Светлин Наков: Не е лесно да се опази система, до която и лелката на гише в малък град има достъп

https://www.24chasa.bg/mnenia/article/7562294 Светлин Наков: Не е лесно да се опази система, до която и лелката на гише в малък град има достъп Светлин Наков: Не е лесно да се опази система, до която и лелката на гише в малък град има достъп www.24chasa.bg
д-р Светлин Наков
д-р Светлин Наков

Има много начини за изтичане на данни - например през лаптоп, даден за ремонт. А данните във файловете са частични, казва основателят на "СофтУни"

- Г-н Наков, как ще коментирате изтичането на толкова много данни от НАП?

- Сериозна издънка! Вероятно наистина е хакерска атака. Според мен има неща, които не са направени добре. Просто в държавната администрация не е много трудно да се намерят проходи, тъй като често там работят хора, които не са добре платени. Организационно не е много работеща системата - изпълнители, подизпълнители... Често пъти търговете се печелят не с техническа компетентност, а с рушвети. Според мен немарливост е основната причина, а оттам нататък как се е случило - дали е българин, руснак или човек от друга националност, трудно може да се каже.

- Какво точно е изтекло?

- Трудно може да се каже. От това, което аз видях, става дума за големи количества малко безразборни данни. Няма един цял регистър източен. Има много таблици с различни неща, свързани с данъчни теми. Неща от сорта на подадени декларации - например пише: “Тоя човек, това му е ЕГН, това му е адресът, това му е мейлът, а на тази дата е подал декларация онлайн”.

Тоест вероятно някой е осъществил достъп до някоя от машините, която съхранява тези данни, или машина, която е на технически човек, който има достъп. При втория вариант този човек, да речем, програмист, може да е изтеглил част от данните, защото наистина става въпрос за част от тях, а някой ги е достъпил.

Първата хипотеза е човек, който работи там, ползвал е данните за справки и някой му е достъпил лаптопа. Например, докато е бил на ремонт.

Втори вариант е отдалечена атака. При нея един от многото сървъри на НАП е имал бъг или уязвимост и някой го е използвал.

- Изпращачът казва, че това са само 11 от 21 гигабайта данни, които има.

- Възможно е и някой да е изтеглил абсолютно всичко и да ни е подхвърлил само парче. В някои от таблиците изглежда, че са непълни.

Може много да се спори и коментира по темата. Ние нямаме достъп до всичко, виждаме това, което е пратено. В тези данни има имена на хора, има ЕГН-та, има имена на фирми. Има и сертификати за достъп.

Такава информация имат ИТ хората, които работят в службите. Кой може да е пробитият? Може да е човек от НАП, може да е контрактор на приходната агенция. Има софтуерни фирми, които правят тези регистри. Други ги поддържат.

При информационната сигурност има много неща. Едното е процес и организация - кой има достъп, при какви правила и как се съхраняват данните. След това е компетентността на самите служители, след това е контролът - как се следи за пробиви и неправомерен достъп.

Доста е сложно, не може да се каже, че някои са некадърни или нещо от сорта. Става дума за 120 услуги, които НАП предлага. А в колко града?

Самият факт, че една лелка на гишето, примерно в Белоградчик, може да ви каже колко данъци дължите, значи, че тя има достъп. Виждате ли колко много са местата, от които може да изтече информацията.

Не е много лесно да се опази една такава система.

- Финансовият министър Владислав Горанов каза, че течът е 3% от информацията, която се пази в НАП.

- Аз лично не зная колко информация имат, но е факт, че мен лично ме нямаше. Търсих се, но не се открих. Рових и познати, на които имам ЕГН-та, не ги открих.

Ако бяха всички данни за тези, подавали декларации през 2018 г., аз лично щях да бъда там.

- Какво значи това?

- Три са хипотезите. Или данните са непълни, или този, който изпраща данните, ни подхвърля парчета. Може и да не е успял да изтегли всичко докрай. Все пак, когато почнеш да сваляш големи обеми, може да се активират разни защитни механизми. Може и да претовариш системата и някой да се усети. Има и ограничения - може ли някой да ти прати 3 терабайта информация? Възможно е хакерът да е изтеглил първите 5% от дадена таблица. Прави впечатление, че малките таблици са целите, а големите са с частични данни. В моите очаквания трябва да има ЕГН-тата на всички българи, но ги няма. Какъв е процентът, който е изтеглен, не зная. Не е и моя работа, защото не съм разследващ.

