Има много начини за изтичане на данни - например през лаптоп, даден за ремонт. А данните във файловете са частични, казва основателят на "СофтУни"

- Г-н Наков, как ще коментирате изтичането на толкова много данни от НАП?

- Сериозна издънка! Вероятно наистина е хакерска атака. Според мен има неща, които не са направени добре. Просто в държавната администрация не е много трудно да се намерят проходи, тъй като често там работят хора, които не са добре платени. Организационно не е много работеща системата - изпълнители, подизпълнители... Често пъти търговете се печелят не с техническа компетентност, а с рушвети. Според мен немарливост е основната причина, а оттам нататък как се е случило - дали е българин, руснак или човек от друга националност, трудно може да се каже.

- Какво точно е изтекло?

- Трудно може да се каже. От това, което аз видях, става дума за големи количества малко безразборни данни. Няма един цял регистър източен. Има много таблици с различни неща, свързани с данъчни теми. Неща от сорта на подадени декларации - например пише: “Тоя човек, това му е ЕГН, това му е адресът, това му е мейлът, а на тази дата е подал декларация онлайн”.

Тоест вероятно някой е осъществил достъп до някоя от машините, която съхранява тези данни, или машина, която е на технически човек, който има достъп. При втория вариант този човек, да речем, програмист, може да е изтеглил част от данните, защото наистина става въпрос за част от тях, а някой ги е достъпил.

Първата хипотеза е човек, който работи там, ползвал е данните за справки и някой му е достъпил лаптопа. Например, докато е бил на ремонт.

Втори вариант е отдалечена атака. При нея един от многото сървъри на НАП е имал бъг или уязвимост и някой го е използвал.

- Изпращачът казва, че това са само 11 от 21 гигабайта данни, които има.

- Възможно е и някой да е изтеглил абсолютно всичко и да ни е подхвърлил само парче. В някои от таблиците изглежда, че са непълни.

Може много да се спори и коментира по темата. Ние нямаме достъп до всичко, виждаме това, което е пратено. В тези данни има имена на хора, има ЕГН-та, има имена на фирми. Има и сертификати за достъп.

Такава информация имат ИТ хората, които работят в службите. Кой може да е пробитият? Може да е човек от НАП, може да е контрактор на приходната агенция. Има софтуерни фирми, които правят тези регистри. Други ги поддържат.

При информационната сигурност има много неща. Едното е процес и организация - кой има достъп, при какви правила и как се съхраняват данните. След това е компетентността на самите служители, след това е контролът - как се следи за пробиви и неправомерен достъп.

Доста е сложно, не може да се каже, че някои са некадърни или нещо от сорта. Става дума за 120 услуги, които НАП предлага. А в колко града?

Самият факт, че една лелка на гишето, примерно в Белоградчик, може да ви каже колко данъци дължите, значи, че тя има достъп. Виждате ли колко много са местата, от които може да изтече информацията.

Не е много лесно да се опази една такава система.

- Финансовият министър Владислав Горанов каза, че течът е 3% от информацията, която се пази в НАП.

- Аз лично не зная колко информация имат, но е факт, че мен лично ме нямаше. Търсих се, но не се открих. Рових и познати, на които имам ЕГН-та, не ги открих.

Ако бяха всички данни за тези, подавали декларации през 2018 г., аз лично щях да бъда там.

- Какво значи това?

- Три са хипотезите. Или данните са непълни, или този, който изпраща данните, ни подхвърля парчета. Може и да не е успял да изтегли всичко докрай. Все пак, когато почнеш да сваляш големи обеми, може да се активират разни защитни механизми. Може и да претовариш системата и някой да се усети. Има и ограничения - може ли някой да ти прати 3 терабайта информация? Възможно е хакерът да е изтеглил първите 5% от дадена таблица. Прави впечатление, че малките таблици са целите, а големите са с частични данни. В моите очаквания трябва да има ЕГН-тата на всички българи, но ги няма. Какъв е процентът, който е изтеглен, не зная. Не е и моя работа, защото не съм разследващ.

- Какво ви направи впечатление, като видяхте данните?

- Изглеждат ми като работни, а не като цял регистър. Поне от това, което видях, е откъслечна информация. Например има данни от април до септември 2010 г. Защо няма 2011 г. обаче, никой не знае.

- Да поговорим за самия метод - SQL инжекция.

- Дали е така, не зная. Възможно е, това е абсолютно правдоподобен вариант. В “СофтУни” го преподаваме и сме длъжни да го правим, за да знаят как да се защитят.

SQL инжекцията е следното нещо - имаме поле, в което вкарваме данни. Примерно аз трябва да си подам декларацията и пиша “Светлин Наков”. Обаче вместо “Светлин Наков” аз пиша апостроф, с което затварям командата за вкарване на данни и пиша друга команда.

Това се случва, когато при правене на софтуер не е спазен принципът, че данни и команди трябва да вървят по различни канали.

Общо взето, е индикация за кофти програмисти. Отваряме обаче едно “но”. Това може да е във всякакви модули. Обикновено когато правим една система, ако имаме 120 системи, всяка от тях има 8, 10 или 15 модула. Някой от тези модули е на трети производител. Никой не прави целия софтуер.

Нека дам пример. Форум, в който се публикуват новини. Друг ти прави софтуера. Ако той има бъг, цялата система се компрометира.

