UPDATE Suspiciuni de atac cibernetic la portalul instanţelor de judecată din România – portal.just.ro

Publicat de

Administratorii portalului instanţelor de judecată din România – portal.just.ro – au publicat un mesaj prin care sesizează posibile atacuri de tip DOS, care ar afecta disponibilitatea site-ului şi îngreunează accesul la informaţiile despre dosare, şedinţe, citaţii sau informaţii despre instanţele de judecată.

Direcția tehnologia informației din Ministerul Justiţiei solicită utilizatorilor să le trimite pe adresa portal-instante@just.ro orice fel de informaţii care i-ar putea ajuta în procesul de investigare.

captura portal.just.ro

„Portalul prezintă probleme de funcționalitate și performanță cu caracter fluctuant. Cauzele acestora sunt în curs de investigare; până la acest moment am identificat atât un comportament nejudicios din partea unor utilizatori (de ex. lansarea de către un utilizator a sute/mii de cereri simultan, cu ajutorul unor aplicații construite în acest scop), cât și anumite defecte tehnice. Ne cerem scuze pentru disconfortul creat, lucrăm la remedierea situației și vă rugăm să ne descrieți în continuare erorile întâlnite prin email la adresa portal-instante@just.ro; acestea ne ajută în procesul de investigare. Ministerul Justiției – Direcția tehnologia informației.”

Informaţiile au fost preluate şi de AGERPRES.

CE ESTE IMPORTANT DE AFLAT MAI DEPARTE:

– Când a fost publicat mesajul şi de când există aceste probleme?
– Cine investighează situaţia în acest moment?
– Ce alte instituţii competente sunt implicate în această investigaţie?
– Ce dovezi sunt în acest moment că este vorba despre un atac cibernetic?
– Cât de reactivi sunt utilizatorii şi ce fel de mesaje au fost trimise pe adresa de email pusă la dispoziţie?
– Cine se ocupă de administrarea şi de mentenanţa portalului?

UPDATE: Cyberint și CERT-RO sprijină investigarea unui eventual atac cibernetic

captura portal

RĂSPUNSURILE PUBLICATE ÎNTR-O PAGINĂ DEDICATĂ ACESTEI SITUAŢII:

Ultima actualizare: 15.01.2018 @18:03

A. Descrierea problemei
– Începând cu mijlocul lunii decembrie utilizatorii portalului instanțelor de judecată au sesizat o scădere a performanței site-urilor, mai ales din perspectiva căutării (de la răspuns greoi la erori în furnizarea răspunsului la căutare).
– La revenirea din vacanța de iarnă, numărul de utilizatori a crescut, performanțele s-au degradat și mai mult, sesizările sunt mai frecvente, problemele devin reproductibile (erori mai dese).

B. Măsuri și acțiuni
(sapt 52 2017)
Se investighează comportamentul aplicației și s-a încercat reproducerea problemei. Aceasta nu apare în mediul de test și trebuie reprodusă în mediul de producție; Din cauza comportamentului fluctuant, erorile sunt greu de reprodus și surprins.

(sapt 53 2017 – sapt 1 2018)
Numărul de utilizatori este redus, performanțele sunt relativ bune.

(sapt 2 2018)
Performanțele se degradează, erorile sunt dese și reproductibile în mediul de producție
Se face analiza accesărilor din 2018; este descoperit un comportament suspect -> foarte multe requesturi lansate simultan; când acestea sunt active se ajunge la ~3000 accesări pe secundă, procesoarele serverelor website-urilor ajung in 100% în mod frecvent și pe durată mare (comparat cu ~70-80% valoare baseline)
Se descoperă erori tehnice între componenta de prezentare site și cea de indexare/răspuns la query; erorile nu se pot repara imediat
Rezolvarea este de durată – se decide comunicarea pe website a procesului de investigare a cauzelor problemelor.
Este făcută analiza în detaliu a comportamentului suspect – pare a fi unul specific unei aplicații Web scraping, cu requesturi relativ legitime, se exclude temporar varianta unui atac de tip DOS. Au fost blocate adresele IP de la care vin requesturile în valuri.
Performața este un îmbunătățită, însă nu suficient. Se exclude definitiv varianta unui atac de tip DOS, requesturile nu au revenit de la alte adrese IP; pare a fi o unealtă/aplicație care accesează în mod nejudicios site-ul; un comportament mai potrivit ar fi fost utilizarea serviciului web care este conceput pentru obținerea de informație în acest mod.
Au loc discuții tehnice cu STS despre o soluție tehnică/configurare care să limiteze numărul de requsturi simultane de la același client – se încearcă determinarea pragului de requesturi simultane.
Se deschide incident de suport Microsoft (soluția tehnică a portalului) pentru determinarea cauzelor erorilor și a problemelor de performanță.
Se colecteaza informații de configurare și log pentru inginerul de suport MSFT.
(sapt 3 2018)
Se colecteaza counteri de performanță pentru inginerul de suport MSFT; au loc discuții telefonice cu acesta.
Cyberint și CERT-RO își oferă sprijinul pentru investigarea unui eventual atac cibernetic și remedierea situației.
Informațiile transmise sunt analizate de inginerul de suport MSFT

Lasă un răspuns

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.