Проблемите на НСИ са сложни и многопластови и не могат да се обяснят просто с посочване на някого с пръст. Трябва, обаче, да търсят дългосрочни решения, а не оправдания.
Струва ми се, обаче, в ИТ общността си представя нещата малко по-просто, отколкото са. Това не е „един уебсайт“, на който просто трябва да сложиш достатъчно хардуер, за да работи. Ето няколко публично известни факта, които да помогнат интерпретацията:
- НСИ е направил поръчка за готова система за преброяване, а не за разработка на такава. Като цяло разумно решение. Местният партньор на шведската фирма „производител“ е СкейлФокус, които е трябвало да направят инсталация, конфигурация и поддръжка. Много често компании предпочитат да имат местни партньори, при които отива процент от продажбата, т.нар. two tier (или понякога three tier) distribution model. Цената е за лиценз, инсталация и конфигурация и като цяло не изглежда скандална. Функционалностите са доста повече от
онлайн форми (на който му е интересно, техническото задание, предложението и договорът са на сайта на НСИ) - DDoS атаката е сериозна – ако наистина 250 гигабита в секунда са се „изсипали“ срещу системата, то на чисто софтуерно ниво няма какво да се направи – „тръбата“ се запушва, дори приложението да може да обработи данните. Засега няма причина да смятаме, че тази информация е грешна, най-много да е малко преувеличена, но дори да е наполовина, пак е значителна. Не съм съгласен, че „какво толкова сложно има да се защити една система“ – това не е софтуерен проблем, а мрежови. И няма прости и евтини решения.
- НСИ не са били подготвени за такава атака, а е трябвало. Ползването на CloudFlare е недостатъчна мярка за критичността и репутационните щети. Обикновено проблемът с CloudFlare е не самият CloudFlare, а това, че по други данни (исторически и настоящи DNS записи и просто логическо мислене) може да се прескочи CloudFlare.
- Тук обаче ще вдигна нещата едно ниво по-нагоре – това не е проект на НСИ, това е национален проект. НСИ просто е натоварен с неговото изпълнение. На ниво държава изгелжда липсва адекватна подготовка за защита от DDoS. Държавна агенция „Електронно управление“ и ресорните вицепремиери до момента е трябвало да осигурят такава не само на НСИ, но и за всички системи. Тя не е евтина, но работи (чрез т.нар. scrubbing центрове, които „почистват“ мръсния трафик преди да го изпратят към системите.) Кадровото осигуряване също е важна тема – колко ИТ експерти има НСИ и на какво заплащане и можем ли да очакваме да свършат всичко? Това също е системен проблем в държавата.
- DDoS атаките рядко водят до изтичане на данни (сами по себе си – никога, но понякога се ползват за димна завеса, прикрирваща други действия; засега не изглежда да е такъв случаят).
- съдейки по съобщенията за грешка, които излизаха в предните два дни, е имало и чисто интеграционни проблеми за проверката на въведените лични данни. За тези проблеми няма добро оправдание, а причината е липсата на координация между институциите и липсата на отговорен за процеса.
На следващото заседание на комисията по дигитализация в Народното събрание ще изясним всички тези въпроси. А следващото постоянно правителство трябва да ги реши системно.
Аре бе няма прости решения ами account в Cloudflare ?
Cloudflare имаше пуснат и даваше грешки от първия ден. Вчера даваше, че чака отговор от бекенд системата. Имам снимки в 9, 10 сутринта и вечерта пак от вчера.
Ако беше DDoS CF-то дава до 90 Терабита филтриращ капацитет: BGP-based unmetered DDoS mitigation with over 90 Tbps of capacity.
На сайта на CloudFlare има елементарни препоръки, как да не се заобикаля. Не зная, колко силно кадрово осигуряване е нужно за да ги прочете някой? Относно заплащането на въпросните кадри, след като има 2.5 млн. лв. за покупка на система, не можеше ли да се отделят примерно 1% от тези ресурси за предварителен pentest, може и външен, даже по-добре, пак не е нужно много кадри.
И не на последно място, кога някой държавен служител, отговорен за ИТ проекти, който направи такъв голям провал, ще излезе и ще каже „Аз съм некадърен, подавам си оставката, до края на живота си няма да пипам компютър и ще ползвам само телефон с шайба!“?
Alest каза:
освен това, CF имат договорки с повечето Tx провайдери за реакции в такива ситуации. На 2рият час трябваше Китай, Русия , Африка и Щатите да са в черна дупка за това трасе. А всички знаем че флоод в EU няма как да има безнаказано 🙂
Чакаме анализите на трафика .
„Заро“ – дойдоха ли анализите на трафика. Да не се окаже, че не били 250 ГигаБита, а килобита, и не ги атакували, ами ги изпращали към NULL 🙂