Μια νέα έρευνα που συγκεντρώθηκε από περισσότερες από 400 αστυνομικές αρχές διεθνώς αποκαλύπτει μια μάλλον απρόσμενη πραγματικότητα: το κυβερνοέγκλημα κυριαρχείται από μεσήλικες δράστες και όχι από εφήβους, όπως συχνά πιστεύεται. Η έκθεση αναδεικνύει επίσης το πόσο εξαρτημένος έχει γίνει ο κόσμος από την αμερικανική αστυνόμευση στον τομέα αυτό.

Η εικόνα του νεαρού χάκερ στο υπνοδωμάτιο του, δημοφιλής από τη δεκαετία του ’80 με ταινίες όπως το WarGames και το Hackers, φαίνεται να μην ανταποκρίνεται πλέον στην πραγματικότητα. Σύμφωνα με νέα δεδομένα της Orange Cyberdefense, που παρουσιάστηκαν στην ανάλυση Security Navigator 2026, το κυβερνοέγκλημα καθοδηγείται κυρίως από έμπειρους ενήλικες, συχνά στα τριάντα ή σαράντα τους χρόνια.

Η βάση δεδομένων της Orange καταγράφει 418 δημόσια ανακοινωμένες υποθέσεις επιβολής του νόμου μεταξύ 2021 και μέσα του 2025. Όπως υποστηρίζουν οι συντάκτες της, πρόκειται για την πρώτη δομημένη προσπάθεια συγκέντρωσης τέτοιων ενεργειών σε διεθνές επίπεδο. Τα στοιχεία δείχνουν ότι η ηλικιακή ομάδα 35-44 ετών αποτελεί το μεγαλύτερο ποσοστό παγκοσμίως — 37% των ταυτοποιημένων δραστών. Ένα επιπλέον 30% ανήκει στην κατηγορία 25-34 ετών, ενώ οι έφηβοι και οι μεγαλύτεροι ενήλικες αποτελούν λιγότερο από 5% έκαστος.

Τα λεγόμενα Advanced Persistent Teenagers (APTs) αντιστοιχούν επίσης σε κάτω από 5% των δραστών. Η ανάλυση, υπό την εποπτεία της ερευνήτριας απειλών Diana Selck-Paulsson, δείχνει ότι το κυβερνοέγκλημα ακολουθεί διαφορετική εξελικτική πορεία σε σχέση με τα παραδοσιακά εγκλήματα: απαιτείται τεχνική κατάρτιση, επιχειρησιακή πειθαρχία και δίκτυα συνεργατών που συνήθως διαμορφώνονται στη μέση ηλικία.

Διαφορετικές τακτικές ανά ηλικιακή ομάδα

Η συμπεριφορά των ηλικιακών ομάδων παρουσιάζει σημαντικές διαφοροποιήσεις. Οι νεότεροι ενήλικες (18-24 ετών) τείνουν να διαπράττουν επιθέσεις όπως hacking, DDoS ή μικρές κλοπές δεδομένων, συχνά λόγω περιέργειας ή για να αποκτήσουν φήμη. Από τα μέσα της δεκαετίας των είκοσι, το οικονομικό κίνητρο γίνεται κυρίαρχο. Οι δράστες 35-44 ετών επικεντρώνονται σε πιο στρατηγικά εγκλήματα: εκβιασμό μέσω κυβερνοχώρου, ανάπτυξη κακόβουλου λογισμικού, κατασκοπεία και ξέπλυμα χρήματος.

Σύμφωνα με την Orange, οι δράστες αυτής της ηλικίας είναι πλήρως ενήμεροι για τις πράξεις τους και δρουν με καθαρά οικονομικά κίνητρα. «Η επικράτηση μεσήλικων δραστών δείχνει μια μορφή εγκληματικής εμπλοκής που είναι συνειδητή και υπολογισμένη, όχι παρορμητική ή περιστασιακή», αναφέρει η εταιρεία.

Η έκθεση επιβεβαιώνει ακόμη μια ευρέως διαδεδομένη πεποίθηση: το 90% των δημοσίως ταυτοποιημένων δραστών είναι άνδρες. Ωστόσο, ορισμένοι ερευνητές επισημαίνουν ότι ακόμη και αυτή η αντίληψη χρειάζεται περαιτέρω διερεύνηση και αμφισβήτηση.

Εθνικότητα δραστών και δυναμική εκβιασμών

Στατιστικά στοιχεία για την εθνικότητα των δραστών αντικατοπτρίζουν γεωπολιτικές εντάσεις: το 23% είναι Ρώσοι, ενώ Αμερικανοί και Κινέζοι ακολουθούν με περίπου 11% έκαστος. Οι Ουκρανοί αποτελούν το 9% και οι Βορειοκορεάτες το 5%. Η Orange σημειώνει πως η μεγαλύτερη διαφάνεια στις ΗΠΑ πιθανόν διογκώνει τα ποσοστά τους στα στοιχεία.

Το δημογραφικό αυτό προφίλ συνδέεται στενά με την επέκταση του οικοσυστήματος κυβερνοεκβιασμών. Μεταξύ Οκτωβρίου 2024 και Σεπτεμβρίου 2025, η Orange κατέγραψε πάνω από 6.000 θύματα, που σχετίζονται με 90 ομάδες — αύξηση σχεδόν κατά 45% σε ετήσια βάση.

