Xakep #239. Вскрыть и изучить

• Содержание выпуска


• Подписка на «Хакер»

Две независимые команды исследователей из университетов Австралии и Швейцарии опубликовали доклады, проливающие свет на ряд проблем в швейцарской системе электронного голосования, которую швейцарская избирательная комиссия планирует использовать для выборов в будущем.

Среди обнаруженных проблем есть уязвимость, которая позволяет атакующему с локальным доступом к машинам для голосования (или даже их производителю) подделывать результаты выборов. Проблема лежит в области криптографии и связана с системой, которая верифицирует отданные голоса и проверяет, чтобы они совпадали с тем, что отражено в отчетности. Согласно заявлению, уже опубликованному Федеральной канцелярией Швейцарии, баг не позволяет атакующему проникнуть в систему, но мешает ей генерировать корректное математическое доказательство, позволяющее установить, имели ли место какие-либо манипуляции с голосами. В сущности, обнаружить вмешательство в ход голосования из-за этого было невозможно. Детальное описание проблемы можно найти в докладах специалистов Университета Мельбурна и Бернского университета прикладных наук.

Swiss Post, швейцарская организация, ответственная работу системы электронного голосования, а также испанская компания Scytl, разработавшая эту систему, уже опубликовали официальные заявления и поблагодарили специалистов за проделанную работу.

Интересно, что в прошлом месяце Swiss Post объявила о начале публичного пентеста системы электронного голосования, для исследователей открыли ее код и пообещали выплачивать вознаграждения в размере до 50 000 долларов. Но уязвимости, информация о которых была опубликована вчера, не являлись частью этой bug bounty программы, а исследователи (в основном криптографы) просто решили воспользоваться случаем и изучить ставшие доступными исходные коды, проверив криптографические протоколы «на прочность».

СМИ и ИБ-специалисты уже отметили, что за прошедший месяц официальная позиция Scytl успела претерпеть значительные изменения. Дело в том, что в феврале 2019 года компания выступила с жесткой критикой в адрес исследователей, которые записались в bug bounty программу, а затем поделились полученными исходными кодами с коллегами. Дело в том, что после утечки исходников в сеть многие сторонние эксперты начали писать о многочисленных проблемах системы электронного голосования, на что разработчики отвечали, что эти люди не являются специалистами, получили исходники через неофициальные каналы и, скорее всего, не разбираются в криптографии.

Amazing how quickly "people in unofficial channels who don't understand cryptography" becomes "We are thankful to those researchers who helped us identify this issue "

— Sarah Jamie Lewis (@SarahJamieLewis) March 12, 2019

Теперь представители Scytl и Swiss Post благодарят специалистов за работу и уверяют (1, 2), что проблема уже была устранена, а обновленный механизм верификации уже готов и будет включен в следующий релиз.

С докладами о других проблемах, обнаруженных в швейцарской системе электронного голосования, можно ознакомиться здесь.