Wiadomości promowane

Zhackowane wybory: Robot alkoholik wybrany przewodniczącym komisji szkolnictwa

Bender, specyficzna postać z Futuramy (ten po lewej) wybrany został szefem waszyngtońskiej komisji szkolnictwa. Wybrał go zespół złożony z profesora i dwóch doktorantów University of Michigan, który dostał się do serwerów obsługujących elektroniczne wybory.

W roku 2010 miasto Waszyngton postanowiło pójść z duchem czasu i stworzyć system go głosowania, który pozwalałby oddawać głosy na odległość. A ponieważ mamy XXI wiek, skupiono się na Internecie. Kiedy już cały system był gotów, postanowiono przetestować jego bezpieczeństwo i zaprosić wszystkie zainteresowane osoby do tego, be spróbowały go złamać. Smaczku całej historii dodaje fakt, że Dystrykt Kolumbii znajduje się pod bezpośrednią jurysdykcją Kongresu.

Alexander Halderman, profesor na University of Michigan, wraz ze swoimi doktorantami postanowili przyjrzeć się bliżej wyborczym zabezpieczeniom. „W końcu jak często ma się okazję hakować strony rządowe bez ryzyka pójścia do więzienia?”, pyta profesor.

Postanowili oni zachować się tak, jakby przeprowadzali prawdziwy atak. Zaczęli od zbierania publicznie dostępnych informacji, przechodząc do poszukiwania słabych miejsc, które pozwoliłyby im przejąć kontrolę nad całym systemem.

Po kilku godzinach sprawdzania kodu udało im się znaleźć lukę pozwalającą na podmienienie zdjęć kandydatów. Prawdziwy przełom nastąpił jednak w chwili, gdy „od czapy” wpisali hasło do systemu. Okazuje się, że hasło i login – Admin, jest popularne nie tylko wśród polskich administratorów stron rządowych.

Od tego momentu sprawa potoczyła się bardzo szybko. Po przyznaniu sobie dostępu do obrazu z kamer w serwerowni, można było wprowadzać zmiany w godzinach, w których nikt nie czuwał nad bezpieczeństwem systemu. Mało tego, na serwerze znajdował się także dokument, w którym zapisane były kody weryfikujące wszystkich mieszkańców Dystryktu Kolumbii, którzy mogli oddać swój głos.

Posiadając te dane, zespół nie tylko mógł zmieniać kandydatów, ale także sam oddać wszystkie głosy. Dzięki temu Bender, ulubiona postać profesora, zadebiutował jako przewodniczący miejskiej komisji szkolnictwa.

Zmiany nie zostały zauważone przez nikogo nawet wtedy, gdy zespół zamienił ekran wylogowania by wyświetlał napis „Owned” i odtwarzał hymn drużyny futbolowej University of Michigan. Zmiany zostały zauważone po dwóch dniach, ale dopiero po tym gdy inna grupa próbująca złamać zabezpieczenia zaczęła zgłaszać skargi na denerwującą muzykę. Nie zdołali oni złamać zabezpieczeń tylko dlatego, że zespół z Michigan blokował od środka wszystkie próby dostania się do systemu.

Łatwość z jaką udało się ominąć zabezpieczenia i brak wyobraźni administratorów systemu sprawiają, że trzeba się zastanowić czy akurat głosowanie przez Internet jest tym co chcielibyśmy wprowadzać.

[Alex Halderman.pdf via The Register]


podobne treści