neprihlásený Nedeľa, 5. februára 2023, dnes má meniny Agáta
Parlament neodpovedá, ako bol hlasovací systém oddelený od Internetu

Značky: bezpečnosťštát

DSL.sk, 8.11.2022


Národná rada Slovenskej republiky ani po opakovaných otázkach neodpovedá, ako bol pred IT incidentom na konci októbra oddelený hlasovací systém na sieťovej úrovni od iných systémov a tým aj od Internetu.

Ako sme opakovane informovali, vo štvrtok 27. októbra prišlo v parlamente k sieťovému IT incidentu spôsobujúcemu nefunkčnosť rozličných zariadení vrátane hlasovacieho systému.

Predstavitelia vedenia parlamentu najskôr tvrdili, že išlo o hackerský útok. Informácie sme od začiatku spochybňovali a následne sa ukázalo, že išlo o technický problém.

Jeden z poslancov podľa jeho vlastných informácií zastrčil ethernetový kábel, ktorý videl nezapojený, do ethernetového portu pre poslanecké zariadenia na jeho mieste na jednom z výborov. Kam bol zapojený druhý koniec kábla parlament zrejme oficiálne nezverejnil, v sieti ale zrejme vznikol problém so slučkou. Podľa stanoviska parlamentu totiž následne prišlo k veľkej dátovej prevádzke a najmä podľa parlamentu bol príčinou "nevhodný manažment redundantných prepojení lokálneho uzla siete zloženého z viacerých prepínačov stacku s nadradeným sieťovým segmentom".

Na opakované otázky parlament neposkytol technické detaily.

Najzávažnejšie na celom incidente je, že ovplyvnil aj systém používaný na hlasovanie v parlamente. Už v prvom článku krátko po incidente sme kládli otázku, či je hlasovací systém v parlamente oddelený od verejného Internetu a iných systémov.

Podľa popisu incident vznikol v časti siete, ktorá má zrejme prepojenie dokonca aj s verejným Internetom. Poslanci predpokladane totiž vedia zo svojich zariadení v parlamente pristupovať na Internet. Napriek tomu incident znefunkčnil aj hlasovací systém, ktorým poslanci rozhodujú o legislatíve tejto krajiny.

Parlamentu sme sa opakovane pýtali, ako bol hlasovací systém na sieťovej úrovni oddelený od iných systémov. Národná rada doteraz neodpovedala.

K incidentu s takýmito prejavmi by potenciálne mohlo prísť aj keby bol hlasovací systém relatívne dostatočne bezpečne oddelený pomocou najmä konfigurácie portov a VLAN na sieťových prepínačoch, iba sa v jeho infraštruktúre využívali prepínače zároveň používané aj pre iné časti siete a veľká dátová prevádzka v iných častiach siete by znefunkčnila tieto prepínače. Nie je známe, či nastal tento prípad alebo hlasovací systém v skutočnosti nebol na sieťovej úrovni dostatočne bezpečne oddelený od iných systémov parlamentu a dokonca zariadení poslancov a verejného Internetu.

Hoci parlament vo vyjadrení hovorí o nadmernom vyťažení CPU na jednotlivých PC, v stanovisku nespomína preťaženie sieťovej infraštruktúry. Zároveň na konci uplynulého týždňa informoval, že až teraz realizoval segmentáciu siete týkajúcu sa hlasovacích zariadení. "Odborní zamestnanci Kancelárie NR SR pripravili a realizovali riešenia zamerané na segmentáciu počítačovej siete tak, aby aj v prípade náhodného vzniku identického alebo podobného kybernetického incidentu bolo možné zabezpečiť kontinuálnu prevádzku hlasovacieho zariadenia v rokovacej sále NR SR," informoval v piatok parlament.


      Zdieľaj na Twitteri



Najnovšie články:

Objavených 12 nových mesiacov Jupitera, znovu predbehol Saturn
Výrobca pracovných staníc kritizuje spoľahlivosť Samsung SSD, prešiel na inú značku
Polícia prezradila emailové adresy viac ako dvesto ľudí, zle poslaným emailom
Helikoptéra na Marse uskutočnila po dlhom čase prieskumný let
Apple zariadení sa používajú dve miliardy
Webbov teleskop mal problém s prístrojom, spôsobilo ho zrejme kozmické žiarenie
Vydaný LibreOffice 7.5
AMD oznámila cenu a termín dostupnosti Ryzenov 7000X3D s veľkou L3 cache
Známe mesto pristúpilo k dramatickému obmedzeniu verejného osvetlenia, úplne ho vypína
Predaje PC, tabletov aj mobilov majú klesnúť aj v tomto roku


Diskusia:
                               
 

to sú tajné veci predsa
Odpovedať Známka: 9.2 Hodnotiť:
 

také tajné, že to ani oni nevedia...
Odpovedať Známka: 8.5 Hodnotiť:
 

Skor si nechcu urobit hanbu.
Odpovedať Známka: 8.9 Hodnotiť:
 

Otázka je skôr, čo si poslanci chceli urobiť.

Jednoducho DVA TÝŽDNE PRÁZDNIN.

A kto to potreboval najviac, aby stihol obšťastniť všetky mamičky svojich detí a ešte aj stihol cestu do Dubaja?

Takže takéto možnosti si potrebujú zachovať a objavia sa aj v budúcnosti. Najneschopnejší IT menežer je v tomto prípade najžiadanejši.
Odpovedať Známka: 10.0 Hodnotiť:
 

Security by obscurity.
Odpovedať Známka: 10.0 Hodnotiť:
 

Normalne sa chlapik nudil na meetingu a prepojil dve zasuvky vedla seba kablom ktory tam bol na pripajanie notebookov. To iste raz spravil kolega a tiez sme boli pol dna bez internetu..
Odpovedať Známka: 9.0 Hodnotiť:
 

Ked ti chyba spanning-tree bpduguard enable na accessovych portoch ale portfast samozrejme pouzivas..
Odpovedať Známka: 2.0 Hodnotiť:
 

A tušíš vôbec, aký traktát by trebalo vypotiť pre takúto odpoveď na stackoverflow podľa guidlines nového menežmentu, kladúcich dôraz na jej výučbový aspekt? Šak by v polke scrollovania trebalo myške prezuť kolesá na letné a pred strhujúcim vyvrcholením priekazne zase naspäť.
Odpovedať Známka: 1.1 Hodnotiť:
 

Broadcast storm nie je spanning tree. Uz sa to vysvetlovalo v minulom clanku. BPDU guard by na edge porte ako pomohol?
Odpovedať Hodnotiť:
 

No tak, ze ked by na nejakom porte switch zbadal BPDU (svoje vlastne), tak by ho hned hodil do err-disable. Toto je uplne bezna prax.
Odpovedať Hodnotiť:
 

To iste, ale na edge port sa BPDU neposiela, takze ked spravis slucku, ziadny sa na druhom porte neprijme. To ze BPDU guard sa bezne pridava, je pravda, ale ochrani ta to max pred zlym prepojenim switchov, alebo zariadenim pripojenym na cierno.
Odpovedať Hodnotiť:
 

Z incidentu jasne vyplýva, že PC treba osadiť väčšou RAMkou, aby mali dostatočnú rezervu na hladký a rýchly chod bez sekania, z čoho bude benefitovať poslanec pri hraní Wolfensteina.
Odpovedať Známka: 2.5 Hodnotiť:
 

Ak je pravda, ze jeden kabel narobil takuto saraptu, tak sef parlamentneho IT oddelenia by sa mal odporucat. A nie do inej firmy, ani na vyssiu poziciu, ale vrelo doporcujem mimo IT sektora ako celku. Pretoze mat siet v takomto stave moze tolerovat len ciste h**vado.
Odpovedať Známka: 10.0 Hodnotiť:
 

A akože aký je najzávažnejší potenciálny dôsledok toho, že to tak nechá? Ale v eurách a presne. Aby bolo jasné, či si admin môže obhájiť vyúčtovanie aspoň 5. minút priekazne v súlade s hodnotiacou metodikou Útvaru hodnoty za peniaze MF.
Odpovedať Známka: -1.4 Hodnotiť:
 

Najskor by som chcel prepis jednania veduceho IT a nadriadeneho, potom by si zistil ze je to casto chyba nadriadeneho kindermamangmentu, ktory veselo ignoruje odborne rady...


Odpovedať Známka: 10.0 Hodnotiť:
 

Musí sa to zlo diať ? Veronika chcela mať besedu ako úspešne zaviedli 802.1x, STP, DHCP snooping
Odpovedať Známka: 10.0 Hodnotiť:
 

silne sa obavam, ze Vernika po tvojom slove "zaviedli" by uz netusila o com je rec.. :-D
Odpovedať Hodnotiť:
 

To, ze amaterski IT spravcovia v parlamente nepoznaju STP/port-security/NAC/.1x alebo mnoho dalsich sposobov na zabezpecenie pristupu PC/laptopu k sieti je hanba a v podstate na vyhadzov.

Je celkom zrejme co sa stalo, x krat som nieco podobne troubleshootoval. Ak na portoch nebezi STP (spanning tree protocol), tak ak sa prepoja 2 porty na switchi, vznika L2 loop, a kedze L2 switch nedecrementuje TTL, pakety budu chodit dokolecka dokola. Takto vznikne high CPU na lokalnom switchi a oversubscription (packet dropy) na portoch loopy.

Odpovedať Známka: 10.0 Hodnotiť:
 

Co je ale horsie je, ze v trafike loopy su aj broadcast pakety (napr. ARP requesty) a tieto sa budu replikovat do ostatnych portov broadcast domeny (VLAN) kazdym prechodom takeho paketu cez loopnuty port. Vysledkom su tisice (stovky tisic, podla vykonu switcha) ARP requestov za sekundu, odosielane do siete, do celej broadcast domeny. Na ARP requesty je slusne odpovedat, ale na takyto napor je maloktora platforma pripravena (da sa robit control plane policing napr.), a nastava high CPU aj vo vzdialenych switchoch/routroch.

High CPU na switchoch/routroch sposobuje control plane protocol (OSPF, ISIS, BGP, MPLS) flapping, kedze CPU nedokaze odpovedat na keepalivy.

Odpovedať Známka: 10.0 Hodnotiť:
 

TLDR: Netreba obvinovat poslancov, system ma byt odolny voci normalnym userom, idiotom a aj hackerom. Na chybe je amatersky pristup spravcov siete. Aj stare platformy sa daju nastavit tak, aby sa podobne veci nemohli stat, a ak sa nedaju, tak uz velmi davno mal byt spraveny report o shitnom systeme a mal bezat tender na renovaciu siete. Ale nie za 20 milionov eur! Kedze tolko zvycajne nestoji ani renovacie core siete velkych ISP.
Odpovedať Známka: 10.0 Hodnotiť:
 

Stat nevie zaplatit poriadneho IT odbornika a tak to aj dopada. Za tie ich tabulkove platy, ktore tazko zaostavaju za sukromnym sektorom, tam nitko znaly robit nepojde.
Odpovedať Známka: 10.0 Hodnotiť:
 

Tie stare platformy potvrdzujem... niekedy pred rokom 2010 nam toto iste spravil jeden zamestnanec s volne pohodenym kablom a cela strukturalka lahla rovnako ako nasim poslancom... ale na uz vtedy postarsich Linksys switchoch (cize obycajnom consumer level HW) som nasiel volbu "Broadcast Storm Protection", zapal a odvtedy uz problem nesiel reprodukovat... vybavene.
Odpovedať Hodnotiť:
 

Toto som pisal pod predchadzajucim clankom. Broadcast storm ti moze zhodit aj oddelene segmenty, ked ti kvoli high CPU na routri (L3 switchi) klaknu routovacie protokoly.
Odpovedať Hodnotiť:
 

Ubezpecujem ta, ze som zazil lahnute LANky a broadcast stormy a na kazdej bezal STP. Co mate vsetci s tym STP? Dalej ste sa na CCNA nedostali?
Odpovedať Známka: 0.0 Hodnotiť:
 

No ved tym kablom co tam lezal :D
Odpovedať Hodnotiť:
 

No a ste sa mi smiali ked som odporucal aby ste mokre spagaty posypovali stiplavou paprikou. Takto by nic neprepajali...
Odpovedať Známka: 10.0 Hodnotiť:
 

co sa vsetci cudujete, ved urcite tuto zakazku na parlamentnu IT siet dostal synovec niekoho z nasich ludi stalo to urcite 8x viac ako normalna cena, kupil sa najlacnejsi HW co to slo a penazky isli pekne tam kam mali ist :-)
Odpovedať Známka: 10.0 Hodnotiť:
 

Toto nieje o statnej zlodejine ale o nekompetentnosti spravcov siete NRSR . Aj "najlacnejsi HW" sa da nastavit dobre ak problematike clovek rozumie. Ak nie , mozes mat zelezo za miliony a vysledok je , ze ti co nemaju ani potuchy ze existuje zazracna krabicka menom switch "informuju" verejnost cez media o hekerskom utoku :)
Odpovedať Známka: 10.0 Hodnotiť:
 

To da rozum, ze ani prezentujte sa a hlasujte poslanci nemozu, pretoze v rokovacom poriadku je, ze ani picu ukazat nemozu v ramci prezentacie v power-pointe...
Odpovedať Hodnotiť:
 

Dobre, on teraz také slovo povedal, vypovedal.
Pred všetkýma svědkami, že on nemá teraz žiadny kábel.
Ďakujem za to všetko, za spoluprácu, čo... Je to pravda.
On môže teraz vypovedať za všetkými, čo čuju teraz svedkové,
že teraz nemajú kabel.
Ale vtedy keľo ľudze sme palili s ním elektrinu vtedy káble..
TUKABEL, TUKABEL, TUKABEL, či ten... počúvajte dobre.
TUKABEL,TUKABEL,TUKABEL,TUKABEL, hej?
No a on to po peneži užíval na automatoch a tam čo pridával tých ludzom
čo on znal, že kemu, kemu ne.
A čo spravil s penežami, keď ľudze platily každý deň?
Teľo a teľo a teľo.. Prečo vypli ľudzoch von?
Ešte vybral peneži a išol na automatoch hrať a on to žiadal dzedzine pridavky?
Jak on vypoveda?
On toto nech vypoveda, ne teraz jak ma sám elektrinu.
Jak ľudzoch vypnú von... a on potreboval ten peneži...
Automatoch, že nemáme živého otca a živého kráľa, že čisté svedomie poviem pravdu.
Odpovedať Známka: 1.4 Hodnotiť:
 

povedala "čites" a nie "či ten".
po cigánsky "drž piču"
Odpovedať Známka: 10.0 Hodnotiť:
 

myslím že povedala čít het ale rýchlo za sebou takže to znelo ako číthet
Odpovedať Hodnotiť:
 

jasne, ze su napojene na internet, ved ako inac by pani poslanci hlasovali zo svojho distancneho pracoviska v teple domova, pripadne plaze?
Odpovedať Hodnotiť:
 

Ono ked staci poslat na slovensko.sk podpisany dokument z tahiti nie je mi jasne preco by poslanec zaradenim na citanie obcianskeho za 50 eur nemal dokazat to iste zo svojim hlasovanim. Usetril som 20 mil za vymenu a ak mi daju 2 miliony tak im to nakodim.
Odpovedať Hodnotiť:
 

Vobec by ma neprekvapilo, keby cela ta siet fungovala na rozlicnej IP adresacii, ale bez VLAN, takze vlastne cela bezpecnost siete by spocivala iba v roznej adresacii a principu rozdielu switch oproti hub.
Zazil som uz to uz vo viacero firmach, ze na nemanageovatelon switchi boli zapojene PC v LAN, server s WAN a este aj VoIP telefony. Aky bordel tam sietou behal je lahke si predstavit...
Mozno v parlamente mali manageovatelne switche v default konfiguracii (VoIP auto VLAN, zvysok iba 1 VLAN) a preto to dopadlo tak ako to dopadlo.
Odpovedať Hodnotiť:
 

alebo to maju vsetko v maske 255.0.0.0 aby sa nemuseli trapit s konfiguraciou a mali vsetko pekne na jednom mieste.
Odpovedať Hodnotiť:
 

Mozes mat aj VLAN aj co chces, ked ale nemas storm-control a CPU routra neostanu prostriedky pre routovacie protokoly, tak ti klakne vsetko, co nema static route.
Odpovedať Hodnotiť:
 

Prečo sa pýtať poslancov čo sa stalo? Niektorí ani nevedia zastrciť kartu na hlasovanie, nie to čo sa stalo. Pýtajte sa tých, čo hlasovací systém dodávali, firma BSP…
Odpovedať Hodnotiť:

Pridať komentár