Μπήκαμε ανενόχλητοι στην απροστάτευτη Τράπεζα Θεμάτων. Τι λένε οι ειδικοί
Το «επιτελικό κράτος» κατέρρευσε ξανά. Δεν ήταν η πρώτη φορά και σίγουρα δεν θα είναι η τελευταία. Το περιβόητο ψηφιακό κράτος δεν στάθηκε ικανό να βάλει ούτε ένα τείχος ασφαλείας (firewall) σε μια σημαντική υποδομή όπως η Τράπεζα Θεμάτων για τις σχολικές εξετάσεις ώστε να αποτρέψει μια κατανεμημένη επίθεση άρνησης παροχής υπηρεσιών (DDoS). Η περίφημη ψηφιοποίηση δεν κατάφερε να εγκαταστήσει ένα απλό πιστοποιητικό ασφαλείας (SSL) στην πλατφόρμα της Τράπεζας Θεμάτων.
Το Documento αποκαλύπτει σήμερα ακόμη ένα σοβαρότατο κενό ασφαλείας στην Τράπεζα Θεμάτων, το οποίο μάλιστα είναι ανιχνεύσιμο και επαληθεύσιμο με μια σύνθετη αναζήτηση στο Google και δεν χρειάζεται… εξειδικευμένους χάκερ για να παραβιαστεί. Η ερευνητική ομάδα του Documento ανακάλυψε σχεδόν τυχαία ένα «λογικό σφάλμα» στην ψηφιακή πλατφόρμα της Τράπεζας Θεμάτων (iep.edu.gr), το οποίο ανοίγει τον δρόμο για την είσοδο στον κεντρικό διακομιστή (server) της, όπου και βρίσκονται αποθηκευμένα μια σειρά από αρχεία που περιλαμβάνουν την ύλη των διαγωνισμάτων, παρακάμπτοντας έτσι το τείχος προστασίας που απαιτεί κωδικό πρόσβασης.
Πώς φτάσαμε στο εύρημα και τι περιλαμβάνει
Η μέθοδος που ακολουθήσαμε και επιβεβαιώθηκε από τους τεχνικούς στους οποίους απευθυνθήκαμε είναι η εξής:
Ξεκινώντας την έρευνά μας πληκτρολογήσαμε στη μηχανή αναζήτησης την εντολή «intitle:»index of» iep.edu.gr» ώστε να δούμε εάν ο διακομιστής της Τράπεζας Θεμάτων είναι δημόσιος. Η εντολή «intitle:» σημαίνει ότι δόθηκε προγραμματιστική εντολή στο Google να ψάξει ιστοσελίδες που έχουν ένα συγκεκριμένο όρο στον τίτλο τους. Ετσι προσδιορίσαμε τον όρο «:»index of»», που είναι ο πιο συνηθισμένος τίτλος για ένα διακομιστή, ενώ καθορίσαμε και την ιστοσελίδα που θέλουμε να αναζητηθεί, δηλαδή την iep.edu.gr.
Προς έκπληξή μας, το Google μας «απάντησε» με ένα και μοναδικό αποτέλεσμα. Η θύρα (port) του διακομιστή ήταν ανοιχτή και σε δημόσια θέα! Μπαίνοντας στο «δημόσιο μονοπάτι» (public path) βλέπει κανείς τους φακέλους με τα αρχεία, ενώ σε ένα φάκελο υπάρχει όλη η ύλη που περιλαμβάνεται στην Τράπεζα Θεμάτων! Ηταν σαφές πως πρόκειται για τη βάση δεδομένων, η οποία ανανεωνόταν κιόλας σε ζωντανή μετάδοση με κάθε ανανέωση της ιστοσελίδας.
Οι «χάκερ» (εφόσον όντως χτύπησαν, όπως αναπόδεικτα μέχρι στιγμής υποστήριξαν τα… σαΐνια του «επιτελικού κράτους») απ’ ό,τι φαίνεται δοκίμασαν μια πρωτόγονη επίθεση, όμως αυτό το κενό ασφαλείας είναι πραγματική ψηφιακή κερκόπορτα, η οποία ανά πάσα στιγμή μπορεί να ανοίξει, με σοβαρές επιπτώσεις για την εξεταστική περίοδο.
