Tag Archives: #НАПЛийкс

Нувел Обсерватьор: Атанас Чобанов – журналистът, който разтърсва властта в България

Post Syndicated from Биволъ original https://bivol.bg/nouvelobs-tchobanov.html

вторник 17 септември 2019


С разкритията си за корупцията в България Атанас Чобанов и сайтът му „Бивол“ пречат. Дотолкова, че българската прокуратура поиска от френското правосъдие да разследва този бивш политически бежанец, сега постоянно пребиваващ във Франция.

Петдесет и една годишният Атанас Чобанов не получава предупреждение като в „Кръстникът“ – той не намира в леглото си локви кръв и отсечена конска глава. Но преди около две години, когато излиза от дома си в парижко предградие напът за работа, този инженер в Националния център за научни изследвания (CNRS) и главен редактор на сайта за разследваща журналистика „Бивол“ вижда нещо, което силно наподобява такъв вид предупреждения. Някой е поставил на колата му голям син плюшен вълк. Вероятно за да покаже на този смутител на статуквото, бивш политически бежанец във Франция, че знае къде да го намери. Малко по-рано специалистът по изкуствен интелект и deep learning получава будещо тревога писмо с точното название на гарата, на която той взима влака от регионалната транспортна мрежа на Ил-дьо-Франс. Подател е един софийски магазин за търговия с оръжие. Посланието е ясно. С разкритията си – най-значимите през последните години – за политически скандали и корупция в България Атанас Чобанов и журналистите от „Бивол“ пречат. Натискът върху тях е постоянен – заплахи, опит за убийство, наблюдение, следене, подслушване, данъчни проверки, съдебно преследване, имотни проверки…

Кибертероризъм

В началото на август напрежението се покачва. Софийската прокуратура съобщава, че във връзка със загадъчно хакване на българските данъчни служби е поискала от френското правосъдие да ѝ съдейства в разследване срещу Атанас Чобанов. На 15 юли различни редакции, сред които и „Бивол“, са получили от руски имейл адрес фискалните данни на около 5 милиона българи (от общо 7 милионното население), включително и на министър-председателя Бойко Борисов. Прокуратурата подозира Чобанов, че познава един от хакерите. Журналистът, който е и бивш възпитаник на Френската гимназия в София, признава, че в началото на юли с него се е свързал „анонимен човек, представил се за киберексперт“ и го е предупредил за голям пропуск в сигурността на сайта на българската Комисия за защита на личните данни.

Положението официално е обявено за сериозно. Това е най-големият пробив в историята на страната. Още по-лошо – говори се за „кибертероризъм“. Според София целта на хакерите не е каква да е, а именно – да дестабилизират държавата и българските власти… Междувременно прорукорката начело на отдел „Антитероризъм“ внася известно съмнение в сериозността на цялата работа. Тя изказва твърдението, че авторите на пробива са възнамерявали да хакнат и поливната система около Парламента, за да пръскат с вода видните гости и официалните делегации – така властта ще изглежда смешна, а държавата ще бъде „разклатена“. На което общински служители не могат да не реагират и правят уточнението, че поливната система не е информатизирана – крановете се отварят ръчно…

Тайна на източниците

Аферата сякаш се спихва. В Париж правосъдието твърди, че не е получило искането на българската прокуратура за съдействие относно разследването срещу Чобанов. Освен да се прави, че не го е получило. Защото нищо не задължава Франция да съдейства, ако искането на друга държава-членка ѝ се струва „против основните принципи“ на европейското право. А френското и европейското законодателство защитават тайната на източниците. В София прократурата е близо и до пълно объркване – заподозрените, служители на българска фирма за киберсигурност, оспорват фактите и въпреки настояванията на обвинението за строги мерки за неотклонение са пуснати под гаранция от съда.

Атанас Чобанов заявява, че е готов да съдейства на френското правосъдие, но същевременно смята, че Париж не трябва да отговаря на искането на българската прокуратура. Журналистът се опасява, че тук не става дума просто за отмъщение за направените разкрития. Той се страхува, че се прави опит да се изземат базираните във Франция сървъри на сайта. Навярно мнозина в София желаят да затворят устата на „Бивол“. Българската преса, която е почти изцяло в ръцете на „червени олигарси“, постоянно се опитва да дискредитира и сплаши Атанас Чобанов и неговия екип. В световната класация по свобода на словото, изготвена от „Репортери без граници“ за 2019 година, България заема 111-то място от 180 държави. До голяма степен самотен в начинанието си, „Бивол“-ът оре надълбоко земите на корупцията в постсоциалистическа България, в която с протекцията на „големия руски брат“ бивши апаратчици, агенти на комунистическата Държавна сигурност и представители на организираната престъпност съвместно са превзели държавата и частните фирми. В страната това явление носи името „червена мафия“.

Апартаментгейт

Списъкът на онези, които имат зъб на „Бивол“, е дълъг. Сред най-гръмките разкрития на сайта е скандалът с един български министър на икономиката, неправомерно получил в периода 2004 – 2005 година близо 15 000 евро обезщетение за безработица от френската трудово-осигурителна система. През 2017г. Атанас Чобанов пръв забелязва и разкрива подписа на агент на ГРУ – зловещото военно разузнаване на Русия – във файловете от „Макронлийкс“, представляващи изтекли след хакерска атака документи на движението „Напред“. Последното към днешна дата разкритие е с голям заряд и засяга правосъдната система в България. С „Апартаментгейт“ – афера, в която висши държавни служители се подозират в покупка на свръхлуксозни имоти на смешно ниски цени, „Бивол“ наскоро дискредитира трима прокурори, кандидати за поста главен прокурор, и принуди четирима министри да подадат оставка.

