Вот мы и выпустили сводный доклад по итогам мониторинга сайтов
высших органов власти регионов
Надежность сайтов органов государственной власти
субъектов Российской Федерации 2020. Оценивали их с трех
сторон: а) можно ли эти сайты считать официальными с точки зрения
закона, б) обеспечивают ли они надежное HTTPS-соединение, и в) что
и откуда они загружают, т.е. насколько потенциально уязвимы к XSS и
как щедро сливают данные о своих посетителях третьим лицам?
По
результатам исследования сайтов федеральных органов
власти можно было догадаться, что на региональном уровне все
окажется не лучше, но вот как и насколько, мы даже не
догадывались.
Что касается официальности сайтов: у федералов 2 из 82
исследованных сайтов органов власти
оказались неофициальным.
Первоначально мы посчитали неофициальным еще и
сайт
Росгвардии, администрируемый подведомственным ей центром
информационных технологий, но та отстояла свою точку зрения: центр
это войсковая часть, т.е. часть самой Росгвардии, поэтому нарушения
закона тут нет, а есть наша невнимательность (но вот TLS-сертификат
у них на сайте уже вне всяких сомнений второй месяц как
протух).
Поэтому региональные сайты мы проверяли по уже доработанной
методике, предусматривающей запрос в ЕГРЮЛ и выяснили: из 184
сайтов, названных официальными, 27 (15%) таковыми не являются, т.к.
соответствующие доменные имена администрируются подведомственными
госучреждениями, коммерческими и некоммерческими организациями, и
даже физическими лицами, хотя закон четко устанавливает, что это
разрешено только государственным органам (читай органам власти).
Особенно отличились Северо-Западный и Сибирский федеральные округа,
где официальных сайтов не имеют более 30% высших органов
власти.
С замиранием сердца делали запрос в ЕГРЮЛ по ИНН администратора
сайта Парламента Чеченской Республики, который
указан в реестре регистратора как ООО Парламент ЧР. Я, конечно,
заранее извиняюсь, Рамзан Ахматович, но у парламентов в России иная
организационно-правовая форма, и в ФНС считают так же (они пусть
сами извиняются). В общем, сенсации не случилось администратор там
Аппарат Парламента Чеченской Республики, а за ООО пусть извиняется
тот, кто внес такую запись в реестр доменов.
Тут внимательный читатель может перебить меня вопросом: а почему
исследовались 184 сайта, когда субъектов федерации 85? Отвечаю:
исследовались сайты региональных правительств, парламентов и
губернаторов при их наличии (сайта, а не губернатора). Но если вы
думаете, что количество губернаторских сайтов легко вычисляется по
формуле 184 85 85 (= 14), то вы заблуждаетесь, все намного сложнее.
Например, у Правительства Москвы нет своего сайта, есть только
сайт
Мэра Москвы, где правительству отведен свой угол. Зато органы
власти некоторых других субъектов располагают сразу двумя сайтами,
причем оба называются официальными.
Для примера, у Правительства Республики Тыва сразу два сайта, оба
названы официальными (
gov.tuva.ru и
rtyva.ru)
и оба таковыми не являются с точки зрения закона, т.к. первое
доменное имя администрируется АО Тывасвязьинформ, а второе вообще
анонимным физическим лицом. У Правительства Костромской области
тоже два сайта (
adm44.ru и
kostroma.gov.ru), оба официальные, но с разным
наполнением.
Меня
в комментариях к одной из прошлых публикаций упрекнули,
что мы доматываемся до мышей с этой официальностью. Нет, ребята, мы
просто требуем неукоснительно соблюдать закон, тем более что в
данном случае он логичный и легко исполнимый: администратором
доменного имени для сайта органа власти может быть только орган
власти. Не подведомственное госучреждение, не ООО, не гражданин
Пупкин, а только орган власти и точка.
С поддержкой HTTPS на региональном уровне все примерно так же, как
и
на федеральном: большинство декларирует наличие поддержки,
но лишь четверть действительно обеспечивает что-то похожее на
нормальную защиту соединения, остальные кто сертификат забыл
вовремя обновить, а кто годами ПО на веб-сервере не обновляет, и
тот светит в Интернет дырами и уязвимостями чуть не десятилетней
давности.
Интересно тут другое: наверное, все хотя бы слышали про Электронную
Москву, Электронную Бурятию, Электронный Татарстан и прочие
электронные программы по освоению бюджетов на информатизацию
госуправления. А знаете, у кого в результате оказалась лучшая
поддержка HTTPS на официальном сайте? У правительств Ульяновской и
Московской областей и парламентов Владимирской области и ЯНАО.
Я вот ничего даже не слышал про Электронное ЯНАО, может такой
программы и не существует, а хотя бы одного пряморукого админа в
ЯНАО найти смогли (пятое место по площади среди субъектов
федерации, населения как в одном районе Москвы). А в электронной
Бурятии то ли с населением еще хуже (Росстат возражает), то ли
денег на нормального админа не хватило, но сервера обоих органов
власти законодательной и исполнительной приветливо машут
любознательным исследователям букетом из CVE-2014-0160,
CVE-2014-0224, CVE-2016-2107, CVE-2019-1559 и далее со всеми
остановками.
Из занимательного: при попытке проверить
сайт
Администрации Ненецкого автономного округа, мы наткнулись на
блокировку по IP ряда исследовательских инструментов. На это у
администратора хватило и усердия, и знаний, и желания, а вот на
закрытие CVE-2012-4929 (кто не в курсе, первая цифра год описания
уязвимости, 8 лет назад, Карл!) и прочих дыр уже ни сил, ни желания
не осталось, а может и знаний тоже.
Лидером по поддержке защищенного соединения является Южный
федеральный округ, где 53% исследованных сайтов обеспечивают
достаточно надежное HTTPS-соединение. Следом за ним идут
Центральный и Уральский (47% и 40% соответственно). Отстающие
Приволжский и Северо-Кавказский, в которых лишь 13% сайтов высших
органов власти не имеют значимых проблем с поддержкой защищенного
соединения.
Что касается XSS, т.е. мусора, которые сайты сами загружают из
сторонних источников, то тут, как и
у федералов зоопарк:
JS-библиотеки, шрифты, счетчики, баннеры и далее со всеми
остановками, но есть и свои интересные нюансы.
Например, у федералов Google Analytics на 4 месте по популярности,
а у регионалов на 7; это даже в абсолютных цифрах меньше, чем у
федералов. Но если собственно счетчик GA стоит лишь на 9%
региональных сайтов, то гуглокод вообще на 63%, так что данные о
посетителях они все равно успешно собирают. А вот на третьем месте
среди счетчиков у регионалов внезапно оказался Bitrix. Это который
вроде бы CMS ну и еще немного сбора статистики.
Рекордсменом по любви к аналитике стало Правительство Алтайского
края, чей сайт украшен сразу 6 счетчиками, но его успех несколько
меркнет по сравнению с сайтами Администрации Костромской области,
парламентов Калининградской области, Удмуртской Республики и
Москвы, которые украшены кодом счетчика OpenStat, уже два года не
подающим признаков жизни. Это, конечно, не электронные пропуска
шаманить, это ж HTML, а у ДИТ лапки загребущие.
В качестве резюме: как и в случае мониторинга федеральных сайтов,
мы рассылали отдельные доклады по субъектам их героям. Федералов
после этого специально не мониторили, но подвижки видны
невооруженным глазом: кто-то дыры на сервере залатал, кто-то HTTPS
включил, кто-то TLS-сертификат обновил, кто-то так и не почесался,
но реакция заметна.
Регионалов немного помониторили, пока единственная заметная реакция
Правительство Тульской области переписало домен для
своего
сайта с подведомственного госучреждения на региональное
Минсвязи. Хорошо, мы для того и мониторили, чтобы указать на ошибки
и подсказать, как их исправить. Плохо, что остальным, похоже,
плевать: ну нарушаем закон о доступе к госинформации, ну сайт
дырявый, ну грузят на него код все подряд, включая вероятного
противника, подумаешь
В общем, пока на главной странице его сайта не появится срамная
картинка или хула на государя-императора, губернатор партбилетом не
перекрестится. Через год проверим, так ли это планируем проводить
мониторинг ежегодно.
02.07.2020 14:05:51 |
Автор: 
Потенциальные атаки на HTTPS и как от них защититься
Бенчмарки для Linux-серверов
Категории: 
