Jadi kami telah merilis laporan ringkasan hasil pemantauan situs otoritas tertinggi daerah - "Keandalan situs otoritas negara entitas konstituen Federasi Rusia - 2020" . Mereka dievaluasi dari tiga sisi: a) apakah situs-situs ini dapat dianggap resmi dari sudut pandang hukum, b) apakah mereka menyediakan koneksi HTTPS yang andal, dan c) apa dan dari mana mereka mengunduh, mis. seberapa rentan terhadap XSS dan seberapa murah hati mereka membocorkan data pengunjung ke pihak ketiga?
Menurut hasil studi situs otoritas federal, orang dapat menebak bahwa semuanya tidak akan lebih baik di tingkat regional, tetapi kami bahkan tidak tahu bagaimana dan sejauh mana.
Berkenaan dengan keabsahan situs: untuk federal, 2 dari 82 situs yang diinvestigasi oleh pihak berwenang ternyata tidak resmi . Awalnya, kami juga menganggap situs web Rosgvardia , yang dikelola oleh pusat teknologi informasi bawahannya, tidak resmi , tetapi yang terakhir mempertahankan sudut pandangnya: pusat tersebut adalah unit militer, mis. bagian dari Pengawal Rusia itu sendiri, jadi tidak ada pelanggaran hukum di sini, tetapi kami tidak memperhatikan (tetapi sertifikat TLS di situs web mereka, tanpa diragukan lagi, telah rusak untuk bulan kedua)
Oleh karena itu, kami memeriksa situs regional sesuai dengan metodologi yang telah disempurnakan, yang menyediakan permintaan ke Daftar Badan Hukum Negara Bersatu dan menemukan: dari 184 situs bernama resmi, 27 (15%) tidak. nama domain terkait dikelola oleh bawahan lembaga pemerintah, organisasi komersial dan non-komersial, dan bahkan individu, meskipun undang-undang dengan jelas menyatakan bahwa ini hanya diizinkan oleh lembaga pemerintah (baca - otoritas). Distrik Federal Barat Laut dan Siberia, di mana lebih dari 30% otoritas tertinggi tidak memiliki situs resmi, terutama yang membedakan diri mereka sendiri.
Dengan napas tertahan, mereka mengajukan permintaan ke Unified State Register of Legal Entities untuk NPWP administrator situs web Parlemen Republik Chechnya., yang tercantum dalam daftar registrar sebagai "Parlemen Republik Ceko Ltd." Saya, tentu saja, sebelumnya meminta maaf, Ramzan Akhmatovich, tetapi parlemen di Rusia memiliki bentuk organisasi dan hukum yang berbeda, dan Layanan Pajak Federal berpikir dengan cara yang sama (biarkan mereka meminta maaf sendiri). Secara umum, tidak ada sensasi - administrator di sana adalah "Aparat Parlemen Republik Chechnya", dan biarkan orang yang membuat entri seperti itu di daftar domain meminta maaf untuk "LLC".
Di sini pembaca yang penuh perhatian dapat menyela saya dengan sebuah pertanyaan: mengapa 184 situs dipelajari sementara ada 85 subjek federasi? Saya jawab: situs pemerintah daerah, DPRD, dan gubernur, kalau ada, diperiksa (situs, bukan gubernur). Namun jika menurut anda jumlah situs gubernur mudah dihitung dengan rumus 184 - 85 - 85 (= 14), maka anda salah, semuanya jauh lebih rumit. Misalnya, Pemerintah Moskow tidak memiliki situs web sendiri, hanya situs web Walikota Moskow , yang pemerintahnya memiliki sudutnya sendiri. Tetapi otoritas dari beberapa subjek lain memiliki dua situs web sekaligus, keduanya disebut resmi.
Misalnya, Pemerintah Republik Tuva memiliki dua situs web sekaligus, keduanya diberi nama resmi ( gov.tuva.ru dan rtyva.ru) dan keduanya bukan dari sudut pandang hukum, karena nama domain pertama dikelola oleh JSC Tyvasvyazinform, dan yang kedua dikelola oleh individu anonim. Pemerintah Wilayah Kostroma juga memiliki dua situs web ( adm44.ru dan kostroma.gov.ru ), keduanya resmi, tetapi dengan konten yang berbeda.
Saya di komentar untuk salah satu publikasi sebelumnya mencela bahwa kita domatyvaemsya tikus dengan formalitas ini. Tidak, teman-teman, kami hanya menuntut ketaatan pada hukum, terutama karena dalam kasus ini logis dan mudah ditegakkan: hanya otoritas yang dapat menjadi administrator nama domain untuk situs otoritas. Bukan lembaga negara bawahan, bukan LLC, bukan warga Pupkin, tetapi hanya otoritas pemerintah, titik.
Dengan dukungan HTTPS di tingkat regional, semuanya kira-kira sama seperti di tingkat federal : sebagian besar menyatakan dukungan, tetapi hanya seperempat yang benar-benar memberikan sesuatu yang mirip dengan perlindungan koneksi normal, sisanya - yang lupa memperbarui sertifikat tepat waktu, dan yang selama bertahun-tahun memiliki perangkat lunak di web server tidak memperbarui, dan bersinar di Internet dengan lubang dan kerentanan hampir sepuluh tahun yang lalu.
