Ανθρώπινο λάθος πιθανότατα πίσω από την κυβερνοεπίθεση στο Κτηματολόγιο

Ανθρώπινο λάθος πιθανότατα πίσω από την κυβερνοεπίθεση στο Κτηματολόγιο

Ανθρώπινο λάθος φαίνεται ότι κρύβεται πίσω από την κυβερνοεπίθεση μεγάλης έκτασης στα πληροφοριακά συστήματα του Κτηματολογίου, όπως προκύπτει και από την επίσημη ενημέρωση του υπουργείου Ψηφιακής Πολιτικής.

Τί συνέβη;

Ειδικότερα, σύμφωνα με την ενημέρωση του υπουργείου, μέσα στην εβδομάδα που διανύουμε κατεγράφησαν πάνω από 400 κυβερνοεπιθέσεις στα πληροφοριακά συστήματα του Κτηματολογίου την εβδομάδα που διανύουμε.

Όλα τα δεδομένα δείχνουν ότι απώτερος στόχος ήταν η απόκτηση πρόσβασης στη βάση δεδομένων του Κτηματολογίου. Κάτι που, σύμφωνα με την ενημέρωση του υπουργείου, πράγματι επιχειρήθηκε, αλλά απέτυχε.

Στη συνέχεια ωστόσο το υπουργείο παραδέχεται ότι παραβιάστηκε ένα από τα αντίγραφα ασφαλείας (backup) της βάσης δεδομένων (τα οποία φυλάσσονται σε διαφορετικά σημεία από την κεντρική βάση δεδομένων), αλλά σημειώνει ότι απέτυχε η απόπειρα «κλοπής» του αντιγράφου με τη μεταφορά του σε server του εξωτερικού, προσθέτοντας ότι «το Κτηματολόγιο παράγει καθημερινά αντίγραφα της βάσης δεδομένων». Ωστόσο, δε δίνει καμία πληροφορία για το εάν εκλάπη κάποιο μέρος των δεδομένων του συγκεκριμένου αντιγράφου.

Αντίθετα, αναφέρει ότι παραβιάστηκαν τερματικά υπαλλήλων του Κτηματολογίου, από τα οποία εξήχθησαν μέχρι στιγμής δεδομένα συνολικού όγκου 1,2 GB, σημειώνοντας ότι το είδος των αρχείων που υπεκλάπησαν μέχρι στιγμής δεν αφορά προσωπικά στοιχεία πολιτών, αλλά τυπικά διαχειριστικά έγγραφα υπηρεσιών που δεν επηρεάζουν την εύρυθμη λειτουργία του Κτηματολογίου.».

Από αυτό μπορεί να εξαχθεί το συμπέρασμα ότι πιθανότατα (την ακριβή αιτία λογικά θα τη μάθουμε με το πέρας των ερευνών) ο «δούρειος ίππος» των κυβερνοεπιθέσεων προήλθε από λάθος ανθρώπινη διαχείριση ορισμένων τερματικών που έχουν απευθείας και εξουσιοδοτημένη πρόσβαση στα back office συστήματα του Κτηματολογίου.

Σε αυτό «συνηγορεί» και η αναφορά του υπουργείου ότι «ζητήθηκε από το σύνολο των υπαλλήλων του Κτηματολογίου να αλλάξουν κωδικούς πρόσβασης και να εφαρμόσουν (όσοι δεν το είχαν κάνει ήδη) πρωτόκολλο 2FA (2 factor authentication).». Το 2FA είναι το πρωτόκολλο πρόσβασης 2 σταδίων, κατά το οποίο για την πρόσβαση δεν χρειάζεται μόνον η γνώση ενός username και ενός κωδικού πρόσβασης, αλλά απαιτείται και η καταχώρηση κάποιου μοναδικού κωδικού που το σύστημα στέλνει σε σημείο πρόσβασης που έχει αποκλειστικά ο υπάλληλος (πχ στο κινητό του τηλέφωνο), έτσι ώστε να διασφαλιστεί ότι εκείνος που ζητάει την πρόσβαση είναι πράγματι ο εξουσιοδοτημένος χρήστης, και όχι κάποιος που έχει υποκλέψει τον κωδικό πρόσβασης.

