Εντύπωση και ανησυχία προκαλεί καταγγελία για παραβίαση προσωπικών δεδομένων με επίθεση χάκερς στο Πανελλήνιο Σχολικό Δίκτυο τις πρώτες μέρες του Απριλίου κατά τη διάρκεια διεξαγωγής της εξ αποστάσεως εκπαίδευσης, η οποία δημοσιοποιήθηκε σε ιστοσελίδα που εξειδικεύεται σε θέματα τεχνολογίας και πληροφορικής.

Εξίσου εντυπωσιακό είναι ότι η είδηση δημοσιοποιήθηκε πριν από τρεις ημέρες, αλλά δεν έχει ακόμα απαντηθεί επισήμως παρότι οι χάκερς δηλώνουν οι ίδιοι ότι έκαναν την επίθεση για να προειδοποιήσουν τους αρμοδίους αλλά και ότι διαθέτουν ήδη ευαίσθητα προσωπικά δεδομένα όπως δεδομένα εκπαιδευτικών, μαθητών, διοικητικών στελεχών αλλά και γενικότερα χρηστών που είχαν καταχωρηθεί στη database του sch.gr.

Το alfavita.gr αναδημοσιεύει αποσπάσματα από το κείμενο που αναρτήθηκε από τον Hack Unamatata στις 13 Απριλίου 2020 στην ιστοσελίδα secnews.gr αναμένοντας την απάντηση του υπουργείου Παιδείας για το πολύ σοβαρό αυτό ζήτημα. Να σημειωθεί ότι οι γενικότερες αδυναμίες του συστήματος του ΠΣΔ οδήγησαν την ηγεσία του υπουργείου Παιδείας να επιλέξει ιδιωτικές εταιρείες για να προχωρήσουν μέρος της τηλεκπαίδευσης, ζήτημα για το οποίο έχουν εκδηλωθεί έντονες πολιτικές αντιδράσεις. Ο Ν.Φίλης πριν από λίγες μέρες μίλησε ευθέως για επιχείρηση ιδιωτικοποίησης της δημόσιας Μέσης Εκπαίδευσης, μέσω της αμερικανικής εταιρείας Cisco, η οποία ανέλαβε την ασύγχρονη εξ αποστάσεως εκπαίδευση. Ο Ν.Φίλης κάλεσε την κ.Κεραμέως να αναθέσει τη διαδικασία αυτή στο Πανελλήνιο Σχολικό Δίκτυο (ΠΔΣ) αντί της εταιρείας. Ρώτησε μάλιστα αν η Cisco μπήκε στο σχολικό δίκτυο έχοντας πρόσβαση στα προσωπικά δεδομένα μαθητών και εκπαιδευτικών και αν το υπουργείο Παιδείας έχει επικοινωνήσει για το ζήτημα αυτό με την Αρχή Προστασίας Προσωπικών Δεδομένων. Ακόμα ο τομεάρχης Παιδείας του ΣΥΡΙΖΑ εέκανε λόγο για ηρωϊκή προπάθεια των εκπαιευτικών στην εξ αποστάσεως εκπαίδευση, πολλές φορές με ίδια μέσα, και τους εξέφρασε την ευγνωμοσύνη του.

Υπό το φως της καταγγελίας που αναδημοσιεύουμε (να τονιστεί: ανακοινώθηκε από τους ίδιους τους τους χάκερς) όλα αυτά αποκτούν διαφορετική απόχρωση και δημιουργούν ερωτηματικά που πρέπει να απαντηθούν.

 

Το ρεπορταζ:

Το Πανελλήνιο Σχολικό Δίκτυο SCH.GR δέχτηκε hacking επίθεση από τους Pøwerful Greek Army. Σε περίοδο πανδημίας και ενώ η μεταφορά της χωράς στο διαδίκτυο υλοποιείται με ταχύτατους ρυθμούς με εξαιρετικά αποτελέσματα μέχρι αυτή τη στιγμή, φαίνεται πως συγκεκριμένες υπηρεσίες του Ελληνικού Δημοσίου δεν είναι προετοιμασμένες για μια τόσο μεγάλη αλλαγή. Χαρακτηριστικό παράδειγμα το Πανελλήνιο Σχολικό Δίκτυο SCH.GR, το οποίο κατάφεραν, χωρίς ιδιαίτερη δυσκολία, να παραβιάσουν Έλληνες hackers, σύμφωνα με ανώνυμη πληροφορία που γνωστοποιήθηκε μέσω ηλεκτρονικού μηνύματος στο SecNews.

Η εξ αποστάσεως εκπαίδευση λόγω της καραντίνας για τον Κορονοϊό αποτελεί σωτήρια λύση για όλα τα εκπαιδευτικά ιδρύματα της Ελλάδας με στόχο να μην χαθεί η φετινή σχολική χρονιά. Δημοτικά, Γυμνάσια, Λύκεια, Πανεπιστήμια αλλά και εκπαιδευτικά σεμινάρια έχουν μεταφερθεί στις “online αίθουσες” με τους μαθητές να παρακολουθούν τα μαθήματά τους μέσω διάφορων πλατφορμών όπως Zoom, Webex Cisco, Skype κλπ.

Οι περιστάσεις απαιτούν συνεπώς το e-learning και την τηλε-εργασια. Το Πανελλήνιο Σχολικό Δίκτυο όμως φαίνεται ότι δεν ήταν προετοιμασμένο για αυτή τη τόσο μεγάλη αλλαγή. Όπως και άλλες ελληνικές κρατικές διαδικτυακές υποδομές (σ.σ ευτυχώς όχι πολλές), έτσι και το sch.gr δεν είχε πραγματοποιήσει τα απαιτούμενα αναφορικά με την διαδικτυακή και την online ασφάλεια.

Ο αγώνας διασφάλισης των δεδομένων και του απορρήτου στο διαδίκτυο είναι συνεχής και κουραστικός, δεδομένου ότι υπάρχουν εκατομμύρια κακόβουλοι χρήστες που περιμένουν αδυναμία σε λογισμικό (bugs/exploit) για να εισβάλουν στα συστήματα χωρίς να εντοπιστούν και να κλέψουν ευαίσθητες προσωπικές πληροφορίες χρηστών. Στη συγκεκριμένη περίπτωση, όπως είναι σε θέση να γνωρίζει το SecNews εκτέθηκαν δεδομένα εκπαιδευτικών, μαθητών, διοικητικών στελεχών αλλά και γενικότερα χρηστών που είχαν καταχωρηθεί στη database του sch.gr.

Το Ελληνικό hacking group με την επωνυμία Pøwerful Greek Army επικοινώνησε με την συντακτική ομάδα του SecNews μέσω ανώνυμου ηλεκτρονικού μηνύματος όπου αφού ενημέρωσαν τους συντάκτες για τα δεδομένα που έχουν στην διάθεσή τους, δήλωσαν τους λόγους που αποφάσισαν να διεισδύσουν στο Πανελλήνιο Σχολικό Δίκτυο παραβιάζοντας τα συστήματα ασφαλείας, επιθυμώντας να στείλουν το δικό τους μήνυμα. Χαρακτηριστικά μας ανέφεραν ότι:

«Εισβάλλαμε στο Πανελλήνιο Σχολικό Δίκτυο για να τους προειδοποιήσουμε! Το επίπεδο διαδικτυακής ασφάλειας του sch.gr είναι απαράδεκτο. Προσπαθούμε να τους υποδείξουμε τις ελλείψεις και τα κενά ασφαλείας για να συμμορφωθούν και να προλάβουμε κάποια επικίνδυνη hacking επίθεση κακόβουλων χρηστών. Τα Ελληνικά online συστήματα πρέπει πλέον να υψώσουν ένα τείχος ενάντια στις διαδικτυακές απειλές! Διακυβεύονται ευαίσθητες πληροφορίες Ελλήνων πολιτών!»

Σύμφωνα με τις ΑΠΟΚΛΕΙΣΤΙΚΕΣ πληροφορίες που απέστειλε το hacking group με την επωνυμία Pøwerful Greek Army, αφού αξιολογήθηκαν από τη συντακτική ομάδα του SecNews, επιβεβαιώθηκε η απόκτηση μη εξουσιοδοτημένης πρόσβασης σε ευαίσθητους εξυπηρετητές (servers) που ανήκουν στις υποδομές του Πανελλήνιου Σχολικού Δικτύου του Υπουργείου Παιδείας, Δια Βίου Μάθησης και Θρησκευμάτων. Οι Pøwerful Greek Army είναι ένα group το οποίο έχει απασχολήσει στο παρελθόν (ήδη από το 2016) με τα χτυπήματα του όπως μπορείτε να δείτε [εδώ] και [εδώ]

Αξίζει να σημειώσουμε ότι σύμφωνα με όσαν ανέφεραν οι hackers, εκμεταλλεύτηκαν αδυναμία SQL injection για την επίθεση στο SCH.GR

Το Πανελλήνιο Σχολικό Δίκτυο SCH.GR είναι το μεγαλύτερο δημόσιο δίκτυο που διασυνδέει όλα τα σχολεία, τους εκπαιδευτικούς και πλήθος διοικητικών υπηρεσιών και εποπτευόμενων φορέων του Υπουργείου. Υποστηρίζει επίσης και το διοικητικό έργο της Εκπαίδευσης, καθώς διαθέτει προς χρήση εφαρμογές ηλεκτρονικής διακυβέρνησης για τη διαχείριση της εκπαίδευσης, όπως π.χ. για τη συλλογή στοιχείων του μαθητικού και εκπαιδευτικού δυναμικού, για τον προγραμματισμό και την υλοποίηση των προσλήψεων των εκπαιδευτικών και τη μισθοδοσία τους, για τη διανομή των βιβλίων, κ.α.

Τι είναι το SQL Injection;

Το SQL injection είναι μια τεχνική έγχυσης κώδικα, που χρησιμοποιείται για επιθέσεις σε εφαρμογές που βασίζονται σε δεδομένα και στις οποίες εισάγονται κακόβουλες εντολές SQL σε ένα πεδίο εισαγωγής για εκτέλεση. Το SQL injection εκμεταλλεύεται ευπάθειες ασφαλείας μη σωστής παραμετροποίησης στο λογισμικό μιας εφαρμογής. Το SQL injection είναι συνήθως γνωστό ως μέσο επίθεσης για ιστότοπους, αλλά μπορεί να χρησιμοποιηθεί για την επίθεση σε οποιονδήποτε τύπο βάσεων δεδομένων.

Οι επιθέσεις SQL injection επιτρέπουν στους hackers να παραβιάζουν ιστοσελίδες, υποκλέπτοντας τα στοιχεία ταυτοποίησης χρηστών και διαχειριστών, να παραβιάζουν τα υπάρχοντα δεδομένα, να προκαλούν ζητήματα σε κάθε είδους συναλλαγές, να επιτρέπουν την πλήρη αποκάλυψη όλων των αποθηκευμένων δεδομένων εντός πληροφοριακού συστήματος, να καταστρέφουν τα δεδομένα ή να τα καθιστούν μη διαθέσιμα αποκτώντας δικαιώματα διαχειριστή στον database server.

Λεπτομέρειες Επίθεσης

Σύμφωνα με την ανάλυση των στοιχείων που παρατέθηκαν στην συντακτική ομάδα του SecNews (και τα οποία δημοσιοποιούμε αλλοιωμένα για προστασία των υποδομών από ενδεχόμενες επιθέσεις άλλων hackers), διαπιστώθηκε ότι η επίθεση πραγματοποιήθηκε με χρήση SQL Injection αδυναμιών που οδήγησε στην πρόσθετη άντληση στοιχείων και δεδομένων. Τα στοιχεία και δεδομένα που αντλήθηκαν περιλαμβάνουν προσωπικά δεδομένα όπως usernames, κωδικούς πρόσβασης, χώρα κατοικίας, οδός κατοικίας, τηλέφωνο καθώς και άλλες ευαίσθητες πληροφορίες που ήταν αποθηκευμένες στο σύστημα.Το SecNews για λόγους προστασίας των προσωπικών στοιχείων που έχουν διαρρεύσει, αποκρύπτει με σχετικό μαύρο πλαίσιο στοιχεία που μπορούν να αξιοποιηθούν από κακόβουλους hackers.

Τα υπόλοιπα τεχνικά τοιχεία για την επίθεση μπορείτε να τα διαβάσετε στην ιστοσελίδα που την αποκάλυψε. Ωστόσο παραθέτουμε και τις οδηγίες προς τους γονείς από την ίδια ανάρτηση:

Από την Συντακτική ομάδα του SecNews:

Αντιλαμβανόμαστε ότι υπάρχει μια ανησυχία στους γονείς για το αν θα πρέπει τα παιδιά να συνεχίσουν να χρησιμοποιούν την ψηφιακή εκπαιδευτική πλατφόρμα SCH.GR. Η τεχνική ομάδα του SecNews  θεωρεί ότι δεν χρειάζεται να διακοπεί η χρήση της πλατφόρμας, όμως, θα πρέπει οι μαθητές να είναι πιο προσεκτικοί ακολουθώντας τις παρακάτω συμβουλές:

  1. Να μην χρησιμοποιούν το email του γονέα για την χρήση της πλατφόρμας αλλά να δημιουργήσουν δικό τους προσωπικό email. Η χρήση του email πρέπει πάντα να είναι προσωπική είτε γίνεται από ενήλικα είτε από ανήλικο. Οι γονείς πιθανότατα να χρησιμοποιούν το email τους σε υπηρεσίες και online τραπεζικούς λογαριασμούς οι οποίοι μπορεί να τεθούν σε κίνδυνο από την απρόσεκτη χρήση του email.
  2. Να ισχυροποιήσουν τον κωδικό πρόσβασής τους. Όπως έχουμε αναφέρει πολλές φορές στο παρελθόν, ένας ισχυρός κωδικός πρόσβασης είναι η πρώτη γραμμή άμυνας ενάντια στους hackers. Επομένως, είναι απαραίτητο -ειδικά μετά την εισβολή- να αλλάξετε τον κωδικό σας σε κάποιον πιο ισχυρό (ειδικοί χαρακτήρες, γράμματα κεφαλαία και πεζά, αριθμούς κλπ.). Υπενθυμίζουμε ότι ο ίδιος κωδικός πρόσβασης ΔΕΝ θα πρέπει να χρησιμοποιείται σε καμία άλλη υπηρεσία. Χρησιμοποιούμε ξεχωριστούς κωδικούς για κάθε online υπηρεσία.
  3. Να μην παραμένουν συνδεδεμένοι στη πλατφόρμα διαδικτυακής μάθησης μετά την ολοκλήρωση της διδασκαλίας. Είναι απαραίτητο πάντα να αποσυνδεόμαστε από τους online λογαριασμούς μετά το πέρας της χρήσης τους.
  4. Να μην μοιράζονται κωδικούς πρόσβασης με φίλους και ειδικά μέσω σελίδων δικτύωσης (Facebook, Instagram, Twitter κλπ.).

·        Οι γονείς -ειδικά μαθητών μικρής ηλικίας- να διατηρήσουν και εκείνοι τα στοιχεία πρόσβασης του παιδιού τους (email και κωδικός πρόσβασης) για λόγους ασφαλείας.

·        Οι γονείς θα είναι καλό να χρησιμοποιήσουν γονικό έλεγχο τόσο σε επίπεδο οικιακού δικτύου όσο και σε επίπεδο συσκευών. Αυτή η ενέργεια θα τους βοηθήσει να ελέγξουν με διακριτικότητα τις δραστηριότητες των παιδιών τους με στόχο την ασφάλεια τους.