Gyurkity Péter
Katasztrofális a szavazóterminálok biztonsága
A Kalifornia állam által megbízott hackercsapat sikeresen feltörte és módosította mindhárom rendelkezésre álló szavazóterminált, amely miatt az illetékesek változtatásokat követelnek - a gyártók eközben saját fejlesztéseiket védik.
A próbákra a Kaliforniában tavaly elrendelt átfogó vizsgálatok részeként került sor. A Kalifornia Egyetem csapatának feladata volt a gyártók által leszállított terminálok feltörése, a rendszerbe történő behatolás, csalás és kártékony programok bejuttatása. A célt mindhárom esetben elérték, ami az illetékesek szerint annak egyértelmű jele, hogy a szavazóterminálok biztonsága nem éri el a kívánt szintet. A gyártók természetesen ezt nem így vélik, és a tesztkörülmények miatt tiltakoznak.
Kétségtelen, hogy a hackercsapat némi segítséget kapott, a terminálok mellett ugyanis a kézikönyvet és a teljes forráskódot is kézhez kapták, ennek birtokában kellett megtalálniuk az esetleges biztonsági réseket. E feladatot azonban mindhárom együttműködő cég termékeinél végrehajtották, így a Sequoia Voting Systems, a Hart Intercivic és a Diebold Elections Systems termináljai is megbuktak a vizsgán. "A csapat bebizonyította, hogy a szavazóterminálok által alkalmazott biztonsági eszközök nem elegendők a rendszerek megfelelő védelméhez, így nem szavatolhatják a szavazások integritását" - jelentette ki Matt Bishop, az egyetem professzora.
A végeredmény a következő képet mutatta: az egyetem szakértői mindhárom gépen módosították, felülírták a firmware-t, behatoltak a Diebold által szállított Windows rendszerbe, amelyen azután észrevétlenül telepítettek egy vezetéknélküli eszközt, a Hart termináljában pedig egy olyan hibára bukkantak, amelynek révén bárki jogosultságokat szerezhet a szavazói adatbázis felett. A Sequoia fejlesztésénél emellett hozzáfértek az elméletileg jól elrejtett csavarokhoz, ezek eltávolításával pedig lebontották a terminál külső burkolatát.
A teszteket követően mindhárom cég megtámadta a vizsgálat eredményét, arra hivatkozva, hogy azokra laboratóriumi körülmények között került sor, így nem tükrözik a valóságot, a valós körülményeket. Az biztos, hogy a szavazóhelyeken egyetlen esetben sem végezhetik dolgukat ilyen nyugodtan az esetleges támadók, ám mindez nem feledteti a rendszerek sebezhetőségének tényét.
A próbákra a Kaliforniában tavaly elrendelt átfogó vizsgálatok részeként került sor. A Kalifornia Egyetem csapatának feladata volt a gyártók által leszállított terminálok feltörése, a rendszerbe történő behatolás, csalás és kártékony programok bejuttatása. A célt mindhárom esetben elérték, ami az illetékesek szerint annak egyértelmű jele, hogy a szavazóterminálok biztonsága nem éri el a kívánt szintet. A gyártók természetesen ezt nem így vélik, és a tesztkörülmények miatt tiltakoznak.
Kétségtelen, hogy a hackercsapat némi segítséget kapott, a terminálok mellett ugyanis a kézikönyvet és a teljes forráskódot is kézhez kapták, ennek birtokában kellett megtalálniuk az esetleges biztonsági réseket. E feladatot azonban mindhárom együttműködő cég termékeinél végrehajtották, így a Sequoia Voting Systems, a Hart Intercivic és a Diebold Elections Systems termináljai is megbuktak a vizsgán. "A csapat bebizonyította, hogy a szavazóterminálok által alkalmazott biztonsági eszközök nem elegendők a rendszerek megfelelő védelméhez, így nem szavatolhatják a szavazások integritását" - jelentette ki Matt Bishop, az egyetem professzora.
A végeredmény a következő képet mutatta: az egyetem szakértői mindhárom gépen módosították, felülírták a firmware-t, behatoltak a Diebold által szállított Windows rendszerbe, amelyen azután észrevétlenül telepítettek egy vezetéknélküli eszközt, a Hart termináljában pedig egy olyan hibára bukkantak, amelynek révén bárki jogosultságokat szerezhet a szavazói adatbázis felett. A Sequoia fejlesztésénél emellett hozzáfértek az elméletileg jól elrejtett csavarokhoz, ezek eltávolításával pedig lebontották a terminál külső burkolatát.
A teszteket követően mindhárom cég megtámadta a vizsgálat eredményét, arra hivatkozva, hogy azokra laboratóriumi körülmények között került sor, így nem tükrözik a valóságot, a valós körülményeket. Az biztos, hogy a szavazóhelyeken egyetlen esetben sem végezhetik dolgukat ilyen nyugodtan az esetleges támadók, ám mindez nem feledteti a rendszerek sebezhetőségének tényét.