– Nie mamy nic do ukrycia, więc nie potrzebujemy specjalnej ochrony – mówią polscy działacze sportowi. Co innego jednak twierdzą eksperci, którzy ostrzegają przed chińską, obowiązkową dla przybyszy aplikacją MY2022. Dopiero po pytaniach SW+ Cyfryzacja KPRM przeprowadzi dziś reprezentacji olimpijskiej specjalne szkolenie z cyberbezpieczeństwa.
57 zawodników i zawodniczek oraz 71 osób współpracujących – taki jest skład polskiej reprezentacji jadącej na Igrzyska Olimpijskie do Pekinu. Polski Komitet Olimpijski właśnie przedstawił jej ostateczny skład. Jak ogłoszono, „biało-czerwoni” w Chinach wystartują w biathlonie, łyżwiarstwie figurowym, łyżwiarstwie szybkim (tor długi, short tracku) biegach narciarskich, skokach narciarskich, kombinacji norweskiej, narciarstwie alpejskim, snowboardzie i saneczkarstwie. We wszystkich tych dyscyplinach liczymy na medale.
Jedno, w czym polska reprezentacja nie ma szans na żadne wyróżnienie, to cyberbezpieczeństwo.
Kolejne państwa ostrzegają swoje sportowe ekipy przed chińskim wywiadem i technologiami nadzoru. Australia, Belgia i Holandia radzą wręcz swoim olimpijczykom, aby przybyli na IO w Pekinie z jednorazowymi telefonami komórkowymi, w których będzie minimum aplikacji mających dostęp do ich prywatnych danych. Polskie władze na jakiekolwiek szkolenia z cyberbezpieczeństwa dla kadry wpadły… po pytaniach od SW+.
Przed chińską, rządową aplikacją MY2022 obowiązkową dla sportowców, działaczy sportowych i dziennikarzy przybywających do Pekinu ostrzega coraz więcej ekspertów. – Chiny mają historię łamania technologii szyfrujących w celu wprowadzania cenzury politycznej i inwigilacji. Co więcej, lokalne chińskie rządy rutynowo wykorzystują technologię przechwytywania danych do podsłuchiwania Wi-Fi w celach inwigilacji. W związku z tym uzasadnione jest pytanie, czy szyfrowanie w tej aplikacji zostało celowo tak skonstruowane w celu nadzoru użytkowników, czy też wada jest wynikiem zaniedbania programistycznego. Jak by nie było, szyfrowanie MY2022 jest problematyczne – pisze Jeffrey Knockel, autor analizy opublikowanej kilka dni temu przez zespół analityków z Citizen Lab.
Przytakuje mu Paul Bischoff, ekspert ds. prywatności z serwisu Comparitech na łamach E&T: – Aplikacja MY2022 stanowi poważne zagrożenie dla prywatności i bezpieczeństwa dla sportowców, personelu i publiczności na igrzyskach olimpijskich. Fakt, że aplikacja ta została dopuszczona do publikacji w obu głównych sklepach z aplikacjami, jest niepokojący i pokazuje, jak Google i Apple mogą być zbyt pobłażliwe w stosunku do rządowych aplikacji.
Ministerstwo Sportu na nasze pytania o to, czy ostrzeżenia zostały wzięte pod uwagę, odparło, że to zadanie Polskiego Komitetu Olimpijskiego. PKOL jednak nie widzi żadnego problemu. – Priorytetem Komitetu Organizacyjnego Pekin 2022 jest bezpieczeństwo zdrowotne wszystkich uczestników igrzysk. Aplikacja jest zatem koniecznym wymogiem dla wszystkich uczestników tego wydarzenia. Podobna wymagana była podczas igrzysk olimpijskich w Tokio. Każdy uczestnik wprowadza do niej wyłącznie podstawowe dane dotyczące ogólnego samopoczucia, temperatury ciała itp. Tak jak w Tokio każdy uczestnik korzysta z własnego telefonu – odpowiedziało na nasze pytania biuro prasowe PKOL.
Sam zaś prezes PKOL Andrzej Kraśnicki w jednej z chińskich rządowych gazet wlaśnie opublikował długo tekst, w którym zachwala organizację IO i pisze tak: - Sprzeciwiamy się upolitycznieniu sportu i mamy nadzieję, że wszyscy sportowcy, którzy od wielu lat przygotowują się do Zimowych Igrzysk Olimpijskich w Pekinie, będą mogli wziąć udział w tej imprezie. Nie sądzę, aby niepotrzebny hałas wpłynęło na sukces Zimowych Igrzysk Olimpijskich w Pekinie.
– Nie mamy nic do ukrycia, więc nie potrzebujemy żadnej specjalnej ochrony. Owszem, słyszeliśmy od trenerów z Wielkiej Brytanii czy Stanów o tym, by używać czystych kart do telefonów przed wyjazdem, ale PKOL nic takiego nie rekomendował, więc pewnie nie ma powodów. Zresztą co by mogło być ciekawego w naszych telefonach dla chińskich szpiegów? – twierdzi Jan Winkiel, sekretarz generalny Polskiego Związku Narciarskiego.
Co „można mieć do ukrycia”, pokazują kolejne, ostatnio głośne afery związane ze złamaniem zabezpieczeń. Od wycieków maili ministra Michała Dworczyka, po przejmowane konta w mediach społecznościowych polskich polityków, do niedawnej, poważnej serii chińskich cyberataków, w tym na system poczty Microsoft Exchange, której ofiarą padły dziesiątki tysięcy firm i osób na całym świecie.
Igrzyska w Pekinie rozpoczynają się 4 lutego i będą już drugą olimpiadą rozgrywaną podczas pandemii. Nie budzi więc zdziwienia to, że wprowadzono specjalną aplikację pozwalającą śledzić możliwe zakażenia koronawirusem wśród sportowców.
Podobne rozwiązanie zastosowano także podczas letniej olimpiady w Tokio w ubiegłym roku. W regulaminie Międzynarodowego Komitetu Olimpijskiego (MKOL) znalazło się zalecenie, że wszyscy przebywający w specjalnej strefie bezpieczeństwa w Pekinie (nazwanej już „bańką olimpijską”), a więc sportowcy, trenerzy, działacze sportowi, dziennikarze i liczny chiński personel obsługujący igrzyska, muszą podać swoje dane aplikacji MY2022. Zagraniczni uczestnicy olimpiady w Pekinie muszą pobrać ją na 14 dni przed wjazdem na teren Chin. Więc już od kilku dni ją pobierają i instalują.
Ta opracowana w Chinach aplikacja ma służyć nadzorowaniu stanu zdrowia uczestników igrzysk i śledzenia ich kontaktów w razie zarażenia się COVID-19. W MY2022 należy zawrzeć nie tylko dane paszportowe i związane z rolą, jaką odgrywa na olimpiadzie dana osoba, ale także sporo wrażliwych danych medycznych, oczywiście w większości związanych z koronawirusem. MY2022 robi jednak znacznie więcej niż tylko zbieranie informacji związanych z COVID-19. Reguluje zezwolenia na dostęp do imprez olimpijskich, a nawet zawiera funkcje czatu (tekstowego i dźwiękowego), wiadomości i przesyłania plików.
I tu zaczynają się problemy.
Ustalenia głośnej teraz u nas kanadyjskiej grupy badawczej Citizen Lab, która wykryła ataki Pegasusem na polskich polityków i prawników, tym razem wskazują na zagrożenia płynące z aplikacji MY2022.
Według Citizen Lab kilka jest poziomów tych zagrożeń.
Po pierwsze, aplikacja słabo szyfruje dane. Sportowcy, dziennikarze i działacze mogą być więc po prostu narażeni na ataki. Nie można zagwarantować im ani zachowania prywatności, ani zabezpieczyć ich danych przed kradzieżą czy wglądem w nie przez osoby trzecie.
Eksperci z zakresu informatyki śledczej wykryli w tej aplikacji listę obszarów objętych cenzurą. Chodzi o niewielki plik tekstowy o nazwie illegalwords.txt, obejmujący zakazane słowa, hasła i zwroty, których jest w sumie 2442. Dotyczą one głównie słów i zwrotów używanych w języku mandaryńskim, ale także ujgurskim, tybetańskim, tajwańskim oraz w angielskim. Wśród nich, poza przekleństwami i wyzwiskami, są także pojęcia polityczne dotyczące spraw i wydarzeń objętych w komunistycznych Chinach cenzurą. Chodzi o takie tematy jak krytyka Komunistycznej Partii Chin, zwroty związane z ruchem Falun Gong, protestem na placu Tiananmen, Dalajlamą czy mniejszością Ujgurów w Sinciang. Według Citizen Lab w obecnej wersji aplikacji ta opcja nie jest aktywna. Jednak aktualizacja może to zmienić.
Co więcej, aplikacja ta ma też funkcję raportowania, dzięki której użytkownicy aplikacji mogą zgłaszać innych użytkowników, jeśli uważają, że wiadomość na czacie jest niebezpieczna lub niepokojąca. Wśród możliwych powodów zgłoszenia jest opcja „treść wrażliwa politycznie” („politically sensitive content”), która w Chinach jest zazwyczaj używana do opisania tematów cenzurowanych politycznie.
Główny zarzut analityków wobec tej oficjalnej aplikacji dotyczy jednak certyfikatu SSL. Zapewnia on poufność transmisji danych przekazywanych za jej pośrednictwem w internecie. Tyle że certyfikat ten jest niepełny, aplikacja może więc zostać podstępnie przekierowana na wrogi serwer – dane będą szpiegowane, a złośliwe oprogramowanie nawet wysyłane z powrotem do aplikacji.
Jeffrey Knockel, autor analizy opublikowanej przez Citizen Lab, twierdzi, że takie luki bezpieczeństwa w My2022 obejmują nie tylko dane na temat zdrowia użytkowników, ale także inne ważne dane, jak obsługa załączników lub wiadomości głosowe. W przypadku niektórych usług ruch danych w aplikacji nie jest w ogóle szyfrowany, przez co metadane usługi czatu stają się łatwe do odczytania.
