[Информационная безопасность] Российские госсайты: иллюзия безопасности
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В 2016 году мы задались вопросом: сколько сайтов федеральных органов власти поддерживают HTTPS? Мы узнали, вы готовы? Фактически – 2 (прописью: два, Карл!) сайта из 85. Формально – 32 поддерживали, т.е. на серверах был включен HTTPS, но дальше все упиралось в традиционное российское разгильдяйство: SSL-сертификат просрочен, самоподписан или вообще от другого сайта, соединение по HTTPS автоматически переключается на HTTP или переадресуется в админку сайта, веб-сервер уязвим к ROBOT, POODLE и прочим излишествам нехорошим, HTTPS-подключение только по SSL и прочий чад кутежа.
Поэтому, даже согласно нашим скромным критериям – действительный SSL-сретификат, поддержка TLS 1.2 и отказ от использования уязвимых или ненадежных криптоалгоритмов типа DH и RC4 – фактически HTTPS поддерживали только 2 сайта (напоминаю, из 85 обследованных).
Сегодня мы снова задались тем же вопросом, хотя и несколько ужесточив критерии, но даже при этом ситуация оказалась существенно лучше: 27 сайтов из 82 могут считаться реально поддерживающими HTTPS и еще 23 – условно поддерживают его. Условно в том смысле, что при определенных условиях, зависящих в большей степени от клиентской стороны: актуальная версия браузера, сконфигурирована по уму, ручками указали HTTPS – соединение защищено, не обеспечили чего-то из перечисленного – depends on.
Еще 8 сайтов лишь имитируют поддержку HTTPS (все то же разгильдяйство): самоподписанные (Пробирная палата) и кривые (Минобороны и ФАДН) SSL-сертификаты, уязвимые шифронаборы (Минэкономразвития), кое-где до сих пор не слышали об обновлениях софта и их веб-сервера светят в Сеть приветливыми баннерами «We have ROBOT & POODLE!» (Минстрой, Росреестр, Росфинмониторинг и Роснедра).
Оставшиеся 24 сайта, начиная с президентского и заканчивая ЦИКовским, поступили еще проще: нет HTTPS – нет проблемы. СВР – зачем нам защищенное соединение? ФСБ – сообщайте о подготовке теракта по HTTP! ФСО – нам нечего скрывать, вам – тоже. Мы точно не знаем, конечно, но, видимо, какая-то такая логика: чай не сайт банка и не ВКонтагтег какой-нибудь, можно и без защищенного соединения обойтись.
В общем, все то, что сегодня за несколько тысяч рублей в год обеспечивает любой мало-мальски приличный виртуальный хостинг: нормальный SSL-сертификат от Let's Encrypt, актуальная версия веб-сервера и криптографических библиотек с настройками по уму, большинству российских органов власти до сих пор недоступно. Зато у каждого, поди, есть какой-нибудь подведомственный ГИВЦ с соответствующим штатом и бюджетом…
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность] Прочитай и сделай: проводим сканирование сети самостоятельно
- [Информационная безопасность] В даркнет утекла база данных проголосовавших по поправкам в Конституцию на 1,1 миллиона записей
- [VueJS, Разработка веб-сайтов] Переключение шаблона страниц во vuejs
- [Информационная безопасность, IT-компании] BleepingComputer: Garmin получила ключ для расшифровки файлов после атаки вируса-вымогателя WastedLocker
- [Информационная безопасность, Системное администрирование, IT-инфраструктура, Софт] Включаем сбор событий о запуске подозрительных процессов в Windows и выявляем угрозы при помощи Quest InTrust
- [Информационная безопасность, Законодательство в IT] У австралийских спецслужб ушло пять лет на взлом BlackBerry наркоторговца
- [Информационная безопасность] Security Week 32: уязвимость в GRUB2
- [Информационная безопасность, Алгоритмы, Математика, Научно-популярное, Биотехнологии] Сознание и мозг
- [Информационная безопасность, Разработка веб-сайтов, ВКонтакте API, Конференции, Дизайн игр] 27 августа приглашаем на онлайн-митап Hot Frontend
- [Информационная безопасность, Реверс-инжиниринг] Руткиты на основе BIOS. Часть 1 (перевод)
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_sajt (сайт), #_https, #_ssl_sertifikaty (ssl сертификаты), #_poodle, #_cve20162107, #_robot, #_tls, #_gosudarstvennye_organy (государственные органы), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:30
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
В 2016 году мы задались вопросом: сколько сайтов федеральных органов власти поддерживают HTTPS? Мы узнали, вы готовы? Фактически – 2 (прописью: два, Карл!) сайта из 85. Формально – 32 поддерживали, т.е. на серверах был включен HTTPS, но дальше все упиралось в традиционное российское разгильдяйство: SSL-сертификат просрочен, самоподписан или вообще от другого сайта, соединение по HTTPS автоматически переключается на HTTP или переадресуется в админку сайта, веб-сервер уязвим к ROBOT, POODLE и прочим излишествам нехорошим, HTTPS-подключение только по SSL и прочий чад кутежа. Поэтому, даже согласно нашим скромным критериям – действительный SSL-сретификат, поддержка TLS 1.2 и отказ от использования уязвимых или ненадежных криптоалгоритмов типа DH и RC4 – фактически HTTPS поддерживали только 2 сайта (напоминаю, из 85 обследованных). Сегодня мы снова задались тем же вопросом, хотя и несколько ужесточив критерии, но даже при этом ситуация оказалась существенно лучше: 27 сайтов из 82 могут считаться реально поддерживающими HTTPS и еще 23 – условно поддерживают его. Условно в том смысле, что при определенных условиях, зависящих в большей степени от клиентской стороны: актуальная версия браузера, сконфигурирована по уму, ручками указали HTTPS – соединение защищено, не обеспечили чего-то из перечисленного – depends on. Еще 8 сайтов лишь имитируют поддержку HTTPS (все то же разгильдяйство): самоподписанные (Пробирная палата) и кривые (Минобороны и ФАДН) SSL-сертификаты, уязвимые шифронаборы (Минэкономразвития), кое-где до сих пор не слышали об обновлениях софта и их веб-сервера светят в Сеть приветливыми баннерами «We have ROBOT & POODLE!» (Минстрой, Росреестр, Росфинмониторинг и Роснедра). Оставшиеся 24 сайта, начиная с президентского и заканчивая ЦИКовским, поступили еще проще: нет HTTPS – нет проблемы. СВР – зачем нам защищенное соединение? ФСБ – сообщайте о подготовке теракта по HTTP! ФСО – нам нечего скрывать, вам – тоже. Мы точно не знаем, конечно, но, видимо, какая-то такая логика: чай не сайт банка и не ВКонтагтег какой-нибудь, можно и без защищенного соединения обойтись. В общем, все то, что сегодня за несколько тысяч рублей в год обеспечивает любой мало-мальски приличный виртуальный хостинг: нормальный SSL-сертификат от Let's Encrypt, актуальная версия веб-сервера и криптографических библиотек с настройками по уму, большинству российских органов власти до сих пор недоступно. Зато у каждого, поди, есть какой-нибудь подведомственный ГИВЦ с соответствующим штатом и бюджетом… =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:30
Часовой пояс: UTC + 5