Η συμμορία Qilin, η πιο δραστήρια φέτος, έβαλε στο στόχαστρο τον ιαπωνικό κολοσσό ζυθοποιίας Asahi και διατηρεί τον τίτλο μίας από τις σημαντικότερες απειλές παγκοσμίως. Η Orange συνέδεσε αυτήν τη ρωσόφωνη ομάδα ransomware-as-a-service με 600 θύματα, αύξηση κατά 324% σε σχέση με πέρυσι.

Ο Qilin στοχεύει κυρίως μικρές και μεσαίες επιχειρήσεις — αντίστοιχα 221 μικρές, 192 μεσαίες και 151 μεγάλες — εφαρμόζοντας μια «μεσαία» στρατηγική: εταιρείες αρκετά μεγάλες ώστε να πληρώσουν λύτρα αλλά όχι τόσο ισχυρές ώστε να αντέξουν πολύπλοκες επιθέσεις.

Οι πιο ενεργές συμμορίες ransomware

Ο Akira, επίσης ρωσόφωνος, ακολουθεί με 550 θύματα, σημειώνοντας αύξηση κατά 168%, στοχεύοντας παρόμοια μικρού και μεσαίου μεγέθους επιχειρήσεις. Ο Cl0p προκάλεσε ζημιά σε 473 θύματα – μία μόνο εκστρατεία του (εκμετάλλευση ευπάθειας στο Cleo file-transfer software) ευθύνεται για το 18% όλων των θυμάτων εκβιασμού το πρώτο τρίμηνο του έτους.

Ο Cl0P αξιοποιεί μαζικές ευπάθειες όταν εμφανίζονται· σύμφωνα με τον επικεφαλής έρευνας ασφαλείας της Orange, Charl van der Walt, η ομάδα «μπαίνει σε κατάσταση ύπνωσης» μέχρι να βρει νέο ευάλωτο σημείο για να ξεκινήσει εκστρατεία μεγάλης κλίμακας πριν αποσυρθεί ξανά. Το μοντέλο αυτό φαίνεται να γίνεται όλο και πιο συχνό.

Η Ransomhub — της οποίας η δράση φέρεται να σταμάτησε μετά από εχθρική «εξαγορά» από το καρτέλ DragonForce τον Απρίλιο του 2025 — είχε καταγράψει 471 θύματα. Ο Play έφτασε τα 407 θύματα, στοχεύοντας κυρίως μεσαίες επιχειρήσεις.

Παγκόσμιος χάρτης θυμάτων και τεχνικές επίθεσης

Οι ΗΠΑ παραμένουν ο πιο συχνός στόχος, ενώ ο αριθμός των θυμάτων στη Γερμανία αυξήθηκε κατά σχεδόν 60%. Στη Βόρεια Αμερική καταγράφηκαν συνολικά 3.780 θύματα – αύξηση κατά 56% σε σχέση με πέρυσι – διατηρώντας την ως τη πλέον στοχοποιημένη περιοχή παγκοσμίως.

Στην Ευρώπη, η Γερμανία σημείωσε τη μεγαλύτερη αύξηση (58%) φτάνοντας τα 230 θύματα, ακολουθούμενη από την Ιταλία (141) και τη Γαλλία (129). Το Ηνωμένο Βασίλειο κινήθηκε αντίθετα στην τάση, σημειώνοντας πτώση κατά 13%.

Οι τεχνικές επίθεσης παραμένουν σταθερές: phishing και spear-phishing, επαναχρησιμοποίηση διαπιστευτηρίων και εκμετάλλευση ευπαθειών — ακόμη και σε συσκευές ασφαλείας όπως VPNs ή firewalls.

Η παγκόσμια εξάρτηση από τις ΗΠΑ στην αντιμετώπιση του κυβερνοεγκλήματος

Οι ΗΠΑ δεν είναι μόνο ο βασικός στόχος αλλά και ο κύριος διώκτης κυβερνοεγκληματιών παγκοσμίως.

Το αμερικανικό κράτος εμπλέκεται στο 45% όλων των καταγεγραμμένων ενεργειών αντιμετώπισης — ποσοστό μακράν υψηλότερο από κάθε άλλη χώρα ή οργανισμό. Το Υπουργείο Δικαιοσύνης (DOJ) εμφανίζεται στο περίπου 16% των περιπτώσεων και το FBI στο 12%. Οι γερμανικές αρχές συμμετέχουν στο σχεδόν 7%, η Europol στο περίπου 5%, ενώ βρετανικοί φορείς καλύπτουν μόλις το 3%. Ο ιδιωτικός τομέας συμβάλλει περίπου κατά 12%, δείχνοντας ότι η αντιμετώπιση αποτελεί πλέον κοινή ευθύνη κράτους και βιομηχανίας.

Η εξάρτηση από τις ΗΠΑ επεκτείνεται πέραν της αστυνόμευσης: περιλαμβάνει τη διαχείριση ευπαθειών, την εποπτεία υποδομών και την παρακολούθηση πλατφορμών. Παρότι ευρωπαϊκές πρωτοβουλίες όπως η European Vulnerability Database προσπαθούν να ενισχύσουν την αυτονομία της ΕΕ στον κυβερνοχώρο, η διαφορά στις δυνατότητες παραμένει μεγάλη.

Όπως προειδοποιεί ο van der Walt της Orange, μια αλλαγή προτεραιοτήτων ή πόρων στις ΗΠΑ θα μπορούσε να έχει δυσανάλογο αντίκτυπο παγκοσμίως μειώνοντας τόσο την ορατότητα όσο και τη δυνατότητα παρέμβασης στις άλλες περιοχές: «Μια ουσιαστική αναδιάταξη θα ήταν σημαντικό πλήγμα για τις προσπάθειες κυβερνοασφάλειας παντού» τονίζει χαρακτηριστικά.

Πηγή

Συγκεκριμένα στόχος χακαρίσματος από την ισραηλινή εταιρεία κατασκευής λογισμικού κατασκοπείας, Paragon Solutions, έγιναν χρήστες του WhatsApp – μεταξύ των οποίων δημοσιογράφοι και μέλη της κοινωνίας των πολιτών – δήλωσε σήμερα αξιωματούχος αυτής της δημοφιλούς εφαρμογής συνομιλιών, ιδιοκτησίας του τεχνολογικού κολοσσού Meta.

Μετά τον εντοπισμό της παραβίασης ασφαλείας (hacking), εκπρόσωποι της WhatsApp έστειλαν νομική προειδοποίηση με τη μορφή του κατεπείγοντος (cease-and-desist letter) στην Paragon.

Σε ανακοίνωσή της η WhatsApp είπε ότι η εταιρεία «θα συνεχίσει να προστατεύει τη δυνατότητα ανθρώπων να επικοινωνούν ιδιωτικά».

Η Paragon αρνήθηκε να σχολιάσει.

Ο αξιωματούχος είπε στο Reuters ότι εντοπίστηκε μια προσπάθεια hacking με στόχο περίπου 90 χρήστες της εφαρμογής.

Αρνήθηκε να αναφερθεί στις ταυτότητες των χρηστών που έγιναν στόχος χακαρίσματος ή πού βρίσκονται γεωγραφικά. Αρκέστηκε να πει ότι μεταξύ αυτών ήταν μέλη της κοινωνίας των πολιτών και μέσων ενημέρωσης. Πρόσθεσε ότι μετά τον εντοπισμό της παραβίασης, η WhatsApp τη σταμάτησε.

Δεν είπε επίσης πώς διαπίστωσε η εταιρεία ότι η Paragon βρίσκεται πίσω από το hacking. Οι αρχές επιβολής του νόμου και «βιομηχανικοί εταίροι» ενημερώθηκαν για το χακάρισμα, είπε, χωρίς περαιτέρω λεπτομέρειες.

Με ανάρτηση που έκανε στο Instagram, ο Δημήτρης Σταρόβας ανακοίνωσε πως κάποιοι χρησιμοποιώντας το προφίλ του, στέλνουν μηνύματα προς τους followers του.

Δείτε αυτή τη δημοσίευση στο Instagram.

Η δημοσίευση κοινοποιήθηκε από το χρήστη Dimitris Starovas (@dstarovas_official)

«Προσοχή! Μου έχουν χακάρει το λογαριασμό Instagram με ίδια φωτογραφία και παρόμοιο όνομα και στέλνουν προσωπικά μηνύματα στα inbox σας. Δεν είμαι εγώ! Προσοχή!», έγραψε στη λεζάντα της ανάρτησης. Το συγκεκριμένο post συνόδευσε και με μία φωτογραφία από τα με τα μηνύματα που υποτίθεται στέλνει ο ίδιος στους followers του.

Ιστορικό: Τη Δευτέρα 29/5 συστήματα με μεγάλη διασπορά σε χώρες όλου του κόσμου δημιουργούσαν με υπερβολικό ρυθμό συνδέσεις προς την πλατφόρμα (TCP SYN flood, περίπου 280.000 δικτυακά πακέτα ανά δευτερόλεπτο) καθώς και μεγάλη άεργη δικτυακή κίνηση (UDP flood) μέχρι 1.8 Gbps. Οι επιθέσεις αυτές αντιμετωπίστηκαν στις 09:20.

Την Τρίτη 30/5 έγινε επίθεση πολλαπλάσιας έντασης με μεγάλη διασπορά προς την υποδομή της πλατφόρμας (TCP SYN flood) με ρυθμό έως και 5 εκ. δικτυακά πακέτα ανά δευτερόλεπτο. Η επίθεση αντιμετωπίστηκε στις 07:32. Έπειτα, ο στόχος της επίθεσης μετατοπίστηκε σε υποδομές του Πανελλήνιου Σχολικού Δικτύου (ΠΣΔ) αλλά στις 08:09 αντιμετωπίστηκε και αυτή. Στη συνέχεια οι συνεργάτες της ΕΔΥΤΕ συνέδραμαν στην επίλυση υπόλοιπων θεμάτων που προέκυψαν λόγω της επίθεσης στην εφαρμογή.