Така например единият от въпросните министри с европейски средства е построил луксозна вила с басейн, захранван с минерална вода от специален водопровод. По официални документи имението принадлежи на дъщерята на бавачката на детето му… „Апартаментгейт“ повдига не само въпроса за евентуални политически последици, но и този за съмнителния произход на парите, с които се е плащало „под масата“. И странно, разследването на българската прокуратура тъпче на място…

Истинска референция в международната разследваща журналистика, „Бивол“ вече е нанасял големи щети с публикуването на „Досиетата „Панама“ и на информация от „Укилийкс“. Разкритията показват, че голяма част от „икономическо-мафиотските“ фигури в деловите български среди са бивши агенти или подставени лица на тайните комунистически служби. Що се отнася до настоящия министър-председател Бойко Борисов, уж проевропейски настроен, но твърде податлив на руския натиск, той изпада в огромно затруднение в опит да отрече връзките си, станали обществено достояние благодарение на „Бивол“, с престъпните среди (където според сайта се е подвизавал под псевдонима „Буда“). Наскоро „Бивол“ силно разтърси властта в България с разкритията си за отклоняване на милиарди евро от европейските фондове. Следователно обвиненията към „Бивол“ от страна на българските власти все повече приличат на контраатака. Защото често става така, че опирайки се на публикуваните на сайта сведения, Брюксел търси – вярно, твърде меко и неубедително – сметка от София и нейното правосъдие.

Автор: Жан-Батист Ноде, Нувел Обсерватьор, 15.09.2019. Снимка: Брюно Кутие
Превод от френски: Марияна Широва-Симандре

(Линковете в текста са от редакцията)

Поправка: българи в чужбина споменати в #НАПЛийкс

Post Syndicated from Боян Юруков original https://yurukov.net/blog/2019/popravka-napleaks/

В последната си статия критикувах НАП за функционалността на услугата, която би следвало да позволи на всеки да провери дали данните му са изтекли в мрежата. В действителност тази проверка не дава достатъчно информация, за да се вземат някакви мерки след положителен отговор, но и практически прави невъзможна проверката от българи живеещи в чужбина.

Част от тази статия правеше твърдение, че ЕГН-то, имената и местоположението на около 100 хиляди българи в чужбина може да бъде намерено в архива на #НАПЛийкс. Това число се базираше почти изцяло на таблицата AEOI_OUT/I_NSSI_PENS_EU.csv. След допълнителна проверка днес открих, че съм направил грешка в обработката на данните.

Картата, която използвах в предишната статия, преди да бъде коригирана.

Таблицата съдържа повторни записи с различни кодове и идентични местоположения. При изолиране на уникални ЕГН-та, броят на засегнатите е в действителност малко над 14 хиляди, а не както първоначално твърдях – 100 хиляди. Това отново е сериозен брой хора, но е значително по-малко от първоначалната ми оценка.

Горе показвам снимка на картата, която бях изготвил на база въпросните данни. Тя практически не се променя, тъй като оригиналните местоположения са същите. Броят българи на тях обаче е по-малък. На база коригираните данните направих карта показваща точните местоположения описани в данните. Докато горната групира емиграцията ни с точност до 50 км. тази тук е до 5 км. или общо казано град или по-голям квартал.

Същинската причина да погледна отново тази таблица, беше да открия на колко от българите в Германия са изтекли данните. Както съм обсъждал преди, диаспората ни в Германия е най-голямата в света и в последните години се увеличи значително.

Както коментирах преди, не знаем колко са актуални данните, а за голяма част от тях не знаем все още и какво означават. Тази таблица обаче показва 33208 записа на 4268 българи, които са отбелязани, че живеят в Германия. Това са 1.18% от емиграцията ни.

Разглеждайки по-подробно по възрастови групи се вижда, че почти всички са над 65 годишна възраст. Това, както и някои от кодовете в таблиците в папката показват, че става дума за пенсии и различни социални плащания. В таблицата има и доста суми и конкретни плащания, но не става ясно дали са такива изплатени в България или суми, които България е превеждала в чужбина.

Сравнение на броя, възрастовата структура и дела на българите живеещи в Германия и тези от тях, чиито данни се намират в изтеклия от НАП архив.

В тази графика съм показал в синьо възрастовото разпределение на цялата ни емиграция към края на 2018-та. В червено е броят на споменатите българи живеещи в Германия в теча на данни по възрастови групи в зелено съм отделил споменатите българи като дял от всички отчетени като живеещи в Германия. Забелязва се, че тези на 85 са дори повече в изтеклите данни, отколкото DeStatis отчита в страната. Това може да се дължи на различно време на отчитане и промяна в населението заради смърт или миграция. В тази възрастова група са около 60 човека, така че такива разминавания са очаквани.

На база на това може да се каже, че данните на голяма част от българите пенсионери в Германия или такива получаващи пенсия от Германия са изтекли. Тази справка отчита само една таблица създадена от НОИ, а не всички данни, които са изтекли от тях. В други папки и таблици се съдържат много други данни, немалко от които са на българи живеещи отдавна в чужбина или емигрирали в последните 10 години.

Поправката в конкретното число, което цитирах в предишната си статия, не променя факта, че трябва да има начин сънародниците ни зад граница да могат да проверяват дали данните им са изтекли, както и всички да знаят какви са измеренията на теча. Само това, което сам научих за тази таблица по косвени сведения показва, че е въпрос на време докато се осмисли всичко и някои недобросъвестни наши съграждани не прибегнат до злоупотреби.

Герганке, Герганке, Герганке мая!

Post Syndicated from original https://bivol.bg/%D0%B3%D0%B5%D1%80%D0%B3%D0%B0%D0%BD%D0%BA%D0%B5-%D0%B3%D0%B5%D1%80%D0%B3%D0%B0%D0%BD%D0%BA%D0%B5-%D0%B3%D0%B5%D1%80%D0%B3%D0%B0%D0%BD%D0%BA%D0%B5-%D0%BC%D0%B0%D1%8F.html

неделя 28 юли 2019


#НАПЛийкс – как да проверим дали сме засегнати и да си потърсим правата

Post Syndicated from Биволъ original https://bivol.bg/napleaks.html

НАП признава за 1% от изтеклите лични карти и изключва българите в чужбина от проверката

Post Syndicated from Боян Юруков original https://yurukov.net/blog/2019/nap-nehae/

Най-накрая НАП пусна справка, с която да проверим дали са позволили личните ни данни да изтекат в мрежата. Оставаме на страна, че им отне повече от седмица, а други услуги със същото ниво на информация се появиха 48 часа след теча. Предполагам, че са проверявали измеренията на проблема.

Проверката става на check.nra.bg и освен ЕГН изисква и мобилен телефон. Това, изглежда, е идеята им за някакво ниво на сигурност и защита на личната информация. Това обаче е абсурден метод, но явно единството, което им е хрумнало при липсата на електронна идентификация и сигурен начин администрацията да общува с нас. Както каза Божо, причината да я няма е, че вече три години проекта се бави.

Облаче ле бяло…

Друг проблем обаче е, че тази проверка може да се използва почти изцяло само от хора живеещи в България. За сънародниците ни зад граница е практически неприложима, тъй като може да нямат или да не могат да използват български номер където се намират. А данните на десетки хиляди българи зад граница могат да се намерят в теча. Освен декларациите на някои от тях, се вижда например, че са декларирали отказ от здравни права. На някои има целия им адрес в страната и в чужбина. Само в таблицата AEOI_OUT/I_NSSI_PENS_EU.csv има над записи с ЕГН, име, местоживеене в чужбина с точност до пощенски код и друга информация за над 100 хиляди наши сънародници.

Тук съм показал къде се намират те. Виждаме, че почти всички са в Европа, което може да е заради спецификата на данните в конкретната таблица. Не съм включил около 100-тина с грешни пощенски кодове, както и още няколко хиляди, чиито точни адреси намерих. Всяка от тъмните точки показва между няколко стотин и няколко хиляди българи засегнати от #НАПЛийкс.

Интересното на тази карта е, че е навярно най-точната карта на концентрацията на емиграцията ни. Не съм показал точното местоположение от данните на тия 100 хиляди записа. За целите на тази статия съм ги групирал по региони с радиус от 50 км.

НАП признава за 1% от личните карти

Дори в страната обаче проверката на НАП не е особено полезна. Това, което дава като информация е дали ЕГН-то ти присъства в теча или не. Нито дава представа какви са измеренията на проблема лично за теб, нито дава съвети.

Все пак след вълната от критика снощи, пуснаха няколко съвета днес като допълнение на списъка от сряда. В тях за пореден път обясняват, че всъщност нямало нужда да се сменят личните карти или друг повод за притеснение. В тях твърдят, че данните от личните карти на само 189 българи са станали публично достояние. Днес добавят, че поне 50-тина от тях са били вече уведомени за проблема.

В действителност, в базата данни виждаме десетки хиляди номера на лични карти и паспорти. Само в таблицата GAMON/PLAYER.csv се виждат 19420 български лични карти, които са издадени в последните 9 години и следователно би трябвало да са валидни. След проверка на няколко от тях се вижда, че има както невалидни, така и вече сменени.

Надявам се, че НАП са направили именно такава проверка и затова твърдят, че само 189 или под 1% от хората с изтекли номера на лични карти са в риск. Не се съмнявам, че ще отговорят така. Ако е вярно обаче, това означава, че цялата концепция на регистрирането в сайтовете за хазарт е сбъркана, щом над 99% от хората слагат невалидни данни. Всъщност, записите във въпросната таблица са над 45 хиляди и голяма част от другите са въвели измислени числа в полето за личната карта. Очевидно никой не проверява, за да са толкова сбъркани собствените им данни. Забелязват се и дузина номера на паспорти от Германия.

И к’во като ми пратиха SMS?

Номерът на заявката беше закрит от автора.

Тази седмица писах пуснах текст в Майко Мила за измеренията на проблема и какви мерки може да вземе всеки от нас. Общо взето – почти нищо не може да направим. Най-важното е това, което НАП също посочиха след статията ми – банки, мобилни оператори и други компании да са бдителни и да внимават в идентификацията на клиенти.

Това, което НАП обаче настояват е, че проблем с личните карти почти няма и хората в риск ще бъдат уведомени лично. В данните обаче виждаме друго. Затова бих препоръчал на всеки, който е въвеждал такава информация в сайтове за хазарт и все още е със същите лични документи, да се замисли.

За жалост, справката на НАП не изпълнява основната задача, за която следваше да бъде създадена. Въпреки всички съображения, които изтъкнах, другите „частни“ услуги правеха същото, а в случая на Биволъ – дори повече. За жалост, те са вече свалени. Проверката на НАП отговаря на въпроса дали данни са изтекли, но не и какво следва от това, което е същественото. Какви мерки могат да вземат хората? Дали домашния им адрес, доходите, роднините, заемите и/или договорите им са изтекли?

В този смисъл проверката пусната от НАП е малко повече от отбивана на номера, а доста хора, къде на шега – къде на сериозно се усъмниха, че НАП така не само събират телефонни номера, но има риск и тези данни да изтекат. Показателно е, че хората имат повече доверие на Биволъ и дори анонимни услуги, отколкото на Министерството на финансите. Нищо в това разследване или досегашната работа на институцията под ръководството на Горанов не ни кара да мислим нещо различно.

Лични данни – това звучи гордо!

Post Syndicated from Боян Юруков original https://yurukov.net/blog/2019/nap-danni/

Този текст беше публикуван първо в Майко Мила на 22-ри юли. Дискусията по него може да проследите и на страницата им във Facebook.


Има
един лаф – „Документ – това звучи
гордо!“ Препратка е към свеждането
на същността на индивида до номера и
подпечатани листа хартия. До преди 100
години това отношение към човека се е
смятало за нецивилизовано, но с
конфликтите, индустрията и глобалното
село, което създадохме, всичко се променя
– въвеждат се паспорти, данъчни номера,
визи и прочие. Днес всеки от нас е просто
серия от числа – ЕГН-то, личната карта,
банковата сметка и съдържанието ѝ,
кредите и сроковете им, имотите и колите,
покупките в мола, списъкът с приятели
във Facebook и историята на търсене в Google.

Повечето от тези данни са тривиални, но други определено не бихте искали да стават публични. Е, миналата седмица разбрахме, че доста от тях вече са независимо какво искаме. Архивът от източената база данни на НАП съдържа ЕГН-та, номера на лични карти, облагаеми доходи, имоти в България и чужбина, коли, заеми и плащанията по тях, договори и плащания от фирми и друга информация за милиони българи. За мнозинството от нас има само няколко записа от данъчните декларации, но други се споменават стотици пъти.

От
променливите и противоречиви изказвания
на НАП и Горанов и от самото съдържание
на архива може да предположим, че е
хакната база данни, в която различни
служители са копирали цели таблици от
други институции и са си правили справки.
Ако системите на администрацията бяха
наистина свързани, ограничавани и
наблюдавани – както следва да бъде в
едно електронно управление – това нямаше
да е нужно и щеше да има ясен контрол
кой до какви данни и кога има достъп. В
случая обаче са се пренасяли ей така
записи заедно с въпросните лични карти
и плащания по заеми и са ги зарязвали
така. Това също означава, че информация
е разпокъсана, отчасти стара, отчасти
навярно неточна. Трудно е да се провери
и осмисли такъв масив, но повярвайте ми
– въпрос на време е.

Тук
отново доста хора биха махнали с ръка
подавайки ухо на успокоенията идващи
от ефира, че било малък теч и всъщност
не е проблем, защото някои неща така или
иначе били в нета отдавна. Течът въобще
не е малък, но е вярно, че сме много
лежерни с данните си. Онова приложение
за състаряване на снимки е пресен пример
– освен, че собствениците имат пълни
права над образа ви, те имат всичките
ви контакти и в голяма степен какво сте
правили в социалните мрежи. За някои
навярно изтичането на тази им история
би било дори по-страшно от публикуването
на ЕГН и доход. Да знае някой обаче, че
сте коментирали нездравословно много
по групите на мамите в София, не позволява
вземе заем от ваше име. С данните на НАП
има шанс.

„Лични данни – това звучи гордо!“ би каза пиесата днес. Вече няма нужда друг да има личната ви карта, за да вземе заем – достатъчно е да знае какво пише в нея. Такива истории има от 10-тина години, макар да чуваме само за онези, които са хванати. Разбира се, това е престъпление и то не ново, но течът на НАП го прави толкова по-лесно и то срещу стотици хиляди в страната. Банки, мобилни оператори и други компании разчитат на същите лични данни, за да дават информация по телефона и да правят промени по сметки и договори – например да пратят нова банкова карта на сменен адрес. Улеснени са и по-тривиалните заплахи като телефонните измами, изнудванията и обирите. Знаейки кой колко доходи има и къде живее е безценна информация в такива случаи.

Ако
се следва закона и вътрешните правила
на институции и компании, този теч на
данни не би следвало да навреди на почти
никого. Ако наистина се следваха обаче
теч въобще нямаше да има, а ей го на.
Затова е важно да сме бдителни. Банки,
мобилни оператори и други трябва да
затегнат контрола над идентификацията
на клиентите си и да не разчитат само
на няколко откъслечни числа. Това навярно
ще създаде неудобство за някои, но ще
спести главоболия и загуби.

В
личен план може да направим малко, тъй
като ЕГН-то не може да се смени, а данните
за доходи и заеми са вече в публичното
пространство. За жалост няма до сега
търсачка, която еднозначно да покаже,
че е изтекъл номера на личната ви карта
(може би тази на Бивол). Съмнявам се, че
и обещаната от НАП ще дава такава
информация. Все пак, ако се притеснявате,
не е лоша идея да я смените. Също така,
включете известяване със SMS за промени
навсякъде, където е възможно – банкови
сметки, имотен и търговски регистър.
Говорете и отново с роднини – особено
по-възрастните – да не вярват на телефонни
обаждания и тем подобни с искания за
пари докато не се свържат с вас лично.

Този теч не е първият, няма да е и последният в България. Не се ограничава до тази агенция или дори само публичната администрация. Нито е голям в световен мащаб, нито е най-обширния. Обстоятелствата около него обаче показват колко плачевно е състоянието на информационната ни инфраструктура. Горанов започна вече да подлага клатещия си стол с извинението, че това бил едва ли не вроден дефект на електронното управление.

В
действителност, една от причината да
се случи е именно работата на парче и
блокирането на нужните мерки за електронно
управление от редица министри, включително
Горанов. Прекият ефект от политиката
му е, че сегашното състояние на електронните
услуги се различава слабо от аналоговата
чиновническа идилия. Да, за по-малко
неща се кланяме на гишета, но отново има
струпани папки с лични досиета на
граждани по коридорите на държавни
институции и селски кметства. Вече не
са на хартия, а дигитални, но сигурността
им е същата. Това не е електронно
управление, а екселска бюрокращина –
същият манталитет като папките в
коридора, но след изхарчени няколко
милиарда евро.

Обобщение на теча на данни в НАП

Post Syndicated from Bozho original https://blog.bozho.net/blog/3369

Много се изговори и изписа по повод „НАПЛийкс“. Аз успях да се включа в какафонията с няколко телефонни интервюта и едно телевизионно. Но в такъв формат, дори да е по-дълго, не може да се изложи всичко в структуриран и систематизиран вид. Затова ще опитам тук.

Инцидентът

Към медиите, през имейл в безплатна руска имейл услуга, беше изпратен линк към архив са 11 GB данни от базите данни на НАП. Имаше как да се сдобия с данните, но по ред причини не съм ги разглеждал и анализирал все още – едната е, че имах доста друга работа, а другата – че все пак това са данни, които представляват защитена от закона тайна и нямам добра причина да наруша тази тайна.

По информация на хора, които са разгледали данните, вътре има ЕГН-та, три имена и осигурителни доходи на милиони граждани, номера на лични карти, както и данъчни декларации, граждански договори, а също и данни от други инстутуции – Агенция по заетостта, Агенция Митници, Агенция за социално подпомагане. Има данни за чуждестранни юридически лица, и любопитни данни, като напр. файл, озаглавен QneQnev.

Дали изтичането на тази информация е фатално – не. Дали е голям проблем – със сигурност. Ако не беше, нямаше данъчно-осигурителната информация да се ползва със специален статус (и НАП често да ползва тайната на тази информация като аргумент да не обменя данни с други институции).

Данни на почти всички български граждани са изтекли и това е огромен проблем, без значение колко се опитват някои политически фигури да го омаловажат.

Как?

