Το παρακάτω κείμενο όπως το κοινοποίησα σε ενημερωτικά μέσα, οργανισμούς νομικών θεμάτων, προστασίας και τηλεπικοινιών για ένα θέμα που προέκυψε με μια υπηρεσία του δημοσίου τομέα και θα ήθελα να το κοινοποιήσω ώστε να βρεθεί μια λύση.
Σας στέλνω αυτό το μήνυμα ώστε να γνωστοποιήσω ένα θέμα που παρατηρώ καιρό και αποφάσισα ότι είναι καιρός να γνωστοποιηθεί και να αλλάξει καθώς για το 2020 είναι ανεπίτρεπτο
Αφιλοκερδώς έχω αναλάβει τη διαχείριση προσωπικών υποθέσεων συγγενικού προσώπου με φορείς του δημοσίου και του ιδιωτικού τομέα. Μεταξύ αυτών καλούμαι να συνδιαλλαχθώ με υπηρεσίες αγροτικών φορέων του δημοσίου τομέα όπως του ΟΠΕΚΕΠΕ και του ΚΕΠΠΥΕΛ, για να αναγνωρίζεται ως αγρότης σύμφωνα με τα απαιτούμενα κριτήρια στο μητρώο αγροτών και να αποκτά το αφορολόγητο για την ετήσια φορολογική δήλωσή του.
Μέχρι και πέρυσι έπρεπε πρώτα να επισκεφθώ τον ΟΠΕΚΕΠΕ για να καταχωρηθούν στοιχεία από το Ε1 ώστε να εκδοθεί ένα έγγραφο που χρειάζεται για την αίτηση στον αρμόδιο φορέα ΚΕΠΠΥΕΛ.
Φέτος καλούμαι, λόγω αλλαγής της διαδικασίας υποβολής, αντί της επίσκεψης στον ΟΠΕΚΕΠΕ, να κάνω χρήση του ιστοτόπου του μητρώου αγροτών (https://maae.minagric.gr/maae/) του ΥΠΑΑΤ (Υπουργείο Αγροτικής Ανάπτυξης και Τροφίμων). Μέχρι εδώ όλα καλά. Ο ιστότοπος έχει ασφάλεια με πιστοποιητικό SSL.
Μετά την πιστοποίηση με κωδικούς Taxis, ζητείται να κάνω εγγραφή στον ιστότοπο των ηλεκτρονικών υπηρεσιών του ΥΠΑΑΤ (http://e-services.minagric.gr/) , λόγω της περίπτωσης που δεν υπάρχουν τα στοιχεία στο μητρώο
Ο συγκεκριμένος ιστότοπος δεν παρέχει υποστήριξη κρυπτογραφημένης σύνδεσης HTTPS[1,2]. Είναι εμφανές ότι από το 2015 έχει να ενημερωθεί και να αναβαθμιστεί η υποδομή του. Η πολιτική χρήσης είναι αρκετά λιτή και ελλιπής, μόλις μια σελίδα, με ημερομηνία. Πολιτική χρήσης ψηφιακών υπηρεσιών ΥΠΑΑΤ (Αρχείο PDF, http://www.minagric.gr/images/storie...akon020415.pdf)
Δεν υπάρχει πολιτική χρήσης προσωπικών δεδομένων ούτε ενημέρωση και για το GDPR που εφαρμόζεται από το 2018.
Παρόλα αυτά υπάρχει και μια σύνδεση της google-analytics.com για την καταγραφή στατιστικών επισκεψιμότητας, κάτι που δεν είναι απαραίτητο και καθόλου χρήσιμο για τη σωστή λειτουργία.
Όλα αυτά με αποθαρρύνουν και μ´ απαγορεύουν για χρησιμοποιήσω την υπηρεσία μέχρις ότου παρέχει ασφάλεια σύνδεσης με πιστοποιητικό SSL.
Πλέον καλούνται οι πολίτες, εφόσον είναι ικανοί, να μεριμνήσουν οι ίδιοι να χρησιμοποιήσουν την υπηρεσία. Όσοι δεν μπορούν θα πρέπει να απευθυνθούν σε εξωτερικούς φορείς - ιδιώτες. Συνεπώς, όσο αυξάνεται ο αριθμός των χρηστών τόσο αυξάνεται τόσο κίνδυνος παραβίασης και κλοπής προσωπικών δεδομένων.
Είναι επιτακτική ανάγκη να γίνει καταγραφή των ιστοτόπων του δημόσιου τομέα και να μεταβούν άμεσα στην αναβάθμιση των υποδομών τους, κυρίως στο τομέα της ασφάλειας, όσο η γίνεται απαραίτητη και αναγκαία η μετάβαση στις ψηφιακές υπηρεσίες, τώρα ειδικά με την πανδημία του COVID-19.
Οι διαχειριστές αυτών των ιστοτόπων θα μπορούσαν να χρησιμοποιήσουν δωρεάν πιστοποιητικά SSL από υπηρεσίες όπως StartSSL (https://www.startssl.com/), Wosign (https://buy.wosign.com/free/) και Let’s Encrypt (https://letsencrypt.org), μέχρις ότου μεταβούν σε άλλη αρχή πιστοποίησης που θα προσφέρει πιστοποιητικά με περισσότερα χαρακτηριστικά που θα καλύπτουν καλύτερα τις ανάγκες τους.
Σας επισυνάπτω στιγμιότυπα των ιστοτόπων που αναφέρω.
Ευχαριστώ για το χρόνο σας.
Πληροφορίες
[1]
HTTP
Για την πλοήγηση στο διαδίκτυο χρησιμοποιείται το πρωτόκολλο επιπέδου εφαρμογής HTTP. Θα έχετε παρατηρήσει ότι στις διευθύνσεις που εισάγουμε στον browser μας, συνήθως στην αρχή γράφει http:// . Αυτό διευκρινίζει στον web server το πρωτόκολλο εφαρμογής που θα χρησιμοποιηθεί στην σύνδεση. Αυτό το πρωτόκολλο είναι μη κρυπτογραφημένο, όποτε ένας κακόβουλος με τις κατάλληλες τεχνικές γνώσεις μπορεί να υποκλέψει την επικοινωνία μας με το συγκεκριμένο web server, και να δει τι γράφουμε πχ σε ένα email ή ποιο συγκεκριμένο άρθρο διαβάζουμε στην wikipedia.
[2]
HTTPS
Για την αποφυγή των παραπάνω, δημιουργήθηκε το πρωτόκολλο HTTPS. Το s σημαίνει secure και μας δείχνει ότι η σύνδεση με το συγκεκριμένο ιστότοπο είναι ασφαλής. Αυτό σημαίνει ότι οποιοσδήποτε τρίτος (εκτός από εμάς και το διαχειριστή της ιστοσελίδας) παρεμβαίνει σε αυτή τη σύνδεση, μπορεί να δει τον ιστότοπο που επισκεπτόμαστε, αλλά δε μπορεί να δει τι ακριβώς κάνουμε εκεί. Π.χ. δε μπορεί να δει τι άρθρα διαβάζουμε ή τι γράφουμε εκεί, ούτε και τους κωδικούς που δίνουμε για είσοδο και διάφορα άλλα δεδομένα της σύνδεσης μας με τον ασφαλή ιστότοπο. Σαν τρίτο μέρος μπορεί να θεωρηθεί οποιοσδήποτε κακόβουλος που θέλει να μάθει τα πάντα για εμάς.
Από το 2017 τα προγράμματα πλοήγησης (browsers) Mozilla Firefox, Google Chrome, Opera, Vivaldi και Microsoft Edge προειδοποιούν αν η σύνδεση με τον συγκεκριμένο ιστότοπο επίσκεψης είναι ασφαλής η όχι.
Από τον Ιούλιο του 2018 με την κυκλοφορία της έκδοσης 68, ο Chrome επισημαίνει πλέον όλες τις τοποθεσίες HTTP (δηλαδή όσες δεν διαθέτουν SSL) ως «μη ασφαλείς», υποστηρίζοντας ένθερμα ότι οι ιστότοποι πρέπει να υιοθετήσουν την κρυπτογράφηση HTTPS, με την εγκατάσταση ενός πιστοποιητικού ασφαλείας SSL.
* πηγή
https://stinpriza.org/https-gia-asfalesteri-ploigisi/
Παραθέτω μερικές ιστοσελίδες δημόσιων υπηρεσιών που παρατηρήσει και έχουν μερική ή καθόλου προστασία με HTTPS
Εργασίας
- http://oaed.gr/ - ΟΑΕΔ - Οργανισμός Απασχόλησης Εργατικού Δυναμικού
- https://eservices.oaed.gr/pls/apex/ - Ηλεκτρονικές υπηρεσίες ΟΑΕΔ (ασφαλής)
Ασφαλιστικά ταμεία
- http://www.tsay.gr/ - ΤΣΑΥ - Ταμείο Σύνταξης Ασφάλισης Υγειονομικών
- http://www.etaa.gr/ - ΕΤΑΑ - Ενιαίο Ταμείο Ανεξάρτητα Απασχολούμενων
Παιδεία
- http://ebooks.edu.gr/ - Αποθετήριο σχολικών βιβλίων
- http://duth.gr/ - Δημοκρίτειο Πανεπιστήμιο Θράκης
Διοικητικά
- http://www.et.gr/ - Εθνικό Τυπογραφείο
- http://www.opengov.gr/ - Ανοιχτή Διακυβέρνηση
- http://www.data.gov.gr/ - Ανοιχτά Δεδομένα
- http://www.kep.gov.gr/ - Κέντρο Εξυπηρέτησης Πολιτών
- http://www.e-poleodomia.gr/ - Πολεοδομία
Νομικά
- http://www.areiospagos.gr/ - Άρειος Πάγος
- http://www.gak.gr/ - Γενικά Αρχεία του Κράτους
Αρμόδιοι φορείς τηλεπικοινωνιών
- http://www.adae.gr/ - ΑΔΑΕ - Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών
Αρμόδιοι φορείς αγροτικού τομέα
- http://elga.gr/ - ΕΓΛΑ - Οργανισμού Ελληνικών Γεωργικών Ασφαλίσεων
- https://services.elga.gr/ - Ηλεκτρονικές υπηρεσίες του ΕΛΓΑ (ασφαλής)
Συγκοινωνίες
- http://www.olp.gr/en/ - Οργανισμός Λιμένα Πειραιά
Υπουργεία
- http://www.mindev.gov.gr/ - Υπουργείο Ανάπτυξης
- http://www.minagric.gr/ - ΥΠΠΑΤ – Υπουργείο Αγροτικής Ανάπτυξης και Τροφίμων
- http://visitgreece.gr/ - Εθνικός Οργανισμός Τουρισμού – καμπάνια Visit Greece
Σωμάτων ασφαλείας
- http://www.astynomia.gr/ - Ελληνική Αστυνομία
- http://www.passport.gov.gr/ - Διεύθυνση έκδοσης Ελληνικής Αστυνομίας
Εξωτερικοί σύνδεσμοι
- https://en.wikipedia.org/wiki/HTTPS
- https://el.wikipedia.org/wiki/HTTPS
- https://letsencrypt.org/how-it-works/
- https://certbot.eff.org/
- https://spreadprivacy.com/what-does-https-do/
- https://spreadprivacy.com/secure-web-connection/
- https://howhttps.works/
- https://httpsiseasy.com/
- https://doesmysiteneedhttps.com/
- https://whynohttps.com/ - Λίστα με τις μεγαλύτερες σε επισκεψιμότητα ιστοσελίδες που δεν υποστηρίζουν HTTPS ανά χώρα
- https://whynohttps.com/country/gr - Η λίστα πλέον δεν είναι ενημερωμένη αλλά αρκετές αναφερόμενες ιστοσελίδες εξακολουθούν να μην υποστηρίζουν HTTPS
Άρθρα
- Communicating the Dangers of Non-Secure HTTP - https://blog.mozilla.org/security/20...n-secure-http/
- No More Passwords over HTTP, Please! - https://blog.mozilla.org/tanvi/2016/...r-http-please/
- Deprecating Non-Secure HTTP – Frequently Asked Questions (Αρχείο PDF) - https://blog.mozilla.org/security/fi.../HTTPS-FAQ.pdf
- Moving towards a more secure web - https://security.googleblog.com/2016...ecure-web.html
- Google Will Soon Shame All Websites That Are Unencrypted - https://motherboard.vice.com/en_us/a...d-chrome-https
Εμφάνιση 1-10 από 10
-
03-07-20, 22:31 Έλλειψη ασφάλειας σε ηλεκτρονικές υπηρεσίες φορέων του δημοσίου τομέα #1
-
03-07-20, 22:36 Απάντηση: Έλλειψη ασφάλειας σε ηλεκτρονικές υπηρεσίες φορέων του δημοσίου τομέα #2
Αξιέπαινη η προσπάθεια,
αλλά φοβάμαι ότι χάνεις τον χρόνο σου.Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
03-07-20, 22:43 Απάντηση: Έλλειψη ασφάλειας σε ηλεκτρονικές υπηρεσίες φορέων του δημοσίου τομέα #3
Το μόνο σίγουρο. Κάθε φορά που προσπαθείς για το καλύτερο είναι βέβαιο ότι τουλάχιστον θα θυσιασεις το χρόνο σου.
-
03-07-20, 23:07 Απάντηση: Έλλειψη ασφάλειας σε ηλεκτρονικές υπηρεσίες φορέων του δημοσίου τομέα #4
Δεν είναι ακριβώς έτσι, πάντα κάποιος πρέπει να κάνει την αρχή έστω και αν αισθάνεται εκείνη την στιγμή ότι απλά ματαιοπονεί, σίγουρα ένας κούκος δεν φέρνει την άνοιξη αλλά αν αυξηθούν οι "κούκοι" τότε κάτι θα γίνει.
Imagination is more important than knowledge.
Knowledge is limited
IMAGINATION ENCIRCLES THE WORLD
Albert Einstein
-
04-07-20, 10:27 Απάντηση: Έλλειψη ασφάλειας σε ηλεκτρονικές υπηρεσίες φορέων του δημοσίου τομέα #5
Πολύ σωστά, γι´ αυτό κινούμαι να ενημερώνω και να παροτρύνω το κόσμο, παρά να σχολιάζω και να γράφω σοφίσματα και φανφάρες όπως κάνει η πλειοψηφία των χρηστών του ίντερνετ.
Αναφέρετε εσείς όσες ιστοσελίδες έχετε παρατηρήσει όπου υπάρχει έλλειψη ασφαλείας.
-
04-07-20, 13:11 Απάντηση: Έλλειψη ασφάλειας σε ηλεκτρονικές υπηρεσίες φορέων του δημοσίου τομέα #6
Βλέπω στην λίστα έχεις βάλει αρκετές σελίδες που είναι μόνο με Http, αλλά πηγαίνοντας σε μερικές απο εκείνες δεν βλέπω να σου ζητάνε κάπου να τους στείλεις κάποια δεδομένα έτσι ώστε να χρειάζεται το https
Πχ για την παιδεία σε πάει στο https://dschool.edu.gr/dschool2-project/services/ και στο https://auth.e-me.edu.gr/?eme=https:...100102ab9ed2ba που σου ζητάει πλέον να δώσεις στοιχεία.
Το ίδιο πχ και τα ΚΕΠ, για να κάνεις κάποια αίτηση σε δρομολογεί στον Ερμη που διαθέτει Https
Και φυσικά έχουμε και σουρεαλ καταστάσεις με της αρχή προστασίας προσωπικών δεδομένων να μην έχει ssl
http://www.adae.gr/ilektronikes-ypir...po-ton-politi/
-
04-07-20, 18:40 Απάντηση: Έλλειψη ασφάλειας σε ηλεκτρονικές υπηρεσίες φορέων του δημοσίου τομέα #7
Αυτές οι ιστοσελίδες είναι όσες έχω πετύχει λόγω της συνδιαλλαγής μου με δημόσιες υπηρεσίες. Φέτος έμαθα για την ηλεκτρονική υπηρεσία του ΥΠΑΑΤ που είναι για χρόνια σε HTTP και διαπίστωσα οιδοιης όμασι ότι τη χρησιμοποιούν και οι υπάλληλοι με την αγροτική υπηρεσία που συνδιαλλάσσομαι. Όταν τους ρώτησα και μιλούσα τι συνέβαινε με είπαν ότι έχουν πιστοποίηση ISO για την ασφάλεια. Γι´ αυτό εν μέρει θα μας βοηθήσει και από την αφέλεια ή την ασχετοσύνη τους.
Την ίδια δρομολόγηση που κάνει το ΚΕΠ έκανε για την περίπτωσή μου το ΥΠΑΑΤ, μόνο που αργότερα με ανακατεύθυνε σε HTTP. HTTPS χρειάζονται όλες γιατί προσφέρει ασφάλεια αλλά και ταυτοποίηση. Οποιαδήποτε δρομολόγηση μέσω HTTP είναι εξίσου επικίνδυνη και μπορεί εύκολα να παραποιηθεί. Το 2018 η ΓΓΠΣ έβαλε στην αρχική της σελίδα HTTPS παρόλο για τη σύνδεση στο λογαριασμό είχε ήδη από το 2012. Αντίστοιχα πρέπει να κινηθεί ο ΟΑΕΔ, το ΕΛΓΑ όπως ενέφερα μαζί με άλλες.
Η Forthnet στην αρχική της σελίδα δεν είχε ποτέ HTTPS. Τους τηλεφώνησα και είπαν όταν καταγράφουν την παρατήρηση παρόλο που δεν θα ´πρεπε να με ενοχλεί καθώς το myAccount της ήταν σε HTTPS. Τέλη 2017 με αρχές του 2018 έγινε ανανέωση συμβολαίου με φυσική παρουσία και αργότερα είχε έρθει μήνυμα με προσωπικό κωδικό για να βλέπω την εξέλιξη του αιτήματος σε HTTP. Πλέον δεν υπάρχει η ιστοσελίδα της καθώς κάνει ανακατεύθυνση στη σελίδα της Nova. Ευκαιρία να πω ότι για κωδικό σύνδεσης στο Webmail της είναι ο κωδικός της σύνδεσης (ευτυχώς είχει HTTPS)
Στις υπηρεσίες του Υπουργείου Παιδείας (https://dschool.edu.gr/dschool2-project/services/) όταν χρειαστεί να κατεβάσεις αρχείο, για παράδειγμα ένα βιβλίο σε PDF, θα γίνεται μέσω HTTP όπου μια επίθεση του τύπου MITM θα ήταν ιδανική.
Αρκετές ειδησεογραφικές ιστοσελίδες από έντυπες εφημερίδες και ιστολόγια έχουν HTTPS παρόλο που η πλειοψηφία τους δεν χρειάζεται να μεταφερθούν δεδομένα λογαριασμού. Προστατεύουν την τελική διεύθυνση του επισκέπτη της ιστοσελίδας από οποιονδήποτε μπορεί να έχει πρόσβαση στο δίκτυο τους.
Δεν είμαστε στο 2012 που το HTTPS ήταν ακριβό και ασύμφορο να το αποκτήσεις.
Χωρίς παρεξήγηση
-
15-07-20, 15:56 Απάντηση: Έλλειψη ασφάλειας σε ηλεκτρονικές υπηρεσίες φορέων του δημοσίου τομέα #8
Σε μια ίδια περίπου κατάσταση βρισκόμουν ο ίδιος και μπορώ να πω ότι σε ένα βαθμό σε καταλαβαίνω. Για καιρό είχα αναλάβει τις υποθέσεις αρκετά κοντινών μου συγγενών - γιατί μόνοι τους τα έκαναν μούσκεμα - μέχρι που βρήκα αξιόλογους και αξιόπιστους επαγγελματίες και ευτυχώς πήραν τη σκυτάλη. Φυσικά έχω τον τελευταίο λόγο ύστερα από συνεννόηση με τα σχετιζόμενα πρόσωπα.
Μικρή ιστορία.
Για καιρό μιλούσα με την ΓΓΠΣ ώστε να διορθώσει το API της καθώς πάλευα για καιρό να διορθώσω ένα bug μιας desktop εφαρμογής που έφτιαχνα, γιατί η ιστοσελίδα δεν με ικανοποιούσε. Για καιρό έστελνα ηλεκτρονικά μηνύματα και αναλωνόμουν σε τηλεφωνικές συνομιλίες με πολλά πρόσωπα μέχρι να βρω τα κατάλληλα. Για κάτι τόσο απλό έπρεπε να κάνω μαραθώνιο, γι’ αυτό και σ´ ένα σημείο τα παράτησα. Επίσης, όπως και εσύ, είχα επικοινωνήσει με δημόσιες υπηρεσίες για να χρησιμοποιήσουν HTTPS για πολλές από τις ηλεκτρονικές τους υπηρεσίες πριν το 2015 και παρατήρησα ότι πολλές μετέβησαν από 2017 και μετά. Δεν γνωρίζω ακριβώς τι σχεδιασμό έχουν και επιτυγχάνουν, το μόνο σίγουρο είναι ότι τα πράγματα προχωρούν πολύ αργά. Γνωρίζω ότι το gov.gr το σχεδίαζαν από το 2017 και λόγω της πανδημίας παρατηρούμε ότι είναι ακόμη στην αρχή, όχι σε δοκιμαστική beta φάση όπως αναφέρεται αλλά πολύ πίσω ακόμη και από την alpha.
Θα προσπαθήσω από τη σειρά μου να πιέσω και εγώ γιατί ένας μόνο του θέλει και συμμάχους.
-
23-07-20, 13:01 Απάντηση: Έλλειψη ασφάλειας σε ηλεκτρονικές υπηρεσίες φορέων του δημοσίου τομέα #9
Από τους πρώτους, ανάμεσα σε άλλους, παραλήπτες της επιστολής μου ήταν η Ένωση Πληροφορικών Ελλάδας, ΕΠΕ, η οποία εκδίδει συχνά δελτία τύπου που αναφέρει τα κακώς κείμενα του κλάδου. Από τις 16 Ιουλίου έχει αναρτήσει νέο δελτίο τύπου σχετικά με το φερόμενο θέμα με τίτλο «Ελλιπή τεχνικά μέτρα ασφάλειας σε ιστοτόπους δημόσιων φορέων» το οποίο, όπως παραθέτω, μπορείτε να βρείτε στη σελίδα τους.
Spoiler:
-
23-07-20, 16:01 Απάντηση: Έλλειψη ασφάλειας σε ηλεκτρονικές υπηρεσίες φορέων του δημοσίου τομέα #10
Ευχάριστη κινητοποίηση, εύχομαι να έχει αντίστοιχη εξέλιξη όπως με την περίπτωση του Κτηματολογίου της Αθήνας.
Bookmarks