Πρακτικά αυτό σημαίνει είτε ότι οι υπάλληλοι του Κτηματολογίου είχαν ενημερωθεί για τη δυνατότητα και τον τρόπο ενεργοποίησης της πρόσβασης 2 σταδίων αλλά δεν υπήρξε ούτε έλεγχος για το εάν το έχουν κάνει όλοι (εδώ πηγαίνει το «όσοι δεν το είχαν κάνει ήδη») ούτε υπήρχε υποχρεωτικότητα να το κάνουν, και εάν υπήρχε υποχρεωτικότητα, αυτή δε συνοδεύτηκε από τους σχετικούς ελέγχους για να διαπιστωθεί κατά πόσο υπήρξε συνέπεια σε αυτό.

Στην ενημέρωση του υπουργείου αναφέρεται επίσης ότι διεκόπη κάθε πρόσβαση μέσω VPN («έμπιστο» εικονικό δίκτυο που δίνει αυξημένες δυνατότητες πρόσβασης στους χρήστες που βρίσκονται σε αυτό) ώστε να αποκλειστούν κακόβουλοι χρήστες (προφανώς για την περίπτωση που είχε αποκτηθεί πρόσβαση σε τέτοιο δίκτυο από κακόβουλους χρήστες), καθώς και ότι από τις μέχρι τώρα έρευνες δεν έχει διαπιστωθεί λογισμικό ransomware στα συστήματα του Κτηματολογίου.

Το λογισμικό ransomware είναι ένα λογισμικό που εγκαθιστούν οι κυβερνοεγκληματίες αφού αποκτήσουν πρόσβαση σε ένα σύστημα, το οποίο «κλειδώνει» την πρόσβαση στα δεδομένα του συστήματος σε όλους εκτός από τον κυβερνοεγκληματία που το έχει εγκαταστήσει. Στη συνέχεια αυτός επικοινωνεί με τους υπεύθυνους του συστήματος και απαιτεί λύτρα (συνήθως σε κρυπτονόμισμα ώστε να μην είναι εύκολος ο εντοπισμός του προορισμού των χρημάτων) για να στείλει τον κωδικό «ξεκλειδώματος» του συστήματος. Ανάλογα με τη σημασία των δεδομένων του «κλειδωμένου» συστήματος, το εάν αυτά βρίσκονται και σε άλλο σύστημα που δεν έχει παραβιαστεί και το βαθμό που η συγκεκριμένη επίθεση επηρεάζει τη λειτουργία της επιχείρησης ή του φορέα, οι εταιρείες ή οι φορείς μπορεί να ενδώσουν ή να μην ενδώσουν στον εκβιασμό. Σύμφωνα πάντως με την επίσημη ενημέρωση, επί του παρόντος τουλάχιστον δεν υφίσταται τέτοιο ζήτημα.

Στην ενημέρωση του υπουργείου αναφέρεται επίσης ότι οι ψηφιακές υπηρεσίες του Κτηματολογίου δε σταμάτησαν τη λειτουργία τους παρά τις κυβερνοεπιθέσεις, ενώ η τελευταία καταγεγραμμένη επίθεση πραγματοποιήθηκε ανεπιτυχώς στις 5 τα ξημερώματα της 19/7/2024 και απετράπη.

Γιατί στο Κτηματολόγιο;

Ένα σημαντικό ερώτημα είναι ο λόγος για τον οποίο οι κυβερνοεγκληματίες επέλεξαν το Κτηματολόγιο για να επιτεθούν. Εδώ οι απαντήσεις μπορεί να είναι πολλές, και επίσης μπορεί είναι πολύ πιθανό να ισχύουν πάνω από μία απαντήσεις. Μία απάντηση είναι επειδή σε υπολογιστές που συνδέονται με το Κτηματολόγιο κατάφεραν να αποκτήσουν πρόσβαση, και μέσω αυτής να κάνουν την κυβερνοεπίθεση στα κεντρικά του συστήματα. Αυτή η απάντηση μπορεί να ισχύει, αλλά δεν «αρκεί» από μόνη της. Διότι καμία «σοβαρή» ομάδα hacker δε θα έμπαινε στη διαδικασία να προετοιμάσει μία τέτοια επίθεση απλά και μόνον γιατί απέκτησε κάποια πρόσβαση.

