Πρόσφατα το σύστημα της Τράπεζας Θεμάτων δέχτηκε κυβερνοεπίθεση DDοS, κατά τη διάρκεια των προαγωγικών εξετάσεων Λυκείων στα σχολεία. Αποτέλεσμα της επίθεσης ήταν να μην μπορούν τα σχολεία να κληρώσουν
Της Φανής Δουρδούρα/ TheCommonSense?
Πρόσφατα το σύστημα της Τράπεζας Θεμάτων δέχτηκε κυβερνοεπίθεση DDοS, κατά τη διάρκεια των προαγωγικών εξετάσεων Λυκείων στα σχολεία.
Αποτέλεσμα της επίθεσης ήταν να μην μπορούν τα σχολεία να κληρώσουν θέματα για τις ενδοσχολικές εξετάσεις και την επόμενη μέρα που βρέθηκαν ξανά αντιμέτωποι με την επίθεση οι μαθητές περίμεναν για ώρες μέχρι να λάβουν τελικά τα θέματα. Το πρόβλημα όμως βρίσκεται στο περίφημο λογισμικό της Τράπεζας Θεμάτων που παρόλο που στοίχησε 851.647 ευρώ δεν μπορούσε να «σταματήσει» τις επιθέσεις και φυσικά στα υπουργεία Παιδείας και Ψηφιακής Διακυβέρνησης που ενημερώθηκαν για τα προβλήματα από τους διευθυντές των σχολείων.
Τι είναι όμως η κυβερνοεπίθεση DDοS, πώς μπορεί να αποφευχθεί και πόσο κοστίζει;
Αρχικά η κοινή ανακοίνωση των υπουργείων Παιδείας και Ψηφιακής Διακυβέρνησης αναφέρει ότι «η πλατφόρμα της Τράπεζας Θεμάτων του ΙΕΠ, που φιλοξενείται στο Εθνικό Δίκτυο Υποδομών Τεχνολογίας και Έρευνας (ΕΔΥΤΕ), δέχθηκε μεγάλης κλίμακας και διάρκειας κατανεμημένη επίθεση. Στόχος η παρεμπόδιση της διεξαγωγής των εσωτερικών προαγωγικών και απολυτήριων εξετάσεων Λυκείου. Οι επιθέσεις απομονώθηκαν και οι εξετάσεις διεξήχθησαν κανονικά στην συντριπτική πλειονότητα των σχολείων.
Σήμερα, οι κακόβουλες επιθέσεις επαναλήφθηκαν από νωρίς το πρωί με στόχο αυτή τη φορά την υποδομή της πλατφόρμας του Εθνικού Δικτύου Υποδομών Τεχνολογίας και Έρευνας (ΕΔΥΤΕ). Οι επιθέσεις αποκρούστηκαν από τις αρμόδιες υπηρεσίες, ενώ βρισκόμαστε σε συνεννόηση με την Εισαγγελία του Αρείου Πάγου και τη Δίωξη Ηλεκτρονικού Εγκλήματος για τις απαραίτητες ενέργειες. Η πλατφόρμα της Τράπεζας Θεμάτων δέχθηκε 165 εκατομμύρια χτυπήματα από 114 χώρες. Είναι η πιο σημαντική επίθεση που έγινε ποτέ σε ελληνικό δημόσιο κυβερνητικό οργανισμό. Σημειώνεται ότι τα θέματα μεταδόθηκαν σε όλα τα σχολεία και οι απολυτήριες εξετάσεις της Γ’ Λυκείου ολοκληρώθηκαν. Οι Πανελλαδικές Εξετάσεις θα διεξαχθούν κανονικά και με απόλυτη ασφάλεια. Κανένας μαθητής της Γ’ Λυκείου δεν θα αποκλειστεί από τη διαδικασία των Πανελλαδικών Εξετάσεων, εξαιτίας των κακόβουλων επιθέσεων. Υπογραμμίζεται εκ νέου, ότι η πλατφόρμα αυτή του ΕΔΥΤΕ είναι απολύτως διακριτή από το σύστημα μετάδοσης θεμάτων των Πανελλαδικών Εξετάσεων».