Także analiza australijskiej firmy zajmującej się bezpieczeństwem cybernetycznym Internet 2.0. podnosi problemy z My2022. Australijczycy wskazują na partnerów aplikacji, którzy ich zdaniem nie budzą zaufania. Tak jest z Qi An Xin, która obsługuje centralny system internetowy oferujący jej użytkownikom „pełny zasięg i wysokiej jakości bezpieczeństwo sieci”. Większościowym udziałowcem firmy jest Qi Xiangdong, współzałożyciel firmy Qihoo 360, na którą Stany Zjednoczone nałożyły dwa lata temu sankcje. Powód: firma ta ma ściśle współpracować z chińskimi władzami i jej siłami bezpieczeństwa.
W australijskiej analizie zbadano również oprogramowanie innego partnera aplikacji – chińskiej firmy Kingsoft. Jej program antywirusowy ma kopiować pamięć przeglądarki po zainstalowaniu na komputerze. Umożliwia to dostęp do odwiedzanych stron po zalogowaniu się na indywidualne konta. Kolejna firma: Iflytek zapewnia użytkownikom system do zautomatyzowanej transkrypcji mowy. Tę zaś firmę Stany Zjednoczone oskarżają o udział w łamaniu praw człowieka w Sinciangu.
Na początku grudnia 2021 Citizen Lab poufnie poinformowało chiński Komitet Olimpijski o swoich zastrzeżeniach i uwagach wobec My2022. I jak zwykle w takich przypadkach, poprosiło o usunięcie luk w zabezpieczeniach w ciągu 45 dni przed opublikowaniem przez Citizen Lab własnego raportu w tej sprawie. Komitet organizacyjny Igrzysk w Pekinie jednak broni aplikacji, podkreślając, że została „pomyślnie sprawdzona” przez takie firmy jak Google, Apple i Samsung.
Mimo braku reakcji MKOL, kolejne państwa same decydują się na podjęcie specjalnych środków bezpieczeństwa przed wyjazdem do Pekinu.
Niemiecka związek sportowy Athleten Deutschland skrytykował MKOL: „jest niewytłumaczalne i nieodpowiedzialne ze strony MKOl wymaganie od uczestników korzystania z aplikacji z tak rażącymi lukami w zabezpieczeniach” i doradził sportowcom zakup jednorazowych telefonów. Australijczycy postanowili uruchomić własne sieci Wi-Fi, nad którymi będą mieli pełną kontrolę. Belgijski Komitet Olimpijski poradził swoim sportowcom, aby nie zabierali osobistych urządzeń elektronicznych do Chin. Holendrzy wręcz wręczają swojej wyprawie jednorazowe laptopy i telefony komórkowe, które po igrzyskach mają zostać zniszczone. Na takie same działania zdecydowała się też Wielka Brytania.
Kanadyjski Komitet Olimpijski zauważył, że igrzyska „stanowią wyjątkową okazję do cyberprzestępczości”. Również zalecił pozostawienie własnych telefonów komórkowych w domu i posiadanie tylko minimum danych osobowych na urządzeniach w Chinach. Stany Zjednoczone ostrzegły swoich sportowców przed infekowaniem telefonów złośliwym kodem. Ekspedycja radzi korzystać z urządzeń jednorazowych i pozbyć się ich zaraz po wyjeździe z Chin.
W Polsce jednak nikt nie pomyślał o takich zabezpieczeniach. Jeden z dziennikarzy sportowych TVP, które będzie relacjonować zimowe igrzyska, powiedział nam, że oficjalnie nie ma żadnego technicznego wsparcia od strony cyberbezpieczeństwa, każdy dba na własną rękę. – Dlatego ja aplikację pobrałem na drugi, zapasowy telefon, na którym nie mam innych ważnych aplikacji i danych – mówi. Już w grudniu organizacja Dziennikarze Bez Granic doradzała reporterom obsługujących igrzyska by nie pobierali na służbowy sprzet żadnych chińskich aplikacji.
Zapytaliśmy wczoraj Janusza Cieszyńskiego, sekretarza stanu i pełnomocnika rządu ds. cyberbezpieczeństwa, o to, czy nasza ekipa zgłaszała się z prośbą o wsparcie technologiczne. Usłyszeliśmy, że taki wniosek ze strony PKOL nie wpłynął. – Oczywiście i CERT NASK, i CERT.gov są gotowe udzielić pomocy i wsparcia. W stosunku do polityków takie przygotowanie dotyczące cyberbezpieczeństwa jest stosowane i wdrażane – zapewnił Cieszyński.
Po naszych pytaniach Cyfryzacja KPRM zaproponowała PKOL przeszkolenie reprezentacji. Na wymianę telefonów, tak by sportowcy i szkoleniowcy nie lecieli z prywatnym sprzętem, już jest za późno. – Ale samo przeszkolenie z podstaw zachowania zasad bezpieczeństwa jeszcze zdąży się odbyć – obiecał Cieszyński.
