Probamos los portales de servicios gubernamentales utilizando nuevos métodos que evalúan la confiabilidad de las conexiones HTTPS con ellos y el nivel de protección contra XSS, y también los comparamos con los sitios de redes sociales, bancos, empresas de transporte y servicios. El resultado es algo predecible (todo está mal con la seguridad de los servicios públicos electrónicos), pero de alguna manera no lo es (la mayoría de los sitios del "grupo de control" no lo están haciendo mejor), pero hablemos de todo en orden.
Por lo tanto, investigamos el portal de tres servicios estatales, el de toda Rusia , Moscú y la Región de Moscú , mediante nuevos métodos de cálculo del Índice de confiabilidad HTTPS y el Índice de protección contra XSS , inventado para el proyecto "Monitor gossaytov" .
Investigamos no solo los hosts principales de los portales, sino también los "grupos" completos de hosts, es decir, todos los hosts descubiertos desde los cuales estos portales descargan recursos en el proceso de recibir servicios de gobierno electrónico por parte de los ciudadanos: www.gosuslugi.ru, oplata.gosuslugi.ru, lk.gosuslugi.ru, etc. A modo de comparación, también examinamos los sitios Vkontakte , Odnoklassniki , Sberbank Online , las cuentas personales de los suscriptores de Beeline , Russian Post , Russian Railways , Aeroflot y un portal de autorización para los servicios de Yandex .
Los resultados fueron publicados en el informe "Portales de servicios públicos: seguridad imaginaria", cuyo nombre es bastante elocuente: el índice de confiabilidad HTTPS del portal de servicios públicos de la región de Moscú fue de 37 puntos, el de toda Rusia - 12, y el de Moscú - 11 de 108 posibles.
Estos puntos fueron la suma del certificado TLS autofirmado de Ingress Controller, expuesto a la red como certificado de sitio web, soporte SSL en 2021, CVE-2014-3566 (POODLE) abierto, CVE-2016-2183 / CVE-2016- 6329 (SWEET32), CVE-2016-2107 (OpenSSL Padding Oracle) y otros milagros en servidores cuyo software no se ha actualizado durante años, y la configuración corresponde a un sitio de tienda de cerveza en lugar de un portal gubernamental que procesa y almacena personal, financiero y de otro tipo. información confidencial de millones de rusos, "protegiéndola" en el mismo año 2021 con un paquete de cifrado TLS_RSA_WITH_3DES_EDE_CBC_SHA. Si alguien no ha captado el sarcasmo, entonces todos los algoritmos utilizados en este conjunto de cifrado son poco fiables o vulnerables.
A modo de comparación, el índice del sitio web de Aeroflot fue de 60 puntos, y las redes sociales Vkontakte y Odnoklassniki, 57 y 58 puntos, respectivamente.
Sí, tu vista no te falla: Sberbank Online tiene una de las peores calificaciones. Si no te lo crees, compruébalo, familiarízate con la metodología, con explicaciones , encuentra defectos, mete la nariz en ellos, te lo agradeceremos y lo revisaremos.
No son los mejores resultados para los portales de servicios públicos y en el índice de seguridad XSS: 0 puntos para toda Rusia y 10 puntos para Moscú y la región de Moscú. Entre los recursos de terceros cargados en estos portales se encuentran mapas, bibliotecas "gratuitas", fuentes, sistemas de análisis y más con todas las paradas del conjunto estándar de un desarrollador web novato con un presupuesto de 5000 rublos. Solo el portal de Moscú, que descarga los recursos de la red publicitaria AdFox a sus visitantes, se distinguió por su originalidad.
En el grupo de control, los portales de redes sociales vuelven a estar a la cabeza, aunque su resultado no puede considerarse sobresaliente. El sitio web de los ferrocarriles rusos, al igual que el portal de servicios públicos de toda Rusia, no recibió ninguna calificación, ya que no cumple ninguno de los criterios tenidos en cuenta en su elaboración. Sin embargo, Odnoklassniki estaba literalmente a un paso (o más bien, un punto) de una liga superior.
Nuevamente el diagrama se
Y aquí, además de la discusión tradicional sobre por qué las corporaciones del castor radiante buscan arrastrarse a todos los sitios de Internet, por una preocupación altruista por el bien común o un deseo egoísta de controlar todo y todo,
Bueno, todas estas prohibiciones para usar sistemas de información ubicados fuera de la Federación de Rusia, proporcionar acceso remoto al software utilizado por personas no autorizadas y transferirles información, incluida la "telemetría", se tienen en cuenta solo si
La pregunta, por supuesto, no es para los Khabrovites, así que se la vamos a preguntar a FSTEK o FSB, si no están muy ocupados dando otra explicación convincente de