Няма официална информация как е станал пробивът, но на няколко места излезе слух, че е т.нар. SQL инжекция. Това звучи правдоподобно, така че ще коментирам него. SQL инжекциите са сред най-простите уязвимости – хакерът вкарва специално подготвен текст в дадена поле и получава контрол над базата данни, защото разработчикът не е „почистил“ входните данни (и не използва т.нар. prepared statements). Ако например искаме да използваме формата за вход в системата, то можем да допуснем, че проверката на потребителското име и паролата би изглеждало така: SELECT * FROM users WHERE username={params.username} AND password={transform(params.password)}. (transform, защото паролите никога не трябва да се пазят в явен вид).

Това е псевдо-код, с който виждаме, че параметрите, подадени от потребителя се „залепят“ за заявка, която се изпълнява към базата. Е, ако хакерът вместо потребителско име попълни друга валидна заявка в полето, тя ще се изпълни. Напр. след въвеждане, заявката би изглеждала така: SELECT * FROM users WHERE username=1;CREATE PROCEDURE exfiltrate …;–AND password=…. Създадената процедура може да бъде с произволен код, който да обхожда всички бази данни и техните таблици и да ги изпраща към определен IP адрес.

В момента в който хакерът може да изпълнява произволна, избрана от него заявка към базата данни, всичко е свършило. А откриването на тази уязвимост е тривиално дори и на ръка, а има достатъчно много инструменти, които сканират и откриват автоматично такъв тип уязвимости. Всяка организация с повече от 10 души трябва да прави регулярни проверки за уязвимост на системите си, за да предотврати поне най-тривиалните атаки.

Защо?

Това е сложният въпрос. „Защото някой в НАП е некадърен или в най-добрия случай немарлив“ е простият отговор, но той не е достатъчен. „Защото в администрацията не се дават пазарни ИТ заплати“ е отговорът, който министър Горанов даде, и той е отчасти верен, но е повърхностен. Тъй като преди 3 години се занимавах именно с дългосрочното решаване на този проблем, ще споделя по-задълбочени размисли.

Длъжностите в администрацията са разписани в т.нар. Класификатор на длъжностите в администрацията. До 2016-та там нямаше ИТ длъжности (ИТ кадри бяха наемани на общи експертни позиции). Тогава предложихме изменение на класификатора, така че да включим ИТ длъжности и то на максималните възможни нива на заплащане за съответния опит. Това, разбира се, пак е много под пазарните заплати, но е някаква стъпка.

Паралелно това, с измененията в Закона за електронното управление направихме две неща. По-маловажното беше, че създадохме опция Държавна агенция „Електронно управление“ да създаде програма за привличане на експерти от частния сектор, които краткосрочно да помагат за ИТ услугите на държавата. Нещо, което и аз правех тогава, но в мащаб. Нещо подобно на американските 18F/USDS. Това, излишно е да казвам, не се случва вече 3-та година.

По-важното беше създаването със закон на Държавно предприятие „Единен системен оператор“. Идеята му е да може да дава пазарни ИТ заплати, като предоставя определени услуги на държавната администрация – технически задания, проектен контрол, тестове, в т.ч. за уязвимости, управление на поддръжката на инфраструктурата, консултиране на ключови проекти, спешни мерки по „закърпване“ на проблеми, и др. Това предприятие също 3-та година е блокирано и не се случва. Изпълнителната власт и Горанов в т.ч. като че ли осъзнаха нуждата от нещо такова след срива на Търговския регистър миналата година, но явно просветлението е било краткотрайно. И това не сме си го измислили ние – BRZ (Австрия) и GDS (Великобритания) са едни от примерите за подобни структури в Европа.

Това, че има кадърни хора е много важно условие, но не е единственото. Друг аспект са обществените поръчки и фирмите, които ги изпълняват. Резултатите там рядко са добри по много причини, които съм обсъдил в отделна статия.

Информационна сигурност

Причините за ниското ниво на информационна сигурност са човешкия фактор, който е следствие на политическа неадекватност. Но все пак има начин нещата да станат малко по-добре дори само с подходящо структурирани правила. С промени в наредбите към Закона за електронното управление въведохме редица изисквания за информационна сигурност, в т.ч. шаблон за задание за всички нови проекти. В този шаблон изрично се говори за информационна сигурност и за уязвимости от тип SQL инжекция и XSS, така че проекти, създадени по този шаблон, да са съзнателно проверени за такива уязвимости, а наличието им да се явява неизпълнение на договор. Между другото, тогава НАП бяха против някои текстове, защото те вътрешно си пишели някои системи и някои изисквания не важали за тях.

Самата уязвимост е един проблем, но защо след като хакерът е придобил контрол върху една база данни, той след това е могъл да източи толкова много други такива? Моето допускане е, че потребителят, с който уеб-приложението е ползвало базата данни, е имал пълни права върху всички бази на този сървър. Това е ужасна практика

Информационната сигурност е трудно нещо (говорил съм неведнъж за това), и не е еднократно усилие. Нужни са редица от мерки и постоянно внимание към множество детайли. Рискът никога не е елиминиран на 100%, което е видно и от ежедневните пробиви в уважавани частни компании. Но една държавна институция няма право да допуска толкова прости за изпълнение (и за предотвратяване) пробиви.

GDPR

Да, бизнесът похарчи много за да бъде в съответствие с GDPR и изведнъж държавен орган се оказа най-неподготвен. Това оставя лош вкус в устата, и е разбираемо цялото недоволство. Освен информационната сигурност, има още един аспект на GDPR, на който трябва да обърнем внимание – принципа на свеждане на данните до минимум. Иначе казано, НАП трябва да обработва само данни, които са им необходими и да ги задържа само толкова, колкото да им необходим (което е друг принцип – този на ограничение на съхранението).

В НАП, а и не само, наблюдаваме точно обратното – правят се ежедневни копия на данни от други администрации и те се пазят вечно. Винаги съм бил срещу тази практика, защото освен рисковете за теч на данните, създава и редица други рискове – напр. от неактуални данни. При електронното управление има т.нар. „първични регистри“. Те са единственият актуален и верен източник на данни и проверките трябва да се правят в реално време, а не върху техни копия. Тази практика трябва постепенно да намалее и да спре, като бъде заменена от директния обмен на данни между администрациите. Обмен, който, освен всичко друго, оставя следа – кой, кога какви данни е чел и за кого. В съответствие с принципа на отчетност на GDPR.

