Sites Internet des autorités régionales: encore plus tristes que les fédéraux
Nous avons donc publié un rapport de synthèse sur les résultats de la surveillance des sites des plus hautes autorités des régions - «Fiabilité des sites des autorités étatiques des entités constitutives de la Fédération de Russie - 2020» . Ils ont été évalués de trois côtés: a) si ces sites peuvent être considérés comme officiels du point de vue de la loi, b) s'ils fournissent une connexion HTTPS fiable, et c) quoi et d'où ils téléchargent, c.-à-d. dans quelle mesure est-il potentiellement vulnérable à XSS et dans quelle mesure divulgue-t-elle les données de ses visiteurs à des tiers?
D'après les résultats d'une étude sur les sites Internet des autorités fédérales, on pourrait deviner qu'au niveau régional tout ne se passerait pas mieux, mais nous ne savions même pas comment et dans quelle mesure.
Quant aux sites Internet officiels: pour les autorités fédérales, 2 des 82 sites Internet enquêtés des autorités se sont révélés non officiels . Dans un premier temps, nous avons également considéré le site Rosgvardia , qui est administré par son centre informatique subordonné, comme non officiel , mais ce dernier a défendu son point de vue: le centre est une unité militaire, c'est-à-dire partie de la Rosgvardia elle-même, donc il n'y a pas de violation de la loi ici, mais il y a notre inattention (mais le certificat TLS sur leur site Web a sans aucun doute été comme pourri pour le deuxième mois).
Par conséquent, nous avons vérifié les sites régionaux selon la méthodologie déjà affinée, qui prévoit une demande au Registre d'État unifié des entités juridiques et découvert: sur 184 sites nommés officiels, 27 (15%) ne le sont pas. les noms de domaine correspondants sont administrés par des agences gouvernementales subordonnées, des organisations commerciales et non commerciales, et même des individus, bien que la loi stipule clairement que cela n'est autorisé que par les agences gouvernementales (lire - autorités). Les districts fédéraux du Nord-Ouest et de la Sibérie, où plus de 30% des plus hautes autorités n'ont pas de sites officiels, se sont particulièrement distingués.
En haletant, ils ont fait une demande au Registre d'État unifié des personnes morales pour le NIF de l'administrateur du site Web du Parlement de la République tchétchène, qui est inscrite au registre du greffier sous le nom de "Parlement de la République tchèque SA" Bien sûr, je m'excuse d'avance, Ramzan Akhmatovich, mais les parlements en Russie ont une forme organisationnelle et juridique différente, et le Service fédéral des impôts pense de la même manière (laissez-les s'excuser). En général, la sensation ne s'est pas produite - l'administrateur là-bas est "l'Appareil du Parlement de la République tchétchène", et que celui qui a fait une telle entrée dans le registre de domaine s'excuse pour "LLC".
Ici, le lecteur attentif peut m'interrompre avec une question: pourquoi 184 sites ont-ils été étudiés alors qu'il y avait 85 sujets de la fédération? Je réponds: les sites Web des gouvernements régionaux, des parlements et des gouverneurs, le cas échéant, ont été étudiés (le site Web, pas celui du gouverneur). Mais si vous pensez que le nombre de sites du gouverneur est facilement calculé en utilisant la formule 184 - 85 - 85 (= 14), alors vous vous trompez, tout est beaucoup plus compliqué. Par exemple, le gouvernement de Moscou n'a pas son propre site Web, seulement le site Web du maire de Moscou , où le gouvernement a son propre coin. Mais les autorités de certains autres sujets ont deux sites Web à la fois, tous deux appelés officiels.
Par exemple, le gouvernement de la République de Touva a deux sites Web à la fois, tous deux nommés officiels ( gov.tuva.ru et rtyva.ru) et les deux ne sont pas du point de vue de la loi, car le premier nom de domaine est administré par Tyvasvyazinform JSC, et le second est administré par un individu anonyme. Le gouvernement de la région de Kostroma dispose également de deux sites Web ( adm44.ru et kostroma.gov.ru ), tous deux officiels, mais avec un contenu différent.
Moi dans les commentaires à l'une des publications précédentes a reproché que nous domatyvaemsya aux souris avec cette formalité. Non, les gars, nous exigeons juste le strict respect de la loi, d'autant plus que dans ce cas c'est logique et facilement exécutoire: seule une autorité peut être l'administrateur du nom de domaine pour le site de l'autorité. Pas une institution d'État subordonnée, pas une LLC, pas un citoyen de Pupkin, mais seulement une autorité gouvernementale, point final.
Avec le support HTTPS au niveau régional, tout est à peu près le même qu'au niveau fédéral : la plupart déclarent le support, mais seul un quart fournit vraiment quelque chose de similaire à la protection de connexion normale, le reste - qui a oublié de mettre à jour le certificat à temps, et qui depuis des années ont des logiciels sur le Web le serveur ne se met pas à jour, et il brille sur Internet avec des trous et des vulnérabilités il y a près de dix ans.
Une autre chose est intéressante ici: probablement tout le monde a au moins entendu parler de «Moscou électronique», «Bouriatie électronique», «Tatarstan électronique» et d'autres programmes électroniques pour l'élaboration de budgets pour l'informatisation de l'administration publique. Savez-vous qui a le meilleur support HTTPS sur le site officiel? Des gouvernements des régions d'Oulianovsk et de Moscou et des parlements de la région de Vladimir et de l'Okroug autonome de Yamalo-Nenets.
Je n'ai même pas entendu parler de "Electronic Yamalo-Nenets Autonomous Okrug", peut-être qu'un tel programme n'existe pas, mais au moins un administrateur honnête a été trouvé à Yamalo-Nenets Autonomous Okrug (la cinquième place en termes de superficie parmi les sujets de la Fédération, population - comme dans un district de Moscou). Et dans e-Bouriatie, soit la population est encore pire (objets Rosstat), soit il n'y avait pas assez d'argent pour un administrateur normal, mais les serveurs des deux autorités - législative et exécutive - accueillent des chercheurs curieux avec un bouquet de CVE-2014-0160, CVE-2014- 0224, CVE-2016-2107, CVE-2019-1559 et plus avec tous les arrêts.
Intéressant: lorsque vous essayez de consulter le site Web de l'administration des Nenets Autonomous Okrug, nous sommes tombés sur le blocage IP d'un certain nombre d'outils de recherche. L'administrateur avait assez de zèle, de connaissances et d'envie pour cela, mais pour fermer CVE-2012-4929 (qui ne sait pas, le premier chiffre est l'année de la description de la vulnérabilité, il y a 8 ans, Karl!) Et les autres trous ne sont plus forts, aucun désir n'est laissé, et peut-être la connaissance aussi.
Le leader du maintien de connexions sécurisées est le District Fédéral Sud, où 53% des sites étudiés fournissent une connexion HTTPS assez fiable. Il est suivi du Centre et de l'Oural (47% et 40%, respectivement). Les retardataires sont la Volga et le Caucase du Nord, où seuls 13% des sites des plus hautes autorités n'ont pas de problèmes significatifs pour maintenir une connexion sécurisée.
Quant à XSS, c'est-à-dire déchets que les sites eux-mêmes téléchargent à partir de sources tierces, puis ici, ainsi queles fédéraux ont un zoo: bibliothèques JS, polices, compteurs, bannières et ainsi de suite avec tous les arrêts, mais il y a aussi des nuances intéressantes.
Par exemple, les fédéraux ont Google Analytics à la 4ème place en popularité, et parmi les régions - le 7; même en termes absolus, il est inférieur à celui du gouvernement fédéral. Mais si le compteur GA lui-même n'est que sur 9% des sites régionaux, Google code en général - de 63%, de sorte qu'ils collectent toujours avec succès des données sur les visiteurs. Mais à la troisième place parmi les compteurs parmi les régionaux, Bitrix est soudainement apparu. C'est ce qui semble être un CMS et un peu plus de collecte de statistiques.
Le détenteur du record de l'amour de l'analytique a été le gouvernement du territoire de l'Altaï, dont le site est «décoré» de 6 compteurs à la fois, mais son succès est quelque peu pâle par rapport aux sites de l'administration de la région de Kostroma, des parlements de la région de Kaliningrad, de la République d'Oudmourtie et de Moscou, qui sont «décorés» du code de compteur OpenStat. deux ans ne montrant aucun signe de vie. Ce ne sont bien sûr pas des passes électroniques pour le chamanisme, c'est du HTML, mais DIT a des pattes ... saisissantes.
En résumé: comme dans le cas de la surveillance des sites fédéraux, nous avons envoyé des rapports séparés sur les sujets de leurs héros. Les autorités fédérales n'ont pas été spécifiquement surveillées par la suite, mais les progrès sont visibles à l'œil nu: quelqu'un a corrigé les trous sur le serveur, quelqu'un a activé HTTPS, quelqu'un a renouvelé le certificat TLS, quelqu'un ne l'a pas rayé, mais la réaction est perceptible.
Les régions ont été un peu surveillées, tandis que la seule réaction notable a été que le gouvernement de la région de Toula a réécrit le domaine de son site Web d'une institution d'État subordonnée au ministère régional des Communications. D'accord, nous avons donc surveillé pour signaler les erreurs et suggérer comment les corriger. C'est dommage que le reste, semble-t-il, s'en moque: eh bien, on enfreint la loi sur l'accès aux informations d'état, eh bien, le site est plein de trous, eh bien, tout est chargé dessus, y compris «l'ennemi potentiel», il suffit de penser ...
En général, jusqu'à ce qu'une image honteuse apparaisse sur la page principale de son site ou blasphème contre le souverain-empereur, le gouverneur ne se signera pas avec sa carte de parti. Dans un an, nous vérifierons si tel est le cas - nous prévoyons d'effectuer un suivi chaque année.