そこで、地域の最高権威のサイトを監視した結果に関する要約レポートをリリースしました- 「ロシア連邦の構成組織の州当局のサイトの信頼性-2020」。これらは、a)法律の観点から公式と見なすことができるかどうか、b)信頼性の高いHTTPS接続を提供するかどうか、c)何をどこからダウンロードするか、という3つの側面から評価されました。 XSSに対してどの程度脆弱である可能性があり、訪問者データをサードパーティにどれほど寛大に漏らしていますか?連邦当局のウェブサイトの調査結果に
よると、地域レベルではすべてが良くなることはないと推測できましたが、私たちはどのように、そしてどの程度までさえ知りませんでした。
サイトの公式性に関して:連邦政府にとって、当局の調査された82のサイトのうち2つは非公式であることが判明しました。当初、私たちは、その下位の情報技術センターによって管理されているロシアの警備隊の場所も非公式であると考えましたが、後者はその見解を擁護しました:センターは軍事ユニットです。ロシアの警備隊自体の一部であるため、ここでは法律違反はありませんが、私たちの注意はありません(ただし、彼らのWebサイトのTLS証明書は、間違いなく2か月間腐敗しています)。
したがって、私たちはすでに洗練された方法論に従って地域のサイトをチェックしました。これは、統一国家法務機関登録簿への要求を提供し、公式と名付けられた184のサイトのうち、27(15%)はそうではないことがわかりました。対応するドメイン名は、下位の政府機関、営利団体および非営利団体、さらには個人によって管理されていますが、法律では、これは政府機関によってのみ許可されていると明確に規定されています(当局を読んでください)。北西部とシベリア連邦地区では、最高権威の30%以上が公式のサイトを持っておらず、特に際立っています。
息を切らして、彼らはチェチェン共和国議会のウェブサイトの管理者のTINを法務機関の統一国家登録簿に要求しました。、「チェコ共和国議会」として登録機関の登録簿に記載されています。もちろん、事前にお詫び申し上げます、ラムザン・アクマトヴィッチですが、ロシアの議会は組織的および法的形態が異なり、FTSも同じように考えています(謝罪させてください)。一般的に、センセーションはありませんでした。管理者は「チェチェン共和国議会の装置」を持っており、ドメインにそのようなエントリを登録した人に「LLC」を謝罪させました。
ここで、注意深い読者は質問で私を邪魔することができます:連合の85の主題があったのになぜ184のサイトが研究されたのですか?私は答えます:地方自治体、議会、知事のウェブサイトがあれば、調査されました(知事ではなくウェブサイト)。しかし、知事のサイトの数が184-85-85(= 14)の式を使用して簡単に計算できると思うなら、あなたは間違っています。すべてがはるかに複雑です。たとえば、モスクワ政府には独自のWebサイトはなく、政府が独自のコーナーを持っているモスクワ市長のWebサイトのみがあります。しかし、他のいくつかの主題の当局は、一度に2つのWebサイトを持っており、どちらも公式と呼ばれています。
たとえば、トゥバ共和国政府には一度に2つのWebサイトがあり、どちらも公式の名前が付けられています(gov.tuva.ruとrtyva.ru)。)そしてそれらの両方は法律の観点からではありません、なぜなら最初のドメイン名はTyvasvyazinformJSCによって管理され、2番目のドメイン名は匿名の個人によって管理されます。コストロマ地域の政府にも2つのウェブサイト(adm44.ruとkostroma.gov.ru)があり、どちらも公式ですが、内容が異なります。以前の出版物の1つへのコメントで、
私はこの形式のマウスにdomatyvaemsyaを非難しました。いいえ、皆さん、私たちは法律の厳格な遵守を要求します。特にこの場合、それは論理的で簡単に施行できるためです。当局のウェブサイトのドメイン名の管理者になることができるのは当局だけです。従属する州の機関でも、LLCでも、パプキンの市民でもありませんが、政府当局だけです。
地域レベルでのHTTPSサポートにより、すべてが連邦レベルとほぼ同じになります。ほとんどがサポートを宣言しますが、実際に通常の接続保護に似たものを提供するのは4分の1だけで、残りは証明書を時間内に更新するのを忘れ、何年もの間Web上にソフトウェアを持っています。サーバーは更新されず、ほぼ10年前に穴と脆弱性でインターネット上で輝いています。
ここでもう1つ興味深いのは、おそらく誰もが少なくとも「Electronic Moscow」、「Electronic Buryatia」、「Electronic Tatarstan」、および行政の情報化のための予算を策定するための他の電子プログラムについて聞いたことがあるでしょう。その結果、公式Webサイトで誰が最高のHTTPSサポートを持っているか知っていますか?ウリヤノフスクとモスクワ地域の政府とウラジミール地域とヤマロ-ネネッツ自治オクルグの議会から。
「ElectronicYamalo-NenetsAutonomous Okrug」については何も聞いたことがないので、そのようなプログラムは存在しないかもしれませんが、Yamalo-Nenets Autonomous Okrug(モスクワの1つの地区のように、連邦の主題の中で面積で5位)に少なくとも1人の率直な管理者が見つかりました。そしてe-Buryatiaでは、人口がさらに悪化しているか(Rosstatオブジェクト)、または通常の管理者にとって十分な資金がありませんでしたが、両方の当局のサーバー(立法および執行)は、CVE-2014-0160、CVE-2014-の花束で好奇心旺盛な研究者を歓迎しています0224、CVE-2016-2107、CVE-2019-1559、さらにすべての停車地。
興味深い:ネネッツ自治オクルグ政権のウェブサイトをチェックしようとしたとき、私たちは多くの研究ツールのIPブロッキングに遭遇しました。管理者はこれに対して十分な熱意、知識、および欲求を持っていましたが、CVE-2012-4929を閉じるために(誰も知らない、最初の数字は脆弱性の説明の年、8年前、カール!)そして他の穴はもはや強くありません、欲望は残っておらず、おそらく知識も残っています。
安全な接続を維持するリーダーは南部連邦地区であり、調査したサイトの53%がかなり信頼性の高いHTTPS接続を提供しています。続いてセントラルとウラル(それぞれ47%と40%)。遅れているのはヴォルガと北コーカサス地方であり、最高当局のサイトの13%だけが、安全な接続を維持する上で重大な問題を抱えていません。
XSSに関しては、つまりサイト自体がサードパーティのソースからダウンロードするゴミ、次にここ、および連邦政府には動物園があります。JSライブラリ、フォント、カウンター、バナーなど、すべての停車地がありますが、興味深いニュアンスもあります。
たとえば、連邦政府はGoogle Analyticsの人気が4位であり、地域間では7位です。絶対的な意味でさえ、それは連邦政府のそれよりも少ないです。ただし、GAカウンター自体が地域サイトの9%にしか存在しない場合、Googleコードは一般に63%であるため、訪問者に関するデータを正常に収集できます。しかし、地域のカウンターの中で3位に、Bitrixが突然登場しました。これは、CMSともう少し統計収集のように見えるものです。
分析への愛の記録保持者はアルタイ準州政府であり、そのWebサイトは一度に6つのカウンターで「装飾」されていますが、OpenStatカウンターコードで「装飾」されているKostroma地域の管理、Kaliningrad地域、Udmurt共和国、モスクワの議会のWebサイトと比べると成功はやや見劣りします。生命の兆候を示さない2年。もちろん、これらはシャーマニズムの電子パスではありません。これはHTMLであり、DITには足があります...つかみます。
要約すると、連邦サイトを監視する場合と同様に、被験者とそのヒーローに関する個別のレポートを送信しました。その後、フィードは特に監視されませんでしたが、進行状況は肉眼で確認できます。誰かがサーバーの穴にパッチを当て、誰かがHTTPSをオンにし、誰かがTLS証明書を更新し、誰かがそれをスクラッチしませんでしたが、反応は顕著です。
地域は少し監視されましたが、唯一の顕著な反応は、トゥーラ地域の政府がそのウェブサイトのドメインを下位の州の機関から地域の通信省に書き直したことでした。そういうわけで、エラーを指摘し、それらを修正する方法を提案するために監視しました。残りの部分は気にしないようです:まあ、私たちは州の情報へのアクセスに関する法律に違反しています、まあ、サイトは穴でいっぱいです、まあ、「潜在的な敵」を含むすべてがそこにロードされています、ただ考えてください...
一般的に、恥ずべき写真が彼のサイトのメインページに表示されるまでまたは主権皇帝に対する冒涜、知事は彼の党カードと彼自身を交差させません。1年以内に、これが正しいかどうかを確認します。毎年モニタリングを実施する予定です。