Социальные сети оказались безопаснее порталов государственных услуг


    Мы протестировали порталы государственных услуг по новым методикам, оценивающим надежность HTTPS-соединения с ними и уровень защиты от XSS, а также сравнили их с сайтами соцсетей, банка, транспортных и сервисных компаний. Результат в чем-то предсказуемый (с безопасностью электронных госуслуг все плохо), а в чем-то нет (у большинства сайтов из «контрольной группы» дела не лучше), но давайте обо всем по порядку.

    Итак, мы исследовали три портала госуслуг – общероссийский, московский и подмосковный – по новым методикам расчета Индекса надежности HTTPS и Индекса защищенности от XSS, придуманным для проекта «Монитор госсайтов».

    Исследовались не только основные хосты порталов, а целые «пулы» хостов, т.е. все обнаруженные хосты, с которых эти порталы загружают ресурсы в процессе получения гражданами электронной госуслуги: www.gosuslugi.ru, oplata.gosuslugi.ru, lk.gosuslugi.ru и т.д. Для сравнения мы также исследовали сайты «В контакте», «Одноклассники», «Сбербанк онлайн», личных кабинетов абонентов «Билайн», «Почты России», РЖД, «Аэрофлота» и портал авторизации в сервисах «Яндекса».

    Результаты опубликованы в докладе «Порталы государственных услуг: мнимая защищенность», название которого достаточно красноречиво: Индекс надежности HTTPS подмосковного портала госуслуг составил 37 баллов, всероссийского – 12, а московского – 11 из 108 возможных.

    Эти баллы складывались из самозаверенного TLS-сертификата контролера входящего трафика Ingress Controller, выставленного в Сеть как сертификат веб-сайта, поддержки в 2021 году протокола SSL, незакрытых CVE-2014-3566 (POODLE), CVE-2016-2183/CVE-2016-6329 (SWEET32), CVE-2016-2107 (OpenSSL Padding Oracle) и прочих чудес на серверах, чье ПО не обновлялось годами, а настройки приличествуют скорее сайту пивной палатки, чем государственному порталу, обрабатывающему и хранящему личную, финансовую и иную чувствительную информацию миллионов россиян, «защищая» ее в том же 2021 году шифронабором TLS_RSA_WITH_3DES_EDE_CBC_SHA. Если кто не уловил сарказма, то все алгоритмы, используемые в этом шифронаборе, ненадежны либо уязвимы.

    Для сравнения индекс сайта «Аэрофлота» составил 60 баллов, а социальных сетей «В контакте» и «Одноклассники» – 57 и 58 баллов соответственно. Красивая диаграмма с результатами прилагается:


    Да, зрение вас не подводит: у «Сбербанк онлайн» один из худших рейтингов. Не верите – проверьте, ознакомьтесь с методикой, с пояснениями к ней, найдите изъяны, ткните в них носом – будем признательны и займемся доработкой.

    Не лучшие результаты у порталов госуслуг и в Индексе защищенности от XSS: 0 баллов у всероссийского и по 10 баллов у московского и подмосковного. Среди сторонних ресурсов, загружаемых на эти порталы – карты, «бесплатные» библиотеки, шрифты, системы аналитики и далее со всеми остановками из стандартного набора начинающего веб-разработчика с бюджетом в 5000 рублей. Оригинальностью отличился лишь московский портал, подгружающий своим посетителям ресурсы рекламной сети AdFox.

    В контрольной группе снова лидируют порталы социальных сетей, хотя и их результат нельзя назвать выдающимся. Сайт РЖД, как и всероссийский портал госуслуг, рейтинга вообще не получил, т.к. не соответствует ни одному критерию, принимаемому в расчет при его составлении. Впрочем, «Одноклассники» оказались буквально в одном шаге (вернее, балле) от более высокой «лиги».

    Снова слайды диаграмма:


    И тут, кроме традиционной дискуссии о том, зачем корпорациям лучезарного бобра стремиться пролезть на каждый сайт в Интернете – из альтруистической заботы о всеобщем благе или корыстного желания контролировать все и вся особенно финансовые потоки – возникает не менее интересная тема: как наличие стороннего контента на порталах госуслуг сочетается с требованиями Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»?

    Ну вот все эти запреты использовать информационные системы, размещенные за пределами Российской Федерации, предоставлять удаленный доступ к используемым программным средствам посторонним лицам и передавать им информацию, включая «телеметрию» – принимаются в расчет только при распиле госзаказе и строительстве Великого Китайского Российского Чебурнета или всегда?

    Вопрос, разумеется, не к хабровчанам, поэтому собираемся задать его ФСТЭК или ФСБ, если они не очень заняты придумыванием очередного убедительного объяснения, как закалялась сталь куда делись таблицы подстановки «Кузнечика».

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 27

      +3

      https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html
      OWASP считает что X-XSS-Protection включать не стоит. У вас написано что «считается что стоит». Кем считается?

        –5
        Раз у нас написано, логично предположить, что нами и считается.
          +5
          Мне кажется это неконструктивный подход, поскольку фактически вы предлагаете положиться на ваш экспертный опыт, который как минимум для меня, по сравнению с OWASP, ничем не подтверждён.
          Я согласен с вашей оценкой состояния безопасности указанных сайтов, но подтверждение вашей методики способом «нами считается» без обоснования, ссылок на литературу и на какой-бы то ни было источник консенсуса по этому вопросу это неспортивно =)
            –3
            Я лично предлагаю положиться на вполне себе документированный производителями браузеров механизм XSS-фильтрации. Тогда как OWASP по приведенной Вами ссылке никак не обосновывает свою рекомендацию отключать этот фильтр.
              +2
              К соажлению, вы вероятно прочитали статью недостаточно внимательно.
              Посмотрите пожалуйста текст в разделе cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html#x-xss-protection-header:
              Check the below references for a better understanding on this topic:

              Google Chrome’s XSS Auditor goes back to filter mode
              Chrome removed the XSS Auditor
              Firefox does not implement the XSSAuditor
              Edge retired their XSS filter
              OWASP ZAP deprecated the scan for the header
              SecurityHeaders.com no longer scans for the header


              Фактически, кроме [Mobile] Safari ни один актуальный браузер на текущий момент не реализует XSS Auditor, а поддержка его в Safari основана на технологиях, которые были актуальны в 2016 году. У меня под рукой нет PoC, который бы сработал на off-the-shelf Safari в iOS 14, но я думаю что если попросить мнения у признанных экспертов в этой области, можно выяснить.
              Контактами, увы, не помогу, сейчас некогда искать.
                –1
                Прочитал, и ссылки смотрел — ничего нового для себя не увидел. Ну да, XSS Auditor не идеален, CSP лучше, давайте все перейдем на CSP (давайте, мы об этом и пишем) и отключим XSS Auditor. А вот это-то зачем? Сколько я курил эту тему, XSS Auditor может не сработать, а не может создать условия для дополнительного вектора атаки. Т.е. он deprecated, как и было сказано, а не vulnerable.
      +4
      На своём примере, как муниципальный служащий, могу сказать что это вот всё непонятно большому и дорогооплачиваемому начальству. Кнопочки другой формы/цвета, дизайн — это понятно. А вот те буквы что вы написали непонятны. И это принципиальная проблема всякой деиндустриализированной страны. Решение предложили 103 года назад. Но вангую, что сейчас набегут и заминусят.
        +1
        Просто излагать надо так, чтобы было понять и начальству. С примерами конкретными, с объяснениями чем всё это грозит в одной статье. Сарказм начальство не понимает. Тыкать в ссылки не будет. В целом, для людей не в теме, статья выглядит как вброс.
          –5
          В целом, для людей не в теме, статья выглядит как вброс.

          В хабе «Информационная безопасность»? ;)
            0
            <сарказм>
            А чем это грозит?
            Если бы это был портал частной фирмы — то грозило бы потерей клиентов, репутации, судом и тюрьмой.
            Но это государственный портал — поэтому ему это ничем не грозит.
            </сарказм>
            –1

            103 года назад (в 1917) случился кровавый переворот, ослабление производственных (заводовладельцы знали, как правильно производить), аграрных (кулаки выращивали урожай лучше прочих) и культурных (грамотные умели проектировать, рекламировать и изобретать продукцию) сил страны.
            Хотите ощутить на себе? Езжайте в любую бунтующую африканскую страну — там полно дикости и бандитизма.
            А меня устроит эволюция страны.
            Грамотность начальников вырастет, если на них массово в суд подавать за каждую ошибку.

              0

              Кровавый?
              Что Февральская, что Октябрьская революция проходили максимально быстро и что удивительно практически бескровно. Почему то никому не хотелось ни помирать, ни убивать.

                0
                Зато потом была гражданская война…
                0
                в суд подавать за каждую ошибку

                Это требует наличие судебной системы и государства
                К сожалению, у нас нет ни того, ни другого.
              0
              Существуют-ли онлайн сервисы для проверок сайта на соответствие всему вышесказанному в статье?
                +1
                Полно, например:
                www.ssllabs.com/ssltest
                securityheaders.com
                  0
                  Спасибо. Пошёл тестировать свои проекты :)
                    0

                    Мне кажется что если по теме статьи то больше подойдёт:


                    https://www.immuniweb.com/websec/?id=bPPo3M4Z


                    и


                    https://www.immuniweb.com/ssl/?id=mr7ExbBc

                      0
                      Те же яйца, вид сбоку, хотя Immuniweb тестирует еще наличие EMS, но вот результаты теста сертификатов у него менее наглядные ИМХО. Надо смотреть все существующие и выбирать под себя, не говоря уже о том, что результаты могут отличаться и полезно узнать «разное мнение». Кстати, крутой рейт у сайта ;) но оставлять только TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 — смелое решение, отсекающее часть старых клиентов.
                  0
                  Делали ли Вы Poc для указанных уязвимостей? (CVE-2014-3566 (POODLE), CVE-2016-2183/CVE-2016-6329 (SWEET32), CVE-2016-2107 (OpenSSL Padding Oracle))

                  Много ли примеров в личной практике Вы встречали где такие атаки реализуемы, с техническим подтверждением?
                    –1
                    1. Нет, это незаконно.
                    2. Означает ли это, что и не стоит тратить время на их закрытие (выполняемое обновлением серверного ПО хотя бы раз в год и документированными настройками в 1 строку)?
                      0
                      1. Если вы будет проверять на своем персональном аккаунте, какую статью УК РФ вы нарушите и в чем будет преступный умысел?

                      2. Не означает что не нужно обновлять ПО, но Вы не ответили на вопрос.
                        –1
                        Ст.272 УК РФ, диспозиция которой не упоминает умысел, а основывается исключительно на последствиях.
                          +2
                          Интересные последствия, что Вы получили доступ к своим же данным. И все так же убегаете от ответа :)
                            –1
                            Где Вы видели слово «данные» в ст.272? Там говорится о «компьютерной информации». Проэксплуатировали уязвимость — получили неправомерный доступ. Вызвали, скажем, понижение версии протокола — модифицировали информацию. Получили после этого ответ сервера — еще и скопировали информацию. 272-я статья так и работает. А тут еще и тот редкий случай, когда и 274-я может довеском прилететь.

                            Простите, вопрос какой был? Много ли на личной практике сталкивался? Ни разу. Я думал, это риторический вопрос.

                  Only users with full accounts can post comments. Log in, please.