E-sveikatos sistemos kūrėjai padarė esminių vadovėlinių kibernetinio saugumo klaidų

E-sveikatos sistemos kūrėjai padarė esminių vadovėlinių kibernetinio saugumo klaidų

Darius Povilaitis: 4 problemos hakerio akimis

 

Darius Povilaitis - kibernetinio saugumo analitikas, kitaip dar vadinamas “baltakepuris” hakeris, kuris atskleidė visuomenei e-sveikatos saugumo spragas ir dėl to jam buvo pradėtas ikiteisminis tyrimas. Pašnekovas dalinasi savo įžvalgomis apie 4 egzistuojančias kibernetinio saugumo problemas.

 

Trumpasis numeris 1337 – absoliučiai nesprendžiama problema

 

Vilniaus Legal Hackers renginyje “Digital Lunch” Darius pasakojo apie problemas dėl trumpojo numerio 1337. Šios problemos jau buvo žinomos ir anksčiau, pašnekovas primena, kad DELFI jau 2018, 2020 metais įspėjo dėl po šiuo numeriu slypinčių sukčiavimo schemų, kurios skirtos išvilioti Jūsų pinigus. Deja, iki šiol ši problema tęsiasi ir nėra išspręsta. Pasak specialisto, SMS 1337 - tai plataus masto atakos prieš mus visus. Jos dažnai vykdomos per įsilaužimus į svetaines. Pabandykite paieškoti SMS 1337 google paieškoje - gausite per 8 mln. rezultatų. Svetainėje kienonumeris.lt šio numerio ieškota daugiau nei 15 tūkst. kartų, - pasakoja ekspertas.

 

Kaip veikia sukčiavimo schema? Į svetainę įsilaužiama ir įdiegiamas kenkėjiškas kodas, kuris kreipia svetainės lankytoją, naršantį telefonu, į įvairias pinkles, pvz. siūlo laimėti naują Iphone, arba bandoma lankytoją įtikinti, jog jo telefone yra aptikta virusų. Svetainė suformuoja telefone SMS užklausą, kurią vartotojas išsiunčia trumpuoju numeriu 1337 ir vartotojas užsiprenumeruoja padidinto apmokėjimo paslaugas, kurių nelabai gali atsisakyti.

 

Specialistą piktina tai, jog šie sukčiavimai trunka metų metais, ir problema nėra sprendžiama iki šiol. Išspręsti būtų labai nesudėtinga, nes numerį galima blokuoti per operatorius, taip pat yra atsakingos įstaigos, kurios turėtų spręsti problemą.

 

Ieškai pagalbos 112, gausi phishingo botnet’ą 

 

Anot eksperto, net surinkus bendrojo pagalbos centro interneto svetainės adresą galėjote pakliūti į sukčių rankas per taip vadinamus Phishingo botnet’us. Telefone surinkus 112.lt galėjote būti nukreipti į kitas peradresuojančias svetaines, kurios gali užkrėsti jūsų telefoną, ar bandyti išvilioti kreditinės kortelės duomenis, slaptažodžius ir pan., - pasakoja Darius.

 

Problema galėtų būti dalinai sprendžiama, jei atsakingos institucijos imtųsi nagrinėti šių Phishingo botnet’o IP adresus, kurie yra gan pasikartojantys, kreipiantys į tuos pačius potinklius, kuriuos tiesiog reiktų užblokuoti (DNS ungniasienė arba lokaliu būdu per interneto paslaugos tiekėjus). Iš to laimėtų visos valstybės interneto vartotojai, kadangi žalingos svetainės nebebūtų prieinamos.

 

MS Teams gali nulaužti “darželinukas”

 

Pašnekovą labai neramina, jog pandemijos laikotarpiu masiškai naudojamasi MS Office 365 programiniu paketu, kur debesyje gali būti laikomi tiek viešojo, tiek privataus sektoriaus konfidencialūs dokumentai, susirašinėjimas ir pan. Įsilaužti į MS Office 365 paskyrą yra gana nesudėtinga, iš kitos pusės, nesudėtinga ir apsaugoti vartotoją.

 

Ekspertas nurodo, jog daugelis pandemijos laikotarpiu naudojasi MS Teams programa, kuri yra MS Office 365 paketo dalis. Kaip įsilaužti į Office 365 yra labai daug viešai prieinamos informacijos. Darius pastebi, - atakuotojui, turint Citybee vartotojų duomenis, šios atakos tampa dar paprastesnės. Ekspertas nurodo, jog prisijungti prie MS Teams, kur naudojamas tik prisijungimo vardas ir slaptažodis, gali hakerių žargonu “darželinukas”, o ten kur papildomai naudojama 2 faktorių autentifikacija - galėtų įsilaužti jau “mokinukas”. Aukai atsiųsti suklastotą SMS labai lengva, užtenka nueiti ir tam skirtame tinklapyje tokius SMS užsisakyti. Jei visgi organizacija naudojasi taip vadinamu autentifikacijos būdu per “federacijas” kaip Facebook, Google, Microsoft ir pan. - jau nulaužti tampa labai sudėtinga, phishingo atakos neveikia, ir čia jau hakerių žargonu reiktų “studento ar net “aukščiau”, t. y. įsilaužėlis turėtų būti itin aukštos kvalifikacijos, ir pačiam ekspertui tokio lygio atakų neteko Lietuvoje pastebėti.

 

Ekspertas, jau kartą nudegęs, už e-sveikatos spragų paviešinimą visuomenei, kai prokuratūra buvo pradėjus, nors vėliau ir nutraukė, ikiteisminį tyrimą, nerimauja dėl strateginių klaidų, padarytų kuriant e-sveikatos sistemą.

Jo nuomone, nors ir “įsisavinta” per 100 mln. litų kuriant sistemą be to sistema vis “šeriama” papildomomis finansinėmis injekcijomis, tokios sistemos jokiu būdu nevalia buvo paleisti į eksploatavimą, kadangi kuriant sistemą padarytos tokios klaidos, kurios vadovėliuose dažnai pirmu punktu aprašytos, jog taip negalima daryti. 2015 m. ekspertas, testavęs e-sveikatos sistemą, buvo kategoriškas, jog tokios sistemos pataisyti neįmanoma ir ją reikia išmesti, tačiau į jo išvadas nebuvo atsižvelgta ir sistema paleista. Ekspertas po 3 metų pastebėjo, jog spragos netaisomos, visų asmens duomenys, giminystės ryšiai, jautri sveikatos informacija yra nesunkiai kibernetinį saugumą išmanančiam žmogui prieinami, tad paskelbė apie tai visuomenei.

Šioje vietoje klaida buvo  tai, jog e-sveikatos apsauga buvo perkelta į vartotojo kompiuterį, kur jau vartotojas gali visiškai nebekreipti jokio dėmesio į šią apsaugą. Kad to jokiais būdais negalima daryti - yra daug rašoma saugaus programavimo vadove ir ne vieną kartą. Tokias spragas labai dažnai daro  pradedantieji, neturintys jokios patirties programuotojai - reziumuoja ekspertas.

Ekspertas pastebi, jog kritinės saugumo spragos kritinėje valstybės infrastruktūroje egzistuoja metų metais, ir niekas nieko nedaro, kad jas ištaisytų. Iš e-sveikatos sistemos galėjo mūsų visų duomenys būti pavogti tūkstančius kartų, tačiau to net neįmanoma patikrinti, kadangi už dalį laikotarpių netgi nėra veiksmų žurnalo.

Atsakingi asmenys, deja, nėra patraukiami atsakomybėn, štai pvz. 2020m. STT nutraukė ikiteisminį tyrimą dėl galimo piktnaudžiavimo įgyvendinant e-sveikatos projektą. Tuo tarpu, problemas atskleidęs saugumo analitikas buvo bandomas nutildyti ikiteisminiu tyrimu. - baigia Darius Povilaitis.

Kviečia pietauti su kibernetinio saugumo ekspertais

Vilnius Legal hackers pradėjo skaitmeninių pietų ciklą, kada trečiadieniais pietų metu diskutuojama su Lietuvos saugumo ekspertais kibernetinio saugumo tematika. Kviečiame prisijungti, bus įdomu – žada ir kviečia trečiadienio pietų idėjos autorė Ernesta Seiliūtė. Jos kolega, Dr.Martynas Mockus, prideda, jog ši iniciatyva ypač sudomino pasaulinį Legal Hackers tinklą, ir planuojama, jog renginys išsiplės, įtraukdamas Skandinavijos šalis, bei Vilniaus laiko zonoje ir aplink esančius Legal Hackers padalinius. Tai leis tiek susipažinti su užsienio ekspertais, tiek lietuviams save pristatyti pasauliui., - džiaugiasi Vilniaus Legal Hackers atstovai.

Diskusijos įrašą su kibernetinio saugumo analitiku D. Povilaičiu galite peržiūrėti čia.

Apie Vilnius Legal Hackers:

Legal Hackers padalinys Vilniuje - tai teisininkų, politikos formuotojų, technologijų entuziastų ir akademikų judėjimas, tyrinėjantis ir kuriantis kūrybiškiausius sprendimus aktualiausiems klausimams, atsirandantiems teisės ir technologijų sankirtoje.

Rašyti komentarą

Plain text

  • HTML žymės neleidžiamos.
  • Linijos ir paragrafai atskiriami automatiškai
  • Web page addresses and email addresses turn into links automatically.
Sidebar placeholder