Следата, която е довела прокуратурата до Кристиян Бойков, обвинен за това, че е пробил сървъра на НАП и е разпространил изтекрлите данни, не доказва категорично, че той е извършил престъплението. Такава теза изрази Светлин Наков – програмист с над 20 години опит, доктор на компютърните науки, автор на десетки книги и статии и основател на СофтУни. Той изрази съмненията си в тезата на държавното обвинение във фейсбук.
Само фактът, че един от файловете е създаден от потребител с името, което използва Кристиян Бойков, и то такъв файл, който не пасва на цялата картинка, не би трябвало да сам по себе си да доказва, че именно той е направил пробива в системата и е разпространил данните, каза специалистът, потърсен от Свободна Европа за повече детайли.
В сряда държавното обвинение съобщи, че на 20-годишния Кристиян Бойков е повдигнато обвинение за пробива в системата на НАП. В съобщението на прокуратурата беше записано, че разследващите са стигнали до него, като са установили, че в един от разпространените до медиите файлове има данни за наименованието на „конкретна компютърна конфигурация, уникално потребителско име, дата, час и софтуерно приложение, послужило за прочитането на файла”, за които е установено, че се използват именно от Бойков.
Според Наков обаче този файл не се вписва в „цялата картинка“ по няколко показателя – създаден е под различна операционна система и е единственият, който съдържа подобна следа. Експертът обясни, че има няколко варианта този файл да попадне сред останалите и не е изключено да е добавен по-късно. Според него по-убедителни доказателства биха могли да се открият от разследващите в логовете на сървърите на НАП.
Файлът, който „не пасва на цялата картинка“
„Изтеклият файл е създаден под Linux с програма за архивиране, която работи с тази операционна система“, каза Светлин Наков в телефонно интервю пред Свободна Европа. „Докато другият файл, който е намерен и представлява въпросната улика, е създаден под Windows.“
Възможностите са две - или този файл е добавен по-късно от различен компютър, или този, който е създал архива, е ползвал Windows и Linux едновременно, каза експертът.
„Това, което аз забелязах и ме учуди, е това, че хакерите, които обикновено ползват Linux, са ползвали Windows в този случай и си зададох въпроса дали този файл не е допълнително подпъхнат преди да бъде изпратен на медиите“, обясни Наков като направи уговорката, че разсъжденията му са хипотези, които могат да бъдат потвърдени или отхвърлени единствено от разследващите с достъп до логовете на сървърите на НАП.
Според него е възможно човекът, източил данните, въобще да не е имал намерение да ги прави публични и затова да не се е постарал да скрие следите си, а течът да е станал през друг човек. Фактът, че в нито един от другите файлове не е оставена такава следа, както и че са променени датите на създаване на всички файлове, разколебава тази теза, смята той.
„Личи си, че някой е почиствал следи в този файл. Заличени са всички дати на всички файлове и са заменени с 10 ноември 1989 г. Тоест човекът, който е правил този файл, има технически умения. Уличаващият файл има същата дата, но е правен под друга операционна система.“
Специалистът разказа също, че е коментирал въпроса със свои колеги, които смятат, че е напълно възможно на един и същ компютър да съществува комбинация между Windows и Linux. По-късно се разбра, че Кристиян Бойков играе игри, които се играят под Windows, допълни Наков. Това обаче не премахва съмнението.
„Очевидно е, че някой си е крил следите, но не ги е скрил докрай. Именно това за мен е съмнително“, каза Наков.
Той изтъкна също, че заподозреният работи във фирма, която се занимава с киберсигурност, което значи, че е запознат със законите и е подписал договор, че няма да злоупотребява с позицията и знанията си. „Той отлично би трябвало да познва законите и да знае какви са последствията, ако такава информация изтече до медиите. [...] Ако одитираш една банка, нима тя ще ти позволи да ѝ открадеш парите?“
Сериозни отклонения от добрите практики в киберсигурността
Специалистът посочи, че течът дава доказателства, че в конкретния случай не са спазени основни изисквания за сигурност. Властите посочиха, че атаката е осъществена осъществена през електронната услуга за възстановяване на ДДС, платен в чужбина. Сред изтеклите данни обаче имаше информация, която би трябвало да се съхранява в бази данни, които нямат нищо общо с тази, в която е информацията от услугата за възстановяване на ДДС.
„Защо в същата база данни има данни за хората, които играят хазартни игри? Това е друга база данни. Това е все едно някой е вкарал в шкафа за бельо инструментите за ремонт на колата“, обясни Наков. „Не е правилно, добрите практики предполагат различните масиви да се съхраняват отделно. Там, където властите съобщиха, че се е случил пробивът, е трябвало да има по-малко данни, отколкото всъщност е имало.“
Според негови колеги, причината за подобни технически решения е фактът, че така е по-евтино.
Светлин Наков изтъква, че в държавните системи масово има пропуски в киберсигурността. Причините той вижда в ниското заплащане за специалистите там, във факта, че организащията преминава през бюрократични пречки, както и в непрозрачното възлагане на обществените поръчки за поддръжка на киберсигурността.
В четвъртък бТВ съобщи, че НАП са потвърдили, че профилактичните тестове за техническа уязвимост на системите, започнали след пробива, се правят за пръв път откакто систамете е направена. Казаха, че е първия одит на киберсигурността в НАП. „Това съвсем не говори добре за стандартите в киберсигурността“, смята Наков. „Това, че има одит, разбира се, няма да реши проблемано ако никога не е имало, няма и да се знае, че има проблем.“