Daher haben wir einen konsolidierten Bericht über die Ergebnisse der Überwachung der Standorte der höchsten Behörden der Regionen veröffentlicht - "Zuverlässigkeit der Standorte der staatlichen Behörden der konstituierenden Einheiten der Russischen Föderation - 2020" . Sie wurden von drei Seiten bewertet: a) ob diese Websites aus rechtlicher Sicht als offiziell angesehen werden können, b) ob sie eine zuverlässige HTTPS-Verbindung bieten und c) was und von wo sie heruntergeladen werden, d. H. Wie anfällig sind sie für XSS und wie großzügig geben sie ihre Besucherdaten an Dritte weiter?
Nach den Ergebnissen einer Studie auf den Websites der Bundesbehörden könnte man vermuten, dass auf regionaler Ebene nicht alles besser wäre, aber wie und in welchem Umfang haben wir nicht einmal geraten.
In Bezug auf die Amtlichkeit der Standorte: Für die Bundesbehörden erwiesen sich 2 von 82 untersuchten Standorten der Behörden als inoffiziell . Anfangs betrachteten wir auch die Rosgvardia-Website , die von ihrem untergeordneten Informationstechnologiezentrum verwaltet wird, als inoffiziell , aber letztere verteidigte ihren Standpunkt: Das Zentrum ist eine Militäreinheit, d. H. Teil der Rosgvardia selbst, daher gibt es hier keinen Verstoß gegen das Gesetz, aber es gibt unsere Unaufmerksamkeit (aber das TLS-Zertifikat auf ihrer Website war zweifellos den zweiten Monat lang faul)
Aus diesem Grund haben wir die regionalen Standorte nach der bereits verfeinerten Methode überprüft, die eine Anfrage an das Unified State Register of Legal Entities vorsieht, und festgestellt: Von 184 als offiziell bezeichneten Standorten sind 27 (15%) nicht. Die entsprechenden Domain-Namen werden von untergeordneten Regierungsbehörden, kommerziellen und nichtkommerziellen Organisationen und sogar Einzelpersonen verwaltet, obwohl das Gesetz eindeutig festlegt, dass dies nur von Regierungsbehörden (Lesebehörden) erlaubt ist. Besonders hervorzuheben sind die nordwestlichen und sibirischen Bundesbezirke, in denen mehr als 30% der höchsten Behörden keine offiziellen Standorte haben.
Mit angehaltenem Atem beantragten sie beim Unified State Register of Legal Entities die TIN des Administrators der Website des Parlaments der Tschetschenischen Republik, das im Register des Registrars als "Parlament der Tschechischen Republik Ltd." eingetragen ist. Ich entschuldige mich natürlich im Voraus, Ramsan Achmatowitsch, aber die Parlamente in Russland haben eine andere Organisations- und Rechtsform, und der Bundessteuerdienst denkt genauso (lassen Sie sich entschuldigen). Im Allgemeinen gab es keine Sensation - der Administrator dort ist der "Apparat des Parlaments der Tschetschenischen Republik", und derjenige, der einen solchen Eintrag in das Domain-Register gemacht hat, sollte sich für "LLC" entschuldigen.
Hier kann mich der aufmerksame Leser mit einer Frage unterbrechen: Warum wurden 184 Standorte untersucht, als es 85 Themen des Verbandes gab? Ich antworte: Die Websites von Regionalregierungen, Parlamenten und Gouverneuren, falls vorhanden, wurden untersucht (die Website, nicht die des Gouverneurs). Wenn Sie jedoch der Meinung sind, dass die Anzahl der Standorte des Gouverneurs leicht mit der Formel 184 - 85 - 85 (= 14) berechnet werden kann, dann irren Sie sich, alles ist viel komplizierter. Zum Beispiel hat die Moskauer Regierung keine eigene Website, sondern nur die Website des Moskauer Bürgermeisters , auf der die Regierung eine eigene Ecke hat. Die Behörden einiger anderer Subjekte haben jedoch zwei Websites gleichzeitig, die beide als offiziell bezeichnet werden.
Zum Beispiel hat die Regierung der Republik Tuva zwei Websites gleichzeitig, die beide als offiziell bezeichnet werden ( gov.tuva.ru und rtyva.ru)) und beide sind aus rechtlicher Sicht nicht, weil Der erste Domainname wird von Tyvasvyazinform JSC und der zweite von einer anonymen Person verwaltet. Die Regierung der Region Kostroma hat auch zwei Websites ( adm44.ru und kostroma.gov.ru ), beide offiziell, aber mit unterschiedlichem Inhalt.
Ich habe in den Kommentaren zu einer der vorherigen Veröffentlichungen vorgeworfen, dass wir Mäusen mit dieser Formalität domatyvaemsya. Nein, Leute, wir fordern nur die strikte Einhaltung des Gesetzes, zumal dies in diesem Fall logisch und leicht durchsetzbar ist: Nur eine Behörde kann der Administrator des Domainnamens für den Standort einer Regierungsbehörde sein. Keine untergeordnete staatliche Institution, keine LLC, kein Bürger von Pupkin, sondern nur eine Regierungsbehörde.
Mit der HTTPS-Unterstützung auf regionaler Ebene ist alles ungefähr das gleiche wie auf Bundesebene : Die meisten erklären Unterstützung, aber nur ein Viertel bietet wirklich etwas Ähnliches wie den normalen Verbindungsschutz, der Rest - wer hat vergessen, das Zertifikat rechtzeitig zu aktualisieren, und wer jahrelang im Internet Der Server wird nicht aktualisiert und erstrahlt vor fast zehn Jahren im Internet mit Lücken und Schwachstellen.
