Άγνωστη παραμένει, προσώρας, η τύχη του πολυσυζητημένου διαγωνισμού του περασμένου Οκτωβρίου για τα λεγόμενα 400άρια φωτοβολταϊκά (ισχύος δηλαδή 400 κιλοβάτ) στην Κρήτη και στην Πελοπόννησο, που προκάλεσε σωρεία αντιδράσεων και καταγγελιών εδώ στο νησί μας, με επίκεντρό τους την παράνομη χρήση ρομποτικών συστημάτων κατά την ηλεκτρονική υποβολή αιτήσεων, την ώρα που στο “φως” έρχονται αποκαλυπτικά στοιχεία μέσα από το πόρισμα που κατέθεσε ανεξάρτητος πραγματογνώμονας.
Με το πόρισμα- “κόλαφος” να διαπιστώνει μια σειρά ελλείψεων, κενών και κακώς κειμένων κατά τη διεξαγωγή του διαγωνισμού και ειδικότερα με τη λειτουργία της πλατφόρμας που αποτελεί και το επίμαχο ζήτημα, κανείς εμπλεκόμενος φορέας δε διαφαίνεται πρόθυμος επί του παρόντος να λάβει κάποια απόφαση για την επικύρωση ή ακύρωσή του...
Το υπουργείο Ενέργειας και Περιβάλλοντος δείχνει να “νίπτει τας χείρας του”, πετώντας την μπάλα στη Ρυθμιστική Αρχή Αποβλήτων, Ενέργειας και Υδάτων, ενώ η ΡΑΑΕΥ με τη σειρά της προσανατολίζεται στο να περιοριστεί σε απλή γνωμοδότηση, επιστρέφοντας την... μπάλα στο ΥΠΕΝ για τις όποιες αποφάσεις.
Σύμφωνα με πληροφορίες, η ΡΑΑΕΥ δεν πρόκειται να εκδώσει κανονική αλλά γνωμοδοτική απόφαση, αποφεύγοντας να προχωρήσει σε “καθαρή” ετυμηγορία για το αν θα πρέπει να επικυρωθούν ή να ακυρωθούν τα αποτελέσματα των διαγωνισμών για τα λεγόμενα μικρά, 400άρια φωτοβολταϊκά σε Κρήτη και Πελοπόννησο... Κάτι που σημαίνει ότι λογικά η τύχη των δύο διαγωνισμών θα κριθεί με πολιτική απόφαση που θα κληθεί να πάρει το υπουργείο Ενέργειας και Περιβάλλοντος.
Επισημάνσεις- “φωτιά” στο πόρισμα
Εντωμεταξύ, μια σειρά από παραλείψεις, προχειρότητες, αστοχίες και προγραμματιστικά λάθη εντοπίζει το πόρισμα του εμπειρογνώμονα στα πληροφοριακά συστήματα που στήθηκαν για να εξυπηρετήσουν τη διενέργεια των διαγωνισμών για μικρά φωτοβολταϊκά στην Πελοπόννησο και την Κρήτη. Τα ευρήματα αυτά, που θα μπορούσαν, σύμφωνα με πηγές της αγοράς, να στοιχειοθετήσουν την ακύρωση των δύο διαγωνισμών, έφερε αναλυτικά στο φως της δημοσιότητας το euro2day.gr και έχουν ως εξής:
«Οι τέσσερις διακομιστές εφαρμογής (application servers) για την Πελοπόννησο ενώ έπρεπε να είναι ενεργοί από τις 11 το πρωί στις 21 Οκτωβρίου 2022 φαίνεται να εκκίνησαν περίπου μία ώρα μετά (11:50 π.μ.) και να είναι ανοιχτοί στο κοινό μιάμιση ώρα μετά, με αιτιολογία την εκτέλεση ορισμένων δοκιμών.
Οι διακομιστές ιστού (webservers) φαίνεται να είχαν εκκινήσει από τις 11:15, αλλά ως τις 11:50 δεν μπορούσαν να εξυπηρετήσουν αιτήματα, γιατί ήταν κλειστοί οι διακομιστές εφαρμογής. Πράγματι έγινε δοκιμή στις 12:05 μ.μ.
Καθυστέρησε η εκκίνηση των διακομιστών κατά 15 λεπτά, πράγμα άξιο περιέργειας. Μέρος των συστημάτων διακομιστών εφαρμογής, αν και άνοιξε στις 11:50, τέθηκε εκτός λειτουργίας για άγνωστο λόγο για 26 λεπτά, γεγονός που δεν προσιδιάζει για διάστημα εκτέλεσης δοκιμών που απαιτεί όλα τα παραγωγικά συστήματα να είναι ανοικτά.
Όταν γινόταν η δοκιμή βρέθηκαν στοιχεία συμπλήρωσης φόρμας που δεν είναι αληθή, αλλά δοκιμαστικά, οπότε δεν μπορεί να αποκλειστεί η πιθανότητα να ήταν σκόπιμη, δοκιμαστική, ή επιθετική ενέργεια, για την αναγνώριση ευπαθειών ή τρωτών σημείων της πλατφόρμας.
Διαπιστώθηκαν πολλές προγραμματιστικές εξαιρέσεις (σφάλματα) στα αρχεία καταγραφής, που υποδηλώνουν ότι προέκυψε σφάλμα στη λειτουργία της εφαρμογής.
Διαπιστώθηκε περίπτωση υποβολής κενών στοιχείων, που υποδηλώνει αστοχία στην εκτέλεση του κώδικα και πιθανά επιτυχημένη απόπειρα εκμετάλλευσης ευπαθειών της εφαρμογής. Ο εντοπισμός εισαγωγής κενών στοιχείων συνιστά σημαντική ευπάθεια, γιατί μπορεί να δημιουργήσει αναπάντεχα σφάλματα στη λειτουργία των εφαρμογών.
Εντοπίστηκαν πολλά προγραμματιστικά λάθη που προσέθεταν καθυστέρηση στη λειτουργία του συστήματος, το οποίο παρουσίαζε μεγάλο φόρτο.
Διαπιστώθηκαν επαναλαμβανόμενα σφάλματα αποτυχημένης αυθεντικοποίησης, δηλαδή αδυναμίας πρόσβασης, τα οποία ενδέχεται να οφείλονταν σε πρόβλημα της πλατφόρμας της Γενικής Γραμματείας Πληροφοριακών Συστημάτων, που παρείχε αυθεντικοποίηση στους χρήστες της εφαρμογής, δηλαδή επιβεβαίωνε την ταυτότητα του χρήστη που ζητούσε να συνδεθεί με βάση τα φορολογικά στοιχεία ταυτοποίησής του. Τα σφάλματα αυτά μπορεί να οφείλονταν και σε άρνηση του συστήματος να παρέχει πρόσβαση σε μη εξουσιοδοτούμενους χρήστες που είχαν παρακάμψει την ακολουθία ενεργειών της εφαρμογής και συνδέονταν παρά το γεγονός ότι δεν είχαν αυθεντικοποιηθεί. Τέτοιου είδους μη αυθεντικοποιημένες προσβάσεις δεν πρέπει να επιτρέπονται σε μια εφαρμογή, γιατί αυτή η κατηγορία χρηστών καταναλώνει πόρους του συστήματος που θα έπρεπε να διατίθενται σε αυθεντικοποιημένους χρήστες. Σε αντίθετη περίπτωση, μπορούν κακόβουλοι δράστες να εκτελέσουν μία επίθεση Άρνησης Υπηρεσίας (DoS ή DDoS) και να προκαλέσουν βραδύτητα ή διακοπή της δυνατότητας πρόσβασης σε θεμιτούς χρήστες. Τέτοιες επιθέσεις θεωρούνται συνήθεις και η αποτροπή τους ρουτίνα κατά τον σχεδιασμό πληροφοριακών συστημάτων και εφαρμογών από μέρους κρατικών οντοτήτων.
Δεν είχε προβλεφθεί μηχανισμός αντιμετώπισης κακόβουλων επιθέσεων από αυτοματοποιημένους μηχανισμούς επιθέσεων-ρομπότ (bots). Η επέλευση τέτοιων μεθόδων μπορεί να επιβαρύνει πολύ ένα πληροφοριακό σύστημα, γιατί τα ρομπότ κινούνται πολύ πιο γρήγορα και μπορούν να δημιουργούν ταυτόχρονα πολλαπλές συνδέσεις.
Δεν είχαν εκτελεστεί δοκιμές αντοχής του πληροφοριακού συστήματος σε επιθέσεις άρνησης υπηρεσίας (DoS) και σε επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS). Αυτό αποτελεί προφανή παράλειψη, γιατί τέτοιες επιθέσεις είναι συνηθισμένες.
Δεν μπορεί να αποκλειστεί ούτε να επιβεβαιωθεί η πιθανότητα χρήσης bots - θα έπρεπε να είχαμε πρόσβαση σε αρχεία καταγραφών προερχόμενα από ένα τείχος προστασίας (firewall), κάτι που δεν κατέστη δυνατό γιατί δε διατηρήθηκαν στοιχεία που θα έπρεπε να είχαν δοθεί.
Η αδυναμία λήψης όλων των αρχείων καταγραφών από ένα δημόσιο πληροφοριακό σύστημα που λειτούργησε για ορισμένο διάστημα χρόνου μόνο αποτελεί προφανή έλλειψη, που δυσχέρανε την έρευνά μας.
Δεν είχε ληφθεί μέριμνα να απαγορευτεί η πρόσβαση από τρίτες χώρες ή έστω χώρες με εγνωσμένα ζητήματα εκτέλεσης μαζικών κυβερνοεπιθέσεων.
Διαπιστώθηκαν επαναλαμβανόμενες υποβολές αιτήσεων με τα ίδια ακριβώς στοιχεία φορέα, εκπροσώπου, μηχανικού... γεγονός που υποδηλώνει ότι οι χρήστες για κάποιους λόγους που δεν είναι φυσιολογικοί επαναλάμβαναν την απόπειρά τους να υποβάλουν νέα αίτηση, έστω κι αν είχαν καταθέσει ήδη μία, που πήρε μάλιστα και αύξοντα αριθμό. Γι’ αυτό φταίει η μεγάλη βραδύτητα απόκρισης της εφαρμογής ή εσφαλμένα μηνύματα από την εφαρμογή ή μη αποστολή email επιβεβαίωσης, ή σε εμφάνιση μηνύματος λάθους του διακομιστή, πράγμα που σημαίνει είτε μεγάλο φόρτο, είτε σοβαρό πρόβλημα. Στην περίπτωση της Πελοποννήσου είναι πιθανό να μη λειτουργούσε η αποστολή email, ενώ στην περίπτωση της Κρήτης φαίνεται ότι υπήρχε όριο εξερχόμενων μηνυμάτων, χωρίς πρόβλεψη για την αύξησή του.
Εντοπίστηκαν υποβολές αιτήσεων σε μέρες και ώρες για τις οποίες δεν ήταν γνωστό ότι θα αναμένονταν αιτήσεις. Είναι άγνωστο σε μας αν αυτές οι υποβολές, ορισμένες από τις οποίες έχουν λάβει και αύξοντα αριθμό, είναι θεμιτές, αθέμιτες, κακόβουλες, δοκιμαστικές ή κάτι άλλο που δεν μπορεί να προσδιοριστεί. Σε κάθε περίπτωση, καθώς έχουν τεθεί ερωτήματα για τη μαζική και ταχύτατη υποβολή αιτημάτων από καταγγέλλοντες, είναι σημαντικό να προσδιοριστεί η φύση αυτών των αιτήσεων».