Hal lain yang menarik di sini: mungkin setiap orang setidaknya pernah mendengar tentang "Electronic Moscow", "Electronic Buryatia", "Electronic Tatarstan" dan program elektronik lainnya untuk pengembangan anggaran untuk informatisasi administrasi publik. Tahukah Anda siapa yang mendapatkan dukungan HTTPS terbaik di situs web resmi sebagai hasilnya? Dari pemerintah wilayah Ulyanovsk dan Moskow serta parlemen wilayah Vladimir dan Okrug Otonomi Yamalo-Nenets.
Saya bahkan belum pernah mendengar apa pun tentang "Okrug Otonomi Yamalo-Nenets Elektronik", mungkin program semacam itu tidak ada, tetapi setidaknya satu administrator langsung di Okrug Otonomi Yamalo-Nenets dapat ditemukan (tempat kelima dalam hal luas di antara subjek Federasi, populasi - seperti di salah satu distrik Moskow). Dan di e-Buryatia, baik populasinya bahkan lebih buruk (objek Rosstat), atau tidak ada cukup uang untuk administrator normal, tetapi server dari kedua otoritas - legislatif dan eksekutif - menyambut peneliti yang ingin tahu dengan buket CVE-2014-0160, CVE-2014- 0224, CVE-2016-2107, CVE-2019-1559 dan selanjutnya dengan semua pemberhentian.
Menarik: ketika mencoba memeriksa situs web Administrasi Nenets Autonomous Okrug, kami menemukan pemblokiran IP dari sejumlah alat penelitian. Administrator memiliki cukup semangat, pengetahuan, dan keinginan untuk ini, tetapi untuk menutup CVE-2012-4929 (siapa yang tidak tahu, angka pertama adalah tahun deskripsi kerentanan, 8 tahun yang lalu, Karl!) Dan lubang lainnya tidak lagi kuat, tidak ada keinginan yang tersisa, dan mungkin juga pengetahuan.
Pemimpin dalam menjaga koneksi aman adalah Distrik Federal Selatan, di mana 53% dari situs yang dipelajari menyediakan koneksi HTTPS yang cukup andal. Diikuti oleh Central dan Ural (masing-masing 47% dan 40%). Yang tertinggal adalah Volga dan Kaukasus Utara, di mana hanya 13% dari situs otoritas tertinggi yang tidak memiliki masalah berarti dalam menjaga koneksi yang aman.
Adapun XSS, yaitu sampah yang diunduh situs itu sendiri dari sumber pihak ketiga, lalu di sini, dan jugaFBI memiliki kebun binatang: perpustakaan JS, font, penghitung, spanduk, dan sebagainya dengan semua penghentian, tetapi ada juga nuansa yang menarik.
Misalnya, Federasi memiliki Google Analytics di urutan ke-4 dalam popularitas, dan di antara kawasan - di urutan ke-7; bahkan secara absolut itu kurang dari FBI. Tetapi jika penghitung GA sendiri hanya ada di 9% situs regional, maka kode Google secara umum - sebesar 63%, jadi mereka masih berhasil mengumpulkan data tentang pengunjung. Tetapi di tempat ketiga di antara penghitung di antara regional, Bitrix tiba-tiba muncul. Inilah yang tampaknya menjadi CMS dan lebih banyak kumpulan statistik.
Pemegang rekor cinta analitik adalah Pemerintah Wilayah Altai, yang situs webnya "dihiasi" dengan 6 loket sekaligus, tetapi keberhasilannya tidak seberapa dibandingkan dengan situs web Administrasi Wilayah Kostroma, parlemen Wilayah Kaliningrad, Republik Udmurt, dan Moskow, yang "dihiasi" dengan kode penghitung OpenStat. dua tahun tidak menunjukkan tanda-tanda kehidupan. Ini, tentu saja, bukan kartu elektronik untuk perdukunan, ini HTML, tetapi DIT memiliki cakar ... menyambar.
Sebagai ringkasan: seperti dalam kasus pemantauan situs federal, kami mengirimkan laporan terpisah tentang subjek dan pahlawan mereka. FBI tidak dipantau secara khusus setelah itu, tetapi kemajuannya dapat dilihat dengan mata telanjang: seseorang menambal lubang di server, seseorang mengaktifkan HTTPS, seseorang memperbarui sertifikat TLS, seseorang tidak menggaruknya, tetapi reaksinya terlihat.
Para regional diawasi sedikit, sementara satu-satunya reaksi yang terlihat adalah bahwa Pemerintah Daerah Tula menulis ulang domain untuk situs webnya dari lembaga negara bawahan ke Kementerian Komunikasi daerah. Nah, itulah mengapa kami memantau untuk menunjukkan kesalahan dan menyarankan cara memperbaikinya. Itu buruk bahwa yang lain, tampaknya, tidak peduli: yah, kami melanggar hukum tentang akses ke informasi negara, yah, situs itu penuh lubang, yah, semuanya dimuat ke dalamnya, termasuk "musuh potensial", pikirkan saja ...
Secara umum, sampai gambar memalukan muncul di halaman utama situsnya atau penistaan ββterhadap kaisar-kedaulatan, gubernur tidak akan membuat tanda silang dengan kartu partainya. Dalam satu tahun kami akan memeriksa apakah memang demikian - kami berencana untuk melakukan pemantauan setiap tahun.