajmy niewystarczającą wiedzę o działaniu komunikatorów i zabezpieczeń smartfonu, a w wyniku otrzymamy aferę na pierwsze strony gazet całego świata.

Pan prezydent jakąś wiedzę o cyberatakach i szpiegowaniu posiada. W przeciwnym razie nie używałby Telegramu do komunikacji z rodziną i współpracownikami. Coś zawiodło. Prawdopodobnie niewystarczające zabezpieczenia. Podejrzane jest, że zhackowano dwa urządzenia prezydenta — jakby ktoś wiedział, że Lenin Moreno korzysta jeszcze z iPada. A może za wyciek odpowiedzialny jest ktoś z najbliższej rodziny lub przyjaciół i współpracowników prezydenta?

Zabezpieczenia komunikatorów Telegram i WhatsApp okazały niewystarczające. Tak samo wiedza prezydenta o ochronie urządzeń i szyfrowaniu komunikacji.

Telegram INA Papers
Nie wiadomo, w jaki sposób pozyskano informacje z urządzeń prezydenta. W każdym razie udało się odtworzyć pełną historię zapisanych wiadomości, zdjęć, załączników, historii połączeń.  

Jeśli chodzi o bezpieczeństwo komunikatorów np. Telegram, Signal czy WhatsApp…

Telegram trzyma wszystko na swoich serwerach. Domyślnie rozmowy są szyfrowane pomiędzy serwerem w chmurze a urządzeniem użytkownika, a nie pomiędzy użytkownikami bezpośrednio. Oznacza to, że Telegram ma dostęp do kluczy szyfrujących i może odczytać dowolną rozmowę w chmurze. Za szyfrowanie end-to-end odpowiada opcja „Secret Chat”, która nie jest domyślnie włączona.

Z kolei WhatsApp i Signal domyślnie używają szyfrowania end-to-end. W związku z tym komunikacja teoretycznie i praktycznie jest szyfrowana na urządzeniu nadawcy kluczem odbiorcy i jest odszyfrowywana na urządzeniu odbiorcy. Brawo! Ale… Chociaż baza danych tych komunikatorów jest zaszyfrowana, to w przypadku Signal klucz deszyfrujący przechowywany jest lokalnie w sposób niezaszyfrowany. Natomiast bazę WhatsApp bardzo łatwo można odszyfrować, znając numer telefonu. Tak czy owak, złośliwe oprogramowanie może wykraść bazę komunikatora i/lub klucz kryptograficzny i taką bazę da się przenalizować na innym komputerze. Właśnie w taki sposób agencja rządowa FBI uzyskała dostęp do zaszyfrowanych danych, które znajdowały się na dwóch telefonach BlackBerry należących do Michaela Cohena, wieloletniego współpracownika i doradcy prawnego prezydenta Donalda Trumpa. Dlatego ważne jest, aby oprócz poznania wad i zalet samego komunikatora, zadbać o dobre zabezpieczenie dostępu do urządzenia oraz komunikatora (wejście do aplikacji po wpisaniu kodu albo uwierzytelnienie biometryczne).

Złośliwe oprogramowanie, które zainfekuje smartfon, wcale nie musi wykradać bazy komunikatora, ponieważ może robić zdjęcia ekranu i zebrać całą kolekcję kompromitujących rozmów. Dotyczy to prawie każdego komunikatora z wyjątkiem UseCrypt Messenger, który nie pozwala na robienie zrzutów ekranów (dzięki funkcji „Ochrona ekranu”, którą trzeba aktywować w opcjach). Dodatkowo na niekorzyść WhatsApp korzystającego z protokołu Signal, przemawiają luki i niedociągnięcia pozwalające uzyskać dostęp do wiadomości pomimo zastosowanego szyfrowania end-to-end. Nie wspominając o prywatności — aferze udostępniania danych klientów Facebooka, który jest właścicielem WhatsApp.

Nie wiadomo z jakiego modelu iPhona i iPada korzystał pan prezydent Moreno oraz z jakiej wersji oprogramowania iOS. Nie można wykluczyć użycia exploita umożliwiającego zdalne wykonanie kodu. Za tego typu luki (Remote Code Execution) słono płaci francuska firma Zerodium skupująca i sprzedająca exploity. Również nie wiadomo czy w momencie kradzieży rozmów urządzenie prezydenta było zablokowane, albo czy nie było wystarczająco zabezpieczone przed osobami niepowołanymi. Zresztą i tak nie miałoby to większego znaczenia przy skopiowaniu danych z telefonu lub kradzieży bazy danych komunikatora.

W tym miejscu mimo wszystko trzeba pochwalić UseCrypt Messenger za lepsze zabezpieczenia. Jak dotąd nie przedstawiono żadnych informacji kompromitujących producenta UseCrypt ani użytkowników komunikatora. Nie doszło też do ani jednego przypadku ujawnienia tożsamości rozmówców albo kradzieży kontaktów, wiadomości, załączników, kluczy kryptograficznych itp. Prawdopodobnie polska myśl techniczna wyprzedza o jeden krok wszystkie dostępne na rynku komunikatory. Szczegółowe porównanie komunikatorów od strony technicznej przygotowaliśmy w osobnym artykule. Z kolei bezpieczne korzystanie ze szyfrowanej poczty opisaliśmy w tym artykule.

W całej tej politycznej historii jest więcej pytań niż odpowiedzi. Komu mogło zależeć na ujawnieniu rzekomej korupcji prezydenta Moreno? Kto na tym skorzystał?

Dodatkowe linki

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Walternator wt., 16-04-2019 - 20:18

Signal, telegram, whatsapp, gmail. No brawo, wszystko przez niedostateczne zabezpieczenia użyte w tych aplikacjach. Nie wnikam czy ich twórcom zależy na tym aby miały luki, czy nie potrafią ich naprawić, ale nie powinni reklamować ich jak całkowicie bezpieczne. Dlaczego żadna z tych aplikacji nie chroni danych na urządzeniu mobilnym? Nawet jeżeli ktoś z najbliższego otoczenia maczał palce w wycieku to aplikacja powinna takie dane mieć ciągl zaszyfrowane bez klucza na tym samym urządzeniu!!! Jak do tej pory znam tylko jedną aplikację, przy projektowaniu której twórcy wzięli pod uwagę i tą kwestię i jest to UseCrypt.

Dominik pt., 19-04-2019 - 13:39

Też się zastanawiam po co promować jakieś programy mające luki... lepiej postawić na nasz sprawdzony POLSKI Usecrypt

Dodane przez Walternator w odpowiedzi na

Mikello wt., 16-04-2019 - 20:55

To tyle w kwestii wiarygodności aplikacji reklamujących się jako bezpieczne, co mi po takiej aplikacji?
Bezpieczna aplikacja powinna w każdej możliwej możliwości móc udostępnić dane TYLKO i wyłącznie osobie która się uwierzytelni czyli jej właścicielowi. Zgubisz telefon, a dane z niego można bez większego wysiłku odczytać, gdzie tu jest bezpieczeństwo?? Absurd. Telegram, whatsupp, signal wszystko jest siebie warte. Do tej pory widziałem jedną aplikację, w której pomyślano o tak podstawowym problemie i jest to Usecrypt.

Dominik pt., 19-04-2019 - 13:40

Też korzystam z Usecrypt. Naprawdę fajna i bezpieczna aplikacja. Polecam każdemu, kto ceni sobie choć trochę bezpieczeństwo i prywatność danych

Dodane przez Mikello w odpowiedzi na

Ag wt., 16-04-2019 - 23:00

Jestem ciekawy kto stoi za tym Usecrypt ? Co bardziej inteligentniejsi to się mogą domyślić, że dostęp do danych takie narzędzia jest bezcenny no i zostaje w Polsce ...

Janice śr., 17-04-2019 - 10:55

Twoja wypowiedź jest niepoprawna gramatycznie (przez co nie rozumiem Twojego wpisu) co sugeruje, że albo jesteś trollem i używasz translatora albo nie zaliczasz się do tych jak to ująłeś "bardziej inteligentniejszych"

Dodane przez Ag w odpowiedzi na

Dominik pt., 19-04-2019 - 13:42

Czyli co masz na myśli? Jasne że to co napisane w Polsce zostaje w Polsce dla tej właśnie osoby która to napisała... Usecrypt nie przetrzymuje niczego na serwerach a jedynie po stronie klientów. Więc nie wiem co za insynuacje? Masz choć trochę wiedzy na ten temat że wysuwasz takie wnioski?

Dodane przez Ag w odpowiedzi na

Kac śr., 17-04-2019 - 10:46

Nie doszło do żadnych wycieków i nie dojdzie. Bo nie ma nawet co.

Dominik pt., 19-04-2019 - 13:44

Ojj tu byś się zdziwił.. Każda nawet najmniejsza wiadomść powinna być bezpieczna i nigdzie nie powinna wyciec poza odbiorce i nadawce. Powinniśmy zważać na to wcześniej aby nikt nie podglądał naszych korespondenci.

Dodane przez Kac w odpowiedzi na

Spedytorka czw., 16-05-2019 - 13:28

Ze względu na swoją pracę muszę przechowywać ogromne ilości kontaktów i nie mam ochoty na konsekwencje wycieku takich danych... Każde dane są prywatne, a nie publiczne.

Dodane przez Dominik w odpowiedzi na

Wero śr., 17-04-2019 - 10:57

Zaczniemy doceniać prywatność jak już będzie za późno żeby ją odzyskać. Warto zainteresować się już teraz...

Dominik pt., 19-04-2019 - 13:46

Dokładnie tego samego zdania jestem... lepiej pomyśleć za wczasu niż potem znów mówić że polak mądry po szkodzie

Dodane przez Wero w odpowiedzi na

Miecioo czw., 18-04-2019 - 10:50

No proszę, a ja wyczytałem, że jednak znaleźli się już politycy, którzy poszli po rozum do głowy i korzystają z UseCrypta. jestem dziwnie pozytywnie zaskoczony tym faktem!

Dominik pt., 19-04-2019 - 13:38

Niestety taka polska mentalność. Polak będzie mądry po szkodzie. Zamiast od razu korzystać z bezpiecznych sprawdzonych źródeł i programów w celu zabezpieczenia swoich danych to potem będzie żal i płacz. Przykładem jest nasz polski Usecrypt, który coraz bardziej znany jest na całym świecie. Jest to bezpieczny sprawdzony program do ochrony danych.

Kon De śr., 15-05-2019 - 16:02

A starczyłoby zadbać o bezpieczeństwo przed, a nie uczyć się na tak kosztownych błędach!

Dodaj komentarz