Así que hemos publicado un informe resumido sobre los resultados del seguimiento de los sitios de las más altas autoridades de las regiones - "Fiabilidad de los sitios de las autoridades estatales de las entidades constituyentes de la Federación de Rusia - 2020" . Fueron evaluados desde tres lados: a) si estos sitios pueden considerarse oficiales desde el punto de vista de la ley, b) si brindan una conexión HTTPS confiable, yc) qué y de dónde descargan, es decir, ¿Qué tan vulnerables son a XSS y con qué generosidad están filtrando los datos de sus visitantes a terceros?
Según los resultados de un estudio de los sitios web de las autoridades federales, se podría adivinar que no todo iría mejor a nivel regional, pero cómo y en qué medida, ni siquiera lo adivinamos.
En cuanto a los sitios web oficiales: para las autoridades federales, 2 de los 82 sitios web investigados de las autoridades resultaron no oficiales . Inicialmente, también consideramos que el sitio web de Rosgvardia , que es administrado por su centro de tecnología de la información subordinado, no era oficial , pero este último defendió su punto de vista: el centro es una unidad militar, es decir, parte de la propia Guardia Rusa, por lo que no hay violación de la ley aquí, pero existe nuestra falta de atención (pero el certificado TLS en su sitio web, sin lugar a dudas, ha estado podrido por segundo mes).
Por lo tanto, verificamos los sitios regionales de acuerdo con la metodología ya refinada, que prevé una solicitud al Registro Estatal Unificado de Personas Jurídicas y descubrimos: de los 184 sitios nombrados oficiales, 27 (15%) no lo son. los nombres de dominio correspondientes son administrados por agencias gubernamentales subordinadas, organizaciones comerciales y no comerciales, e incluso individuos, aunque la ley establece claramente que esto solo está permitido por agencias gubernamentales (léase - autoridades). Los distritos federales Noroeste y Siberiano, donde más del 30% de las máximas autoridades no tienen sitios oficiales, se destacaron especialmente.
Con gran expectación, solicitaron al Registro Estatal Unificado de Entidades Jurídicas el NIF del administrador del sitio web del Parlamento de la República de Chechenia., que figura en el registro del registrador como "Parlamento de la República Checa" Ltd. Yo, por supuesto, me disculpo de antemano, Ramzan Akhmatovich, pero los parlamentos en Rusia tienen una forma organizativa y legal diferente, y el Servicio de Impuestos Federales piensa lo mismo (que se disculpen). En general, no hubo sensación: el administrador es el "Aparato del Parlamento de la República de Chechenia", y el que hizo tal entrada en el registro de dominio se disculpó por "LLC".
Aquí un lector atento puede interrumpirme con una pregunta: ¿por qué se estudiaron 184 sitios cuando había 85 sujetos de la federación? Respondo: se examinaron los sitios de los gobiernos regionales, parlamentos y gobernadores, si los hubiera (sitio, no el gobernador). Pero si cree que el número de sitios del gobernador se calcula fácilmente usando la fórmula 184 - 85 - 85 (= 14), entonces está equivocado, todo es mucho más complicado. Por ejemplo, el gobierno de Moscú no tiene su propio sitio web, solo el sitio web del alcalde de Moscú , donde el gobierno tiene su propio rincón. Pero las autoridades de algunos otros temas tienen dos sitios web a la vez, los cuales se denominan oficiales.
Por ejemplo, el Gobierno de la República de Tuva tiene dos sitios web a la vez, ambos son oficiales ( gov.tuva.ru y rtyva.ru) y ambos no lo son desde el punto de vista de la ley, porque el primer nombre de dominio lo administra Tyvasvyazinform JSC, y el segundo lo administra una persona anónima. El Gobierno de la Región de Kostroma también tiene dos sitios web ( adm44.ru y kostroma.gov.ru ), ambos oficiales, pero con contenido diferente.
Me en los comentarios a una de las publicaciones anteriores reproché que domatyvaemsya a ratones con esta formalidad. No, chicos, solo exigimos el estricto cumplimiento de la ley, especialmente porque en este caso es lógico y fácilmente ejecutable: solo una autoridad puede ser el administrador del nombre de dominio para el sitio web de la autoridad. No es una institución estatal subordinada, ni una LLC, ni un ciudadano de Pupkin, sino solo una autoridad gubernamental, punto.
Con el soporte HTTPS a nivel regional, todo es aproximadamente lo mismo que a nivel federal : la mayoría declara soporte, pero solo una cuarta parte realmente proporciona algo similar a la protección de conexión normal, el resto, que se olvidó de actualizar el certificado a tiempo y que durante años tiene software en la web. el servidor no se actualiza y brilla en Internet con agujeros y vulnerabilidades hace casi diez años.
Otra cosa es interesante aquí: probablemente todo el mundo haya oído hablar al menos de "Moscú electrónico", "Buryatia electrónico", "Tatarstán electrónico" y otros programas electrónicos para el desarrollo de presupuestos para la informatización de la administración pública. ¿Sabes quién tiene el mejor soporte HTTPS en el sitio web oficial como resultado? De los gobiernos de las regiones de Ulyanovsk y Moscú y los parlamentos de la región de Vladimir y el Okrug autónomo de Yamalo-Nenets.
Ni siquiera he escuchado nada sobre "Electronic Yamalo-Nenets Autonomous Okrug", tal vez tal programa no exista, pero al menos un administrador directo se encontró en Yamalo-Nenets Autonomous Okrug (el quinto lugar en términos de área entre los sujetos de la Federación, población, como en un distrito de Moscú). Y en e-Buryatia, o la población es aún peor (Rosstat objeta), o no había suficiente dinero para un administrador normal, pero los servidores de ambas autoridades - legislativa y ejecutiva - están dando la bienvenida a investigadores curiosos con un ramo de CVE-2014-0160, CVE-2014- 0224, CVE-2016-2107, CVE-2019-1559 y más con todas las paradas.
Interesante: al intentar consultar el sitio web de la Administración del Okrug Autónomo de Nenets, encontramos el bloqueo de IP de varias herramientas de investigación. El administrador tenía suficiente celo, conocimiento y ganas para esto, pero para cerrar CVE-2012-4929 (quien no lo sabe, el primer número es el año de la descripción de la vulnerabilidad, ¡hace 8 años, Karl!) Y otros agujeros ya no son fuertes, no queda ningún deseo, y quizás también conocimiento.
El líder en el mantenimiento de conexiones seguras es el Distrito Federal Sur, donde el 53% de los sitios estudiados proporcionan una conexión HTTPS bastante confiable. Le siguen Central y Ural (47% y 40%, respectivamente). Los rezagados son el Volga y el norte del Cáucaso, en los que solo el 13% de los sitios de las más altas autoridades no tienen problemas importantes para mantener una conexión segura.
En cuanto a XSS, es decir basura que los propios sitios descargan de fuentes de terceros, luego aquí, así comolos federales tienen un zoológico: bibliotecas JS, fuentes, contadores, pancartas, etc. con todas las paradas, pero también hay matices interesantes.
Por ejemplo, los federales tienen Google Analytics en el cuarto lugar en popularidad, y entre las regiones - el séptimo; incluso en términos absolutos es menor que el de los federales. Pero si el contador de GA en sí solo está en el 9% de los sitios regionales, entonces el código de Google en general, en un 63%, por lo que aún recopilan datos sobre los visitantes con éxito. Pero en tercer lugar entre los contadores entre las regionales, Bitrix apareció de repente. Esto es lo que parece ser un CMS y un poco más de recopilación de estadísticas.
El poseedor del récord por amor a la analítica fue el Gobierno del Territorio de Altai, cuyo sitio está "decorado" con 6 contadores a la vez, pero su éxito palidece un poco en comparación con los sitios de la Administración de la Región de Kostroma, los parlamentos de la Región de Kaliningrado, la República de Udmurt y Moscú, que están "decorados" con el código de contador de OpenStat. dos años sin signos de vida. Estos, por supuesto, no son pases electrónicos para el chamanismo, esto es HTML, y DIT tiene garras ... agarrando.
Como resumen: como en el caso de monitorear sitios federales, enviamos informes separados sobre temas y sus héroes. Los federales no fueron monitoreados específicamente después de eso, pero el progreso es visible a simple vista: alguien reparó los agujeros en el servidor, alguien activó HTTPS, alguien renovó el certificado TLS, alguien no lo raspó, pero la reacción es notable.
Los regionales fueron monitoreados un poco, mientras que la única reacción notoria fue que el Gobierno de la Región de Tula reescribió el dominio para su sitio web de una institución estatal subordinada al Ministerio de Comunicaciones regional. De acuerdo, monitoreamos para señalar errores y sugerir cómo solucionarlos. Es malo que al resto, al parecer, no les importa: bueno, estamos infringiendo la ley de acceso a la información estatal, bueno, el sitio está lleno de agujeros, bueno, todo está cargado en él, incluido el "enemigo potencial", solo piensa ...
En general, hasta que aparece una imagen vergonzosa en la página principal de su sitio. o blasfemia contra el soberano-emperador, el gobernador no se persignará con su carnet de partido. En un año verificaremos si esto es así; planeamos realizar un seguimiento anualmente.