Веб-сайти регіональних влад навіть сумніші за федеральні ⏹️ 🧝 🍧

веб-сайти

Тому ми опублікували підсумковий звіт про результати моніторингу сайтів вищих органів влади регіонів - "Надійність сайтів органів державної влади суб'єктів Російської Федерації - 2020". Їх оцінювали з трьох сторін: а) чи можна вважати ці сайти офіційними з юридичної точки зору, б) чи забезпечують вони надійне з'єднання HTTPS, і в) що і звідки вони завантажують, с. Тобто наскільки вона потенційно вразлива для XSS і в якій мірі вона розкриває дані своїх відвідувачів третім сторонам?

З результатів дослідження на веб-сайтах федеральних органів можна було здогадатися, що на регіональному рівні не все піде краще, але ми навіть не знали, як і в якій мірі.

Що стосується офіційних веб-сайтів: для федеральних органів влади 2 із 82 досліджених веб-сайтів влади виявились неофіційними. Спочатку ми також вважали сайт Росгвардії, яким керує підпорядкований йому комп'ютерний центр, неофіційним, проте останній відстоював свою точку зору: центр - це військова частина, тобто частина самої Росгвардії, тому там тут не є порушенням закону, але є наша неуважність (але сертифікат TLS на їх веб-сайті, безсумнівно, вже другий місяць схожий на гнилий).

Тому ми перевірили регіональні сайти за вже вдосконаленою методологією, яка передбачає подання заявки до Єдиного державного реєстру юридичних осіб, і з’ясували: із 184 офіційних іменних сайтів 27 (15%) не є. відповідні доменні імена адмініструються підвідомчими державними установами, комерційними та некомерційними організаціями та навіть приватними особами, хоча закон чітко зазначає, що це дозволяється лише державними органами (читайте - органами влади). Особливо виділились федеральні округи Північно-Заходу та Сибіру, ​​де понад 30% вищих органів влади не мають офіційних сайтів.

Задихаючись, вони подали до Єдиного державного реєстру юридичних осіб ІНН адміністратора веб-сайту парламенту Чеченської Республіки, який внесений до реєстру реєстраторів під назвою "Парламент Республіки Чехія SA". Звичайно, я вибачтесь заздалегідь, Рамзане Ахматовичу, але парламенти в Росії мають іншу організаційно-правову форму, і Федеральна податкова служба думає так само (нехай вибачаються). Загалом сенсації не сталося - адміністратором там є "Апарат Парламенту Чеченської Республіки", і той, хто зробив такий запис у реєстрі доменів, просить вибачення за "ТОВ".

Тут уважний читач може перервати мене запитанням: чому вивчали 184 сайти, коли було 85 суб’єктів федерації? Я відповідаю: веб-сайти регіональних урядів, парламентів та губернаторів, якщо такі є, розслідувались (веб-сайт, а не веб-сайт губернатора). Але якщо ви вважаєте, що кількість сайтів губернаторів легко розрахувати за формулою 184 - 85 - 85 (= 14), то ви помиляєтесь, все набагато складніше. Наприклад, уряд Москви не має власного веб-сайту, лише веб-сайт мера Москви, де уряд має свій куточок. Але влада деяких інших суб’єктів має одразу два веб-сайти, обидва називаються офіційними.

Наприклад, уряд Республіки Тува має одразу два веб-сайти, обидва вони названі офіційними (gov.tuva.ru та rtyva.ru), і обидва не є з точки зору закону, оскільки перший домен ім'я адмініструється АТ "Тивасвязьінформ", а друге - анонімною особою. Уряд Костромської області також має два веб-сайти (adm44.ru та kostroma.gov.ru), обидва офіційні, але з різним змістом.

Мене в коментарях до однієї з попередніх публікацій дорікали, що ми ходимо мишам з цією формальністю. Ні, хлопці, ми просто вимагаємо суворого дотримання закону, тим більше, що в цьому випадку це логічно і легко забезпечити виконання: лише орган може бути адміністратором доменного імені сайту авторизації. Не підвідомча державна установа, не ТОВ, не громадянин Пупкіна, а лише державна влада, період.

З підтримкою HTTPS у всьому регіоні все майже так само, як і на федеральному рівні: більшість повідомляє про підтримку, але лише чверть дійсно забезпечує щось подібне до звичайного захисту підключення, решта - хто забув вчасно оновити сертифікат і хто протягом багатьох років програмне забезпечення в Інтернеті сервер не оновлюється, і воно блищить в Інтернеті дірками та уразливостями майже десять років тому.