SQL инжекцията е техническа уязвимост, при която се допуска с команда да се сглобят два стринга. В тях се пише примерно “Вкарай в тая таблица Светлин”. Обаче се слага едно апострофче и “Вкарай в тая таблица Светлин; Дай ми всички данни от тая таблица”. Така се подпъхва команда.

- От НАП обясниха, че пробивът е станал заради слабост в услугата “Въстановяване на ДДС от чужбина”.

- Не вярвам да има система в НАП, която да не ползва SQL (компютърен език за структурирани запитвания - б.а.). Все пак това е система, чиято задача е да приема,обработва и съхранява данни. Оттам нататък пробивите може да са най-различни. Някои от тях са неправилна конфигурация на сървър, на който си сложил парола по подразбиране например.

Това може да стане на сървъра на някой си. Нали разбирате, че работят над 200 души. Единият тества нови версии на продукта и е изтеглил част от данните, за да ги пробва. Тоест има твърде много места, от които да се е случило.

Ако наистина е SQL инжекция, то в един от модулите може някой да е пипал някой скрипт. Това е много добре позната атака, която съществува, откакто има бази данни. Тя е нещо, което позволява да вкараме команда, с която четем пишем и променяме данни на място, на което по принцип вкарваме потребителското си име, да речем.

Може да се провери дали има такава инжекция, като влезеш в сайта и вместо потребителското си име слагаш апострофче. Ако вместо да каже, че потребителското име е невярно, даде грешка, вероятно има такава инжекция.

Има много инструменти, с които такива зарази се хващат.

Технически, на мен SQL инжекциятами изглежда доста правдоподобно. Може да има много варианти, и то ако тръгнем с хипотезата, че няма вътрешен човек.

Може и някой да се е скарал с шефа си и е напуснал, но на тръгване си е взел едни неща.

- В новото си писмо хакерът казва, че е руснак, женен за българка, и че е хаквал данните през 2012 г. и тогава никой не е разбрал, че той и съучастниците му са дръпнали 30 гигабайта информация.

- Нищо чудно. Колкото по-назад се връшаме във времето, толкова по-слаба е била сигурността.

А това дали е руснак, не мога да коментирам. Лично аз, ако съм албанец, ще кажа, че съм руснак, за да има по-малко улики към мен. Все пак този човек го търсят, и то доста.

Това, че е ползвал руски сайт, за да прати мейла, според мен не е улика. Можело е да го подаде до медиите и през афганистански сайт.

Уликите може да ги търсят със съдействието на руските служби. Например от кой IP адрес е пратен мейлът. Но ако има хакване, то според мен човекът си е скрил добре следите.

Що се отнася до версията, че е руснак - може. Те са известни с техническите си умения. Дали е женен за българка може и да има, и да няма значение. Ако е видял тъпотията на държавата, както посочва в писмото си, е решил да обърне внимание на медиите.

Тук лично аз го подкрепям. Ще ви обясня защо. Ако някой намери бъг, прати го на НАП и се подпише, вместо да му благодарят и да му пратят пари, както биха направили множество фирми, от приходната агенция ще го дадат на прокурор.

Затова човекът какво е направил - пратил е на медиите, за да се види, че има проблем. От това, което е изтекло, си личи, че проблем има.

За какво могат да се ползват, е голяма тема. От това, че може да видим кой е в чужбина и да пишем, че е гласувал за нашите, до групи за изнудване. В списъците има декларации за приходи, макар и малък процент, може да се види кой има голям доход и да ходи да се изнудва.

- Най-важният въпрос. Не сме в “Авенджърс: Ендгейм” и не можем да се върнем назад, за да спрем изтичането на данните. Какво правим оттук насетне обаче?

- Следва да си научим урока. Най-вече държавата. Тя да помисли и защо не да направи програма за награждаване на хора, които с добри намерения докладват проблеми.

На мен ми е ясно какво ще стане. Ще се изхарчат едни милиони, защото имаме проблем със сигурността. Те ще потънат в едни джобове, както се прави по български. Все пак може и някаква работа да се свърши.

Нали си спомняте какво стана миналата година с Търговския регистър?

- Да.

- Е, оттогава не е падал. Аз не вярвам и тук, в НАП, втори път да се издънят по същия начин.

Първо, трябва да се направят проверки, иодити. Второ - организационно. Информационната сигурност не е само технически всичко да е окей. Не трябва някой да има повече достъп, отколкото му трябва.

Ще ви дам и пример. Отивате в магазин за хранителни стоки. Там има бюро за разплащане на сметки. Казвате си ЕГН-то и ви казват каква къща имате в провинцията и колко данъци дължите. Тези хора могат да ви дадат и данни за данъка за колата.

От една страна, това е суперудобно, но, от друга страна, щом тези хора могат да ви направят тази справка, те могат да я извадят и дадат на трети лица. Това е концептуално грешно, защото тук става дума за частна фирма, която има достъп до данните кой какво дължи.

Представете си какво става в една малка община. Там има една баба, която е пред пенсия. Тя има пароли и може да прави справки. С малко повече на брой справки могат да се източат много неща.

Когато работиш с хора, които не са образовани в тази работа, а в случая на НАП говорим за много служители, има откъде да се пробие. Затова въпросът е да се ограничава достъпът до по-чувствителните данни.

В държавата има много системи. Защо не излизат данни от системата на МВР? Защото не е свързана с интернет.

Мерки могат и трябва да се вземат и това, че се случват по-малки хакове, може и да не е лошо. Така ще се обърне внимание и може да се оправят доста пропуски.