Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Вести
18 май
2014
 
 

Естонската система за е-гласуване била уязвима за атаки

Международен научно-изследователски екип е открил несигурни оперативни процедури и фундаментални слабости в естонската интернет система за гласуване.

3169 прочитания, 11 коментара

Системата за електронно гласуване, която се ползва в Естония от 2005 г., не може да гарантира честни избори заради фундаментални слабости в сигурността и слаби оперативни процедури, твърди международен екип от изследвали на сигурността и интернет гласуванията.

Анализът на екипа, чийто членове са работили като наблюдатели по време на местните избори в Естония през 2013 г., разкриха, че умели хакери, като онези, които са наети от държава, може лесно да компрометират интегритета на системата за интернет гласуване на страната и да повлияят върху резултатите от изборите, често без да оставят следа.

Екипът е избрал да анализира естонската система, защото Естония отчита най-високото ниво на участие в интернет гласуването в света, над 21% от всички гласове по време на последните местни избори са били пуснати през електронната система за гласуване.

По време на наблюдателната мисия на местните избори и след внимателно проучване след това на видеото от процедурите, публикувано от естонската изборна комисия, учените открили голям брой практики за лоша защита, които варирали от въвеждане на пароли и PIN номера от официални лица от изборните комисии докато ги снимат до системни администратори, които свалят критични приложения през незащитени връзки и ползват персонални компютри за пускане на услуги и изграждане на клиентски софтуер, разпращан към гласоподавателите.

Изследователите са ползвали код с отворен код, публикуван от естонското правителство, за да направят копие на системата за е-гласуване в своята лаборатория, и след това са разработили няколко атаки към сървърна част и към клиентската част.

Алекс Холдерман, асистент по компютърни науки в Университета на

За да ползват естонската система, гласоподавателите въвеждат своята електронна лична карта в картов четец, закачен към компютъра им, и ползват PIN, асоцииран с тяхната лична карта, за да дадат гласа си чрез специално приложение.

Изследователите са разработили зловреден код, който може да записва PIN номерата и след това да промени гласуването, докато личната карта е закачена към компютъра на гласоподавателя за други операции.

Зловредният код може да бъде разпространен по различни начини, включително чрез онлайн пропуски, чрез съществуващи заразявания или чрез метода „нападател-в-средата" по време на процеса на сваляне на приложението. Нападателите могат злоумишлено да променят и самия софтуер за гласуване по време на създаването му, ако той се пише на персонален компютър вместо в контролирана среда, заявиха изследователите в понеделник по време на пресконференция за своите констатации в Талин, Естония.

Системата ползва процедура за потвърждаване на вота, базирана на QR кодове, които трябва да бъдат сканирани от потребителите с техните мобилни телефони след като са пуснали гласа си. Въпреки това компрометирано приложение за гласуване може да промени вота и QR кодовете в реално време, което означава, че тази допълнителна верифицираща система не може да защити потребителите от умели нападатели, твърдят изследователите.

Подобни атаки за фалшиво верифициране са били ползвани в реалния свят срещу потребители на онлайн банкови услуги, така че това не е само теория и методът лесно да бъде приложен и при интернет гласуването, добавят те.

За да компрометират сървърите за е-гласуване, нападателите могат или да се възползват от уязвимости през Интернет, или да атакуват хора, отговарящи за разгръщането на сървърите, като първо заразят техните компютри и след това променят сървърния софтуер. Заради липсата на проверки за сигурността злоумишлен вътрешен човек също може да осъществи подобни атаки, добавят изследователите.

В екипа от изследователи са Дж. Алекс Холдерман, главен асистент по компютърни науки в Университета на Мичиган, който проучва системата за електронно гласуване в различни страни; Маги МакАлпин, съветник по следизобрни одити в САЩ; Харис Хърсти, финландски независим изследовател в областта на сигурността, който наскоро демонстрира успешна атака срещу машината за гласуване Diebold; Джейсън Киткат, ръководещ преди това проучване на електронното гласуване във Великобритания за Open Rights Group (организация за цифровите права); както и двама студенти от Университета на Мичиган – Травис Финкенауер и Дрю Спрингоу.

„Има толкова много вектори на атака, чрез които можете да „замърсите" машините, ползвани за изборите, че смятаме това за много правдоподобна атака. Имаме и фотографски доказателства на нашия уеб сайт, които ни показват персонален компютър с връзки към покер сайтове, ползван за създаване на критичните изборни системи в Естония", казва Киткат.

Официалните власти за естонските избори трябва да подобрят своите оперативни процедури, но „ние показахме и фундаментални дефекти в архитектурата на системата, което означава, че можем да „откраднем" гласове отдалечено от компютрите на гласоподавателите, а тези дефекти не могат да бъдат поправени бързо или лесно", казва още той.

Изследователите казаха още, че са уведомили Естонската национална изборна комисия, както и политическите партии, академичните среди и медиите в Естония за своите заключения по същото време в събота. Проучването е било представено с много повече подробности в понеделник на пресконференция и целият доклад ще бъде достъпен на уеб сайта и ще съдържа и подкрепящи го материали, включително видео и снимки.

Естонската национална изборна комисия отказа да коментира темата преди да се запознае с пълния доклад.

Изследователите смятат, че Естонската система за интернет гласуване трябва да бъде спряна преди предстоящите избори за Европейски парламент на 25 май. Те твърдят още, че изграждането на защитена и прецизна система за електронно гласуване не е възможно със сегашната технология, особено като се вземат предвид усъвършенстваните умения на нападатели на „държавна заплата".

IDG News Service, Румъния 

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
ТОП100 НА ТЕХНОЛОГИЧНИТЕ КОМПАНИИ

Фирмите представят
Успешни внедрявания в малки и средни компании

Успешни внедрявания в малки и средни компании

Практически опит от ERP проекта в „ЕрДжи Консулт“ ЕООД

Слайдшоу
ИНТЕРВЮ
Тод Англин, Progress:  София има страхотна общност от софтуерни разработчициТод Англин, Progress: София има страхотна общност от софтуерни разработчици

Конференцията DevReach се завръща в София, има месец до събитието, а всички билети вече са разпродадени, коментира главният евангелист на Progress.

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас