Στην… αντεπίθεση φαίνεται πως θεώρησε σωστό να περάσει το Εθνικό Δίκτυο Υποδομών Τεχνολογίας & Έρευνας, σχετικά με τη σωρεία αρνητικής κριτικής που έλαβε τις προηγούμενες ημέρες, εξαιτίας της αδυναμίας της να αντιμετωπίσει τις διαδικτυακές επιθέσεις που δέχτηκε στις υποδομές της, αλλά και τις επιπτώσεις αυτών.
Υπενθυμίζεται ότι τόσο την προηγούμενη Δευτέρα 29/5, όσο και την αμέσως επόμενη ημέρα, την Τρίτη 30/5, άγνωστοι «πλημμύρισαν» το δίκτυο του κρατικού φορέα με τεχνητές επισκέψεις (DDoS), προκειμένου αυτό να υπερφορτωθεί, και κατά συνέπεια να βγει εκτός λειτουργίας η πλατφόρμα της Τράπεζας Θεμάτων, που φιλοξενούνταν σε τοπικούς διακομιστές.
Αποτέλεσμα των παραπάνω ήταν οι μαθητές όλης της χώρας, που εκείνες τις ώρες έδιναν ενδοσχολικές εξετάσεις, να υποστούν μία απαράδεκτη ψυχοφθόρα ταλαιπωρία, αφού η ΕΔΥΤΕ απέτυχε τόσο να αντιμετωπίσει και τις δύο επιθέσεις, όσο και να παράσχει μία εναλλακτική λύση, τουλάχιστον την δεύτερη ημέρα, όπως εμπεριστατωμένα προτείναμε στο προηγούμενο άρθρο μας.
Οι υπεύθυνοι του GRNET, λοιπόν, προχώρησαν χθες σε δημοσίευση δελτίου τύπου, σύμφωνα με το οποίο οι επιθέσεις αντιμετωπίστηκαν… «επιτυχώς», και «δεν εμποδίστηκε η λειτουργία της εφαρμογής της Τράπεζας Θεμάτων».
Παράλληλα, εξέφρασαν το έντονο παράπονό τους για τα αρνητικά σχόλια που δέχονται για τα αντανακλαστικά και την ετοιμότητά τους, χαρακτηρίζοντάς τα «αντιπαραγωγικά», ενώ άφησαν υπόνοιες πως με αυτά «ενθαρρύνουμε τις κακόβουλες επιθέσεις» και «αποπροσανατολίζουμε τη συζήτηση».
Ακολουθεί ολόκληρη η ανακοίνωση της ΕΔΥΤΕ:
H πλατφόρμα trapeza.iep.edu.gr του Ινστιτούτου Εκπαιδευτικής Πολιτικής (ΙΕΠ) φιλοξενείται σε υποδομές της ΕΔΥΤΕ και συνδέεται στο Internet μέσω του δικτύου ΕΔΥΤΕ. Μετά από αίτημα του ΙΕΠ έγιναν ενέργειες για την αντιμετώπιση κατανεμημένων επιθέσεων άρνησης υπηρεσίας (Distributed Denial of Service – DDoS) τις πρωινές ώρες της 29ης και 30ης Μαΐου 2023.
Ιστορικό: Τη Δευτέρα 29/5 συστήματα με μεγάλη διασπορά σε χώρες όλου του κόσμου δημιουργούσαν με υπερβολικό ρυθμό συνδέσεις προς την πλατφόρμα (TCP SYN flood, περίπου 280.000 δικτυακά πακέτα ανά δευτερόλεπτο) καθώς και μεγάλη άεργη δικτυακή κίνηση (UDP flood) μέχρι 1.8 Gbps. Οι επιθέσεις αυτές αντιμετωπίστηκαν στις 09:20.
Την Τρίτη 30/5 έγινε επίθεση πολλαπλάσιας έντασης με μεγάλη διασπορά προς την υποδομή της πλατφόρμας (TCP SYN flood) με ρυθμό έως και 5 εκ. δικτυακά πακέτα ανά δευτερόλεπτο. Η επίθεση αντιμετωπίστηκε στις 07:32. Έπειτα, ο στόχος της επίθεσης μετατοπίστηκε σε υποδομές του Πανελλήνιου Σχολικού Δικτύου (ΠΣΔ) αλλά στις 08:09 αντιμετωπίστηκε και αυτή. Στη συνέχεια οι συνεργάτες της ΕΔΥΤΕ συνέδραμαν στην επίλυση υπόλοιπων θεμάτων που προέκυψαν λόγω της επίθεσης στην εφαρμογή.
Ως προς την προστασία που παρέχει η ΑΚΑΜΑΙ: Η πλατφόρμα της AKAMAI είναι σχεδιασμένη για να προστατεύει μόνο την εφαρμογή, όχι τη βασική υποδομή όπως λανθασμένα αναφέρεται σε δημοσιεύματα. Μια επίθεση DDoS μπορεί να πραγματοποιηθεί με διαφορετικούς τρόπους μέσα από τα διάφορα επίπεδα της στοίβας πρωτοκόλλων του διαδικτύου. Η πρόσβαση στην εφαρμογή περνάει αρχικά από το Internet προς το δίκτυο ΕΔΥΤΕ, έπειτα προς την υποδομή και τέλος προς την εφαρμογή. Οι επιθέσεις τη Δευτέρα 29/5 ήταν κυρίως εναντίον της εφαρμογής και την Τρίτη 30/5 εναντίον της υποδομής. Όπως αναφέραμε, η πλατφόρμα της AKAMAI δεν προστατεύει στο επίπεδο της υποδομής αλλά στο επίπεδο της εφαρμογής. Για να προστατευθεί η υποδομή έγιναν σχετικές ενέργειες των μηχανικών της ΕΔΥΤΕ μετά από αίτημα των διαχειριστών της εφαρμογής.
Αντιμετώπιση δικτυακών επιθέσεων: Οι επιθέσεις σε επίπεδο δικτύου αυξάνονται παγκοσμίως το τελευταίο διάστημα. Ο δικτυακός προορισμός trapeza.iep.edu.gr που δέχθηκε τις επιθέσεις είναι ένας μόνο σε σύνολο εκατοντάδων χιλιάδων πιθανών στόχων που εξυπηρετούνται μέσω του δικτύου ΕΔΥΤΕ. Σε κάθε περίπτωση όμως, οι συγκεκριμένες επιθέσεις αντιμετωπίστηκαν επιτυχώς και, παρά τις πράγματι δυσάρεστες καθυστερήσεις που σημειώθηκαν, δεν κατάφεραν να εμποδιστεί η λειτουργία της εφαρμογής της Τράπεζας Θεμάτων.
Τεκμηρίωση επίθεσης: Από τα παρακάτω δημοσίως διαθέσιμα γραφήματα (Εικόνες 3 και 4) φαίνεται η σταδιακή και ομαλή αύξηση της κίνησης στις 31/5 και 1/6 όπου δεν εντοπίστηκε επίθεση. Η ομαλή κίνηση αυξάνεται σταδιακά μέχρι ένα μέγιστο μέσα στην ημέρα και σταδικά υποχωρεί. Αντιθέτως, τις πρωινές ώρες της 29/5 εντοπίζεται η κακόβουλη κίνηση ως διακριτή κορυφή νωρίτερα της ομαλής κορύφωσης της κίνησης. Στις 30/5 η αύξηση λόγω της κακόβουλης κίνησης ξεπερνάει σαφώς τη συνολική κίνηση του δικτύου ΕΔΥΤΕ προς το Internet. Στις Εικόνες 1 και 2 φαίνεται εστιασμένη η επίθεση ως αυξημένος ρυθμός επεξεργασίας δικτυακών πακέτων εισερχόμενων από το Internet στους κόμβους «ΕΙΕ» και «ΚΩΛΕΤΤΗ» αντίστοιχα.
Σημειώνουμε ότι η διάγνωση των επιθέσεων γίνεται μέσω των εργαλείων παρακολούθησης των δικτύων και μέσω των αναφορών των εργαλείων προστασίας και όχι μόνο μέσω δημόσια διαθέσιμων δεδομένων. Τα στοιχεία που έχει το ΕΔΥΤΕ σαφώς και είναι διαθέσιμα στην ποινική έρευνα που διενεργείται για την υπόθεση.
Εικόνα 1: Ρυθμός επεξεργασίας δικτυακών πακέτων εισερχόμενων από το Internet, ανά δευτερόλεπτο στον δρομολογητή του κόμβου «ΕΙΕ» του ΕΔΥΤΕ στις 30/5/2023.
Εικόνα 2: Ρυθμός επεξεργασίας δικτυακών πακέτων εισερχόμενων από το Internet, ανά δευτερόλεπτο στον δρομολογητή του κόμβου «ΚΩΛΕΤΤΗ» του ΕΔΥΤΕ στις 30/5/2023.
Εικόνα 3: Ρυθμός επεξεργασίας δικτυακών πακέτων εισερχόμενων από το Internet, ανά δευτερόλεπτο στον δρομολογητή του κόμβου «ΕΙΕ» του ΕΔΥΤΕ για την εβδομάδα 27/5/2023 – 02/06/2023 (https://mon.grnet.gr/rg/286439/details/#tabs=packets).
Εικόνα 4: Ρυθμός επεξεργασίας δικτυακών πακέτων εισερχόμενων από το Internet, ανά δευτερόλεπτο στον δρομολογητή του κόμβου «ΚΩΛΕΤΤΗ» του ΕΔΥΤΕ για την εβδομάδα 27/5/2023 – 02/06/2023 (https://mon.grnet.gr/rg/286479/details/#tabs=packets).
Διευκρινίσεις σε σχέση με την νόμιμη δικτυακή κίνηση: Ο ρυθμός 280 χιλ. πακέτων ανά δευτερόλεπτο που αναφέρεται για την Δευτέρα 29/5 αντιστοιχεί σε περίπου 17 εκ. συνδέσεις ανά λεπτό ή 1 δις ανά ώρα. Την Τρίτη 30/5 οι αντίστοιχοι ρυθμοί επεξεργασίας δικτυακών πακέτων όπως φαίνεται ενδεικτικά από τα παραπάνω γραφήματα είναι 300 εκ. ανά λεπτό ή 18 δις ανά ώρα. Οι ρυθμοί αυτοί υπερβαίνουν κατά πολύ τις λογικές απαιτήσεις για τη νόμιμη κίνηση των εμπλεκόμενων εφαρμογών στις επιθέσεις αυτές. Σχόλια που προτείνουν υπερδιαστασιολόγηση συστημάτων ως τρόπο αντιμετώπισης επιθέσεων DDoS, ή συγκρίνουν μεταξύ τους εφαρμογές με διαφορετικές προδιαγραφές τα θεωρούμε απρόσεκτα και παραπλανητικά, ειδικά όταν προέρχονται από εκπροσώπους του τομέα της πληροφορικής και επικοινωνιών.
Γενικό σχόλιο: Η άμεση ή έμμεση αμφισβήτηση της αξιοπιστίας όσων υπεύθυνα εργάζονται για την διάγνωση και αντιμετώπιση τέτοιων κακόβουλων επιθέσεων, αντί για την καταδίκη όσων τις σχεδιάζουν και τις εκτελούν, θεωρούμε ότι είναι αντιπαραγωγική και κινδυνεύουμε να τις ενθαρρύνουμε αντί να τις αποθαρρύνουμε με τον αποπροσανατολισμό της συζήτησης.
Παρατηρούμε ότι γίνεται καυστική αναφορά σε προτάσεις «υπερδιαστασιολόγησης» συστημάτων και συγκρίσεις ανόμοιων εφαρμογών, πράγμα με το οποίο συμφωνούμε, καθώς στην πρώτη περίπτωση μία αναβάθμιση πόρων απέναντι σε αυτοματοποιημένες επισκέψεις που μπορούν να πληθύνουν απεριόριστα είναι όντως μάταιη, ενώ και η σύγκριση διαφορετικών λογισμικών είναι υποθετική.
Δεν παρατηρούμε, όμως, κάποια αναφορά στην λογική και βάσιμη πρόταση του internal.gr , για πρόβλεψη και δημιουργία μίας διπλότυπης, εφεδρικής πλατφόρμας (backup), κλωνοποιώντας την βασική, η οποία θα φιλοξενούνταν σε διαφορετικό, απόρρητο server και δίκτυο, και θα κοινοποιούνταν μόνο στις διευθύνσεις των σχολείων λίγες ώρες πριν από τις εξετάσεις, ώστε να μην προλάβει να διαρρεύσει και να στοχοποιηθεί.
Εάν είχε υιοθετηθεί η παραπάνω πρακτική, τα παιδιά θα έγραφαν εξετάσεις στην ώρα τους, και το DDoS στο πρωτεύον δίκτυο του GRNET δεν θα αφορούσε κανέναν, αφού δεν υπήρχε η ανάγκη χρήσης κάποιας άλλης υπηρεσίας του εκείνη την ώρα.
Ακόμα και αν δεχτούμε πως αυτό το μέτρο δεν είχε ληφθεί αρχικά λόγω χαμηλών πιθανοτήτων μίας τέτοιας εξέλιξης, οι 24 ώρες που μεσολάβησαν από το πρώτο «κύμα» επίθεσης έως το δεύτερο, ήταν υπέρ αρκετές για την υλοποίησή του.
Σε ό,τι αφορά το γραφικό «γενικό σχόλιο», η ομάδα του φορέα προφανώς θεωρεί την «καταδίκη» του κακού κόσμου που πραγματοποιεί κυβερνοεπιθέσεις, ως περισσότερο «παραγωγική» και εποικοδομητική, από την επισήμανση των δικών τους λαθών, προς διερεύνηση, βελτίωση και μελλοντική αποφυγή παρόμοιων περιστατικών.
Όποιος γνωρίζει τις βασικές αρχές της πληροφορικής, του διαδικτύου, και τον τρόπο λειτουργίας αυτών, ξέρει ότι τέτοιες κακόβουλες ενέργειες υπήρχαν, υπάρχουν, και θα υπάρχουν για πάντα στο ψηφιακό σύμπαν, όσο και αν «μαλώσουμε» ή καταδικάσουμε τους αυτουργούς τους.
Τέλος, θέλουμε να υπενθυμίσουμε στους αγαπητούς συναδέλφους της ΕΔΥΤΕ, πως είναι δημόσιοι υπάλληλοι, ήτοι πληρώνονται από τους πολίτες, και μάλιστα κατέχουν ιδιαίτερα καίριες θέσεις, από τη στιγμή που οι ικανότητες και η επάρκειά τους επηρεάζουν άμεσα μαθητές σχολείων.
Συνεπώς, καλό είναι σε τέτοιες περιπτώσεις να αποδεχόμαστε την απόλυτα δικαιολογημένη κριτική του κόσμου, και να μην σπεύδουμε να προβούμε σε αντεπίθεση, παρουσιάζοντας το «άσπρο» ως «μαύρο», καθώς κάτι τέτοιο αγγίζει τα όρια της αλαζονείας.