Светлин Наков: Не е лесно да се опази система, до която и лелката на гише в малък град има достъп

https://www.24chasa.bg/mnenia/article/7562294 Светлин Наков: Не е лесно да се опази система, до която и лелката на гише в малък град има достъп Светлин Наков: Не е лесно да се опази система, до която и лелката на гише в малък град има достъп www.24chasa.bg
д-р Светлин Наков

Има много начини за изтичане на данни - например през лаптоп, даден за ремонт. А данните във файловете са частични, казва основателят на "СофтУни"

- Г-н Наков, как ще коментирате изтичането на толкова много данни от НАП?

- Сериозна издънка! Вероятно наистина е хакерска атака. Според мен има неща, които не са направени добре. Просто в държавната администрация не е много трудно да се намерят проходи, тъй като често там работят хора, които не са добре платени. Организационно не е много работеща системата - изпълнители, подизпълнители... Често пъти търговете се печелят не с техническа компетентност, а с рушвети. Според мен немарливост е основната причина, а оттам нататък как се е случило - дали е българин, руснак или човек от друга националност, трудно може да се каже.

- Какво точно е изтекло?

- Трудно може да се каже. От това, което аз видях, става дума за големи количества малко безразборни данни. Няма един цял регистър източен. Има много таблици с различни неща, свързани с данъчни теми. Неща от сорта на подадени декларации - например пише: “Тоя човек, това му е ЕГН, това му е адресът, това му е мейлът, а на тази дата е подал декларация онлайн”.

Тоест вероятно някой е осъществил достъп до някоя от машините, която съхранява тези данни, или машина, която е на технически човек, който има достъп. При втория вариант този човек, да речем, програмист, може да е изтеглил част от данните, защото наистина става въпрос за част от тях, а някой ги е достъпил.

Първата хипотеза е човек, който работи там, ползвал е данните за справки и някой му е достъпил лаптопа. Например, докато е бил на ремонт.

Втори вариант е отдалечена атака. При нея един от многото сървъри на НАП е имал бъг или уязвимост и някой го е използвал.

- Изпращачът казва, че това са само 11 от 21 гигабайта данни, които има.

- Възможно е и някой да е изтеглил абсолютно всичко и да ни е подхвърлил само парче. В някои от таблиците изглежда, че са непълни.

Може много да се спори и коментира по темата. Ние нямаме достъп до всичко, виждаме това, което е пратено. В тези данни има имена на хора, има ЕГН-та, има имена на фирми. Има и сертификати за достъп.

Такава информация имат ИТ хората, които работят в службите. Кой може да е пробитият? Може да е човек от НАП, може да е контрактор на приходната агенция. Има софтуерни фирми, които правят тези регистри. Други ги поддържат.

При информационната сигурност има много неща. Едното е процес и организация - кой има достъп, при какви правила и как се съхраняват данните. След това е компетентността на самите служители, след това е контролът - как се следи за пробиви и неправомерен достъп.

Доста е сложно, не може да се каже, че някои са некадърни или нещо от сорта. Става дума за 120 услуги, които НАП предлага. А в колко града?

Самият факт, че една лелка на гишето, примерно в Белоградчик, може да ви каже колко данъци дължите, значи, че тя има достъп. Виждате ли колко много са местата, от които може да изтече информацията.

Не е много лесно да се опази една такава система.

- Финансовият министър Владислав Горанов каза, че течът е 3% от информацията, която се пази в НАП.

- Аз лично не зная колко информация имат, но е факт, че мен лично ме нямаше. Търсих се, но не се открих. Рових и познати, на които имам ЕГН-та, не ги открих.

Ако бяха всички данни за тези, подавали декларации през 2018 г., аз лично щях да бъда там.

- Какво значи това?

- Три са хипотезите. Или данните са непълни, или този, който изпраща данните, ни подхвърля парчета. Може и да не е успял да изтегли всичко докрай. Все пак, когато почнеш да сваляш големи обеми, може да се активират разни защитни механизми. Може и да претовариш системата и някой да се усети. Има и ограничения - може ли някой да ти прати 3 терабайта информация? Възможно е хакерът да е изтеглил първите 5% от дадена таблица. Прави впечатление, че малките таблици са целите, а големите са с частични данни. В моите очаквания трябва да има ЕГН-тата на всички българи, но ги няма. Какъв е процентът, който е изтеглен, не зная. Не е и моя работа, защото не съм разследващ.

- Какво ви направи впечатление, като видяхте данните?

- Изглеждат ми като работни, а не като цял регистър. Поне от това, което видях, е откъслечна информация. Например има данни от април до септември 2010 г. Защо няма 2011 г. обаче, никой не знае.

- Да поговорим за самия метод - SQL инжекция.

- Дали е така, не зная. Възможно е, това е абсолютно правдоподобен вариант. В “СофтУни” го преподаваме и сме длъжни да го правим, за да знаят как да се защитят.

SQL инжекцията е следното нещо - имаме поле, в което вкарваме данни. Примерно аз трябва да си подам декларацията и пиша “Светлин Наков”. Обаче вместо “Светлин Наков” аз пиша апостроф, с което затварям командата за вкарване на данни и пиша друга команда.

Това се случва, когато при правене на софтуер не е спазен принципът, че данни и команди трябва да вървят по различни канали.

Общо взето, е индикация за кофти програмисти. Отваряме обаче едно “но”. Това може да е във всякакви модули. Обикновено когато правим една система, ако имаме 120 системи, всяка от тях има 8, 10 или 15 модула. Някой от тези модули е на трети производител. Никой не прави целия софтуер.

Нека дам пример. Форум, в който се публикуват новини. Друг ти прави софтуера. Ако той има бъг, цялата система се компрометира.

SQL инжекцията е техническа уязвимост, при която се допуска с команда да се сглобят два стринга. В тях се пише примерно “Вкарай в тая таблица Светлин”. Обаче се слага едно апострофче и “Вкарай в тая таблица Светлин; Дай ми всички данни от тая таблица”. Така се подпъхва команда.

- От НАП обясниха, че пробивът е станал заради слабост в услугата “Въстановяване на ДДС от чужбина”.

- Не вярвам да има система в НАП, която да не ползва SQL (компютърен език за структурирани запитвания - б.а.). Все пак това е система, чиято задача е да приема,обработва и съхранява данни. Оттам нататък пробивите може да са най-различни. Някои от тях са неправилна конфигурация на сървър, на който си сложил парола по подразбиране например.

Това може да стане на сървъра на някой си. Нали разбирате, че работят над 200 души. Единият тества нови версии на продукта и е изтеглил част от данните, за да ги пробва. Тоест има твърде много места, от които да се е случило.

Ако наистина е SQL инжекция, то в един от модулите може някой да е пипал някой скрипт. Това е много добре позната атака, която съществува, откакто има бази данни. Тя е нещо, което позволява да вкараме команда, с която четем пишем и променяме данни на място, на което по принцип вкарваме потребителското си име, да речем.

Може да се провери дали има такава инжекция, като влезеш в сайта и вместо потребителското си име слагаш апострофче. Ако вместо да каже, че потребителското име е невярно, даде грешка, вероятно има такава инжекция.

Има много инструменти, с които такива зарази се хващат.

Технически, на мен SQL инжекциятами изглежда доста правдоподобно. Може да има много варианти, и то ако тръгнем с хипотезата, че няма вътрешен човек.

Може и някой да се е скарал с шефа си и е напуснал, но на тръгване си е взел едни неща.

- В новото си писмо хакерът казва, че е руснак, женен за българка, и че е хаквал данните през 2012 г. и тогава никой не е разбрал, че той и съучастниците му са дръпнали 30 гигабайта информация.

- Нищо чудно. Колкото по-назад се връшаме във времето, толкова по-слаба е била сигурността.

А това дали е руснак, не мога да коментирам. Лично аз, ако съм албанец, ще кажа, че съм руснак, за да има по-малко улики към мен. Все пак този човек го търсят, и то доста.

Това, че е ползвал руски сайт, за да прати мейла, според мен не е улика. Можело е да го подаде до медиите и през афганистански сайт.

Уликите може да ги търсят със съдействието на руските служби. Например от кой IP адрес е пратен мейлът. Но ако има хакване, то според мен човекът си е скрил добре следите.

Що се отнася до версията, че е руснак - може. Те са известни с техническите си умения. Дали е женен за българка може и да има, и да няма значение. Ако е видял тъпотията на държавата, както посочва в писмото си, е решил да обърне внимание на медиите.

