Κυβερνοεπίθεση με ταυτόχρονη διαρροή δεδομένων εναντίον της ιστοσελίδας του Ινστιτούτου Πληροφορικής – ΙΤΕ www.ics.forth.gr, με έδρα το Ηράκλειο Κρήτης, πραγματοποιήθηκε σύμφωνα με ασφαλείς…
πληροφορίες, από τους Greek Insane Society!

Η ισχυρή επίθεση, που οδήγησε μεταξύ άλλων σε διαρροή κωδικών πρόσβασης του Ιδρύματος, αποτελεί την συνέχεια μιας σειράς κυβερνοεπιθέσεων που έχει εξαπολύσει η Greek Insane Society, με στόχο όπως αναφέρει σε προηγούμενη δήλωσή της να αναδείξει τα προβλήματα κυβερνοασφάλειας στον Ελλαδικό χώρο, χωρίς να προκαλέσει ζημιά.

Οι πληροφορίες που απέστειλε άγνωστος στην ηλεκτρονική διεύθυνση επικοινωνίας του SecNews, κάνουν λόγω για εξειδικευμένη επίθεση SQL Injection (Blind sql injection), με παράκαμψη του Web Application firewall που χρησιμοποιεί το Ίδρυμα.

Το ΙΠ-ΙΤΕ, www.ics.forth.gr βρίσκεται στην έδρα του Ιδρύματος στο Ηράκλειο Κρήτης, και απασχολεί σήμερα περίπου 350 άτομα. Από το έτος ιδρύσεως του (1983), είναι διεθνώς ανταγωνιστικό και έχει αριστεύσει σε όλες τις αξιολογήσεις ερευνητικών ινστιτούτων που έχουν γίνει στην Ελλάδα από την ΓΓΕΤ, έχοντας καταταχθεί πάντα πρώτο στον τομέα της Πληροφορικής. Το ΙΠ-ΙΤΕ διεξάγει βασική και εφαρμοσμένη έρευνα στους ακόλουθους τομείς: Υπολογιστική Ιατρική, Βιο-Πληροφορική, Υπολογιστική Όραση και Ρομποτική, Αρχιτεκτονική Υπολογιστών και Συστημάτων VLSI, Κατανεμημένα Υπολογιστικά Συστήματα, Πληροφοριακά Συστήματα και Πολιτισμική Πληροφορική, Αλληλεπίδραση Ανθρώπου – Υπολογιστή, Καθολική Πρόσβαση και Υποστηρικτικές Τεχνολογίες, Τηλεπικοινωνίες και Δίκτυα.

Επιπλέον το ΙΠ-ΙΤΕ συνδιοργανώνει με τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) το Ετήσιο Θερινό Σχολείο για την Ασφάλεια Δικτύων και Πληροφοριών, κάτι που όπως φαίνεται δεν εμπόδισε την ομάδα των hackers GIS, να πραγματοποιήσουν επίθεση εναντίον του Ιδρύματος!

Το Group των hackers Greek Insane Society, που τις τελευταίες εβδομάδες απασχολεί, έχοντας πραγματοποιήσει επιθέσεις υψηλού προφίλ, εντόπισαν με χρήση διαθέσιμων εργαλείων στο διαδίκτυο, αδυναμία SQL Injection η οποία οδήγησε κατα δήλωσή τους σε άντληση δεδομένων από την ιστοσελίδα http://www.ics.forth.gr. Στα δεδομένα περιλαμβάνονται μεταξύ άλλων κωδικοί πρόσβασης τόσο της ιστοσελίδας (δικαιώματα διαχειριστή) αλλά και κωδικών πρόσβασης των διασυνδεδεμένων εργαστηρίων του Ιδρύματος. Προς απόδειξη των δηλώσεών τους αλλά και για να ενημερωθούν οι αρμόδιοι διαχειριστές απέστειλαν σχετικά screenshots τα οποία και δημοσιοποιούμε (σ.σ έχει γίνει απόκρυψη στοιχείων από το SecNews για προστασία των προσωπικών δεδομένων αλλά και μη χρήση των στοιχείων από κακόβουλους χρήστες)

Εντοπισμός αδυναμίας ιστοσελίδας με χρήση κατάλληλα παραμετροποιημένου εργαλείου (πιθανόν SQLMap)

Άντληση στοιχείων (tables) από database ιστοσελίδας με χρήση γνωστού εργαλείου.

Άντληση στοιχείων βάσεως δεδομένων ICS

Διαρροή κωδικών πρόσβασης διαχειριστή & προσωπικών κωδικών χρηστών!

Τα στοιχεία στα οποία έχει πραγματοποιηθεί απόκρυψη από το SecNews και υποδηλώνουν την ύπαρξη της αδυναμίας,ειναι διαθέσιμα σε οποιονδήποτε νόμιμο/επίσημο εκπρόσωπο του ιδρύματος ΙΤΕ εφόσον το επιθυμεί, ώστε να είναι εφικτή η επιδιόρθωση της αδυναμίας αν κριθεί απαραίτητο από τους αρμοδίους (γεγονός που αποτελούσε και τον στόχο των Greek Insane Security, σύμφωνα με δήλωσή τους προς τους συντάκτες του SecNews).

Ποσοστό Επικινδυνότητας χρήσης της αδυναμίας εναντίον του ΙΤΕ (90%)

Κρίσιμα ερωτήματα προς απάντηση

Πολλαπλά τα ερωτήματα που προκύπτουν από την κυβερνοεπίθεση των Greek Insane Society εναντίον του ΙΠ-ΙΤΕ. Το SecNews σε επικοινωνία που είχε με ειδικούς επι των θεμάτων ασφάλειας πληροφοριών, διαπίστωσε ότι ΠΙΘΑΝΟΝ η κυβερνοεπίθεση να επηρεάζει πληροφοριακά συστήματα ΑΚΡΩΣ σημαντικά σχετικά με τις κρίσιμες υποδομές της χώρας (γεγονός που φυσικά πρέπει να διερευνηθεί και απαντηθεί από τους καθ’ ύλην αρμόδιους διαχειριστές)

Συγκεκριμένα τα ερωτήματα που ζητούν απαντήσεις και που σίγουρα οι αρμόδιοι πρέπει να διερευνήσουν είναι:

Έχουν υποκλαπεί πληροφορίες/κωδικοί πρόσβασης ή στοιχεία εργαζομένων ή διαχειριστών από συνεργαζόμενα ιδρύματα με το ΙΠ-ΙΤΕ? Το ΙΠ-ΙΤΕ αποτελεί πυλώνα υποστήριξης πολλαπλών πληροφοριακών συστημάτων στον Ελλαδικό χώρο με ότι αυτό συνεπάγεται.
Είναι γνωστό ότι το ΙΠ/ΙΤΕ, όπως διαβάζουμε και στην κεντρική του ιστοσελίδα, αποτελεί τον φορέα διαχείρισης της υπηρεσίας χορήγησης και διαχείρισης των ονομάτων με κατάληξη “.gr” στον ελληνικό διαδικτυακό χώρο. Τα στοιχεία που διέρρευσαν μπορούν να χρησιμοποιηθούν για πρόσβαση στο μητρώο των ονομάτων .gr ή πρόκειται για εντελώς διαφορετικά δίκτυα;
Αντίστοιχα στο ΙΠ/ΙΤΕ ανήκει και η Μονάδα ForthCert που σε συνεργασία με την ENISA αποτελούν τα κορυφαία ερευνητικά ινστιτούτα και Incident Response για κυβερνοπαραβιάσεις. Γιατί ενώ το ΙΠ/ΙΤΕ διαθέτει πιστοποίηση ISO 27001, δεν είχαν εντοπιστεί οι αδυναμίες στους σχετικούς ελέγχους που πραγματοποιούν; Yπάρχει πιθανότητα να έχουν εκτεθεί δεδομένα και αυτών των μονάδων;
Η ιστοσελίδα διαθέτει ιδιαίτερα υψηλή επισκέψιμοτητα σύμφωνα με τα στατιστικά. Γιατί δεν είχαν εφαρμοστεί ισχυρά μέτρα προστασίας; Εφόσον διαθέτουν πρόσβαση κακόβουλοι hackers που γνωρίζουν την ύπαρξη της αδυναμίας, είναι δυνατόν να πληγούν ανυποψίαστοι χρήστες με επιθέσεις τύπου water holing και μαζικής διασποράς malware.
Γιατί οι χρησιμοποιούμενοι κωδικοί ήταν απολύτως απλοί και δεν εφαρμοζόταν κάποια πολιτική δημιουργίας πολύπλοκων (complex) κωδικών πρόσβασης;
Ο εξυπηρετητής που στοχοποιήθηκε βρισκόταν σε αποστρατικοποιημένη ζώνη (DMZ) διαφοροποιημένος από τις υπόλοιπες υπηρεσίες του ΙΤΕ ή ήταν εντός των εσωτερικών δικτύων του ιδρύματος;


Επιπλεον ερωτηματικά προκαλεί το γεγονός ότι το ΙΤΕ έχει πιστοποιηθεί για την ασφαλή διαχείριση πληροφοριών σύμφωνα με το πρότυπο 27001 ,ενώ η ιστοσελίδα περιέχει ένα τόσο σημαντικό σφάλμα που προσδίδει πρόσβαση στους κωδικούς των χρηστών και εργαζομένων! Θα πρέπει να διερευνηθεί αν και κατα πόσο η διαδικασία της πιστοποίησης έγινε με τον πλέον ορθό και τεχνικά πλήρη τρόπο, καθώς και αν στην πράξη εφαρμόζονται τα όσα αναφέρονται στο πρότυπο ISO 27001. Ολα αυτά μάλιστα, την στιγμή που το ΙΠ/ΙΤΕ διαθέτει νοσηλευτικές εφαρμογές του Ηλεκτρονικού Φακέλου Υγείας προς το κοινό με ευαίσθητα προσωπικά δεδομένα!

Οι διαχειριστές σύμφωνα με την εκτίμησή μας οφείλουν να απενεργοποιήσουν ΑΜΕΣΑ τον εξυπηρετητή που έχει πληγεί από τις ενέργειες της Greek Insane Society και να διερευνήσουν αν έχουν πραγματοποιηθεί προσβάσεις σε εσωτερικά συστήματα ή συνεργαζόμενες υπηρεσίες του Ιδρύματος.Εκτιμούμε ότι άμεσα πρέπει να ενεργοποιηθούν η ENISA και το ForthCERT ως οι πλέον εξειδικευμένοι και τεχνικά καταρτισμένοι φορείς για έρευνα των αντίστοιχων περιστατικών.

Επιπλέον λόγω της φύσης του Ερευνητικού Ινστιτούτου ΙΠ/ΙΤΕ εκτιμούμε ότι θα πρέπει να δοθεί και δημόσια απάντηση αναφορικά με την κυβερνοεπίθεση κατά τα πρότυπα των δηλώσεων ιδρυμάτων του εξωτερικού , ώστε να διακριβωθεί το μέγεθος της κυβερνοεπίθεσης από τις πλέον επίσημες πηγές.