Проф. Огнян Наков, декан на факултет "Компютърни системи" към ТУ:

Ако е проведена външна атака на системата за случайно разпределение на дела, тя 100% е успешна

Ако е проведена външна атака на системата за случайно разпределение на дела, тя 100% е успешна
Проф. Огнян Наков, декан на факултет "Компютърни системи" към ТУ

Проф. Наков, Вие сте един от специалистите по софтуерни технологии и компютърна сигурност, които са взели косвено участие при консултациите относно изграждането и внедряването на Централизираната система за случайно разпределение на дела преди повече от 5 години. Сега експертен одитен доклад показа, че реално системата е манипулируема. Достоверни ли са, според Вас, тези данни?

Връщам се 6 години назад през 2014 година и ще започна оттам, че още тогава ние с колегите, които бяха включени в работната група, обсъдихме и предположихме същото, което сега се оформя като доказателство. Какви бяха тогава нашите основания? И тогава, и сега аз съм декан на факултета по компютърни технологии към Техническия университет (ТУ). Като такъв получих официално писмо да предложа експерти за включване в работна група към Министерството на правосъдието, която имаше задача да оцени недостатъците на съществуващия към онзи момент софтуер и да разработи методика и накрая задание за разработка на нова система за разпределение на дела. Официално предложих двама наши преподаватели, специалисти по софтуер и информационна сигурност, и те бяха включени в официална заповед на министъра на правосъдието, тогава Христо Иванов. По мои спомени, групата беше от 10-15 човека и тогава коментирахме, че там експертното начало, чисто технически, а не правно, е много слабо застъпено. Бяха предимно чиновници на Министерството на правосъдието, съдии, от IT дирекцията имаше системен администратор, двамата от Техническия университет и може би от някаква частна фирма имаше още един, двама души. Проведено е тогава едно заседание, на което са присъствали моите колеги. То е било първо, опознавателно, на което колегите са изложили вижданията си с какво трябва да завърши и как да се формира този резултат на работата на групата. Но нищо конкретно не се е говорило. Повече обаче след това двамата мои колеги не бяха викани за заседание на работната група. Не e имало документ, който да подпишат или да получим заповед, че се отстраняват от групата. Просто всичко остана във въздушното пространство и месец по-късно се събрахме и си казахме, че нещата изглежда по някакъв начин са решени извън работата на тази група.

Реално – може ли да обясните по-конкретно как работи защитата на системата?

На нас не ни е даден достъп, за да мога да се изкажа професионално. Но това, което мога да кажа, е, че тази сума от 12 000 лв., за която се твърди, че е разработена системата, не е реалистична. Функционално системата е проста. Разбърква се един списък, една таблица с имена на дела и оттам с активните и имащи права съдии. Функционално няма проблем. Проблемите са именно откъм защитата. Защото това е система, която съсредоточава обществено внимание, усещане за справедливост, усещане за корупция. Естествено, че ще има много атаки. А тази атака в системата е вътрешна – пробив, който се дължи на лошо написан код. Това е очевидно. Аз съм убеден, че, ако е проведена външна, хакерска атака на системата, тя 100% е успешна. Една такава система, освен функционалната си част, която сигурно е била описана на програмистите, тя трябва да има заложени в заданието си конкретни изисквания за сигурност. Както и да има точна процедура за приемане на този продукт. Питат ме все по-често как може с един електронен подпис някой да влезе. Електронният подпис представлява една флашка, която идентифицира, че човекът, който пъхне флашката, е, примерно – Драган Стоянов. И това се удостоверява от организацията, която е издала електронния подпис. Има обаче няколко неща. Първо – как асоциираме човека с флашката. Той може да я е дал на друг. Има технически средства това да се направи и да може да се удостоверява. А то не е направено. Второ – дали, ако Драган Стоянов влезе, няма някакви допълнителни права, например – да преразпредели дадено дело или да направи нещо друго, което не му се полага. Това няма как да се установи, като се приема един продукт, освен, ако не се разгледа кодът му. Ако има корист при написването на тази система, то такива "специални" права ще бъдат дадени само на лицето Драган Стоянов. Това един проверяващ орган как ще го установи? Да, всичко работи добре на практика, като вкара дадена флашка. Но той няма да вкара флашката точно на Драган Стоянов. Ако говорим за външни, хакерски атаки, има външни, автоматизирани средства да се направи проверка на сигурността, но за такива неща, които са логика, единственият начин е да се разгледа първичният код на самия продукт, който аз съм убеден на 100%, че не е предоставен от разработчиците на възложителя.

