Parlament neodpovedá, ako bol hlasovací systém oddelený od Internetu

Značky: bezpečnosťštát

DSL.sk, 8.11.2022

Národná rada Slovenskej republiky ani po opakovaných otázkach neodpovedá, ako bol pred IT incidentom na konci októbra oddelený hlasovací systém na sieťovej úrovni od iných systémov a tým aj od Internetu.

Ako sme opakovane informovali, vo štvrtok 27. októbra prišlo v parlamente k sieťovému IT incidentu spôsobujúcemu nefunkčnosť rozličných zariadení vrátane hlasovacieho systému.

Predstavitelia vedenia parlamentu najskôr tvrdili, že išlo o hackerský útok. Informácie sme od začiatku spochybňovali a následne sa ukázalo, že išlo o technický problém.

Jeden z poslancov podľa jeho vlastných informácií zastrčil ethernetový kábel, ktorý videl nezapojený, do ethernetového portu pre poslanecké zariadenia na jeho mieste na jednom z výborov. Kam bol zapojený druhý koniec kábla parlament zrejme oficiálne nezverejnil, v sieti ale zrejme vznikol problém so slučkou. Podľa stanoviska parlamentu totiž následne prišlo k veľkej dátovej prevádzke a najmä podľa parlamentu bol príčinou "nevhodný manažment redundantných prepojení lokálneho uzla siete zloženého z viacerých prepínačov stacku s nadradeným sieťovým segmentom".

Na opakované otázky parlament neposkytol technické detaily.

Najzávažnejšie na celom incidente je, že ovplyvnil aj systém používaný na hlasovanie v parlamente. Už v prvom článku krátko po incidente sme kládli otázku, či je hlasovací systém v parlamente oddelený od verejného Internetu a iných systémov.

Podľa popisu incident vznikol v časti siete, ktorá má zrejme prepojenie dokonca aj s verejným Internetom. Poslanci predpokladane totiž vedia zo svojich zariadení v parlamente pristupovať na Internet. Napriek tomu incident znefunkčnil aj hlasovací systém, ktorým poslanci rozhodujú o legislatíve tejto krajiny.

Parlamentu sme sa opakovane pýtali, ako bol hlasovací systém na sieťovej úrovni oddelený od iných systémov. Národná rada doteraz neodpovedala.

K incidentu s takýmito prejavmi by potenciálne mohlo prísť aj keby bol hlasovací systém relatívne dostatočne bezpečne oddelený pomocou najmä konfigurácie portov a VLAN na sieťových prepínačoch, iba sa v jeho infraštruktúre využívali prepínače zároveň používané aj pre iné časti siete a veľká dátová prevádzka v iných častiach siete by znefunkčnila tieto prepínače. Nie je známe, či nastal tento prípad alebo hlasovací systém v skutočnosti nebol na sieťovej úrovni dostatočne bezpečne oddelený od iných systémov parlamentu a dokonca zariadení poslancov a verejného Internetu.

Hoci parlament vo vyjadrení hovorí o nadmernom vyťažení CPU na jednotlivých PC, v stanovisku nespomína preťaženie sieťovej infraštruktúry. Zároveň na konci uplynulého týždňa informoval, že až teraz realizoval segmentáciu siete týkajúcu sa hlasovacích zariadení. "Odborní zamestnanci Kancelárie NR SR pripravili a realizovali riešenia zamerané na segmentáciu počítačovej siete tak, aby aj v prípade náhodného vzniku identického alebo podobného kybernetického incidentu bolo možné zabezpečiť kontinuálnu prevádzku hlasovacieho zariadenia v rokovacej sále NR SR," informoval v piatok parlament.




Najnovšie články:



Diskusia:

kabel plus Od: Vlekár Boris | Pridané: 8.11.2022 13:11 to sú tajné veci predsa Odpovedať Známka: 9.2 Hodnotiť:

Re: kabel plus Od: veteran z vietnamu | Pridané: 8.11.2022 13:14 také tajné, že to ani oni nevedia... Odpovedať Známka: 8.5 Hodnotiť:

Re: kabel plus Od: asad | Pridané: 8.11.2022 13:54 Skor si nechcu urobit hanbu. Odpovedať Známka: 8.9 Hodnotiť:

Re: kabel plus Od: Jaaasom | Pridané: 8.11.2022 17:25 Otázka je skôr, čo si poslanci chceli urobiť. Jednoducho DVA TÝŽDNE PRÁZDNIN. A kto to potreboval najviac, aby stihol obšťastniť všetky mamičky svojich detí a ešte aj stihol cestu do Dubaja? Takže takéto možnosti si potrebujú zachovať a objavia sa aj v budúcnosti. Najneschopnejší IT menežer je v tomto prípade najžiadanejši. Odpovedať Známka: 10.0 Hodnotiť:

Re: kabel plus Od: aasami | Pridané: 8.11.2022 16:31 Security by obscurity. Odpovedať Známka: 10.0 Hodnotiť:

stava sa Od: lenon | Pridané: 8.11.2022 13:28 Normalne sa chlapik nudil na meetingu a prepojil dve zasuvky vedla seba kablom ktory tam bol na pripajanie notebookov. To iste raz spravil kolega a tiez sme boli pol dna bez internetu.. Odpovedať Známka: 9.0 Hodnotiť:

Re: stava sa Od: annon | Pridané: 8.11.2022 15:30 Ked ti chyba spanning-tree bpduguard enable na accessovych portoch ale portfast samozrejme pouzivas.. Odpovedať Známka: 2.0 Hodnotiť:

ultraradikálny fakticizmus Od: syntaxterrorXXX,. X | Pridané: 8.11.2022 17:27 A tušíš vôbec, aký traktát by trebalo vypotiť pre takúto odpoveď na stackoverflow podľa guidlines nového menežmentu, kladúcich dôraz na jej výučbový aspekt? Šak by v polke scrollovania trebalo myške prezuť kolesá na letné a pred strhujúcim vyvrcholením priekazne zase naspäť. Odpovedať Známka: 1.1 Hodnotiť:

Re: stava sa Od reg.: palqo | Pridané: 9.11.2022 9:25 Broadcast storm nie je spanning tree. Uz sa to vysvetlovalo v minulom clanku. BPDU guard by na edge porte ako pomohol? Odpovedať Hodnotiť:

Re: stava sa Od: PeterKazimir | Pridané: 9.11.2022 11:26 No tak, ze ked by na nejakom porte switch zbadal BPDU (svoje vlastne), tak by ho hned hodil do err-disable. Toto je uplne bezna prax. Odpovedať Hodnotiť:

Re: stava sa Od reg.: palqo | Pridané: 11.11.2022 9:03 To iste, ale na edge port sa BPDU neposiela, takze ked spravis slucku, ziadny sa na druhom porte neprijme. To ze BPDU guard sa bezne pridava, je pravda, ale ochrani ta to max pred zlym prepojenim switchov, alebo zariadenim pripojenym na cierno. Odpovedať Hodnotiť:

Vyťažovanie na výsluchoch. Od: Vizionár | Pridané: 8.11.2022 13:37 Z incidentu jasne vyplýva, že PC treba osadiť väčšou RAMkou, aby mali dostatočnú rezervu na hladký a rýchly chod bez sekania, z čoho bude benefitovať poslanec pri hraní Wolfensteina. Odpovedať Známka: 2.5 Hodnotiť:

dnes má meniny Bohumír Od: Karolko Za Kolko | Pridané: 8.11.2022 14:14 Ak je pravda, ze jeden kabel narobil takuto saraptu, tak sef parlamentneho IT oddelenia by sa mal odporucat. A nie do inej firmy, ani na vyssiu poziciu, ale vrelo doporcujem mimo IT sektora ako celku. Pretoze mat siet v takomto stave moze tolerovat len ciste h**vado. Odpovedať Známka: 10.0 Hodnotiť:

ultraradikálny fakticizmus Od: syntaxterrorXXX,. X | Pridané: 8.11.2022 14:40 A akože aký je najzávažnejší potenciálny dôsledok toho, že to tak nechá? Ale v eurách a presne. Aby bolo jasné, či si admin môže obhájiť vyúčtovanie aspoň 5. minút priekazne v súlade s hodnotiacou metodikou Útvaru hodnoty za peniaze MF. Odpovedať Známka: -1.4 Hodnotiť:

Re: dnes má meniny Bohumír Od: ehjkhkj | Pridané: 9.11.2022 1:24 Najskor by som chcel prepis jednania veduceho IT a nadriadeneho, potom by si zistil ze je to casto chyba nadriadeneho kindermamangmentu, ktory veselo ignoruje odborne rady... Odpovedať Známka: 10.0 Hodnotiť:

ach beda zaúdí Od: mkonigstaggenius | Pridané: 8.11.2022 14:23 Musí sa to zlo diať ? Veronika chcela mať besedu ako úspešne zaviedli 802.1x, STP, DHCP snooping Odpovedať Známka: 10.0 Hodnotiť:

Re: ach beda zaúdí Od reg.: ujo horar | Pridané: 8.11.2022 21:51 silne sa obavam, ze Vernika po tvojom slove "zaviedli" by uz netusila o com je rec.. :-D Odpovedať Hodnotiť:

Amaterizmus! Od: ciernelisca | Pridané: 8.11.2022 14:29 To, ze amaterski IT spravcovia v parlamente nepoznaju STP/port-security/NAC/.1x alebo mnoho dalsich sposobov na zabezpecenie pristupu PC/laptopu k sieti je hanba a v podstate na vyhadzov. Je celkom zrejme co sa stalo, x krat som nieco podobne troubleshootoval. Ak na portoch nebezi STP (spanning tree protocol), tak ak sa prepoja 2 porty na switchi, vznika L2 loop, a kedze L2 switch nedecrementuje TTL, pakety budu chodit dokolecka dokola. Takto vznikne high CPU na lokalnom switchi a oversubscription (packet dropy) na portoch loopy. Odpovedať Známka: 10.0 Hodnotiť:

Re: Amaterizmus! Od: ciernelisca | Pridané: 8.11.2022 14:30 Co je ale horsie je, ze v trafike loopy su aj broadcast pakety (napr. ARP requesty) a tieto sa budu replikovat do ostatnych portov broadcast domeny (VLAN) kazdym prechodom takeho paketu cez loopnuty port. Vysledkom su tisice (stovky tisic, podla vykonu switcha) ARP requestov za sekundu, odosielane do siete, do celej broadcast domeny. Na ARP requesty je slusne odpovedat, ale na takyto napor je maloktora platforma pripravena (da sa robit control plane policing napr.), a nastava high CPU aj vo vzdialenych switchoch/routroch. High CPU na switchoch/routroch sposobuje control plane protocol (OSPF, ISIS, BGP, MPLS) flapping, kedze CPU nedokaze odpovedat na keepalivy. Odpovedať Známka: 10.0 Hodnotiť:

Re: Amaterizmus! Od: ciernelisca | Pridané: 8.11.2022 14:30 TLDR: Netreba obvinovat poslancov, system ma byt odolny voci normalnym userom, idiotom a aj hackerom. Na chybe je amatersky pristup spravcov siete. Aj stare platformy sa daju nastavit tak, aby sa podobne veci nemohli stat, a ak sa nedaju, tak uz velmi davno mal byt spraveny report o shitnom systeme a mal bezat tender na renovaciu siete. Ale nie za 20 milionov eur! Kedze tolko zvycajne nestoji ani renovacie core siete velkych ISP. Odpovedať Známka: 10.0 Hodnotiť:

Re: Amaterizmus! Od reg.: Lenusha | Pridané: 9.11.2022 13:42 Stat nevie zaplatit poriadneho IT odbornika a tak to aj dopada. Za tie ich tabulkove platy, ktore tazko zaostavaju za sukromnym sektorom, tam nitko znaly robit nepojde. Odpovedať Známka: 10.0 Hodnotiť:

Re: Amaterizmus! Od: Rura | Pridané: 9.11.2022 22:27 Tie stare platformy potvrdzujem... niekedy pred rokom 2010 nam toto iste spravil jeden zamestnanec s volne pohodenym kablom a cela strukturalka lahla rovnako ako nasim poslancom... ale na uz vtedy postarsich Linksys switchoch (cize obycajnom consumer level HW) som nasiel volbu "Broadcast Storm Protection", zapal a odvtedy uz problem nesiel reprodukovat... vybavene. Odpovedať Hodnotiť:

Re: Amaterizmus! Od: PeterKazimir | Pridané: 9.11.2022 11:31 Toto som pisal pod predchadzajucim clankom. Broadcast storm ti moze zhodit aj oddelene segmenty, ked ti kvoli high CPU na routri (L3 switchi) klaknu routovacie protokoly. Odpovedať Hodnotiť:

Re: Amaterizmus! Od reg.: palqo | Pridané: 9.11.2022 9:29 Ubezpecujem ta, ze som zazil lahnute LANky a broadcast stormy a na kazdej bezal STP. Co mate vsetci s tym STP? Dalej ste sa na CCNA nedostali? Odpovedať Známka: 0.0 Hodnotiť:

Kablom Od: Dzodzo | Pridané: 8.11.2022 14:44 No ved tym kablom co tam lezal :D Odpovedať Hodnotiť:

poobedňajšie besedy s MC Ružencom na tému aj Vaše dieťa sa zúčastňuje wrestlerských zápasov poza škôlku Od: vajko | Pridané: 8.11.2022 14:54 No a ste sa mi smiali ked som odporucal aby ste mokre spagaty posypovali stiplavou paprikou. Takto by nic neprepajali... Odpovedať Známka: 10.0 Hodnotiť:

fsdfsdfs Od: fdsfds | Pridané: 8.11.2022 15:42 co sa vsetci cudujete, ved urcite tuto zakazku na parlamentnu IT siet dostal synovec niekoho z nasich ludi stalo to urcite 8x viac ako normalna cena, kupil sa najlacnejsi HW co to slo a penazky isli pekne tam kam mali ist :-) Odpovedať Známka: 10.0 Hodnotiť:

Re: fsdfsdfs Od: Kontrolko | Pridané: 8.11.2022 17:30 Toto nieje o statnej zlodejine ale o nekompetentnosti spravcov siete NRSR . Aj "najlacnejsi HW" sa da nastavit dobre ak problematike clovek rozumie. Ak nie , mozes mat zelezo za miliony a vysledok je , ze ti co nemaju ani potuchy ze existuje zazracna krabicka menom switch "informuju" verejnost cez media o hekerskom utoku :) Odpovedať Známka: 10.0 Hodnotiť:

to da rozum Od: provokater | Pridané: 8.11.2022 16:19 To da rozum, ze ani prezentujte sa a hlasujte poslanci nemozu, pretoze v rokovacom poriadku je, ze ani picu ukazat nemozu v ramci prezentacie v power-pointe... Odpovedať Hodnotiť:

Prepis výpovede Od: Svedok skutku | Pridané: 8.11.2022 16:52 Dobre, on teraz také slovo povedal, vypovedal. Pred všetkýma svědkami, že on nemá teraz žiadny kábel. Ďakujem za to všetko, za spoluprácu, čo... Je to pravda. On môže teraz vypovedať za všetkými, čo čuju teraz svedkové, že teraz nemajú kabel. Ale vtedy keľo ľudze sme palili s ním elektrinu vtedy káble.. TUKABEL, TUKABEL, TUKABEL, či ten... počúvajte dobre. TUKABEL,TUKABEL,TUKABEL,TUKABEL, hej? No a on to po peneži užíval na automatoch a tam čo pridával tých ludzom čo on znal, že kemu, kemu ne. A čo spravil s penežami, keď ľudze platily každý deň? Teľo a teľo a teľo.. Prečo vypli ľudzoch von? Ešte vybral peneži a išol na automatoch hrať a on to žiadal dzedzine pridavky? Jak on vypoveda? On toto nech vypoveda, ne teraz jak ma sám elektrinu. Jak ľudzoch vypnú von... a on potreboval ten peneži... Automatoch, že nemáme živého otca a živého kráľa, že čisté svedomie poviem pravdu. Odpovedať Známka: 1.4 Hodnotiť:

Re: Prepis výpovede Od: xxxxxxw | Pridané: 8.11.2022 18:56 povedala "čites" a nie "či ten". po cigánsky "drž piču" Odpovedať Známka: 10.0 Hodnotiť:

Re: Prepis výpovede Od: odborník na osadníctvo | Pridané: 8.11.2022 19:54 myslím že povedala čít het ale rýchlo za sebou takže to znelo ako číthet Odpovedať Hodnotiť:

svet je krasny a uchvatny Od: jahôdka | Pridané: 8.11.2022 19:45 jasne, ze su napojene na internet, ved ako inac by pani poslanci hlasovali zo svojho distancneho pracoviska v teple domova, pripadne plaze? Odpovedať Hodnotiť:

Re: svet je krasny a uchvatny Od reg.: MackoPu1 | Pridané: 8.11.2022 20:49 Ono ked staci poslat na slovensko.sk podpisany dokument z tahiti nie je mi jasne preco by poslanec zaradenim na citanie obcianskeho za 50 eur nemal dokazat to iste zo svojim hlasovanim. Usetril som 20 mil za vymenu a ak mi daju 2 miliony tak im to nakodim. Odpovedať Hodnotiť:

VLAN oddelenie Od: OriginalnyKoumak | Pridané: 9.11.2022 8:20 Vobec by ma neprekvapilo, keby cela ta siet fungovala na rozlicnej IP adresacii, ale bez VLAN, takze vlastne cela bezpecnost siete by spocivala iba v roznej adresacii a principu rozdielu switch oproti hub. Zazil som uz to uz vo viacero firmach, ze na nemanageovatelon switchi boli zapojene PC v LAN, server s WAN a este aj VoIP telefony. Aky bordel tam sietou behal je lahke si predstavit... Mozno v parlamente mali manageovatelne switche v default konfiguracii (VoIP auto VLAN, zvysok iba 1 VLAN) a preto to dopadlo tak ako to dopadlo. Odpovedať Hodnotiť:

Re: VLAN oddelenie Od: jan amos dzinovy | Pridané: 9.11.2022 8:53 alebo to maju vsetko v maske 255.0.0.0 aby sa nemuseli trapit s konfiguraciou a mali vsetko pekne na jednom mieste. Odpovedať Hodnotiť:

Re: VLAN oddelenie Od: PeterKazimir | Pridané: 9.11.2022 11:33 Mozes mat aj VLAN aj co chces, ked ale nemas storm-control a CPU routra neostanu prostriedky pre routovacie protokoly, tak ti klakne vsetko, co nema static route. Odpovedať Hodnotiť:

Pýtajte sa tých čo hlasovací systém dodali Od: Bonzák | Pridané: 10.11.2022 21:17 Prečo sa pýtať poslancov čo sa stalo? Niektorí ani nevedia zastrciť kartu na hlasovanie, nie to čo sa stalo. Pýtajte sa tých, čo hlasovací systém dodávali, firma BSP… Odpovedať Hodnotiť:

Pridať komentár