Informacje Lokalne

ZdrowiePOLSKALOKALNESWIATHYDEPARK

Audyt techniczny. Grecja

Opublikowano: 07.03.2026 | Autor: Grzegorz GPS Świderski | Ostatnia aktualizacja: 07.03.2026 23:24

Audyt systemu e-fakturowania

Grecja — myDATA (AADE), host: mydatapi.aade.gr

1. Cel badania

Celem audytu jest ustalenie, czy grecki system raportowania/fakturowania myDATA (AADE) działa za zewnętrzną usługą WAF/CDN, czy w krajowej infrastrukturze, oraz jaka warstwa brzegowa obsługuje:

  • terminację TLS,
  • filtrowanie ruchu,
  • ekspozycję API w internecie.

Badanie wykonano metodami pasywnymi:

  • DNS
  • nagłówki HTTP
  • TLS handshake (OpenSSL)

bez ingerencji w API i bez prób uwierzytelnienia.

2. Krok 1 — DNS

Komendy

Resolve-DnsName mydatapi.aade.gr -Type A
Resolve-DnsName mydatapi.aade.gr -Type AAAA
Resolve-DnsName mydatapi.aade.gr -Type CNAMEResolve-DnsName aade.gr -Type NS
Resolve-DnsName aade.gr -Type SOA

Wynik

  • mydatapi.aade.grA = 20.76.97.27, TTL 78
  • brak CNAME
  • NS strefy aade.gr:
    • ns1.otenet.gr
    • ns2.otenet.gr
  • SOA admin: hostmaster.otenet.gr

Interpretacja

Adres IP: 20.76.97.27 należy do przestrzeni adresowej Microsoft Azure.

Wniosek po DNS: Publiczny endpoint myDATA jest hostowany w chmurze publicznej (Azure). Brak CNAME nie wyklucza WAF, bo w Azure wiele usług może być wystawionych bezpośrednio jako rekord A.

3. Krok 2 — HTTP/HTTPS (nagłówki)

Komenda

curl.exe -vkI https://mydatapi.aade.gr/ 2>&1

Wynik (kluczowe elementy)

  • HTTP/1.1 404 Resource Not Found
  • Content-Type: application/json
  • Request-Context: appId=cid-v1:1561b414-06fd-4c10-826b-a29096f57ca0
  • brak Server
  • brak Via
  • brak cookies typu Cloudflare/Imperva/Akamai
  • obserwacja po stronie klienta (schannel/curl): serwer żąda renegocjacji TLS i renegocjacja przechodzi

Interpretacja

Nagłówek Request-Context jest charakterystyczny dla środowisk hostowanych w ekosystemie Microsoft (telemetria / App Insights / składniki platformy). Razem z IP z Azure daje spójny obraz: endpoint stoi na Azure i jest obsługiwany przez platformową warstwę brzegową. Kod 404 na / jest typowy dla usług API — nie świadczy o błędzie systemu, tylko o braku obsługi ścieżki root. Renegocjacja TLS jest cechą „niebanalnej” bramki pośredniej (gateway/proxy). Nie identyfikuje jeszcze dostawcy, ale jest spójna z modelem „zarządzanego edge”.

4. Krok 3 — TLS: certyfikat i łańcuch CA (OpenSSL)

Komenda

openssl.exe s_client `
  -connect mydatapi.aade.gr:443 `
  -servername mydatapi.aade.gr `
  -tls1_2 -showcerts

Wynik (kluczowe fakty)

Certyfikat serwera (leaf)

  • CN=mydatapi.aade.gr
  • O=Independent Authority for Public Revenue
  • L=Athens, C=GR
  • businessCategory=Government Entity
  • jurisdictionC=GR
  • serialNumber=73401

Wystawca (issuer)

  • Thawte EV RSA CA G2 (DigiCert Inc)

Łańcuch

  • Root: DigiCert Global Root G2
  • Intermediate: Thawte EV RSA CA G2
  • Leaf: mydatapi.aade.gr

SAN

  • mydatapi.aade.gr
  • www.mydatapi.aade.gr

Parametry TLS

  • Protocol: TLSv1.2
  • Cipher: ECDHE-RSA-AES128-GCM-SHA256
  • klucz serwera: RSA 4096
  • brak ALPN (brak HTTP/2)
  • Verify return code: 0 (ok)
  • Secure Renegotiation IS supported
  • TLS session ticket lifetime hint: 300 seconds

Interpretacja kryptograficzna

  1. Certyfikat to EV (Government Entity) wydany przez komercyjną infrastrukturę zaufania (DigiCert/Thawte). To jest silny sygnał, że warstwa TLS jest „publiczno-internetowa”, oparta na globalnym ekosystemie CA, a nie na lokalnej CA urzędowej.
  2. SAN obejmuje www.mydatapi.aade.gr, co sugeruje, że ten sam front może obsługiwać zarówno API, jak i komponenty webowe/portalowe.
  3. TLS 1.2 + brak ALPN to profil konserwatywny, spotykany przy bramkach pośrednich, gatewayach i rozwiązaniach „managed edge”.

5. Ocena: kto robi WAF / warstwę brzegową

Co wiemy na pewno

  • Endpoint mydatapi.aade.gr jest wystawiony z adresu IP z puli Microsoft Azure.
  • Nagłówki i zachowanie TLS są spójne z platformowym środowiskiem Microsoft.
  • Brak typowych sygnatur Cloudflare/Imperva/Akamai w cookies/nagłówkach.

Wniosek techniczny

Grecja utrzymuje publiczny endpoint myDATA w modelu hyperscaler-first: Microsoft Azure jako środowisko brzegowe i hostingowe.

Czy da się z tych danych wskazać konkretny produkt WAF w Azure (Front Door vs Application Gateway vs APIM)? Na podstawie samych outputów:

  • nie ma jednoznacznego fingerprintu cookie/nagłówka „Front Door / APIM”,
  • ale jest pełna zgodność z architekturą „zarządzanego edge” w Azure.

Najuczciwsza, twarda konkluzja brzmi więc:

warstwę brzegową (TLS/edge) realizuje Microsoft Azure (hiperskaler), a nie lokalna infrastruktura państwowa i nie zewnętrzny WAF-as-a-Service typu Imperva/Cloudflare.

6. Porównanie do innych krajów z cyklu

  • Węgry: krajowy edge + lokalna CA (Microsec/e-Szigno), brak chmury.
  • Albania: krajowy DNS + sprzętowy WAF (F5) + komercyjna PKI (DigiCert).
  • Grecja: endpoint w Azure, PKI komercyjna EV, architektura hyperscalerowa.

To nie jest drobny detal techniczny. To jest różnica modelu suwerenności:

Grecja nie „wpuszcza” WAF do infrastruktury państwowej —
Grecja wynosi infrastrukturę na cudzy brzeg.

7. Wniosek końcowy

Grecja (AADE myDATA) wystawia API mydatapi.aade.gr w modelu: Microsoft Azure jako warstwa brzegowa i hostingowa, z certyfikatem EV dla instytucji publicznej wystawionym przez DigiCert/Thawte, bez widocznych sygnatur klasycznych CDN/WAF-as-a-Service.

Dodaj komentarz: