[Информационная безопасность] Социальные сети оказались безопаснее порталов государственных услуг

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
16-Фев-2021 13:33

Мы протестировали порталы государственных услуг по новым методикам, оценивающим надежность HTTPS-соединения с ними и уровень защиты от XSS, а также сравнили их с сайтами соцсетей, банка, транспортных и сервисных компаний. Результат в чем-то предсказуемый (с безопасностью электронных госуслуг все плохо), а в чем-то нет (у большинства сайтов из «контрольной группы» дела не лучше), но давайте обо всем по порядку.
Итак, мы исследовали три портала госуслуг – общероссийский, московский и подмосковный – по новым методикам расчета Индекса надежности HTTPS и Индекса защищенности от XSS, придуманным для проекта «Монитор госсайтов».
Исследовались не только основные хосты порталов, а целые «пулы» хостов, т.е. все обнаруженные хосты, с которых эти порталы загружают ресурсы в процессе получения гражданами электронной госуслуги: www.gosuslugi.ru, oplata.gosuslugi.ru, lk.gosuslugi.ru и т.д. Для сравнения мы также исследовали сайты «В контакте», «Одноклассники», «Сбербанк онлайн», личных кабинетов абонентов «Билайн», «Почты России», РЖД, «Аэрофлота» и портал авторизации в сервисах «Яндекса».
Результаты опубликованы в докладе «Порталы государственных услуг: мнимая защищенность», название которого достаточно красноречиво: Индекс надежности HTTPS подмосковного портала госуслуг составил 37 баллов, всероссийского – 12, а московского – 11 из 108 возможных.
Эти баллы складывались из самозаверенного TLS-сертификата контролера входящего трафика Ingress Controller, выставленного в Сеть как сертификат веб-сайта, поддержки в 2021 году протокола SSL, незакрытых CVE-2014-3566 (POODLE), CVE-2016-2183/CVE-2016-6329 (SWEET32), CVE-2016-2107 (OpenSSL Padding Oracle) и прочих чудес на серверах, чье ПО не обновлялось годами, а настройки приличествуют скорее сайту пивной палатки, чем государственному порталу, обрабатывающему и хранящему личную, финансовую и иную чувствительную информацию миллионов россиян, «защищая» ее в том же 2021 году шифронабором TLS_RSA_WITH_3DES_EDE_CBC_SHA. Если кто не уловил сарказма, то все алгоритмы, используемые в этом шифронаборе, ненадежны либо уязвимы.
Для сравнения индекс сайта «Аэрофлота» составил 60 баллов, а социальных сетей «В контакте» и «Одноклассники» – 57 и 58 баллов соответственно. Красивая диаграмма с результатами прилагается:

Да, зрение вас не подводит: у «Сбербанк онлайн» один из худших рейтингов. Не верите – проверьте, ознакомьтесь с методикой, с пояснениями к ней, найдите изъяны, ткните в них носом – будем признательны и займемся доработкой.
Не лучшие результаты у порталов госуслуг и в Индексе защищенности от XSS: 0 баллов у всероссийского и по 10 баллов у московского и подмосковного. Среди сторонних ресурсов, загружаемых на эти порталы – карты, «бесплатные» библиотеки, шрифты, системы аналитики и далее со всеми остановками из стандартного набора начинающего веб-разработчика с бюджетом в 5000 рублей. Оригинальностью отличился лишь московский портал, подгружающий своим посетителям ресурсы рекламной сети AdFox.
В контрольной группе снова лидируют порталы социальных сетей, хотя и их результат нельзя назвать выдающимся. Сайт РЖД, как и всероссийский портал госуслуг, рейтинга вообще не получил, т.к. не соответствует ни одному критерию, принимаемому в расчет при его составлении. Впрочем, «Одноклассники» оказались буквально в одном шаге (вернее, балле) от более высокой «лиги».
Снова слайды диаграмма:

И тут, кроме традиционной дискуссии о том, зачем корпорациям лучезарного бобра стремиться пролезть на каждый сайт в Интернете – из альтруистической заботы о всеобщем благе или корыстного желания контролировать все и вся особенно финансовые потоки – возникает не менее интересная тема: как наличие стороннего контента на порталах госуслуг сочетается с требованиями Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»?
Ну вот все эти запреты использовать информационные системы, размещенные за пределами Российской Федерации, предоставлять удаленный доступ к используемым программным средствам посторонним лицам и передавать им информацию, включая «телеметрию» – принимаются в расчет только при распиле госзаказе и строительстве Великого Китайского Российского Чебурнета или всегда?
Вопрос, разумеется, не к хабровчанам, поэтому собираемся задать его ФСТЭК или ФСБ, если они не очень заняты придумыванием очередного убедительного объяснения, как закалялась сталь куда делись таблицы подстановки «Кузнечика».
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_https, #_tls, #_cve, #_xss, #_gosuslugi (госуслуги), #_sajty (сайты), #_bezopasnost (безопасность), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 25-Ноя 13:30
Часовой пояс: UTC + 5