Дали КЗЛД ще наложи глоба на НАП или не, не знам. Дали има смисъл да се прехвърлят едни публични средства между институциите (и накрая – пак в бюджетната сметка) – също не знам. Но със сигурност НАП е трябвало да уведоми КЗЛД навреме, и съответно трябва да уведоми гражданите за теча. За целта НАП готви приложение, където всеки може да се провери дали данни са изтекли, което е добре.

Проблемът със защитата на данните е голям в световен мащаб. Всеки ден текат данни от всякакви компании. Това не е оправдание за елементарните грешки на НАП, но поставя нещата в перспектива. А GDPR е опит да намали риска това да се случи. Разбира се, GDPR не може да спре теча на данни поради немарливост. Целта му е да направи такива течове по-малко вероятни и с по-малък ефект чрез редица мерки и по-важното – чрез няколко основни принципа, с които всички участващи в изграждането и оперирането на софтуер да са наясно. Засега не е ясно дали успява да намали този риск.

Мерките?

Какви мерки могат да се вземат на този етап. Краткосрочните: спиране на уязвимата услуга (вече направено), пълен одит на сигурността на всички системи не само в системата на Министерство на финансите, ами в цялата държава. Проверка дали всички информационни системи са включени в одита на Държавна агенция „Електронно управление“ и последователната им автоматизирана проверка за уязвимости.

Средносрочните са провеждане на обучения на всички служител в ИТ дирекциите за информационна сигурност и защита на данните и запознаване с приложимата нормативна уредба, ама не само като членове и алинеи, а и какво стои зад нея. Евентуално сертифициране на всички първостепенни и второстепенни разпоредители по ISO 27001 (стандарт за информационна сигурност).

А дългосрочните мерки задължително включват повишаване на капацитета, което според мен минава най-накрая през създаване на Държавно предприятие „Единен системен оператор“. Той няма да е панацея и със сигурност ще има свои проблеми за разрешаване, но е крайно необходим.

Това, което по принцип препоръчвам всеки да направи, без значение дали данните могат да се използват директно за злоупотреба или не – да си активираме известия за движение по банкови сметки, както и за движения по партиди в търговския и имотния регистър. Само с ЕГН или дори с лична карта никой не може да ви вземе пари, имот или фирма, но по-добре човек да се застрахова, защото измамниците са изобретателни.

Комуникацията

Комуникацията на официалните лица може да се раздели на две части – от една страна тази на експертите в НАП, начело с пиара Росен Бъчваров, и от друга страна всички останали.

Комуникацията от страна на НАП беше адекватна. Максимално бързо обясниха проблема, обясниха обхвата му, обясниха защо се е случило и какви мерки са предприети. В такива ситуации така се прави – казваш фактите без да ги захаросваш, защото това не помага.

Комуникацията от страна на политическите фигури (министър, депутати, премиер) стигна до висоти на неадекватността, които могат да обобщя като „е кво толкова е станало“, „руснаците заради самолетите ни хакват“, „като има електронни услуги, ще има течове“ и „е тоа хакер колко е добър само“. Нито едно от тези послания не помага по никакъв начин, освен може би сред партийните ядра, които вече имат опорки в споровете на маса.

Хакерът

Хакерът първо беше руски, после уж го намериха и се оказа български. Първо, това, че хакер твърди, че е някакъв, не значи абсолютно нищо. Всеки може да си регистрира поща в Яндекс и да твърди каквото си иска.

Дали заловеният наистiна е извършител ще реши съдът. ГДБОП трябва да събере доказателства и от тях да следва еднозначно, че той е извършителят. Дали намереният файл, в който се съдържа името му е истински или не – не можем да кажем. Има много варианти, в които е истински. И такива, в които не е.

Ако това не беше истинският хакер, може би истинският щеше да напише писмо, с което опровергава, че е заловен. Но трябва да е от същия имейл адрес (и пак няма гаранция, че не е дал паролата на друг). Проверка по онлайн форуми показва, че потенциално уличаващи коментари изчезват, т.е. вероятно някой друг има достъп до акаунтите му.

Дали хакерът е „магьосник“, обаче, е сравнително ясно – не е. Злоупотреба с SQL инжекция може да направи почти всеки. Ако е оставил да бъде открит, значи не си е покрил добре следите.

Интересно е да се изследва архива за всякакви странности – останали метаданни на файлове, останали служебни файлове, като този, в който пише името на хакера, хедъри на изпратените писма, скриптове и логове на иззетата техника, логове на сървърите на НАП. Все неща, които ГДБОП трябва да направи и от които ще зависи в крайна сметка присъдата. На този етап човекът не невинен и последно като проверих Наказателно-процесуалния кодекс, присъди не се произнасят в интернет.

Заключение

В заключение, имаме много да научим от този инцидент. За информационната сигурност, за защитата на данните, за политическата адекватност и за дългосрочните реформи, чието неслучване води до очаквани ефекти. Такъв инцидент беше неизбежен при нивата на компетентност в администрацията. С това не казвам, че там няма никакви компетентни хора, а просто, че са малко и не могат да огреят навсякъде. Аз, например, съм кърпил системи, докато бях в Министерски съвет, но фокусът ми беше по-скоро към формулиране на решения на системните проблеми. Защото ще закърпя една система, а други три ще останат пробити.

За такива инциденти трябва да се носи политическа отговорност. Дали чрез оставки или на избори, не знам. Но всеки инцидент е следствие от нечие действие или бездействие.

Все пак, трябва да имаме предвид, че институциите ще продължават да обработват данните ни. Може би ще са по-внимателни какво събират и защо го събират, но те няма да изчезнат. И трябва да измислим как да „сглобим“ някакво базово доверие към тях. Това е работа предимно на институциите – чрез мерките, които вземат и чрез говоренето им. Но е задача и на експертите, които коментират темата. Никой няма полза от пълно сриване на доверието, колкото и скандален да е един пробив.

Все пак инцидентът е много сериозен и този път политическите ръководства трябва да разберат, че има системни проблеми за решаване, които не могат след всеки инцидент да смитат под килима. Кърпенето на дупки е до време, в един момент трябва да се подменя целият път.

#НАПЛийкс: улики срещу доказателства

Post Syndicated from Боян Юруков original https://yurukov.net/blog/2019/napleaks-uliki/

Този текст е в отговор на коментар публикуван от Светлин Наков във Facebook и повторен в няколко медии.


… Файлът, който се явява улика срещу набеденият за теча на данни от НАП експерт по компютърна сигурност Кристиян Бойков е фалшифициран!

Хакерите използват Linux, особено истински добрите хакери, няма съмнение за това. Точно както дизайнерите ползват Mac и няма съмнение за това. ZIP архивът, който изтече (minfin_leak.zip) е създаден под Linux (вижте на картинката).

Подпъхнатият по-късно файл .~lock.DEC73_DETAILS.csv# е създаден под Windows, от някой друг, не от този, който е създал архива с експорта на Oracle базата данни на НАП от системата за възстановяване на ДДС.

Най-вероятно Кристиян е набеден за теча на данни …

Еми съжалявам, но оная улика в архива на #НАПЛийкс не е фалшифицирана.

Би могла да бъде, както всяко нещо във въпросния архив, впрочем, но също толкова вероятно е да са свалени и разгледани файловете на win машина, после прехвърлени и архивирани под linux. Вярно е, че тези, които бихме определили като хакери, работят предимно на linux, но малко хора се ограничават до една система или една машина, особено, когато работата им или специфичните инструменти го изискват.

Има добри аргументи защо някой би подхвърлил такава улика предвид какво работи Кристиян, но също толкова вероятно е да се дължи на пропуск – нещо, което дори най-добрите правят, особено когато са твърде самоуверени. Затова твърде категоричните изказвания за този аспект са по-скоро непрофесионални.

Единственото важно в случая е, че този файл не е и не може да бъде доказателство. Той е важна улика, която може да насочи разследването, но като всяка друга намерена в неконтролирана среда и непроследими обстоятелства следва да се постави под въпрос и подкрепи с преки доказателства. Такива биха били скриптове, с които е точил данните, логове от машините да е посещавал тези сайтове или да е минавал през VPN мрежи, от адресите на които има повиквания към НАП, други изтеглени данни, които не са още публични и т.н.

Изглежда ГДБОП ги нямат тези неща и не виждат надежда да намерят. Иначе Кристиян щеше да е още в ареста. Нищо от това не означава всъщност, че не е той – ако е, значи си е прикрил добре следите, въпреки конкретния пропуск. Ако не е той, значи някой определено не го харесва особено. И в двата случая всяко ново изказване на ГДБОП и НАП показва само колко зле са в защитата на информация, поддържането на системите си и такива разследвания.

Компютри, компоти, Горанов и НАП

Post Syndicated from Боян Юруков original https://yurukov.net/blog/2019/24-chasa-goranov/

От вчера в медийното пространство има една буря, която продължава с все сила и днес. Скандалът около изтеклите данни в #НАПЛийкс предизвика много коментари. Доста медии копираха или преразказаха статията ми от вчера сутринта, в която изброявам какво знаем и какви са рисковете от този теч.

Един вестник обаче пое друг подход. Скоро след статията ми и призива министър Горанов и отговорните му подчинени да поемат отговорност за случилото се, 24 часа публикува жлъчна статия за мен. Няма автор, анонимна е и внушава връзка между мен и атаката срещу НАП. Посочват многократно това, че подкрепям „Да, България“, че съм компютърен специалист и определят предупрежденията ми за опасността от данните и призивът за оставка като „удивителна осведоменост“ за действията на хакера.

Всъщност, статията ми излезе почти денонощие след като медиите получиха въпросния архив. В нея обобщих всичко, което много публикуваха вече в социалните мрежи и добавих моята оценка за ситуацията и риска. Това, в което т.н. вестник ме обвинява, всъщност, е че мога да боравя с данни и то по-бързо от други. С други думи – че си разбирам от работата. Това е нещо, в което те определено са невинни.

По-късно през деня сами обобщиха известното им до тогава рецитирайки дословно извиненията на Горанов и НАП. Там отново ми вменяваха някаква вина, но този път посочваха, че службите са ме включили в разследването като евентуална „връзка“. Както в първата, така и в тази статия се опитват да създадат впечатление у читателите, че всичко това има някаква връзка с „Да, България“ и критиката като цяло към правителството. Определят го като политическа и дори личностна атака – нещо, което самия Горанов се опита да изкара, за да потуши недоволството около провала на подупечното му ведомство.

Всичко това, защото съм успял да изложа по лесен за разбиране начин измеренията на проблема, това, което се знаеше на толкова ранен етап и съм поискал оставка на определяният за „министъра на Пеевски“ в кабинета. Това обяснява и защо текстовете на 24 часа бяха препечатани в кръга му от медии. Тази сутрин, когато се разбра, че е извършен арест, някои от тях дори са следели стената ми във Facebook съобщавайки, че последната ми активност е от преди 6 часа спекулирайки дали не съм аз арестувания.

Е, разбра се, че е друг, макар да имам свои съмнения. Начинът, по който беше разпространен архивът говори за известен опит, който не би позволил разкриване в рамките на два дни. Също така има разминаване в първоначалните изказвания на агенцията, че атаката е отвън – което предполага определени превантивни мерки от който и да е хакер – и това, което сега се тиражира като новини. Надявам се да имат солидни преки доказателства, а не просто да са го хванали, защото се е опитвал да провери защитите и да му приписват нещо, което може да не е направил. Предполагам, че ще разберем в хода на делото.

Връщайки се назад, в статията, където ме рисуват като някакъв прикрит политически хакер, правят и други неверни твърдения. Първото е, че съм се бил радвал на теча на информация, защото давало възможност за изследвания и анализи на икономиката ни. Далеч не това описвам в статията си. Казвам, че би било възможно, макар да не е ясно дали е допустимо юридически. Възможност за достъп до подобни данни се дава от други държави на изследователи след стриктни проверки и мерки за сигурност. У нас обаче е практически невъзможно.

Другото твърдение е, че съм се бил „борил“ за прозрачност на доходите, както в Швеция. Всъщност със статията си започвам дискусия какво следва да се случи с тези данни, тъй като вече са в публичното пространство. Както предвидих тогава и казах, че е неизбежно, вече има сайт, където може да проверите дали ЕГН-то ви е сред изтеклите данни. Какво следва да направим с останалата информация и как тя ще се отрази на обществения живот извън нуждата от поемане на отговорност от определени висши чиновници в правителството.

Всички тези недомлъвки и жлъч бяха очаквани предвид, че аз и много други искаме оставката на Горанов. Очаквано медиите на Пеевски скочиха да го защитават и оправдават. Спрели са се на мен единствено, защото статията ми събра такъв интерес. Забавното тук е, че само точно месец 24 часа са цитирали дословно изводите ми за проблемите при лечението на деца в НЗОК. Не ме упоменават като източник, но казват, че само тези данни са налични поради непрозрачността на касата.

Тогава явно не са намирали за „удивителна осведоменост“ доста по-подробния ми анализ на аналогични институционални проблеми с дори по-голям негативен ефект върху живота на съгражданите ни. Може би защото онзи министър не е близък до техния шеф.


Повече за проблемите около теча, причините за него и как може да се предотврати в бъдеще може да чуете в интервюто ми за Дарик и това на Божидар Божанов.

10 неща, които трябва да знаете за #НАПЛийкс и едно, за което не искате да мислите

Post Syndicated from Боян Юруков original https://yurukov.net/blog/2019/napleaks-10-neshta/

  1. Масивът на #НАПЛийкс съдържа данни за 6 млн. български граждани – 4.66 млн. живи и 1.38 починали. Основната част от данните обхващат последните 10 години
  2. В мейла си до медиите хакерите дават да се разбере, че имат още толкова данни изтеглени от сървърите
  3. Има 57 папки, някои от които са системна информация за базата данни на НАП
  4. Някои от таблиците включват потребителски имена, пароли и други данни за работата на служители на НАП и други държавни структури. Има и доста лични сертификати на граждани
  5. Освен данъчни декларации, данните включват плащания по заеми, номера на превозни средства, граждански договори, данни на много българи зад граница получавали пенсии или отказали се от здравно осигуряване, IP адреси и информация дали играете хазарт
  6. Ако сте работили или плащали някакъв данък в последните 10 години, то почти сигурно, че най-малкото ЕГН-то, името, адреса и дохода ви е в базата
  7. Базата съдържа индикации за сигнали и елементи от разследвания между НАП и европейски институции
  8. Течът на данните е бил възможен заради неспазването на елементарни мерки за сигурност в администрацията – нещо, за което предупреждаваме отдавна
  9. Макар данните да не донесат пряка вреда за повечето хора, те може да навредят на текущи данъчни разследвания, както и да се използват от телефонни измамници или за изнудване.
  10. В същото време публичността на тази информация, колкото и вредно да е за националната сигурност, ще даде възможност на изследователи да направят по-добра картина за доходите на населението, безработицата и социалните придобивки. Също така ще подпомогнат журналистически разследвания в имотното състояние на публични лица и отказът от проверки на самите служби в злоупотреби като #АпартаментГейт

Първото, което следва да се направи сега, е да се понесе политическата и професионалната отговорност. Горанов следва да подаде незабавно оставка заедно с ръководителите на отговорните за този пропуск структури. Трябва да има криминално разследване как се е допуснало това и обвинения, макар това да е малко вероятно предвид в какво се е превърнала прокуратурата ни в момента.

Паралелно с това следва да се направи одит на цялата информационна структура на обществения сектор. Правила и закони, които определят как следва да се пазят данните, кой следва да има достъп до какво има, но не се спазва, както стана ясно. Време е да започне администрацията сериозно да мисли за електронно управление и съпътстващите мерки за сигурност, системи за проверка и достъп.

Не на последно място обаче, трябва да разберем, че този теч на данни е стряскащ само защото вече не може да си затваряме очите за състоянието на държавните бази данни. Истината е, че почти всеки в администрацията е имал достъп до същата информация, а заедно с тях и познатите им. Хазарта започва една от последните си песни с „Имам човек в НАП…“. Е, доста хора имат човек тук и там. Един мой приятел разказваше как започнал успешен консултантски бизнес в България и скоро след това дошли „гости“ заедно със служител на НАП в неприкрит опит да разберат какво прави фирмата и дали може да се присвои.

Сега вече няма нужда да „имаш човек“ или поне не за доходите от 2007-ма насам. Въпрос на време е някой да пусне публична търсачка за информацията. Не съм съгласен, че трябва да се направи, но толкова хора имат вече архива, че е неизбежно.

И тук идваме към точката, за която не искате да мислите – какво правим с тази информация? Не тази, че са хакнали НАП, а с това, че всички ще знаят доходите ви. Нормално е да сте бесни. Трябва да сте бесни. Ако не защото личната ви информация е навсякъде, то най-малкото защото администрация за милиарди е позволила това. Само бесните хора могат да свършат нещо.

По-важен е въпроса дали следва всички да го знаем това? Не само сега и занапред Дали го искаме? В Швеция техният аналог на НАП прави публични всички данъчни декларации в края на годината. Отделни може да се видят с телефонно обаждане, но условието е, че отсрещната страна ще разбере, че сте видели декларацията им. Заедно с това публикуват детайлни справки за доходите по възрастови групи, региони, професии, нива на квалификация и прочие. Тази прозрачност в доходите е помогнала на много компании да поемат инициативата и сами да информират служителите си колко взимат колегите им на същото ниво.

Ние обаче не сме Швеция и това не е прозрачност. Това е престъпно нехайство. Макар голяма част от данните наистина да не заплашват пряко населението, части от тях и цялата им съвкупност наистина са проблем за националната сигурност.

Някой ще направи портал позволяващ лесна проверка. Всеки ще може да види доходите на съседа, колегата, известни и небезизвестни личности. Как това ще се отрази на взаимоотношенията ни, на обществения и политическия живот?

Какво следва от тук?