Σάββατο 6 Αυγούστου 2011

Χτύπημα hackers στην Υπηρεσία Ανάπτυξης Πληροφορικής (Υ.Α.Π)

Ισχυρό χτύπημα δέχτηκε η Υπηρεσία Ανάπτυξης Πληροφορικής (Υ.Α.Π) του Υπουργείου Εσωτερικών από Έλληνες hackers. Πιο συγκεκριμένα ο/οι hackers με την επωνυμία 31337.Grey_Hat κατά δήλωση τους προέβησαν σε άντληση δεδομένων από την συγκεκριμένη υπηρεσία καθώς και σε διαγραφή εσωτερικών βάσεων δεδομένων που ήταν εκτεθειμένες στο Internet μέσω αδυναμίας στην κεντρική ιστοσελίδα της υπηρεσίας.

Σύμφωνα με την ανώνυμη πληροφορία που κοινοποιήθηκε στο SecNews μέσω της σχετικής φόρμας, στόχος ήταν σαφώς η συγκεκριμένη Υπηρεσία του Υπουργείου και τα δεδομένα της.

Λίγα λόγια για την συγκεκριμένη υπηρεσία

Η συγκεκριμένη υπηρεσία υπάγεται στο Υπουργείο Εσωτερικών,Αποκέντρωσης και Ηλεκτρονικής Διακυβέρνησης.

Σκοπός της η εφαρμογή της Κυβερνητικής Πολιτικής για την εισαγωγή, εφαρμογή και ανάπτυξη της πληροφορικής και της τεχνολογίας των ηλεκτρονικών υπολογιστών στο δημόσιο τομέα.

Μεταξύ άλλων είναι υπεύθυνη για:
Το σχεδιασμό, ανάπτυξη, συντήρηση και λειτουργία των διαδικτυακών τόπων και πληροφοριακών συστημάτων της Δημόσιας Διοίκησης, αλλά και την ανάπτυξη και παροχή ολοκληρωμένων ηλεκτρονικών υπηρεσιών του δημοσίου τομέα.
Τη διασφάλιση της διαλειτουργικότητας μεταξύ των πληροφοριακών συστημάτων του δημοσίου τομέα.
Την εγγραφή, ταυτοποίηση και ηλεκτρονική αναγνώριση πολιτών και επιχειρήσεων σε ηλεκτρονικές υπηρεσίες του δημόσιου τομέα.
Το χρονικό της επίθεσης
Οι hackers μέσω του μηνύματος τους, που ανάρτησαν στο pastebin [δείτε εδώ] εξηγούν τους λόγους της επίθεσης. Όπως αναφέρουν σκοπός τους είναι με τις ενέργειες τους να κάνουν “προσωπική επίθεση στους πολιτικούς της χώρας ” ενώ υποδεικνύουν τον τρόπο που πραγματοποίησαν την επίθεση “διαλύοντας ολοκληρωτικά και κάνοντας ξεφτίλα το σύστημα” όπως χαρακτηριστικά λένε στο μήνυμα τους προς το SecNews. Όπως είναι εμφανές, παρακάτω υποδηλώνουν συγκεκριμένες εντολές SQL που έδωσαν στον εξυπηρετητή της ιστοσελίδας με σκοπό να επιτύχουν πλήρη πρόσβαση καθώς και εντολές για την διαγραφή βάσεων δεδομένων.


Επιπλέον η ιστοσελίδα http://www.yap.gov.gr της Υπηρεσίας Ανάπτυξης Πληροφορικής που δέχτηκε την επίθεση για κάποιον περίεργο λόγο (πιθανολογούμε από τις ενέργειες των hackers) ανακατευθύνει σε κάποιο διαχειριστικό περιβάλλον που ζητάει username και κωδικό και όχι στην επίσημη ιστοσελίδα. Παρακάτω η ιστοσελίδα όπως ήταν προσβάσιμη την στιγμή της επίθεσης:


Το επίπεδο πρόσβασης στην συγκεκριμένη υπηρεσία από τους hackers δεν έχει αποσαφηνιστεί μέχρι τώρα. Αίσθηση προκαλεί το γεγονός πώς περιμένουμε να νιώθουμε ασφαλείς όταν δεδομένα από νευραλγικές υπηρεσίες είναι διαθέσιμα σε hackers που με περισσή ευκολία αποκτούν πρόσβαση.

Απαιτείται ενδελεχής διερεύνηση από τους αρμοδίους: α) Πως η συγκεκριμένη υπηρεσία αρμόδια για την Ηλεκτρονική Διακυβέρνηση μπορεί να γίνει στόχος hackers χάνοντας δεδομένα με τόσο απλό τρόπο από λανθασμένη παραμετροποίηση της ιστοσελίδας β) Αν η συγκεκριμένη υπηρεσία διαχειρίζεται στοιχεία Ελλήνων πολιτών και κατά πόσο αυτά τέθηκαν σε κίνδυνο από την συγκεκριμένη επίθεση/διαρροή.

http://www.secnews.gr/archives/1873

0 σχόλια:

Δημοσίευση σχολίου