Σελ. 1 από 9 1236 ... ΤελευταίαΤελευταία
Εμφάνιση 1-15 από 127
  1. #1
    Εγγραφή
    22-09-2003
    Μηνύματα
    78.247
    Downloads
    218
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    Wind
    Router
    Technicolor DGA4130
    SNR / Attn
    6(dB) / 2.8(dB)
    Path Level
    Interleaved
    HELLAS
    Δελτίο Τύπου:
    Με αφορμή πρωτοσέλιδο δημοσίευμα της «Εφημερίδας των Συντακτών» της Δευτέρας 24ης Μαΐου, διευκρινίζουμε τα ακόλουθα:

    Ο ισχυρισμός πως υπάρχει «κενό ασφαλείας» στην ψηφιακή υπηρεσία Υπεύθυνης Δήλωσης είναι ανυπόστατος. Στην ψηφιακή υπηρεσία της Υπεύθυνης Δήλωσης, με τη δημιουργία κάθε νέου εγγράφου γεννιέται και ένας μοναδικός κωδικός για το συγκεκριμένο έγγραφο, με τον οποίο εκείνος στον οποίο απευθύνεται το έγγραφο μπορεί να το αναζητήσει.

    O μοναδικός κωδικός, όπως και τα άλλα προσωπικά στοιχεία της δήλωσης, είναι γνωστά μόνο στον ιδιοκτήτη-αποστολέα της δήλωσης και στον παραλήπτη, οι οποίοι έχουν και την ευθύνη διασφάλισής τους, ακριβώς όπως συμβαίνει και στην έντυπη δήλωση. Στην πράξη, η νέα ψηφιακή υπηρεσία της υπεύθυνης δήλωσης συνιστά όχι απλά διευκόλυνση του πολίτη, αλλά και αναβάθμιση της αξιοπιστίας των δημοσίων εγγράφων, αφού ανά πάσα στιγμή η γνησιότητα του ψηφιακού εγγράφου είναι επαληθεύσιμη από τον παραλήπτη του.

    Το Υπουργείο Ψηφιακής Διακυβέρνησης βρίσκεται σε διαρκή συνεργασία με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αλλά και με όλες τις αρμόδιες Αρχές και Υπηρεσίες, τηρώντας πάντα όλα τα κατάλληλα τεχνικά μέτρα ασφαλείας και έχοντας ως πρωταρχικό σκοπό τόσο την βελτίωση της καθημερινότητας των πολιτών όσο και την προστασία των προσωπικών τους δεδομένων.

    Η ψηφιακή μετάβαση της χώρας είναι μια κατάκτηση όλων των Ελλήνων. Και επειδή αφορά στον πυρήνα των προοπτικών της χώρας, δεν επιβραδύνεται, δεν υπονομεύεται, δεν σταματά. Είναι ευθύνη όλων μας.

    Αναλυτικές τεχνικές πληροφορίες:

    Τα έγγραφα με φυσική υπογραφή και σφραγίδα επαληθεύονται μέσω της οπτικής παρατήρησης, κάτι που αυξανόμενα δεν κρίνεται επαρκές. Το ψηφιακό έγγραφο της Υπεύθυνης Δήλωσης που εκδίδεται από το gov.gr διαθέτει ψηφιακή σφραγίδα του Ελληνικού Δημοσίου και 22ψηφιο κωδικό επαλήθευσης. Ο έλεγχος της γνησιότητάς του μπορεί να γίνει με δύο τρόπους:

    α) τον αμιγώς ψηφιακό, όταν το έγγραφο διακινείται ψηφιακά και το ανοίγει ο παραλήπτης του μέσα σε έναν υπολογιστή, όπου εκεί αυτόματα το έγγραφο επαληθεύεται ως προς τη γνησιότητά του μέσω της ψηφιακής σφραγίδας

    β) και τον μερικώς αναλογικό, όταν ο πολίτης προσκομίζει το ψηφιακά παραγόμενο έγγραφο σε εκτυπωμένη μορφή. Σε αυτήν την περίπτωση, η επαλήθευση της γνησιότητας του εγγράφου γίνεται με τον κωδικό επαλήθευσης 22 χαρακτήρων, ο οποίος αναγράφεται στο έγγραφο, είναι μοναδικός, και απευθύνεται στον παραλήπτη του εγγράφου, προκειμένου αυτός να επαληθεύσει την γνησιότητα του, αποκλείοντας περιπτώσεις πλαστογράφησης. Ο παραλήπτης του εγγράφου εισάγει στο gov.gr τον 22ψηφιο κωδικό ή σαρώνει τον κωδικό QR και επαληθεύει τη γνησιότητα του εγγράφου.

    Η διαδικασία αυτή διασφαλίζει τα δεδομένα του πολίτη και φυσικά δεν τα εκθέτει. Αντιθέτως, δημιουργεί έναν κύκλο εμπιστοσύνης που συνιστά βέλτιστη πρακτική, και αποκλείει περιπτώσεις πλαστογραφίας οι οποίες τόσο συχνά έχουν ταλαιπωρήσει τους Έλληνες πολίτες στο παρελθόν στις δικαστικές αίθουσες.

    Ο μοναδικός κωδικός κάθε εγγράφου με τα χαρακτηριστικά ασφαλείας του gov.gr αποτελείται από 22 χαρακτήρες που προκύπτουν με την κωδικοποίηση base64 (διαφορετικοί χαρακτήρες Α-Ζ, a-z, 0-9) ενός μη ανιχνεύσιμου αριθμού μήκους 128 bits (2128 διαφορετικοί αριθμοί).

    Η μη ανιχνευσιμότητα προκύπτει από την ενσωμάτωση εντροπίας από τους εξυπηρετητές του gov.gr στη γεννήτρια τυχαίων αριθμών /dev/urandom του λειτουργικού συστήματος Linux, κατάλληλη για κρυπτογραφική χρήση.

    Μη ανιχνεύσιμος αριθμός 128 bits σημαίνει ότι εάν κάποιος προσπαθήσει να μαντέψει (brute force attack) τον κωδικό ενός εγγράφου με ρυθμό 12000 προσπαθειών ανά δευτερόλεπτο (ο μέγιστος ρυθμός εξυπηρέτησης για την εν λόγω υπηρεσία), τότε για να πετύχει με πιθανότητα 0.1% ένα κωδικό εγγράφου θα πρέπει να προσπαθεί για 4 εκατομμύρια φορές τη χρονική διάρκεια του γνωστού σύμπαντος (δεκάδες εκατομμύρια δισεκατομμύρια έτη). Ουσιαστικά λειτουργεί ως ένα πολύ ασφαλές και μεγάλο σε μέγεθος password που το ξέρει μόνο ο ιδιοκτήτης του εγγράφου και ο νόμιμος παραλήπτης του. Δεν δημοσιεύεται, ούτε υπάρχει αλλού, παρά μόνο στον παραλήπτη που το χειρίζεται ως προσωπικό έγγραφο. Ταυτόχρονα, εάν κάποιος χρήστης επιχειρεί επιθέσεις, υπάρχουν πολλαπλά επίπεδα μέτρων στις υποδομές της ΕΔΥΤΕ ώστε να απομονωθούν οι προσπάθειές του, είτε προέρχονται από συγκεκριμένο σημείο, είτε είναι κατανεμημένες (DDoS attack).

  2. #2
    Εγγραφή
    05-11-2004
    Ηλικία
    31
    Μηνύματα
    3.119
    Downloads
    44
    Uploads
    0
    Άρθρα
    14
    Τύπος
    VDSL2
    Ταχύτητα
    56319/5639
    ISP
    COSMOTE
    Router
    EdgeRouter X
    Path Level
    Fastpath
    Τι λέει το πρωτοσέλιδο και το "αφιέρωμα"; Έτσι για να γελάσουμε λίγο.
    Ok, boomer

  3. #3
    Εγγραφή
    07-05-2011
    Περιοχή
    ΙΛΙΟΝ
    Ηλικία
    32
    Μηνύματα
    1.558
    Downloads
    3
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    51200/5120
    ISP
    Vodafone
    DSLAM
    ΟΤΕ - ΙΛΙΟΝ
    Router
    Vodafone H300s
    μάλλον λένε γι' αυτό

    https://www.efsyn.gr/node/295121


    το δοκίμασα και δούλεψε, μπήκα από άλλο browser με μηδέν ιστορικό στο https://dilosi.services.gov.gr/show/q/validate και με τον κωδικό επαλήθευσης της αίτησης που είχα κάνει μου εμφάνισε την αίτηση. δεν ζήτησε ούτε είσοδο να κάνω.
    Τελευταία επεξεργασία από το μέλος shocked : 24-05-21 στις 15:00.

  4. #4
    Εγγραφή
    04-01-2006
    Περιοχή
    Χανιά
    Μηνύματα
    3.909
    Downloads
    4
    Uploads
    0
    Τώρα για να καταλάβω, το υπουργείο απαντά στην ΕΦΣΥΝ, ή στην Ένωση Πληροφορικών Ελλάδας, που ανακάλυψε το κενό ασφαλείας; Η είδηση δεν είναι καν σημερινή, έχει βγει από την προηγούμενη εβδομάδα, αλλά φαίνεται στο υπουργείο έκαναν την πάπια μέχρι που το δημοσίευσε κι η ΕΦΣΥΝ.

    https://www.epe.org.gr/ola-ta-arthra...latforma-govgr
    Silence like a cancer grows

  5. #5
    Εγγραφή
    06-02-2015
    Περιοχή
    Πατήσια
    Μηνύματα
    800
    Downloads
    0
    Uploads
    0
    Τύπος
    ADSL2+
    Ταχύτητα
    24576/1024
    ISP
    Forthnet
    DSLAM
    Forthnet - ΠΑΤΗΣΙΑ
    Router
    Thomson TG585 v8
    Παράθεση Αρχικό μήνυμα από nnn Εμφάνιση μηνυμάτων
    O μοναδικός κωδικός, όπως και τα άλλα προσωπικά στοιχεία της δήλωσης, είναι γνωστά μόνο στον ιδιοκτήτη-αποστολέα της δήλωσης και στον παραλήπτη, οι οποίοι έχουν και την ευθύνη διασφάλισής τους

    Δηλαδή δεν φταίει ο μηχανισμός που είναι όλα χύμα στο ίντερνετ, οι χρήστες φταίνε που δεν σταματάνε τους "hacker" από το να κάνουν ένα απλό enumeration στο site και να κατεβάσουν όλα τα δημόσια έγγραφα...

    Ξύλο μόνο μέχρι να μάθουν.

  6. #6
    Εγγραφή
    03-01-2018
    Μηνύματα
    872
    Downloads
    0
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    109999/11000
    ISP
    Vodafone
    Router
    AVM FRITZ!Box 7530
    SNR / Attn
    9(dB) / 10(dB)
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από GrandGamer Εμφάνιση μηνυμάτων
    Δηλαδή δεν φταίει ο μηχανισμός που είναι όλα χύμα στο ίντερνετ, οι χρήστες φταίνε που δεν σταματάνε τους "hacker" από το να κάνουν ένα απλό enumeration στο site και να κατεβάσουν όλα τα δημόσια έγγραφα...
    Τί εννοείς; Να αρχίσουν να δοκιμάζουν 22ψήφιους αριθμούς εγγράφων;

    Πάντως θυμάμαι πως από το τέλος της προηγούμενης εβδομάδας για να κάνω validate εγγραφο μού ζητούσε login πρώτα. Δε θυμάμαι τί ίσχυε πριν όμως.

  7. #7
    Εγγραφή
    10-10-2004
    Μηνύματα
    3.745
    Downloads
    6
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    100 Mbps
    ISP
    Inalan
    Διαβαζοντας την ειδηση απο το ΕφΣυν, μου ηρθε στο μυαλο αυτη η τρολια (που ειναι ακομα και σημερα η πραγματικοτητα)
    https://youtu.be/eQeyNCPUvCI
    Τελευταία επεξεργασία από το μέλος Hetfield : 24-05-21 στις 15:35.

  8. #8
    Εγγραφή
    17-09-2005
    Περιοχή
    ATHGR
    Μηνύματα
    2.394
    Downloads
    12
    Uploads
    0
    ISP
    4G+
    καλό είναι που/να κλείνουν τέτοιες τρύπες.

    Παράθεση Αρχικό μήνυμα από Hetfield Εμφάνιση μηνυμάτων
    Διαβαζοντας την ειδηση απο το ΕφΣυν, μου ηρθε στο μυαλο αυτη η τρολια (που ειναι ακομα και σημερα η πραγματικοτητα)
    https://youtu.be/eQeyNCPUvCI
    δυνατό φαίνεται το team

  9. #9
    Εγγραφή
    20-12-2007
    Μηνύματα
    177
    Downloads
    0
    Uploads
    0
    DSLAM
    Forthnet - ΠΕΡΙΣΤΕΡΙ
    Νομίζω ότι το ακόλουθο άρθρο τα περιγράφει όπως πρέπει https://www.varonis.com/blog/the-dan...-shared-links/ και για να καταλήξουμε "while security through obscurity is better than nothing, it’s certainly not great protection."

    Τώρα αν θα έπρεπε αυτού του είδους τα έγγραφα να προστατεύονται μόνο από shareable links αυτό θα έπρεπε να είναι το ζουμί της συζήτησης.

  10. #10
    Εγγραφή
    12-07-2006
    Μηνύματα
    387
    Downloads
    5
    Uploads
    0
    Ταχύτητα
    11865/960
    ISP
    On Telecoms
    DSLAM
    HOL - ΔΑΦΝΗΣ
    Router
    Draytek Vigor 2700VG
    SNR / Attn
    11(dB) / 31(dB)
    Εκεί στο υπουργείο είναι απαράδεκτοι. Εγώ χθες βρήκα 5-6 υπεύθυνες δηλώσεις με αναζητήσεις στο google. Σήμερα αφαιρέθηκαν από τα search results, άρα:

    1) Είναι τελείως λάθος η πρόσβαση στα έγγραφα αυτά να είναι τελείως ανοιχτή. Τι θα γίνει αν εγώ πχ βγάλω μια λίστα με 50-100-1000 hashes από υπεύθυνες δηλώσεις; Μπορεί ο οποιοσδήποτε να πάρει τα αντίστοιχα προσωπικά δεδομένα, χωρίς εγώ να έχω παρανομήσει. Άρα βρήκαμε μια πολύ ωραία γκρι-αγορά

    2) Οι crawlers για κάποιο ανεξήγητο λόγο έχουν πρόσβαση σε κάποια documents. Κακώς! To google τα αφαίρεσε, άλλοι providers όχι.

    Απλή λύση: Για να δεις ένα έγγραφο πρέπει να έχεις κάνει login, να καταγράφεται κάθε πρόσβαση και να ενημερώνετε ο υπογράφων για το ποιός είδε το έγγραφο. Κάθε λογαριασμός να έχει περιορισμένες δυνατότητες εμφάνισης εγγράφων (όπως ακριβώς γίνεται στην αναζήτηση ΑΦΜ μέσω της ΑΑΔΕ).

  11. #11
    Εγγραφή
    28-07-2013
    Μηνύματα
    3.850
    Downloads
    0
    Uploads
    0
    ISP
    OTE/Vodafone/ΕΔΕΤ
    Πληρέστερο άρθρο στην ΕφΣυν από αυτό που παρατέθηκε νωρίτερα, που δεν ασχολείται και με τα δελτία τύπου του Σύριζα, για να αποφύγουμε την κομματική χροιά:
    https://www.efsyn.gr/politiki/295248_trypio-govgr

    Δυστυχώς είναι ακριβές ότι υπάρχουν ελλείψεις ασφαλείας που επιδέχονται βελτίωση.
    Ελπίζω έστω και σιωπηρά να το πάρουν σοβαρά και να κλείσουν μερικές τρύπες.

  12. #12
    Εγγραφή
    21-03-2010
    Μηνύματα
    1.587
    Downloads
    2
    Uploads
    0
    Ψυχραιμία νεοδημοκράτες. Είναι πραγματικό κενό ασφαλείας, μην σκίζετε τα ρούχα σας για τις κομματικές σας παρωπίδες. Δεν ακυρώνει την καλή δουλειά που έχει γίνει γενικά με το gov.gr , αλλά είναι σοβαρό. Aν σας παρηγορεί, η Ένωση Πληροφορικών Ελλάδας το διαπίστωσε, όχι ο σύριζα. Το χειρότερο είναι η ανεύθυνη στάση να αρνούνται τη σημασία του, ελπίζω να αναθεωρήσουν.

    - - - Updated - - -

    Παράθεση Αρχικό μήνυμα από jtsop Εμφάνιση μηνυμάτων
    Απλή λύση: Για να δεις ένα έγγραφο πρέπει να έχεις κάνει login, να καταγράφεται κάθε πρόσβαση και να ενημερώνετε ο υπογράφων για το ποιός είδε το έγγραφο. Κάθε λογαριασμός να έχει περιορισμένες δυνατότητες εμφάνισης εγγράφων (όπως ακριβώς γίνεται στην αναζήτηση ΑΦΜ μέσω της ΑΑΔΕ).
    ++++ ακριβώς!

  13. #13
    Εγγραφή
    04-08-2017
    Περιοχή
    Αττική
    Μηνύματα
    335
    Downloads
    3
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    100/10
    ISP
    Vodafone
    Router
    Vodafone H 300s
    Path Level
    Fastpath
    Δεν είναι κατάλληλη η urandom για κρυπτογραφική χρήση. Είναι αληθινό κενό ασφαλείας τύπου scraping. Πρέπει να φτιαχτεί. Γιατί χαλάμε λεφτά σε ανακοίνωση αντί να φτιάξουμε το κενο ασφάλειας. Πρέπει με login μόνο να φαίνεται

  14. #14
    Εγγραφή
    12-07-2006
    Μηνύματα
    387
    Downloads
    5
    Uploads
    0
    Ταχύτητα
    11865/960
    ISP
    On Telecoms
    DSLAM
    HOL - ΔΑΦΝΗΣ
    Router
    Draytek Vigor 2700VG
    SNR / Attn
    11(dB) / 31(dB)
    Παράθεση Αρχικό μήνυμα από JpegXguy Εμφάνιση μηνυμάτων
    Δεν είναι κατάλληλη η urandom για κρυπτογραφική χρήση.
    ΕΕΕΕΕ, προφανώς

  15. #15
    Εγγραφή
    06-02-2015
    Περιοχή
    Πατήσια
    Μηνύματα
    800
    Downloads
    0
    Uploads
    0
    Τύπος
    ADSL2+
    Ταχύτητα
    24576/1024
    ISP
    Forthnet
    DSLAM
    Forthnet - ΠΑΤΗΣΙΑ
    Router
    Thomson TG585 v8
    Παράθεση Αρχικό μήνυμα από zeronero Εμφάνιση μηνυμάτων
    Τί εννοείς; Να αρχίσουν να δοκιμάζουν 22ψήφιους αριθμούς εγγράφων;
    Ναι γιατί όχι; Δεν θα το κάνουν με το χέρι ούτως ή άλλως, με script γίνεται η δουλειά. Ειδικά αν υπάρχει κάποιο pattern που ακολουθείται για τους αριθμούς εγγράφων γίνεται ακόμα πιο εύκολο.

Σελ. 1 από 9 1236 ... ΤελευταίαΤελευταία

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας