11.8.23

Οσμή σκανδάλου...


Μία σειρά από παραλείψεις, προχειρότητες, αστοχίες και προγραμματιστικά λάθη εντοπίζει το πόρισμα του εμπειρογνώμονα στα πληροφοριακά ...συστήματα που στήθηκαν για να εξυπηρετήσουν τη διενέργεια των διαγωνισμών για μικρά φωτοβολταϊκά στην Πελοπόννησο και την Κρήτη. Τα ευρήματα αυτά, που παρουσιάζει σήμερα κατ’ αποκλειστικότητα το Euro2day.gr, θα μπορούσαν, λένε πηγές της αγοράς, να στοιχειοθετήσουν την ακύρωση των δύο διαγωνισμών. Ωστόσο, η τύχη τους παραμένει ακόμη σε εκκρεμότητα, σύμφωνα με άλλο, σημερινό, ρεπορτάζ.

Την πρωτοβουλία για την έρευνα του εμπειρογνώμονα είχε η πρώην ΡΑΕ, με το πόρισμα του να παραδίδεται στα τέλη Ιουνίου στον Κλάδο Ενέργειας της νυν ΡΑΑΕΥ. Η εξέταση των στοιχείων καταγραφής των διαγωνισμών παραδόθηκαν από τον ΔΕΔΔΗΕ, που είχε την ευθύνη της προετοιμασίας της ηλεκτρονικής πλατφόρμας, ύστερα από εντολή του υπουργείου Περιβάλλοντος και Ενέργειας. Ο εμπειρογνώμονας ξεκίνησε τις έρευνες του στις 12 Φεβρουαρίου.

Παραθέτουμε αναλυτικά και ασχολίαστα τα όσα παρατίθενται στα συμπεράσματα του πορίσματος του, που καλύπτουν 10 σελίδες, ενώ οι τεχνικές παρατηρήσεις του καταλαμβάνουν 68 σελίδες.

Οι τέσσερις διακομιστές εφαρμογής (application servers) για την Πελοπόννησο ενώ έπρεπε να είναι ενεργοί από τις 11 το πρωί στις 21 Οκτωβρίου 2022 φαίνεται να εκκίνησαν περίπου μία ώρα μετά (11.50 π.μ.) και να είναι ανοιχτοί στο κοινό μιάμιση ώρα μετά, με αιτιολογία την εκτέλεση ορισμένων δοκιμών.

• Οι διακομιστές ιστού (webservers) φαίνεται να είχαν εκκινήσει από τις 11.15, αλλά ως τις 11.50 δεν μπορούσαν να εξυπηρετήσουν αιτήματα, γιατί ήταν κλειστοί οι διακομιστές εφαρμογής. Πράγματι έγινε δοκιμή στις 12.05.

Καθυστέρησε η εκκίνηση των διακομιστών κατά 15 λεπτά, πράγμα άξιο περιέργειας. Μέρος των συστημάτων διακομιστών εφαρμογής, αν και άνοιξε στις 11.50, τέθηκε εκτός λειτουργίας για άγνωστο λόγο για 26 λεπτά, γεγονός που δεν προσιδιάζει για διάστημα εκτέλεσης δοκιμών που απαιτεί όλα τα παραγωγικά συστήματα να είναι ανοικτά.

Όταν γινόταν η δοκιμή βρέθηκαν στοιχεία συμπλήρωσης φόρμας που δεν είναι αληθή, αλλά δοκιμαστικά, οπότε δεν μπορεί να αποκλεισθεί η πιθανότητα να ήταν σκόπιμη, δοκιμαστική, ή επιθετική ενέργεια, για την αναγνώριση ευπαθειών ή τρωτών σημείων της πλατφόρμας.
Διαπιστώθηκαν πολλές προγραμματιστικές εξαιρέσεις (σφάλματα) στα αρχεία καταγραφής, που υποδηλώνουν ότι προέκυψε σφάλμα στη λειτουργία της εφαρμογής.

Διαπιστώθηκε περίπτωση υποβολής κενών στοιχείων, που υποδηλώνει αστοχία στην εκτέλεση του κώδικα και πιθανά επιτυχημένη απόπειρα εκμετάλλευσης ευπαθειών της εφαρμογής. Ο εντοπισμός εισαγωγής κενών στοιχείων συνιστά σημαντική ευπάθεια, γιατί μπορεί να δημιουργήσει αναπάντεχα σφάλματα στη λειτουργία των εφαρμογών.

Εντοπίσθηκαν πολλά προγραμματιστικά λάθη που προσέθεταν καθυστέρηση στη λειτουργία του συστήματος, το οποίο παρουσίαζε μεγάλο φόρτο.

