Госсайты остаются неконтролируемой мозаикой ресурсов
Только 15% госсайтов не загружали ресурсы со сторонних хостов, тогда как 26% загружали их с хостов, управляемых резидентами "недружественных" стран. В целом 81 сайт госорганов федерального уровня, которые охватило исследование в рамках проекта "Мониторинг госсайтов", бесконтрольную загружали ресурсы с 44 сторонних хостов, лишь 5 из которых контролируются государством.
Большинство современных сайтов представляют собой "мозаику", части которой – контент, элементы оформления, программный код – загружаются с разных хостов, в т.ч. неконтролируемых администратором сайта. Например, сайт Верховного суда собирается в браузере его посетителя из фрагментов, загружаемых с 4 хостов: supcourt.ru, , bitrix.info и mc.yandex.ru; половина этих хостов не контролируются Верховным судом или иным госорганом.
При подготовке доклада "" исследованию подвергся 81 сайт госорганов федерального уровня. Как оказалось, на них проходила бесконтрольная загрузка ресурсов с 44 сторонних хостов, лишь 5 из которых контролируются государством. Только 15% госсайтов не загружали ресурсы со сторонних хостов, тогда как 26% загружали их с хостов, управляемых резидентами "недружественных" стра", а сайт Минкультуры загружал код объявленной в России экстремистской соцсети Facebook.
Посетители госсайтов полагают, что загружают контент, исполняемый код и другие ресурсы с сайта, чей URL они указали в адресной строке браузера, но в большинстве случаев вместе с "государственными" контентом и ресурсами они загружают "довески" со сторонних хостов, – отметил координатор проекта "Монитор госсайтов" Евгений Альтовский.
Например, посетители сайта Минвостокразвития, вынуждены загружать ресурсы с 10 сторонних хостов, о 4 из которых знает администратор этого сайта, а еще о 6 – не подозревает даже он. Чем чревата бесконтрольная загрузка на сайт сторонних ресурсов, было наглядно продемонстрировано в марте 2022 года, когда в результате взлома администрируемого Минэкономразвития портала "Госмонитор" на десятки госсайтов вместо информационного "виджета" стали загружаться антивоенные прокламации. Что удивительно, даже по прошествии года код взломанного и позднее заброшенного его администратором портала по-прежнему загружается на официальные сайты Минтруда, Роснедр и ФСТЭК.
Результаты нового исследования показывают, что для осуществления подобных несанкционированных загрузок необязательно контролировать хост, откуда на госсайты загружаются сторонние ресурсы, достаточно перехватить и модифицировать соответствующим образом соединение госсайта с этим хостом, которое в большинстве случаев недостаточно защищено или не защищено вовсе.
Как отмечается в докладе, из 60 хостов, с которых загружают (или пытаются загрузить) ресурсы сайты госорганов, 1 хост не существует, 3 имеют недействительный TLS-сертификат, а каждый пятый имеет критические ошибки в настройках обслуживающего его веб-сервера, не позволяющие говорить о реальной защите соединения.
8 из 12 хостов, не обеспечивающих даже минимальную защиту соединения с ними, принадлежат компании "Яндекс" и имеют одну и ту же проблему: поддерживают уязвимый шифронабор TLS_RSA_WITH_RC4_128_SHA; половина из них также поддерживает протокол защиты SSL 3.0, Инженерным советом Интернета не рекомендуемым к использованию еще в 2015 году, а веб-сервера, обслуживающие хосты informer.yandex.ru и mc.yandex.ru, подвержены уязвимости POODLE, почти 10 лет назад.
Таким образом, сегодня перед администраторами российских сайтов может встать непростой выбор: использовать сторонние ресурсы от зарубежного производителя, уделяющего больше внимания безопасности, но при этом, возможно, столкнуться с его "недружественными" действиями, либо отдать предпочтение отечественному продукту с прилагающимся к нему уровнем безопасности, вернее ее имитации.
Предметом наших исследований обычно являются государственные сайты, однако обозначенным в настоящем докладе рискам одинаково подвержены любые сайты, которые бесконтрольно загружают ресурсы со сторонних хостов – как государственные, так и коммерческие, общественные или персональные, – подчеркнул Альтовский.