- Какво ви направи впечатление, като видяхте данните?

- Изглеждат ми като работни, а не като цял регистър. Поне от това, което видях, е откъслечна информация. Например има данни от април до септември 2010 г. Защо няма 2011 г. обаче, никой не знае.

- Да поговорим за самия метод - SQL инжекция.

- Дали е така, не зная. Възможно е, това е абсолютно правдоподобен вариант. В “СофтУни” го преподаваме и сме длъжни да го правим, за да знаят как да се защитят.

SQL инжекцията е следното нещо - имаме поле, в което вкарваме данни. Примерно аз трябва да си подам декларацията и пиша “Светлин Наков”. Обаче вместо “Светлин Наков” аз пиша апостроф, с което затварям командата за вкарване на данни и пиша друга команда.

Това се случва, когато при правене на софтуер не е спазен принципът, че данни и команди трябва да вървят по различни канали.

Общо взето, е индикация за кофти програмисти. Отваряме обаче едно “но”. Това може да е във всякакви модули. Обикновено когато правим една система, ако имаме 120 системи, всяка от тях има 8, 10 или 15 модула. Някой от тези модули е на трети производител. Никой не прави целия софтуер.

Нека дам пример. Форум, в който се публикуват новини. Друг ти прави софтуера. Ако той има бъг, цялата система се компрометира.

SQL инжекцията е техническа уязвимост, при която се допуска с команда да се сглобят два стринга. В тях се пише примерно “Вкарай в тая таблица Светлин”. Обаче се слага едно апострофче и “Вкарай в тая таблица Светлин; Дай ми всички данни от тая таблица”. Така се подпъхва команда.

- От НАП обясниха, че пробивът е станал заради слабост в услугата “Въстановяване на ДДС от чужбина”.

- Не вярвам да има система в НАП, която да не ползва SQL (компютърен език за структурирани запитвания - б.а.). Все пак това е система, чиято задача е да приема,обработва и съхранява данни. Оттам нататък пробивите може да са най-различни. Някои от тях са неправилна конфигурация на сървър, на който си сложил парола по подразбиране например.

Това може да стане на сървъра на някой си. Нали разбирате, че работят над 200 души. Единият тества нови версии на продукта и е изтеглил част от данните, за да ги пробва. Тоест има твърде много места, от които да се е случило.

Ако наистина е SQL инжекция, то в един от модулите може някой да е пипал някой скрипт. Това е много добре позната атака, която съществува, откакто има бази данни. Тя е нещо, което позволява да вкараме команда, с която четем пишем и променяме данни на място, на което по принцип вкарваме потребителското си име, да речем.

Може да се провери дали има такава инжекция, като влезеш в сайта и вместо потребителското си име слагаш апострофче. Ако вместо да каже, че потребителското име е невярно, даде грешка, вероятно има такава инжекция.

Има много инструменти, с които такива зарази се хващат.

Технически, на мен SQL инжекциятами изглежда доста правдоподобно. Може да има много варианти, и то ако тръгнем с хипотезата, че няма вътрешен човек.

Може и някой да се е скарал с шефа си и е напуснал, но на тръгване си е взел едни неща.

- В новото си писмо хакерът казва, че е руснак, женен за българка, и че е хаквал данните през 2012 г. и тогава никой не е разбрал, че той и съучастниците му са дръпнали 30 гигабайта информация.

- Нищо чудно. Колкото по-назад се връшаме във времето, толкова по-слаба е била сигурността.

А това дали е руснак, не мога да коментирам. Лично аз, ако съм албанец, ще кажа, че съм руснак, за да има по-малко улики към мен. Все пак този човек го търсят, и то доста.

Това, че е ползвал руски сайт, за да прати мейла, според мен не е улика. Можело е да го подаде до медиите и през афганистански сайт.

Уликите може да ги търсят със съдействието на руските служби. Например от кой IP адрес е пратен мейлът. Но ако има хакване, то според мен човекът си е скрил добре следите.

Що се отнася до версията, че е руснак - може. Те са известни с техническите си умения. Дали е женен за българка може и да има, и да няма значение. Ако е видял тъпотията на държавата, както посочва в писмото си, е решил да обърне внимание на медиите.

Тук лично аз го подкрепям. Ще ви обясня защо. Ако някой намери бъг, прати го на НАП и се подпише, вместо да му благодарят и да му пратят пари, както биха направили множество фирми, от приходната агенция ще го дадат на прокурор.

Затова човекът какво е направил - пратил е на медиите, за да се види, че има проблем. От това, което е изтекло, си личи, че проблем има.

За какво могат да се ползват, е голяма тема. От това, че може да видим кой е в чужбина и да пишем, че е гласувал за нашите, до групи за изнудване. В списъците има декларации за приходи, макар и малък процент, може да се види кой има голям доход и да ходи да се изнудва.

- Най-важният въпрос. Не сме в “Авенджърс: Ендгейм” и не можем да се върнем назад, за да спрем изтичането на данните. Какво правим оттук насетне обаче?

- Следва да си научим урока. Най-вече държавата. Тя да помисли и защо не да направи програма за награждаване на хора, които с добри намерения докладват проблеми.

На мен ми е ясно какво ще стане. Ще се изхарчат едни милиони, защото имаме проблем със сигурността. Те ще потънат в едни джобове, както се прави по български. Все пак може и някаква работа да се свърши.

Нали си спомняте какво стана миналата година с Търговския регистър?

- Да.

- Е, оттогава не е падал. Аз не вярвам и тук, в НАП, втори път да се издънят по същия начин.

Първо, трябва да се направят проверки, иодити. Второ - организационно. Информационната сигурност не е само технически всичко да е окей. Не трябва някой да има повече достъп, отколкото му трябва.

Ще ви дам и пример. Отивате в магазин за хранителни стоки. Там има бюро за разплащане на сметки. Казвате си ЕГН-то и ви казват каква къща имате в провинцията и колко данъци дължите. Тези хора могат да ви дадат и данни за данъка за колата.

От една страна, това е суперудобно, но, от друга страна, щом тези хора могат да ви направят тази справка, те могат да я извадят и дадат на трети лица. Това е концептуално грешно, защото тук става дума за частна фирма, която има достъп до данните кой какво дължи.

Представете си какво става в една малка община. Там има една баба, която е пред пенсия. Тя има пароли и може да прави справки. С малко повече на брой справки могат да се източат много неща.

Когато работиш с хора, които не са образовани в тази работа, а в случая на НАП говорим за много служители, има откъде да се пробие. Затова въпросът е да се ограничава достъпът до по-чувствителните данни.

В държавата има много системи. Защо не излизат данни от системата на МВР? Защото не е свързана с интернет.

Мерки могат и трябва да се вземат и това, че се случват по-малки хакове, може и да не е лошо. Така ще се обърне внимание и може да се оправят доста пропуски.

Абонамент за печатен или електронен "24 часа", както и за другите издания на Медийна група България.

Други от Интервю

Георги Стойчев: Най-високи доходи чакат студентите в инженерните и здравните направления

Георги Стойчев: Най-високи доходи чакат студентите в инженерните и здравните направления

Още акценти от интервюто с ръководителя на екипа, работил по рейтинга на висшите училища: Приключи масовизацията на висшето ни образование. Сега то е все по-близо до европейския профил Увеличава се делът на студентите в направления, при които има по-добра реализация Университетите в по-голяма степен стават международно разпознаваеми В

Бен Крос в ролята на английския вицеконсул Уайт във филма на Анри Кулев "Имало една война"

Бен Крос: Тук не могат да ми плащат високи хонорари, но подпомагам българското кино

Британският актьор за участието си във филма "Имало една война", за живота в България и за други неща - Хареса ли ви филмът “Имало една война”, г-н Крос? - Много харесах филма. Проф. Анри Кулев е талантлив човек. Не ставаш професор, ако си неграмотен. Както всички знаем, той прави анимационни филми

Стефан Димитров

Стефан Димитров: Песните на НЛО са феномен - 30 г. след прехода още са актуални

Концертът с тях ще е много смешен и ексклузивен, няма да го излъчват по телевизията, казва талантливият композитор, написал за легендарното предаване 70-80 хита В американското посолство изпяха песента ми “Нова годино” като поздрав към българския народ за празниците По празниците ще сме като всички българи - няма да правим нищо особено

Проф. Боян Биолчев: "Превод" на "Под игото" е агресивна търгашеска посредственост

Проф. Боян Биолчев: "Превод" на "Под игото" е агресивна търгашеска посредственост

