Η διαδικτυακή πύλη του Εθνικού Ποινικού Μητρώου παρέχει πληροφόρηση για θέματα ποινικού μητρώου των υπηρεσιών ποινικού μητρώου των Εισαγγελιών Πρωτοδικών της χώρας και του Αυτοτελούς Τμήματος Ποινικού Μητρώου της Κεντρικής Υπηρεσίας του Υπουργείου Δικαιοσύνης, καθώς επίσης και για τους τρόπους και τις διαδικασίες που απαιτούνται προκειμένου να εκδοθεί αντίγραφο ποινικού μητρώου.
Φαντάζομαι ότι καταλαβαίνετε όλοι την σοβαρότητα των πληροφοριών που περιέχει το Εθνικό Ποινικό Μητρώο. Χθες λοιπόν μετά την δημοσίευση μας για το hack του Υπουργείου Ανάπτυξης και την διαπίστωση ότι η σελίδα χρησιμοποιεί ακόμα πρωτόκολλο HTTP αντί του ασφαλούς HTTPS, ένας αναγνώστης του iGuRu.gr δημοσίευσε μια καταγγελία μέσω της σελίδας μας στο Facebook.
Ο αναγνώστης μας αναφέρει:
Χρειάζομαι αντίγραφο ποινικού μητρώου που μπορείς να πάρεις πλέον ηλεκτρονικά από την υπηρεσία Εθνικό Ποινικό Μητρώο (ncris.gov.gr).
Για να γραφτείς όμως, πρέπει να δώσεις όλα τα ευαίσθητα προσωπικά δεδομένα που σε αφορούν, όπως και username και password. Σε προειδοποιούν όμως ότι η σύνδεση δεν είναι ασφαλής και ότι μπορούν να υποκλαπούν τα δεδομένα σου…
Η δημοσίευση συνοδεύεται και με μια εικόνα που τα λέει όλα:
Για του λόγου το αληθές επισκεφτήκαμε το Portal του Εθνικού Ποινικού Μητρώου και πραγματικά η σελίδα δεν είναι ασφαλής για το κοινό.
Αντίθετα η κεντρική ιστοσελίδα https://www.gov.gr/ διαθέτει πιστοποιητικό SSL, μόνο που είναι δωρεάν από την Lets Encrypt. Δεν βαριέσαι κάτι είναι και αυτό.
Το συγκεκριμένο πιστοποιητικό της Lets Encrypt ασφαλίζει εκτός από το κεντρικό portal του gov.gr και τα subdomains form.gov.gr, forma.gov.gr, howto.gov.gr (δεν λειτουργεί) το CNAME www, και τέλος το covid19stats.gov.gr.
Το τελευταίο subdomain αν και είναι online δεν εμφανίζει αποτελέσματα και θα είναι ενδιαφέρον να δούμε αν κάποια στιγμή λειτουργήσει τι εννοεί ο ποιητής με το header “Μητρώο Ασθενών COVID-19” (κλείνει η παρένθεση).
Όμως ας πάμε πάλι στο φαινόμενο SSL που δεν υπάρχει κι αν υπάρχει είναι δωρεάν από το Lets Encrypt. Ας ρίξουμε μια ματιά σε μια άλλη χώρα και τι πιστοποιητικό χρησιμοποιεί:
Το usa.gov αλλά και όλα (*) τα subdomains του usa.gov είναι ασφαλή με Sectigo Wildcard SSL Certificates. Κοστίζουν λίγο παραπάνω αλλά είναι σημαντικά για τις κυβερνήσεις που θεωρούν ότι η διαδικτυακή ασφάλεια πρέπει να είναι προτεραιότητα.
Απορώ πως μιλάνε για Ηλεκτρονική Διακυβέρνηση με τέτοια χάλια στο διαδίκτυο.
Να αναφέρω και μια παράνοια;
Για την δημιουργία των Ελληνικών portal στο domain .gov.gr μπορεί να έχει προκηρυχτεί διαγωνισμός και ανάθεση του έργου στον πλειοδότη. Γιατί έτσι λειτουργεί το Ελληνικό δημόσιο, με απόλυτη διαφάνεια, ακόμα και στα πολύ προσωπικά μας δεδομένα….