Доменные имена

Вот мы и выпустили сводный доклад по итогам мониторинга сайтов высших органов власти регионов Надежность сайтов органов государственной власти субъектов Российской Федерации 2020. Оценивали их с трех сторон: а) можно ли эти сайты считать официальными с точки зрения закона, б) обеспечивают ли они надежное HTTPS-соединение, и в) что и откуда они загружают, т.е. насколько потенциально уязвимы к XSS и как щедро сливают данные о своих посетителях третьим лицам?

По результатам исследования сайтов федеральных органов власти можно было догадаться, что на региональном уровне все окажется не лучше, но вот как и насколько, мы даже не догадывались.

Что касается официальности сайтов: у федералов 2 из 82 исследованных сайтов органов власти оказались неофициальным. Первоначально мы посчитали неофициальным еще и сайт Росгвардии, администрируемый подведомственным ей центром информационных технологий, но та отстояла свою точку зрения: центр это войсковая часть, т.е. часть самой Росгвардии, поэтому нарушения закона тут нет, а есть наша невнимательность (но вот TLS-сертификат у них на сайте уже вне всяких сомнений второй месяц как протух).

Поэтому региональные сайты мы проверяли по уже доработанной методике, предусматривающей запрос в ЕГРЮЛ и выяснили: из 184 сайтов, названных официальными, 27 (15%) таковыми не являются, т.к. соответствующие доменные имена администрируются подведомственными госучреждениями, коммерческими и некоммерческими организациями, и даже физическими лицами, хотя закон четко устанавливает, что это разрешено только государственным органам (читай органам власти). Особенно отличились Северо-Западный и Сибирский федеральные округа, где официальных сайтов не имеют более 30% высших органов власти.

С замиранием сердца делали запрос в ЕГРЮЛ по ИНН администратора сайта Парламента Чеченской Республики, который указан в реестре регистратора как ООО Парламент ЧР. Я, конечно, заранее извиняюсь, Рамзан Ахматович, но у парламентов в России иная организационно-правовая форма, и в ФНС считают так же (они пусть сами извиняются). В общем, сенсации не случилось администратор там Аппарат Парламента Чеченской Республики, а за ООО пусть извиняется тот, кто внес такую запись в реестр доменов.

Тут внимательный читатель может перебить меня вопросом: а почему исследовались 184 сайта, когда субъектов федерации 85? Отвечаю: исследовались сайты региональных правительств, парламентов и губернаторов при их наличии (сайта, а не губернатора). Но если вы думаете, что количество губернаторских сайтов легко вычисляется по формуле 184 85 85 (= 14), то вы заблуждаетесь, все намного сложнее. Например, у Правительства Москвы нет своего сайта, есть только сайт Мэра Москвы, где правительству отведен свой угол. Зато органы власти некоторых других субъектов располагают сразу двумя сайтами, причем оба называются официальными.

Для примера, у Правительства Республики Тыва сразу два сайта, оба названы официальными (gov.tuva.ru и rtyva.ru) и оба таковыми не являются с точки зрения закона, т.к. первое доменное имя администрируется АО Тывасвязьинформ, а второе вообще анонимным физическим лицом. У Правительства Костромской области тоже два сайта (adm44.ru и kostroma.gov.ru), оба официальные, но с разным наполнением.

Меня в комментариях к одной из прошлых публикаций упрекнули, что мы доматываемся до мышей с этой официальностью. Нет, ребята, мы просто требуем неукоснительно соблюдать закон, тем более что в данном случае он логичный и легко исполнимый: администратором доменного имени для сайта органа власти может быть только орган власти. Не подведомственное госучреждение, не ООО, не гражданин Пупкин, а только орган власти и точка.

С поддержкой HTTPS на региональном уровне все примерно так же, как и на федеральном: большинство декларирует наличие поддержки, но лишь четверть действительно обеспечивает что-то похожее на нормальную защиту соединения, остальные кто сертификат забыл вовремя обновить, а кто годами ПО на веб-сервере не обновляет, и тот светит в Интернет дырами и уязвимостями чуть не десятилетней давности.

Интересно тут другое: наверное, все хотя бы слышали про Электронную Москву, Электронную Бурятию, Электронный Татарстан и прочие электронные программы по освоению бюджетов на информатизацию госуправления. А знаете, у кого в результате оказалась лучшая поддержка HTTPS на официальном сайте? У правительств Ульяновской и Московской областей и парламентов Владимирской области и ЯНАО.

Я вот ничего даже не слышал про Электронное ЯНАО, может такой программы и не существует, а хотя бы одного пряморукого админа в ЯНАО найти смогли (пятое место по площади среди субъектов федерации, населения как в одном районе Москвы). А в электронной Бурятии то ли с населением еще хуже (Росстат возражает), то ли денег на нормального админа не хватило, но сервера обоих органов власти законодательной и исполнительной приветливо машут любознательным исследователям букетом из CVE-2014-0160, CVE-2014-0224, CVE-2016-2107, CVE-2019-1559 и далее со всеми остановками.

Из занимательного: при попытке проверить сайт Администрации Ненецкого автономного округа, мы наткнулись на блокировку по IP ряда исследовательских инструментов. На это у администратора хватило и усердия, и знаний, и желания, а вот на закрытие CVE-2012-4929 (кто не в курсе, первая цифра год описания уязвимости, 8 лет назад, Карл!) и прочих дыр уже ни сил, ни желания не осталось, а может и знаний тоже.

Лидером по поддержке защищенного соединения является Южный федеральный округ, где 53% исследованных сайтов обеспечивают достаточно надежное HTTPS-соединение. Следом за ним идут Центральный и Уральский (47% и 40% соответственно). Отстающие Приволжский и Северо-Кавказский, в которых лишь 13% сайтов высших органов власти не имеют значимых проблем с поддержкой защищенного соединения.

Что касается XSS, т.е. мусора, которые сайты сами загружают из сторонних источников, то тут, как и у федералов зоопарк: JS-библиотеки, шрифты, счетчики, баннеры и далее со всеми остановками, но есть и свои интересные нюансы.

Например, у федералов Google Analytics на 4 месте по популярности, а у регионалов на 7; это даже в абсолютных цифрах меньше, чем у федералов. Но если собственно счетчик GA стоит лишь на 9% региональных сайтов, то гуглокод вообще на 63%, так что данные о посетителях они все равно успешно собирают. А вот на третьем месте среди счетчиков у регионалов внезапно оказался Bitrix. Это который вроде бы CMS ну и еще немного сбора статистики.

Рекордсменом по любви к аналитике стало Правительство Алтайского края, чей сайт украшен сразу 6 счетчиками, но его успех несколько меркнет по сравнению с сайтами Администрации Костромской области, парламентов Калининградской области, Удмуртской Республики и Москвы, которые украшены кодом счетчика OpenStat, уже два года не подающим признаков жизни. Это, конечно, не электронные пропуска шаманить, это ж HTML, а у ДИТ лапки загребущие.

В качестве резюме: как и в случае мониторинга федеральных сайтов, мы рассылали отдельные доклады по субъектам их героям. Федералов после этого специально не мониторили, но подвижки видны невооруженным глазом: кто-то дыры на сервере залатал, кто-то HTTPS включил, кто-то TLS-сертификат обновил, кто-то так и не почесался, но реакция заметна.

Регионалов немного помониторили, пока единственная заметная реакция Правительство Тульской области переписало домен для своего сайта с подведомственного госучреждения на региональное Минсвязи. Хорошо, мы для того и мониторили, чтобы указать на ошибки и подсказать, как их исправить. Плохо, что остальным, похоже, плевать: ну нарушаем закон о доступе к госинформации, ну сайт дырявый, ну грузят на него код все подряд, включая вероятного противника, подумаешь

В общем, пока на главной странице его сайта не появится срамная картинка или хула на государя-императора, губернатор партбилетом не перекрестится. Через год проверим, так ли это планируем проводить мониторинг ежегодно.

Все мы знаем о больших ограблениях, об очень больших ограблениях. Но какое из известных ограблений не взять в прошлом, там везде объемы грабежа конечны. Но вот пришла эпоха компьютеров и интернета, и произошло (началось) самое колоссальное ограбление, которое длится уже многие годы, и потенциально бесконечно. Многие знают об этом ограблении, которое бесконечно по масштабам, а по циничности на уровне преступления против человечности, но почти никто не придает ему никакого значения.
Много негодуют, если происходит ограбление на миллиарды, да даже на миллионы или просто даже угон домена, как это плохо Но это всего лишь 1 случай 1 домена. Но совершенно никто десятилетиями не негодует, даже не переживает, что угнаны бесконечное множество доменов, даже еще тех которые не придуманы.
Вот любой из вас, может придумать доменное имя. Что он делает заходит к регистратору! (обратите внимание регистратору, не к богу, не к дьяволу, не к всевышнему, а к регистратору). И что он видит человек вводит только что придуманное им (свое творение, то что можно сказать авторство) ну пусть это будет (kasdfuirewkdsbdks14783487.ru), и опа, что он видит чаще всего этот домен свободен, хорошо....но он НАША собственность, вы можете его купить за 100-200-100000. И как бы бесконечно много вы не придумали имен любое из них уже будет собственностью каких то непонятных элементов, которые предложат вам их купить.
А с какого перепуга он их? Уверен, что они до этой секунды даже не знали и ни разу не видели и не произносили этот набор букв, но он уже их собственность.
Вот это реальный УГОН доменов. У людей угнали всё бесконечное множество доменов какое может быть. Это самое большое ограбление в истории бесконечное множество сворованного, даже еще того, что не создано. Т е это тот случай, когда своровано даже не созданное еще и сразу в бесконечном объеме.
А кто они такие? С чего это вдруг регистраторы (от слова регистрировать) становятся собственниками по умолчанию? Да и даже с чего они вдруг регистраторы, с какого перепуга, и почему они. Почему само это право монополизировано.
А мы готовы охать по угону одного домена или миллиарда долларов, писать статьи на 100 страниц слёзные, но не замечаем и ни одного слова, об угоне бесконечного.
С чего это люди должны покупать то, что только что придумали.
Нужна уже давно децентрализованная система регистрации доменов ну и IPv6 (которую саботируют), в идеале на технологии блокчейна. Почему кто то захватил само право на все имена, монополизировал это право и грабит людей, причем бесконечно как в объеме, так и во времени. Как такое вообще произошло в современном обществе, где скандал начинается по любому мелкому нарушению прав человека, но на самое огромное ограбление и нарушение прав человека на придумывание вообще ноль реакции.
Почти такая же история с IP адресами, только там искусственно создается дефицит, опять же чтобы постоянно грабить людей на пустом месте, за воздух. Да даже не за воздух а за цифры.
И более того, я больше чем уверен, что не будь искусственного дефицита IP адресов, многим людям доменные имена вообще не нужны бы были. Многим бы достаточно было бы доступ оп IP. Большинство людей вообще не смотрят давным давно на доменное имя, и не запоминают и тем более не вводят вручную.
Этот ограбление в интернете можно сравнить, как если бы в обычной жизни у нас украли бы воздух, или право на речь, или право взять себе имя и дату рождения, или вообще на алфавит.
Этот обман должен быть вскрыт и уничтожен, пресечь навсегда и никогда не дать такому больше повториться. Присвоение всего множества доменных имен это как преступление против человечества, даже более масштабнее. Нужно точно определить, что это огромное лицемерие, зло и цинизм по уровню сопоставимые с рабством, и чтобы оно никогда больше не повторялось в истории развития человечеств, особенно дальнейшего цифрового развития.

Основатели Namebase раскритиковали соц.сети и централизованные системы управления доменными именами. Посмотрим, в чем суть их собственной инициативы, и почему она нравится не всем.


/ Unsplash / Charles Deluvio

Что случилось

Кампанию за альтернативную реализацию пространства имён активно продвигают с прошлого года. На днях вышел материал с развернутыми объяснениями критических оценок, предложений по глобальной децентрализации, необходимых требований к проекту и его потенциальных возможностей.

Мы проанализировали статью и обсуждение вокруг нее на тематических площадках. Делимся основными находками, дополнительными материалами и мнениями по этой теме.

За что критикуют они

На сайте компании есть отсылки к проблеме избыточной централизации на стороне технологических монополистов, национальных и международных организаций от ICANN до социальных сетей.

Основатели Namebase ставят под сомнение то, как под управлением таких структур (и даже государств) реализуются права на свободу слова и собственности на цифровые активы вроде профилей, пользовательских и доменных имен. В своих выступлениях они часто вспоминают случаи кражи, блокировок и удаления таких активов без должных разбирательств или объяснения причин.

Какие выдвигают предложения

По мнению энтузиастов этой темы, чтобы отойти от всевозможных сложностей в сторону универсального, устойчивого и децентрализованного пространства имен, потребуется:

1. Удостовериться в децентрализации новой системы.
2. Оставить только ключевые функциональные возможности.
3. Обеспечить низкую ресурсоемкость и trustless-доступность.
4. Сохранить совместимость с общей инфраструктурой сети.
5. Предусмотреть возможность обновления на уровне протокола.

Первое и второе требование возможно реализовать с помощью выделенного PoW-блокчейна (в компании его назвали Handshake).Таким образом разработчики планируют исключить риски дестабилизации системы из-за действий стейкхолдеров или каких-либо внешних факторов.

По их мнению, проектирование на основе уже существующих блокчейнов не позволит добиться такого эффекта в долгосрочной перспективе, что является определяющим фактором для бесперебойной работы и обновления (пятый пункт требований) IT-стандартов такого уровня.

В ответ на третье требование разработчики предлагают хранить данные пространства имен в так называемых Urkel Tree, спроектированных специально для решения этой задачи. Они выступают альтернативой particia-деревьям в Ethereumе, но с узлами на 32 (leaf/sibling nodes) и 76 байт (internal nodes), а PoW-вес здесь не превышает килобайта даже при наличии десятков миллионов листьев.

Так команда пытается оптимизировать время и ресурсы, необходимые для разрешения имен. Помимо этого она открыла и легкий клиент на C он занимается исключительно DNS-задачами.


/ Unsplash / Thomas Jensen

Если говорить о совместимости (четвертый пункт), по словам основателей, проект направлен на расширение возможностей действующих IT-стандартов, а не на их вытеснение. Разработчики уверены, что у пользователей сети должно быть больше возможностей, чтобы сохранить контроль и удостовериться в том, что то или иное имя принадлежит именно им, и продолжают развитие своего продукта (основная информация по нему GitHub-репозиторий, документация, API).

За что критикуют их

На Hacker News дали ссылку на магазин приложений, опирающийся на Handshake, и похожие реализации. Но были и те, кто высказал опасения, что вендор просто пытается стать еще одним регистратором, оперирующим именами в слегка обновленном формате. Под сомнение поставили и независимость таких проектов, сославшись на данные по распределению майнинговых пулов.

В какой-то момент дискуссия ушла в сторону один из резидентов площадки даже высказал мысль об аналогичном оживлении RSS-экосистемы, которая могла бы стать децентрализованным ответом для монополизированного рынка соц.сетей. Но здесь как и в ситуации с Handshake все уперлось в вопрос монетизации и степень элегантности его разрешения. Как известно, подобные DNS-проекты уже пытались запустить, но этот процесс проходил не так гладко, как хотелось бы их основателям.

Сейчас у Handshake и Namebase есть сразу несколько альтернатив от Unstoppable Domains (документация) до Ethereum Name Service (ENS). Смогут ли они составить конкуренцию существующим подходам к управлению доменными именами и стать массовыми, покажет время.

P.S. Дополнительное чтение в нашем хабраблоге работа провайдеров и развитие систем связи.

С 2010 года вступил в силу закон Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления, которым всем этим органам вменялось в обязанность иметь свой сайт, да не простой, а официальный.

Степень тогдашней готовности чиновников к исполнению закона могу проиллюстрировать таким эпизодом: летом 2009 года довелось выступать перед собранием главных по информатизации из всех муниципалитетов одной далеко не отсталой области, вскользь упомянул надвигающийся закон, и реакция зала была единодушной: какой-какой закон?!

Так вот, с наступлением 2010 года мы решили проверить, кто хотя бы из федеральных чиновников в курсе требований закона, у кого из органов федеральной власти есть официальные сайты? Оказалось, что просто сайты есть у 88 из 89 органов, а вот официальные лишь у 62.

В чем разница? А вот в чем: закон требует, чтобы доменное имя официального сайта администрировалось государственным органом или органом местного самоуправления. Не обязательно тем же самым, чей сайт, хоть сельсоветом каким-нибудь, лишь бы не левой конторой, а тем более физлицом, как у трети обследованных.

Сейчас у читателей может появиться соблазн упрекнуть меня в казуистике, но не спешите, давайте рассмотрим такой случай: у нас есть право без SMS, регистрации и препирательств с дежурным подать заявление в полицию дистанционно, через официальный сайт МВД. Заявление автоматом зарегистрируют, присвоят КУСП, будут обязаны начать по нему работу А нет, стоп, не обязаны: все нормативно-правовые акты по этому поводу оперируют понятием официальный сайт, а сайт МВД не официальный. Куда и кому вы подавали обращение не знаю, откуда взяли этот КУСП не ведаю, топайте ножками в ближайшее ОВД и пишите там заявление на бумаге, а потом добивайтесь, чтоб приняли и зарегистрировали как положено.

В общем, вскрыли всю эту неприглядную картину, опубликовали доклад, в СМИ поднялась волна, некоторые журналисты с какого-то перепугу заявили, что Сайт Президента не является официальным, хотя он-то как раз соответствовал критериям официальности, ведомства спохватились и начали официализировать свои сайты, да не все

Была долгая переписка с Генпрокуратурой, которая попыталась свалить свою работу на Минкомсвязи, которое справедливо отбрыкивалось Попутно ряд ведомств озвучил свою трактовку требований закона, сводящуюся к: нам так удобно и не колышет. К концу года из 26 уклонистов осталось 9 и мы, откровенно говоря, перестали отслеживать процесс. Как выяснилось, зря

Прошло 10 лет, мы снова проверили сайты госорганов на соответствие критерию официальности и та-дам! у троих сайты неофициальные, причем если Росгвардию еще можно понять: ведомство новое, сайт свежий, за всем сразу не уследишь, то МВД почетный уклонист с десятилетним стажем. А Управление делами Президента и вовсе перебежчик: 10 лет назад они сами администрировали домен своего сайта, сегодня зачем-то передали эту функцию подведомственному ФГУПу.

Снова написали в Генпрокуратуру; интересно, на кого в этот раз попытается спихнуть свою работу, прямо обозначенную в законе как обязанность прокуратуры Но все-таки прогресс: 3 неофициальных сайта это уже не 26.

Вот и дошли у нас руки до сайтов региональных органов власти, а то все федералы да федералы не Москвой единой богата Россия! Кому лень дальше читать мое словоблудие, могут сразу скачать доклад Сайты органов власти субъектов Российской Федерации: Центральный федеральный округ 2020, а я пока расскажу об обнаруженных вкусняшках.

Вкусняшек, если честно, немного: все не так плохо, как представлялось, в среднем по больнице ЦФО ситуация примерно такая же, как у федеральных органов власти: половина сайтов не поддерживают HTTPS, подавляющее большинство грузит кучу счетчиков, кода систем аналитики, виджетов, информеров и прочего мусора.

Лично у меня любимая часть мониторинга проверка сайтов на соответствие понятию официальный сайт государственного органа. Напоминаю, что официальным может считаться лишь сайт, доменное имя которого администрируется государственным органом или органом местного самоуправления. Не подведомственным ФГУПом, не губернатором в качестве физлица, не дружественной веб-студией, а только государственным органом или органом местного самоуправления. Это не мое мнение, а требование закона и позиция Генпрокуратуры, которая раздает пинки госорганам, имеющим альтернативный взгляд на проблему (правда, все равно не до всех доходит).

Так вот, о вкусном: есть такой Официальный сайт Мэра Москвы, на котором собрано все московское правительственное, от сайтов московских органов исполнительной власти до московских госуслуг. И сайт этот тадам! ни секунды не официальный, т.к. администрируется ГКУ Мосгортелеком.

Да, государственное, да, казенное учреждение, да, учреждено Правительством Москвы, но это не государственный орган и даже не орган местного самоуправления, а потому сайт mos.ru не официальный сайт государственного органа, точка. Следовательно, все органы исполнительной власти Москвы с сайтами на mos.ru тоже оказались без официальных сайтов. Привет всенародно любимому ДИТ и его отчетам о миллиардах, освоенных на информатизацию грабли оказались там, где не ждали.

На этом фоне как-то неудобно даже писать, что правительства Тверской и Тульской областей, а также Московская городская и Ярославская областная думы тоже до сих пор не имеют официальных сайтов. Впрочем, в Москве ситуация веселее всего здесь сразу две ветви власти исполнительная и законодательная оказались без официальных сайтов.

Про судебную власть разговор отдельный она мудро собрала сайты региональных судов на едином портале ГАС Правосудие, поэтому нет необходимости исследовать сайты суда каждого субъекта федерации отдельно: все они неофициальные, так как портал администрируется ФГБУ ИАЦ поддержки ГАС Правосудие (он еще и дырявый, как решето). Хотя Москва и здесь пошла своим путем у Мосгорсуда свой сайт и он тадам! официальный, без дураков.

Вот такие выводы по ЦФО, результаты которых разосланы героям мониторинга, а если они не отреагируют за разумное время, отправим их в прокуратуру с просьбой провести разъяснительную беседу. Впереди нас (и вас) ждут мониторинги сайтов высших органов власти остальных субъектов, а по итогам сводный доклад по всей стране.