НАП – тези пълни некадърници ли са или просто са си тъпи?

*„(Не)защитата на сървърите на НАП е престъпна небрежност, а не некомпетентност. Лошото е, че отново ще очакваме да изгори някой стажант, за да покрие безмозъчните калинки“ * „И тук удобно се появи „хакерът“ Кристиян Бойков“ * „Да не се защити базата от данни на НАП не е техническо, а политическо и организационно решение“

Хубава работа, ама българска
Свилен Димитров

Авторът Свилен Димитров се занимава с компютри и програмиране повече от 15 години. Завършил е информатика в Софийския университет. Бил е преподавател по информатика и информационни технологии в СУ „Св. Климент Охридски” (Троян) и системен администратор в кабелния оператор „Оптиспринт“. От няколко години е преподавател по информатика и информационни технологии в най-голямото троянско училище – СУ „Васил Левски“, и ръководи училищната Microsoft IT академия, единствената в Ловешка област. Има сертификат за Master ниво на изпитите за Microsoft Office и сертификат за програмиране и проектиране на интернет сайтове и портали на HTML. Голям фен е и на киното и има собствени преводи на няколко англоезични филма. От 2005 г. насам неизменно е член на изборни комисии (общински и секционни) за всички избори – местни, парламентарни, за президент, европарламент, референдуми. Сегашната му статия е по горещата тема на деня – изтичането от НАП на личните данни на милиони българи.

НА 19 ЮЛИ 2019 Г.
гледах световната кинопремиера на най-новия филм на „Дисни“  – „Цар лъв“. В Троян! Адмирации за всички, които превърнаха в реалност една отдавнашна (очевидно не само моя) мечта да има кино в Троян и да има излъчване на най-новите и актуални филми ведно с останалия свят. Поздравления за целия читалищен екип, начело със секретаря на читалището г-жа Станка Марешка, както и на всички, които с нещо са спомогнали за реализацията на тази страхотна идея. Ако още се колебаете – не го правете, ами с удоволствие отидете на кино. Озвучаването е на страхотно ниво, атмосферата в ремонтирания салон предразполага за едно приятно изживяване, а апаратурата е наистина с най-новите 3D възможности и по нищо не отстъпва на големите киносалони. Едно задължително посещение за всеки киноман.

ОТ ДРУГА страна вече чувам по-възрастни хора как ми опонират, че няма защо да ходят на кино, защото филмът, в който държавата ни е вкарана, е толкова интересен, че всякакви нови версии на „Цар лъв“, „Аладин“ или „Красавицата и звярът“ пасти да ядат. Става дума, разбира се, за изтичането на данните от сървърите на НАП. Видях собствените си данни, които бяха част от този теч, и реших, че не е зле да направя едно малко разяснение по темата, защото в последните дни всякакви „експерти“ започнаха да се изказват напълно неподготвени и да правят някакви генерални изводи. Станало било неволно, имало грешка, повече нямало да се случи, не сме забелязали, че двадесет дни преди това някой е тарашил цялата база от данни и т. н. Чак по едно време започнах да се питам тези пълни некадърници ли са или просто са си толкова тъпи? И почнах да си отговарям, но отговорите все по-малко ми харесваха.

ПЪРВО искам да отбележа, че в НАП работят страхотни експерти по сигурността. Всеки един от тях е част от държавната фирма „Информационно обслужване“, която отговаря за сигурността на въвеждане и обработка на данните по време на избори. Знам как работят там и как се достъпва базата, в която се въвеждат и съхраняват резултатите. Като член на Общинската избирателна комисия в Троян за последните три мандата неведнъж съм се интересувал как точно протоколите се въвеждат в системата и съм получавал отговор, който е бил много прост: „Не откриваме топлата вода. Използваме идеята на кинокомпаниите.“. Какво? Моля? Тогава ми беше станало много любопитно и се разрових за подробности. Кинокомпаниите искат да пускат и в най-малките градчета най-новите си касови филми в световна премиера, но логично се опасяват, че те могат да бъдат копирани и качени на торенти. Как тогава да се предпазят? Техническото решение е толкова банално просто, че чак да се чудиш как никой преди това не се е сетил. Филмът просто се кодира със специална защита, в която половината от ключа за разкодиране е в самия филм, а останалата – в чип на киномашината, която струва над 50 000 лв. Можеш да си позволиш да си купиш такава машина? Е, тогава ще преглътнем, че си откраднал 1 филм (едва ли би имал време за повече). Все пак тези чипове ги правят нашите хора. Всъщност, не, вече и това не може.

С РАЗВИТИЕТО на интернет, филмът има още един ключ, който се тегли от интернет и се самоунищожава след 12 часа, т. е. имаш копие на филма, но само за конкретно излъчване. След това този файл е напълно безполезен. Ето защото вероятно днес ще може да видите в Замунда „Цар лъв“, но защото в руски киносалон някой е влязъл с видеокамера, сложил си е статив и си е записал филма, докато го гледа. Оригиналното качество не може да се вземе преди да излезе в стрийминг платформи като Хулу и Нетфликс или на Blu-Ray и DVD. Ще се опитам да обясня още по-просто. Да приемем, че аз, Генадий и Кирил (който прави дизайна на вестника) се разбираме, че ще си изпращаме тайна кореспонденция. Предварително разбъркваме всички букви от А до Я в една купа и аз тегля 10 букви, като нито Генадий, нито Кирил виждат какво съм изтеглил. Срещу буквата А стои тази, която аз съм изтеглил първа (примерно К), срещу буквата Б – тази, която съм изтеглил втора (да кажем Я) и т. н. На Й аз изтеглям десета буква и си записвам как се кодират буквите от А до Й. След това е ред на Генадий, който пак така тегли 10 букви и си записва как се кодират буквите от К до У. Последен е Кирил, който тегли и си записва как се кодират буквите от Ф до Я. Всеки от нас има по една трета от алгоритъма на кодиране, но сам е почти невъзможно да направи нещо с тази информация, защото останалите комбинациите са 20 факториел или над 2 трилиона (2 по 10 на 18 степен). Щом обаче ги въведем заедно на един и същи компютър, той би могъл да ни създава шифровани съобщения, които да се изпращат в интернет и да бъдат с изключително високо ниво на защита.

Карикатура в. „Дневник
НА ИЗБОРИТЕ решението беше същото. От „Информационно обслужване“ имаше специални компютри, на които имаше ключ за достъп до сървъра с данните, на флашки имаше втория ключ, който беше обвързан със съответната община и на последно място беше ръчно въвеждане на главен ключ (парола за достъп), която се знаеше само от главния отговорник за въвеждането на данните. Затова казах по-горе и то без грам подигравка, че със сигурност знам, че в НАП работят страхотни експерти по сигурността. Да, шефовете им са разни калинки и калинковци, спуснати от съответните политически партии, но обикновените хора на по-ниски нива са специалисти. И да не се защити базата от данни на НАП не е техническо, а политическо и организационно решение. Как може сървърите на изборите да са толкова защитени, че на 13 ноември 2016 г. (втори тур на президентските избори) издържаха атака от над 250 милиона опита за влизане в системите през компютри и сървъри, разположени основно в Тайланд, Китай и източен Сибир? Как на сегашните избори за европарламент нямаше нито една сериозна атака, която да не бъде веднага пресечена в зародиш? Как на нито една банка не са изтекли данните? Как на нито една голяма застрахователна компания не са изтекли данните?

СИСТЕМИТЕ за сигурност не са от днес и вчера и не са толкова сложни за проектиране и поддържане. Дори да приемем, че основно калинките диктуват положението, пак може да се направи така, че да няма проблем при издънка. Как? Много просто – базата от данни трябва да има логическа защита и физическият достъп до нея да бъде невъзможен. Решението за подобно нещо е данните да са кодирани, вторият ключ да е на флаш памет, а третият – парола за достъп на определено лице. Вместо флаш памет може да бъде и универсален цифров подпис. Така при изтичане на информация няма да има и грам съмнение кой го е направил и защо го е направил.

В МОМЕНТА по-скоро сме зрители на доста тъп филм. Сценарият вече е до болка познат, подхвърлели флашки със записи, сега пратени e-mail-и „уж“ от Русия и какво ли още не. Говорим за една грозна недобросъвестност от страна на институция, която би следвало да защитава данните ни по най-добър начин; и за пореден път няма да има наказани, защото липсва персонална отговорност. А защо липсва, аз не мога да дам адекватен отговор. Мога единствено да успокоя всички други, които като мен са осъмнали с изнесени данни, че информацията е по-скоро публична – кога съм си подал данъчната декларация и дали имам някакви неплатени данъци със задна дата. Да, не е приятно, но реално си спомнете, че пред Община Троян се публикуваха списъци на некоректни платци и всеки имаше публичен достъп до него. Общо взето това е същото. Проблемът тук по-скоро е, че е крайно време да се разпишат ясни правила кой и до каква част от данните има достъп. Не е нормално бабата на гишето в Белоградчик да има възможност да извади справка за всички хора от България. Проблемът е, че тя си е написала ПИН кода за електронния подпис и паролата за достъп на листче, лепнато на монитора и после ще каже, че не знае какво е изтеглено през нейния профил и тя не е виновна. Какво ли се чудя? Това е поредният пример най-вече за лоша организация в държавната администрация. И тя ще си остане такава, докато действат назначенията на принципа на „батко и братко“ и „калинките“.

ОТНОВО ще се опитам да го обясня по-просто. В едно училище, за да има интернет, трябва сървър. Първата команда, която се слага на този сървър, е такава, че забранява всичко, т. е. преди да започне да работи, всичко му е забранено. След това в изпълнимия код за стартиране едно по едно се включват разрешенията. Пуска се интернет на всички компютри, след това се пуска само за директора и администрацията достъп до мрежовия принтер, след това се добавя достъп на сървъра с училищния звънец до атомния часовник на НАСА, за да не изостава или избързва като бие в началото/края на часа, после достъпи до определени електронни пощи и т. н. Схващате идеята. Първоначално на всеки всичко е забранено и постепенно се разрешават достъпите стъпка по стъпка, като се преценява кой ще получи права и за какво. Същото е с базите от данни – проектират се отделно, отделни системи имат достъп до тях, кодират се по гореуказания начин и никога не би могло да има изтичане на информация. Да, могат да се прихванат файлове, но без код за разкодиране те са просто една огромна ненужна поредица от нули и единици.

И ТУК УДОБНО се появи „хакерът“ Кристиян Бойков. Всички забравиха, че преди две години именно като ученик (тогава едва 18-годишен) Кристиян е обърнал внимание, че системата, в която всички директори бяха чинно задължени да въвеждат отсъствията на учениците, за да се предават към социалните служби и да се определя дали съответният ученик ще получава детски за месеца, беше като пробито сито – достъп нямаше само този, който не е поискал. Същите хора удобно създадоха подобна система, наречена uchebnici.mon.bg, задължителна за всички колеги, в която трябва да се оцени пригодността на новите учебници. Системата нямаше никаква защита на личните данни, а достъпът до нея ставаше с ЕГН (защо пък не, то учителите къде ли не сме си дали ЕГН-то). Като цяло това момче, което тогава постъпи като бял хакер, т. е. не разпространи за проблема, а докладва на МОН и съдейства за решението му, е много удобен за „виновник“ в издънката на НАП. Само че каквото и да говорим за хакера или който и да е той, проблемът е друг – липсата на компетентен анализ при създаването, проектирането, криптирането и кодирането на базата от данни. В момента на училищния сървър (в СУ „Васил Левски“, Троян) има над 20 проекти на ученици. Не се страхувам, че са там, защото всеки от тях има съвсем отделна структура и база от данни, различна от тази на самото училище. И все пак, ако някак си успеят да достигнат физически до файловете на училищната база от данни, няма да имат особена полза, защото кодирането в нея е именно чрез тези три стъпки, които научих от „Информационно обслужване“.

ЗАТОВА (не)защитата на сървърите на НАП е престъпна небрежност, а не некомпетентност. Лошото е, че отново ще очакваме да изгори някой стажант, за да покрие безмозъчните калинки. А ние като зрители на този откровено казано тъп филм можем да си задаваме въпроси от сорта дали пък това не беше направено, за да се покаже колко „опасно“ би било машинното или електронното гласуване?   

 19 юли 2019 г., Троян
Свилен Димитров


Още от същия автор:

1 Коментара:

Драскач каза...

"ОТНОВО ще се опитам да го обясня по-просто. В едно училище, за да има интернет, трябва сървър."

Даскале, в кой век живееш ти? В 21ви век използваме едни "дивайси" наречени рутери работещи в леър 3.

Това, че ти си "видял" как Така наречените специалисти от информационни с-ми криптират сесията м/у служителя машинописка и фронт енд-а на апликейшъна не означава, че фронт енда е секюър, а само и единствено, че дори и да се инфилтрира мрежовия трафик м/у тях, трудно би се дешифрирал. Не бих казал невъзможно, защото е възможно, но е функция на времето и изчислителната мощ. Също така не знаеш дали комуникацията с базата през бек енд-а е криптирана или не?! Все пак всеки апп е писан на някакъв програмен език и се намират експлоити.

Сигурността на една система е пряко свързана с нивото на достъп. С-ма която е изолирана от света няма как да бъде "хакната"

Така че Даскале, гледай филми, цъкай игрички и не пиши тъпотии по градските вестници че ще вземе някой да ти повярва.

Публикуване на коментар

Моля, пишете на кирилица и използвайте големи и малки букви! Препинателните знаци също са желателни. Коментарите са разрешени само за потребители с профили в Google от 02.05.2018! Всеки има профил в Гугъл на телефона си - използвайте ги.
(Т21 - Вашият сайт и Вашият форум - мястото, където се чува Вашето мнение!)

 

©2009 Троян 21 - статии | Template Blue by TNB | Вход Публикация Коментари Редактиране Управление Оформление Изход | RSS | ЛИЦЕНЗ |