IT специалист за Фрог: Изтичането на данни от НАП е за да се „осветлят“ определени хора
Не изключвам офанзивата да не е към страната и нейните институции, а към съответно лице или група от хора, за които сe търси метод тяхната информация да стане обществена. За всички е ясно какво значи да се видят тези заявления и данни на министър или народен представител.
Това сподели пред Фрог IT експертът и притежател на софтуерната компания Novanor Мартин Димитров.
Има един необикновен въпрос – за какво тъкмо този дестилат от данни се изпрати до медиите. Най-вероятно в него има нещо съответно, което визира съответен човек. От една страна е добре, че тази информация изтича, за хората, за които не е неприятно данните да са обществени, само че от друга не е добре, тъй като изтича информация и за доста други.
Информацията е, че става въпрос за 5 милиона записа, от които са пуснати 1 милион записа до медиите. В тях има заявления, които включват заплащания и приходи. Някъде из тези лица не е изключено да има съответно лице, за което се търси метод да излезе тази информация, а тя не е имало по какъв начин по различен метод да излезе, с изключение на в резултат на такава офанзива.
До колкото разбрах не е изтекла информация единствено от Национална агенция за приходите, а по-скоро вътре е имало данни, които би следвало да бъдат притежание на ДАНС или други институции. Според обществената към този момент информация, в данните има IP адресите на групи от хора, които са се занимавали с разнообразни уеб сайтове за залагания, т.е. това е група от хора, които могат да бъдат разследвани за всякаква форма на закононарушение, която съответно се търси за тях.
Ако тези данни попаднат в някой, който може да ги проучва не е изключено с тях да излязат забавни неща. Вярваме в хипотезата, че по-голямата си част от сходни данни, изключително колкото за държавни чиновници би трябвало да бъде обществена. Точно поради опцията да се управляват и предотвратяват злоупотреби с пари. В целия свят главната теза за следствие е „ следвай парите “. Когато следваш парите доста мъчно може да не стигнеш до индивида или хората с парите и поради това тази информация доста строго се крие. Подобен образец е „ Имотния указател “. Той е обществен по закона, само че финансовата спънка от 1 лев на информация е задоволителна да не разреши по-обзорен разбор.
Самите файлове към момента не са обществени и не съм виждал, с цел да ги проучвам какво тъкмо се е случило, само че формалната информация е, става дума за заявления. Някакъв дестилат на база данни, която е употребена от чиновник, т.е. самата система на Национална агенция за приходите, сама по себе си, не е била атакувана директно, а по-скоро са взети данните, които са били на компютър вътре в организацията. Това обаче е страшното, тъй като в случай че някой има достъп до данните на компютъра на чиновник, без значение по какъв начин е стигнал до него, нищо не му пречи да има достъп и до главната информация в Национална агенция за приходите. По-опасната част е какво друго е било откраднато, какви данни, както и има ли този човек още достъп до това място.
До колкото Национална агенция за приходите дава такава информация, тя е много затворена – изисква електронен автограф и такива неща. В реалност технологията, която употребяват е доста остаряла и не е изключено да има такива дупки, които да се употребяват за приключване на информация.
Този чиновник евентуално е правил някаква инспекция и е имал група от данни, от която в реалност, с цел да успееш да извадиш някаква смислена информация, са нужни доста от тези масиви. Проблем е за какво тази информация е стояла на компютъра на чиновник, а не е качена на сървър и този човек да има непълен достъп до данните. Странно е, че данните са били свалени на работен компютър. По същия този метод той самият е можело да изнесе информацията без да остави диря.
До огромна степен не може да се изключи присъединяване на вътрешен за Национална агенция за приходите човек. В по-голямата си част, тези системи, които са направени особено за една институция, или особено за една компания,, това което ги пази е, че никой не знае по какъв начин са тъкмо направени. До обществените софтуери, които всички използваме, има достъп и може да се види по какъв начин работи откъм гърба и надлежно да се откри елементарен достъп да се нападна. Но когато не се знаеш какво атакуваш, тъй като го е основал някой особено за Национална агенция за приходите, т.е. откъм гърба е мрачно, тогава се гледа дали има някаква друга опция. Доста компании вземат решение да се предпазят от такива рискове посредством ограничение на мрежовите достъпи, само че в тази ситуация отново не се изключва теч.