Eine andere Sache ist hier interessant: Wahrscheinlich hat jeder zumindest von "Electronic Moscow", "Electronic Buryatia", "Electronic Tatarstan" und anderen elektronischen Programmen zur Entwicklung von Budgets für die Informatisierung der öffentlichen Verwaltung gehört. Wissen Sie, wer als Ergebnis die beste HTTPS-Unterstützung auf der offiziellen Website hat? Von den Regierungen der Regionen Uljanowsk und Moskau sowie den Parlamenten der Region Wladimir und des autonomen Okrug Yamalo-Nenzen.
Ich habe noch nicht einmal etwas über "Electronic Yamalo-Nenets Autonomous Okrug" gehört, vielleicht gibt es ein solches Programm nicht, aber mindestens ein Straight-Handed-Administrator wurde in Yamalo-Nenets Autonomous Okrug gefunden (der fünfte Platz in Bezug auf die Fläche unter den Untertanen der Föderation, Bevölkerung - wie in einem Bezirk von Moskau). Und in e-Burjatien ist entweder die Bevölkerung noch schlechter (Rosstat-Objekte), oder es gab nicht genug Geld für einen normalen Administrator, aber die Server beider Regierungsstellen - Legislative und Exekutive - winken neugierigen Forschern herzlich einen Strauß CVE-2014-0160, CVE-2014- 0224, CVE-2016-2107, CVE-2019-1559 und weiter mit allen Haltestellen.
Interessant: beim Versuch, die Website der Administration of the Nenets Autonomous Okrug zu überprüfenWir sind auf die IP-Blockierung einer Reihe von Recherchetools gestoßen. Der Administrator hatte genug Eifer, Wissen und Verlangen dafür, aber um CVE-2012-4929 zu schließen (wer weiß nicht, die erste Zahl ist das Jahr der Schwachstellenbeschreibung vor 8 Jahren, Karl!) Und andere Löcher sind nicht mehr stark. Es bleibt kein Verlangen übrig, und vielleicht auch kein Wissen.
Der Marktführer bei der Aufrechterhaltung sicherer Verbindungen ist der südliche Bundesdistrikt, in dem 53% der untersuchten Standorte eine ziemlich zuverlässige HTTPS-Verbindung bieten. Es folgen Zentral und Ural (47% bzw. 40%). Die Nachzügler sind Wolga und Nordkaukasier, in denen nur 13% der Standorte der höchsten Behörden keine wesentlichen Probleme mit der Aufrechterhaltung einer sicheren Verbindung haben.
Wie für XSS, d.h. Müll, den Websites selbst aus Quellen von Drittanbietern herunterladen, dann auch hierDie Regierung hat einen Zoo: JS-Bibliotheken, Schriftarten, Zähler, Banner usw. mit allen Register, aber es gibt auch interessante Nuancen.
Zum Beispiel haben die Föderalen Google Analytics auf dem 4. Platz in der Popularität und unter den Regionen - auf dem 7. Platz; Selbst in absoluten Zahlen ist es weniger als das der Regierung. Wenn sich der GA-Zähler selbst jedoch nur auf 9% der regionalen Websites befindet, ist der Google-Code im Allgemeinen um 63% höher, sodass sie weiterhin erfolgreich Daten über Besucher erfassen. Aber auf dem dritten Platz unter den Schaltern unter den Regionalen erschien Bitrix plötzlich. Dies scheint ein CMS und eine etwas größere Statistiksammlung zu sein.
Der Rekordhalter für die Liebe zur Analytik war die Regierung des Altai-Territoriums, deren Standort mit 6 Schaltern gleichzeitig "dekoriert" ist, deren Erfolg jedoch im Vergleich zu den Standorten der Verwaltung der Region Kostroma, der Parlamente der Region Kaliningrad, der Republik Udmurt und Moskaus, die mit dem OpenStat-Gegencode "dekoriert" sind, etwas verblasst. zwei Jahre ohne Lebenszeichen. Dies sind natürlich keine elektronischen Ausweise für Schamanismus, dies ist HTML, und DIT hat Pfoten ... greifen.
Zusammenfassend: Wie bei der Überwachung von Bundesstandorten haben wir separate Berichte zu den Themen ihrer Helden verschickt. Die Behörden wurden danach nicht speziell überwacht, aber der Fortschritt ist mit bloßem Auge sichtbar: Jemand hat die Löcher auf dem Server gepatcht, jemand hat HTTPS aktiviert, jemand hat das TLS-Zertifikat erneuert, jemand hat es nicht zerkratzt, aber die Reaktion ist spürbar.
Die Regionals wurden ein wenig überwacht, während die einzige bemerkenswerte Reaktion darin bestand, dass die Regierung der Region Tula die Domain für ihre Website von einer untergeordneten staatlichen Institution an das regionale Kommunikationsministerium umschrieb . Aus diesem Grund haben wir überwacht, um auf Fehler hinzuweisen und Vorschläge zur Behebung dieser Fehler zu machen. Es ist schlimm, dass es dem Rest anscheinend egal ist: Nun, wir brechen das Gesetz über den Zugang zu staatlichen Informationen. Nun, die Site ist voller Löcher. Nun, alles ist darauf geladen, einschließlich des "potentiellen Feindes". Denken Sie nur ...
Im Allgemeinen, bis ein beschämendes Bild auf der Hauptseite seiner Site erscheint oder Gotteslästerung gegen den souveränen Kaiser, der Gouverneur wird sich nicht mit seiner Parteikarte bekreuzen. In einem Jahr werden wir prüfen, ob dies der Fall ist - wir planen, jährlich eine Überwachung durchzuführen.