[Блог Правда]
Единственный урок, который можно извлечь из истории, состоит в том, что люди не извлекают из истории никаких уроков, - Ирландский драматург и романист Джордж Бернард Шоу (1856-1950).

8 причин отказаться от использования портала "Госуслуги".
Суббота, 25-Декабрь-2021. Курск.

1. Портал "Госуслуги" активно использует JavaScript.

JavaScript - сценарий для придания интерактивности веб-страницам,- фактически чужой не доверенный код, исполняемый на ПК посетителя (далее для краткости - JavaScript).

В процессе обращения к страницам портала "Госуслуги" ПА (браузер) загружает со сторонних ресурсов mc.yandex.ru и stat.sputnik.ru, затем выполняет JavaScript код, содержащийся в файлах https://mc.yandex.ru/metrika/tag.js и http://stat.sputnik.ru/cnt.js. Такое поведение ПА обусловлено инициативой оператора портала "Госуслуги" в лице Минцифры, поместившего в HTML код ссылки на названные сторонние ресурсы. Факт иллюстрируется скриншотами.

mc.yandex.ru stat.sputnik.ru

Страница Яндекса. По информации Яндекса, tag.js - JavaScript-библиотека, отвечающая за работу счетчика. Из этого следует, что загруженный JavaScript напрочь лишён полезных посетителю функций, но призван обеспечивать сбор информации о посетителе, используя на безвозмездной основе для этого вычислительные ресурсы принадлежащего посетителю оборудования и электроэнергию.

/!\ Сбор информации о посетителях, обычно, объясняется всегда и всеми намерением улучшить сервис. Однако, работа в направлении улучшения всегда идёт не прозрачно, если вообще идёт. Невозможно найти отчёты о поставленных целях, проделанной работе, достигнутых результатах в улучшении сервиса и роли в этом собранной информации. На этих основаниях я подвергаю сомнению правдоподобность названного дежурного объяснения для сбора информации и посетителях.

Состоятельное объяснение тяготению владельцев вэб-сервисов к JavaScript дали Адам Бэк (британский криптограф и шифропанк), Ян Голдберг (председатель кафедры исследований в области технологий повышения конфиденциальности и профессор школы компьютерных наук Университета Ватерлоо в Канаде), Адам Шостак (ведущий эксперт по моделированию угроз) в своём совместном аналитическом материале под заголовком "Freedom 2.1 Security Issues and Analysis". Цитирую релевантный фрагмент на языке оригинала:

Freedom 2.1 Security Issues and Analysis.

A web site operator can offer cookies, and send you "active content" to try to track you.

Many web sites will use various forms of encouragement to get personal information about you, such as asking for your ZIP code for weather reports, and then share that information with their advertising networks. The advertising network, by placing ads on many sites, is able to gather a large profile of you.

Web sites can also use ActiveX, Javascript, and other languages to cause your computer to send information to the site. This behavior is more unusual than gathering profiles through cookies.

ActiveX, Javascript, VBScript, Java, and other executable content can allow an attacker to find information about you. There have been problems demonstrated with all of these systems. We expect that there will be more problems. We do not believe that it is possible to effectively filter them, and suggest that you turn them off. Anyone who runs a web site can exploit this problem.

Freedom 2.1 Security Issues and Analysis
Adam Back, Ian Goldberg, Adam Shostack
Zero-Knowledge Systems, Inc.

Конец цитаты. Коротко говоря, смыслом навязывания JavaScrit является сбор избыточной информации владельцем вэб-ресурса о посетителях. Разумеется, в том нет интереса посетителей. Уважаемые авторы рекомендуют пользователям предотвращать исполнение JavaScript так как, по их мнению, невозможно эффективно фильтровать исполняемый контент.

В HTML коде страницы портала "Госуслуги" содержится ссылка на ещё один загружаемый сторонний скрипт - https://gu-st.ru/st/js/bundle-460dfe24f4.min.js, который, предположительно, вновь инициирует загрузку и выполнение упомянутого tag.js и ещё шести скриптов. Цель выполнения последних не заявлена, но подсказку можно обнаружить в именах двух из них: https://gu-st.ru/st/js/events/smartbanner-a7f80b95d2.js, https://gu-st.ru/st/js/events/searchSputnik-491f79d7a1.js. Вероятно, удалённая сторона признала во мне большого поклонника поискового сервиса "Спутник" и восторженного созерцателя баннеров. Крайне сомнительная цель исполнения чужого не доверенного кода и эксплуатации вычислительных ресурсов принадлежащего мне устройства.