Това сподели пред Фрог IT експертът и притежател на софтуерната компания Novanor Мартин Димитров.
Има един необикновен въпрос – за какво тъкмо този дестилат от данни се изпрати до медиите. Най-вероятно в него има нещо съответно, което визира съответен човек. От една страна е добре, че тази информация изтича, за хората, за които не е неприятно данните да са обществени, само че от друга не е добре, тъй като изтича информация и за доста други.
Информацията е, че става въпрос за 5 милиона записа, от които са пуснати 1 милион записа до медиите. В тях има заявления, които включват заплащания и приходи. Някъде из тези лица не е изключено да има съответно лице, за което се търси метод да излезе тази информация, а тя не е имало по какъв начин по различен метод да излезе, с изключение на в резултат на такава офанзива.
До колкото разбрах не е изтекла информация единствено от Национална агенция за приходите, а по-скоро вътре е имало данни, които би следвало да бъдат притежание на ДАНС или други институции. Според обществената към този момент информация, в данните има IP адресите на групи от хора, които са се занимавали с разнообразни уеб сайтове за залагания, т.е. това е група от хора, които могат да бъдат разследвани за всякаква форма на закононарушение, която съответно се търси за тях.
Ако тези данни попаднат в някой, който може да ги проучва не е изключено с тях да излязат забавни неща. Вярваме в хипотезата, че по-голямата си част от сходни данни, изключително колкото за държавни чиновници би трябвало да бъде обществена. Точно поради опцията да се управляват и предотвратяват злоупотреби с пари. В целия свят главната теза за следствие е „ следвай парите “. Когато следваш парите доста мъчно може да не стигнеш до индивида или хората с парите и поради това тази информация доста строго се крие. Подобен образец е „ Имотния указател “. Той е обществен по закона, само че финансовата спънка от 1 лев на информация е задоволителна да не разреши по-обзорен разбор.
Самите файлове към момента не са обществени и не съм виждал, с цел да ги проучвам какво тъкмо се е случило, само че формалната информация е, става дума за заявления. Някакъв дестилат на база данни, която е употребена от чиновник, т.е. самата система на Национална агенция за приходите, сама по себе си, не е била атакувана директно, а по-скоро са взети данните, които са били на компютър вътре в организацията. Това обаче е страшното, тъй като в случай че някой има достъп до данните на компютъра на чиновник, без значение по какъв начин е стигнал до него, нищо не му пречи да има достъп и до главната информация в Национална агенция за приходите. По-опасната част е какво друго е било откраднато, какви данни, както и има ли този човек още достъп до това място.
До колкото Национална агенция за приходите дава такава информация, тя е много затворена – изисква електронен автограф и такива неща. В реалност технологията, която употребяват е доста остаряла и не е изключено да има такива дупки, които да се употребяват за приключване на информация.
Този чиновник евентуално е правил някаква инспекция и е имал група от данни, от която в реалност, с цел да успееш да извадиш някаква смислена информация, са нужни доста от тези масиви. Проблем е за какво тази информация е стояла на компютъра на чиновник, а не е качена на сървър и този човек да има непълен достъп до данните. Странно е, че данните са били свалени на работен компютър. По същия този метод той самият е можело да изнесе информацията без да остави диря.
До огромна степен не може да се изключи присъединяване на вътрешен за Национална агенция за приходите човек. В по-голямата си част, тези системи, които са направени особено за една институция, или особено за една компания,, това което ги пази е, че никой не знае по какъв начин са тъкмо направени. До обществените софтуери, които всички използваме, има достъп и може да се види по какъв начин работи откъм гърба и надлежно да се откри елементарен достъп да се нападна. Но когато не се знаеш какво атакуваш, тъй като го е основал някой особено за Национална агенция за приходите, т.е. откъм гърба е мрачно, тогава се гледа дали има някаква друга опция. Доста компании вземат решение да се предпазят от такива рискове посредством ограничение на мрежовите достъпи, само че в тази ситуация отново не се изключва теч.
Източник: frognews.bg
КОМЕНТАРИ