Светлин Наков: Не е лесно да се опази система, до която и лелката на гише в малък град има достъп

https://www.24chasa.bg/mnenia/article/7562294 Светлин Наков: Не е лесно да се опази система, до която и лелката на гише в малък град има достъп Светлин Наков: Не е лесно да се опази система, до която и лелката на гише в малък град има достъп www.24chasa.bg
д-р Светлин Наков
д-р Светлин Наков

Има много начини за изтичане на данни - например през лаптоп, даден за ремонт. А данните във файловете са частични, казва основателят на "СофтУни"

- Г-н Наков, как ще коментирате изтичането на толкова много данни от НАП?

- Сериозна издънка! Вероятно наистина е хакерска атака. Според мен има неща, които не са направени добре. Просто в държавната администрация не е много трудно да се намерят проходи, тъй като често там работят хора, които не са добре платени. Организационно не е много работеща системата - изпълнители, подизпълнители... Често пъти търговете се печелят не с техническа компетентност, а с рушвети. Според мен немарливост е основната причина, а оттам нататък как се е случило - дали е българин, руснак или човек от друга националност, трудно може да се каже.

- Какво точно е изтекло?

- Трудно може да се каже. От това, което аз видях, става дума за големи количества малко безразборни данни. Няма един цял регистър източен. Има много таблици с различни неща, свързани с данъчни теми. Неща от сорта на подадени декларации - например пише: “Тоя човек, това му е ЕГН, това му е адресът, това му е мейлът, а на тази дата е подал декларация онлайн”.

Тоест вероятно някой е осъществил достъп до някоя от машините, която съхранява тези данни, или машина, която е на технически човек, който има достъп. При втория вариант този човек, да речем, програмист, може да е изтеглил част от данните, защото наистина става въпрос за част от тях, а някой ги е достъпил.

Първата хипотеза е човек, който работи там, ползвал е данните за справки и някой му е достъпил лаптопа. Например, докато е бил на ремонт.

Втори вариант е отдалечена атака. При нея един от многото сървъри на НАП е имал бъг или уязвимост и някой го е използвал.

- Изпращачът казва, че това са само 11 от 21 гигабайта данни, които има.

- Възможно е и някой да е изтеглил абсолютно всичко и да ни е подхвърлил само парче. В някои от таблиците изглежда, че са непълни.

Може много да се спори и коментира по темата. Ние нямаме достъп до всичко, виждаме това, което е пратено. В тези данни има имена на хора, има ЕГН-та, има имена на фирми. Има и сертификати за достъп.

Такава информация имат ИТ хората, които работят в службите. Кой може да е пробитият? Може да е човек от НАП, може да е контрактор на приходната агенция. Има софтуерни фирми, които правят тези регистри. Други ги поддържат.

При информационната сигурност има много неща. Едното е процес и организация - кой има достъп, при какви правила и как се съхраняват данните. След това е компетентността на самите служители, след това е контролът - как се следи за пробиви и неправомерен достъп.

Доста е сложно, не може да се каже, че някои са некадърни или нещо от сорта. Става дума за 120 услуги, които НАП предлага. А в колко града?

Самият факт, че една лелка на гишето, примерно в Белоградчик, може да ви каже колко данъци дължите, значи, че тя има достъп. Виждате ли колко много са местата, от които може да изтече информацията.

Не е много лесно да се опази една такава система.

- Финансовият министър Владислав Горанов каза, че течът е 3% от информацията, която се пази в НАП.

- Аз лично не зная колко информация имат, но е факт, че мен лично ме нямаше. Търсих се, но не се открих. Рових и познати, на които имам ЕГН-та, не ги открих.

Ако бяха всички данни за тези, подавали декларации през 2018 г., аз лично щях да бъда там.

- Какво значи това?

- Три са хипотезите. Или данните са непълни, или този, който изпраща данните, ни подхвърля парчета. Може и да не е успял да изтегли всичко докрай. Все пак, когато почнеш да сваляш големи обеми, може да се активират разни защитни механизми. Може и да претовариш системата и някой да се усети. Има и ограничения - може ли някой да ти прати 3 терабайта информация? Възможно е хакерът да е изтеглил първите 5% от дадена таблица. Прави впечатление, че малките таблици са целите, а големите са с частични данни. В моите очаквания трябва да има ЕГН-тата на всички българи, но ги няма. Какъв е процентът, който е изтеглен, не зная. Не е и моя работа, защото не съм разследващ.

- Какво ви направи впечатление, като видяхте данните?

- Изглеждат ми като работни, а не като цял регистър. Поне от това, което видях, е откъслечна информация. Например има данни от април до септември 2010 г. Защо няма 2011 г. обаче, никой не знае.

- Да поговорим за самия метод - SQL инжекция.

- Дали е така, не зная. Възможно е, това е абсолютно правдоподобен вариант. В “СофтУни” го преподаваме и сме длъжни да го правим, за да знаят как да се защитят.

SQL инжекцията е следното нещо - имаме поле, в което вкарваме данни. Примерно аз трябва да си подам декларацията и пиша “Светлин Наков”. Обаче вместо “Светлин Наков” аз пиша апостроф, с което затварям командата за вкарване на данни и пиша друга команда.

Това се случва, когато при правене на софтуер не е спазен принципът, че данни и команди трябва да вървят по различни канали.

Общо взето, е индикация за кофти програмисти. Отваряме обаче едно “но”. Това може да е във всякакви модули. Обикновено когато правим една система, ако имаме 120 системи, всяка от тях има 8, 10 или 15 модула. Някой от тези модули е на трети производител. Никой не прави целия софтуер.

Нека дам пример. Форум, в който се публикуват новини. Друг ти прави софтуера. Ако той има бъг, цялата система се компрометира.

SQL инжекцията е техническа уязвимост, при която се допуска с команда да се сглобят два стринга. В тях се пише примерно “Вкарай в тая таблица Светлин”. Обаче се слага едно апострофче и “Вкарай в тая таблица Светлин; Дай ми всички данни от тая таблица”. Така се подпъхва команда.

- От НАП обясниха, че пробивът е станал заради слабост в услугата “Въстановяване на ДДС от чужбина”.

- Не вярвам да има система в НАП, която да не ползва SQL (компютърен език за структурирани запитвания - б.а.). Все пак това е система, чиято задача е да приема,обработва и съхранява данни. Оттам нататък пробивите може да са най-различни. Някои от тях са неправилна конфигурация на сървър, на който си сложил парола по подразбиране например.

Това може да стане на сървъра на някой си. Нали разбирате, че работят над 200 души. Единият тества нови версии на продукта и е изтеглил част от данните, за да ги пробва. Тоест има твърде много места, от които да се е случило.

Ако наистина е SQL инжекция, то в един от модулите може някой да е пипал някой скрипт. Това е много добре позната атака, която съществува, откакто има бази данни. Тя е нещо, което позволява да вкараме команда, с която четем пишем и променяме данни на място, на което по принцип вкарваме потребителското си име, да речем.

Може да се провери дали има такава инжекция, като влезеш в сайта и вместо потребителското си име слагаш апострофче. Ако вместо да каже, че потребителското име е невярно, даде грешка, вероятно има такава инжекция.

Има много инструменти, с които такива зарази се хващат.

Технически, на мен SQL инжекциятами изглежда доста правдоподобно. Може да има много варианти, и то ако тръгнем с хипотезата, че няма вътрешен човек.

Може и някой да се е скарал с шефа си и е напуснал, но на тръгване си е взел едни неща.

- В новото си писмо хакерът казва, че е руснак, женен за българка, и че е хаквал данните през 2012 г. и тогава никой не е разбрал, че той и съучастниците му са дръпнали 30 гигабайта информация.

- Нищо чудно. Колкото по-назад се връшаме във времето, толкова по-слаба е била сигурността.

А това дали е руснак, не мога да коментирам. Лично аз, ако съм албанец, ще кажа, че съм руснак, за да има по-малко улики към мен. Все пак този човек го търсят, и то доста.

Това, че е ползвал руски сайт, за да прати мейла, според мен не е улика. Можело е да го подаде до медиите и през афганистански сайт.

Уликите може да ги търсят със съдействието на руските служби. Например от кой IP адрес е пратен мейлът. Но ако има хакване, то според мен човекът си е скрил добре следите.

Що се отнася до версията, че е руснак - може. Те са известни с техническите си умения. Дали е женен за българка може и да има, и да няма значение. Ако е видял тъпотията на държавата, както посочва в писмото си, е решил да обърне внимание на медиите.

Тук лично аз го подкрепям. Ще ви обясня защо. Ако някой намери бъг, прати го на НАП и се подпише, вместо да му благодарят и да му пратят пари, както биха направили множество фирми, от приходната агенция ще го дадат на прокурор.

Затова човекът какво е направил - пратил е на медиите, за да се види, че има проблем. От това, което е изтекло, си личи, че проблем има.

За какво могат да се ползват, е голяма тема. От това, че може да видим кой е в чужбина и да пишем, че е гласувал за нашите, до групи за изнудване. В списъците има декларации за приходи, макар и малък процент, може да се види кой има голям доход и да ходи да се изнудва.

- Най-важният въпрос. Не сме в “Авенджърс: Ендгейм” и не можем да се върнем назад, за да спрем изтичането на данните. Какво правим оттук насетне обаче?

- Следва да си научим урока. Най-вече държавата. Тя да помисли и защо не да направи програма за награждаване на хора, които с добри намерения докладват проблеми.

На мен ми е ясно какво ще стане. Ще се изхарчат едни милиони, защото имаме проблем със сигурността. Те ще потънат в едни джобове, както се прави по български. Все пак може и някаква работа да се свърши.

Нали си спомняте какво стана миналата година с Търговския регистър?

- Да.

- Е, оттогава не е падал. Аз не вярвам и тук, в НАП, втори път да се издънят по същия начин.

Първо, трябва да се направят проверки, иодити. Второ - организационно. Информационната сигурност не е само технически всичко да е окей. Не трябва някой да има повече достъп, отколкото му трябва.

Ще ви дам и пример. Отивате в магазин за хранителни стоки. Там има бюро за разплащане на сметки. Казвате си ЕГН-то и ви казват каква къща имате в провинцията и колко данъци дължите. Тези хора могат да ви дадат и данни за данъка за колата.

От една страна, това е суперудобно, но, от друга страна, щом тези хора могат да ви направят тази справка, те могат да я извадят и дадат на трети лица. Това е концептуално грешно, защото тук става дума за частна фирма, която има достъп до данните кой какво дължи.

Представете си какво става в една малка община. Там има една баба, която е пред пенсия. Тя има пароли и може да прави справки. С малко повече на брой справки могат да се източат много неща.

Когато работиш с хора, които не са образовани в тази работа, а в случая на НАП говорим за много служители, има откъде да се пробие. Затова въпросът е да се ограничава достъпът до по-чувствителните данни.

В държавата има много системи. Защо не излизат данни от системата на МВР? Защото не е свързана с интернет.

Мерки могат и трябва да се вземат и това, че се случват по-малки хакове, може и да не е лошо. Така ще се обърне внимание и може да се оправят доста пропуски.

Абонамент за печатен или електронен "24 часа", както и за другите издания на Медийна група България.

Други от Интервю

Джузепе Ла Торе

Джузепе Ла Торе: Няма данни коронавирусът да се предава чрез храна

Инкубационният период варира от 2 до 11 дни Джузепе Ла Торе e доцент по епидемиология и профилактика на инфекциозните болести в римския университет “Сапиенца”. Роден е в Неапол през 1964 г. Има над 230 научни публикации в сферата на епидемиологията и инфекциозните болести. Участвал е в многобройни италиански и международни изследвания

Емил Войнов е председател на Централната комисия по партиен избор на БСП. Снимка: Авторът

Емил Войнов: 43 000 бяха до оня ден членовете на БСП, чакаме още, а до 26.IV. ще заличим починалите и напусналите

Още акценти от интервюто с председателя на Централната комисия по партиен избор: Младежи доброволци се обаждат, за да предупредят социалистите, че предстои пряк избор на лидер - мнозина не знаят Изборите в БСП ще бъдат тройно засечени, за да са честни  По телефона само информираме членовете, че са включени в списъците и имат право да гласуват

Петър Стоянов пред "24 часа": Ето истината за куфарчето на Ханке

Петър Стоянов пред "24 часа": Ето истината за куфарчето на Ханке

Стив Ханке ми донесе документи за американски инвестиции, на които чиновници пречели. Обадих се на Костов, може да съм бил по-рязък, казва Стоянов, президент от 1997 г. до 2002 г. Критиките ми към Костов бяха не за да сваля кабинета, а за да не позволя да падне заради натрупано обществено недоволство - иначе можеше да спрат интеграционните процеси

Десислава Дончева: Очаква се забавяне на китайския внос, но не за дълго

Десислава Дончева: Очаква се забавяне на китайския внос, но не за дълго

Все още няма големи преки щети за нас, тъй като българските търговци са предвидили неработния период в Китай за тяхната Нова година, казва председателката на Българо-китайската камара за индустриално развитие: - Какво е отражението на епидемията от коронавирус върху китайското производство, г-жо Дончева

Дани Каназирева

Дани Каназирева: Няма да се изхабя - млада съм и има какво да дам на Пловдив и региона

Всеки ден показвам как длъжността на областния управител не е формален пост За мен не съществува “Не може” и “Не става” Работя с всички кметове и скоро ще обявим какви пътища ще се правят в региона - Г-жо Каназирева, как ви се отразиха в личен план 100-те дни като областен управител? - Чувствам се на мястото си. Наложих бързи темпове

Илва Йохансон - европейски комисар с ресор вътрешни работи

Еврокомисар: Надявам се скоро всички европейци, включително българите, да пътуват без визи в САЩ

Страните - членки на ЕС, трябва да поемат част от бежанците в Гърция, казва Илва Йохансон - европейски комисар с ресор вътрешни работи в екипа на председателката на Европейската комисия Урсула фон дер Лайен от 1 декември 2019 г. - Комисар Йохансон, имате за задача да разработите нов Европейски пакт за миграцията и убежището

Последно от 24 здраве лого

Новини

Последно от мила бг лого

Последно от

Последно от

Още от Интервю

Анна Александрова - председател на правната комисия към Народното събрание

Анна Александрова: Машините за гласуване ще оскъпят следващите избори поне с 60 млн. лв.

Борисов възложи на юристите от ГЕРБ да обмислим промени в конституцията Надявам се да получим подкрепа да падне забраната за съобщаване на социологически данни в изборния ден ОЩЕ АКЦЕНТИ: В европейските доклади България най-много е критикувана за дописването на избирателните списъци Управляващите сме за комбинирано гласуване с машини и хартиени

Николай Урумов

Николай Урумов: Живеем като в казармата на принципа "всяка заповед е предпоследна"!

Хубаво е да се види историята на поп Минчо Кънчев, защото малцина ще седнат да четат 1200 страници - Николай, последният ти моноспектакъл е “Мъжка задушница” от Емил Бонев. Какво внушаваш с него? - Ако героят от “Лалугер” е малък човек, поп Минчо от “Мъжка задушница” е голям човек. В Стара Загора има музей на негово име. Имат улица

Доц. Марчев: Дали ще имаш високо кръвно, зависи и от бактериите в червата

Доц. Марчев: Дали ще имаш високо кръвно, зависи и от бактериите в червата

Трансплантирането на микроорганизми е следващият блокбастър - топмилиардери като Бил Гейтс и Марк Зукърбърг влагат пари в биотехнологични компании, които разработват микробиомни терапии, казва доц. Сотир Марчев - началник на Клиниката по кардиология в Медицинския инстутит на МВР. Почетен член (FESC) е на Европейското кардиологично дружество

Доц. Околийски: Без сексуално образование оставяме децата на захарните чичковци

Доц. Околийски: Без сексуално образование оставяме децата на захарните чичковци

В България за секса или не се говори, или се интерпретира през виц, а баячки, врачки и Кобилкина претендират, че помагат, казва доц. д-р Михаил Околийски. Завършил е социална терапия с профил сексология през 1995 г. в Хумболтовия университет в Берлин, а през 1998 г. получава докторска степен по сексология от същия университет. От 1998 г

Колбер беше в София да представи първата си изложба у нас.
СНИМКИ: РУМЯНА ТОНЕВА

Художникът Филип Колбер: В изкуството трябва да има предизвикателство, иначе то ще е само декорация

Наричаният Кръщелник на Анди Уорхол откри за първи път изложба у нас Филип Колбер е роден през 1979 г. в Пърт, Шотландия. Завършва философия в Университета на Сейнт Андрюс - най-стария университет в Шотландия, където сред колегите му е и принц Уилям. Колбер е световноизвестен художник, който работи в областта на живописта, скулптурата

Румен Стоянов: След срещата на кметовете с Иван Гешев полицаи и прокурори питат как да помогнат

Румен Стоянов: След срещата на кметовете с Иван Гешев полицаи и прокурори питат как да помогнат

Запознахме главния прокурор как висш магистрат придобил земя в плевенско село по съмнителен начин, как боклук се извозва веднъж за 70 лв. на тон, друг път по 250 лв., как са откраднати 100 000 лв. от комплекса “Христо Ботев” в Калофер и как Карлово влезе в неизгодна сделка с имоти с бизнесмена Христо Ковачки, казва кметът на Калофер - Г-н Стоянов

Последно от

Последно от

Най-важното

Избрано от Google

Следвайте във Viber