gerontakos

Έως τώρα γνωρίζαμε ότι το "έξυπνο" κινητό μας ήταν εργαλείο παραβίασης της ιδιωτικότητάς μας από χάκερ ιδιώτες και αυταρχικές κρατικές οντότητες. Μετά το λουτρό αίματος στον Λίβανο ξέρουμε ότι με αυτό μπορεί να μας εξοντώσει όποιος κακόβουλος έχει συμφέρον να μας κάνει να σωπάσουμε για πάντα...

Σάββατο, Ιουνίου 03, 2023

Ένωση Πληροφορικών Ελλάδας: "Σκερτσόζικο" παραμύθι η «επίθεση χάκερς στην πλατφόρμα της Τράπεζας Θεμάτων»!

Μύθος η κυβερνοεπίθεση στην Τράπεζα Θεμάτων λέει η Ένωση Πληροφορικών Ελλάδας

Πηγή: Alfavita.gr

12–15 λεπτά

Μύθος η κυβερνοεπίθεση στην Τράπεζα Θεμάτων λέει η Ένωση Πληροφορικών Ελλάδας

«Καταπέλτης» η Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) κατά ΥΠΑΙΘ: «Δεν προκύπτει επίθεση από χάκερς»

Η Ένωση Πληροφορικών Ελλάδας, με ανακοίνωσή της, κατέρριψε πλήρως το κυβερνητικό αφήγημα για το διήμερο φιάσκο με την κατάρρευση του συστήματος της Τράπεζας Θεμάτων, την ημέρα διεξαγωγής των ενδοσχολικών εξετάσεων του 2023, για την οποία το alfavita.gr πληροφορήθηκε από τα ξημερώματα της Δευτέρας 29 Μαΐου, από δεκάδες τηλέφωνα εκπαιδευτικών.

Υπενθυμίζεται ότι τη Δευτέρα και την Τρίτη που μας πέρασε, η Τράπεζα Θεμάτων είχε βγει «εκτός λειτουργίας» για ώρες, με τους μαθητές γυμνασίων και λυκείων να μην μπορούν να γράψουν εξετάσεις.

Το υπουργείο Παιδείας έκανε λόγο για «μεγάλης κλίμακας και διάρκειας κατανεμημένη επίθεση (DDoS)».

Μάλιστα, ο κ. Σκέρτσος υποστήριξε ότι η επίθεση έγινε από 114 χώρες, φτάνοντας έως και 165 εκατ. «χτυπήματα» ενώ για μία από τις μεγαλύτερες κυβερνοεπιθέσεις στη χώρα είχε κάνει λόγο και ο πρόεδρος του ΙΕΠ, Γιάννης Αντωνίου, εξηγώντας ότι δεν είχε παρατηρηθεί νωρίτερα κάποιο πρόβλημα για να ληφθούν επιπλέον μέτρα ασφαλείας.

Εκ διαμέτρου αντίθετη άποψη εκφράζει η Ένωση Πληροφορικών Ελλάδος, η οποία σημειώνει ότι από «πουθενά δεν προκύπτει ότι υπήρξε κάποια εξαιρετικά αυξημένη κίνηση στοχευμένα προς την πλατφόρμα του ΙΕΠ σαν και αυτή που περιγράφηκε από τις ανακοινώσεις των αρμοδίων».

«Αντίθετα, φαίνεται πως η κίνηση δεδομένων που απεικονίζεται για παράδειγμα στις 29/5 δεν ήταν μεγαλύτερη από την αντίστοιχη των προηγούμενων ημερών, ενώ περιπτώσεις ακριβώς αντίστοιχης κίνησης λίγες μέρες νωρίτερα δε φαίνεται να είχαν δημιουργήσει κανένα πρόβλημα ή υποψία “επίθεσης”» σημειώνει η Ένωση Πληροφορικών Ελλάδος.

Και συμπληρώνει ότι «δεν προκύπτει» επίθεση από χάκερς στην πλατφόρμα του ΙΕΠ, επιβεβαιώνοντας πλήρως και το ρεπορτάζ του alfavita.gr για το φιάσκο της Τράπεζας Θεμάτων, ενώ επισημαίνει πως μέχρι πριν τις 29/5 ο ιστότοπος δεν υποστήριζε καν τη λεγόμενη ασφαλή σύνδεση (HTTPS/SSL).

Γνώστες των πληροφοριακών συστημάτων δεν ενστερνίζονται τις δικαιολογίες που ακούστηκαν, ενώ το αφήγημα της Κεραμέως περί «σκοτεινών εγκεφάλων και αρρωστημένων μυαλών που προσπάθησαν να προκαλέσουν χάος στην χώρα», αρχίζει να καταρρέει σα ντόμινο.

Η ανακοίνωση της Ένωσης Πληροφορικών Ελλάδας

«Τις τελευταίες ημέρες η ελληνική ειδησεογραφία πραγματικά κατακλύστηκε από δημοσιεύματα όπως τα παρακάτω:

(ακολουθούν Link από τον ελληνικό διαδικτυακό τύπο)

Και μόνο το πρώτο από τα παραπάνω προβλήματα, αυτό της κατάρρευσης επί δύο ημέρες της Τράπεζας Θεμάτων στην πλατφόρμα του ΙΕΠ (https://trapeza.iep.edu.gr), ταλαιπώρησε χιλιάδες μαθητές Γενικών Λυκείων και ΕΠΑΛ, αρκετοί εκ των οποίων θα καλούνταν να συμμετάσχουν στις Πανελλήνιες Εξετάσεις της Γ’ ΓΕΛ και ΕΠΑΛ ελάχιστες ημέρες μετά.

Αυτό που ανακοινώθηκε επισήμως από τα συναρμόδια υπουργεία Παιδείας και Ψηφιακής Διακυβέρνησης για το συγκεκριμένο πρόβλημα ήταν ότι οι αντίστοιχοι servers φιλοξενίας είχαν γίνει στόχος πρωτοφανούς μαζικότατης επίθεσης τύπου άρνησης υπηρεσίας (Distributed Denial of Service attack - DDoS) από άγνωστους hackers του εξωτερικού, με αποτέλεσμα την κατάρρευση της πλατφόρμας για πολλές ώρες επί δύο συνεχόμενες ημέρες.

Ως Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) παρακολουθούμε διαρκώς τα ζητήματα που αφορούν την ασφάλεια, τη διαθεσιμότητα και την αξιοπιστία των βασικών υποδομών σε πληροφοριακά συστήματα, ειδικά στον ευρύτερο δημόσιο τομέα. Δυστυχώς, το φαινόμενο της επισφαλούς, πολύ κακής ως και εντελώς καταστροφικής τους λειτουργίας είναι συχνό και έχουμε αναγκαστεί να παρέμβουμε δημόσια πολλές φορές. Ενδεικτικά, μερικά παραδείγματα:

8/3/2023: “Δελτίο Τύπου - Ανακοίνωση σχετικά με το πολύνεκρο δυστύχημα τρένων στα Τέμπη” (https://is.gd/R2Pkjk)
3/2/2022: “Δελτίο Τύπου - Θέματα σχετικά με την τελευταία κακοκαιρία και την διαχείριση του δικτύου Αυτοκινητόδρομων της Ελλάδας” (https://is.gd/6rrAxZ)
25/5/2021: “Δελτίο Τύπου - Διευκρινίσεις ως προς τη δημοσιοποίηση επιστολής σχετικά με σοβαρό πρόβλημα ασφάλειας στην πλατφόρμα gov.gr” (https://is.gd/sAJ2cI)
21/5/2021: “Σοβαρό πρόβλημα ασφάλειας στην πλατφόρμα gov.gr” (https://is.gd/jz6Ycd)
26/3/2021: “Δελτίο Τύπου - Επισημάνσεις σχετικά με τη σύμβαση Cisco-Webex με το υπουργείο Παιδείας” (https://is.gd/VRSfjP)

Επίσης, είναι γνωστό ότι στο σχετικά πρόσφατο παρελθόν έχει αποδειχθεί η μαζική διαρροή προσωπικών δεδομένων από κεντρικούς οργανισμούς και συστήματα όπως το TAXISnet (https://is.gd/pEX9HP) και τα ΕΛΤΑ (https://is.gd/bTy5oJ), χωρίς ποτέ να δοθούν επαρκείς εξηγήσεις για τα ακριβή αίτια, ούτε όπως φαίνεται να έχουν αξιοποιηθεί τα αντίστοιχα περιστατικά ως μάθημα για το μέλλον. Στο πιο πρόσφατο περιστατικό της κατάρρευσης της πλατφόρμας του ΙΕΠ, αντιλαμβάνεται κανείς εύκολα ότι γεννιούνται τα ακόλουθα ερωτήματα:

1. Κατά τη σχεδίαση του όλου έργου είχαν ληφθεί τα απαραίτητα μέτρα θωράκισης από κακόβουλες ενέργειες; Ποια ακριβώς ήταν αυτά, ποιες δοκιμές (stress tests) είχαν πραγματοποιηθεί και ποιος διασφάλισε το απαραίτητο επίπεδο αξιοπιστίας και διαθεσιμότητας της υπηρεσίας προτού τεθεί σε πραγματική χρήση;

Θυμίζουμε πως η φετινή ήταν η δεύτερη χρονιά λειτουργίας της Τράπεζας Θεμάτων Διαβαθμισμένης Δυσκολίας (Τ.Θ.Δ.Δ.) απ’ το Υπουργείο Παιδείας, ενώ μέχρι πριν τις 29/5 ο ιστότοπος δεν υποστήριζε καν τη λεγόμενη ασφαλή σύνδεση (HTTPS/SSL),όπως φαίνεται και από σχετικές εικόνες. Να υποθέσουμε λοιπόν πως οφείλεται καθαρά στην τύχη το ότι πέρυσι δεν είχε παρουσιαστεί καμία απολύτως δυσλειτουργία; Επίσης, γιατί δεν υπήρχε “Plan B” για τέτοιες περιπτώσεις κατάρρευσης ή -έστω- μη αποδεκτού downtime της πλατφόρμας; Θα μπορούσε π.χ.να επιτραπεί στους εκπαιδευτικούς να χρησιμοποιήσουν θέματα απ’ τη σχετική υπηρεσία του ΙΕΠ για το κοινό (public): https://trapeza.iep.edu.gr/public/subjects.php

2. Αφότου έγινε η φερόμενη “επίθεση” τη Δευτέρα 29/5, φαίνεται ότι ελήφθησαν κάποια μέτρα τελευταίας στιγμής και εξαιρετικά βιαστικά, ώστε αυτό να μην επαναληφθεί. Γνωρίζουμε ότι από την επόμενη ημέρα, Τρίτη 30/5, η βασική υποδομή της πλατφόρμας υποστηρίζεται από συγκεκριμένη διαδικτυακή υπηρεσία (Akamai cloudbase), η οποία προσφέρει πολύ αυξημένη εξειδίκευση και ανθεκτικότητα απέναντι σε τέτοιου είδους περιστατικά. Παρόλα αυτά, το ίδιο πρόβλημα παρουσιάστηκε ξανά, χωρίς ουσιαστική διαφοροποίηση σε σχέση με την προηγούμενη ημέρα, ενδεχομένως λόγω κακής ή ελλιπούς παραμετροποίησης για την ενεργοποίηση των πρόσθετων υπηρεσιών έναντι DDoS επιθέσεων.

Γιατί συνέβη αυτό; Σημειώνουμε ότι σε τεχνικό επίπεδο οι επιθέσεις DDoS μπορούν να αντιμετωπιστούν με πολλαπλούς τρόπους και διαδικασίες, οι οποίες μάλιστα δεν είναι εξεζητημένες ή κοστοβόρες, όπως για παράδειγμα IP geolocation filtering, next generation firewalls (NGFW), πολλαπλές “εισόδους” με δυναμική ανάθεση server IP, κ.ο.κ. Γιατί δεν ήταν ενεργά τέτοια αντίμετρα ήδη πριν από τις 29/5;[................................................]

ΟΛΟΚΛΗΡΩΣΤΕ ΤΗΝ ΑΝΑΓΝΩΣΗ Μύθος η κυβερνοεπίθεση στην Τράπεζα Θεμάτων λέει η Ένωση Πληροφορικών Ελλάδας