Experții CERT-RO confirmă informațiile HotNews.ro: Edu.ro, site-ul Ministerului Educației, a fost compromis / Cineva din interiorul sau exteriorul Ministerului a urcat un script care minează criptomonede
”Primele concluzii sunt că, într-adevăr, site-ul Ministerului Educației, www.edu.ro, a fost într-un fel sau altul compromis și, fie cineva (n.a din interior) a urcat în mod intenționat un script de minare de criptomonedă, fie site-ul a fost spart din exterior și cineva a urcat acolo atât acest script cât și alte URL-uri către diferite servicii (n.a site-uri de escorte din Turcia) pe care le-ați menționat și dvoastră în articol”, a declarat pentru HotNews.ro Cătălin Pătrașcu, șef al serviciului de securitate informatică și monitorizare la Centrul Național de Raspuns la Incidente de Securitate Cibernetica (CERT-RO). Scriptul nu a fost încă îndepărtat, spune acesta.
- Notă: Edu.ro, dar și alte site-uri de instituții publice sunt găzduite pe ICI PRO, o infrastructura de tip cloud pentru institutiile publice, care a costat 17 milioane de euro, și este gestionată de Institutul Național de informatică (ICI). Experții CERT-RO au vorbit cu cei de la ICI să verifice dacă și alte site-uri au probleme. ICI spune că administrarea resurselor virtualizate oferite prin infrastructura ICI PRO cade în sarcina instituțiilor partenere.
- UPDATE Ministerul Educației pentru HotNews.ro: ‘Site-ul oficial al MEN a fost atacat informatic de două ori, în decursul ultimelor două luni. Referitor la aspectele semnalate, se fac verificări pentru a se identifica sursa acestor atacuri cibernetice. În acest moment, se lucrează la remedierea problemelor. Ministerul Educației se află în procedură de trecere la un nou standard de protecție cibernetică.”
Ce a declarat pentru HotNews.ro Cătălin Pătrașcu, șef al serviciului de securitate informatică și monitorizare la Centrul Național de Raspuns la Incidente de Securitate Cibernetica (CERT-RO):
- Am identificat persoanele de la Ministerul Educației care pot rezolva problema. Am trimis o echipă acolo și împreună investighează pentru că nu se pot trage concluzii după o oră-două cu privire la ce s-a întâmplat. S-a oprit sistemul, s-au făcut niște imagini care se vor analiza în laborator.
- Primele concluzii sunt că într-adevăr site-ul a fost compromis într-un fel sau altul. Fie cineva a urcat în mod intenționat acest script, fie a fost site-ul spart sau compromis și a urcat acolo inclusiv scriptul de minare și a adăugat și alte url-uri către diferite servicii pe care le-ați menționat și dvoastră în articol.
- Pe scurt, problema este că site-ul a fost compromis într-un fel sau altul. Într-adevăr nu știm la ora asta în ce fel, știm doar că site-ul are anumite vulnerabilități și le-am identificat dar nu știm care dintre ele este exploatată.
- Am identificat persoanele care se ocupă, am colectat date și urmează să le analizăm, urmând să le dăm (n.a responsabililor din Ministerul Educației) un raport cred că cel mai devreme luni. Indicații despre remediere le-am dat încă de pe acum.
- Depinde de ei cât de repede remediază și șterg scriptul. În teorie însă, chiar dacă ștergi scriptul, dar ei nu rezolvă problema de vulnerabilitate a site-ului, se poate reinfecta peste câteva ore.
A fost șters scriptul? Ce ar trebui să știe utilizatorii?
- Deocamdată, din câte știu, scriptul nu este dat jos de acolo. În teorie, și asta este valabil nu doar pentru Edu.ro, ci pentru orice site, utilizatorii ar trebui să-și instaleze o unealtă care să identifice și să blocheze automat încercările acestea de minare.
- Confirmăm că toate informațiile pe care le-ați publicat d-voastra sunt adevarate.
Cine are responsabilitatea pentru acest incident de securitate?
- În general responsabilitatea asigurării securității este a deținătorilor de infrastructuri, de sisteme, de site-uri. Ei în primul rând trebuie să-și ia masurile de securitate. CERT-RO reacționează acum la o faptă care deja s-a întâmplat, dar măsurile pro-active de detecție și reparare a problemelor ei trebuie să le facă.
- Este adevărat că edu.ro este găzduit pe platforma ICI PRO, dar nu știu să vă spun ce alte instituții mai sunt găzduite acolo.