Практика навязывания посетителю загрузки и исполнения чужого не доверенного программного кода привносит потенциальный риск вирусного заражения ПК и/иили эксплуатации уязвимостей в программном или аппаратном обеспечении посетителя. Результатом этого может стать, например, утечка чувствительных данных, что реализуется описанными ниже средствами.

  1. Эксплуатация уязвимости.

    Google продемонстрировал эксплуатацию уязвимостей Spectre через выполнение JavaScript в браузере.

    Компания Google опубликовала несколько прототипов эксплоитов, показывающих возможность эксплуатации уязвимостей класса Spectre при выполнении JavaScript-кода в браузере в обход ранее добавленных методов защиты. Эксплоиты могут использоваться для получения доступа к памяти процесса, выполняющего обработку web-контента в текущей вкладке. Для тестирования работы эксплоита запущен сайт leaky.page, а код с описанием логики работа размещён на GitHub.

    opennet.ru

    Новая техника эксплуатации уязвимостей класса Spectre в Chrome.

    Группа исследователей из американских, австралийских и израильских университетов предложила новую технику атаки по сторонним каналам для эксплуатации уязвимостей класса Spectre в браузерах на базе движка Chromium. Атака, которая получила кодовое имя Spook.js, позволяет через запуск JavaScript-кода обойти механизм изоляции сайтов и прочитать содержимое всего адресного пространства текущего процесса, т.е. получить доступ к данным страниц, запущенных в других вкладках, но обрабатываемых в одном процессе.

    Метод позволяет со страницы, в которую атакующий имеет возможность встроить свой JavaScript-код, определить наличие других открытых пользователем страниц с того же сайта и извлечь из них конфиденциальную информацию, например, учётные данные или банковские реквизиты, подставленные системой автозаполнения полей в web-формах.

    Другим вариантом применения метода является атака на браузерные дополнения, позволяющая при установке дополнения, подконтрольного атакующим, извлечь данные из других дополнений. В качестве примера показано как установив вредоносное дополнение можно извлечь конфиденциальную информацию из менеджера паролей LastPass.

    opennet.ru
  2. Вирусная активность.

    По-информации bleepingcomputer.com и bugtraq.ru, разрешение на исполнение JavaScript было основным условием для заражения ПК вирусом Stegano. Для предотвращения раннего обнаружения злоумышленник скрыл с помощью стенографии тело вируса внутри PNG файла рекламного баннера. В роли загрузчика выступал идущий с баннером код на JavaScript, извлекающий из изображения значения и преобразующий их в символы атакующего скрипта.

Прецеденты.

Упреждая возражение вроде: На важном портале "Госуслуги" невозможны эксплойты и вирусная активность, я напомню о прецеденте 2012 года. При участии сетевых ресурсов именитых российских средств массовой информации "Интерфакс", "Вести", "Газета.ру", "Взгляд", "Ura.ru" распространялась программа-шпион. Это стало возможно в результате внедрения злоумышленником специального фрейма в HTML код сайтов. Фрейм содержал ссылку на сторонний сайт, откуда автоматически загружалась троянская программа. Семью месяцами ранее шумел скандал вокруг рекламных баннеров AdFox, содействовавших распространению троянской программы.

На страницах блога Касперского Андрей Махнутин выразил мнение о том, что: вредоносный код может ждать даже на, казалось бы, защищенном и проверенном ресурсе. В качестве примера он приводит случаи участия вэб-сайтов трёх неназванных российских банков в распространении вредоносного программного обеспечения.

На днях один из наших пользователей сообщил о подозрительной активности на сайте одного из российских банков. Сайт оказался заражен, а после небольшого расследования с использованием KSN выяснилось, что заражены были также сайты двух других банков, тоже российских. Во всех случаях на главной странице сайта был размещен сильно обфусцированный и зашифрованный скрипт, который скрытно направлял браузер на вредоносный сайт с эксплоитами.

Там же, в блоге Касперского, Брайн Донахью сообщил об обнаружении вредоносного ПО на вэб-сайте министерства труда США.

Стефан Ульрих кратко, но содержательно раскрыл тему потенциальных рисков, связанных с исполнением не доверенного JavaScript кода.

What are the exact security risks of having JavaScript enabled?

One risk are buggy implementations which can be used to crash the browser or execute code by using heap spraying attacks or similar. These can be kind of mitigated within modern browsers by using ASLR, DEP, sandboxes and similar techniques.

More interesting are attacks like Cross Site Scripting (XSS). These attacks can be used to steal authorization credentials (i.e. passwords) or hijack existing sessions. This way they can be used for identity theft or misuse. They work because the same browser is used for different web sites (i.e. banking and looking at cats) and this way it tears down security borders between these sites. Same Origin Policy is only of limited use in these cases.

A typical case of such attacks is the inclusion of third party scripts into a web site. This can be external Javascript libraries, tracking code like google analytics, buttons for social networks or advertisement. This included code is out of the control of the original web site but still has full access to the site inside the browser and can thus read information from it, fill in forms or read their content, navigate the user to different sites, press like buttons, inject advertisements or malware etc.

Apart from that Javascript can be used to fingerprint the browser in a more detailed way

security.stackexchange.com.

Для упреждения названных потенциальных рисков можно воспользоваться антивирусным ПО. Хотя, не факт, что это поможет в 100% случаев. Кроме того, антивирусное ПО ложится бременем на кошелёк посетителя, а резидентный компонент антивируса создаёт нагрузку на вычислительные ресурсы. На этом фоне запрет исполнения JavaScript в ПА выгодно отличается эффективностью, доступностью, производительностью, так как вступает в силу немедленно, исключает материальные расходы, кропотливую настройку ПО, нагрузку на вычислительные ресурсы.

Однако, поскольку функциональность портала находится в зависимости от JavaScript, то в результате применения названного запрета портал "Госуслуги" утратит свою функциональность у конкретного посетителя. В этом заключается дилемма: лучше получить Госуслугу в придачу с потенциальными рисками или оградить себя от потенциальных рисков ценой отказа от Госуслуги?

2. На портале "Госуслуги" с переменным успехом работает, так называемый, "чат" службы поддержки.
Так называемый чат

На скриншоте запечатлено пустое пространство вместо ожидаемых здесь перечня и/или содержания предыдущих обращений в службу поддержки.

Уместно заметить, что чат предполагает переписку в режиме реального времени. Однако, когда "чат" всё же работал, служба поддержки медленно реагировала на сообщения, вынуждая меня долго находится в ожидании реплики или вернуться за ней через сутки. Считаю, их "чат" не имеет права называться чатом.

3. Не эффективно организована обратная связь на портале "Госуслуги".

Это показал прецедент 2020 года, когда наблюдались сбои в работе портала. Одновременно с этим оказался недоступен "чат" службы поддержки. Телефон не обеспечивает передачу требуемого удалённой стороной файла скриншота, а, значит, мало способствует разрешению возникшего препятствия. Доставка упомянутого файла удалённой стороне посредством электронной почты тоже не увенчалась успехом, предположительно, из-за блокировки в РФ используемого мной почтового сервиса secmail.pro.

Преследуя одну простую цель - передать запрошенную удалённой стороной информацию, я потратил непродуктивно время на:
  • попытки воспользоваться "чатом" ;
  • два исходящих телефонных звонка в службу поддержки по одному и тому же поводу;
  • отправку файла по электронной почте и бессмысленное ожидание реплики.
4. Не доведена до ума интеграция ЕСИА со сторонней информационной системой.
Сверх быстрое устаревание страницы на Госуслугах.

Переход с портала trudvsem.ru (контролируемого Федеральной службой по труду и занятости) по гиперссылке на портал "Госуслуги" (контролируемого Министерством цифрового развития, связи и массовых коммуникаций) для аутентификации сопровождался сообщением об ошибке: Страница устарела.

"Устаревание" страницы случилось через 3 секунды после ввода учётных данных.

5. Не гарантирована доступность портала "Госуслуги".
Бесконечный цикл перенаправлений на Госуслугах.

Удалённая сторона иногда инициировала бесконечные циклы перенаправлений, что обуславливало исчерпание лимитов перенаправлений и, в конечном итоге, недоступность портала. Скриншот иллюстрирует описанную проблему.

6. Функциональность портала "Госуслуги" оставляет желать лучшего.

Портал содержит недействительные гиперссылки. В результате несколько разделов портала оказались недоступны. Факты на скриншотах.

Раздел "Обзор".

Переход в раздел Обзор. Неверный адрес страницы.

Раздел "Документы и данные".

Переход в раздел Документы и данные. Неверный адрес страницы.

Раздел "Госпочта".

Переход в раздел Госпочта. Неверный адрес страницы.

Раздел "Согласия".

Переход в раздел Согласия. Неверный адрес страницы.
7. Портал "Госуслуги" навязывает посетителю избыточное действие под абсурдным предлогом.
Избыточное действие.

На скриншоте видно всплывающее окно, которым временно заблокирован весь функционал портала "Госуслуги" с целью добиться от посетителя указания своего местоположения. Я намеревался почитать FAQ, а не получать какие-либо услуги. Следовательно, навязываемое действие является избыточным, а обоснование - несостоятельным и абсурдным, если только оператор имеет целью локализовать всех читателей FAQ, что, опять-таки, лишено рационального объяснения.

8. Портал "Госуслуги" не соответствует стандартам.

При своей значительной стоимости (495 млн. рублей) портал обязан быть безупречным, но он провалил HTML и CSS валидацию. Скриншотами иллюстрируются обнаруженные валидатором W3 консорциума нарушения спецификаций.

Госуслуги провалил HTML валидацию. Госуслуги провалил CSS валидацию.

Я перечислил только самые очевидные недостатки портала "Госуслуги". Опубликованный Александром Литреевым материал под заголовком Внутренние документы портала ГосУслуги оказались в открытом доступе даёт основание усомниться в эффективной защите персональных данных (далее: ПД) пользователей. По-словам Литреева, из-за дыры в портале "Госуслуги" стала возможна утечка ПД должностных лиц, ответственных "за интеграцию в ведомствах и органах". Цитата:

Внутренние документы портала "ГосУслуги" оказались в открытом доступе.

Как известно, российские власти активно продвигают портал "ГосУслуги", на разработку которого было потрачено более 495 миллионов (полмиллиарда!) рублей.

К системе подключены практически все ведомства страны - в том числе, спецслужбы ФСБ, министерство обороны, МВД и другие.

Казалось бы, такой сервис должен быть надежно защищен, а информация о его внутренней работе должна быть крайне конфиденциальной и чувствительной

Естественно, работа с такой системой требует технической интеграции со стороны всех ведомств. В рамках таких интеграций пересылается конфиденциальная информация граждан РФ, вплоть до их номеров паспортов, истории отчислений в пенсионный фонд, информации о выездах за границу, семейном положении, месте проживания и так далее. Для такого взаимодействия был создан специальный портал с громким названием - Система Межведомственного Электронного Взаимодействия. Именно через него подключаются все региональные и федеральные органы.

Каково было же моё удивление, когда я узнал, что абсолютно ВСЯ база рабочих документов, касающихся интеграции лежит в открытом доступе, никак не зашифрована, не имеет никакой авторизации/аутентификации и, в принципе, скачать её может абсолютно кто угодно. Достаточно воспользоваться адресом: http://smev.gosuslugi.ru/portal/api/files/get/XXXXX

где XXXXX - порядковый номер документа в системе.

Естественно, не составляет никакого труда написать скрипт, который обеспечит перебор всех таких адресов и выгрузит все такие документы, что уже успели сделать энтузиасты из одного соседнего государства. Я тоже полюбопытствовал. Что же вы думаете я нашел?

Ну, например в открытом доступе лежит файл "МВ ответственные.xlsx", в котором содержится информация обо всех ответственных за интеграцию в ведомствах и органах лицах. В списках указаны их ФИО, должность, их как служебные, так и личные мобильные телефоны, адрес электронной почты для связи по вопросам интеграции.

Самое забавное, что оказывается, во многих ведомствах не особо пекутся о безопасности (вообще не пекутся). Так, например, не какой-нибудь там рядовой сотрудник ФСБ, а сам Руководитель подразделения межведомственного взаимодействия ФСБ Мелин Александр Васильевич использует (внимание) личную почту на Мейл.ру!

В открытом доступе полно и других документов, большую часть из них составляют руководства по выгрузке/загрузке данных из ГосУслуг. Так например, можно, выбрав случайное число, скачать документацию по взаимодействию СМЭВ у комитета по молодежной политике

В документах подробно описаны порядки составления запросов, их формат, информация о том, что и куда слать. Комитет по молодежной политике Свердловской области - это еще самое безобидное, что можно было найти. В открытом доступе лежат и аналогичные документы по ФСБ, МВД, Министерству Обороны и множеству других ведомств.

Вот так и получается, что нам с вами господин Клишас и Яровая втирают в десна свои небылицы про мифические угрозы из-за рубежа, в то время, когда важнейший государственный сервис выставляет чувствительную информацию в открытый общий доступ.

Удаление учётной записи на портале Госуслуги. Конец цитаты. На этих основаниях, считаю, нецелесообразно доверять мои ПД оператору ЕСИА в лице Минцифры. Описанные несовершенства портала "Госуслуги" привносят потенциальные риски, служат препятствием для достижения преследуемой цели, обуславливают непродуктивную трату ресурсов и времени на их преодоление. Сбор коммерческими организациями информации обо мне не отвечает моим интересам.

Я удалил мою учётную запись на портале "Госуслуги" и направил заявление No. 9282088e Министру цифрового развития Шадаеву М. И. об отзыве согласия на обработку ПД.

Министру цифрового развития, связи и массовых коммуникаций Российскойa Федерации
Шадаеву Максуту Игоревичу
123112, г. Москва, Пресненская наб., д.10, стр.2

03.03.2021 г., ID (No.) 9282088e

заявление.

Я удалил мою учётную запись на сетевом ресурсе gosuslugi.ru. На основании ст. 9 закона "О персональных данных" от 27.07.2006 152-ФЗ (далее закон 152-ФЗ) я отзываю своё согласие на обработку моих ПД.

После получения от гражданина отзыва его согласия на обработку ПД оператор в соответствии с ч. 5 ст. 21 закона 152-ФЗ обязан:
  • прекратить обработку ПД;
  • обеспечить прекращение обработки ПД третьими лицами, если уполномочивал;
  • уничтожить ПД и обеспечить их уничтожение третьими лицами.

Публикация. Подпись. Ключ.

#2020, #2021, #россия, #сеть, #конфиденциальность, #министерство, #министр, #заявление

[Оставить комментарий] [Инструкция] ID=3bc8f24d96e58f9856c6b280d699e250d1d4d5

#2014, #2015, #2016, #2017, #2018, #2019, #2020, #2021, #2022, #2023, #2024, #covid-19, #cypherpunk, #албания, #александровка, #банк, #беженец, #бездействие, #безопасность, #блог, #цифровизация, #цинизм, #деградация, #декларация, #дискриминация, #донецк, #достоинство, #дума, #енакиево, #ер, #еспч, #европа, #франция, #геноцид, #германия, #горловка, #губернатор, #ирвино, #испания, #капитализм, #кировск, #кировское, #коминтерново, #кондрашовка, #конфиденциальность, #конфликт, #конституция, #конвенция, #коррупция, #краматорск, #красноармейск, #красногоровка, #курск, #лдпр, #луганск, #макеевка, #мальта, #мариуполь, #министерство, #министр, #нарушение, #недоверие, #обсе, #оон, #пенсия, #первомайск, #почта, #председатель, #преступление, #президент, #прихоти, #произвол, #прокурор, #протест, #япония, #ясиноватая, #ясногорка, #референдум, #реклама, #ркн, #россия, #саудовскаяаравия, #сеть, #северодонецк, #славянск, #словакия, #снежное, #ссср, #стаханов, #суд, #суходольск, #сша, #тельманово, #украина, #уполномоченный, #жалоба, #важно, #великобритания, #воз, #заявление, #здравозахоронение, #зугрэс, #швейцария, #эквадор

При перепечатке - ссылка на [Блог Правда] обязательна. Безусловно запрещено использование контента настоящего сетевого ресурса: государственным организациям и аффилированным лицам; коммерческим организациям и аффилированным лицам; лицам и организациям, которые заняты разработкой/эксплуатацией искусственного интеллекта или содействуют такой разработке/эксплуатации; в коммерческих или маркетинговых целях; для извлечения материальной или любой иной выгоды. Объявленная воля автора не может быть умалена и/или отменена никем и ничем, ни под каким предлогом.