Είναι δεδομένο λοιπόν ότι οι κυβερνοεγκληματίες είχαν στόχο την πρόσβαση στη βάση δεδομένων του Κτηματολογίου. Τί υπάρχει όμως εκεί; Στη συγκεκριμένη βάση δεδομένων φυλάσσονται όλες οι πληροφορίες για την ακίνητη περιουσία στη χώρα μας, όπως επίσης και τα προσωπικά δεδομένα των ατόμων που εμπλέκονται με κάποιο τρόπο στην ιδιοκτησία ακινήτου. Δε βρίσκονται όμως μόνο τα δεδομένα των Ελλήνων ιδιοκτητών εκεί, αλλά και τα δεδομένα των ξένων ιδιοκτητών που επιδίωξαν να αποκτήσουν την golden Visa μέσω της εξαγοράς ενός ή περισσότερων ακινήτων. Και με δεδομένο το γεγονός ότι το κίνητρο της golden visa έτυχε μεγάλης ανταπόκρισης (σε βαθμό που η κυβέρνηση πρόσφατα αποφάσισε να αυστηροποιήσει τα κριτήρια χορήγησής της) έχει δημιουργήσει μία ιδιαίτερα σημαντική ροή κεφαλαίων, η γνώση της κατεύθυνσής τους μπορεί να αποκαλύψει σημαντικά στοιχεία για Έλληνες και ξένους ιδιοκτήτες, κάτι το οποίο ενδεχομένως να επιδίωκαν οι κυβερνοεγκληματίες (ή όποιος τους είχε τυχόν «παραγγείλει» τη συγκεκριμένη επίθεση). Η παραπάνω απάντηση «ενισχύεται» και από την ανακοίνωση του υπουργείου Ψηφιακής Πολιτικής σύμφωνα με την οποία οι κυβερνοεισβολείς απέκτησαν πρόσβαση σε ένα αντίγραφο της βάσης δεδομένων το οποίο και προσπάθησαν να «κλέψουν», αλλά χωρίς επιτυχία.

Μία άλλη απάντηση (ενδεχομένως «συμπληρωματική» ως προς την παραπάνω) θα ήταν η απόπειρα τροποποίησης συγκεκριμένων δεδομένων της βάσης. Ενδεχομένως να ήταν και αυτός στόχος εφόσον οι κυβερνοεισβολείς κατάφερναν να αποκτήσουν πρόσβαση στην κεντρική βάση δεδομένων. Όμως τελικά απέκτησαν πρόσβαση σε ένα από τα αντίγραφά της (με βάση την ανακοίνωση του υπουργείου Ψηφιακής Πολιτικής), οπότε μία απόπειρα τροποποίησης δεδομένων σε ένα αντίγραφο της βάσης δεδομένων δε θα είχε επί της ουσίας κανένα νόημα αφού από τη στιγμή που θα γινόταν αντιληπτό πως το συγκεκριμένο αντίγραφο έγινε στόχος κυβερνοεπίθεσης, τότε οι διαχειριστές θα το διέγραφαν, συνεπώς δε θα είχε νόημα κάποια απόπειρα τροποποίησής του.

Υπάρχει όμως και μία άλλη διάσταση, που ενδεχομένως να είναι μία από τις πιθανές απαντήσεις, και έχει σχέση με την απάντηση που αφορά στη golden visa. Ειδικότερα, τη golden visa μέσω σημαντικών αγορών ακινήτων έχει λάβει πλήθος πολιτών από τρίτες χώρες, όπως η Κίνα, η Ρωσία, η Τουρκία και οι Αραβικές χώρες.

Με δεδομένο το γεγονός ότι οι σχέσεις με τη Ρωσία έχουν υποστεί σημαντικό πλήγμα λόγω του πολέμου στην Ουκρανία, οι σχέσεις με την Κίνα περνάνε μέσα από πολλές και περίπλοκες παραμέτρους, οι σχέσεις με την Τουρκία είναι πάντα «στην κόψη του ξυραφιού» και οι σχέσεις με τις Αραβικές χώρες είναι αρκετά «περίπλοκες» λόγω του πολέμου στην Παλαιστίνη, το ενδεχόμενο έκθεσης προσωπικών δεδομένων πολιτών από αυτές τις χώρες σίγουρα δεν είναι κάτι θετικό για τις διπλωματικές σχέσεις της Ελλάδας με τις συγκεκριμένες χώρες, οπότε η επιδίωξη πρόκλησης «βλάβης» στις σχέσεις της Ελλάδας με τις χώρες αυτές ενδεχομένως να αποτελεί μία ακόμα απάντηση.

Θα βρεθούν οι δράστες;

Σε αντίθεση με ότι πιστεύουν οι περισσότεροι, η πρόσβαση και οι ενέργειες στο διαδίκτυο αφήνουν «ψηφιακά ίχνη». Από τις ικανότητες των κυβερνοεγκληματιών, το ίδιο σημαντική με την ικανότητα ψηφιακής επίθεσης, είναι και η ικανότητα κάλυψης των «ψηφιακών ιχνών» έτσι ώστε να καλύπτουν την ταυτότητά τους. Μέχρι και αυτή τη στιγμή, οι αρμόδιες υπηρεσίες τηρούν «σιγήν ιχθύος» σε ότι αφορά στο θέμα αυτό, ενώ οι πληροφορίες (ανεπιβεβαίωτες πάντως) που κυκλοφορούν λένε ότι οι κυβερνοεισβολείς δεν άφησαν ψηφιακά ίχνη που να μπορούν να αξιοποιηθούν. Δεν αποκλείεται ωστόσο αυτή η «σιγή ισχύος» στο θέμα αυτό να είναι κίνηση «τακτικής» των αρμόδιων Αρχών, για να μη δώσουν «πληροφορίες» στους κυβερνοεισβολείς για το πόσο «κοντά τους» βρίσκονται. Να σημειώσουμε ωστόσο ότι στην Ελλάδα έχουν αποτραπεί και εξιχνιαστεί πολλές υποθέσεις κυβερνοεπίθεσης σε συστήματα ιδιωτικών και Δημόσιων φορέων, ωστόσο δεν έχει γίνει γνωστή καμία σύλληψη κυβερνοεγκληματία. Είτε διότι τα όποια ψηφιακά ίχνη βρέθηκαν δεν οδήγησαν πουθενά, είτε διότι οι κυβερνοεισβολείς που εντοπίστηκαν «φρόντισαν» να έχουν την έδρα τους σε άλλη χώρα η οποία δεν είναι ακριβώς «συνεργάσιμη» στη σύλληψη και έκδοση ψηφιακών εγκληματιών…

Γιατί συνέβη;

Για την πλήρη απάντηση σε αυτό το ερώτημα θα πρέπει να περιμένουμε το πέρας των ερευνών από τις αρμόδιες Αρχές. Αλλά ούτε και τότε μπορούμε να είμαστε σίγουροι ότι θα μάθουμε την πλήρη αιτία. Είτε επειδή η αποκάλυψη της αιτίας θα φανερώσει ενδεχόμενα «τρωτά» σημεία σε μία κυβερνοεπίθεση, είτε (συνήθως) επειδή η πλήρης αποκάλυψη των αιτίων οδηγεί και σε απόδοση ευθυνών, που με τη σειρά της οδηγεί και σε κυρώσεις στα πρόσωπα που φέρουν αυτές τις ευθύνες. Πιο πριν γράψαμε ότι στην Ελλάδα δεν έχει γίνει γνωστή καμία σύλληψη κυβερνοεγκληματία, ούτε κάποια έκδοση στη χώρα μας ενός κυβερνοεγκληματία ο οποίος έδρασε από άλλη χώρα. Να συμπληρώσουμε στο παραπάνω ότι ομοίως δεν έχει γίνει γνωστή και καμία ποινική κύρωση σε πρόσωπα που ευθύνονται για λάθη ή παραλείψεις που οδήγησαν σε ψηφιακά κενά ασφαλείας τα οποία εκμεταλλεύτηκαν ψηφιακοί εγκληματίες για να επιτεθούν σε πληροφοριακά συστήματα.

Και, στη συγκεκριμένη περίπτωση, έχουμε ένα ξεκάθαρο κενό ασφαλείας που προκύπτει και από την επίσημη ενημέρωση του υπουργείου Ψηφιακής Πολιτικής, και είναι το γεγονός ότι ένας άγνωστος αριθμός εργαζόμενων δεν είχε ενεργοποιήσει την ταυτοποίηση δύο σταδίων για την είσοδο στο σύστημα από το τερματικό τους. Με δεδομένο το γεγονός ότι το Κτηματολόγιο διαθέτει πάνω από 1500 τερματικά μέσα από τα οποία πραγματοποιείται καθημερινά πρόσβαση σε διάφορα επίπεδα της βάσης δεδομένων (ανάλογα με τα δικαιώματα που έχει ο κάθε χρήστης), θα έπρεπε να υπάρχει μία διαδικασία μέσα από την οποία ο διαχειριστής του συστήματος να είναι σε θέση να δει εάν κάποιοι χρήστες δεν είχαν ενεργοποιήσει την ταυτοποίηση 2 σταδίων για την πρόσβασή του, και να μπορεί να τους ενημερώσει να το κάνουν, αλλά και να τους «πιέσει» να το κάνουν σε όσους το «ξεχνούσαν». Αυτό, πέραν της ευθύνης που σαφώς έχουν οι συγκεκριμένοι εργαζόμενοι, ενέχει και ευθύνη του διαχειριστή του συστήματος, που μπορεί να είναι ένα πρόσωπο, αλλά μπορεί και περισσότερα (το πιθανότερο, με βάση το μέγεθος του συγκεκριμένου πληροφοριακού συστήματος).

Με βάση λοιπόν το γεγονός ότι μέχρι σήμερα δεν έχουμε μάθει για καμία σοβαρή ποινική κύρωση στους υπεύθυνους σε τέτοιες περιπτώσεις (ένα σχετικά πρόσφατο παράδειγμα ήταν η μεγάλης έκτασης κυβερνοεπίθεση στα συστήματα του ομίλου ΟΤΕ, όπου εκτέθηκαν προσωπικά δεδομένα χρηστών, αλλά ποτέ δε μάθαμε ούτε ποιοί ήταν οι δράστες, ούτε εάν επιβλήθηκαν κυρώσεις στους υπεύθυνους, τί είδους κυρώσεις και σε ποιούς), το πιθανότερο είναι πως το ίδιο θα συμβεί και στη συγκεκριμένη περίπτωση… Βέβαια θα πρέπει να σημειώσουμε ότι ακόμα και όλα να έχουν γίνει με το σωστό τρόπο, κανένα πληροφοριακό σύστημα δε θα πρέπει να θεωρείται «απαραβίαστο», ωστόσο στη συγκεκριμένη περίπτωση, όπως εξηγήσαμε, υπάρχουν σαφέστατες παραλείψεις και ευθύνες…

Διαβάστε επίσης

Ακριβά τα νησιά, προσιτά μόνο για τους ξένους – Πολυτέλεια οι διακοπές για τους Ελληνες

Ανθρώπινο λάθος πιθανότατα πίσω από την κυβερνοεπίθεση στο Κτηματολόγιο

Ρουκέτες από ΗΠΑ για το σκάνδαλο Novartis – Αυτή την Κυριακή στο Documento

Παγκόσμιο blackout: Ο μακρύς κατάλογος με τα θύματα – Μεγάλες εταιρείες, αεροδρόμια, νοσοκομεία και κυβερνητικές υπηρεσίες

 

Ετικέτες

Documento Newsletter