Την επιβεβαίωση για ακόμη μία φορά πως τα υπολογιστικά συστήματα των εκπαιδευτικών ιδρυμάτων στην Ελλάδα υστερούν ΕΝΤΕΛΩΣ στην ασφάλεια και προστασία των δεδομένων τους, ήρθε να μας δώσει με νέο “χτύπημά του” ο γνωστός Έλληνας Hacker με το ψευδώνυμο ” [P.A.O.K.]” .
Το “χτύπημα” πραγματοποιήθηκε στο Α.Τ.Ε.Ι. Σερρών, στόχο τον οποίο είχε επιτεθεί ξανά στο παρελθόν ο [P.A.O.K.] όπως μπορείτε να δείτε εδώ. Τότε είχε σαφώς προειδοποιήσει το ίδρυμα για τα προβλήματα ασφαλείας που αντιμετώπιζε, μέσω αλλοιώσεων στις αρχικές ιστοσελίδες κάποιων εκ των τμημάτων του ιδρύματος. Αυτήν την φορά όμως, προχώρησε ακόμη βαθύτερα στα υπολογιστικά συστήματα του Α.Τ.Ε.Ι. Σερρών, με αποτέλεσμα να αποκτήσει πλήρη και μη εντοπίσιμη πρόσβαση στην βάση δεδομένων ολόκληρου του ιδρύματος και μάλιστα με δικαιώματα διαχειριστή (Root/Administrator)!! . Αυτό πρακτικά σημαίνει πως ο [P.A.O.K.] είχε την δυνατότητα να διαβάσει αλλά και να αλλοιώσει κατα βούληση ευαίσθητα δεδομένα όπως usernames,passwords, βαθμολογίες φοιτητών κ.ά. . Τα συγκεκριμένα δεδομένα είναι όπως γίνεται κατανοητό κρίσιμα για την ομαλή λειτουργία του ιδρύματος αλλά και για την αξιοπιστία του ως προς τους φοιτητές.
Οι λεπτομέρειες της επίθεσης
Παραθέτουμε screenshots που μας κοινοποιήθηκαν ΑΠΟΚΛΕΙΣΤΙΚΑ από τον [P.A.O.K] σχετικά με την επίθεση:
A) Η αλλοίωση στην κεντρική ιστοσελίδα του ιδρύματος:
B) Παρακάτω φαίνεται το επίπεδο πρόσβασης στην κεντρική βάση δεδομένων του Ιδρύματος. Οι πληροφορίες που έχει ο [P.A.O.K] στην διάθεσή του αφορούν κωδικούς χρηστών και διαχειριστών με πλήρη πρόσβαση στις υποδομές του ιδρύματος.
(σ.σ. SecNews – Έχουμε αποκρύψει σχετικές πληροφορίες που αφορούν κωδικούς πρόσβασης χρηστών και προσωπικά δεδομένα για λόγους διασφάλισης του απορρήτου)
Παρακάτω φαίνονται κάποιες αλλοιώσεις σε κεντρικές ιστοσελίδες τμημάτων του ιδρύματος, τονίζοντας πως πρέπει να διορθωθούν τα κενά ασφαλείας:
Σύμφωνα με δήλωση του hacker [P.A.O.K], “το επόμενο βήμα πλέον ανήκει στην πολιτεία και θα πρέπει να είναι η θωράκιση των πληροφοριακών συστημάτων των εκπαιδευτικών ιδρυμάτων στην Ελλάδα, απο ανθρώπους με τις ανάλογες γνώσεις και την στήριξη από το Υπουργείο Παιδείας, ώστε να μπορέσουν να υλοποιηθούν τα σχέδια ασφάλισης των δεδομένων για την ομαλή λειτουργία και την αξιοπιστεία των εκπαιδευτικών ιδρυμάτων της χώρας”
Το πρόβλημα με τα τρύπια ΑΕΙ είναι χρόνιο.
Κανείς δεν ασχολείται διότι απλά κανείς δεν ενδιαφέρεται, οπότε… "περάστε ελεύθερα"!
Επίσης όλες οι "πανέτοιμες" ομάδες τύπου GR CERT που είναι;
Μήπως περιμένουν καμιά αναφορά στο πιάτο από site τους?
Ακόμα, που είναι οι περίφημες ομάδες προστασίας των κρίσιμων υποδομών (ονόματα δεν λέμε); Να πουλάμε μαγκιά στους "γείτονες" ξέρουμε… να προστατέψουμε τις δικές μας κρίσιμες υποδομές… που είμαστε;
Στα διακρατικά και στα NATO cyber-wars είμαστε "μανούλες"….
Αλλά ξέχασα, ελάχιστα ΑΕΙ/ΑΤΕΙ θεωρούνται…. υποδομές!
Άντε καληνύχτα σας και καλό ύπνο!!
Alex Iliopoulos ΔΙΚΈΦΑΛΕ ΑΡΡΏΣΤΗΣΑ ΘΕΛΩ ΓΙΑΤΡΌ….