Τον Ιανουάριο του 2013 έφθασε σε εμένα (μέσω ενός συναδέλφου) μια αναφορά για ένα κενό ασφαλείας σε web εφαρμογή που τρέχει σε πολλά Ελληνικά Πανεπιστήμια και είναι υπεύθυνη για την διαχείριση των δεδομένων των φοιτητών. Η αναφορά ήταν οτι υπήρχε ένα κενό ασφάλειας (συγκεκριμένα SQL Injection) στην συγκεκριμένη εφαρμογή που έχει αναπτύξει συγκεκριμένη εταιρία. Σε μελέτη που πραγματοποίησα και ο ίδιος, διαπίστωσα οτι πράγματι υπήρχε σοβαρό πρόβλημα ασφάλειας στην συγκεκριμένη εφαρμογή, μέσω του οποίου θα μπορούσε κάποιος να υποκλέψει όλη την βάση δεδομένων με όλα τα προσωπικά στοιχεία των φοιτητών καθώς και οτιδήποτε άλλο περιείχε. Επειδή στο παρελθόν το είχαμε ξαναδεί «το έργο» αυτό (με άλλες εταιρίες), έπρεπε οι χειρισμοί μας να είναι πολύ λεπτοί και προσεκτικοί, διότι μπορεί ξαφνικά να βρεθείς από προστάτης, κατηγορούμενος. Από την άλλη «μεριά» θα μπορούσε αν πάσα στιγμή κάποιος κακοποιός να αποκτήσει πρόσβαση στα συγκεκριμένα δεδομένα με… μη προβλέψιμα και καθόλου ευχάριστα αποτελέσματα.
Η επόμενη κίνηση έγινε 1 μήνα αργότερα. Έστειλα ενημερωτικό email στην ΥΔΗΕ (Υπηρεσία Δίωξης Ηλεκτρονικού Εγκλήματος) στις 10 Φεβρουαρίου 2013. Η απόκριση της συγκεκριμένης υπηρεσίας μπορώ να πω ότι ήταν άμεση, και μάλιστα έδειξε ιδιαίτερο ενδιαφέρον για την αναφορά, γεγονός μάλιστα που δεν περιμέναμε μιας και δεν έχουμε συνηθίσει σε τέτοιου είδους άμεσες αποκρίσεις από φορείς του δημοσίου, ειδικά μάλιστα όταν το θέμα δεν άπτεται άμεσα του πεδίου ευθύνης τους. Διότι, ναι, η πρόληψη δεν είναι δουλειά της ΔΗΕ της Αστυνομίας, αλλά άλλων φορέων (ας μην πούμε ονόματα) που στο παρελθόν δεν είχαν επιδείξει την ανάλογη… αμεσότητα, σε ανάλογες αναφορές. Μάλιστα, κληθήκαμε και κάναμε και συνάντηση με τους υπεύθυνους της Αστυνομίας κάνοντας μια πάρα πολύ εποικοδομητική συζήτηση τόσο για το τρέχον πρόβλημα όσο και γενικότερα, συγκεκριμένα με τον Δ/ντη της υπηρεσίας, Αντιστράτηγο κ. Μανώλη Σφακιανάκη. Δεν γνωρίζω αν υπάρχουν άλλοι φορείς στην Ελλάδα που να σε καλούσε ο Δ/ντης τους επειδή τους ανέφερες κάποια αδυναμία, που στην τελική δεν ήταν δικό τους πρόβλημα. Για να μην γίνει καμιά παρεξήγηση όμως θα ήθελα να ξεκαθαρίσω οτι, προσωπικά, δεν ευλογώ ΚΑΝΕΝΟΣ τα γένια, δεν είναι του στυλ μου αλλά ούτε και έχω να κερδίσω κάτι, απλά θεωρώ οτι τις καλές υπηρεσίες πρέπει να τις αναδεικνύουμε εμείς οι πολίτες (τουλάχιστον). Το αναφέρω αυτό για ακόμα ένα λόγο: Για να τονίσω οτι σε ανάλογες αναφορές μας, ακόμα και σε υπουργεία, εισπράτταμε το περίφημο δημοσιο-υπαλληλίστικο (ακόμα κι από υπουργούς): «Α! αυτό δεν είναι στην δική μας ευθύνη, είναι του τάδε υπουργείου» ή το κλασικό «Αφήστε μας τα στοιχεία σας και θα επικοινωνήσουμε μαζί σας». Θεωρούμε λοιπόν ότι η ΔΗΕ, έκανε τις ανάλογες κινήσεις ενημερώνοντας την συγκεκριμένη εταιρία για το πρόβλημα.
