Gov.gr: προειδοποίηση για προσπάθεια ηλεκτρονικής απάτης

[deniSun]

Ναι, δεν ξέρω τι ακριβώς θέλουν να πετύχουν αλλά το να έχεις το πιο σημαντικό domain ενός κράτους ξέφραγο αμπέλι δεν δικαιολογείται. Αδυνατώ να φανταστώ ότι δεν το γνωρίζουν. Αν λοιπόν το γνωρίζουν τότε το έχουν αφήσει εις γνώση τους έτσι. Για ποιον λόγο λοιπόν; Ποιο είναι το κίνητρό τους; Οι λόγοι που μπορούν να οδηγήσουν σε αυτό είναι οι εξής:

1) δεν το γνωρίζουν.

Το θεωρώ αδύνατον να μην το γνωρίζουν. Είναι ευρέως γνωστό πρόβλημα και έχει πολλές λύσεις. Όλοι οι sysadmin γνωρίζουν πως να εφαρμόσουν τα προστατευτικά μέτρα (SPF/DKIM κλπ). Δεν βρέθηκε ένας σε ολόκληρο δημόσιο να το αναφέρει;

2) το γνωρίζουν και γνωρίζουν και τα προστατευτικά μέτρα αλλά είναι ανίκανοι να τα εφαρμόσουν

Δηλαδή υπάρχουν πολλά κολλήματα, τεχνικά ή μή, που εμποδίζουν την εφαρμογή των μέτρων. Συγνώμη, αλλά δεν μπορώ να φανταστώ ποια μπορεί να είναι. Όσον αφορά το τεχνικό σκέλος, με την εμπειρία που έχω, γνωρίζω πως δεν υπάρχει κανένα τεχνικό θέμα που να μπορούσε να εμποδίσει την εφαρμογή τους.

3) για να βοηθάνε τους εγκληματίες να θησαυρίσουν

Φυσικά και δεν το πιστεύω αυτό αλλά απλά το γράφω ως πιθανό σενάριο. Αποκλείεται να υπάρχει τέτοιο επίπεδο διαφθοράς για να φτάσουν σε αυτό σήμειο.

4) το αφήνουν vulnerable επίτηδες

Έτσι ώστε να γίνουν πολλά successful spoofing attacks στον κόσμο και έτσι να αναδειχθεί το πρόβλημα σε σημαντικό και επείγων με σκοπό έτσι να δικαιολογήσουν μετά κάποια εξίσου επείγων και σημαντική ανάθεση σε κάποια εταιρεία για να το φτιάξει επειγώντος και με ανάλογα υπερ-διογκωμένο κόστος...

Εκτός αν υπάρχουν και άλλοι λόγοι που μου διαφεύουν, αυτοί που μένουν είναι ο 2 (που πολύ το αμφιβάλλω) και ο 4...

Ποντάρω στο (4).

[euri]

Έντονη θεωρία συνωμοσίας, δεν μπορώ να το δεχτώ.

[Zus]

Το πιθανότερο είναι ότι απλά αδιαφορούν.

[billaros_]

Νομίζω ότι το πρόβλημα είναι στους providers ηλεκτρονικής αλληλογραφίας . Κακώς δέχονται emails από @gov.gr . Είναι σαν να δέχονται αλληλογραφία από το fake@co.uk το οποίο co.uk δεν είναι domain αλλά κατάληξη .
Αν προσέξετε τα domains gov.gr είναι τύπου ypes.gov.gr ή yme.gov.gr.
Από ότι έχω δει τα περισσότερα επιτυχημένα deliveries είναι σε otenet.gr. Προφανώς ο συγκεκριμένος provider δεν έχει ενεργοποιημένο κανένα φίλτρο .

[x_undefined]

Νομίζω ότι το πρόβλημα είναι στους providers ηλεκτρονικής αλληλογραφίας . Κακώς δέχονται emails από @gov.gr . Είναι σαν να δέχονται αλληλογραφία από το fake@co.uk το οποίο co.uk δεν είναι domain αλλά κατάληξη .

Τι εννοείς; Κανονικό domain είναι το gov.gr...

[billaros_]

Αν δεις στο www.gr s δεν το έχει στα κανονικά domains

[x_undefined]

Και αυτό τι είναι; Πώς γίνεται resolve;

[billaros_]

Host A record για το https://gov.gr
Mx records σε gov.gr δεν υπάρχουν τουλάχιστον με μια πρώτη ματιά. Όποτε ο provider αλληλογραφίας θα έπρεπε να κάνει έναν βασικό έλεγχο

[x_undefined]

Αυτό είναι άλλο θέμα από το «το gov.gr είναι απλώς κατάληξη σαν το co.uk».

[billaros_]

Οκ όποτε ο πάροχος θα έπρεπε να κάνει τον βασικό έλεγχο « υπαρχει Mx record;»

ΕΕΤΤ

Για την καλύτερη οργάνωση του .gr έχουν δημιουργηθεί τα ονόματα δευτέρου επιπέδου

com.gr: για όσους ασκούν εμπορική δραστηριότητα
edu.gr: για εκπαιδευτικούς οργανισμούς
net.gr: για παρόχους υπηρεσιών Διαδικτύου (Internet Service Providers - ISPs) και παρόχους δικτύων
org.gr: για μη κερδοσκοπικούς οργανισμούς
gov.gr: αποκλειστικά για κυβερνητικούς οργανισμούς
Η καταχώρηση ονομάτων κάτω από τα com.gr, edu.gr, net.gr, org.gr και gov.gr δεν είναι υποχρεωτική για τους χρήστες, αλλά συνιστάται για λόγους οργάνωσης.


Οποτε οπως καταλαβαίνεις δεν είναι domain name αλλά ονόματα δεύτερου επιπέδου που περιμένουν το βασικό domain name.

- - - Updated - - -

Αυτό που ανησυχεί κάπως είναι ότι η IP που γίνεται resolve τρέχει web server με certificate από let’s encrypt κάτω από το domain services.gov.gr .
Αυτό δεν το καταλαβαίνω , δωρεάν certificate σε υπηρεσίες της κυβέρνησης …

[dpap76]

Χωρίς να θέλω να δικαιολογήσω το Υπουργείο Ψηφιακής Διακυβέρνησης που χειρίζεται το portal που ονομάζεται gov.gr και την έλλειψη TXT records που θα περιόριζαν σημαντικά το spoofing μέσω SPF/DKIM/DMARC τεχνολογιών όπως αναφέρθηκαν, ο κανονισμός διαχείρισης .gr domains που έχει εκδώσει η EETT προβλέπει οτι το domain gov.gr συγκαταλέγεται στα Κοινόχρηστα ονόματα Χώρου δευτέρου επιπέδου με κατάληξη .gr και ο τεχνικός χειρισμός τους γίνεται κατευθείαν από το μητρώο του .gr (ΙΤΕ/ΙΠ). Τα domains αυτά είναι τα com.gr, edu.gr, net.gr, org.gr, gov.gr.

O κανονισμός αυτός είναι σε ισχύ απο το 2018, πρίν την έναρξη του gov.gr portal δηλαδή και έκτοτε δεν έχει τροποποιηθεί με εξαίρεση μια μικρή τροποποίηση που ήρθε 2 μήνες μετά και αφορά αποκλειστικά θέματα GDPR.

Η ζώνη gov.gr δηλαδή, δεν έχει κάποιους συγκεκριμένους authoritative DNS αλλά τους "root" nameservers του .gr:

$ dig gov.gr ns +short
gr-d.ics.forth.gr.
grdns.ics.forth.gr.
estia.ics.forth.gr.
gr-at.ics.forth.gr.
gr-c.ics.forth.gr.
grdns-m.ics.forth.gr.

το SOA record της ζώνης επίσης μας παραπέμπει στον GR Hostmaster:

$ dig gov.gr SOA +short
grdns.ics.forth.gr. hmaster-info.ics.forth.gr. 2307181891 7200 1800 2592000 1800

οποιαδήποτε domains τρίτου επιπέδου υπάρχουν κάτω από το gov.gr παραπέμπουν στους authritative DNS servers όπως όλα τα υπόλοιπα .gr domains και εκεί οι admins τους μπορούν να κάνουν οτι θέλουν στο zonefile τους:

$ dig efka.gov.gr ns efka.gov.gr soa +short
ns2.otenet.gr.
ns1.otenet.gr.
ns1.otenet.gr. hostmaster.ns1.otenet.gr. 2023012435 10800 3600 1814400 86400

$ dig dypa.gov.gr ns dypa.gov.gr soa +short
ns2.oaed.gr.
ns1.oaed.gr.
ns1.oaed.gr. hostmaster.oaed.gr. 83 900 600 86400 600

$ dig minedu.gov.gr ns minedu.gov.gr soa +short
zefyros.minedu.gov.gr.
sns1.grnet.gr.
aiolos.minedu.gov.gr.
sns0.grnet.gr.
zefyros.minedu.gov.gr. root.minedu.gov.gr. 2022071466 10800 3600 1209600 86400

Το "gov.gr" σαν brand, ή αλλιώς η ενιαία ψηφιακή πύλη δημόσιας διοίκησης όπως αναφέρεται στους νόμους και τις υπουργικές αποφάσεις πέρασε σχετικά πρόχειρα θα λέγαμε στον έλεγχο του υπουργείου με τον νόμο 4635/2019 και συγκεκριμένα με το πρόχειρο άρθρο 52 το οποίο καταργήθηκε ολόκληρο με τον νόμο 4727/2020 περί ψηφιακής διακυβέρνησης ο οποίος καθόρισε με μεγαλύτερη λεπτομέρεια τα θέματα.

Το ποιος τώρα έχει την ευθύνη της ζώνης και άρα την τεχνική δυνατότητα να εισάγει εγγραφές πχ TXT μου είναι άγνωστο. Νομικά και σύμφωνα με τον κανονισμό, το domain gov.gr είναι δεσμευμένο από το μητρώο .GR (ΙΤΕ/ΙΠ).

Θυμάμαι οτι ο Πιερρακακης, την ημέρα έναρξης λειτουργίας της πύλης gov.gr, είχε βγάλει μια υπουργική απόφαση 3 (!) γραμμών στην οποία περνούσε τον έλεγχο του gov.gr στο υπουργείο. Δεν μπορώ να την βρω όμως, την ψάχνω ακόμα, πάντως ήταν μια πρόχειρη απόφαση που δεν λάμβανε υπόψην της τον κανονισμό λειτουργίας .gr της ΕΕΤΤ και μου φαίνεται ήταν περισσότερο νομικής φύσεως/τρικ για να νομιμοποιηθεί κάπως η ενέργεια αυτή.

Τεχνικά, θα δούμε οτι υπάρχουν κάποιες εγγραφές στη ζώνη gov.gr και είναι αξιοπερίεργο με ποιανού πρωτοβουλία, ευθύνη, απόφαση και νομιμοποίηση μπήκανε:

$ dig gov.gr a +short
62.217.85.154

$ dig @grdns.ics.forth.gr www.gov.gr
[..]
;; ANSWER SECTION:
www.gov.gr. 3600 IN CNAME www.gov.gr.edgesuite.net.

... και ώ! τι έκπληξη, υπάρχει και ένα TXT record:

$ dig gov.gr txt +short
"HARICA-271cc792460718e58e0f5703f652d9f7"

το οποίο προφανώς έχει μπεί για να κάνουν DCV με την HARICA η οποία εκδίδει/υπογράφει όλα τα SSL πιστοποιητικά των διάφορων site του gov.gr.

ΜΧ record δεν υπάρχει, γιαυτό και δεν υπάρχει καμία γνωστή/legit email address πίσω από το @gov.gr:

$ dig @grdns.ics.forth.gr gov.gr mx +short
$

κάποιος θα μπορούσε να ισχυριστεί οτι εφόσον δεν έχουμε Email υπηρεσία απο το @gov.gr γιατί να βάλουμε SPF/DKIM/DMARC records. Για τόσο high-profile domain name όμως να που είναι απαραίτητο.

Συνοψίζοντας:
- το gov.gr είναι domain ειδικού χειρισμού και ακόμα και αν κάποιοι sysadm το σκέφτηκαν/το πρόβλεψαν οτι καλό θα ήταν να μπούν TXT records για SPF/DKIM/DMARC, δεν έχουν την τεχνική δυνατότητα να το κάνουν εύκολα και πιθανόν έπεσαν στα γρανάζια των κανονισμών/νόμων/υπουργικών αποφάσεων.
- Το πώς πάραυτα, απαντάει με CNAME/A records το domain είναι λίγο θολό. Καταλαβαίνω οτι πρακτικά πιθανόν έγινε ίσως με ένα τηλέφωνο του ίδιου του ΠΘ προς τον πρόεδρο της ΕΕΤΤ που του είπε: δεν ξέρω τι λέει ο κανονισμός αλλά βάλε τώρα τα Α/CNAME records για να σηκώσω την πύλη. Όπως δηλαδή κάνουν όλοι οι Έλληνες πελάτες/ιδιοκτήτες domain name προς τις εταιρίες/καταχωρητές/διαχειριστές DNS δηλαδή οταν θέλουν να σηκώσουν ένα site .. ο πρόεδρος της ΕΕΤΤ μιλάει με τον πρόεδρο του ΙΤΕ, ο οποίος μιλάει με τον GR hostmaster ο οποίος μιλάει τελικά με τον άνθρωπο που μπορεί να κάνει vi gov.gr.db; rndc reload και τσούπ, νά πως κάνει resolve η ψηφιακή πύλη gov.gr
- Να μπουν τώρα, έστω και κατόπιν εορτής τα κατάλληλα TXT records για SPF/DKIM/DMARC. Φυσικά το from: @gov.gr spoofing δεν θα σταματήσει αλλά κάτι θα κάνει.

-- edit: μέχρι να γράψω το παραπάνω βλέπω και άλλοι με πρόλαβαν και σωστά επισημαίνουν λίγο-πολύ τα ίδια πράγματα

[jap]

Δεν υπάρχει κάποια κεντρική σχεδίαση. Όπου υπάρχουν MX και άλλα records υπάρχουν σε τρίτο επίπεδο, καλά τα λέει ο billaros_.
Έτσι πρόχειρα:
- το ypes.gov.gr έχει και τα MX του και τα SPF του, DKIM δεν βρήκα αλλά δεν αποκλείεται να έχει και τούτο.
- To idika.gov.gr κι αυτό έχει MX και SPF, DKIM δεν χρησιμοποιεί (ακόμα κι αν έχει στο DNS) - υποδομές ΚτΠ
- Το emvolio.gov.gr δεν έχει τίποτα, αλλά έστελνε κανονικά μηνύματα
- To myaadelive.gov.gr έχει απ' όλα, στέλνει κανονικά μηνύματα υπογεγραμμένα με DKIM αλλά όχι με του domain - υποδομές microsoft
- To mail.vouchers.gov.gr έχει επίσης απ' όλα, στέλνει με DKIM δικό του - υποδομές amazon

Πολύ σωστά αναφέρθηκε ότι θα έπρεπε να κόβονται όσα δεν έχουν τουλάχιστον SPF, έλα μου όμως που στέλνουν αβέρτα σημαντικά μηνύματα, είτε για να γραφτείς στα διάφορα pass είτε για άλλους λόγους και όσοι διαχειριζόμαστε mailservers με Έλληνες χρήστες τους βάζουμε αναγκαστικά σε whitelist, ίσως λίγο αψήφιστα.

Όσα μηνύματα πάντως είδα εισερχόμενα στέλνονται από χακαρισμένους λογαριασμούς, διαφορετικούς. Προσωπικά ό,τι αντιλήφθηκα το έβαλα σε blacklist και γλύτωσαν κάποιοι επόμενοι, αλλά οι λογαριασμοί ανανεώνονται. Αυτόματα κόπηκαν μόνο όσα έστελναν μέσω blacklisted relays, λίγα σε ποσοστό.

[dpap76]

Αυτό που ανησυχεί κάπως είναι ότι η IP που γίνεται resolve τρέχει web server με certificate από let’s encrypt κάτω από το domain services.gov.gr .
Αυτό δεν το καταλαβαίνω , δωρεάν certificate σε υπηρεσίες της κυβέρνησης …

Εφόσον το πιστοποιητικό είναι έγκυρο και υπογεγραμμένο από αναγνωρισμένη αρχή πιστοποίησης που αναγνωρίζουν οι browsers και εφόσον έχουν κάνει έλεγχο για τυχόν ανάκληση του μην σε ανησυχεί καθόλου.

Το πληρωμένο από το δωρεάν πιστοποιητικό δεν έχει καμία απολύτως τεχνική διαφορά. Μια χαρά είναι η Lets encrypt και ευτυχώς που υπάρχει. Έλεος με τα δις που έχουν βγάλει η verisign και η comodο όλα αυτά τα χρόνια με τα "πληρωμένα" πιστοποιητικά για αέρα κοπανιστό κυριολεκτικά

[runner70]

Aπο τη στιγμη που το spoofed mail δεν εχει κανενα απο τα authentication result (SPF, DKIM, DMARC ) ως pass και κατ'επεκταση oi mail providers βαζουν αυτα τα εμαιλς στα spam, τι θα επρεπε να κανει το @gov.gr ? Να απαιτεί να εχει αυτα τα authentication για να προχωρησει μην και ξεφυγει απο καποιον provider ;

Δεν υπάρχει κάποια κεντρική σχεδίαση. Όπου υπάρχουν MX και άλλα records υπάρχουν σε τρίτο επίπεδο, καλά τα λέει ο billaros_.
Έτσι πρόχειρα:
- το ypes.gov.gr έχει και τα MX του και τα SPF του, DKIM δεν βρήκα αλλά δεν αποκλείεται να έχει και τούτο.
- To idika.gov.gr κι αυτό έχει MX και SPF, DKIM δεν χρησιμοποιεί (ακόμα κι αν έχει στο DNS) - υποδομές ΚτΠ
- Το emvolio.gov.gr δεν έχει τίποτα, αλλά έστελνε κανονικά μηνύματα
- To myaadelive.gov.gr έχει απ' όλα, στέλνει κανονικά μηνύματα υπογεγραμμένα με DKIM αλλά όχι με του domain - υποδομές microsoft
- To mail.vouchers.gov.gr έχει επίσης απ' όλα, στέλνει με DKIM δικό του - υποδομές amazon

Πολύ σωστά αναφέρθηκε ότι θα έπρεπε να κόβονται όσα δεν έχουν τουλάχιστον SPF, έλα μου όμως που στέλνουν αβέρτα σημαντικά μηνύματα, είτε για να γραφτείς στα διάφορα pass είτε για άλλους λόγους και όσοι διαχειριζόμαστε mailservers με Έλληνες χρήστες τους βάζουμε αναγκαστικά σε whitelist, ίσως λίγο αψήφιστα.

Όσα μηνύματα πάντως είδα εισερχόμενα στέλνονται από χακαρισμένους λογαριασμούς, διαφορετικούς. Προσωπικά ό,τι αντιλήφθηκα το έβαλα σε blacklist και γλύτωσαν κάποιοι επόμενοι, αλλά οι λογαριασμοί ανανεώνονται. Αυτόματα κόπηκαν μόνο όσα έστελναν μέσω blacklisted relays, λίγα σε ποσοστό.

Προχειρα ειδα οτι το emvolio.gov.gr εχει τα SPF, DKIM ως pass. Δεν καταλαβα απο που το ειδες οτι δεν εχει τιποτα.

[jap]

Προχειρα ειδα οτι το emvolio.gov.gr εχει τα SPF, DKIM ως pass. Δεν καταλαβα απο που το ειδες οτι δεν εχει τιποτα.

Λάθος μου, δίκιο έχεις. Δεν αλλάζει αυτό που λέω, κάθε entity έχει δικές του ρυθμίσεις/υποδομές κ.λπ.