Как региональные госсайты оказались защищены лучше федеральных

Привет Хабр! Мы опубликовали очередной выпуск ежегодного доклада о защищенности сайтов региональных органов власти. Из доклада вы узнаете, какие власти каких субъектов какой федерации не имеют официального сайта, а какие – вообще никакого сайта. С какими госсайтами соединение защищено на твердую «пятерку», а какие только имитируют защиту. Сколько мусора загружается на госсайты из сторонних источников и к кому утекают данные о посетителях. Единственное, чего вы не узнаете, это ответа на вопрос в заголовке: для нас самих результаты исследования – сюрприз и загадка 😉

Итак, парламент ДНР и правительство ЛНР не имеют официальных сайтов, а правительство ДНР буквально во время проведения исследования утратило контроль над доменным именем для своего сайта и перенесло его на новый. Происков недружественных сил мы в этом не заметили, скорее обычное разгильдяйство (это и есть русский мир).

Парламенты Запорожской и Херсонской областей до сих пор не обзавелись сайтом вообще, что объяснимо – есть более насущные хлопоты, хотя в России это и незаконно. Впрочем, правительственный законопроект об ограничении доступа к информации о деятельности органов власти на территориях, где введено военное положение, узаконит и эту «сайтонедостаточность».

Дело в том, что госорганы обязаны публиковать информацию о месте своего нахождения, времени работы, проводимых мероприятиях (и иметь официальный сайт), а кругом террористы, экстремисты, диверсанты, иноагенты, крокодилы, кашалоты. Поэтому госорганам, пребывающим в сложной жизненной ситуации, можно будет не публиковать информацию о своей деятельности. Вообще. Любую. Чтобы иноагенты с крокодилами не узнали адрес горадминистрации и не смогли нагадить под дверь. Благонадежные граждане, правда, тоже не узнают, но это же мелочи при осадном военном положении. Почитайте пояснительную записку к законопроекту, там много фееричного.

Сайт воронежской думы недоступен третий год подряд. Коллеги из Воронежа утверждают, что у них доступен, а космополитичный Ping-Admin – что нет и ниоткуда, и я не знаю, кому верить, кроме своих глаз, выдаче ping и tracert (они в один голос твердят, что недоступен).

7% исследованных сайтов не поддерживают защищенное соединение со своими посетителями, а 59% скорее имитируют наличие защиты, чем обеспечивают ее. В то же время, средний градус по региональной больнице, согласно нашей методике, вырос за год сразу на 10 пунктов, что а) неплохо, учитывая что максимально можно набрать 107 баллов, б) заметно выше температуры в федеральной больнице, в) впервые выше уровня, который мы считаем хотя бы формальной поддержкой защищенного соединения. 7 сайтов набрали 80 и больше баллов, тогда как всё, за что даются баллы сверх 80, уже из серии «валенки есть?»

При подготовке этого доклада мы впервые зафиксировали использование госсайтами недружественной технологии Encrypted Client Hello (ECH). Возможно, мы зафиксировали бы его и раньше, если бы и раньше попросили комрада Xokare сваять для нас скрипт, автоматизирующий часть рутины, в результате которого были обнаружены две вещи: первая – госсайты, использующие ECH, вторая – ошибка в нашей методике, не позволявшая обнаружить их раньше 😉

Большинство обнаруженных сайтов используют ECH лишь потому, что прячутся от DDoS за Cloudflare, но есть и исключение (домашнее задание для пытливых умов: найдите его). Как раз для таких передовиков инфобеза РКН выпустил предостережение: кругом враги, крокодилы, кашалоты технология запретная, фу, бросьте бяку, используйте вместо ECH традиционный аналог – СГЕ (Сокровенное Гой Еси)! Предвкушаю увлекательный жабогадюкинг на тему использования «средства обхода ограничений доступа к запрещенной в России информации» для доступа к официальным сайтам органов власти.

99% сайтов автоматически загружают сторонний код, 26% – контролируемый резидентами «недружественных» стран. Недружественное средство сбора информации о посетителях сайтов Google Analytics к этому году было практически истреблено на госсайтах и импортозаместилось «Яндекс.Метрикой», так что поводов для радости чуть более, чем никаких, тем более, что про CSP (Content Security Policy) в госсекторе почти никто не слышал и мусор от того же Google и других охочих до чужих данных компаний продолжает загружаться на госсайты, просто не напрямую.

Вот, например, переходит госсайт с неблагонадежного YouTube на православный RuTube, вставляет оттуда код роликов в свою ленту новостей, а православный код в свою очередь тянет за собой код Google, рекламу Getintent и вездессущего «Яндекса». Импортозамещение по-русски. Впрочем, отдадим должное и охотникам за чужими данными: их в дверь – они в окно.

Следующий доклад (по сайтам федеральных госорганов) выйдет в мае 2025. Посмотрим, чем они ответят…