Παράλληλα ο εκπρόσωπος Τύπου της ΝΔ, Άκης Σκέρτσος, μίλησε για το κόστος αυτής της επίθεσης που υπολογίζεται στα 200.000 ευρώ… συγκεκριμένα είπε ότι «η επίθεση στην τράπεζα θεμάτων είναι ένα οργανωμένο έγκλημα (…) Υπολογίζεται ότι κόστισε 200.000 ευρώ, έχει δηλαδή χρηματοδότη». «Δεν είπαμε ότι φταίει η υπηρεσιακή κυβέρνηση. Αυτό το οποίο λέμε είναι ότι δέχτηκε η χώρα μία πάρα πολύ μεγάλη κυβερνοεπίθεση. Ναι, πρόκειται για οργανωμένο έγκλημα. Να τα λέμε τα πράγματα με το όνομά τους. 165 εκατομμύρια χτυπήματα από 114 χώρες στόχευσαν σε έναν οργανισμό – στο Ινστιτούτο Εκπαιδευτικής Πολιτικής που διαχειρίζεται την Τράπεζα Θεμάτων. Δέχθηκε η χώρα μια τεράστια επίθεση, και αυτό το συνδέουμε με το ότι βρίσκεται σε μια ευαίσθητη πολιτικά στιγμή που δεν έχει μια ορκισμένη πολιτική κυβέρνηση. Έχει μια υπηρεσιακή κυβέρνηση. Γι’ αυτό λέμε ότι η “νάρκη” της απλής αναλογικής οδηγεί σε ένα σύστημα αστάθειας ουσιαστικά τη χώρα. (Την υπόθεση) ψάχνει το οργανωμένο έγκλημα, το ηλεκτρονικό έγκλημα, την ψάχνει η εισαγγελέας (…) Τα κόμματα της αντιπολίτευσης, αντί να επιτίθενται στη χώρα και στο εξωτερικό θα πρέπει να σκεφτούν πιο υπεύθυνα και να προστατεύσουν την εθνική κυριαρχία. Διότι αυτή τη στιγμή δεχθήκαμε μία επίθεση» πρόσθεσε.
Μιλήσαμε με τον ειδικό πληροφορικής Ανδρέα Ανδρουλάκη για να μας βοηθήσει να καταλάβουμε τι είναι η κυβερνοεπίθεση DDοS, πόσο σημαντική και κρίσιμη είναι όντως στο σύστημα και τι θα έπρεπε να είχε γίνει εξαρχής.
Στη σημερινή ψηφιακή εποχή, οι επιθέσεις DDoS (Distributed Denial of Service) έχουν γίνει πιο συνηθισμένες από ποτέ. Αυτές οι επιθέσεις έχουν σχεδιαστεί για να καταστήσουν έναν ιστότοπο ή ένα δίκτυο απρόσιτο στους χρήστες που προορίζονται, διακόπτοντας τις υπηρεσίες του διακομιστή φιλοξενίας του μέσω συντριπτικής επισκεψιμότητας, καθιστώντας το μη διαθέσιμο για τους νόμιμους χρήστες.
Βέβαια η Τράπεζα Θεμάτων δεν είναι μια πλατφόρμα ανοιχτή σε όλους αλλά μόνο σε καθηγητές που κληρώνουν τα θέματα των εξετάσεων. Αυτό είναι και το πρώτο σημείο που ανέφερε ο κ. Ανδρουλάκης δείχνοντας πως μια πλατφόρμα όπως αυτή θα έπρεπε, εφόσον είναι κλειστή προς το κοινό, να αποτρέπει την επίθεση DDoS. Όπως επίσης και την πρόσβαση από το εξωτερικό. Από ότι φαίνεται τα συστήματα ασφαλείας της Τράπεζας Θεμάτων ήταν ανύπαρκτα…
Αυτή λοιπόν η «επίθεση» μπορεί να προκύψει από την παράλληλη επισκεψιμότητα στην πλατφόρμα, αν δεν διαθέτει καλό server, ή ακόμη και να υπήρχε επίθεση, δεν ήταν από 114 χώρες, όπως εξηγεί ο κ. Ανδρουλάκης, μια τέτοια επίθεση έχει πολύ μικρό κόστος 50 με 100 ευρώ και δεν αφορά χάκερς από όλων τον κόσμο αλλά μπορεί να γίνει και από έναν μόνο άνθρωπο. Με παράλληλες συνδέσεις σε υπολογιστές zombie, όπου ο χρήστης δεν ξέρει ότι χρησιμοποιείται για αυτό, ένας άνθρωπος συνδέεται σε εκατοντάδες μονάδες με σκοπό να κάνει χιλιάδες αιτήματα να αποστέλλονται ταυτόχρονα σε έναν διακομιστή, γεγονός που οδηγεί στην κατάρρευση της σελίδας.
Με τέτοιος τρόπου περίπου συμβαίνουν και τα test στους σέρβερ, κάνουν προσομοιώσεις με σκοπό να διαπιστωθεί πόσο φόρτο επισκεψιμότητας μπορεί να αντέξει. Κάτι που η υποδομή της πλατφόρμας του Εθνικού Δικτύου Υποδομών Τεχνολογίας και Έρευνας δεν έκανε.
Ο κ. Ανδρέας Ανδρουλάκης θεωρεί υπερβολικό το νούμερο των 165 εκατομμυρίων χτυπημάτων και 114 χωρών από τις οποίες υποτίθεται ότι προήλθαν οι επιθέσεις, και θεωρεί πιο πιθανό λόγω επίσης του μικρού κόστους θα μπορούσε να γίνει ακόμη και από μαθητές.
Με απλά λόγια, οι κατανεμημένες επιθέσεις DDοS αποσκοπούν κακόβουλα να εμποδίσουν την ομαλή πρόσβαση των χρηστών στο σύστημα. Δεν αποτελούν χάκινγκ, παραβίαση του συστήματος, ούτε είναι σε θέση να αποκτήσουν πρόσβαση στα στοιχεία του και τα δεδομένα του.
Η πρόληψη δε είναι και αυτή μικρή σε κόστος για τις επιθέσεις DDοS και ειδικά για μια πλατφόρμα που δεν είναι προσβάσιμη στο κοινό αλλά σε περιορισμένους χρήστες η βασική προστασία απαιτεί να περιορίσεις τον αριθμό των αιτημάτων που μπορούν να υποβληθούν στον διακομιστή.
Ακόμη η προηγμένη προστασία χρησιμοποιεί τεχνικές όπως το φιλτράρισμα κυκλοφορίας για τον εντοπισμό και τον αποκλεισμό κακόβουλης κυκλοφορίας από την είσοδο σε ένα δίκτυο. Επιπλέον, αξιοποιεί αλγόριθμους μηχανικής μάθησης για τον εντοπισμό και την απόκριση σε νέες απειλές.
Τέλος υπάρχει και η ενισχυμένη προστασία που θα έπρεπε ήδη να διέθετε το κράτος και στην πλατφόρμα της Τράπεζας Θεμάτων, η οποία, σε επίπεδο επιχείρησης χρησιμοποιεί πολυεπίπεδους αμυντικούς μηχανισμούς για την προστασία από εξελιγμένες επιθέσεις που ενσωματώνουν διάφορους φορείς ή πηγές. Αυτή η προσέγγιση περιλαμβάνει παρακολούθηση, ευφυΐα απειλών, απόκριση συμβάντων και πολλά άλλα.
Είναι όμως το πρόβλημα μόνο η επίθεση αυτή ώστε να πλήξει την εμπιστοσύνη των πολιτών προς το κράτος; Ή ότι από το 2013 – 2014 που εμφανίστηκε ο θεσμός της Τράπεζας Θεμάτων δεν είχε προβλεφθεί κάποιο plan B που θα έδινε τη δυνατότητα στα παιδιά να δώσουν κανονικά τις εισαγωγικές τους εξετάσεις, με θέματα που να έχει ορίσει το υπουργείο μέσω κάποιου email, χωρίς κάποια καθυστέρηση ή πρόβλημα;
Δεν μπορούμε να χαρακτηρίζουμε «οργανωμένο έγκλημα» και «τη μεγαλύτερη κυβερνοεπίθεση που έχει δεχτεί ποτέ το κράτος» για μια απλή επίθεση που κοστίζει 50 ευρώ και που επιτυγχάνεται ακόμη και σε άλλες πλατφόρμες όπως του Κοινωνικού Τουρισμού, από την παράλληλη επισκεψιμότητα.
Αφήνουμε τα παιδιά να περιμένουν για ώρες λόγω μιας τεχνικής δυσκολίας, αψηφώντας την ταλαιπωρία που αντιμετωπίζουν, και όπως ανέφερε η Ομοσπονδία Λειτουργών Μέσης Εκπαίδευσης «είναι, δε, τόση η επιμονή του υπουργείου στο συγκεκριμένο μέτρο, που προτιμάει να βασανίζει για ώρες καθηγητές και μαθητές, παρά να δώσει μία απλή οδηγία οι εξετάσεις να γίνουν με θέματα που θα βάλουν οι ίδιοι οι εκπαιδευτικοί».
Ας ελπίσουμε πως τόσο απλά προβλήματα δεν θα απασχολήσουν ξανά τους μαθητές και το υπουργείο, που ξόδεψε σχεδόν ένα εκατομμύριο για τη διασφάλισή τους.