Πώς «φράκαρε» η Τράπεζα Θεμάτων
Η λύση θωράκισης της πλατφόρμας που φέρεται να είχε προταθεί και η αντιμετώπιση μετά την επίθεση DDoS
ΓΙΑΝΝΗ ΠΑΠΑΔΟΠΟΥΛΟΥ Εψαχναν και κάποιο άλλο ευάλωτο σημείο. Περίπου 24 ώρες μετά το πρώτο κύμα της κυβερνοεπίθεσης στην Τράπεζα Θεμάτων του Ινστιτούτου Εκπαιδευτικής Πολιτικής, παρατηρήθηκε χθες το πρωί ασυνήθιστη κίνηση στην υπηρεσία ταυτοποίησης και εξουσιοδότησης Single Sign On του Πανελλήνιου Σχολικού Δικτύου. Η κορύφωσή της κράτησε περίπου 25 λεπτά, από τις 7.45 έως τις 8.10. Αυτή η υπηρεσία, όμως, δεν κατέρρευσε.
Τα συστήματα ασφαλείας που ήδη, εδώ και καιρό, είχε θέσει σε λειτουργία φαίνεται πως ήταν αρκετά για να αντιμετωπιστεί αυτή η απειλή. Δεν συνέβη το ίδιο όμως και με την Τράπεζα Θεμάτων, η οποία δέχθηκε τη Δευτέρα επίθεση άρνησης υπηρεσίας DDoS, με αποτέλεσμα να προκληθούν προβλήματα στη διεξαγωγή των ενδοσχολικών εξετάσεων και να ακολουθήσει παρέμβαση του εισαγγελέα του Αρείου Πάγου για να διερευνηθεί η υπόθεση. Ηδη σχετική έρευνα διεξάγεται και από τη Δίωξη Ηλεκτρονικού Εγκλήματος. Την υπόθεση ερευνά και η ΕΥΠ για να ελεγχθεί τυχόν δράση οργανωμένων ομάδων χάκερ από το εξωτερικό.
Δεν είναι ακόμη γνωστό ποια μέσα ή συστήματα ασφαλείας χρησιμοποιούσαν στην Τράπεζα Θεμάτων μέχρι και χθες ώστε να είναι προετοιμασμένοι σε περίπτωση κυβερνοεπίθεσης τύπου DDoS (Distributed Denial of Services). Ούτε εάν είχαν γίνει οι απαραίτητες προσομοιώσεις ώστε να διαπιστωθεί πόση επισκεψιμότητα αντέχει το σύστημά της. Διαθέσιμη λύση φέρεται να είχε προταθεί στο παρελθόν για τη συγκεκριμένη πλατφόρμα του Ινστιτούτου Εκπαιδευτικής Πολιτικής, αλλά για λόγους που δεν έχουν διευκρινιστεί στην «Κ» φαίνεται πως δεν είχε αξιοποιηθεί.
Δοκιμαστικά
Κατά του Single Sign On (υπηρεσία που παρέχει τη δυνατότητα πρόσβασης μελών του Πανελλήνιου Σχολικού Δικτύου σε πολλαπλές εφαρμογές) φέρεται να είχε γίνει και μια πρώτη, δοκιμαστική, επίθεση τη νύχτα της Δευτέρας, η οποία δεν απέδωσε. Το Single Sign On χρησιμοποιείται και από την Τράπεζα Θεμάτων και θεωρητικά όσο γινόταν προσπάθεια να θωρακιστεί η πλατφόρμα του Ινστιτούτου Εκπαιδευτικής Πολιτικής οι δράστες αναζητούσαν κάποιο άλλο πιθανό σημείο που θα μπορούσαν να πλήξουν. Τον Νοέμβριο του 2020, όταν ξεκινούσε η τηλεκπαίδευση λόγω πανδημίας, το Πανελλήνιο Σχολικό Δίκτυο αντιμετώπισε για κάποιες ημέρες προβλήματα στοχευμένων επιθέσεων. Απευθύνθηκαν
τότε στο Εθνικό Δίκτυο Υποδομών Τεχνολογίας και Ερευνας και τους προτάθηκε, μεταξύ άλλων, ως λύση η υπηρεσία Cloudflare για την αποτροπή DDoS επιθέσεων, την οποία δέχθηκαν τότε και συνδύασαν με άλλα συστήματα προστασίας.
Την ίδια χρονιά, διάφορες ιστοσελίδες υπουργείων είχαν
δεχθεί εκτενείς κυβερνοεπιθέσεις και ακολούθησε η υπογραφή σύμβασης για την αντιμετώπιση δυνητικών απειλών από DDoS σε ιστοτόπους φορέων της δημόσιας διοίκησης. Ως λύση είχε επιλέγει μέσω του αντιπροσώπου της στην Ελλάδα η υπηρεσία Αkamai, η οποία επίσης χρησιμοποιείται διεθνώς για την αποτροπή DDoS επιθέσεων. Ωστόσο, κάθε υπουργείο είναι υπεύθυνο για τα συστήματά του και κάθε φορέας του Δημοσίου μπορεί σε ζητήματα κυβερνοασφάλειας να αυτενεργεί και να επιλέγει τις μεθόδους ή τα εργαλεία που θα χρησιμοποιήσει. Τον Δεκέμβριο του 2020 φέρεται να είχε συζητηθεί η χρήση της ίδιας υπηρεσίας και για την Τράπεζα Θεμάτων του Ινστιτούτου Εκπαιδευτικής Πολιτικής, αλλά τελικά αυτό δεν φαίνεται να προχώρησε. Ο λόγος
δεν έχει γίνει γνωστός. Σύμφωνα με πληροφορίες της «Κ», υπάρχουν εισηγήσεις στη Νέα Δημοκρατία, εφόσον γίνει κυβέρνηση, ώστε να ενοποιηθούν οι διάφορες διάσπαρτες υπηρεσίες κυβερνοασφάλειας του Δημοσίου και να δημιουργηθεί ένας οργανισμός που θα χειρίζεται αυτά τα θέματα ενιαία για όλους τους δημόσιους φορείς, ανεξάρτητα σε ποιο υπουργείο υπάγονται. Ενας ακόμη στόχος, σύμφωνα με τις ίδιες εισηγήσεις, θα ήταν η ομογενοποίηση εφαρμογών που χρησιμοποιούνται, καθώς σε συγκεκριμένες περιπτώσεις –όπως στην Τράπεζα Θεμάτων– κρίνεται ότι είναι παλαιού τύπου.
Στόχος η «υπερφόρτωση»
Οι επιθέσεις DDoS είναι εξαιρετικά διαδεδομένες και δεν απαιτούν κατ’ ανάγκη ειδική
τεχνογνωσία. Συνήθως η διάρκειά τους δεν είναι συνεχής για πολλές ώρες, γιατί ο επιτιθέμενος αντιλαμβάνεται ότι ο στόχος θα λάβει κάποια στιγμή μέτρα αναχαίτισης. Παρέχονται και στο σκοτεινό Διαδίκτυο ως υπηρεσία προς αγορά, το κόστος της οποίας διαμορφώνεται από τις παραμέτρους που επιθυμούν να θέσουν οι ηθικοί αυτουργοί (το μέγεθος του χτυπήματος, καθώς και τη διάρκειά του).
Μια επίθεση άρνησης εξυπηρέτησης συνήθως δεν συνδέεται και με παραβίαση των δεδομένων του δικτύου, αλλά βασικός σκοπός της είναι να αχρηστεύσει μια υπηρεσία, δηλαδή να αποκλείσει την πρόσβαση. Μοιάζει σαν να υπερφορτώνει κάποιος με εικονικές κλήσεις ένα τηλεφωνικό κέντρο και αυτό να αδυνατεί να απαντήσει σε πραγματικούς χρήστες. Ο στόχος κατακλύζεται από αιτήματα, τα οποία μοιάζει να προέρχονται από πολλές διαφορετικές χώρες και αδυνατεί να τα επεξεργαστεί.
Σύμφωνα με τα στοιχεία που δόθηκαν στη δημοσιότητα, η πλατφόρμα της Τράπεζας Θεμάτων δέχθηκε τη Δευτέρα μαζικές επισκέψεις (όπως αναφέρθηκε, μέχρι και 280.000 συνδέσεις ανά δευτερόλεπτο). Χθες, δεύτερη ημέρα κατά την οποία διαπιστώθηκαν προβλήματα λειτουργίας, τα υπουργεία Παιδείας και Ψηφιακής Διακυβέρνησης ανέφεραν ότι η πλατφόρμα δέχθηκε «165 εκατομμύρια χτυπήματα από 114 χώρες», χωρίς άλλη διευκρίνιση. «Είναι η πιο σημαντική επίθεση που έγινε ποτέ σε ελληνικό δημόσιο κυβερνητικό οργανισμό», σημειώνεται στη σχετική ανακοίνωση.
Ωστόσο, ειδικοί ασφαλείας με τους οποίους μίλησε η «Κ» εξηγούν ότι από αυτό το στοιχείο της ανακοίνωσης δεν μπορεί να εξαχθεί ασφαλές συμπέρασμα, ούτε να αξιολογηθεί η ένταση της επίθεσης. Οταν κάποιος αναφέρεται σε DDoS επιθέσεις, πρέπει να δηλώσει πόσα αιτήματα σύνδεσης δέχεται ο στόχος ανά δευτερόλεπτο για να διαπιστωθεί και η ανθεκτικότητα του δικτύου.
Ακόμη, σύμφωνα με ειδικούς ασφαλείας που μίλησαν στην «Κ» υπό τον όρο της ανωνυμίας, η επίθεση δεν φαίνεται να είναι ούτε «πρωτοφανής» ούτε «μεγατόνων». Ενδεικτικά, τον περασμένο Φεβρουάριο η Cloudflare, μία από τις υπηρεσίες που διατίθενται διεθνώς για την αποτροπή DDoS επιθέσεων, ανακοίνωσε ότι κατάφερε να ανακόψει αντίστοιχο συμβάν που ξεπερνούσε τα 71 εκατομμύρια αιτήματα σύνδεσης ανά δευτερόλεπτο.
Τη Δευτέρα, έπειτα από σχετικό αίτημα για βοήθεια προς την Εθνική Αρχή Κυβερνοασφάλειας, αποφασίστηκε να μπει το σύστημα υπό την Akamai και στην πλατφόρμα της Τράπεζας Θεμάτων. Η διαδικασία ξεκίνησε το βράδυ και περιλάμβανε μια σειρά ενεργειών που έπρεπε να γίνουν σε βάθος χρόνου έως ότου είναι εφικτή η απαραίτητη θωράκιση. Το πρωί της Τρίτης ήταν ακόμη σε εξέλιξη η παραμετροποίηση, για αυτό ενδέχεται να προέκυψε η νέα δυσλειτουργία.
Εισηγήσεις να ενοποιηθούν οι διάσπαρτες υπηρεσίες κυβερνοασφάλειας του Δημοσίου και να δημιουργηθεί ένας οργανισμός που θα χειρίζεται αυτά τα θέματα ενιαία.
Σύμφωνα με ειδικούς ασφαλείας που μίλησαν στην «Κ» υπό τον όρο της ανωνυμίας, η επίθεση δεν φαίνεται να είναι ούτε «πρωτοφανής» ούτε «μεγατόνων».