
Assim, lançamos um relatório resumido sobre os resultados do monitoramento dos sites das mais altas autoridades das regiões - "Confiabilidade dos sites das autoridades estaduais das entidades constituintes da Federação Russa - 2020" . Eles foram avaliados por três lados: a) se esses sites podem ser considerados oficiais do ponto de vista da lei, b) se eles fornecem uma conexão HTTPS confiável ec) o que e de onde eles baixam, ou seja, Quão vulneráveis eles são ao XSS e quão generosamente eles estão vazando seus dados de visitantes para terceiros?
De acordo com os resultados de um estudo dos sites das autoridades federais, pode-se imaginar que tudo não seria melhor no nível regional, mas como e em que medida, nem imaginávamos.
No que diz respeito à oficialidade dos sites: para os federais, 2 dos 82 sites das autoridades investigados revelaram-se não oficiais . Inicialmente, também consideramos o site Rosgvardia , que é administrado por seu centro de tecnologia da informação subordinado, como não oficial , mas este último defendeu seu ponto de vista: o centro é uma unidade militar, ou seja, parte da própria Guarda Nacional, então não há violação da lei aqui, mas há nossa desatenção (mas o certificado TLS em seu site, sem dúvida, está podre pelo segundo mês).
Assim, verificamos os sites regionais de acordo com a metodologia já apurada, que prevê a solicitação ao Cadastro Único Estadual de Pessoas Jurídicas e constatamos: dos 184 sites nomeados oficiais, 27 (15%) não são. os nomes de domínio correspondentes são administrados por agências governamentais subordinadas, organizações comerciais e não comerciais e até mesmo indivíduos, embora a lei estabeleça claramente que isso só é permitido por agências governamentais (leia-se - autoridades). Destacaram-se os Distritos Federais do Noroeste e da Sibéria, onde mais de 30% das autoridades máximas não possuem sites oficiais.
Com a respiração suspensa, eles fizeram um pedido ao Registro do Estado Unificado de Pessoas Jurídicas para o NIF do administrador do site do Parlamento da República da Chechênia, que está listado no registro do registrador como "Parlamento da República Tcheca Ltd." Eu, é claro, peço desculpas antecipadamente, Ramzan Akhmatovich, mas os parlamentos na Rússia têm uma forma organizacional e legal diferente, e o Serviço de Impostos Federal pensa da mesma forma (que se desculpem). Em geral, não houve sensação - o administrador lá é o "Aparelho do Parlamento da República da Chechênia", e deixe aquele que fez tal entrada no registro de domínio se desculpar por "LLC".
Aqui o leitor atento pode me interromper com uma pergunta: por que foram estudados 184 sites quando havia 85 sujeitos da federação? Eu respondo: foram estudados os sites dos governos regionais, parlamentos e governadores, se houver (o site, não o do governador). Mas se você acha que o número de sites do governador é facilmente calculado usando a fórmula 184 - 85 - 85 (= 14), então você está enganado, tudo é muito mais complicado. Por exemplo, o governo de Moscou não tem seu próprio site, apenas o site do prefeito de Moscou , onde o governo tem seu próprio canto. Mas as autoridades de alguns outros assuntos têm dois sites ao mesmo tempo, ambos chamados de oficiais.
Por exemplo, o Governo da República de Tuva tem dois sites ao mesmo tempo, ambos são nomeados oficiais ( gov.tuva.ru e rtyva.ru) e ambos não são do ponto de vista da lei, porque o primeiro nome de domínio é administrado por Tyvasvyazinform JSC, e o segundo é administrado por um indivíduo anônimo. O Governo da Região de Kostroma também possui dois sites ( adm44.ru e kostroma.gov.ru ), ambos oficiais, mas com conteúdo diferente.
Me nos comentários a uma das publicações anteriores reprovou que domatyvaemsya aos ratos com esta formalidade. Não, pessoal, apenas exigimos estrita observância da lei, especialmente porque neste caso é lógico e facilmente aplicável: apenas uma autoridade pode ser o administrador do nome de domínio para o site da autoridade. Não é uma instituição estatal subordinada, não é uma LLC, não é um cidadão de Pupkin, mas apenas uma autoridade governamental, ponto final.
Com o suporte HTTPS em nível regional, tudo é aproximadamente igual ao nível federal : a maioria declara suporte, mas apenas um quarto realmente fornece algo semelhante à proteção de conexão normal, o resto - quem esqueceu de atualizar o certificado a tempo e quem passou anos na web. o servidor não é atualizado e brilha na Internet com falhas e vulnerabilidades há quase dez anos.