- Acum ne concentrăm pe Ministerul Educației. Am vorbit cu cei de la ICI să demareze o activitate prin care să verifice dacă nu cumva și pe la celelalte site-uri sunt probleme.
Excludeți posibilitatea ca cineva de la Ministerul Educației sau de la ICI să fi urcat scriptul care minează criptomonedă?
- Nu excludem nicio posibilitate că acel script să fie urcat acolo. Poate fi cineva care știe cum să acceseze, că este din interior, sau poate fi cineva din exterior. Statistic vorbind, de cele mai multe ori este vorba de oameni din exterior care compromit în masă site-uri cu vulnerabilități și inserează scipturi acolo.
- Ar putea fi cineva care are acces la site pentru că administrează infrastructura. Au fost și aceste situații, rare, în care scripturile au fost puse de cei care administrau. De exemplu la anumite Universități, au fost niște studenți care au folosit cloud-urile de supercomputing pentru treaba asta.
- În majoritatea cazurilor însă, pur și simplu, site-urile respective sunt sparte din cauza vulnerabilităților și se urcă scripturile.
Ce au răspuns oficialii ICI, întrebați dacă sunt responsabili de problemele Edu.ro: Administrarea resurselor virtualizate oferite prin infrastructura ICI PRO cade în sarcina instituțiilor partenere
HotNews.ro a adresat mai multe întrebări și către Institutul Național de informatică (ICI) referitoare la acest incident. Iată ce au declarat oficialii ICI București:
- ‘Pe serverele ICI București nu sunt găzduite site-urile altor instituții deoarece instituția noastră nu are în obiectul de activitate servicii de hosting.
- În urma articolului publicat de dvoastra în data de 30.05.2018 reiese faptul că site-ul edu.ro este găzduit de ‘ICI Cloud’. Infrastructura la care presupunem că faceți referire se numește ICI PRO. În cadrul acestui proiect, INCDI ICI București oferă resurse de tip infrastructură (resurse virtualizate sub formă de Cloud) date în administrarea instituțiilor partenere pe baza acordurilor de colaborare, printre acestea regăsindu-se și Ministerul Educației Naționale.
- Administrarea resurselor virtualizate oferite prin infrastructura ICI PRO cade în sarcina instituțiilor partenere.
- În cadrul infrastructurii ICI PRO sau în cadrul INCDI ICI București nu se minează criptomonede’.
ICI mai subliniază în răspunsul către HotNews.ro că nu este o instituție publică, așa cum este definită de Legea 500/2002 și nu se regăsește nici în enumerarea exhaustivă a art. 2, lit. a din Legea 544/2001, (..) și că nu îi sunt aplicabile dispozițiile acestei legi. ICI București mai spune că este institut de cercetare și că funcționează pe baza de gestiune economică și autonomie financiară și nu utilizează resurse financiare publice pentru desfășurarea obiectului său de activitate.
Ce nu spune ICI este că institutul trăiește din gestionarea domeniilor de internet .ro, o resursă limitată a statului român.
- Ce este ICI PRO, ce firme au implementat această platformă și ce instituții publice aveau contracte pentru folosirea acesteia la momentul octombrie 2015
Doina Banciu, sefa ICI
Foto: Hotnews
Institutul Național de Cercetare în Informatica (ICI) a atribuit prin licitație la sfârșitul anului 2014 un contract de peste 17 milioane de euro, finanțat cu fonduri UE, către asocierea formată din grupul UTI, Ymens Teamnet (parte a grupului fondat de Sebastian Ghiță, în prezent urmărit internațional) și CP Consultant Services, având ca subcontractanți pe Siveco și Romsys, pentru realizarea unei platforme de tip cloud pentru institutiile publice din Romania.
În luna octombrie 2015, Doina Banciu, șefa ICI la acel moment, a declarat la un eveniment de specialitate că a semnat acorduri cu peste 10 instituții publice pentru folosirea unei platforme de tip cloud, care a costat peste 17 milioane de euro și care va fi finalizată în 2015.
„Am semnat acorduri cu Biblioteca Centrală Universitară, cu Asociația Bibliotecilor Publice, cu Bibilioteca Județeană de la Brăila, cu Biblioteca Municipală de la Câmpulung Muscel, cu o Direcție din cadrul Consiliului Județean din Vaslui, cu Universitatea Lucian Blaga din Sibiu, cu Academia Oamenilor de Știință și cu Biblioteca Academiei Române”, a spus aceasta.
Nu știm în prezent ce alte instituții publice, în afară de Ministerul Educației, au primit în administrare gratuită de la ICI resurse virtualizate sub formă de cloud.