Μετά από κάποιο καιρό και συγκεκριμένα τον Ιούλιο του 2014, κάνουμε έναν ακόμα έλεγχο για να διαπιστώσουμε αν και κατά πόσο η συγκεκριμένη αδυναμία έχει διορθωθεί. Δυστυχώς τα αποτελέσματα ήταν αρνητικά: Η αδυναμία ακόμα υπήρχε. Οπότε, επόμενη κίνηση ήταν να στείλουμε πλήρη αναφορά με το πλήρες ιστορικό στο SecNews.gr. Η απόκριση από την ομάδα του SecNews (όπως το περιμέναμε) ήταν άμεση δημοσιεύοντας μάλιστα και ανάλογο alert. Επίσης υπήρξε και επικοινωνία με την συγκεκριμένη εταιρία αναφέροντας επακριβώς που εντοπιζόταν το πρόβλημα. Η τελική αναφορά δεν δόθηκε ποτέ στην δημοσιότητα με την ελπίδα μήπως το πρόβλημα τελικά διορθωθεί… Σήμερα, Νοέμβριος του 2016 (4 χρόνια μετά την αρχική ανακάλυψη της αδυναμίας) το πρόβλημα εξακολουθεί να υφίσταται…
Να αναφέρουμε ότι η μελέτη μας δεν έγινε σε μεγάλο βάθος, αλλά σε αρκετό ώστε να μπορούμε να αντλήσουμε όλα τα δεδομένα από την βάση. Το πρόβλημα είναι ότι στο site της συγκεκριμένης εταιρίας αναφέρεται οτι η συγκεκριμένη εφαρμογή τρέχει σε 32 ΑΕΙ. Δεν δοκιμάσαμε αν η συγκεκριμένη αδυναμία υπάρχει σε πολλά ή σε όλα τα αναφερόμενα ΑΕΙ. Αυτό μάλλον είναι δουλειά εταιρίας που θα πρέπει να αναλάβει το Pen Test και όχι δική μας. Όπως επίσης και δουλειά της συγκεκριμένης εταιρίας είναι επιτέλους να διορθώσει τις αδυναμίες της!!
Έρχομαι τώρα σε κάποιους (θεωρώ) λογικούς προβληματισμούς – απορίες:
Πραγματικά δεν καταλαβαίνω τι συμβαίνει τελικά στην χώρα μας. Μάλλον δεν το χωράει το δικό μου το μυαλό για να το καταλάβω.
Η επόμενη κίνηση έγινε 1 μήνα αργότερα. Έστειλα ενημερωτικό email στην ΥΔΗΕ (Υπηρεσία Δίωξης Ηλεκτρονικού Εγκλήματος) στις 10 Φεβρουαρίου 2013. Η απόκριση της συγκεκριμένης υπηρεσίας μπορώ να πω ότι ήταν άμεση, και μάλιστα έδειξε ιδιαίτερο ενδιαφέρον για την αναφορά, γεγονός μάλιστα που δεν περιμέναμε μιας και δεν έχουμε συνηθίσει σε τέτοιου είδους άμεσες αποκρίσεις από φορείς του δημοσίου, ειδικά μάλιστα όταν το θέμα δεν άπτεται άμεσα του πεδίου ευθύνης τους. Διότι, ναι, η πρόληψη δεν είναι δουλειά της ΔΗΕ της Αστυνομίας, αλλά άλλων φορέων (ας μην πούμε ονόματα) που στο παρελθόν δεν είχαν επιδείξει την ανάλογη… αμεσότητα, σε ανάλογες αναφορές. Μάλιστα, κληθήκαμε και κάναμε και συνάντηση με τους υπεύθυνους της Αστυνομίας κάνοντας μια πάρα πολύ εποικοδομητική συζήτηση τόσο για το τρέχον πρόβλημα όσο και γενικότερα, συγκεκριμένα με τον Δ/ντη της υπηρεσίας, Αντιστράτηγο κ. Μανώλη Σφακιανάκη. Δεν γνωρίζω αν υπάρχουν άλλοι φορείς στην Ελλάδα που να σε καλούσε ο Δ/ντης τους επειδή τους ανέφερες κάποια αδυναμία, που στην τελική δεν ήταν δικό τους πρόβλημα. Για να μην γίνει καμιά παρεξήγηση όμως θα ήθελα να ξεκαθαρίσω οτι, προσωπικά, δεν ευλογώ ΚΑΝΕΝΟΣ τα γένια, δεν είναι του στυλ μου αλλά ούτε και έχω να κερδίσω κάτι, απλά θεωρώ οτι τις καλές υπηρεσίες πρέπει να τις αναδεικνύουμε εμείς οι πολίτες (τουλάχιστον). Το αναφέρω αυτό για ακόμα ένα λόγο: Για να τονίσω οτι σε ανάλογες αναφορές μας, ακόμα και σε υπουργεία, εισπράτταμε το περίφημο δημοσιο-υπαλληλίστικο (ακόμα κι από υπουργούς): «Α! αυτό δεν είναι στην δική μας ευθύνη, είναι του τάδε υπουργείου» ή το κλασικό «Αφήστε μας τα στοιχεία σας και θα επικοινωνήσουμε μαζί σας». Θεωρούμε λοιπόν ότι η ΔΗΕ, έκανε τις ανάλογες κινήσεις ενημερώνοντας την συγκεκριμένη εταιρία για το πρόβλημα.
Μετά από κάποιο καιρό και συγκεκριμένα τον Ιούλιο του 2014, κάνουμε έναν ακόμα έλεγχο για να διαπιστώσουμε αν και κατά πόσο η συγκεκριμένη αδυναμία έχει διορθωθεί. Δυστυχώς τα αποτελέσματα ήταν αρνητικά: Η αδυναμία ακόμα υπήρχε. Οπότε, επόμενη κίνηση ήταν να στείλουμε πλήρη αναφορά με το πλήρες ιστορικό στο SecNews.gr. Η απόκριση από την ομάδα του SecNews (όπως το περιμέναμε) ήταν άμεση δημοσιεύοντας μάλιστα και ανάλογο alert. Επίσης υπήρξε και επικοινωνία με την συγκεκριμένη εταιρία αναφέροντας επακριβώς που εντοπιζόταν το πρόβλημα. Η τελική αναφορά δεν δόθηκε ποτέ στην δημοσιότητα με την ελπίδα μήπως το πρόβλημα τελικά διορθωθεί… Σήμερα, Νοέμβριος του 2016 (4 χρόνια μετά την αρχική ανακάλυψη της αδυναμίας) το πρόβλημα εξακολουθεί να υφίσταται…
Να αναφέρουμε ότι η μελέτη μας δεν έγινε σε μεγάλο βάθος, αλλά σε αρκετό ώστε να μπορούμε να αντλήσουμε όλα τα δεδομένα από την βάση. Το πρόβλημα είναι ότι στο site της συγκεκριμένης εταιρίας αναφέρεται οτι η συγκεκριμένη εφαρμογή τρέχει σε 32 ΑΕΙ. Δεν δοκιμάσαμε αν η συγκεκριμένη αδυναμία υπάρχει σε πολλά ή σε όλα τα αναφερόμενα ΑΕΙ. Αυτό μάλλον είναι δουλειά εταιρίας που θα πρέπει να αναλάβει το Pen Test και όχι δική μας. Όπως επίσης και δουλειά της συγκεκριμένης εταιρίας είναι επιτέλους να διορθώσει τις αδυναμίες της!!
Έρχομαι τώρα σε κάποιους (θεωρώ) λογικούς προβληματισμούς – απορίες:
- 1. Η Αστυνομία σίγουρα ενημέρωσε για το πρόβλημα. Κάποιοι το είδαν και θεώρησαν οτι δεν έπρεπε να ασχοληθούν για να το «κλείσουν»;
- 2. Το πρόβλημα παραμένει εδώ και αρκετά χρόνια. Είναι θέμα χρόνου να το βρει κάποιο script-kiddie και να έχουμε ακόμα έναν νεαρό ήρωα «hacker» (στην καλύτερη).
- 3. Ίσως το πρόβλημα αυτό να είναι ήδη γνωστό σε άλλες ομάδες (πιο σιωπηλές) και να το έχουν ήδη εκμεταλλευτεί. Μην μας «ταράξει» το γεγονός αν «αύριο» δούμε κάπου σε δημόσια θέα όλα τα στοιχεία όλων των φοιτητών μαζί με τις βαθμολογίες τους κι από κάτω να υπογράφουν κάποιοι σαν «Anonymous» ή «LulZec» ή «Χαρούμενες πασχαλίτσες».
- 4. Μην μας ταράξει επίσης το γεγονός αν στο DarkNet δούμε καμιά ανάρτηση του στυλ: «Θέλετε αν διορθώσετε τον βαθμό σας στο Πολυτεχνείο; Θέλετε να περάσετε το μάθημα; Με 200euro σας το κάνω εγώ! Στείλε μήνυμα στο SuperHacker@mail.thief.com»
Πραγματικά δεν καταλαβαίνω τι συμβαίνει τελικά στην χώρα μας. Μάλλον δεν το χωράει το δικό μου το μυαλό για να το καταλάβω.
- Δεν ενδιαφέρεται κανείς που βρίσκεται σε διοικητική θέση ή σε θέση που του δίνει το δικαίωμα να λαμβάνει αποφάσεις;
- Δεν γνωρίζουν οι προγραμματιστές πώς να διορθώσουν την αδυναμία;
- Καλύπτονται κάποιοι CEOs στο ότι αν κάποιος δημοσιεύσει επισήμως κάτι, θα του κάνουν μήνυση για προσβολή της φήμης της εταιρίας τους και με αυτό τον «φόβο», είναι ήσυχοι;
No comments :
Post a Comment