Тут цікаво інше: мабуть, усі принаймні чули про "Електронну Москву", "Електронну Бурятію", "Електронний Татарстан" та інші електронні програми для розробки бюджетів на комп'ютеризацію державного управління. Чи знаєте ви, хто має найкращу підтримку HTTPS на офіційному сайті? Від урядів Ульяновської та Московської областей та парламентів Володимирської області та Ямало-Ненецького автономного округу.

Я навіть не чув про "Електронний Ямало-Ненецький автономний округ", можливо, такої програми не існує, але хоча б одного чесного адміністратора знайшли в Ямало-Ненецькому автономному окрузі (п'яте місце за площею серед суб'єктів Федерація, населення - як у районі Москви). А в е-Бурятії або населення ще гірше (Росстат заперечує), або грошей не вистачало на звичайного адміністратора, але сервери двох органів влади - законодавчої та виконавчої - вітають цікавих дослідників букетом CVE-2014 -0160, CVE-2014- 0224, CVE-2016-2107, CVE-2019-1559 та інші з усіма зупинками.

Цікаво: Коли ви намагаєтесь відвідати веб-сайт адміністрації Ненецького автономного округу, ми натрапили на блокування ІР ряду інструментів пошуку. Адміністратору вистачило для цього завзяття, знань та бажання, але щоб закрити CVE-2012-4929 (хто не знає, перше число - рік опису вразливості, 8 років тому, Карл!) А інші діри вже не сильний, не залишається бажання, і, можливо, знання теж.

Лідером у підтримці безпечних зв’язків є Південний федеральний округ, де 53% опитаних сайтів забезпечують досить надійне з'єднання HTTPS. Далі йдуть Центр та Урал (47% та 40% відповідно). Відсталими є Волга та Північний Кавказ, де лише 13% місць найвищих органів влади не мають значних проблем із підтримкою безпечного сполучення.

Що стосується XSS, тобто сміття, яке самі сайти завантажують із сторонніх джерел, то тут, як і у федеральних установ, є зоопарк: бібліотеки JS, шрифти, лічильники, банери тощо з усіма зупинками, але є і цікаві нюанси.

Наприклад, у Федеральних штатів Google Analytics за популярністю знаходиться на 4 місці, а серед регіонів - на 7 місці; навіть в абсолютних показниках вона нижча, ніж у федерального уряду. Але якщо сам лічильник GA є лише на 9% регіональних сайтів, Google загалом кодує - на 63%, так що вони все одно успішно збирають дані про відвідувачів. Але на третьому місці серед лічильників серед регіональних раптом з’явився Бітрікс. Це те, що представляється системою управління вмістом та ще деякою статистикою.

Рекордсменом з любові до аналітики став уряд Алтайського краю, сайт якого "прикрашають" по 6 метрів за раз, але його успіх дещо мізерний у порівнянні з сайтами адміністрації Костромської області, парламентів Калінінградської області, Республіка Удмуртія та Москва, які "прикрашені" лічильником OpenStat. два роки не подавали ознак життя. Це, звичайно, не електронні пропуски для шаманізму, це HTML, але DIT має ноги. разючий.

Підсумок: Як і у випадку з Federal Site Watch, ми розіслали окремі звіти на теми своїх героїв. Після цього за федеральними органами не проводився спеціальний моніторинг, але прогрес видно неозброєним оком: хтось виправив дірки на сервері, хтось увімкнув HTTPS, хтось поновив сертифікат TLS, хтось не перекреслив його, але реакція помітна.

Регіони потрапили під пильний контроль, тоді як єдиною помітною реакцією було те, що уряд Тульської області переписав домен свого веб-сайту з державної установи, підпорядкованої регіональному міністерству зв'язку. Гаразд, ми спостерігали, щоб вказати на помилки та запропонувати, як їх виправити. Ганьба решті, здається, байдуже: ну, ми порушуємо закон про доступ до державної інформації, ну, сайт заповнений дірами, ну, на ньому все завантажено, включаючи "потенційного ворога", просто подумай .

Загалом, поки ганебний образ не з’явиться на головній сторінці його сайту або не стане блюзнірством проти Суверенного Імператора, губернатор не буде перехрещуватися зі своєю партійною карткою. Через рік ми перевіримо, чи це так - ми плануємо проводити спостереження щороку.