Το Πανελλήνιο Σχολικό Δίκτυο SCH.GR δέχτηκε hacking επίθεση από τους Pøwerful Greek Army. Σε περίοδο πανδημίας και ενώ η μεταφορά της χωράς στο διαδίκτυο υλοποιείται με ταχύτατους ρυθμούς με εξαιρετικά αποτελέσματα μέχρι αυτή τη στιγμή, φαίνεται πως συγκεκριμένες υπηρεσίες του Ελληνικού Δημοσίου δεν είναι προετοιμασμένες για μια τόσο μεγάλη αλλαγή. Χαρακτηριστικό παράδειγμα το Πανελλήνιο Σχολικό Δίκτυο SCH.GR, το οποίο κατάφεραν, χωρίς ιδιαίτερη δυσκολία, να παραβιάσουν Έλληνες hackers, σύμφωνα με ανώνυμη πληροφορία που γνωστοποιήθηκε μέσω ηλεκτρονικού μηνύματος στο SecNews.
Η εξ αποστάσεως εκπαίδευση λόγω της καραντίνας για τον Κορονοϊό αποτελεί σωτήρια λύση για όλα τα εκπαιδευτικά ιδρύματα της Ελλάδας με στόχο να μην χαθεί η φετινή σχολική χρονιά. Δημοτικά, Γυμνάσια, Λύκεια, Πανεπιστήμια αλλά και εκπαιδευτικά σεμινάρια έχουν μεταφερθεί στις “online αίθουσες” με τους μαθητές να παρακολουθούν τα μαθήματά τους μέσω διάφορων πλατφορμών όπως Zoom, Webex Cisco, Skype κλπ.
Οι περιστάσεις απαιτούν συνεπώς το e-learning και την τηλε-εργασια. Το Πανελλήνιο Σχολικό Δίκτυο όμως φαίνεται ότι δεν ήταν προετοιμασμένο για αυτή τη τόσο μεγάλη αλλαγή. Όπως και άλλες ελληνικές κρατικές διαδικτυακές υποδομές (σ.σ ευτυχώς όχι πολλές), έτσι και το sch.gr δεν είχε πραγματοποιήσει τα απαιτούμενα αναφορικά με την διαδικτυακή και την online ασφάλεια.
Ο αγώνας διασφάλισης των δεδομένων και του απορρήτου στο διαδίκτυο είναι συνεχής και κουραστικός, δεδομένου ότι υπάρχουν εκατομμύρια κακόβουλοι χρήστες που περιμένουν αδυναμία σε λογισμικό (bugs/exploit) για να εισβάλουν στα συστήματα χωρίς να εντοπιστούν και να κλέψουν ευαίσθητες προσωπικές πληροφορίες χρηστών. Στη συγκεκριμένη περίπτωση, όπως είναι σε θέση να γνωρίζει το SecNews εκτέθηκαν δεδομένα εκπαιδευτικών, μαθητών, διοικητικών στελεχών αλλά και γενικότερα χρηστών που είχαν καταχωρηθεί στη database του sch.gr.
Το Ελληνικό hacking group με την επωνυμία Pøwerful Greek Army επικοινώνησε με την συντακτική ομάδα του SecNews μέσω ανώνυμου ηλεκτρονικού μηνύματος όπου αφού ενημέρωσαν τους συντάκτες για τα δεδομένα που έχουν στην διάθεσή τους, δήλωσαν τους λόγους που αποφάσισαν να διεισδύσουν στο Πανελλήνιο Σχολικό Δίκτυο παραβιάζοντας τα συστήματα ασφαλείας, επιθυμώντας να στείλουν το δικό τους μήνυμα. Χαρακτηριστικά μας ανέφεραν ότι:
«Εισβάλλαμε στο Πανελλήνιο Σχολικό Δίκτυο για να τους προειδοποιήσουμε! Το επίπεδο διαδικτυακής ασφάλειας του sch.gr είναι απαράδεκτο. Προσπαθούμε να τους υποδείξουμε τις ελλείψεις και τα κενά ασφαλείας για να συμμορφωθούν και να προλάβουμε κάποια επικίνδυνη hacking επίθεση κακόβουλων χρηστών. Τα Ελληνικά online συστήματα πρέπει πλέον να υψώσουν ένα τείχος ενάντια στις διαδικτυακές απειλές! Διακυβεύονται ευαίσθητες πληροφορίες Ελλήνων πολιτών!»
Σύμφωνα με τις ΑΠΟΚΛΕΙΣΤΙΚΕΣ πληροφορίες που απέστειλε το hacking group με την επωνυμία Pøwerful Greek Army, αφού αξιολογήθηκαν από τη συντακτική ομάδα του SecNews, επιβεβαιώθηκε η απόκτηση μη εξουσιοδοτημένης πρόσβασης σε ευαίσθητους εξυπηρετητές (servers) που ανήκουν στις υποδομές του Πανελλήνιου Σχολικού Δικτύου του Υπουργείου Παιδείας, Δια Βίου Μάθησης και Θρησκευμάτων. Οι Pøwerful Greek Army είναι ένα group το οποίο έχει απασχολήσει στο παρελθόν (ήδη από το 2016) με τα χτυπήματα του όπως μπορείτε να δείτε [εδώ] και [εδώ]
Αξίζει να σημειώσουμε ότι σύμφωνα με όσαν ανέφεραν οι hackers, εκμεταλλεύτηκαν αδυναμία SQL injection για την επίθεση στο SCH.GR
Το Πανελλήνιο Σχολικό Δίκτυο SCH.GR
Το Πανελλήνιο Σχολικό Δίκτυο SCH.GR είναι το μεγαλύτερο δημόσιο δίκτυο που διασυνδέει όλα τα σχολεία, τους εκπαιδευτικούς και πλήθος διοικητικών υπηρεσιών και εποπτευόμενων φορέων του Υπουργείου. Υποστηρίζει επίσης και το διοικητικό έργο της Εκπαίδευσης, καθώς διαθέτει προς χρήση εφαρμογές ηλεκτρονικής διακυβέρνησης για τη διαχείριση της εκπαίδευσης, όπως π.χ. για τη συλλογή στοιχείων του μαθητικού και εκπαιδευτικού δυναμικού, για τον προγραμματισμό και την υλοποίηση των προσλήψεων των εκπαιδευτικών και τη μισθοδοσία τους, για τη διανομή των βιβλίων, κ.α.
Τι είναι το SQL Injection;
Το SQL injection είναι μια τεχνική έγχυσης κώδικα, που χρησιμοποιείται για επιθέσεις σε εφαρμογές που βασίζονται σε δεδομένα και στις οποίες εισάγονται κακόβουλες εντολές SQL σε ένα πεδίο εισαγωγής για εκτέλεση. Το SQL injection εκμεταλλεύεται ευπάθειες ασφαλείας μη σωστής παραμετροποίησης στο λογισμικό μιας εφαρμογής. Το SQL injection είναι συνήθως γνωστό ως μέσο επίθεσης για ιστότοπους, αλλά μπορεί να χρησιμοποιηθεί για την επίθεση σε οποιονδήποτε τύπο βάσεων δεδομένων.
Οι επιθέσεις SQL injection επιτρέπουν στους hackers να παραβιάζουν ιστοσελίδες, υποκλέπτοντας τα στοιχεία ταυτοποίησης χρηστών και διαχειριστών, να παραβιάζουν τα υπάρχοντα δεδομένα, να προκαλούν ζητήματα σε κάθε είδους συναλλαγές, να επιτρέπουν την πλήρη αποκάλυψη όλων των αποθηκευμένων δεδομένων εντός πληροφοριακού συστήματος, να καταστρέφουν τα δεδομένα ή να τα καθιστούν μη διαθέσιμα αποκτώντας δικαιώματα διαχειριστή στον database server.
Λεπτομέρειες Επίθεσης
Σύμφωνα με την ανάλυση των στοιχείων που παρατέθηκαν στην συντακτική ομάδα του SecNews (και τα οποία δημοσιοποιούμε αλλοιωμένα για προστασία των υποδομών από ενδεχόμενες επιθέσεις άλλων hackers), διαπιστώθηκε ότι η επίθεση πραγματοποιήθηκε με χρήση SQL Injection αδυναμιών που οδήγησε στην πρόσθετη άντληση στοιχείων και δεδομένων. Τα στοιχεία και δεδομένα που αντλήθηκαν περιλαμβάνουν προσωπικά δεδομένα όπως usernames, κωδικούς πρόσβασης, χώρα κατοικίας, οδός κατοικίας, τηλέφωνο καθώς και άλλες ευαίσθητες πληροφορίες που ήταν αποθηκευμένες στο σύστημα.Το SecNews για λόγους προστασίας των προσωπικών στοιχείων που έχουν διαρρεύσει, αποκρύπτει με σχετικό μαύρο πλαίσιο στοιχεία που μπορούν να αξιοποιηθούν από κακόβουλους hackers.
Ενδεικτικές φωτογραφίες που έχουν κατάλληλα αλλοιωθεί για λόγους προστασίας προσωπικών δεδομένων παρατίθενται παρακάτω:
Τα στοιχεία που ανωνύμως κοινοποιήθηκαν στο SecNews αναφορικά με την επίθεση είναι διαθέσιμα στις αρμόδιες υπηρεσίες, εφόσον ζητηθούν.
Τεχνικές Λεπτομέρειες
Από την ανάλυση της τεχνικής ομάδας του SecNews: Στα στοιχεία που αποστάλθηκαν και αξιολογήθηκαν από την τεχνική μας ομάδα, διαπιστώθηκε ότι υπάρχουν πλήθος αδυναμιών σε πολλαπλές παραμέτρους των ιστοσελίδων που δεν έχουν επιδιορθωθεί, που καθιστά τις εν λόγω περιοχές της ιστοσελίδας προσβάσιμες από τον οποιονδήποτε με μέσο ή χαμηλό γνωστικό επίπεδο και χρήση δημοσίως διαθέσιμων εργαλείων, που μπορεί καθένας να εντοπίσει και να χρησιμοποιήσει στο διαδίκτυο! Πράγματι τα στοιχεία που αντλήθηκαν φέρονται να είναι πολλά mb δεδομένων, με usernames/κωδικούς πρόσβασης/διευθύνσεις και τηλέφωνα.
Οι αρμόδιοι διαχειριστές του Πανελλήνιο Σχολικό Δίκτυο SCH.GR οφείλουν ΑΜΕΣΑ να προβούν σε έλεγχο των ιστοσελίδων που στοχοποιήθηκαν και να προβούν σε άμεσες ενέργειες επιδιόρθωσης και αλλαγής του συνόλου των κωδικών διαχειριστών αλλά και επιδιόρθωση των SQL Injection αδυναμιών που μπορούν να εντοπιστούν.
Επιπλέον, πρέπει να διερευνηθεί αρμοδίως, ο βαθμός που έχουν εκτεθεί προσωπικά δεδομένα δασκάλων και καθηγητών του Πανελλήνιου Σχολικού Δικτύου μιας και δεν είναι σαφές το ακριβές είδος των στοιχείων που αντλήθηκαν αλλά και το ακριβές βάθος της εισβολής που πραγματοποιήσαν οι hackers Pøwerful Greek Army.
H ενεργοποίηση των σχετικών Web Application firewalls σε συνδυασμό με Intrusion Detection & Prevention Systems ίσως θα μπορούσε να αποτελέσει ένα πρώτο βήμα απόκρουσης τέτοιου είδους επιθέσεων.
Τέλος θα πρέπει άμεσα να ενημερωθεί η Αρχή Προστασίας Προσωπικών Δεδομένων εφόσον η διαρροή που έχει συντελεστεί αφορά μεγάλο αριθμό πολιτών, τα στοιχεία των οποίων εν αγνοία τους εκτέθηκαν στην ομάδα των hackers.
Από την Συντακτική ομάδα του SecNews:
Αντιλαμβανόμαστε ότι υπάρχει μια ανησυχία στους γονείς για το αν θα πρέπει τα παιδιά να συνεχίσουν να χρησιμοποιούν την ψηφιακή εκπαιδευτική πλατφόρμα SCH.GR. Η τεχνική ομάδα του SecNews θεωρεί ότι δεν χρειάζεται να διακοπεί η χρήση της πλατφόρμας, όμως, θα πρέπει οι μαθητές να είναι πιο προσεκτικοί ακολουθώντας τις παρακάτω συμβουλές:
- Να μην χρησιμοποιούν το email του γονέα για την χρήση της πλατφόρμας αλλά να δημιουργήσουν δικό τους προσωπικό email. Η χρήση του email πρέπει πάντα να είναι προσωπική είτε γίνεται από ενήλικα είτε από ανήλικο. Οι γονείς πιθανότατα να χρησιμοποιούν το email τους σε υπηρεσίες και online τραπεζικούς λογαριασμούς οι οποίοι μπορεί να τεθούν σε κίνδυνο από την απρόσεκτη χρήση του email.
- Να ισχυροποιήσουν τον κωδικό πρόσβασής τους. Όπως έχουμε αναφέρει πολλές φορές στο παρελθόν, ένας ισχυρός κωδικός πρόσβασης είναι η πρώτη γραμμή άμυνας ενάντια στους hackers. Επομένως, είναι απαραίτητο -ειδικά μετά την εισβολή- να αλλάξετε τον κωδικό σας σε κάποιον πιο ισχυρό (ειδικοί χαρακτήρες, γράμματα κεφαλαία και πεζά, αριθμούς κλπ.). Υπενθυμίζουμε ότι ο ίδιος κωδικός πρόσβασης ΔΕΝ θα πρέπει να χρησιμοποιείται σε καμία άλλη υπηρεσία. Χρησιμοποιούμε ξεχωριστούς κωδικούς για κάθε online υπηρεσία.
- Να μην παραμένουν συνδεδεμένοι στη πλατφόρμα διαδικτυακής μάθησης μετά την ολοκλήρωση της διδασκαλίας. Είναι απαραίτητο πάντα να αποσυνδεόμαστε από τους online λογαριασμούς μετά το πέρας της χρήσης τους.
- Να μην μοιράζονται κωδικούς πρόσβασης με φίλους και ειδικά μέσω σελίδων δικτύωσης (Facebook, Instagram, Twitter κλπ.).
· Οι γονείς -ειδικά μαθητών μικρής ηλικίας- να διατηρήσουν και εκείνοι τα στοιχεία πρόσβασης του παιδιού τους (email και κωδικός πρόσβασης) για λόγους ασφαλείας.
· Οι γονείς θα είναι καλό να χρησιμοποιήσουν γονικό έλεγχο τόσο σε επίπεδο οικιακού δικτύου όσο και σε επίπεδο συσκευών. Αυτή η ενέργεια θα τους βοηθήσει να ελέγξουν με διακριτικότητα τις δραστηριότητες των παιδιών τους με στόχο την ασφάλεια τους.
Ευχαριστούμε τους ανώνυμους Pøwerful Greek Army για την έγκαιρη και έγκυρη ενημέρωση.
Το SecNews παρέχει αντικειμενική και αμερόληπτη ενημέρωση στους αναγνώστες του. Παρακάτω θα βρείτε τα updates που έχουν προκύψει σχετικά με την είδηση.
UPDATE 1 – 16.04.2020: Σύμφωνα με δήλωση αναγνώστη του SecNews, αναφέρεται οτι:
“Τις τελευταίες ημέρες διακινούνται στο Διαδίκτυο αναφορές για παραβίαση του συστημάτων του Πανελλήνιου Σχολικού Δικτύου (ΠΣΔ) και διαρροή δεδομένων που αυτό τηρεί. Σας ενημερώνουμε πως κάτι τέτοιο δεν ισχύει.
Από τη μέχρι τώρα διερεύνησή μας, προκύπτει ότι τα δεδομένα που αναφέρονται σε δημοσίευμα που αφορά στην επίθεση, δεν προέρχονται από το σύστημα χρηστών του ΠΣΔ, ούτε από τις Βάσεις Δεδομένων των υπηρεσιών του.
Προέρχονται από εφαρμογή της εκπαιδευτικής κοινότητας, η οποία φιλοξενείται στο ΠΣΔ, στο πλαίσιο της φιλοξενίας ιστοτόπων που παρέχει το ΠΣΔ. Τα δεδομένα που διέρρευσαν είναι παλιά (από το 2010-11).
Για το θέμα ενημερώθηκαν οι διαχειριστές της εφαρμογής για να πράξουν σύμφωνα με τις προβλεπόμενες διατάξεις.
Το Πανελλήνιο Σχολικό Δίκτυο διαβεβαιώνει τα μέλη του ότι στο πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων, τον οποίο εφαρμόζει, ακολουθεί όλα τα ενδεικνυόμενα μέτρα, προκειμένου να διαφυλάξει τα δεδομένα που τηρεί.
Με την ευκαιρία, σας υπενθυμίζουμε να εφαρμόζετε τις καλές πρακτικές ασφάλειας και προστασίας που προτείνει το Πανελλήνιο Σχολικό Δίκτυο στα μέλη του, όπως αναφέρονται στη σελίδα https://www.sch.gr/security”
