В последните дни беше изписано много относно изтеклите от НАП данни. Тъй като архивът все още може да бъде намерен и свален само с едно обикновенно търсене в Интернет, експертния екип на BULIDSEC реши да приложи дългогодишния си опит в сферата на кубер сигурността, за да анализира течът и изтеклите данни. Нека започнем с кратък разбор на събитията.
Какво се случи до сега?
На 15 Юли Нова телевизия оповести, че анонимен хакер е изпратил извадки от откраднати данни от Българската Национална Агенция по Приходите. Новината беше светкавично разпространена от водещите български медии като бе събуден интереса дори на международната преса:
- Капитал: От НАП са изтекли лични данни на милиони български граждани и фирми
- Днес.бг: Изтекли ли са личните данни от НАП? Яснота – днес
- Bloombergtv.bg: Евентуален пробив на НАП би заплашил финансовата система на държавата
- Heise.de: Hackerangriff in Bulgarien betrifft Millionen Menschen
- BBC News: Data of ‘nearly all adults’ in Bulgaria stolen
След първоначалния шок от новината и съобщенията, че стартира разследване от съответните органи, бяхме свидетели на ред полемични изказвания и спекулации относно произхода на анонимния хакер, неговата/нейната/тяхната мотивация, избрания момент информацията да стане публична, както и на начина по–който информацията е била открадната. Стигна се дори до там, че след като на 17 Юли Кристиян Бойков беше заподозрян и задържан по повод изтеклите от НАП данни, а после пуснат с мярка за неотклонение – разписка, много колеги от ИТ сектора използваха случилото се за маркетинг на предлаганите от тях услуги. Наблягайки в техните експертни изказвания и блогове на типични кибернетични атаки като SQL Injection, Cross-Site-Scripting и други, много ИТ колеги се позиционираха като експерти по кибернетична сигурност оставяйки впечатлението че начина по–който данните са били източени е кристално ясен.
Анализ на възможните кибернетични атаки довели до течът на данни в НАП
Прилагайки 20 годишният си опит в сферата на кибер сигурноста и борбата с кибер престъпниците, експертният екип на BULIDSEC анализира изтеклите данни. Тъй като само през последните 2 години, нашите експерти са анализирали повече от 70.000 международни изтичания на данни, много бързо открихме ред индикатори, който опровергават някои от лансираните по медиите начини на атака.
Изтеклите от НАП данни не са вследствие от SQL Injection или Cross-Site-Scripting
Течовете на данни придобити чрез компрометиране на онлайн формуляри и уеб приложения с SQL Injection или Cross-Site-Scripting базирани атаки, съдържат извлечения от таблици от компрометираната база от данни. Особен интерест при такъв вид атаки, са таблици съдържащи информация за потребителите на системата. По този начин, хакерите целят да се сдобият с потребителски имена и пароли, които биха им осигурили достъп до части на информационната системата, които изискват по–високи права на достъп.
Въпреки, че изтеклите данни съдържат информация за потребителски имена, имейли и пароли на редови служители на НАП, както и на административни системни акаунти, използваната файлова структура е изключително нетипична за такъв тип кибернетични атаки. Наличието на папки съдържащи специализирани и конкретни извлечения за определени фирми и физически лица, папки съдържащи тестови данни (sample data), както и извлечения от системни енумерации и тяхното текстово значение екстремно намаляват вероятноста, че данните са придобити чрез SQL Injection или Cross-Site-Scripting атака.
Файловата структурата на изтеклите данни, фактът че архивът съдържа тестови данни, както и специализираните извлечения за конкретни фирми и лица, говорят за това че данните не са изтекли директно от базата данни на НАП, а че информацията е била копирана от файловата система на определен компютър, било то сървър на НАП или на някой от фирмите работещи по проекти от НАП или компютър на служител на НАП или на някоя от фирмите подизпълнители.
Най–вероятните начини, по които са изтекли данните от НАП
- Компютър на служител на НАП или на програмист от фирма подизпълнител е бил обновен, без да бъдат изтрити данните преди да бъде унищожен.
- Демотивиран служител на НАП или на фирма подизпълнител е предостави/продал данните на заинтересувано трето лице.
- Текстови данни са били предоставени на фирма подизпълнител за поддръжка или доразработване на софтуер като сървърът използван за обен на данните, не е бил достатъчно защитен или е бил неправилно конфигуриран.
- Поради небрежност, немърливост или незнание на програмист от фирма подизпълнител или системен интегратор изтеклите данни са били съхранявани на някой от сървърите на НАП, които се индексират от Интернет търсачките като по този начин данните са станали достъпни.
Извършителите на кибер престъпления рядко остават анонимни
Извършителите на кибер атаки над комплексни информационни системи рядко успяват да заличат следите си. Поради специфичноста на изтеклите данни и тяхната структура, анализът на ИТ инфраструктурата на НАП, както и на фирмите извършващи софтуерни, системни и процесуални поръчки за НАП и техните архивни (backup) системи сравнително бързо би идентифицирал източника на изтеклата информация. Поради големината и значимоста на течът, както и фактът, че мотивацията на евентуални съучастници от редиците на слижители на НАП или техни подизпълнители най-вероятно има финансов характер, евентуална проверка на тяхното финансовото състояние би ограничила значително кръга от заподозрени. Убедени сме, че разследващите органи ще използват всички възможни технически и следователски средства за установяване на пътя за изтичане на данните.
Контролирайте дали имейл адреса ви е част от изтеклите от НАП данни!
BULIDSEC ежедневно анализира изтичания на данни в межународен мащаб с цел предотвратяване кражби и злоупотреби с дигитални идентите. Само от началото на 2019, експертния екип на BULIDSEC с помоща на иновативна комбинация от алгоритми за изкуствен интелект и машинно обучение са идентифицирали повече от 458 милиона компрометирани имейл базирани акаунта. За да усъществите постоянен контрол дали вашите имейл адреси са част от изтеклите от НАП данни или от други минали и бъдещи национални и международни течове на данни, използвайте BULIDSEC Email Identity Guard.