Outra coisa é interessante aqui: provavelmente todos já ouviram falar de "Electronic Moscow", "Electronic Buryatia", "Electronic Tatarstan" e outros programas eletrônicos para o desenvolvimento de orçamentos para a informatização da administração pública. Como resultado, você sabe quem tem o melhor suporte HTTPS no site oficial? Dos governos das regiões de Ulyanovsk e Moscou e dos parlamentos da região de Vladimir e Yamalo-Nenets Autônomo Okrug.
Eu nem ouvi nada sobre "Electronic Yamalo-Nenets Autonomous Okrug", talvez tal programa não exista, mas pelo menos um administrador direto foi encontrado em Yamalo-Nenets Autonomous Okrug (o quinto lugar em termos de área entre os súditos da Federação, população - como em um distrito de Moscou). E na e-Buryatia, ou a população é ainda pior (objeta Rosstat), ou não havia dinheiro suficiente para um administrador normal, mas os servidores de ambas as autoridades - legislativa e executiva - estão recebendo pesquisadores curiosos com um buquê de CVE-2014-0160, CVE-2014- 0224, CVE-2016-2107, CVE-2019-1559 e mais adiante com todas as paradas.
Interessante: ao tentar verificar o site da Administração do Okrug Autônomo de Nenets, encontramos o bloqueio de IP de várias ferramentas de pesquisa. O administrador teve bastante zelo, conhecimento e desejo por isso, mas para fechar CVE-2012-4929 (quem não sabe, o primeiro número é o ano da descrição da vulnerabilidade, 8 anos atrás, Karl!) E outros buracos não são mais fortes, nenhum desejo resta, e talvez conhecimento também.
O líder em manutenção de conexões seguras é o Distrito Federal Sul, onde 53% dos sites estudados fornecem uma conexão HTTPS bastante confiável. É seguido por Central e Ural (47% e 40%, respectivamente). Os atrasados são as regiões do Volga e do Cáucaso do Norte, nas quais apenas 13% dos sites das mais altas autoridades não têm problemas significativos para manter uma conexão segura.
Quanto ao XSS, ou seja, lixo que os próprios sites baixam de fontes de terceiros, então aqui, bem comoos federais têm um zoológico: bibliotecas JS, fontes, contadores, banners e assim por diante com todas as paradas, mas também há nuances interessantes.
Por exemplo, os federais têm Google Analytics no 4º lugar em popularidade, e entre as regiões - no 7º; mesmo em termos absolutos, é menor que o dos federais. Mas se o contador do GA estiver em apenas 9% dos sites regionais, o Google codifica em geral - em 63%, então eles ainda coletam dados sobre os visitantes com sucesso. Mas em terceiro lugar entre os contadores entre os regionais, Bitrix apareceu de repente. Isso é o que parece ser um CMS e um pouco mais de coleta de estatísticas.
O detentor do recorde de amor pela análise foi o Governo do Território de Altai, cujo site é "decorado" com 6 contadores de uma vez, mas seu sucesso empalidece um pouco em comparação com os sites da Administração da região de Kostroma, os parlamentos da região de Kaliningrado, a República de Udmurt e Moscou, que são "decorados" com o código do contador OpenStat. dois anos sem sinais de vida. Esses, é claro, não são passes eletrônicos para o xamanismo, isso é HTML, mas o DIT tem patas ... agarrando.
Resumindo: como no caso do monitoramento de sites federais, enviamos relatórios separados sobre os temas e seus heróis. Os federais não foram especificamente monitorados depois disso, mas o progresso é visível a olho nu: alguém corrigiu os furos no servidor, alguém ativou o HTTPS, alguém renovou o certificado TLS, alguém não o arranhou, mas a reação é perceptível.
Os regionais foram monitorados um pouco, enquanto a única reação perceptível foi que o governo da região de Tula reescreveu o domínio de seu site de uma instituição estatal subordinada ao Ministério das Comunicações regional. Bem, é por isso que monitoramos para apontar erros e sugerir como corrigi-los. É ruim que o resto, ao que parece, não se importe: bem, estamos infringindo a lei de acesso à informação do estado, ora, o site está cheio de buracos, ora, está tudo carregado nele, inclusive o "inimigo potencial", é só pensar ...
Em geral, até que uma imagem vergonhosa apareça na página principal de seu site ou blasfêmia contra o imperador-soberano, o governador não se benzerá com seu cartão do partido. Em um ano, verificaremos se é assim - planejamos realizar o monitoramento anualmente.