Плаши ме какво става извън България - освен пластмасови домати внасяме и страхове - Честита ви наградата “Хеликон” за 2019 г., г-н Биолчев. Романът “Преселението” е издание на издателство “Труд” и с него вие спечелихте статуетката в състезание с над 120 заглавия. Как посрещнахте тази награда? Повиши ли тя самочувствието ви на писател

Албрехт Фрайхер фон Бьозелагер, Велик канцлер на Суверенния малтийски орден

Албрехт фон Бьозелагер: Фалшиви организации предлагат рицарство на българи срещу пари

Суверенният военен хоспиталиерен орден на Свети Йоан от Йерусалим Родос и Малта няма членове в България с изключение на Симеон Сакскобургготски, казва Великият канцлер на ордена - Ваше Превъзходителство, България и Суверенният малтийски орден имат отношения вече 25 години. Тази символна четвъртвековна годишнина ли ви води в България

Анатолий Макаров

Анатолий Макаров: България забави “Турски поток”, но Борисов обясни защо

Изгонването на наш дипломат не беше приятелска стъпка, взехме ответни мерки, казва руският посланик у нас - Ваше Превъзходителство, каква е равносметката ви за руско-българските отношения за отиващата си 2019 г.? - Въпреки отделни негативни моменти като цяло отиващата си година беше достатъчно ползотворна за руско-българските отношения

Последно от 24 здраве лого

Новини

Последно от мила бг лого

Последно от

Последно от

Още от Интервю

Хасан Адемов

Адемов: Вдигането на пенсиите е незабележимо за пенсионерите въпреки огромните разходи

Две пенсии ще са повече от една, ако хората са се осигурявали на високи доходи, казва председателят на социалната комисия на Народното събрание Още акценти от интервюто: Деница Сачева има квалификация, експертиза и комуникативни умения, с които може да зададе по-бърз темп за социалните реформи Мотивите, с които Борисов махна Бисер Петков

Петър Витанов: Социално-икономическите неравенства са крайъгълният камък за "Зелената сделка"

Петър Витанов: Социално-икономическите неравенства са крайъгълният камък за "Зелената сделка"

Целта е амбициозна и позитивна, но и рисковете са огромни, казва евродепутатът и ръководител на делегацията на българските социалисти в Европарламента - Г-н Витанов, какви са целите, заложени в Европейската зелена сделка, предложена от новоизбраната Европейска комисия? - Това е безспорно амбициозна и позитивна цел

Красимир Вълчев: Студенти ще учат безплатно в поне 7 дефицитни направления

Красимир Вълчев: Студенти ще учат безплатно в поне 7 дефицитни направления

През 2020 г. 60% от финансирането ще зависят от комплексната оценка за качество и реализация, казва министърът на образованието и науката - Г-н Вълчев, какво ви прави впечатление в последното издание на рейтинговата система на висшите училища? - Задълбочават се тенденциите, които виждахме и през предходните години за промяна в професионалната

Явор Петров

Явор Петров: iCard и Apple Pay се обединяват за по-сигурно и лесно плащане

Потребителите ще могат да пазаруват в магазини, мобилни приложения и интернет, казва изпълнителният директор на iCard по повод пускането на услугата миналата седмица - Господин Петров, българският дигитален портфейл iCard вече предоставя и услугата Apple Pay. Как ще се допълват двата метода за плащане? Не се ли припокриват те

НИКОЛАЙ ТОНЕВ

Николай Тонев: Над 3 млн. лв. вложи “КонтурГлобал” в обекти, които хората избраха

Това променя облика на общината. Не допускаме по никакъв начин направеното да се занемари или съсипе, казва кметът на община Гълъбово Г-н Тонев, какво е да имате на територията на общината четири централи? - Към тях прибавете и рудник “Трояново 3”, който също е на наша територия. Централите са “Ей И Ес Гълъбово Марица Изток 1”, “Марица-изток 2”

Деница Сачева: Правителството не иска и няма интерес да отнема деца

Деница Сачева: Правителството не иска и няма интерес да отнема деца

На път сме да отречем да правим добро, да се грижим за нашите баби и дядовци и за бедни деца Осигуряването в частен фонд има предимства, но трябват повече видове пенсионни продукти Време е да говорим,че пенсията зависи от това, колко си внесъл Промяна в Кодекса на труда трябва да даде гъвкавост на бизнеса при наемането на хора - Г-жо Сачева

Последно от

Последно от

Най-важното

Избрано от Google

Следвайте във Viber