Каква трябва да е защитата на софтуерен продукт като този?

Първо – експерти трябва да пишат заданието – експерти в правната област и в компютърната област. Защото компютърната сигурност има три аспекта – правен аспект, софтуерен аспект и има аспект откъм апаратурата, системната администрация. Аз мога да ви кажа десетки мерки, които могат да се предвидят и да се вградят в такава система. След това обаче трябва да се провери и дали това е направено. Защото изпълнителят, не казвам, че е недобросъвестен, но защо му е нужно да си усложни петкратно и десетократно работата, ако може да я направи само функционално. Работи ли – работи. Откровено, в сериозните одиторски компании в света, наред с всичко друго – атоматизирани методи, тестове – одитът включва и проверка на кода ред по ред дали той е компилиран на място, още в самото Министерство. Защото може да е зададено едно, а друго да е инсталирано. След това системната администрация, която се състои от експерти от Министерството или от външна фирма, също е част от сигурността. Ако се проверят логовете, които са част от обкръжението на сървъра, е записано кой е пробвал да влезе в системата, кога – не вътре, а отвън. Влязъл ли е в системата, стоял ли е в нея, колко време и т.н. Да, тази информация е налична, но хора с права на системни администратори могат да я променят и да я изтрият. Надяваме се, че тези хора, които имат такива права, са добронамерени и квалифицирани.

В случая обаче за 12 000 лв., ако няма корист, то цялата система е направена от едни пионери с ентусиазъм, от едни младежи, които са си казали, че ще го направят за два дни, ще разбъркат две таблици и готово.

Като специалист, който има преки впечатления за процеса на изграждането на системата, кое е наложило да се бърза толкова. Не остана ли време да се помисли повече върху сигурността й от външни влияния?

Очевидно е това. В случая обаче според мен не е имало достатъчно експертиза. Аз например никога не бих си сложил подписа под задание или приемане на системата само като видя, че тя е направена за две седмици и струва 12 000 лв. Дотук. Не звучи сериозно. Затова казвам, че техническите експерти са в държавните структури – в Техническия университет, в Софийския университет. Не защото в частните фирми няма специалисти, а защото тези хора в университета са си градили името 30 години. Излиза, подписва се с това име. Аз, ако кажа едно грешно изречение, студентите ще ме разнасят 20 години. Докато в една фирма, един експерт, програмист, той е анонимен. Утре той напуска и отива другаде. Тогава става дума за името на фирмата. Тук говорим за фирма, която не е известна. Кои са програмистите? Те са анонимни, напуснали са я отдавна и къде е тогава отговорността?

Означават ли констатациите в доклада на колегите Ви относно сигурността на системата за случайно разпределение на дела, че на практика всеки, разполагащ с квалифициран електронен подпис, би могъл да борави с разпределението на дела?

Аз не съм виждал този доклад и не мога да твърдя със сигурност, но пак казвам – наличието на електронен подпис не е преграда. Наличието на електронен подпис единствено удостоверява, че вие се казвате Огнян Наков, примерно. А какво от това? Програмата трябва да има вградена логика какво се позволява на Огнян Наков. Може да му се позволи само да гледа, само да пипа нещо в някоя секция, може да му се позволи да разнася съдебни дела насам-натам. Тоест, това само по себе си нищо не ограничава – електронният подпис. За мен пропускът беше още в самото начало, когато по странен начин се игнорираха експертите. Те бяха предложени по искане на Министерството, не сме се натискали ние. И изведнъж работната група просто изчезва.

Можем ли в такъв случай да говорим за тенденциозност при създаване на софтуерната платформа на системата за случайно разпределение на дела?

За мен в някакъв момент, в началото сигурно се е имало друго предвид – направена е била работна група с добри намерения. И в следващ момент намеренията са се променили в някаква посока, в която мисля, че сега прокуратурата ще установи каква е. Аз не мога да се изкажа.

Чия тогава е отговорността? На изградилите системата или на възложителите?

Тези, които са я изградили, ще носят отговорност само, ако те са внедрили вътре код, който допуска недопустимо влияние. Това обаче не знам как ще се докаже. Да – тогава има престъпна намеса. За мен е по-важно и по-доказуемо какво им е възложено като задание и като договор. Второ-как е приет продуктът. Те може би просто са дошли, инсталирали са го и са казали – той работи. Това не е сериозно. Минал ли е продуктът през тестове за сигурност? Минал ли е през тестове за вътрешно проникване? Друго – тази система не е имала договор за поддръжка с години. Поддръжката е задължителна и трябва да е ежегодна и да се прави ъпгрейд на продукта. Нови версии има ли? Дори да няма нищо друго във функционалността, представете си, че продуктът е писан през 2014 година на някакви програмни езици, които днес са анахронизъм. Тогава те може да са били добри, но 2020г. те са пробиваеми отвсякъде. Няма технология, която е била създадена през 2014 г. и да не може днес да се пробие от един средно квалифициран хакер. Това трябва да се ъпгрейдва всяка година. Затова се правят лицензи. Ако на втората година от създаването му един продукт не се ъпгрейдва, поне веднъж в година, той вече е опасен.

Проф. Огнян Наков, декан на Факултет по компютърни системи и управление от 2007 г. Тематичните области на научната и преподавателската му дейност са Софтуерни технологии, езици и среди; Програмиране за мобилни устройства; Паралелно програмиране; Компонентно програмиране; Програмиране в Internet; Операционни среди. Доктор по научна специалност 02.21.07 "Автоматизирани системи за управление" (Адаптивно към средата програмно управление на транспортен робот). Член АС на ТУ- София, senior member IEEE; член на редакционни колегии на списания в IT и компютърната сфера, член на редица научни съвети, почетен член на браншовите организации в IT сектора (БАЙТ и BASSCOM) на България и др. Специализации в Чехия, Гърция и Русия. Изнасяни курсове в Гърция, Сирия, Кипър. 83 проекта, на 48 от тях като ръководител. 18 внедрявания в индустрията. 1 патент. Има 18 издадени книги и монографии, 240 публикации, от които 60 в чужбина.

Още по темата

И специализираните съдилища дариха в борбата с COVID-19

Предишна новина

Случайното разпределение на делата – решение

Следваща новина

Коментари

4 Коментара

  1. 4
    Невеж | нерегистриран
    8
    -1

    Манипулацията е отвътре и се прави от председателите на съдилища, или послушни и изпълнителни техни доверени съдии, които се отличават с "гъвкавост" на убежденията и физиката.

  2. 3
    Адвокат | нерегистриран
    3
    -1

    Това да не е този председател на съд, който прави непълни протоколи от общи събрания и се води по акъла на гражданската съдийка с даренията и манипулациите? Те тези ще ги изметат отвън. Въпрос на време.

  3. 2
    Съдия | нерегистриран
    2
    -2

    Днес в провинциален съд с преобладаващ "гъвкав" манталитет, председателят на съда е заявил, че няма пречка да разпредели делото на отвел се съдия на себе си и да го гледа- било процесуална икономия. Писанията за манипулиране на програмата били глупости. Можело и да издаде заповед за определяне на делото да го разгледал той. Съдията е бесен.

  4. 1
    Един от ССБ | нерегистриран
    14
    -4

    в друг правен сайт в дълга статия разказва с хъс, как не можело да се манипулира системата за разпределение на дела, ама аз не му вярвам! Доколкото зная съдията опитал се да убеди аудиторията, че не може да се манипулира системата за "случайно" разпределение на дела, не е ай-ти специалист!От кога започна да разбира от науки, които не са от неговата специалност!Все пак, драги съдия от ССБ недей да са мислиш, че повечето съдии са дебели, защото не са!

Твоят коментар

Сайтът е защитен с reCaptcha. Политика за лични данни.