Bezpieczeństwo maszyn do głosowania: klucz ze zdjęcia

Klucze ze firmowej strony DieboldTo doniesienie ma już kilka tygodni, ale i tak warto odnotować, że znalazł się ktoś, kto postanowił przygotować klucz (fizyczny klucz) otwierający maszynę do elektronicznego głosowania firmy Diebold, opierając się wyłącznie na zdjęciu tego klucza. Zdjęcie znaleziono na firmowej stronie internetowej. Po ujawnieniu faktu, że dzięki zdjęciu można odtworzyć realny klucz - zdjęcie ze strony firmy usunięto. Klucz, o który chodzi, potrafi otworzyć każdą maszynę Diebold (chodzi o maszynę AccuVote-TS), która wykorzystywana jest do "elektronicznych głosowań". Podobny klucz wykorzystano do eksperymentu naukowców z Princeton, mającego obrazować atak wirusów na amerykański system wyborczy. Aby zainfekować system trzeba otworzyć maszynkę.

O sprawie pisał miesiąc temu J. Alex Halderman w tekście Diebold Shows How to Make Your Own Voting Machine Key (a to za sprawą Rossa'a Kinard'a z serwisu SploitCast), ale też pisałe Brad Friedman (Brad Blog) w tekście DIEBOLD VOTING MACHINE KEY COPIED FROM PHOTO AT COMPANY'S OWN ONLINE STORE!.

Co do kluczy - Diebold sprzedaje takie klucze za pomocą swojej strony internetowej. Nie sprzedaje ich każdemu, a jedynie osobom, które z firmą w jakiś sposób współpracują. Na stronie było zdjęcie oferowanego produktu. Wspomniany wyżej Ross Kinard postanowił sprawdzić, czy uda się odtworzyć klucz ze zdjęcia. Okazało się, że się da. Przygotował trzy takie klucze i przesłał je do Haldermana (a to jeden z trzech autorów raportu powstałego na Uniwersytecie Princeton, opublikowanego pod koniec 2006 roku; pozostali autorzy to Ariel J. Feldman i Edward W. Felten). Halderman sprawdził, czy przesłane klucze otworzą maszynkę, którą dysponowali do testów. Dwa z trzech przesłanych kluczy potrafiły ją otworzyć.

Oto materiał pokazujący otwieranie maszyny AccuVote-TS za pomocą klucza przygotowanego w oparciu o zdjęcie opublikowane na oficjalnej witrynie producenta.

To w sumie żadna rewelacja, bo podobny klucz można kupić w sklepach z artykułami biurowymi (o to taki sam klucz jak te, którymi zamyka się szafki w biurach). Poza tym - każdy pracownik techniczny biorący udział w obsłudze wyborów dostaje taki klucz (master key), by móc serwisować maszynę (np. przeprowadzić test oprogramowania przed rozpoczęciem procedury wyborczej). Zgłaszano już ten problem publicznie: przeczytaj np. “Hotel Minibar” Keys Open Diebold Voting Machines (tekst z 2006 roku).

Zdobycie klucza pozwalającego dostać się do karty pamięci, na której to karcie przechowywane są głosy wyborców oraz oprogramowanie nie jest problemem. Natomiast uznałem za interesujący fakt, że komuś chciało się odtworzyć "kluczyk do skarbca demokracji" ze zdjęcia opublikowanego na oficjalnej witrynie producenta. Wcześniej przez miesiąc Rossa Kinard próbował bezskutecznie zainteresować tym ludzi z firmy Diebold. Dwa dni po opublikowaniu notatki w serwisie Haldermana ze stron firmowego sklepu zdjęcia kluczy usunięto.

Przeczytaj również:

No i generalnie zachęcam do sięgnięcia do działu wybory niniejszego serwisu.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Kolejne problemy z e-votingiem

Kolejne wieści na temat bezpieczeństwa e-votingu

W czasie konferencji RSA przewinął się temat bezpieczeństwa urządzeń elektronicznych wspomagających głosowanie.
Jedna z wypowiedzi:

"It was worse than I could ever have imagined. It was really egregious."

Więcej tutaj.

___
Pierwszy Elokwentny Robot CYbernetyczny

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>