Десетина дни след като стана известно, че огромни бази с информация са били откраднати (хакнати) от Националната агенция по приходите, за което писаха всички български, а и много световни медии, вече може да се направят някои изводи и да се дадат съвети.

Някои мои колеги от ИТ-бранша се нахвърлиха* още от самото начало, когато нищо не бе известно, върху НАП и държавата. Други бяха по-точни – обърнете внимание на публикациите на Димитър Ганчев и Божидар Божанов, двама от най-добрите експерти, с които България разполага. Аз също писах нещо, на 24-и юли.

Междувременно прокуратурата излезе с няколко съобщения, което беше едновременно правилно и може би не толкова правилно действие. Правилно беше, защото е добре обществото да знае какво работят в МВР. Неправилно беше, защото бяха споделени повече факти около разследването, отколкото беше необходимо. И друг път се е случвало МВР и прокуратурата да говорят повече, отколкото трябва. Спомняте си вероятно времето на министъра Цветанов, когато той обявяваше пред камерите или от трибуната на Народното събрание кой е престъпник, кой – крадец, кой – убиец и кой – детеубиец. България все още изплаща обезщетенията на обявените от министъра за престъпници, а всъщност невинни хора.

Да видим какви са проблемите:

Първи проблем: хакването на базата данни на НАП.
Изключително голям проблем на данъчната администрация – бяха откраднати лични данни на милиони български граждани.

Втори проблем: реакцията на НАП
На практика се оказа, че единственият човек от НАП, който говореше с медиите, бе човекът за връзки с обществеността. Трябваше да се появи някой от началниците и да обясни на хората какво се е случило и какви мерки ще бъдат взети. Такава информация излезе, което е добре, но не биваше да оставят на предна линия само говорителя.

Трети (четвърти и пети) проблем: използването на откраднатите бази данни

Стана известно, че отделни лица и поне един сайт, “Бивол”, рекламиран от някои хора във Фейсбук като “издание”, са публикували форма, чрез която може да се направи справка по ЕГН. ИТ експертът Красимир Гаджоков, който е един от хората, споделили (снимката вляво) тази форма, твърди, че тя пазела тайната на ЕГН, но обикновеният потребител ще трябва да избере дали да се довери на думите му или да предпочете да ползва справката чрез сайта на НАП. Публикувалите подобни форми или разполагат с базата данни, или имат достъп до нея, за да правят справките. Красимир Гаджоков предположи на стената си във фейсбук, че хората, които правят такива справки “биха могли да правят API calls до интерфейс…, направен от някой друг някъде другаде…, а да получават само отговорите в кой файл се намира хеша на ЕГН-то.”
Така или иначе, използването на откраднатата информация по какъвто и да е начин и с каквито и да са технически средства, е неправомерно и незаконно. Това е така, защото – независимо от факта, че е била открадната! – тази информация подлежи на специална защита не само от българските закони, но и от тези на Европейския съюз. Личните данни не престават да бъдат такива в момента на открадването им или в момента на публикуването им – и това е важно да се знае.
За някои третият проблем е дори по-голям от първия. Хакване може да се случи на всяка институция или компания, независимо от мерките, които са взели за защита на сървърите си. Но използването на вече откраднатата информация с цел да се правят “услуги” е на практика не само насърчаване и на бъдещи кражби, но и в контекста на съобщението от прокуратурата за наличието на някаква връзка между сайта “бивол” и файл на компютъра на един от обвинените, е факт, върху който обикновеният потребител трябва да се замисли.

“Установено е, че между 10.07.2019 г. и 12.07.2019 г. – три дни преди публикуването на базата данни на НАП в интернет, на служебния компютър на К.Б. са правени търсения в тази база данни с единни граждански номера на няколко лица: министър – председателя Бойко Борисов, главния прокурор Сотир Цацаров и народния представител Делян Пеевски. Непосредствено преди това търсене е извършено търсене с единните граждански номера на други две лица, както и за адвокатска кантора „Авиора консулт“. Резултатът от тези търсения Бойков е съхранил във файл, именуван „Търсене за бивол“. След тези действия от него е извършено търсене в базата данни на НАП с единния граждански номер на Емил Радев – евродепутат. Резултатите от тези търсения са обменяни от Бойков с друго лице.” (Из съобщение на прокуратурата)

Работеща търсачка на 26.07.2019 г.

Показателна е и друга подробност – на 26-и юли “изданието” съобщи, че е премахнало възможността за справка чрез сайта – може би някой все пак е успял да го убеди, че  нарушава закона, защото в обясненията си в коментари на фейсбук-стената си пишеха, че някои граждани са се усетили и са подали жалба до Комисията за защита на личните данни. От другите две търсачки, които са ми известни, едната е сторила същото, но третата си работи и в момента, 27.07.

Снимка от тв екран (Нова телевизия)

Четвъртият  проблем е свързан с разпространяването на информационните масиви в хакерските форуми.
От редакцията на ZDnet са се свързалис българин, подвизаващ се с псевдонима Instakilla, който е обяснил, че той я е публикувал, след като видял препратката към файла в предаване по Нова телевизия. Попитан от редакторите на ZDnet защо е споделил данните на своите сънародници, след като и той е българин и може да бъде заловен от властите, човекът отговаря: “Аз не съм оригиналният хакер, не се чувствам отговорен за каквото и да е.”

Коментари от Фейсбук (Снимка: компютърен екран)

ZDnet е проверила, че файловете отговарят на свалените от НАП.
Ще бъде интересно да се види дали ГДБОП ще установят кой е Instakilla и дали ще намерят текст, под който да го подведат под отговорност.

За голяма изненада, един от хората, популяризиращи във фейсбук мястото, откъдето може да се свали zip файла с базите, е сравнително известен човек, който при това работи с бази данни (снимката вляво)!?

Междувременно колеги от бранша ми съобщиха, че базата е свалена на много места и справките по нея се правят без проблеми. Предупредих ги, но да го сторя и тук: копирането, държането и ползването на откраднатата информация, под каквато и да е форма, е нарушение на закона. Всеки, който го прави, рискува много.

Петият проблем е за Нова телевизия и за това, че са пуснали нередактирана връзка към откраднатите бази данни, от която Instakilla се е възползвал. Не знам дали КЗЛД ще се самосезира, но няма да се изненадам, ако го стори. Журналистите трябва да внимават както пускат, как го пускат и защо го пускат. И това се отнася не само до този случай, а по принцип.

Шести проблем: реакцията на прокуратурата
Прокуратурата публикува не едно, не две, не три, а цели четири съобщения, при това в рамките на една седмица. Въз основа на досегашния опит, който гражданите имат с публичността на държавното обвинение, това може да има обратен на търсения ефект и да задълбочи съмненията сред хората, особено когато тези съобщения се погледнат и в контекста на твърденията от страна на зам.-главния прокурор Иван Гешев** към медии, политически партии и конкретни политици за едва ли не някаква връзка между тях и хакването. Г-н Гешев обяви в интервюто си по БНТ, че то било “координирана атака срещу държавата”. В публикуваните четири съобщения от прокуратурата обаче няма подобна информация.

Седми проблем: какво е известно и кой за какво е обвинен
До момента от прокуратурата и от медиите знаем, че има обвинени трима души (нарочно не им пиша имената); беше съобщено и името на търговското дружество, в което те работят, бяха пуснати и снимки как ГДБОП изнасят техника от офиса им. Но няма доказателства, че те са хакерите, проникнали в сървърите на НАП. Това може да се види в текста на третото съобщение от прокуратурата:

“От анализираните данни към момента може да се направи заключение, че той е разполагал с базата данни на НАП преди разпространението й в Интернет пространството.”

Това, че някой е разполагал с базата данни на НАП не е гаранция, че той е човекът, който я е свалил от сървърите им. В прокуратурата са наясно с това.

Обвиненията обаче са по малко използвания текст на чл. 108а от НК – тероризъм и ще бъде интересно да се види дали те ще преминат през съда или ще се наложи прокуратурата да пренаписва обвинителния акт.

Важното, което всеки трябва да знае: обвинените не са виновни, не са престъпници, не са “известни на полицията” хора – те са невинни до доказване на противното с влязла в сила присъда. Това е аксиома в наказателното право.

Осми проблем: какво да правят хората – и засегнатите, но и останалите

НАП публикува някои препоръки.

Част от експертите, които бяха интервюирани по медиите, също дадоха съвети, някои от които са полезни.

В случая обаче бе задължително някой представител на държавата да излезе и да обясни подробно какво може и какво е задължително да се направи. Много важно е да се знае, че според НАП не се налага да си сменяме личните документи:

Няма непосредствен риск някой да се разпореди с имуществото Ви или да поеме задължения от Ваше име, заради неправомерно разпространените данни. Това потвърдиха от Нотариалната камара, банките, дружествата за бързи кредити и лизинг и Агенцията по вписванията. Съветваме Ви да бъдете предпазливи, когато някой контактува с Вас по телефон или имейл и да не давате на никого финансова информация. За допълнителна сигурност можете да смените паролата на електронната си поща и ПИК кода от НАП.”

Девети, десети и т. н. проблеми
Колеги ми казаха, че е добре собствениците на КЕП да си проверят устройствата за ROCA атака, защото са изтекли и някои публични ключове. Възможно е да има и други проблеми, за които ще се опитам да ви информирам своевременно.

П.П.

Ето и моя скромен принос със съветите – не са предназначени за специалисти, а за крайни потребители и е добре всеки да ги последва (в произволна последователност), за да минимизира щетите от хакването и кражбата на информация:

– Проверка дали нашите данни са сред откраднатите информационни масиви (https://check.nra.bg/).
– Ако са там и човек има фирма или имот – добре е да се абонира за известяване чрез SMS на евентуални промени. Става чрез регистрация в Търговския регистър и службата по вписванията. Струва 6 лева за 2 години. Включва 500 съобщения.
– Макар и да няма връзка с хакването на НАП, давам още един съвет, защото излезе информация, че в компютрите, иззети от ГДБОП, е имало и списък с пароли за достъп до електронна поща: смяна на паролата за достъп до електронната поща. Също така, да използвам случая – задължително е да включите и втора стъпка за удостоверение, че човекът, който въвежда първата паролата е истинският потребител. Става със SMS или – още по-добре! – с някое от приложенията, които генерират еднократни пароли през няколко секунди (напр. Google Authenticator). Ако доставчикът ви на електронна поща не предлага подобна втора стъпка, поискайте да я въведе, но ако я няма и отказва да я въведе, помислете за смяната му с друг, който я поддържа. Услугата е безплатна.
– Не си проверявайте ЕГН-то в сайтове, различни от този на НАП!
– Не се подвеждайте да си сваляте и четете откраднатите бази данни – това е престъпление само по себе си. А дори и да не ви пука за закона, помислете, че е и неморално.
– Следете за повече информация официалния сайт на НАП, където има актуална и меродавна информация: https://nra.bg/
– Не се подвеждайте по сензационни материали, бомбастични заглавия и търсене на евтина популярност от съмнителни “издания”.

_____
* – Вижте например публикациите на Красимир Гаджоков във фейсбук – туктук и тук, например.
** – Цялото му интервю по БНР е тук.

This entry was posted in BulgariaIT in Bulgariaна българскиобщество. Bookmark the permalink.

 

Текстът е от блога на Вени Марковски. Авторът е Председател на УС на “Интернет общество – България”.