Bun venit în anul 2010

Screen-Shot-2018-08-09-at-19.39.36

Faptul că o grămadă de site-uri de instituții românești sunt blocate în anul 2000 nu cred că mai e o noutate pentru nimeni.

Totuși unii dintre cei care întrețin astfel de site-uri par că fac tot ce le stă în putință pentru a-și dovedi amatorismul, capacitatea de înțelegere și inovare și evident lipsa de experiență.

În mod absolut întâmplător am citit zilele astea o analiză despre site-urile oficiale a celor 50 de state americane, realizată din punct de vedere vizual și funcțional, și pentru că m-am lovit ieri din nou de site-uri asociate cu MAE m-am hotărât să scriu acest articol ca să lămuresc puțin cam la ce nivel sunt site-urile oficiale românești.

După cum spuneam, ieri m-am apucat să frunzăresc puțin site-ul MAE, respectiv paginile consulatului din Barcelona și ambasadei din Madrid și primul lucru pe care l-am remarcat a fost că site-urile în cauză nu au SSL, iar bara aia de cookies e una generică, în limba engleză, pe care o găsești pe blogul oricărui om leneș care s-a găndit că merge și asa și a trântit-o acolo ca să fie pentru că în cazul unora legile astea sunt, așa, facultative:

Al doilea lucru pe care l-am remarcat a fost că au trântit pe site și logo-ul ala cu centenarul, dar l-au încadrat diferit pe siteul ambasadei și al consulatului:

Ce mai contează că nu sunt aliniate corect sau că poziționarea logo-ului cu centenarul în raport cu titlul paginii, care putea la fel de bine să fie un logo nu un text, e diferită și pare implementată de un puștan de 5 ani?

Dar asta nu e tot.

În subsolul paginii au încadrat un div ce conține o serie de imagini ale unor proiecte sau informații de interes general și link-urile aferente, iar sub div-ul respectiv apare referința asupra drepturilor de autor care aparent au fost valabile până în 2010. Probabil când a fost actualizată (de către vreun profesionist sau măcar un imitator) pagina respectivă pentru ultima dată.

Partea și mai mișto e că pe anumite pagini apare Copyright MFA în timp ce pe altele apare Copyright MAE (MFA = Ministry of Foreign Affairs). Uneori e greu să ajungi la un consens…

Evident că problemele nu se opresc aici pentru că link-urile alea de la subsol merg către locuri ceva mai exotice.

Unul din ele merge către un pliant scanat în format PDF la o calitate execrabilă și pixelat ca dracu’:

Iar altele merg către pagini care pur și simplu nu există, fie pe site-ul MAE, fie pe site-ul unor terți:

Și apropo de pagini care nu există și de site-ul MAE. Cei care au realizat site-ul nu s-au sinchisit să folosească varianta în limba română sau să traducă toate paginile. Așa că pagina 404 a site-ului MAE afișează un mesaj în limba engleză pentru că toți românii din diaspora știu limba engleză fără nicio excepție:

Evident, treaba asta cu site-uri în romgleză nu e o noutate și nu pare să deranjeze pe nimeni.

În mod normal ar trebui să mă opresc aici, dar fiindcă există și o serie de aspecte ce țin de securitate informatică și de securitatea datelor apropo de GDPR e musai să mai mentionez două chestii.

Prima e că, după cum spuneam la începutul acestui articol, site-urile MAE nu folosesc certificate de securitate pentru criptarea traficului de date între browser-ul vizitatorului și serverul web. Ori treaba asta înseamnă că toate datele transmise pe site-urile respective sunt accesibile și unor terți rău intenționați.

A doua chestie are de-a face cu platforma utilizată. Site-rile MAE, ca multe alte site-uri de instituții din România și UE de altfel, sunt realizate pe Drupal pentru că în urmă cu 10 ani Drupal era considerat ca fiind cel mai sigur script bazat pe PHP și MySQL. Numai că lucrurile s-au mai schimbat de atunci, iar Drupal (atât versiunile vechi cât și cele noi) au fost subiectul unor vulnerabilități majore ce au cauzat un impact foarte mare asupra securității datelor asociate cu site-urile respective și instituțiile respective.

Expunerea de date și informații în cazul Panama Papers a fost posibilă tocmai datorită primei vulnerabilități majore asociate cu platforma Drupal și intitulată Drupalgheddon.

Astfel, site-urile MAE sunt realizate pe o versiune de Drupal care a primit ultima actualizare în martie 2015 și care a fost declarată end of life (nu mai primește niciun fel de suport și/sau actualizări) în Februarie 2016 și este evident susceptibilă de a fi vulnerabilă în fața unei noi vulnerabilități majore ce afectează site-urile pe Drupal, intitulată Drupalgheddon2.

După cum vedeți în captura de mai sus, cei care întrețin site-urile MAE nici măcar nu s-au sinchisit să ascundă sau să restricționeze accesul către fișierul care permite identificarea platformei utilizate și a versiunii actuale.

Nu m-am apucat să fac o analiză exhaustivă din punct de vedere al securității informatice așa cum făcusem în urmă cu ceva vreme pentru eConsulat.ro pentru simplul fapt că nu-mi permite timpul, dar dacă o să fac vreodată o astfel de analiză nu o să apară un articol full disclosure fără ca cei de la MAE să fie informați în prealabil și să aibă timp să rezolve într-un fel sau altul problemele identificate. Altele decât cele evidente și expuse deja aici.