Ως προς την προστασία που παρέχει η ΑΚΑΜΑΙ: Η πλατφόρμα της AKAMAI είναι σχεδιασμένη για να προστατεύει μόνο την εφαρμογή, όχι τη βασική υποδομή όπως λανθασμένα αναφέρεται σε δημοσιεύματα. Μια επίθεση DDoS μπορεί να πραγματοποιηθεί με διαφορετικούς τρόπους μέσα από τα διάφορα επίπεδα της στοίβας πρωτοκόλλων του διαδικτύου.

Η πρόσβαση στην εφαρμογή περνάει αρχικά από το Internet προς το δίκτυο ΕΔΥΤΕ, έπειτα προς την υποδομή και τέλος προς την εφαρμογή. Οι επιθέσεις τη Δευτέρα 29/5 ήταν κυρίως εναντίον της εφαρμογής και την Τρίτη 30/5 εναντίον της υποδομής. Όπως αναφέραμε, η πλατφόρμα της AKAMAI δεν προστατεύει στο επίπεδο της υποδομής αλλά στο επίπεδο της εφαρμογής. Για να προστατευθεί η υποδομή έγιναν σχετικές ενέργειες των μηχανικών της ΕΔΥΤΕ μετά από αίτημα των διαχειριστών της εφαρμογής.

Αντιμετώπιση δικτυακών επιθέσεων: Οι επιθέσεις σε επίπεδο δικτύου αυξάνονται παγκοσμίως το τελευταίο διάστημα. Ο δικτυακός προορισμός trapeza.iep.edu.gr που δέχθηκε τις επιθέσεις είναι ένας μόνο σε σύνολο εκατοντάδων χιλιάδων πιθανών στόχων που εξυπηρετούνται μέσω του δικτύου ΕΔΥΤΕ. Σε κάθε περίπτωση όμως, οι συγκεκριμένες επιθέσεις αντιμετωπίστηκαν επιτυχώς και, παρά τις πράγματι δυσάρεστες καθυστερήσεις που σημειώθηκαν, δεν κατάφεραν να εμποδιστεί η λειτουργία της εφαρμογής της Τράπεζας Θεμάτων.

Τεκμηρίωση επίθεσης: Από τα παρακάτω δημοσίως διαθέσιμα γραφήματα (Εικόνες 3 και 4) φαίνεται η σταδιακή και ομαλή αύξηση της κίνησης στις 31/5 και 1/6 όπου δεν εντοπίστηκε επίθεση. Η ομαλή κίνηση αυξάνεται σταδιακά μέχρι ένα μέγιστο μέσα στην ημέρα και σταδικά υποχωρεί. Αντιθέτως, τις πρωινές ώρες της 29/5 εντοπίζεται η κακόβουλη κίνηση ως διακριτή κορυφή νωρίτερα της ομαλής κορύφωσης της κίνησης. Στις 30/5 η αύξηση λόγω της κακόβουλης κίνησης ξεπερνάει σαφώς τη συνολική κίνηση του δικτύου ΕΔΥΤΕ προς το Internet. Στις Εικόνες 1 και 2 φαίνεται εστιασμένη η επίθεση ως αυξημένος ρυθμός επεξεργασίας δικτυακών πακέτων εισερχόμενων από το Internet στους κόμβους «ΕΙΕ» και «ΚΩΛΕΤΤΗ» αντίστοιχα.

Σημειώνουμε ότι η διάγνωση των επιθέσεων γίνεται μέσω των εργαλείων παρακολούθησης των δικτύων και μέσω των αναφορών των εργαλείων προστασίας και όχι μόνο μέσω δημόσια διαθέσιμων δεδομένων. Τα στοιχεία που έχει το ΕΔΥΤΕ σαφώς και είναι διαθέσιμα στην ποινική έρευνα που διενεργείται για την υπόθεση.

Εικόνα 1:Ρυθμός επεξεργασίας δικτυακών πακέτων εισερχόμενων από το Internet, ανά δευτερόλεπτο στον δρομολογητή του κόμβου «ΕΙΕ» του ΕΔΥΤΕ στις 30/5/2023.

Εικόνα 2: Ρυθμός επεξεργασίας δικτυακών πακέτων εισερχόμενων από το Internet, ανά δευτερόλεπτο στον δρομολογητή του κόμβου «ΚΩΛΕΤΤΗ» του ΕΔΥΤΕ στις 30/5/2023.

Εικόνα 3:Ρυθμός επεξεργασίας δικτυακών πακέτων εισερχόμενων από το Internet, ανά δευτερόλεπτο στον δρομολογητή του κόμβου «ΕΙΕ» του ΕΔΥΤΕ για την εβδομάδα 27/5/2023 – 02/06/2023 (https://mon.grnet.gr/rg/286439/details/#tabs=packets).

Εικόνα 4: Ρυθμός επεξεργασίας δικτυακών πακέτων εισερχόμενων από το Internet, ανά δευτερόλεπτο στον δρομολογητή του κόμβου «ΚΩΛΕΤΤΗ» του ΕΔΥΤΕ για την εβδομάδα 27/5/2023 – 02/06/2023

Διευκρινίσεις σε σχέση με την νόμιμη δικτυακή κίνηση:Ο ρυθμός 280 χιλ. πακέτων ανά δευτερόλεπτο που αναφέρεται για την Δευτέρα 29/5 αντιστοιχεί σε περίπου 17 εκ. συνδέσεις ανά λεπτό ή 1 δις ανά ώρα. Την Τρίτη 30/5 οι αντίστοιχοι ρυθμοί επεξεργασίας δικτυακών πακέτων όπως φαίνεται ενδεικτικά από τα παραπάνω γραφήματα είναι 300 εκ. ανά λεπτό ή 18 δις ανά ώρα. Οι ρυθμοί αυτοί υπερβαίνουν κατά πολύ τις λογικές απαιτήσεις για τη νόμιμη κίνηση των εμπλεκόμενων εφαρμογών στις επιθέσεις αυτές. Σχόλια που προτείνουν υπερδιαστασιολόγηση συστημάτων ως τρόπο αντιμετώπισης επιθέσεων DDoS, ή συγκρίνουν μεταξύ τους εφαρμογές με διαφορετικές προδιαγραφές τα θεωρούμε απρόσεκτα και παραπλανητικά, ειδικά όταν προέρχονται από εκπροσώπους του τομέα της πληροφορικής και επικοινωνιών.

Γενικό σχόλιο:Η άμεση ή έμμεση αμφισβήτηση της αξιοπιστίας όσων υπεύθυνα εργάζονται για την διάγνωση και αντιμετώπιση τέτοιων κακόβουλων επιθέσεων, αντί για την καταδίκη όσων τις σχεδιάζουν και τις εκτελούν, θεωρούμε ότι είναι αντιπαραγωγική και κινδυνεύουμε να τις ενθαρρύνουμε αντί να τις αποθαρρύνουμε με τον αποπροσανατολισμό της συζήτησης.

Αναλυτικά η ανακοίνωση της Ένωσης

Και μόνο το πρώτο από τα προβλήματα (τα οποία ανέφεραν ειδησεογραφικά site για την κυβερνοεπίθεση), αυτό της κατάρρευσης επί δύο ημέρες της Τράπεζας Θεμάτων στην πλατφόρμα του ΙΕΠ (https://trapeza.iep.edu.gr), ταλαιπώρησε χιλιάδες μαθητές Γενικών Λυκείων και ΕΠΑΛ, αρκετοί εκ των οποίων θα καλούνταν να συμμετάσχουν στις Πανελλήνιες Εξετάσεις της Γ’ ΓΕΛ και ΕΠΑΛ ελάχιστες ημέρες μετά.

Αυτό που ανακοινώθηκε επισήμως από τα συναρμόδια υπουργεία Παιδείας και Ψηφιακής Διακυβέρνησης για το συγκεκριμένο πρόβλημα ήταν ότι οι αντίστοιχοι servers φιλοξενίας είχαν γίνει στόχος πρωτοφανούς μαζικότατης επίθεσης τύπου άρνησης υπηρεσίας (Distributed Denial of Service attack – DDoS) από άγνωστους hackers του εξωτερικού, με αποτέλεσμα την κατάρρευση της πλατφόρμας για πολλές ώρες επί δύο συνεχόμενες ημέρες.

Ως Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) παρακολουθούμε διαρκώς τα ζητήματα που αφορούν την ασφάλεια, τη διαθεσιμότητα και την αξιοπιστία των βασικών υποδομών σε πληροφοριακά συστήματα, ειδικά στον ευρύτερο δημόσιο τομέα. Δυστυχώς, το φαινόμενο της επισφαλούς, πολύ κακής ως και εντελώς καταστροφικής τους λειτουργίας είναι συχνό και έχουμε αναγκαστεί να παρέμβουμε δημόσια πολλές φορές. Ενδεικτικά, μερικά παραδείγματα:

Επίσης, είναι γνωστό ότι στο σχετικά πρόσφατο παρελθόν έχει αποδειχθεί η μαζική διαρροή προσωπικών δεδομένων από κεντρικούς οργανισμούς και συστήματα όπως το TAXISnet (https://is.gd/pEX9HP) και τα ΕΛΤΑ (https://is.gd/bTy5oJ), χωρίς ποτέ να δοθούν επαρκείς εξηγήσεις για τα ακριβή αίτια, ούτε όπως φαίνεται να έχουν αξιοποιηθεί τα αντίστοιχα περιστατικά ως μάθημα για το μέλλον. Στο πιο πρόσφατο περιστατικό της κατάρρευσης της πλατφόρμας του ΙΕΠ, αντιλαμβάνεται κανείς εύκολα ότι γεννιούνται τα ακόλουθα ερωτήματα:

1. Κατά τη σχεδίαση του όλου έργου είχαν ληφθεί τα απαραίτητα μέτρα θωράκισης από κακόβουλες ενέργειες; Ποια ακριβώς ήταν αυτά, ποιες δοκιμές (stress tests) είχαν πραγματοποιηθεί και ποιος διασφάλισε το απαραίτητο επίπεδο αξιοπιστίας και διαθεσιμότητας της υπηρεσίας προτού τεθεί σε πραγματική χρήση;

Θυμίζουμε πως η φετινή ήταν η δεύτερη χρονιά λειτουργίας της Τράπεζας Θεμάτων Διαβαθμισμένης Δυσκολίας (Τ.Θ.Δ.Δ.) απ’ το Υπουργείο Παιδείας, ενώ μέχρι πριν τις 29/5 ο ιστότοπος δεν υποστήριζε καν τη λεγόμενη ασφαλή σύνδεση (HTTPS/SSL),όπως φαίνεται και από σχετικές εικόνες. Να υποθέσουμε λοιπόν πως οφείλεται καθαρά στην τύχη το ότι πέρυσι δεν είχε παρουσιαστεί καμία απολύτως δυσλειτουργία; Επίσης, γιατί δεν υπήρχε “Plan B” για τέτοιες περιπτώσεις κατάρρευσης ή -έστω- μη αποδεκτού downtime της πλατφόρμας; Θα μπορούσε π.χ.να επιτραπεί στους εκπαιδευτικούς να χρησιμοποιήσουν θέματα απ’ τη σχετική υπηρεσία του ΙΕΠ για το κοινό (public):

Αφότου έγινε η φερόμενη “επίθεση” τη Δευτέρα 29/5, φαίνεται ότι ελήφθησαν κάποια μέτρα τελευταίας στιγμής και εξαιρετικά βιαστικά, ώστε αυτό να μην επαναληφθεί. Γνωρίζουμε ότι από την επόμενη ημέρα, Τρίτη 30/5, η βασική υποδομή της πλατφόρμας υποστηρίζεται από συγκεκριμένη διαδικτυακή υπηρεσία (Akamai cloudbase), η οποία προσφέρει πολύ αυξημένη εξειδίκευση και ανθεκτικότητα απέναντι σε τέτοιου είδους περιστατικά. Παρόλα αυτά, το ίδιο πρόβλημα παρουσιάστηκε ξανά, χωρίς ουσιαστική διαφοροποίηση σε σχέση με την προηγούμενη ημέρα, ενδεχομένως λόγω κακής ή ελλιπούς παραμετροποίησης για την ενεργοποίηση των πρόσθετων υπηρεσιών έναντι DDoS επιθέσεων.

Γιατί συνέβη αυτό; Σημειώνουμε ότι σε τεχνικό επίπεδο οι επιθέσεις DDoS μπορούν να αντιμετωπιστούν με πολλαπλούς τρόπους και διαδικασίες, οι οποίες μάλιστα δεν είναι εξεζητημένες ή κοστοβόρες, όπως για παράδειγμα IP geolocation filtering, next generation firewalls (NGFW), πολλαπλές “εισόδους” με δυναμική ανάθεση server IP, κ.ο.κ. Γιατί δεν ήταν ενεργά τέτοια αντίμετρα ήδη πριν από τις 29/5;

3. Πώς τεκμηριώνεται ότι πράγματι συνέβη τέτοιου είδους μαζική και “πρωτοφανής” επίθεση DDoS στις συγκεκριμένες δύο ημερομηνίες κατά της πλατφόρμας του ΙΕΠ; Σημειώνεται ότι, με βάση τα δημόσια διαθέσιμα δεδομένα, αναφορές ασφάλειας και χάρτες αναφοράς τέτοιων καθημερινών περιστατικών διεθνώς, πουθενά δεν προκύπτει ότι υπήρξε κάποια εξαιρετικά αυξημένη κίνηση στοχευμένα προς την πλατφόρμα του ΙΕΠ σαν και αυτή που περιγράφηκε από τις ανακοινώσεις των αρμοδίων.

Αντίθετα, φαίνεται πως η κίνηση δεδομένων που απεικονίζεται για παράδειγμα στις 29/5 δεν ήταν μεγαλύτερη από την αντίστοιχη των προηγούμενων ημερών, ενώ περιπτώσεις ακριβώς αντίστοιχης κίνησης λίγες μέρες νωρίτερα δε φαίνεται να είχαν δημιουργήσει κανένα πρόβλημα ή υποψία “επίθεσης” (https://is.gd/mSexNe , https://is.gd/lUD9Sz).

Επίσης, η αναφερόμενη DDoS επίθεση στις 29-30/5 στην Ελλάδα δεν φαίνεται να εμφανίζεται σε διεθνείς υπηρεσίες καταγραφής παρόμοιων περιστατικών σε καθημερινή βάση, όπως αυτή του Cloudflare Radar (https://is.gd/Dx6TIf). Aξίζει να αναφερθεί ότι τόσο για την 1η ημέρα (29/5) στην υποδομή του GRnet, όσο και για τη 2η μέρα (30/5) στην υποδομή του Akamai, ροές δεδομένων αυτής της τάξης μεγέθους είναι εκατοντάδες φορές μικρότερη από αυτές που ιστορικά έχουν δεχτεί σε τέτοιους τύπου επιθέσεις και έχουν ανταπεξέλθει επιτυχώς (https://is.gd/JrqfY6).

Συνεπώς, ακόμη και αν συνέβη επίθεση στην πλατφόρμα του ΙΕΠ όπως αυτή που αναφέρεται, δεν θα έπρεπε να εμφανιστεί πρακτικά κανένα σημαντικό πρόβλημα. Ενδεικτικά, η υπηρεσία Single-Sign-On (SSO) του Πανελλήνιου Σχολικού Δικτύου (ΠΣΔ), η οποία χρησιμοποιείται κάθε φορά που ένας εκπαιδευτικός ή μαθητής θα χρειαστεί να διαβάσει τα e-mails του ή να συνδεθεί σε eclass, e-me, WebEx κλπ. και την οποία επίσης χρησιμοποιεί το ΙΕΠ για σύνδεση και με την Τ.Θ.Δ.Δ., συχνά δέχεται σαφώς μεγαλύτερο αριθμό επισκέψεων από αυτόν που αναφέρουν στην ανακοίνωσή του και όμως δεν καταρρέει.

Να σημειώσουμε επίσης ότι το πλήθος των αιτημάτων που ανακοινώθηκε ότι δέχτηκαν τα συστήματα του ΙΕΠ, δε συνάδει με το προφίλ εξειδικευμένων επιθέσεων DDoS που εκμεταλλεύονται εγγενείς αδυναμίες κάποιων εγκαταστάσεων, όπως για παράδειγμα επιθέσεις Slow HTTP Attack (https://is.gd/Jr39P0).

Όλα τα παραπάνω, όχι μόνο για την περίπτωση της πλατφόρμας του ΙΕΠ, συνηγορούν ότι κατά πάσα πιθανότητα βρισκόμαστε και πάλι μπροστά στα αποτελέσματα της προχειρότητας, της έλλειψης σοβαρότητας, της έλλειψης σωστής μελέτης σχεδίασης και αποτίμησης ρίσκου, καθώς και της εν γένει αντιμετώπισης των έργων και υποδομών των Τεχνολογιών Πληροφορικής και Τηλεπικοινωνιών (ΤΠΕ) ως κάτι δευτερεύον, όχι και τόσο σημαντικό, κάτι που ακόμα και όταν αστοχεί δεν έγινε κάτι πολύ κακό.

Δυστυχώς, η Πληροφορική στην Ελλάδα εξακολουθεί να αντιμετωπίζεται ως μη-επιστήμη, χωρίς τεχνικές προδιαγραφές και απαιτήσεις αξιοπιστίας, η οποία δεν απαιτεί τίποτα παραπάνω από “μεράκι” και “τέχνη”. Δεν είναι τυχαίο το ότι ακόμα και σήμερα η περιγραφή επαγγέλματος για τον τεχνικό δικτύων Η/Υ μεταλυκειακής βαθμίδας (π.χ.απόφοιτοι ΙΕΚ και ΕΠΑΛ) στο αντίστοιχο πλαίσιο του ΕΟΠΠΕΠ εντάσσεται στην κατηγορία 3, μαζί με Στυλίστες, Διακοσμητές, κτλ (“Γ: Επαγγέλματα για την άσκηση των οποίων δεν είναι απαραίτητη η κτήση τίτλου σπουδών” – https://is.gd/mj2jyg) – γεγονός που ως ΕΠΕ έχουμε καταγγείλει δημόσια εδώ και χρόνια (“Επαγγελματικά δικαιώματα πιστοποιημένων από τον ΕΟΠΠΕΠ αποφοίτων ΕΠΑΛ και ΙΕΚ ειδικοτήτων Πληροφορικής”- https://is.gd/HXhnD8 , https://is.gd/n9tpcy).

Είμαστε βέβαιοι ότι η ελληνική Δικαιοσύνη, με τη συνδρομή της Δίωξης Ηλεκτρονικού Εγκλήματος, θα εντοπίσει τα αίτια που προκάλεσαν το πρόβλημα. Καλούμε τους αρμόδιους φορείς να δημοσιοποιήσουν αναλυτικά τα ευρήματα της έρευνας όταν ολοκληρωθεί.

Καλούμε επίσης όλους τους συναρμόδιους φορείς και υπηρεσίες να πράξουν τα δέοντα για την άμεση δημοσιοποίηση στοιχείων ως προς τα τεχνικά χαρακτηριστικά της φερόμενης επίθεσης μόλις αυτά γίνουν διαθέσιμα, όπως ενδεικτικά το είδος των αιτημάτων που έγιναν προς τους εξυπηρετητές – ενδεικτικά GET/POST/PATCH requests, είδος/μέγεθος και ταχύτητα μετάδοσης payload, προορισμός/endpoint διεύθυνσης προορισμού, κλπ.

Τα στοιχεία αυτά θα επιτρέψουν τη μελέτη της περίπτωσης από τους τεχνικούς άλλων οργανισμών με σκοπό την κατανόηση των αδυναμιών και την υλοποίηση μεθόδων αποφυγής παρόμοιων προβλημάτων στο μέλλον.

Παρόλα αυτά, είναι βέβαιο ότι δυσλειτουργίες ψηφιακών υπηρεσιών θα εξακολουθούν να παρουσιάζονται, είτε λόγω αστοχίας υλικού, είτε λόγω κακού σχεδιασμού, είτε λόγω δολιοφθοράς, είτε για δεκάδες ακόμη λόγους, όσο δεν διαμορφώνεται το κατάλληλο θεσμικό πλαίσιο. Είμαστε αναγκασμένοι να επαναλάβουμε ξανά τις πάγιες θέσεις και προτάσεις μας για:

1. Τον καθορισμό κανόνων ανάπτυξης λογισμικού για τις υπηρεσίες του ευρύτερου δημοσίου τομέα.

2. Τον καθορισμό κανόνων διασφάλισης ποιότητας, βάσει των οποίων θα γίνονται όλα τα έργα ΤΠΕ και οι προμήθειες λογισμικού.

3. Την ίδρυση Εθνικού Επιμελητηρίου Επικοινωνιών και Πληροφορικής (ΕΘΕΕΠ) το οποίο θα είναι υπεύθυνο για τον καθορισμό των παραπάνω κανόνων.

4. Την ενίσχυση των ΤΠΕ ειδικά στη Δημόσια Διοίκηση, τόσο σε υποδομές όσο και σε κατάλληλο επιστημονικό προσωπικό.

Παράλληλα επισημαίνεται ότι «διαπιστώθηκε η οργανωτική και επιχειρησιακή επάρκεια των φορέων της Ελληνικής Δημοκρατίας» για να αντιμετωπιστούν παρόμοιες επιθέσεις στο μέλλον.

Αναλυτικά η ανακοίνωση της Κυβέρνησης

«Μετά τα σοβαρά περιστατικά επιθέσεων στα συστήματα του υπουργείου Παιδείας για τη μετάδοση των θεμάτων των εξετάσεων των προαγωγικών και απολυτήριων εξετάσεων, ο Πρωθυπουργός Ιωάννης Σαρμάς συγκάλεσε ευρεία σύσκεψη των συναρμόδιων υπουργείων και φορέων για την αποτίμηση της κατάστασης.

Οι επιθέσεις ήταν μεγάλης έντασης και παραπέμπουν σε ισχυρό κίνητρο και τεχνογνωσία ωστόσο αποκρούστηκαν αποτελεσματικά από τις υπηρεσίες των συναρμόδιων υπουργείων.

Διαπιστώθηκε η οργανωτική και επιχειρησιακή επάρκεια των φορέων της Ελληνικής Δημοκρατίας να κινητοποιήσουν αν χρειαστεί ό,τι είναι αναγκαίο προς αντιμετώπιση κυβερνοεπιθέσεων που μπορεί να επιχειρηθούν στο αμέσως προσεχές μέλλον».

«O ΔΕΣΦΑ δέχθηκε κυβερνοεπίθεση σε μέρος της υποδομής πληροφορικής του από κυβερνοεγκληματίες που προσπάθησαν να έχουν παράνομη πρόσβαση σε ηλεκτρονικά αρχεία και με επιβεβαιωμένη επίπτωση στη διαθεσιμότητα ορισμένων συστημάτων και πιθανή διαρροή αριθμού αρχείων και δεδομένων. Καταφέραμε να διασφαλίσουμε και να συνεχίσουμε τη λειτουργία του Εθνικού Συστήματος Φυσικού Αερίου (ΕΣΦΑ) με ασφαλή και αξιόπιστο τρόπο. Η διαχείριση του ΕΣΦΑ συνεχίζει να λειτουργεί ομαλά και ο ΔΕΣΦΑ συνεχίζει να προμηθεύει με φυσικό αέριο όλα τα σημεία εισόδου και εξόδου της χώρας με ασφάλεια και επάρκεια», αναφέρει αρχικά ο Διαχειριστής Εθνικού Συστήματος Φυσικού Αερίου.

Και συνεχίζει: «Διερευνούμε τα βαθύτερα αίτια της επίθεσης και έχουμε κινητοποιήσει ομάδες τεχνικών κι εξειδικευμένων εμπειρογνωμόνων για να μας βοηθήσουν σε αυτό το θέμα, καθώς και στην ανάκτηση των συστημάτων στην κανονική λειτουργία, το συντομότερο δυνατό. Για την προστασία των πελατών και των συνεργατών μας, απενεργοποιήσαμε προληπτικά τις περισσότερες από τις υπηρεσίες πληροφορικής μας. Επαναφέρουμε σταδιακά τα πληροφοριακά και λειτουργικά συστήματά μας.

»Έχουμε ήδη ενημερώσει όλες τις αρμόδιες αρχές και οργανισμούς και συνεχίζουμε να συνεργαζόμαστε στενά με το Υπουργείο Ψηφιακής Διακυβέρνησης, την Αρχή Προστασίας Δεδομένων, τη Δίωξη Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ., το Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ) καθώς και με το Υπουργείο Περιβάλλοντος & Ενέργειας και τη Ρυθμιστική Αρχή Ενέργειας για την επίλυση του ζητήματος και την ελαχιστοποίηση τυχόν πιθανών επιπτώσεων.

»Ο ΔΕΣΦΑ παραμένει ακλόνητος στη θέση του να μη συνδιαλέγεται με κυβερνοεγκληματίες».