Διαπιστώθηκαν επαναλαμβανόμενα σφάλματα αποτυχημένης αυθεντικοποίησης, δηλαδή, αδυναμίας πρόσβασης, τα οποία ενδέχεται να οφείλονταν σε πρόβλημα της πλατφόρμας της Γενικής Γραμματείας Πληροφοριακών Συστημάτων, που παρείχε αυθεντικοποίηση στους χρήστες της εφαρμογής, δηλαδή, επιβεβαίωνε την ταυτότητα του χρήστη που ζητούσε να συνδεθεί με βάση τα φορολογικά στοιχεία ταυτοποίησης του. Τα σφάλματα αυτά μπορεί είτε να οφείλονταν σε άρνηση του συστήματος να παρέχει πρόσβαση σε μη εξουσιοδοτουμένους χρήστες που είχαν παρακάμψει την ακολουθία ενεργειών της εφαρμογής και συνδέονταν παρά το γεγονός ότι δεν είχαν αυθεντικοποιηθεί. Τέτοιου είδους μη αυθεντικοποιημένες προσβάσεις δεν πρέπει να επιτρέπονται σε μία εφαρμογή, γιατί αυτή η κατηγορία χρηστών καταναλώνουν πόρους του συστήματος που θα έπρεπε να διατίθενται σε αυθεντικοποιημένους χρήστες. Σε αντίθετη περίπτωση, μπορούν κακόβουλοι δράστες να εκτελέσουν μία επίθεση Άρνησης Υπηρεσίας (DoS ή DDoS) και να προκαλέσουν βραδύτητα ή διακοπή της δυνατότητας πρόσβασης σε θεμιτούς χρήστες. Τέτοιες επιθέσεις θεωρούνται συνήθεις και η αποτροπή τους ρουτίνα κατά τον σχεδιασμό πληροφοριακών συστημάτων και εφαρμογών από μέρους κρατικών οντοτήτων.

Δεν είχε προβλεφθεί μηχανισμός αντιμετώπισης κακόβουλων επιθέσεων από αυτοματοποιημένους μηχανισμούς επιθέσεων ρομπότ (bots). Η επέλευση τέτοιων μεθόδων μπορεί να επιβαρύνει πολύ ένα πληροφοριακό σύστημα, γιατί τα ρομπότ κινούνται πολύ πιο γρήγορα και μπορούν να δημιουργούν ταυτόχρονα πολλαπλές συνδέσεις.

Δεν είχαν εκτελεστεί δοκιμές αντοχής του πληροφοριακού συστήματος σε επιθέσεις άρνησης υπηρεσίας (DoS) και σε επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS). Αυτό αποτελεί προφανή παράλειψη, γιατί τέτοιες επιθέσεις είναι συνηθισμένες.

Δεν μπορεί να αποκλειστεί ούτε να επιβεβαιωθεί η πιθανότητα χρήσης bots, θα έπρεπε να είχαμε πρόσβαση σε αρχεία καταγραφών προερχόμενα από ένα τείχος προστασίας (firewall) κάτι που δεν κατέστη δυνατό γιατί δεν διατηρήθηκαν στοιχεία που θα έπρεπε να είχαν δοθεί.

Η αδυναμία λήψης όλων των αρχείων καταγραφών από ένα δημόσιο πληροφοριακό σύστημα που λειτούργησε για ορισμένο διάστημα χρόνου μόνο αποτελεί προφανή έλλειψη, που δυσχέρανε την έρευνα μας.

Δεν είχε ληφθεί μέριμνα να απαγορευθεί η πρόσβαση από τρίτες χώρες ή έστω χώρες με εγνωσμένα ζητήματα εκτέλεσης μαζικών κυβερνοεπιθέσεων.

Διαπιστώθηκαν επαναλαμβανόμενες υποβολές αιτήσεων με τα ίδια ακριβώς στοιχεία φορέα, εκπροσώπου, μηχανικού. Γεγονός που υποδηλώνει ότι οι χρήστες για κάποιους λόγους που δεν είναι φυσιολογικοί επαναλάμβαναν την απόπειρα τους να υποβάλουν νέα αίτηση, έστω κι αν είχαν καταθέσει ήδη μία, που πήρε μάλιστα και Αύξοντα Αριθμό. Γι’ αυτό φταίει η μεγάλη βραδύτητα απόκρισης της εφαρμογής ή εσφαλμένα μηνύματα από την εφαρμογή ή μη αποστολή email επιβεβαίωσης, ή σε εμφάνιση μηνύματος λάθους του διακομιστή, πράγμα που σημαίνει, είτε μεγάλο φόρτο, είτε σοβαρό πρόβλημα. Στην περίπτωση της Πελοποννήσου είναι πιθανό να μη λειτουργούσε η αποστολή email, ενώ στην περίπτωση της Κρήτης φαίνεται ότι υπήρχε όριο εξερχομένων μηνυμάτων, χωρίς πρόβλεψη για την αύξηση του.

Εντοπίσθηκαν υποβολές αιτήσεων σε μέρες και ώρες για τις οποίες δεν ήταν γνωστό ότι θα αναμένονταν αιτήσεις. Είναι άγνωστο σε μας αν αυτές οι υποβολές, ορισμένες από τις οποίες έχουν λάβει και ΑΑ, είναι θεμιτές, αθέμιτες, κακόβουλες, δοκιμαστικές ή κάτι άλλο που δεν μπορεί να προσδιοριστεί. Σε κάθε περίπτωση, καθώς έχουν τεθεί ερωτήματα για τη μαζική και ταχύτατη υποβολή αιτημάτων από καταγγέλλοντες είναι σημαντικό να προσδιοριστεί η φύση αυτών των αιτήσεων...

Αθηνά Καλαϊτζόγλου

euro2day.gr

Δεν υπάρχουν σχόλια: