Audyt trzech amerykańskich komputerów do głosowania wykonany przez Uniwersytet Kalifornijski na zlecenie sekretarza tego stanu ujawnił szereg dziur i podatności w urządzeniach firm Sequoia, Diebold i HART.
“University of California E-voting Report” opublikowany przez Uniwersytet jest wynikiem badania przeprowadzonego w metodologii testu penetracyjnego oraz audytu kodu źródłowego. Badanie zostało zlecone przez władze stanowe w celu weryfikacji poziomu bezpieczeństwa urządzeń dopuszczonych do użytku w Kalifornii.
Badanie ujawniło szereg dziur i podatności w urządzeniach posiadających wydane wcześniej certyfikaty niezależnych laboratoriów, które są obowiązkowe dla komputerów wyborczych w USA. Były to dziury następujących rodzajów:
- możliwość podmiany oprogramowania (firmware) lub instalacji koni trojańskich za pomocą tak prostych środków jak U3 USB; podmiana była możliwa np. za pomocą spreparowanych plików z fontami (Sequoia), dziur w Windows (Diebold) czy nieudokumentowanego konta (Hart)
- dziury umożliwiające zmianę wyników poszczególnych głosów lub oddawanie nieuprawnionych głosów (Sequoia)
- wykonywanie nieautoryzowanych operacji, które nie były logowane w rejestrach bezpieczeństwa (Diebold)
- stosowanie łatwych do zgadnięcia lub stałych, zaszytych w oprogramowaniu kluczy kryptograficznych (Diebold)
- możliwość uzuskania nieautyrozywanego dostępu do wnętrza urządzenia, a w konsekwencji podmiana oprogramowania lub np. reset bez pozostawiania śladów (Diebold)
- wszystkie testowane systemy były w praktyce oparte o Windows oraz standardowe oprogramowanie bazodanowe (jak np. MSDE), często bez aktualizacji i podstawowego hardeningu co otwiera te systemy na dziury odkryte w tych systemach do tej pory, lub takie, które zostaną odkryte w przyszłości - w systemie Hart możliwe było np. zdalne podsłuchiwanie tego co dzieje się w lokalu wyborczym
</ul>
Badacze wskazali także na problemy organizacyjne związen z prowadzeniem testów - np. opóźnienia lub odmowę udostępnienia części oprogramowania przez poszczególnych producentów.
Raport:
- University of California E-voting Reports
</ul>
Komentarze:
- "Most vote machines lose test to hackers", SfGate.com
- "California Report Slams E-Voting System Security", PcWorld </ul> Warto także zobaczyć co napisałem na SecurityStandard.pl o zwycięstwie protokołu Punchscan w konkursie VoComp.
- University of California E-voting Reports
</ul>
Komentarze: