Vytisknout si údajně nedůležitý e-mail na tiskárně bývalé firmy je jedna věc. Ale dlouhodobě servírovat na stříbrném podnose informace vedené v režimu utajení neprověřeným osobám spojeným se společností Agrofert? To je již zcela reálné bezpečnostní riziko pro celý stát.
Poznámka: Vzhledem k závažnosti zjištěných údajů jsme požádali o zodpovězení několika otázek Úřad vlády, ředitele Odboru komunikace V. Vořechovského a tiskovou mluvčí Janu Adamcovou. Do vydání tohoto článku jsme nedostali žádnou reakci ani odpověď.
Českým éterem aktuálně rezonuje přešlap premiéra Babiše v jeho týdenním hlášení “Čau lidi”. Ve videu čte projev z papíru, na jehož druhé straně je otisknutý vládní e-mail od Adama Vojtěcha zaslaný na soukromý e-mail premiéra. V záhlaví dokumentu je uvedena firma Imoba, pod kterou spadá mimo jiné i Čapí hnízdo. Premiér nevidí nic špatného na tom, že si nechal důvěrnou vládní korespondenci vytisknout u jedné ze svých bývalých firem.
Budiž, toner v tiskárně může dojít v těch nejméně vhodných chvílích. My ovšem nyní upozorňujeme na mnohem závažnější provinění, které je reálným a dlouhodobým ohrožením bezpečnosti státu.
Jak Agrofert k informacím přišel…
Je 11. prosince 2013, měsíc a půl po parlamentních volbách. Tento den zakládá jistý Martin Branský, tehdy i dnes zaměstnanec společnosti Agrofert, doménu e-babis.cz. Tu aktivně využívá i Andrej Babiš (prokazatelně minimálně od března 2016) ke komunikaci s ostatními ministry, úředníky státní správy i veřejností. Před březnem 2016 kombinoval oficiální e-mail ministerstva financí se svým účtem na doméně @agrofert.cz.
Poštovní server e-babis.cz využívá vnější i vnitřní infrastrukturu společnosti Agrofert. Veškeré e-maily poslané tímto serverem odcházejí z rozsahu IP adres, které jsou touto společností využívány. Společnosti spadající pod Agrofert a.s. pro svou činnost používají dva druhy poštovních serverů: Microsoft Exchange a IBM Domino server. Na druhém jmenovaném softwaru běží i mail server e-babis.cz.
Jak potvrzují technické detaily e-mailové komunikace, e-maily mezi SMTP servery, v infrastruktuře Agrofertu a také části internetu, putují zcela nešifrovaným způsobem.
Ano, stále se bavíme o i vládní korespondenci nejvyššího výkonného představitele státu, které by měly podléhat nejvyššímu zabezpečení!
“Veškerá korespondence na serveru e-babis.cz odchází z rozsahu IP adres, které jsou využívány společností společností Agrofert a.s. Server navíc nenabízí možnost šifrované komunikace, všechny e-maily tudíž mezi SMTP servery putují zcela nešifrovaným způsobem.”
Bezpečnostní rizika plynoucí z premiérovy mailové komunikace
Máme k dispozici řadu e-mailů dokazujících, že z adresy ab@e-babis.cz
premiér komunikuje nejen s veřejností a svými spolupracovníky, ale také nejvyššími státními úředníky, ministry i firmami spolupracujícími se státem. Máme důkazy, že v těchto e-mailech aktivně řeší také projekty vedené v některém z režimů utajení.
V čem konkrétně spočívají bezpečností rizika používání soukromého emailu?
- Mailový server e-babis.cz nespadá pod žádnou kontrolu kyberbezpečnosti od NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) či manažera pro kyberbezpečnost Ministerstva vnitra či Úřadu vlády. Není známa ani ověřena jeho instalace, konfigurace ani provozní parametry.
- Není známa identita osob, které mailový server provozují. Tyto osoby nejsou prověřeny bezpečnostními složkami.
- Není znám počet, bezpečnostní prověření ani identita osob, které mají přístup k mailovému serveru. Obecně platí, že administrátor mailového serveru má přístup ke všem mailům, a to bez zachování auditní stopy. Neboli, že může číst jakékoliv emaily na serveru a nezanechat za sebou žádnou stopu o této činnosti.
- Není znám počet, bezpečnostní prověření ani identita osob, které mají fyzický přístup k mailovému serveru. Takové osoby si mohou snadno zjednat dostatečné oprávnění k přístupu k datům serveru, opět bez zachování auditních stop.
- Není znám počet, bezpečnostní prověření ani identita osob, které spravují a mají přístup k síťové infrastruktuře, jež tento server používá. Z dostupných informací je zřejmé, že k síťové infrastruktuře mají přístup pracovníci společnosti z holdingu Agrofert, společnosti Cetin (hosting a konektivita) a najatí pracovníci třetích stran. Tyto osoby mohou snadno monitorováním síťového provozu k mailovému serveru veškerou komunikaci premiéra nejen sledovat, ale také ukládat a zcizit.
Není to poprvé
Za připomenutí stojí v této souvislosti opakované a úspěšné hackerské útoky na mailové servery Ministerstva zahraničí v letech 2016-2017 a v roce 2019 (např. zde a zde). Hackeři bez povšimnutí mnoho měsíců monitorovali veškerou e-mailovou komunikace na ministerstvu.
Bezpečnostní problém s používáním soukromého e-mailu pro pracovní účely řešil i předchozí premiér Bohuslav Sobotka v roce 2016. Do e-mailové schránky na Seznamu měli po nějakou dobu přístup neznámí hackeři.
Po tomto Sobotkově bezpečnostním incidentu NBÚ (z něj se NÚKIB vyčlenil až v 2017) doporučil Úřadu vlády sadu pravidel mezi než patřilo i varování před používáním soukromých e-mailových adres. Už v březnu 2016, pouhé dva měsíce po tomto bezpečnostním incidentu Bohuslava Sobotky, soukromý e-mail prokazatelně používal i Andrej Babiš.
NÚKIB obecně důrazně nedoporučuje používání soukromých e-mailových adres. Ke případu e-mailu premiéra Babiše se nechce konkrétně vyjadřovat.
Shrňme si fakta.
Po vnitřní síti společnosti Agrofert putuje nespočet nezašifrovaných e-mailů, které jsou velmi snadno čitelné pro kohokoliv s přístupem k serverům či infrastruktuře.
Případné sledování e-mailů může probíhat bez jakékoliv modifikace zpráv, bez auditních stop a bez možnosti ho odhalit.
Nezbývá než se ptát:
Kdo všechno čte důvěrnou korespondenci premiéra České republiky dnes?
Technické detaily
Přijímací SMTP běží na adresách slunce20.e-babis.cz (194.228.62.35) a slunce10.e-babis.cz (194.228.62.34). Druhá IP adresa má reverzní DNS záznam mail30.agrofert.cz.
Přijímací SMTP servery Agrofertu běží na adresách mail10.agrofert.cz (194.228.62.32) a mail20.agrofert.cz (194.228.62.33), tzn. hned na vedlejších IP adresách.
Emaily, odeslané poštovním serverem pro doménu e-babis.cz, odcházejí z rozsahu IP adres, které jsou využívány společností Agrofert a.s. (https://ipinfo.io/AS20884/195.5.186.0/24 ).
$ host http://ms1.e-babis.cz
http://ms1.e-babis.cz has address 195.5.186.121
$ whois 195.5.186.121|grep -i agrofert
% Abuse contact for '195.5.186.0 - 195.5.186.255' is 'stepan@agrofert.cz'
org-name: Agrofert Holding, a.s.
descr: AGROFERT CZ
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '195.5.186.0 - 195.5.186.255'
% Abuse contact for '195.5.186.0 - 195.5.186.255' is 'stepan@agrofert.cz'
inetnum: 195.5.186.0 - 195.5.186.255
netname: AGF-NET
country: CZ
org: ORG-AA432-RIPE
admin-c: MS14227-RIPE
tech-c: MS14227-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-by: AS5610-MTN
mnt-routes: AS5610-MTN
mnt-domains: AS5610-MTN
created: 2008-04-21T10:52:41Z
last-modified: 2016-04-14T10:08:01Z
source: RIPE
sponsoring-org: ORG-STaN1-RIPE
organisation: ORG-AA432-RIPE
org-name: Agrofert Holding, a.s.
org-type: other
address: Praha 4, Pyselska 2
abuse-c: AR30110-RIPE
mnt-ref: AS5610-MTN
mnt-by: AS5610-MTN
created: 2008-04-16T08:58:27Z
last-modified: 2014-11-17T22:46:17Z
source: RIPE # Filtered
person: MARTIN STEPAN
address: Pyselska 2
address: Praha 4
address: 14900
phone: +420602431453
nic-hdl: MS14227-RIPE
created: 2008-04-16T09:17:11Z
last-modified: 2016-04-06T21:17:54Z
mnt-by: RIPE-NCC-LOCKED-MNT
source: RIPE # Filtered
% Information related to '195.5.186.0/24AS20884'
route: 195.5.186.0/24
descr: AGROFERT CZ
origin: AS20884
mnt-by: AS5610-MTN
created: 2012-11-08T13:33:41Z
last-modified: 2012-11-08T13:33:54Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.96 (HEREFORD)
Komunikace mezi přijímacím SMTP serverem a poštovním serverem není šifrovaná. (vyplývá z analýzy SMTP hlaviček mailů)
Komunikace mezi odesílacím SMTP serverem e-babis.cz a příjemcem není šifrovaná.
Přijímací SMTP servery slunce20.e-babis.cz ani slunce10.e-babis.cz nenabízí možnost šifrované komunikace (STARTTLS nebo SMTPS):
telnet slunce10.e-babis.cz 25
Trying 194.228.62.34…
Connected to slunce10.e-babis.cz.
Escape character is '^]'.
220 slunce10.e-babis.cz ESMTP email system
ehlo mail.example.com
250-slunce10.e-babis.cz says EHLO to x.x.x.x:42892
250-SIZE 52428800
250-PIPELINING
250-8BITMIME
250 ENHANCEDSTATUSCODES
quit
221 2.3.0 slunce10.e-babis.cz closing connection
Connection closed by foreign host.