Gyurkity Péter

Katasztrofális a szavazóterminálok biztonsága

A Kalifornia állam által megbízott hackercsapat sikeresen feltörte és módosította mindhárom rendelkezésre álló szavazóterminált, amely miatt az illetékesek változtatásokat követelnek - a gyártók eközben saját fejlesztéseiket védik.

A próbákra a Kaliforniában tavaly elrendelt átfogó vizsgálatok részeként került sor. A Kalifornia Egyetem csapatának feladata volt a gyártók által leszállított terminálok feltörése, a rendszerbe történő behatolás, csalás és kártékony programok bejuttatása. A célt mindhárom esetben elérték, ami az illetékesek szerint annak egyértelmű jele, hogy a szavazóterminálok biztonsága nem éri el a kívánt szintet. A gyártók természetesen ezt nem így vélik, és a tesztkörülmények miatt tiltakoznak.

Kétségtelen, hogy a hackercsapat némi segítséget kapott, a terminálok mellett ugyanis a kézikönyvet és a teljes forráskódot is kézhez kapták, ennek birtokában kellett megtalálniuk az esetleges biztonsági réseket. E feladatot azonban mindhárom együttműködő cég termékeinél végrehajtották, így a Sequoia Voting Systems, a Hart Intercivic és a Diebold Elections Systems termináljai is megbuktak a vizsgán. "A csapat bebizonyította, hogy a szavazóterminálok által alkalmazott biztonsági eszközök nem elegendők a rendszerek megfelelő védelméhez, így nem szavatolhatják a szavazások integritását" - jelentette ki Matt Bishop, az egyetem professzora.

A végeredmény a következő képet mutatta: az egyetem szakértői mindhárom gépen módosították, felülírták a firmware-t, behatoltak a Diebold által szállított Windows rendszerbe, amelyen azután észrevétlenül telepítettek egy vezetéknélküli eszközt, a Hart termináljában pedig egy olyan hibára bukkantak, amelynek révén bárki jogosultságokat szerezhet a szavazói adatbázis felett. A Sequoia fejlesztésénél emellett hozzáfértek az elméletileg jól elrejtett csavarokhoz, ezek eltávolításával pedig lebontották a terminál külső burkolatát.

A teszteket követően mindhárom cég megtámadta a vizsgálat eredményét, arra hivatkozva, hogy azokra laboratóriumi körülmények között került sor, így nem tükrözik a valóságot, a valós körülményeket. Az biztos, hogy a szavazóhelyeken egyetlen esetben sem végezhetik dolgukat ilyen nyugodtan az esetleges támadók, ám mindez nem feledteti a rendszerek sebezhetőségének tényét.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • eax #15
    "A bitek és bájtok sajna nyom nélkül felülírhatók"
    Tessek, itt van egy csomo bit meg byte, valtoztass meg rajta valamit ugy, hogy utana ne vegyem eszre. Ellenorizni ezzel tudod.

    "A kriptográfia csak arra jó, hogy még hozzáférhetetlenebb, áttekinthetetlenebb, ellenőrizhetetlenebb legyen az egész a kívülűlló ellenőr számára."
    A kriptografia nagyon sok mindenre jo, attol fuggoen, hogy mire hasznaljak. Ha arra hasznaljak, akkor arra is jo lehet, hogy matematikailag tokeletesen bizonyitsd, hogy a csalas eselye a rendelkezesre allo eroforrasokkal lehetetlen.
  • shoe #14
    Így legalább van mire/kire fogni ha csalásgyanus az esemény....
  • shoe #13
    El sem olvastam a cikket csak a cimszöveget, és csak annyit füznék hozzá hogy tökmindegy ki tör be és ki nem ugyis el van döntve a szavazás végeredménye.
  • halgatyó #12
    Egy ilyen -- egész ország szavazatait számláló és összesítő -- rendszer igen terjedelmes. Szavazókörzetenként 2-4 terminál, komplett hálózat, szerverek, amelyek memóriájában gyűlnek az adatok bitek és bájtok formájában, és végül összesítő és megjelenítő egységek (mindez hardverrel és szoftverrel).

    A bitek és bájtok sajna nyom nélkül felülírhatók, ellentétben a papírral amit legalábbis vakargatni kell, vagy fizikailag átcipelni egyik helyről a másikba Szavazóhely -> kocsma -> szavazóhely -> kocsma ... (ismételhető periódus).

    A bitek átállítása hangtalan, igen gyors, és csak nagyon sokat tanult szakemberek csoportjának igen hosszas munkájával gyanítható meg. Ilyen szakember kevés van, belőlük csoport nehezen és drágán állítható össze. Akinek a kezében van a pénz, a képzés, a jog, a sajtó, az kedvére állíthat össze szakembercsoportokat. Meglehet hogy egy ország összesen meglévő 20 db szakemberének ők fizették az egyetemi ösztöndíj-kiegészítését.

    Az a kisebb párt vagy civil szervezet viszont, amely ilyen hozzáférésekkel és évek alatt lassan felépített emberanyaggal nem rendelkezik, csak tátott szájjal áll a villogó képernyők előtt.

    Ezzel szemben a papírokkal nincs ilyen gond. A velük történt manipuláció lassú és nehézkes, közben a lebukás esélye megvan. Bármely ember el tudja dönteni, hogy egy papírról kivakarták a jeleket, vagy hogy 150ezer db. szavazócédula azért érvénytelen, mert 2 x van rajta, de az egyik x mindig gyanúsan más színű mint a másik... stb.stb.

    A kriptográfia csak arra jó, hogy még hozzáférhetetlenebb, áttekinthetetlenebb, ellenőrizhetetlenebb legyen az egész a kívülűlló ellenőr számára.
  • eax #11
    "attól kezdve azt hozzanak ki győztesnek, akit csak akarnak. Ellenőrizhetetlenül."
    Ez technikai ertelemben, megfelelo kriptografiai tamogatas mellett nem igaz. Ha lefizetik a megfelelo embereket, akkor igen, de ez pontosan u. akkora veszely, mint a papirosnal.
  • halgatyó #10
    Bár eddig is azt hoztak ki, csak ehhez több sajtó-agymosára volt szükség, és veszélyesebb volt a dolog, mert a papír szavazócédulákat utólag is le lehet számolni, ha véletlenül kicsúszik a beépített embereik kezéből az abszolút hatalom egy kis időre.
    Bár ha 3 héttel a szavazás után bedarálják a cédulákat, akkor ez a kockázat csökkenthető.

    Meg aztán az is gond, hogy az egyre jobban elhülyített, agyatlan barmokból felépült társadalom-gazdaság versenyképességével egyre nagyobb gondok lesznek.

    Ezen a problémán "segít" (nekik) az elektronikus szavazás.
    A demokrácia vége.
  • halgatyó #9
    Meggyőződésem, hogy az elektronikus szavazás tisztaságát NEM a "hackerek" (crackerek) veszélyeztetik!

    Hanem azok, akik létrehozták, és "törvényes" úton ráerőszakolták a társadalomra. Azért, hogy attól kezdve azt hozzanak ki győztesnek, akit csak akarnak. Ellenőrizhetetlenül.
  • rigidus #8
    Pl az adofizetoket. Tudod, akiknek a penzet herdalja egy szuk erdekcsoport.
  • An-Dee #7
    te tényleg azt hiszed hogy érdekel valakit a véleményed? :)
  • GYGERI #6
    ti tényleg azt hiszitek hogy mi döntünk arról hogy ki legyen a parlamentben a fejes??? hát ez röhej...