Социальные сети оказались безопаснее порталов государственных услуг

Мы протестировали порталы государственных услуг по новым методикам, оценивающим надежность HTTPS-соединения с ними и уровень защиты от XSS, а также сравнили их с сайтами соцсетей, банка, транспортных и сервисных компаний. Результат в чем-то предсказуемый (с безопасностью электронных госуслуг все плохо), а в чем-то нет (у большинства сайтов из «контрольной группы» дела не лучше), но давайте обо всем по порядку.

Итак, мы исследовали три портала госуслуг – общероссийский, московский и подмосковный – по новым методикам расчета Индекса надежности HTTPS и Индекса защищенности от XSS, придуманным для проекта «Монитор госсайтов».

Исследовались не только основные хосты порталов, а целые «пулы» хостов, т.е. все обнаруженные хосты, с которых эти порталы загружают ресурсы в процессе получения гражданами электронной госуслуги: www.gosuslugi.ru, oplata.gosuslugi.ru, lk.gosuslugi.ru и т.д. Для сравнения мы также исследовали сайты «В контакте», «Одноклассники», «Сбербанк онлайн», личных кабинетов абонентов «Билайн», «Почты России», РЖД, «Аэрофлота» и портал авторизации в сервисах «Яндекса».

Результаты опубликованы в докладе «Порталы государственных услуг: мнимая защищенность», название которого достаточно красноречиво: Индекс надежности HTTPS подмосковного портала госуслуг составил 37 баллов, всероссийского – 12, а московского – 11 из 108 возможных.

Эти баллы складывались из самозаверенного TLS-сертификата контролера входящего трафика Ingress Controller, выставленного в Сеть как сертификат веб-сайта, поддержки в 2021 году протокола SSL, незакрытых CVE-2014-3566 (POODLE), CVE-2016-2183/CVE-2016-6329 (SWEET32), CVE-2016-2107 (OpenSSL Padding Oracle) и прочих чудес на серверах, чье ПО не обновлялось годами, а настройки приличествуют скорее сайту пивной палатки, чем государственному порталу, обрабатывающему и хранящему личную, финансовую и иную чувствительную информацию миллионов россиян, «защищая» ее в том же 2021 году шифронабором TLS_RSA_WITH_3DES_EDE_CBC_SHA. Если кто не уловил сарказма, то все алгоритмы, используемые в этом шифронаборе, ненадежны либо уязвимы.

Для сравнения индекс сайта «Аэрофлота» составил 60 баллов, а социальных сетей «В контакте» и «Одноклассники» – 57 и 58 баллов соответственно. Красивая диаграмма с результатами прилагается:


Да, зрение вас не подводит: у «Сбербанк онлайн» один из худших рейтингов. Не верите – проверьте, ознакомьтесь с методикой, с пояснениями к ней, найдите изъяны, ткните в них носом – будем признательны и займемся доработкой.

Не лучшие результаты у порталов госуслуг и в Индексе защищенности от XSS: 0 баллов у всероссийского и по 10 баллов у московского и подмосковного. Среди сторонних ресурсов, загружаемых на эти порталы – карты, «бесплатные» библиотеки, шрифты, системы аналитики и далее со всеми остановками из стандартного набора начинающего веб-разработчика с бюджетом в 5000 рублей. Оригинальностью отличился лишь московский портал, подгружающий своим посетителям ресурсы рекламной сети AdFox.

В контрольной группе снова лидируют порталы социальных сетей, хотя и их результат нельзя назвать выдающимся. Сайт РЖД, как и всероссийский портал госуслуг, рейтинга вообще не получил, т.к. не соответствует ни одному критерию, принимаемому в расчет при его составлении. Впрочем, «Одноклассники» оказались буквально в одном шаге (вернее, балле) от более высокой «лиги».

Снова слайды диаграмма:


И тут, кроме традиционной дискуссии о том, зачем корпорациям лучезарного бобра стремиться пролезть на каждый сайт в Интернете – из альтруистической заботы о всеобщем благе или корыстного желания контролировать все и вся особенно финансовые потоки – возникает не менее интересная тема: как наличие стороннего контента на порталах госуслуг сочетается с требованиями Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»?

Ну вот все эти запреты использовать информационные системы, размещенные за пределами Российской Федерации, предоставлять удаленный доступ к используемым программным средствам посторонним лицам и передавать им информацию, включая «телеметрию» – принимаются в расчет только при распиле госзаказе и строительстве Великого Китайского Российского Чебурнета или всегда?

Вопрос, разумеется, не к хабровчанам, поэтому собираемся задать его ФСТЭК или ФСБ, если они не очень заняты придумыванием очередного убедительного объяснения, как закалялась сталь куда делись таблицы подстановки «Кузнечика».