Одитът на системата за случайно разпределение на делата открил 23 уязвимости

Пленумът на Висшия съдебен съвет гласува договорът с фирмата, която поддържа системата за случайно разпределение на делата, да бъде прекратен и да се търси друга.

© Дневник

Пленумът на Висшия съдебен съвет гласува договорът с фирмата, която поддържа системата за случайно разпределение на делата, да бъде прекратен и да се търси друга.



Висшият съдебен съвет (ВСС) публикува резюмето на одитния доклад на "АМАТАС" ЕАД (четете в прикачения файл), който стана повод за началото на разследване за евентуални опити за пробиви на системата за случайно разпределение на делата. Одиторите са открили общо 23 уязвимости в системата и са ги обособили в три групи - с висок, среден и нисък риск.


Одитът бе предмет на дълги обсъждания и коментари първо от главния прокурор Иван Гешев, който нарече системата "пробита" и изрази съмнения дали изобщо е имало правосъдие през последните 5 години, така и от пленума на Висшия съдебен съвет и министъра на правосъдието Данаил Кирилов.


Централизираната система за случайно разпределение на делата физически е разположена на сървър на Висшия съдебен съвет. Достъпът до нея е ограничен до конкретни ползватели и други технически лица, отговарящи за нейната техническа поддръжка и се осигурява посредством три слоя на защита.




При одита е направен анализ на конфигурацията на сървъра, на който е разположена системата, на базата данни, на кода на приложението и на журналните записи за използване на системата. За тестването са използвани автоматизирани и полуавтоматизирани софтуерни решения, извършени са оценки и проверки от страна на експерти по киберсигурност, пише в резюмето на доклада.


Одитните действия са извършени по начин, който да осигури опазването на нормалната функционалност на системата.


При одита са установени общо 23 технически уязвимости, нивото на риск на които е изчислено спрямо Common Vulnerability Scoring System. Изброяват се и основните уязвимости, които са установени. Те са разделени в три групи - с високо, средно и ниско ниво на риск.


С високо ниво на риск - 11 (47,8%) са уязвимости, свързани с достъпа до системата, както и такива, които в рамките на системата предоставят възможност за нарушаване на сигурността на системата по няколко начина.


Това може да стане чрез неоторизирано добавяне на нов съд, неоторизирана редакция на чужд съд, неоторизирана редакция на съдии от друг съд, редакция на групи от съдии от чужд съд, изтриване на инкрементални номера, неоторизирано изтриване на отсъствия, изтриване на регистрирани дежурства, достъп до данни на потребители от чужд съд, разпределение на дело на съдия от чужд съд.



Одитът оценява със средно ниво на риск - 2 (8,7%) други уязвимости, които в рамките на системата осигуряват потенциална възможност за нарушаване поверителността на информацията в системата. Начините за това са описани в доклада: разкриване на информация за съществуващи потребители, както и за съществуващи съдии.


С ниско ниво на риск - 10 (43,5%) са оценени уязвимости, свързани с настройките за сигурност на системни елементи - част от системата и предварително изискващи достъп до сървъра.


Това са уязвимости тип "Hotlinking", недостатъчна продължителност на заключване на акаунт (Local Group Policy), възможност за добавяне на компютър / устройство към домейн контролер (Local Group Policy), възможност за генериране на системни доклади от операционната система (Local Group Policy), възможност за вписване като "batch job" (Local Group Policy), опция за заместване на токен на процес (Local Group Policy), за спиране на операционната система (Local Group Policy); за блокиране на Microsoft акаунти (Local Group Policy), за преименуване на посетителски акаунти (Local Group Policy) и за форматиране на закачени преносими устройства (Local Group Policy).


"Установените при одита уязвимости представляват риск, като експлоатирането на част от тях би могло, при наличието на допълнителни предпоставки, в това число и предварително осигурен достъп, да доведе до неоторизирани промени в резултатите от разпределението на дела", твърдят одиторите.


Освен това в доклада се посочва, че тестовете за оценка на сигурността не са установили техническа възможност за достъп до системата отдалечено, без съответното лице да бъде предварително и ръчно оторизирано от лицата, отговорни за това.


Одитиращото дружество не е имало задача да извършва проверки за установяване на действителни нарушения на сигурността на системата, в т.ч. за осъществен неоторизиран достъп и за извършени манипулации при разпределението на дела от системата, и такива проверки не са извършвани.

"Въпреки това, по време на тестовете за оценка на сигурността са забелязани журнални файлове със следи от потенциално злонамерена дейност спрямо системата от страна на IP адрес с локация гр. София. Опитите за неоторизиран достъп до базата данни са се състояли между 22:38 ч. и 22:47 ч. на 4-ти октомври 2016 година, като за същите са използвани автоматизирани инструменти. Няма информация относно получения отговор от страна на сървъра", пише в одитния доклад.


На база резултатите от одита е констатирано, че системата за разпределение на делата е разработена с фокус върху нейната функционалност. В същото време, тя не е защитена с достатъчно надеждни контроли за сигурност от техническа гледна точка, съответстващи на нейното предназначение и отговарящи на добрите практики и стандарти по информационна сигурност, тъй като системата използва остарели технологии, подчертават одиторите.


Въз основа на констатираните уязвимости, с одитния доклад са дадени конкретни препоръки за тяхното отстраняване, както и за цялостното подобряване на сигурността. Специални препоръки са дадени по отношение на уязвимостите, свързани с достъпването на системата, доколкото такива уязвимости са една от най-често срещаните причини за компрометиране на информационни системи и същите могат да позволят на външни лица да достъпят директно базите данни и по този начин да извършат нерегламентирани дейности, с които да нарушат интрегритета на тези данни.


"Присъдата" на Гешев и скандалите около одитния доклад


Разследването, за което на 16 април бе разпитан и бившият правосъден министър Христо Иванов, започна, след като на 3 април говорителят на главния прокурор Сийка Милева обяви на пресконференция, че Софийската градска прокуратура е започнала досъдебно производство по сигнал на ВСС. Шестима от членовете на съвета са сезирали държавното обвинение, след като са получили резултатите от изготвен одитен доклад за проверка на сигурността на системата и имало ли е пробиви в нея.


Главният прокурор Иван Гешев първи коментира темата, като обяви, че "системата е пробита" и изрази съмнения, че през последните 5 години, докато тя е функционирала, изобщо е имало някакво правосъдие. Той дори нарече ситуацията "коронавирус в съдебната система".


Тогава главният прокурор посочи като отговорни сегашния лидер на "Да, България" Христо Иванов, който през 2015 г. беше министър на правосъдието, и съдия Калин Калпакчиев, който по същото време беше член на съдебния съвет, под чийто натиск според Гешев била създадена централизираната система. Това станало като фирмата - изпълнител Smart systems била определена без обществена поръчка, а в продължение на 4-5 г. работата на системата не била одитирана. Гешев намеси и името на председателя на Върховния касационен съд.


Лозан Панов "и две три присъдружни негови дами", които по думите му "се хвърляха като Матросов на амбразурата да не се извърши одит на тази система".


И тримата посочени са сред критиците на избора на Гешев и на негови методи на работа.


Защо пълният текст е таен и какво реши ВСС


Министърът на правосъдието Данаил Кирилов свика извънредно заседание на пленума на ВСС в четвъртък (9 април), за да бъде обсъдена темата. Заседанието, продължило 9 часа, завърши с няколко решения. Едно от тях е да се прекрати договорът с фирмата Smart systems и да е търси друга, която да отстрани уязвимостите.


Одитният доклад е бил изготвен при клауза на конфиденциалност. След продължителни спорове дали резултатите от него трябва да бъдат публикувани, за да не се стига до спекулации по темата, ВСС в крайна сметка реши да поиска разрешение от наблюдаващите прокурори по случая, тъй като докладът вече е част от материалите по делото. Такова разрешение бе получено както за целия доклад, така и за части от него.


Окончателното решение на ВСС обаче бе да се изиска резюме от фирмата за киберсигурност "Amatas" ЕАД, изготвила доклада. Целта да не бъде публикуван целият текст на доклада беше, за да не се съдържа и оповестява конкретна информация за начините, по които може да бъде проникнато нерегламентирано в системата.


До решението се стигна, след като 4 часа членовете на ВСС изслушваха "на тъмно" двама експерти по киберсигурност, участвали в изготвянето на одита.


Прокуратурата извика на разпит бившия правосъден министър Христо Иванов - четете тук и тук
Пълната хронология на събитията за системата за случайно разпределение на делата - четете тук
За досъдебното производство, образувано в прокуратурата - четете тук
Защо главният прокурор Иван Гешев определи казуса като "коронавирус в съдебната система" - тук


Всичко, което трябва да знаете за:
Коментари (23)
  1. Подредба: Сортирай
  1. 1 Профил на ЗаНиЗа
    ЗаНиЗа
    Рейтинг: 2624 Неутрално

    "За тестването са използвани автоматизирани и полуавтоматизирани софтуерни решения" - това от "пръв поглед", а какво остава ако се пробва някой нарочно!? Важно е, че пари се усвояват, важно е, че и впоследствие пак се усвояват. Проверка на проверката и ремонт на ремонта - новото мислене в действие.

    Направи съд от глината, празнината вътре в него го прави полезен.
  2. 2 Профил на Daniboy
    Daniboy
    Рейтинг: 633 Неутрално

    Всичко е точно. С толкова грешки просто името трябва да е

    "Системата за НЕслучайно разпределение на делата"

    „Товарете портокалите в бурета. Братя Карамазови”
  3. 3 Профил на Daniboy
    Daniboy
    Рейтинг: 633 Неутрално

    До коментар [#1] от "ЗаНиЗа":

    Парите даже не са толкова важни в случая. Проблема е че някой знае много точно грешките в системата и начина да бъде манипулирана.

    „Товарете портокалите в бурета. Братя Карамазови”
  4. 4 Профил на НеКой
    НеКой
    Рейтинг: 1052 Неутрално

    Лозанъ не се справи. Ивановъ също. Да не се правят на разбирачи вече, а да оставят ВСС да направи нов конкурс. Чакаме и становището на ВКС относно Джокъ.
    Иначе е добре, че този ВСС като че ли се събужда и иска да е по-активен, дано да е за по-продължителен срок. Същото и за Прокуратурата.

  5. 5 Профил на herbaltea
    herbaltea
    Рейтинг: 687 Весело

    Един Цацаров имаше преди време, за него дали ще се сети каскета? Щото като гледам всяка дума в устата му е Хр. Иванов, Лозан Панов и т.н...
    Мъка милиционерска

  6. 6 Профил на olexander
    olexander
    Рейтинг: 1482 Весело

    Когато някой има желание да хакне системата, винаги ще се намери начин. Отново проблема се размива - говорим си обще приказки, като целта е единствено да се покаже кой е "виновен" и кой е невинен, защото посочва със справедлив гняв виновника.

    А истината е, че целята система на нашето праворъздавене е окакана. Разпределението на делата е най-най-най-мъничкия косур.

    Много ми е странно защо се фиксираме в незначителни теми. Правилно е да има контрол и дори малките грешки да не се отвинават, но самия патос на бърборенето показва, че общата картинка не е схваната.. или умишлено се отвлича мниманието...

    Синът ми примерно, когато беше на 3 годинки и набрави беля винаги идваше с някаква книжка и започваше да ми задава въпроси - тази дума каква е, а тази така ли се чете... и си мислеше, че така ми показва как цял ден е чел и няма нищо общо с счупените чаши :) Със същата страст като него тук ни подхвърлят огризки от темата и ние чоплим, чоплим и се припираме за безумно дребнави нещица.

    Победителите първо печелят, а след това отиват на война; победените първо отиват на война, а след това търсят начин да я спечелят.
  7. 7 Профил на Smoke
    Smoke
    Рейтинг: 1066 Неутрално

    С две думи - Гешев и Данаил Кирилов се насраха в опита си да омаскарят Лозан Панов.

    Цитираните потенциални уязвимости ги има в почти всички държавни системи, както и в болшинството компютърни системи по света. Никъде няма система без уязвимости. Важното тук е, че те не дават възможност за несакнкциониран достъп без изрична оторизация от служител с необходимите права за "раздаване на права". С по-прости думи - невъзможно е някой с някакъв електронен подпис да извърши достъп до системата, ако преди това администратор на системата не е конфигурирал неговия електронен подпис и не му е дал съответни права на достъп.

    Сега Гешев и Данаил Кирилов трябва да излязат, да се извинят и да подадат оставките си!

  8. 8 Профил на НеКой
    НеКой
    Рейтинг: 1052 Неутрално

    До коментар [#7] от "Smoke":

    В събота или в неделя? :)
    Много си вервате.

  9. 9 Профил на Boyko Hadjiyski
    Boyko Hadjiyski
    Рейтинг: 8 Весело

    И това ли е всичко, Гешо и Даньо??? Системата не можела да се манипулира отвън, а само ако някой с права за достъп даде достъп на някой, който не трябва да го има. И ако го направи, това веднага ще стане ясно. Гениално, бе! Голям пробив има в тая система направо! Заради нея прокуратурата толкова години не може да вкара никой в затвора, чак сега ми стана ясно!

  10. 10 Профил на MPetr
    MPetr
    Рейтинг: 2690 Весело

    ...............===="тестовете за оценка на сигурността не са установили техническа възможност за достъп до системата отдалечено, без съответното лице да бъде предварително и ръчно оторизирано от лицата, отговорни за това"====................. Всичко друго са глупости и фантазиите на Каскета, се оказа..както се и предполагаше..... И целият одит е една глупост и хвърляне на пари на вятъра.. открили били 23 уязвимости...... но кой теглил и продължава да тегли порно и пиратски софтуер през правителствени сървъри не знаели ........... а и не искали да питат ТАД груп щото работили ефтино.....хахаха

  11. 11 Профил на svoboden izbor
    svoboden izbor
    Рейтинг: 217 Неутрално

    ВСС от години само за пред народа раздухва един и същ тлеещ огън - който не само тайно запали , но и прикрито поддържа!
    Лозан Панов е изключителен професионалист - достоен за бъдещ президент , а още по-добре за министър председател!
    Тогава днешните управляващи ще са в затвора!
    Мечтите винаги се сбъдват - особено , ако са много хора помечтани!

  12. 12 Профил на НеКой
    НеКой
    Рейтинг: 1052 Неутрално

    До коментар [#11] от "svoboden izbor":

    А така, това ви е идеята.
    Ми, О.К., да си подава оставката тогава и да се пробва като политик.
    Ама там е трудно, Славчо Трифонов вече се чуди как да се откаже, а уж беше спасител на нацията и той.

  13. 13 Профил на Дедов'та Колюуа Унукя!
    Дедов'та Колюуа Унукя!
    Рейтинг: 901 Весело

    Синът ми примерно, когато беше на 3 годинки и набрави беля винаги идваше с някаква книжка и започваше да ми задава въпроси - тази дума каква е, а тази така ли се чете... и си мислеше, че така ми показва как цял ден е чел и няма нищо общо с счупените чаши :) Със същата страст като него тук ни подхвърлят огризки от темата и ние чоплим, чоплим и се припираме за безумно дребнави нещица.
    —цитат от коментар 6 на olexander


    Ихаааа- ми той синът ти- да ти е жив и здрав, де- ма сигурно от 2-годишен е зачел книжки бе!

    Бащичко, нали?

    😂😂😂😂😂

    Смятай начи- като поране- ще пише тук, че е изчел 22 (двайсет и два) вагонЯ с книги!

    А иначе- насочи го към политиката. Талантът му си е проличал още от 3-годишен, смятай като порасне кви тарикатлъци ше са му в акъла!

    Тея с по 2 вагона книги- ше му дишат прахта, пу-пу-пу- да не му е уроки! 😂😂😂😂😂

    БАСИ ТЪПИЯ САЙТ!
  14. 14 Профил на MPetr
    MPetr
    Рейтинг: 2690 Весело

    какво продължава да се тегли примерно от IPs: 212.122.188.24 на министерски съвет...... Трагедия пълна са тея.... поне намалиха порното тея дни ........  https://iknowwhatyoudownload.com/en/peer/?ip=212.122.188.24

  15. 15 Профил на linard
    linard
    Рейтинг: 236 Неутрално

    До коментар [#4] от "НеКой":

    Пригласяме на дезинформацията с цяло гърло, както винаги.
    Фунийката със собствената реалност да я наложим на всички, отново.
    Враговете с главно В да назовем...
    Тоя тоталитарен филм сме го гледлали, и послушковци като теб видяхме как се отметнаха от старото си верую...

  16. 16 Профил на uq
    uq
    Рейтинг: 2221 Неутрално

    Таа система е плод на тенденцията, всяко нещо да се решава с „модерна информационна система”. Политиците си мислят, че те като за проЗти и не разбират ИТ и с хората е така и като кажеш че имаш информационна система, всички си.казват „готово, всичко решено”

  17. 17 Профил на MPetr
    MPetr
    Рейтинг: 2690 Неутрално

    ....... Смешно е много за всеки който малко си има понятие от материята че за "одит" с т.н "автоматизирани и полуавтоматизирани софтуерни решения" се платиха 20000 лв за нещо което е мах. час, час и половина работа....... И точно този умник, които е възложил тоя одит трябва мисля да го питат, как е определил цената и къде е "обществената поръчка"............

  18. 18 Профил на SaveBG
    SaveBG
    Рейтинг: 583 Неутрално

    Атанас Чобанов
    9 mins ·
    Мутра безпросветна и неграмотна, излъчваща агресия, тъпота и самонадеяност. Още от началото беше ясно, че щом системата изисква електронен подпис няма как кой да е келеш да влезе и да разпределя дела, без да бъде засечен и разпознат.

    https://www.mediapool.bg/sedmoklasnikat-na-geshev-nyama-da-mozhe-da-si-izbere-lyubim-sadiya-news306617.html?fbclid=IwAR0vokx--4ru0adoqnqDs_tX7L_uKScUMUgWmzKz1mtjuTegCNiS-Mxqp0Q

    Оставка на Пеевския инструмент Гешев и на онова лоботомизирано недоразумение Кирилов!!!

  19. 19 Профил на lz2
    lz2
    Рейтинг: 2032 Неутрално

    Това, че не можела да се манипулира отвън не значи, че не е манипулирана отвътре!

    ПравописА е поле за изява на неграмотните!
  20. 20 Профил на tos_buratino
    tos_buratino
    Рейтинг: 337 Неутрално

    До коментар [#12] от "НеКой":

    Бате, Лозан, та Лозан! Наистина ли вярваш, че като се махне и всичко в тая система ще се оправи?!!

  21. 21 Профил на today
    today
    Рейтинг: 754 Неутрално

    А защо е под Microsoft? Защо не се ползват безплатни сървърни ОС?

    Борбата с корупцията в България е като риболова по Discovery. Хващат ги, показват ги, и ги пускат!
  22. 22 Профил на today
    today
    Рейтинг: 754 Неутрално

    А защо е под Microsoft? Защо не се ползват безплатни сървърни ОС?

    Борбата с корупцията в България е като риболова по Discovery. Хващат ги, показват ги, и ги пускат!
  23. 23 Профил на samoedin
    samoedin
    Рейтинг: 3247 Любопитно

    До коментар [#7] от "Smoke":

    " С две думи - Гешев и Данаил Кирилов се насраха в опита си да омаскарят Лозан Панов.

    Цитираните потенциални уязвимости ги има в почти всички държавни системи, както и в болшинството компютърни системи по света. Никъде няма система без уязвимости. Важното тук е, че те не дават възможност за несакнкциониран достъп без изрична оторизация от служител с необходимите права за "раздаване на права". С по-прости думи - невъзможно е някой с някакъв електронен подпис да извърши достъп до системата, ако преди това администратор на системата не е конфигурирал неговия електронен подпис и не му е дал съответни права на достъп.

    Сега Гешев и Данаил Кирилов трябва да излязат, да се извинят и да подадат оставките си!"

    Съчувствам им на сенките на сараите в съдебната система, но рано или късно ще трябва да се изправят те самите, като обслужващ персонал на мафията и да носят отговорност пред това общество, което ежедневно тровят с лъжите си !
    Въртят, сучат, все до под кривата круша я докарват, точно те, които приемат телефонни обаждания от псзвантинс на бай Тошо ! За какво ? Всички се досещаме !





За да коментирате, е нужно да влезете в профила си или да се регистрирате.
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK