Προβλήματα στο σύστημα Εθνικού μητρώου ασφάλισης

[Michail Almyros]

Πρόσφατα είχα μια συζήτηση σχετικά με το σύστημα Άτλας που φτίαχτηκε για να διαχειριζόμαστε το εθνικό μητρώο ασφάλισης μας. Στην συζήτηση που είχα όλος ο κόσμος ήταν θυμωμένος και από ότι θα δείτε και στην συνέχεια και με το δίκιο του.

Η συγκεκριμένη ιστοσελίδα είναι κρατικός μηχανισμός και είναι γεμάτη προβλήματα και κενά ασφαλείας με αποτέλεμα όλα μας τα στοιχεία σαν πολίτες να βρίσκονται σε κίνδυνο.

Ας ξεκινήσουμε λοιπόν με την ανάλυση:

Ο σχεδιασμός της ιστοσελίδας θυμίζει 2000 και αυτή τη στιγμή που σας γράφω έχουμε 2018 πράγμα που αμας δείχνει πόσο πίσω είμαστε σε θέματα τεχνολογίας στον δημόσιο τομέα.

Τα λογότυπα στην ιστοσελίδα δεν είναι διαφανείς με αποτέλεσμα να φένεται το άσπρο πάνω σε γκρί background και επίσης μπορούμε να δούμε ότι στο κάτω μέρος της σελίδας τα πνευματικά δικαιώματα ειναι απο το 2014 εώς το 2016 άρα βλέπουμε οτι δεν υπάρχει ενδιαφέρον για την εικόνα της σελίδας.

Επισκέπτοντας τον σύνδεσμο https://www.atlas.gov.gr/ μας παρουσιάζεται σφάλμα:

 

Η σελίδα ειναι φτιαγμένη σε ASP που μας δείχνει ακόμα για μια φορά πόσο βαθεία ειναι η Microsoft μέσα στο δημόσιο αλλα τέλος πάντων ας μη σταθούμε εδώ.

Και τώρα ας μπούμε στο ψητό

Βλέπουμε οτι στο κομμάτι head της ιστοσελίδας δέν έχουμε meta-tags ούτε στοχοποίηση της γλώσσας ώστε να υπάρχουνε καλύτερα αποτελέσματα στις αναζητήσεις αλλά σαφώς ούτε και τα απαραίτητα meta-tags είτε για το encoding της σελίδας είτε για την ενεργοποίηση τών responsive λειτουργειών.

Αυτό είναι σημαντικό γιατί έαν είχε γίνει σωστή δουλεία θα μπορούσαμε να μπαίνουμε στη σελίδα και την χρησιμοποιηούμε άνετα απο το κινητό μας ή απο το tablet μας και περισσότεροι πολίτες θα μπορούσαν να την βρούν σε περίπτωση που δεν γνώριζαν οτι υπάρχει.

Μόνο η αρχική σελίδα περιέχει τουλάχιστον 40 σφάλματα και εκτός αυτού η σελίδα είναι φτιαγμένη με πίνακες. Είχα να δώ σελίδα φτιαγμένη με πίνακες απο το 2000.

Κἀποια προβλήματα ασφάλειας:

Όταν κάποιος κακόβουλος χρήστης επισκευτεί την σελίδα έαν ανοίξει το netowrk tab στα developer tools του chrome μπορεί να δεί τα headers της σελίδας όπου δεν έχει γίνει καμία προσπάθεια για να διασφάλισης του server.

Βλέπουμε ότι το αυτός που έφτιαξε τη σελίδα δείνει απλόχερα σε όλους τους κακόβουλους χρήστες το ποιός είναι ο server αλλά και τη τεχνολογία χρησιμοποιεί. Έτσι το μόνο που χρείαζεται είναι να πάνε σε μια βάση δεδομένων με exploits και να βάλουνε τα στοιχεία αυτά και να δούνε με ποιές κακόβουλες επιθέσεις μπορούνε να επιτεθούν στον Server.

Μία μία γρήγορη αναζήτηση στο google για X-AspNet-Version:4.0.30319 μας δείνει τα εξής αποτελέσματα:

Δεν υπάρχει κανένα απο τα ακόλουθα headers με αποτέλεμα η ιστοσελίδα να είναι ευάλωτη σε ένα σωρό επιθέσεις:

Strict-Transport-Security: Prevent any communications from being 
sent over HTTP to the specified domain

X-Content-Type-Options: Block content sniffing

X-XSS-Protection: Stops pages from loading when they detect 
reflected cross-site scripting (XSS) attacks

Content-Security-Policy: Prevent cross-site scripting (XSS), 
clickjacking and other code injection attacks

Referrer Policy:no-referrer-when-downgrade
Prevent referrer information to be sent along with requests

Η ιστοσελίδα χρησιμποιεί https αλλά τα cookies δεν έχουνε μαρκαριστεί ώς HttpOnly και ούτε ως Secure.

Παρακάτω βλέπουμε μερικά στατιστικά απο τα Lighthouse reports που για άλλη μία φορά μας δείχνουνε επιπλέον προβλήματα:

Εδώ θα επικεντρωθώ στο κομμάτι τών best practices:

Και όπως βλέπουμε έχουμε ακόμα ενα μικρό πρόβλημα ασφάλειας την γραμμή που λέει Does not open external anchors using rel=”noopener”

Παραθέτω την επεξήγηση της google που εξηγεί γιατι είναι ένα ακόμα πρόβλημα:

On top of this, target="_blank" is also a security vulnerability. The new page has access to your window object via window.opener, and it can navigate your page to a different URL using window.opener.location = newURL.

Αυτά ειναι κάπια απο τα προβλήματα βλέπουμε με μία γρήγορη ανάλυση φυσικά μπορούμε να βρούμε και άλλα χρησιμοποιώντας τα κατάληλα εργαλεία.

Δεν έχω λόγια να περιγράψω την στεναχώρια μου ζούμε σε μια χώρα που ύπαρχουνε άνθρωποι που θέλουνε να πάνε την ελλάδα μπροστά και δεν μας αφήνουν και εκτός αυτού μας παρουσιάζουνε εφαρμογές και συστήματα το 2018 που είναι απαρχαιωμένα.

Η δουλεία που έχει γίνει για μια τέτοια ιστοσελίδα ειναι σκέτη τραγωδία και ανέκδοτο στις πλάτες του έλληνα φορολογούμενου πολίτη.

Το πρόβλημα δέν ειναι ότι κάποιος μπορεί να θέσει εκτός λειτουργίας τον Server άλλα οτι μπορεί οποιοσδήποτε να κλέψει τα προσωπικά μας στοιχεία και να τα πουλήσει σε εταιρείες Marketing, Ασφαλιστικές και δε ξέρω και εγώ τι αλλό ώστε να μας πουλήσουνε προϊόντα ασφάλισης και ούτω κάθε εξής.

Καλώ λοιπον όλους τους Έλληνες πολίτες να βγούνε απο το καβούκι τους και να διαμαρτυρηθούν γιαυτήν τη κατάσταση ώστε να γίνει κάτι γιαυτό. Μοιράστε αυτο το απλό άρθρο και δώστε μία ευκαιρία στα νέα παιδιά της ελλάδας να βοηθήσουνε και να βελτιώσουμε την τεχνολογία μας για το κοινό ελληνικό όφελος.

[inflation]

Αν και δεν έχω τις γνώσεις να κρίνω, ενημέρωσε και την δίωξη ηλεκτρονικού εγκλήματος, μπορει να σου φαίνεται ότι δεν εχει σχέση αλλά είναι από της υπηρεσίες που ασχολούνται και με την πρόληψη. Αλλιώς πρέπει να το αναφέρεις με κάποιο τρόπο στο αρμόδιο γραφείο στο υπουργείο ή ακόμα πιο γρήγορα δυστυχώς  σε δημοσιογράφο της πρωινής ζώνης.

[Michail Almyros]

8 λεπτά πριν, inflation είπε

Αν και δεν έχω τις γνώσεις να κρίνω, ενημέρωσε και την δίωξη ηλεκτρονικού εγκλήματος, μπορει να σου φαίνεται ότι δεν εχει σχέση αλλά είναι από της υπηρεσίες που ασχολούνται και με την πρόληψη. Αλλιώς πρέπει να το αναφέρεις με κάποιο τρόπο στο αρμόδιο γραφείο στο υπουργείο ή ακόμα πιο γρήγορα δυστυχώς  σε δημοσιογράφο της πρωινής ζώνης.

Έχεις δίκιο να σου πώ την αλήθεια δεν το σκέφτηκα γιατι ξέρω οτι δεν ασχολούντε οκ θα ψάξω μήπως βρώ κάποιον να επικοινωνήσω.

Επεξ/σία 24 Φεβρουαρίου 2018 από Michail Almyros

[tsioulak]

Το κρατος δεν προσλαμβανει καλα καλα ατομα για να στησει σοβαρες βασεις δεδομενων και γενικα ηλεκτρονικα συστηματα και εσυ θες να παρει καινουριους web developers για να ανανεωσουν μια πλατφορμα/πυλη που εχει εγκαταλειφθει; Δεν υπαρχουν λεφτα για τετοια πραγματα.

Περα απο την πλακα, απο τα λιγα που ξερω νομιζω οτι εχεις δικιο, αν το κατεχεις αρκετα το ζητημα (ωστε να μπορεις να αναφερεις καποιους τεχνικους ορους) κανε μια εγγραφη αιτηση/ανακοινωση στην διωξη ηλεκτρονικου εγκληματος καθως και στο υπουργειο εργασιας. Το μεγαλο ζητημα ειναι το ποσο ευαλωτα ειναι τα δεδομενα.

ΥΓ. Εδω και λιγα χρονια αρχισε, σιγα σιγα, να σπαει ο δεσμος microsoft και ελληνικου δημοσιου αλλα τα βηματα ειναι μικρα.

[Michail Almyros]

Κοίταξε να δείς απο αυτά τα προβλήματα εγώ δεν επηρεάζομαι δεν μένω στην ελλάδα, αλλα είμαι έξω για να βοηθάω την οικογένεια μου. Το κράτος έχει προσλάβει άτομα και η εταιρεία που κανει συντήρηση το εν λόγω σύστημα πληρώνεται 10 εκατομμύρια το χρόνο τουλάχιστον στις πλάτες του έλληνα πολίτη άρα χρήματα υπάρχουνε θέληση δεν υπάρχει.

Δέν μπορώ να καταλάβω αυτή την νοοτροπία του εδώ δεν κάνουμε αυτό γιατι να μην κάνουμε το άλλο. Σε πληροφορώ ότι εγώ αυτές τις πρόχειρες παρατηρήσεις τις έστειλα όπου μπορούσα αλλά δεν γίνεται τίποτα. Δηλαδή πόσο δύσκολο είναι να γράψεις 5 βασικές γραμμές και να αφαιρέσεις άλλες 3ς απο τα headers; Είναι κρατικός μηχανισμός και όχι το blog της κυρα νύτσας.

Έαν δεν θίξουμε αυτά τα προβλήματα και τα αφήνουμε όλα στο έλεος του ωχ αδερφισμού πού θα καταλήξουμε;

Για εμένα πρέπει να κάνουμε ότι μπορούμε για να διορθώσουμε τα προβλήματα της ελλάδας σαν λαός και εάν δεν έκανα ούτε αυτό τότε τι άνθρωπος θα ήμουν;

Ελπίζω να με καταλαβαίνεις.

 

[tsioulak]

Στις 3/6/2018 στις 7:00 ΜΜ, Michail Almyros είπε

Κοίταξε να δείς απο αυτά τα προβλήματα εγώ δεν επηρεάζομαι δεν μένω στην ελλάδα, αλλα είμαι έξω για να βοηθάω την οικογένεια μου. Το κράτος έχει προσλάβει άτομα και η εταιρεία που κανει συντήρηση το εν λόγω σύστημα πληρώνεται 10 εκατομμύρια το χρόνο τουλάχιστον στις πλάτες του έλληνα πολίτη άρα χρήματα υπάρχουνε θέληση δεν υπάρχει.

Δέν μπορώ να καταλάβω αυτή την νοοτροπία του εδώ δεν κάνουμε αυτό γιατι να μην κάνουμε το άλλο. Σε πληροφορώ ότι εγώ αυτές τις πρόχειρες παρατηρήσεις τις έστειλα όπου μπορούσα αλλά δεν γίνεται τίποτα. Δηλαδή πόσο δύσκολο είναι να γράψεις 5 βασικές γραμμές και να αφαιρέσεις άλλες 3ς απο τα headers; Είναι κρατικός μηχανισμός και όχι το blog της κυρα νύτσας.

Έαν δεν θίξουμε αυτά τα προβλήματα και τα αφήνουμε όλα στο έλεος του ωχ αδερφισμού πού θα καταλήξουμε;

Για εμένα πρέπει να κάνουμε ότι μπορούμε για να διορθώσουμε τα προβλήματα της ελλάδας σαν λαός και εάν δεν έκανα ούτε αυτό τότε τι άνθρωπος θα ήμουν;

Ελπίζω να με καταλαβαίνεις.

Καταλαβαινω και συμφωνω, λιγο πλακα εκανα σε αυτα που εγραψα στην αρχη. Δυστυχως δεν μπορεις να κανεις κατι αλλο (και σε ευχαριστω για αυτο που εκανες ηδη), οι μονες αλλες λυσεις που μπορω να  σκεφτω ειναι ειτε να στειλεις την πληροφορια στα ΜΜΕ μπας και γινει ντορος και γινει κατι (δεν με αρεσει καθολου αυτη η λυση, αυτα τα κορακια οι δημοσιογραφοι, θα μεταφερουν την ειδηση λαθος και θα παιξουν πολιτικα παιχνιδια ετσι ωστε να προσκομισουν κερδος) ειτε να βρεθει ατομο γνωστο που ειτε μπορει να πιεσει να γινουν καποιες αλλαγες και διορθωσεις (μιλαμε για πολυ γερο βυσμα εδω) ή ατομο γνωστο που ειναι ή εχει αμεση προσβαση στους διαχειριστες της συγκεκριμενης σελιδας και κανει ο ιδιος τις αλλαγες. Καποια αλλη λυση δεν μπορω να σκεφτω.

[Stergianos]

Χωρίς να διαφωνήσω με το θέμα,  απλά να αναφέρω, από ότι γνωρίζω,  το atlas είναι παρατημένο πλέον,  καθώς έχουν  μεταφερθεί οι ηλεκτρονικές υπηρεσίες εδώ:

https://www.idika.org.gr/EfkaServices/Default.aspx

[Michail Almyros]

Στις 08/03/2018 στις 7:44 ΠΜ, Stergianos είπε

Χωρίς να διαφωνήσω με το θέμα,  απλά να αναφέρω, από ότι γνωρίζω,  το atlas είναι παρατημένο πλέον,  καθώς έχουν  μεταφερθεί οι ηλεκτρονικές υπηρεσίες εδώ:

https://www.idika.org.gr/EfkaServices/Default.aspx

Συγκεκριμένη σελίδα καταλήγει στο taxisnet που έχει αντίστοιχα προβλήματα δυστυχώς.