– Când a fost publicat mesajul şi de când există aceste probleme?

– Cine investighează situaţia în acest moment?

– Ce alte instituţii competente sunt implicate în această investigaţie?

– Ce dovezi sunt în acest moment că este vorba despre un atac cibernetic?
– Cât de reactivi sunt utilizatorii şi ce fel de mesaje au fost trimise pe adresa de email pusă la dispoziţie?
– Cine se ocupă de administrarea şi de mentenanţa portalului?

RĂSPUNSURILE PUBLICATE ÎNTR-O PAGINĂ DEDICATĂ ACESTEI SITUAŢII:

Ultima actualizare: 15.01.2018 @18:03

A. Descrierea problemei
– Începând cu mijlocul lunii decembrie utilizatorii portalului instanțelor de judecată au sesizat o scădere a performanței site-urilor, mai ales din perspectiva căutării (de la răspuns greoi la erori în furnizarea răspunsului la căutare).
– La revenirea din vacanța de iarnă, numărul de utilizatori a crescut, performanțele s-au degradat și mai mult, sesizările sunt mai frecvente, problemele devin reproductibile (erori mai dese).

B. Măsuri și acțiuni
(sapt 52 2017)
Se investighează comportamentul aplicației și s-a încercat reproducerea problemei. Aceasta nu apare în mediul de test și trebuie reprodusă în mediul de producție; Din cauza comportamentului fluctuant, erorile sunt greu de reprodus și surprins.

(sapt 53 2017 – sapt 1 2018)
Numărul de utilizatori este redus, performanțele sunt relativ bune.

(sapt 2 2018)
Performanțele se degradează, erorile sunt dese și reproductibile în mediul de producție
Se face analiza accesărilor din 2018; este descoperit un comportament suspect -> foarte multe requesturi lansate simultan; când acestea sunt active se ajunge la ~3000 accesări pe secundă, procesoarele serverelor website-urilor ajung in 100% în mod frecvent și pe durată mare (comparat cu ~70-80% valoare baseline)
Se descoperă erori tehnice între componenta de prezentare site și cea de indexare/răspuns la query; erorile nu se pot repara imediat
Rezolvarea este de durată – se decide comunicarea pe website a procesului de investigare a cauzelor problemelor.
Este făcută analiza în detaliu a comportamentului suspect – pare a fi unul specific unei aplicații Web scraping, cu requesturi relativ legitime, se exclude temporar varianta unui atac de tip DOS. Au fost blocate adresele IP de la care vin requesturile în valuri.
Performața este un îmbunătățită, însă nu suficient. Se exclude definitiv varianta unui atac de tip DOS, requesturile nu au revenit de la alte adrese IP; pare a fi o unealtă/aplicație care accesează în mod nejudicios site-ul; un comportament mai potrivit ar fi fost utilizarea serviciului web care este conceput pentru obținerea de informație în acest mod.
Au loc discuții tehnice cu STS despre o soluție tehnică/configurare care să limiteze numărul de requsturi simultane de la același client – se încearcă determinarea pragului de requesturi simultane.
Se deschide incident de suport Microsoft (soluția tehnică a portalului) pentru determinarea cauzelor erorilor și a problemelor de performanță.
Se colecteaza informații de configurare și log pentru inginerul de suport MSFT.
(sapt 3 2018)
Se colecteaza counteri de performanță pentru inginerul de suport MSFT; au loc discuții telefonice cu acesta.
Cyberint și CERT-RO își oferă sprijinul pentru investigarea unui eventual atac cibernetic și remedierea situației.
Informațiile transmise sunt analizate de inginerul de suport MSFT