لذلك أصدرنا تقريرًا موجزًا عن نتائج مراقبة مواقع السلطات العليا للمناطق - "مصداقية مواقع سلطات الدولة للكيانات المكونة للاتحاد الروسي - 2020" . تم تقييمها من ثلاثة جوانب: أ) ما إذا كانت هذه المواقع يمكن اعتبارها رسمية من وجهة نظر القانون ، ب) ما إذا كانت توفر اتصال HTTPS موثوقًا ، و ج) ماذا ومن أين يتم التنزيل ، أي ما مدى ضعفهم أمام XSS وما مدى سخائهم في تسريب بيانات زوارهم إلى أطراف ثالثة؟
بناءً على نتائج دراسة للمواقع الإلكترونية للسلطات الفيدرالية ، يمكن للمرء أن يخمن أن كل شيء على المستوى الإقليمي لن يكون أفضل ، ولكن كيف وإلى أي مدى ، لم نخمن حتى.
أما بالنسبة للمواقع الرسمية: بالنسبة للسلطات الفيدرالية ، فإن موقعين من أصل 82 موقعًا تابعًا للسلطات تم التحقيق معه تبين أنهما غير رسمي . في البداية ، اعتبرنا أيضًا موقع Rosgvardia الإلكتروني ، الذي يديره مركز تكنولوجيا المعلومات التابع لها ، غير رسمي ، لكن هذا الأخير دافع عن وجهة نظره: المركز هو وحدة عسكرية ، أي جزء من Rosgvardia نفسها ، لذلك لا يوجد انتهاك للقانون هنا ، ولكن هناك غفلة منا (لكن شهادة TLS على موقع الويب الخاص بهم ، بما لا يدع مجالاً للشك ، تعفنت للشهر الثاني).
لذلك ، قمنا بفحص المواقع الإقليمية وفقًا للمنهجية المكررة بالفعل ، والتي تنص على طلب إلى سجل الدولة الموحد للكيانات القانونية واكتشفنا: من بين 184 موقعًا رسميًا ، هناك 27 (15٪) ليست كذلك. تتم إدارة أسماء النطاقات المقابلة من قبل الوكالات الحكومية التابعة والمنظمات التجارية وغير التجارية وحتى الأفراد ، على الرغم من أن القانون ينص بوضوح على أن هذا مسموح به فقط من قبل الوكالات الحكومية (اقرأ - السلطات). المقاطعات الفيدرالية الشمالية الغربية وسيبيريا ، حيث لا يوجد لدى أكثر من 30٪ من السلطات العليا مواقع رسمية ، تميزوا أنفسهم بشكل خاص.
بقلب غارق ، قدموا طلبًا إلى سجل الدولة الموحد للكيانات القانونية وفقًا لـ TIN الخاص بمسؤول الموقع الإلكتروني لبرلمان جمهورية الشيشان، والتي تم تسجيلها في سجل المسجل باسم "برلمان جمهورية التشيك المحدودة" بالطبع ، أعتذر مقدمًا ، رمضان أخماتوفيتش ، لكن البرلمانات في روسيا لها شكل تنظيمي وقانوني مختلف ، و FTS تفكر بنفس الطريقة (فليعتذروا لأنفسهم). بشكل عام ، لم يحدث الإحساس - المسؤول هناك هو "جهاز برلمان جمهورية الشيشان" ، ودع الشخص الذي قام بهذا الإدخال في سجل المجال يعتذر عن "LLC".
هنا يمكن للقارئ اليقظ أن يقاطعني بسؤال: لماذا تمت دراسة 184 موقعًا ، بينما كان هناك 85 موضوعًا من الاتحاد؟ أجيب: تمت دراسة مواقع الحكومات الإقليمية والبرلمانات والمحافظين إن وجدت (الموقع وليس الحاكم). ولكن إذا كنت تعتقد أن عدد مواقع الحاكم يتم حسابه بسهولة من خلال الصيغة 184-85-85 (= 14) ، فأنت مخطئ ، فكل شيء أكثر تعقيدًا. على سبيل المثال ، ليس لدى حكومة موسكو موقعها الخاص على الإنترنت ، فقط موقع عمدة موسكو ، حيث للحكومة ركن خاص بها. لكن سلطات بعض الموضوعات الأخرى لديها موقعان على الإنترنت في وقت واحد ، وكلاهما يسمى رسمي.
على سبيل المثال ، تمتلك حكومة جمهورية Tuva موقعين على شبكة الإنترنت في وقت واحد ، وكلاهما يحمل اسم رسمي ( gov.tuva.ru و rtyva.ru) وكلاهما ليس من وجهة نظر القانون لأن تتم إدارة اسم المجال الأول بواسطة Tyvasvyazinform JSC ، بينما تتم إدارة اسم المجال الثاني بواسطة شخص مجهول. تمتلك حكومة منطقة كوستروما أيضًا موقعين إلكترونيين ( adm44.ru و kostroma.gov.ru ) ، كلاهما رسمي ، ولكن بمحتوى مختلف.
أنا في التعليقات على أحد المنشورات السابقة ، نوبخ أننا domatyvaemsya للفئران بهذه الطريقة الشكلية. لا ، يا رفاق ، نحن نطالب فقط بالالتزام الصارم بالقانون ، خاصة أنه في هذه الحالة يكون منطقيًا وقابل للتنفيذ بسهولة: لا يمكن إلا للسلطة أن تكون المسؤول عن اسم المجال لموقع الويب للسلطة. ليست مؤسسة تابعة للدولة ، وليست شركة ذات مسؤولية محدودة ، وليست مواطنًا من Pupkin ، ولكن فقط سلطة حكومية.
مع دعم HTTPS على المستوى الإقليمي ، يكون كل شيء تقريبًا كما هو على المستوى الفيدرالي : معظمهم يعلنون عن الدعم ، لكن ربعهم فقط يقدم شيئًا مشابهًا لحماية الاتصال العادي ، والباقي - الذين نسوا تحديث الشهادة في الوقت المناسب ، ومن على الويب لسنوات لا يتم تحديث الخادم ، وهو يضيء على الإنترنت بالثغرات ونقاط الضعف منذ ما يقرب من عشر سنوات.
شيء آخر مثير للاهتمام هنا: ربما سمع الجميع على الأقل عن "موسكو الإلكترونية" و "بورياتيا الإلكترونية" و "تتارستان الإلكترونية" وغيرها من البرامج الإلكترونية لتطوير الميزانيات لتزويد الإدارة العامة بالمعلومات. هل تعرف من لديه أفضل دعم HTTPS على الموقع الرسمي نتيجة لذلك؟ من حكومات منطقتي أوليانوفسك وموسكو وبرلمانات منطقة فلاديمير وأوكروج يامالو-نينيتس المتمتعة بالحكم الذاتي.
لم أسمع حتى أي شيء عن "Electronic Yamalo-Nenets Autonomous Okrug" ، ربما لا يوجد مثل هذا البرنامج ، ولكن تم العثور على مسؤول واحد على الأقل في Yamalo-Nenets Autonomous Okrug (المركز الخامس من حيث المساحة بين موضوعات الاتحاد والسكان - كما هو الحال في منطقة واحدة في موسكو). وفي e-Buryatia ، إما أن يكون عدد السكان أسوأ (كائنات Rosstat) ، أو لم يكن هناك ما يكفي من المال لمدير عادي ، لكن خوادم السلطتين - التشريعية والتنفيذية - ترحب بالباحثين الفضوليين بباقة من CVE-2014-0160 ، CVE-2014- 0224، CVE-2016-2107، CVE-2019-1559 وأكثر مع كل المحطات.
مثير للاهتمام: عند محاولة التحقق من الموقع الإلكتروني لإدارة Nenets Autonomous Okrug، صادفنا حظر IP لعدد من أدوات البحث. المسؤول كان لديه ما يكفي من الحماس والمعرفة والرغبة في ذلك ، ولكن لإغلاق CVE-2012-4929 (من لا يعرف ، الرقم الأول هو عام وصف الثغرة ، منذ 8 سنوات ، كارل!) والثغرات الأخرى لم تعد قوية ، لا توجد رغبة ، وربما المعرفة أيضًا.
المنطقة الفيدرالية الجنوبية هي الشركة الرائدة في الحفاظ على الاتصالات الآمنة ، حيث توفر 53٪ من المواقع التي تمت دراستها اتصال HTTPS موثوقًا إلى حد ما. يليه الوسط والأورال (47٪ و 40٪ على التوالي). البلدان المتخلفة هي فولغا وشمال القوقاز ، حيث لا تواجه سوى 13٪ من مواقع السلطات العليا مشاكل كبيرة في الحفاظ على اتصال آمن.
بالنسبة إلى XSS ، أي القمامة التي تقوم المواقع نفسها بتنزيلها من مصادر خارجية ، ثم هنا ، وكذلكتحتوي الفدرالية على حديقة حيوانات: مكتبات JS ، والخطوط ، والعدادات ، واللافتات وما إلى ذلك مع كل المحطات ، ولكن هناك أيضًا فروق دقيقة مثيرة للاهتمام.
على سبيل المثال ، لدى الحكومة الفيدرالية Google Analytics في المرتبة الرابعة من حيث الشعبية ، وبين المناطق - في السابع ؛ حتى من حيث القيمة المطلقة فهو أقل من نظيره لدى الفيدراليين. ولكن إذا كان عداد GA نفسه موجودًا فقط على 9 ٪ من المواقع الإقليمية ، فإن رمز Google بشكل عام - بنسبة 63 ٪ ، لذلك لا يزالون يجمعون البيانات حول الزوار بنجاح. ولكن في المركز الثالث بين العدادات بين رجونلس ، ظهرت Bitrix فجأة. هذا ما يبدو أنه نظام إدارة محتوى ومجموعة إحصائية أكثر بقليل.
كانت صاحبة الرقم القياسي في حب التحليلات هي حكومة إقليم ألتاي ، التي تم "تزيين" موقعها بـ 6 عدادات في وقت واحد ، ولكن نجاحها يتضاءل إلى حد ما مقارنة بمواقع إدارة منطقة كوستروما ، وبرلمانات منطقة كالينينغراد ، وجمهورية أودمورت وموسكو ، والتي "مزينة" برمز العداد OpenStat. سنتان لم تظهر عليها علامات الحياة. هذه ، بالطبع ، ليست ممرات إلكترونية للشامانية ، إنها HTML ، لكن DIT لديها كفوف ... إمساك.
كخلاصة: كما في حالة مراقبة المواقع الفيدرالية ، أرسلنا تقارير منفصلة حول الموضوعات إلى أبطالها. لم تتم مراقبة الفدراليين على وجه التحديد بعد ذلك ، ولكن التقدم مرئي للعين المجردة: قام شخص ما بإصلاح الثقوب على الخادم ، أو قام شخص ما بتشغيل HTTPS ، أو قام شخص ما بتجديد شهادة TLS ، ولم يخدشها أحد ، لكن رد الفعل ملحوظ.
تمت مراقبة رجونلس قليلاً ، في حين كان رد الفعل الوحيد الملحوظ هو أن حكومة منطقة تولا أعادت كتابة المجال لموقعها على الإنترنت من مؤسسة تابعة للدولة إلى وزارة الاتصالات الإقليمية. حسنًا ، لهذا السبب قمنا بالمراقبة للإشارة إلى الأخطاء واقتراح كيفية إصلاحها. من المؤسف أن الباقي ، على ما يبدو ، لا يهتمون: حسنًا ، نحن نخرق القانون الخاص بالوصول إلى معلومات الدولة ، حسنًا ، الموقع مليء بالثغرات ، حسنًا ، كل شيء محمل فيه ، بما في ذلك "العدو المحتمل" ، فقط فكر ...
بشكل عام ، حتى تظهر صورة مخزية على الصفحة الرئيسية لموقعه أو التجديف على الإمبراطور ذو السيادة ، فإن الحاكم لن يعبر نفسه عن بطاقة حزبه. سنتحقق في غضون عام مما إذا كان الأمر كذلك - نخطط لإجراء المراقبة سنويًا.