În plină eră a tehnologiei și a transparenței instituționale, cerută și de lege, Poliția Română a rămas în Evul Mediu IT… mai exact prin 2014. Este anul când structura site-ului Poliției Române a fost creată și de atunci așa a rămas, fără actualizări, deși tehnologia a avansat mult de atunci. Acum însă, au pierdut și toată baza de date de pe site cu declarațiile de avere anterioare anului 2022.
Cum Agenția Națională de Integritate a decis să schimbe siteul lor și include acum doar declarațiile de avere din 2022 încoace, celelalte fiind șterse. ANI a șters și motorul de căutare complex, pentru a face mai dificilă găsirea declarațiilor de avere și interese ale angajaților de la stat din România.
Dar, conform legii, vechile declarații ar trebui să fie pe siteurile fiecărei instituții. Cel mai prost exemplu îl găsim la Poliția Română. Cu un site creat în 2014 și neactualizat de atunci pe partea de structură, acum a pierdut online și bazele de date ale declarațiilor de avere din 2019 în 2021 și cele mai vechi în format letric.
Ce caută motorul chinezesc de căutare BAIDU pe siteul Poliției Române?
Siteul Poliției Române este vechi din 2014, declarațiile de avere nu se mai văd, bazele lor de date fiind corupte, dar apare și o problemă: motorul de căutare chinezesc BAIDU este prezent pe siteul Poliției Române.
Specialiștii din străinătate contactați de SIBIU INDEPENDENT au declarat că „teoretic, codul randat te duce la https://da.politiaromana.ro/avere/cautare.aspx, care este mort, DAR în realitate link-ul e https://davere.politiaromana.ro/ care are certificatul SSL expirat de 298 de zile. Dacă trecem de eroarea de certificat îți dă o eroare de bază de date care expune locații locale (o vulnerabilitate importantă) și un formular care poate să fie exploatat”.
Specialiștii contactați spun că apariția BAIDU poate să indice faptul că deja siteul a fost spart de hackeri și baza de date cu vechile declarații de avere furată. „Este greu de stabilit din afară, dar faptul că există în această secțiune vulnerabilități din 2006 (!) nerezolvate spune multe despre interesul acordat pentru mentenanța acestui site” au conchis specialiștii contactați.
Specialiștii se iau de păr când văd siteul Poliției Române
Acum doi ani Poliția Română se lăuda prin presa centrală cum au blocat ei un atac de hackeri asupra siteului instituției. „Facem precizarea că site-ul Poliţiei Române, (www.politiaromana.ro) conține doar informaţii publice şi nu baze de date cu caracter sensibil sau clasificat, iar atacul nu a afectat alte servicii și rețele informatice ale Poliţiei Române. Ofiţerii specialişti din cadrul instituţiei, în colaborare cu experţii instituţiilor de specialitate, lucrează pentru remedierea situaţiei şi restabilirea accesului publicului către site-ul Poliției Române” transmiteau atunci șefii IGPR.
SIBIU INDEPENDENT a apelat la specialiști din străinătate în IT pentru a analiza starea siteului Poliției Române. Concluzia acestora a fost unanimă: dezastru!
Iată principalele probleme găsite de IT-iști la siteul Poliției Române:
Structura neactualizată din 2014 (10 ani) fapt confirmat de copyright din footer și motorul de căutare Shodan care identifică 5 vulnerabilități într-o libație de Javascript numită jQuery ce apar raportate în 2015, 2019 și 2020.
Vulnerabilitatea din 2015 are un scor 6.1 (mediu) și permite practic injectarea de cod arbitrar fie în pagina web fie la nivel de bază de date https://nvd.nist.gov/vuln/detail/cve-2015-9251
Teoretic un site poate opera pentru o perioadă scurtă de timp (până la implementarea unui patch) cu astfel de vulnerabilități DACĂ la nivel de server web are headere de securitate implementate la nivel de server web (https://securityheaders.com/?q=politiaromana.ro&followRedirects=on). Dar acesta nu are niciunul implementat. Headerele de securitate indică cine și ce poate să execute prin serverul web și se pot configura granular pentru a condiționa citirea unor elemente banale precum iconițe sau fonturi.
S-ar putea rezolva problema security headers și a vulnerabilități lor și cu ajutorul unui filtru precum Cloudflare care nu doar că permite securizarea ci și optimizarea paginii, ba mai mult permite ascunderea IP-ului, iar asta face ca serverul să fie greu de identificat/exploatat/atacat.
Certificatul de securitate suportă protocoale obsolete https://www.ssllabs.com/ssltest/analyze.html?d=politiaromana.ro (și asta confirmă că nimeni nu s-a mai atins de site de 10 ani) și expune comunicarea dintre browser și server la scurgeri de date.
Dincolo de asta folosește certificate intermediare fără vreun motiv anume și pe site există pagini care nu sunt protejate de certificatul de securitate sau nu redirecționează corect.