Τα τελευταία χρόνια, αν και έχουν καταβληθεί προσπάθειες ώστε να αναδιοργανωθεί το ψηφιακό κράτος και τα αποτελέσματα είναι πολλές φορές μετρήσιμα, η κατάσταση παραμένει κακή. Εκ των πραγμάτων πολλά από τα εγχειρήματα κρίνονται ημιτελή, αν όχι ανεπιτυχή, όπως στην περίπτωση της Τράπεζας Θεμάτων. Τη βασική ευθύνη για τη διαχείριση των ψηφιακών συστημάτων του δημοσίου έχουν το υπουργείο Ψηφιακής Διακυβέρνησης και ο Κυριάκος Πιερρακάκης, που ως υπουργός διαφήμιζε ότι η Ελλάδα μπαίνει στην ψηφιακή εποχή, η οποία όπως αποδεικνύεται δεν προέβλεπε την αναβάθμιση των κρατικών ιστοσελίδων με ένα σύγχρονο πιστοποιητικό ασφαλείας, την εγκατάσταση ενός τείχους ασφαλείας ή την απόκρυψη του περιεχομένου των διακομιστών από τα αποτελέσματα του Google! Αυτά δεν είναι κάτι που έρχεται από το μέλλον ούτε χρειάζονται υπέρογκους προϋπολογισμούς ούτε απαιτούν υψηλή τεχνική εξειδίκευση. Αυτά τα πρωτόκολλα ασφαλείας εφαρμόζονται ήδη στην καθημερινότητα και θεωρούνται αυτονόητα ακόμη και από την πιο μικρή επιχείρηση που δραστηριοποιείται στην Ελλάδα και καλείται να δημιουργήσει ή να συντηρήσει μια ιστοσελίδα. Για τις παρακολουθήσεις με το Predator, βέβαια, υπάρχουν και η τεχνογνωσία και η βούληση και οι πόροι.
«Ρωσική» DDoS ή «ελληνική» κατάρρευση;
Ερευνα για το περιστατικό έχει διατάξει ο εισαγγελέας του Αρειου Πάγου Ισίδωρος Ντογιάκος με τη συνδρομή της Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΗΕ), η οποία σύμφωνα με δημοσιεύματα έχει συγκροτήσει ειδική ομάδα αστυνομικών. Οσον αφορά αυτή καθαυτή την επίθεση στην πλατφόρμα της Τράπεζας Θεμάτων, λίγα πράγματα έχουν γίνει γνωστά, μιας και κανένα τεχνικό στοιχείο δεν έχει δοθεί στη δημοσιότητα μέχρι και τη στιγμή που γράφονταν αυτές οι γραμμές.
Η πρώτη αντίδραση του υπηρεσιακού «επιτελικού κράτους» ήταν να μιλήσει για την «πιο σημαντική επίθεση που έγινε ποτέ σε ελληνικό δημόσιο κυβερνητικό οργανισμό». Ειδικότερα, τα συναρμόδια υπουργεία Ψηφιακής Διακυβέρνησης και Παιδείας ανακοίνωσαν πως η πλατφόρμα της Τράπεζας Θεμάτων δέχτηκε 165 εκατ. «χτυπήματα» από 114 χώρες.
Η αμέσως επόμενη ενημέρωση περιορίστηκε σε διαρροές για «Ρώσους χάκερ» που έβαλαν στο στόχαστρο τις σχολικές εξετάσεις για να αποσταθεροποιήσουν τη χώρα! Την ίδια στιγμή η ΝΔ ως απελθούσα κυβέρνηση αντί να αναλάβει κάποια ευθύνη για το φιάσκο των εξετάσεων ζητάει, κατά τα ειωθότα, τα ρέστα από τρίτους κι εν προκειμένω από την υπηρεσιακή κυβέρνηση, η οποία είχε μόλις διοριστεί, ενώ πριν από το συμβάν τα μέλη της δοξάζονταν ως άριστοι από τους ίδιους ανθρώπους που τώρα την αδειάζουν. «Θυμίζω ότι αυτήν τη στιγμή δεν είναι η ΝΔ στην κυβέρνηση, είναι υπηρεσιακή» είπε χαρακτηριστικά ο εκπρόσωπος της ΝΔ και πρώην κυβερνητικός εκπρόσωπος Ακης Σκέρτσος.
Το σύστημα της Τράπεζας Θεμάτων, εν τω μεταξύ, επανήλθε θριαμβευτικά επί Νίκης Κεραμέως, η οποία όταν ρωτήθηκε για την κατάρρευση του συστήματος δήλωσε: «Θεσμικά μη με ρωτάτε. Δεν είμαι υπουργός, ξέρετε. Το λέω για να μην παρεξηγηθώ καθόλου, προφανώς». Ωστόσο, όπως απέδειξε η ίδια η πραγματικότητα, δεν θεσμοθετήθηκε ποτέ εναλλακτικό σχέδιο σε περίπτωση που κατέρρεε το ψηφιακό σύστημα. Συνεπώς, όταν έγινε το κακό καθηγητές και μαθητές περίμεναν την… ανάσταση. Δεν επιτράπηκε καν στους εκπαιδευτικούς να αναλάβουν την ευθύνη και να βάλουν οι ίδιοι τα θέματα των εξετάσεων, όπως γινόταν χωρίς κανένα πρόβλημα τόσες δεκαετίες. Η εμμονή της υπουργού Κεραμέως για την ψηφιακή διαδικασία κόστισε εντέλει πολλές χαμένες ώρες. Τους πειραματισμούς, εντούτοις, συνέχισε και η υπηρεσιακή ηγεσία του υπουργείου Παιδείας, που δεν έδειξε την ελάχιστη τόλμη για να πατάξει γρήγορα το πρόβλημα στη ρίζα του.
Στον αντίποδα, ο Κυρ. Πιερρακάκης που είχε την υψηλή εποπτεία της ψηφιοποίησης παρέμενε άφαντος μέχρι και τη στιγμή που γραφόταν το παρόν ρεπορτάζ. Πάντως λίγες μέρες πριν από το φιάσκο κόμπαζε στα μέσα κοινωνικής δικτύωσης ότι «ο απολογισμός μας βρίσκεται στην καθημερινότητα κάθε πολίτη», ενώ αναφερόταν στον διάδοχό του λέγοντας: «Ο Σωκράτης Κάτσικας είναι ένας εξαιρετικός επιστήμονας, διαπρεπής πανεπιστημιακός και άριστος γνώστης του χαρτοφυλακίου που παραλαμβάνει. Τόσο εγώ προσωπικά όσο και όλοι οι συνεργάτες του υπουργείου είμαστε στη διάθεσή του». Λίγες μέρες μετά ο μηχανισμός της ΝΔ έδειχνε τον Σωκράτη Κάτσικα ως έναν από τους υπαίτιους…
Σε κάθε περίπτωση, ως προς τη διαρροή για τους Ρώσους χάκερ οφείλουμε να υπογραμμίσουμε πως η διαπίστωση αυτή δεν έχει τεκμηριωθεί μέχρι στιγμής. Το σενάριο θυμίζει κακογραμμένη ελληνική σειρά, ενώ η όλη θεωρία επαναβεβαιώθηκε με νέα διαρροή, σύμφωνα με την οποία η ΕΥΠ ιχνηλάτησε 30 λογαριασμούς (!) φιλορώσων χάκερ που ανήκουν στην ομάδα Killnet. Καταρχάς δεν υπάρχουν λογαριασμοί χάκερ που διατηρούνται σε κάποιο «hackerbook». Πιθανότατα η διατύπωση είχε να κάνει με λόγους εκλαΐκευσης, ωστόσο αυτό το διάστημα η Killnet έχει σταματήσει να δραστηριοποιείται, όπως άλλωστε έχει ανακοινωθεί από λογαριασμό στο Telegram με τον οποίο φέρεται να σχετίζεται, αναφέροντας πως έχει «διαλυθεί η κύρια ομάδα και διεξάγεται στρατολόγηση για νέα μέλη». Παράλληλα, δεν έχει αναλάβει την ευθύνη της επίθεσης, γεγονός ασυνήθιστο, αφού τέτοιες οργανώσεις αυτοθαυμάζονται για τα «κατορθώματά» τους στο σκοτεινό διαδίκτυο (dark web).
Κρατούν αποστάσεις οι ειδικοί
Από την πλευρά της η εξειδικευμένη ομάδα έρευνας για ζητήματα πληροφορικής secnews.gr μέσω της «ΕφΣυν» αμφισβήτησε το σενάριο της κυβερνοεπίθεσης συνολικά αναφέροντας: «Εάν η επίθεση ήταν υψηλού όγκου (high traffic volume DDoS), δεν θα είχε αποτυπωθεί στις σχετικές υπηρεσίες καταγραφής DDoS επιθέσεων όπως στο CloudflareRadar (σ.σ.: υπηρεσία καταγραφής κίνησης δεδομένων στο διαδίκτυο) ή έστω στα διαγράμματα του Εθνικού Δικτύου Υποδομών Τεχνολογίας και Ερευνας –ΕΔΥΤΕ ΑΕ – GR-NET, που είναι φορέας του υπουργείου Ψηφιακής Διακυβέρνησης και από όπου διέρχονταν όλες οι προσπάθειες σύνδεσης;».
Επιπλέον, αν και αποδέχεται το σενάριο της κυβερνοεπίθεσης, η «Καθημερινή» θέτει αμφιβολίες ως προς το μέγεθός της, υποστηρίζοντας πως «ειδικοί ασφάλειας δικτύων, οι οποίοι μίλησαν στην “Κ”, εξηγούν ότι η επίθεση δεν ήταν ούτε “πρωτοφανής” ούτε “μεγατόνων”». Η «Καθημερινή» (31/5) επίσης αποκάλυψε πως αποστάλθηκε αίτημα από την κυβέρνηση για βοήθεια προς την Εθνική Αρχή Κυβερνοασφάλειας τη Δευτέρα 29/5, ώστε να μπει στην πλατφόρμα της Τράπεζας Θεμάτων η «ασπίδα προστασίας» Akamai. Το σύστημα ήταν έτοιμο την επόμενη μέρα και επιβεβαιώθηκε τεχνικά από το secnews.gr, αν και πάλι υπήρξαν προβλήματα.
Ο πρόεδρος του Ινστιτούτου Εκπαιδευτικής Πολιτικής Γιάννης Αντωνίου μιλώντας στην ΕΡΤ υποστήριξε ότι «υπήρχε/υπάρχει σύστημα προστασίας, αλλά τέτοια συζήτηση για ενίσχυση του συστήματος προστασίας ποτέ δεν έγινε. Εγινε την περασμένη Δευτέρα όταν εκδηλώθηκε η επίθεση και πραγματικά αυτό το σύστημα εγκαταστάθηκε και μας προφύλαξε χθες και πολύ περισσότερο σήμερα».
Δεν ήταν η πρώτη φορά
Μπορεί οι Ιάπωνες να ήθελαν να… αντιγράψουν την ψηφιακή πολιτική του Κυρ. Πιερρακάκη, όμως δεν είναι καθόλου σίγουρο εάν θέλουν (ή πρέπει) να ακολουθήσουν την πολιτική του στην κυβερνοασφάλεια. Παρόμοιο περιστατικό κατάρρευσης είχε συμβεί τον Νοέμβριο του 2022, όταν είχε καταρρεύσει το Taxisnet από κυβερνοεπίθεση. Το ίδιο έγινε και όταν «έπεσε» η ηλεκτρονική συνταγογράφηση και οι γιατροί αδυνατούσαν να γράψουν φάρμακα ακόμη και σε ασθενείς που βρίσκονταν σε κρίσιμη κατάσταση και τα είχαν ανάγκη.
Το τελευταίο κρούσμα επιτελικής ανεπάρκειας αφορούσε τις αιτήσεις για τον Κοινωνικό Τουρισμό 2023, καθώς «έπεσε» πάλι η πλατφόρμα gov.gr. Ακριβώς το ίδιο συνέβη με το Κεντρικό Σύστημα Ηλεκτρονικής Διακίνησης Εγγράφων (ΚΣΗΔΕ) του υπουργείου Εξωτερικών για τρεις ώρες, όπως αποκάλυψε το documentonews.gr (31/5). Παρόμοιο πρόβλημα εξελίχθηκε την ίδια μέρα στην πλατφόρμα του εξωδικαστικού μηχανισμού, απ’ όπου εξαφανίστηκαν ως διά μαγείας τα ακίνητα οφειλετών, όπως αποκάλυψε το documentonews.gr.
Τι είναι οι επιθέσεις DDoS
Σε έναν ολοένα πιο ψηφιακό κόσμο, όπου τόσο μεγάλο μέρος της καθημερινότητας είναι συνυφασμένο με το διαδίκτυο, ορισμένες κακόβουλες ενέργειες απειλούν να διαταράξουν την «κανονικότητα». Τέτοια ενέργεια είναι η κατανεμημένη επίθεση άρνησης παροχής υπηρεσιών ή επίθεση DDoS, η οποία δεν στοχεύει στην παραβίαση μιας ψηφιακής θύρας αλλά στη διατάραξη της ροής της πληροφορίας, άρα και της διαθεσιμότητας μιας υπηρεσίας ή μιας υποδομής. Με άλλα λόγια, μια επίθεση DDoS αποσκοπεί στην υπερφόρτωση ενός διακομιστή (server), δικτύου ή υπηρεσίας με πλημμύρα διαδικτυακής κίνησης, εμποδίζοντας ουσιαστικά τους νόμιμους χρήστες να έχουν πρόσβαση στις ψηφιακές υπηρεσίες στις οποίες βασίζονται. Φανταστείτε ένα δημοφιλές εστιατόριο το Σαββατοκύριακο. Ξαφνικά εμφανίζονται εκατοντάδες επιπλέον θαμώνες, ξεπερνώντας κατά πολύ τις δυνατότητες του χώρου. Το προσωπικό κατακλύζεται, η εξυπηρέτηση σταματά και οι πελάτες αφήνονται στην τύχη τους.
Η βάση μιας επίθεσης DDoS είναι η πολλαπλότητα των πηγών της, δηλαδή ότι είναι κατανεμημένη. Οπως μια ορχηστρική συμφωνία εκτελείται από πληθώρα οργάνων, έτσι και μια επίθεση DDoS εκτελείται από πλήθος συσκευών που είναι συνδεδεμένες στο διαδίκτυο. Συχνά εν αγνοία των ιδιοκτητών τους, οι συσκευές αυτές έχουν παραβιαστεί και επιτάσσονται για να στείλουν μια επίθεση διαδικτυακής κίνησης σε ένα στόχο, προκαλώντας ψηφιακό μποτιλιάρισμα.