Сайты российских органов власти федерального уровня плохо защищены от XSS-уязвимостей и передают данные о посетителях третьим лицам. В 59% случаев эти сторонние ресурсы контролируются иностранными организациями. Каждый из 82 госсайтов, согласно данным мониторинга МОО «Информация для всех», в среднем загружает ресурсы с четырех посторонних сайтов.
Не защита, а решето
Специалисты Общественного движения «Информация для всех» провели мониторинг российских госсайтов и обнаружили, что ресурсы федеральных органов власти и регуляторов плохо защищены от XSS-уязвимостей и стороннего кода.
В своем отчете «Российские госсайты: посторонним вход разрешен» исследователи пишут, что большая часть российских госсайтов делится данными о своих посетителях с посторонними и беспечно относится к наличию чужих ресурсов на своих страницах.
Каждый исследованный сайт в среднем загружает ресурсы с четырех посторонних сайтов, и только восемь исследованных сайтов ничего с посторонних сайтов не загружают. 59% госсайтов загружают сторонние ресурсы с сайтов иностранных организаций.
XSS (cross-site scripting,«межсайтовый скриптинг») – тип атаки на веб-системы, при которой вредоносный код может быть внедрен на выдаваемую поиском страницу сайта.
Исследователи провели мониторинг 82 сайтов, причем 78 из них принадлежали федеральным органам законодательной, исполнительной и судебной власти, а четыре – государственным органов с особым статусом: Генеральной прокуратуре, Счетной палате, Центральной избирательной комиссии и Центральному банку.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Сайт Правительства России «Информация для всех» называет в числе самых защищенных
Загрузкой ресурсов со сторонних сайтов считалась загрузка, инициированная открытой в браузере страницей исследуемого сайта, без активных действий со стороны пользователя (листание страниц, движение мыши, использование клавиатуры активными действиями не считались).
Загружаемые ресурсы, могли сами загружать ресурсы с других сайтов. Например, видеоролик на сайте Росаккредитации, загружаемый с YouTube, автоматически тянет за собой ресурсы рекламной сети Doubleсlick.
На основании мониторинга аналитики составили «Индекс XSS-безопасности госсайтов», который в большей степени отражает масштабы утечки данных о посетителях сайтов к третьим лицам, чем вероятность стать жертвой XSS-атаки. Индекс рассчитывался по формуле: 100 – (Гс*5 + Дс*15), где Гс – количество государственных сайтов, а Дс – количество остальных сайтов, с которых загружаются сторонние ресурсы. При отрицательном значении Индекса, он принимался равным нулю.
Согласно итогам исследования, самыми защищенными сайтами (индекс 100), с которых пользователи не переходят на сторонние ресурсы, являются сайты всего восьми ведомств: Конституционного суда, Министерства науки и высшего образования, Правительства, Президента, Службы внешней разведки, Совета федерации, Федеральной пробирной палаты и Федеральной службы безопасности.
Среди сайтов с нулевым индексом (наименее защищенных) – сайты Министерства культуры, Министерства промышленности и торговли, ФАС, Федерального архивного агентства, Министерства природных ресурсов и экологии, Минпросвещения, Федеральной службы по аккредитации, Федерального агентства лесного хозяйства, а также Федерального агентства по делам СНГ.
Что госсайты подгружают чаще всего
Самыми популярными загружаемыми ресурсами у 55 госсайтов стали различные ресурсы «Яндекса». Например, с сайта Минкомсвязи (digital.gov.ru) пользователи свободно загружают yandex.net, yandex.ru, yastatic.net, а также sputnik.ru.
Код аналитической системы «Спутник» популярен в целом у 43 госсайтов. Ресурсы Google используют 42 госсайта, код АИС «Мониторинг госсайтов» («Госмонитор») – 40 сайтов), а системы мониторинга «Битрикс» – 15 сайтов.
Наиболее популярными источниками сторонних ресурсов среди госсайтов являются «Госмонитор» (40 сайтов), «Ваш контроль» (восемь сайтов) и «Госуслуги» (семь сайтов).
Наиболее популярные негосударственные источники – «Яндекс» (55 сайтов), «Спутник» (43 сайта), Google (42 сайта), «Битрикс» (15 сайтов), Mail.ru Group (девять сайтов), Cloudflare (семь сайтов) и «Рамблер» (семь сайтов).
Самые популярные счетчики и коды
Наиболее популярные на госсайтах счетчики посетителей и системы веб-аналитики – «Яндекс.Метрика» (52 сайта), «Спутник» (43 сайта), «Госмонитор» (40 сайтов) и Google Analytics (20 сайтов). Из кодов «Яндекса», кроме системы аналитики «Яндекс.Метрика» (используется на 52 госсайтах), на 55 госсайтов были обнаружены коды сервисов «Информер», «Яндекс.Карты» и «Яндекс.Браузер».
При проведении мониторинга авторам была доступна также статистика посещений АИС «Мониторинг госсайтов» с 53 сайтов федеральных органов исполнительной власти. Лишь на 40 из сайтов удалось обнаружить код счетчика этой АИС. Сама АИС «Мониторинг госсайтов» в разное время использовала ресурсы «Яндекс.Метрики», Google Analytics и Piwik (Matomo Analytics).
Хотя некоторые госслужащие активно пользуется на работе социальными сетями, но таких немного. Из всех существующих социальных сетей свои виджеты на госсайтах удалось разместить лишь Facebook (три сайта), «Вконтакте» (два сайта) и Twitter (два сайта).
Особенно отличилась Google, которая бесплатно предлагает встроить на сайт коды самых разнообразных сервисов: коллекции шрифтов, CAPTCHA, YouTube, Google Analytics, Google Maps, Google Translate и т.д. Код самой системы сбора данных о посетителях – Google Analytics присутствует на 20 госсайтах, но вместе с кодом других сервисов Google – уже на 42.
На сайтах Главного управления специальных программ Президента и Росархива установлен код счетчика OpenStat. Всего на сайте Росархива установлено шесть счетчиков, а на сайте Минпромторга – семь.
Некоторые подробности методики исследования
Общественное движение «Информация для всех», чей Экспертный совет возглавляет Владимир Исаков, завкафедрой теории права и сравнительного правоведения ВШЭ, для исследования использовало инструмент «Монитор сетевой активности» браузера Mozilla Firefox и анализатора трафика DNS Query Sniffer. Изучались HTTP(S)-соединения, которые устанавливаются главными страницами сайтов при их загрузке в браузере посетителя. Признаком успешной и полной загрузки страницы считался ответ HTTP-сервера с кодом 200.
В том случае, если при обращении к сайту происходила автоматическая переадресация, учитывались только соединения, установленные с последней открытой страницей. Загружаемые со сторонних сайтов ресурсы, могли в свою очередь загружать новые ресурсы с других сайтов. Например, видеоролик на сайте Росаккредитации, загружаемый с YouTube, автоматически тянет за собой ресурсы рекламной сети Doubleсlick.
Загрузкой ресурсов со сторонних сайтов считалось загрузка, инициированная открытой в браузере страницей исследуемого сайта, без каких-либо активных действий со стороны пользователя.
Что изменилось за пять лет
Аналогичный мониторинг проводился специалистами МОО «Информация для всех» в 2015 г. и тогда показал, что 92% сайтов федеральных органов власти и регуляторов включают сторонний код из неконтролируемых администраторами этих сайтов источников. 85% госсайтов делились информацией о посетителях, структуре с российскими коммерческими компаниями, а 64% сайтов загружали код из источников, контролируемых зарубежными компаниями, в основном – Google.
Тогда был составлен первый «Индекс XSS-безопасности госсайтов». Только семь из них набрали максимальные 100 баллов, тогда как почти половина сайтов – от 0 до 50. Это свидетельствовало об уязвимости большинства российских госсайтов к межсайтовому скриптингу, а также об утечке данных об их посетителях к посторонним.
Таким образом, за 5 лет количество госсайтов, которые не загружают посторонние ресурсы, почти не изменилось: выросло с 7 (8%) до 8 (10%). Также немного сократилось количество источников загрузки сторонних ресурсов – с 55 до 52 – и лиц, контролирующих эти источники – с 40 до 37. Кроме того, по наблюдениям аналитиков, снизилось разнообразие различных счетчиков: администраторы госсайтов стали более сдержанными в установке виджетов социальных сетей, информеров и прочего визуального мусора, однако на смену пришли чат-боты, имитирующие живой диалог «службы поддержки» с посетителями сайта. Принципиально, по мнению аналитиков, ситуация не изменилась. Большая часть госсайтов продолжает делиться данными посетителей с посторонними, а также совершенно спокойно относится к наличию чужого кода на своих страницах.
CNews писал, что в 2015 г. Федеральная служба по техническому и экспертному контролю (ФСТЭК)
Для просмотра ссылки необходимо нажать
Вход или Регистрация
также уязвимость персональных данных и текстов обращений граждан, которые направляются в госорганы через официальные сайты.