Тук лично аз го подкрепям. Ще ви обясня защо. Ако някой намери бъг, прати го на НАП и се подпише, вместо да му благодарят и да му пратят пари, както биха направили множество фирми, от приходната агенция ще го дадат на прокурор.

Затова човекът какво е направил - пратил е на медиите, за да се види, че има проблем. От това, което е изтекло, си личи, че проблем има.

За какво могат да се ползват, е голяма тема. От това, че може да видим кой е в чужбина и да пишем, че е гласувал за нашите, до групи за изнудване. В списъците има декларации за приходи, макар и малък процент, може да се види кой има голям доход и да ходи да се изнудва.

- Най-важният въпрос. Не сме в “Авенджърс: Ендгейм” и не можем да се върнем назад, за да спрем изтичането на данните. Какво правим оттук насетне обаче?

- Следва да си научим урока. Най-вече държавата. Тя да помисли и защо не да направи програма за награждаване на хора, които с добри намерения докладват проблеми.

На мен ми е ясно какво ще стане. Ще се изхарчат едни милиони, защото имаме проблем със сигурността. Те ще потънат в едни джобове, както се прави по български. Все пак може и някаква работа да се свърши.

Нали си спомняте какво стана миналата година с Търговския регистър?

- Да.

- Е, оттогава не е падал. Аз не вярвам и тук, в НАП, втори път да се издънят по същия начин.

Първо, трябва да се направят проверки, иодити. Второ - организационно. Информационната сигурност не е само технически всичко да е окей. Не трябва някой да има повече достъп, отколкото му трябва.

Ще ви дам и пример. Отивате в магазин за хранителни стоки. Там има бюро за разплащане на сметки. Казвате си ЕГН-то и ви казват каква къща имате в провинцията и колко данъци дължите. Тези хора могат да ви дадат и данни за данъка за колата.

От една страна, това е суперудобно, но, от друга страна, щом тези хора могат да ви направят тази справка, те могат да я извадят и дадат на трети лица. Това е концептуално грешно, защото тук става дума за частна фирма, която има достъп до данните кой какво дължи.

Представете си какво става в една малка община. Там има една баба, която е пред пенсия. Тя има пароли и може да прави справки. С малко повече на брой справки могат да се източат много неща.

Когато работиш с хора, които не са образовани в тази работа, а в случая на НАП говорим за много служители, има откъде да се пробие. Затова въпросът е да се ограничава достъпът до по-чувствителните данни.

В държавата има много системи. Защо не излизат данни от системата на МВР? Защото не е свързана с интернет.

Мерки могат и трябва да се вземат и това, че се случват по-малки хакове, може и да не е лошо. Така ще се обърне внимание и може да се оправят доста пропуски.

Абонамент за печатен или електронен "24 часа", както и за другите издания на Медийна група България.

Други от Интервю

Шефът на Пътна полиция: Заснехме 10 746 шофьори с превишена скорост над 50 км/ч

Издали сме 950 370 акта, фиша и електронни фиша за първите 7 месеца на годината, казва Росен Рапчев - Комисар Рапчев, август месец традиционно е най-тежък откъм катастрофи. Какви мерки вземате това лято? - Не само август, а трите летни месеца – юни, юли и август, са най-натоварени и с най-сериозен пътен травматизъм. 78 са загиналите през август м

Николай Вълканов: За бизнеса е важно да има стабилност в управлението за 4 г. Като правиш 300 млн. лева инвестиции, а се промени рамката, ще настъпи катастрофа

От две години има спад на цените на металите с 30%, въпреки товаинвестираме и увеличаваме заплати, казва председателят на Българската минно-геоложка камара и зам.-председател на КРИБ  Още акценти Слава богу, че правителството на г-н Борисов не се поддаде на спекулативни искания, той обеща, че за целия мандат няма да се увеличат данъците,

Вероника Имова: Методи Лалов трябва да изготви съдебни актове по 111 дела, преди ВСС да приеме оставката му

Важно е имиджът на магистрата да е чист, ако ще става политик, казва членът на Съдийската колегия на ВСС Вероника Имова - Г-жо Имова, след проваленото заседание на Съдийската колегия на ВСС, на което не беше освободен Методи Лалов като съдия, той упрекна кадровия орган и вас персонално, че не му позволявате да подаде оставка,

Нанси Шилър: Дарихме 221 млн. долара в 886 проекта

Повече от половината от тези средства са отпуснати от Фондация “Америка за България” за образование в страната, казва президентът на Фондацията Част от екипа на “Америка за България”, отговарящ за проектите на фондацията заедно с президентката Нанси Шилър, разказват за някои от най-успешните ѝ инициативи

Проф. Антоний Тодоров: С Мая Манолова за първи път има условия за пробив в управлението на ГЕРБ в столицата

Още акценти от интервюто: Тя в момента не е изпълнителна власт, за да решава проблеми. Нейната работа като омбудсман е именно да говори И Фандъкова, като е започнала като кмет, не е имала по-голям опит от нея. Хората се учат Нинова развърза ръцете на градската организация да подкрепи кандидатура на обществения защитник в София Резултатите

Асен Александров: Най-сетне на учителя се дава свобода той да е царят в клас, а не учебната програма

Атестирането е добър подход, трябва да се мисли и за стимули на тази база - сега разликата между най-добрия и най-лошия преподавател е до 30 лв. на месец, казва директорът на столичното 51-о средно училище "Елисавета Багряна" - Г-н Александров, защо трябва учителите да бъдат атестирани - за първи път се въвежда редовно оценяване на всеки 4 години

Последно от лого

Новини

Последно от лого

Последно от

Последно от

Още от Интервю

Кирил Добрев: Дребнавостта не отива на БСП и ако нещо е добро за София - като Мая Манолова, няма проблем да го подкрепим

Още акценти от интервюто със зам.-председателя на БСП: Само ние имаме вроден инстинкт да оставяме на заден план тяснопартийните си интереси. Изискваме обаче уважение и принципност В тази кампания ще изненадаме избирателя с изцяло ново поколение политици в БСП, готово да влезе сега в местната власт.

Румяна Коларова: Мая Манолова изчаква септемврийската социология и е нервна - името й се коментира прекалено рано

Още акценти от интервюто: Местните избори са вододелът - оттях зависи както бъдещето на ГЕРБ, така и на лидера на БСП Номинациите ще тръгнат след 15 септември. До тогава може да има промяна в нагласите България има нужда от конструктивна лява алтернатива. Иначе дясното ще започне да предлага социалните решения Слави Трифонов е пред

Емил Нешев: Единствени в ЕС сме без хеликоптер линейка, а ни трябват поне 5 за реакция в “златния час”

Още акценти от интервюто: Лятно време спасяването е само на ръце, колата стига, докъдето има път, казва шефът на Планинската спасителна служба Губят се хората, които подценяват планината Само през миналата седмица имахме 10 спасителни акции  Издирването на туристи може да струва и 150 хил. евро Тръгвайте към върховете с уважение и респект В

Николай Димитров: Промените в Несебър са видими и ярки, за мен най-важна е оценката на хората

Не само градът, а и съставните селища са живи и многолюдни, казва кметът на Несебър  Държа на проектите с директно отношение към подобряване на жизнените условия в общината Административното ръководство се старае да предоставя максимално качествени и достъпни услуги независимо от финансовия ресурс - Г-н Димитров,

Таро Коно: България е силен лидер в усилията за просперитет на Балканите

В Черно и Южнокитайско море трябва да се гарантира свобода на корабоплаването и мирно разрешаване на споровете,  казва министърът на външните работи на Япония - Г-н министър, каква е основната цел на посещението ви в България? - За мен е изключително радостно, че имам възможността да посетя България по повод “трите годишнини” в японско-българските

Тихомир Безлов: Големи чужди разузнавания нямат проблем да получат наши лични данни

Хакерите на НАП - или анархисти на ХХI в., или гонят меркантилна цел - Хакнаха НАП, последва опит, но безуспешeн, да хакнат Комисията за защита на личните данни. Онзиден пък научихме, че измамници се възползват от ситуацията и се опитват да крадат пароли от банки чрез имейли. На какво да отдадем хакерската активност в горещото лято, г-н Безлов

Последно от

Последно от

Най-важното

Избрано от Google

Следвайте във Viber