Para peneliti telah mendapatkan puluhan ribu euro untuk kerentanan yang ditemukan di sistem e-voting baru Swiss sebagai bagian dari program karunia bug yang baru-baru ini diluncurkan.
E-voting pertama kali diperkenalkan di Swiss hampir dua dekade lalu. Namun, layanan pos nasional negara itu, Swiss Post, yang bertanggung jawab atas e-voting, telah mengerjakan sistem baru “dengan verifikasi lengkap.”
Sebelum sistem baru dapat diterapkan secara luas, Swiss Post ingin memastikan bahwa sistem tersebut telah diuji dan aman dengan benar. Organisasi meluncurkan program hadiah bug e-voting pertama pada tahun 2019, tetapi hanya berjalan selama satu bulan dan menghasilkan penemuan hanya sekitar selusin masalah keamanan tingkat rendah.
Namun, pada waktu yang hampir bersamaan, tim peneliti menganalisis kode sumber sistem — di luar program bug bounty apa pun — dan mereka menemukan potensi serius kerentanan yang terkait dengan protokol kriptografi, termasuk kelemahan yang dapat menyebabkan manipulasi suara yang tidak terdeteksi. Temuannya adalah diremehkan oleh perusahaan yang mengembangkan sistem voting.
Tahun lalu, Swiss Post mengumumkan program karunia bug yang sedang berlangsung di platform YesWeHack, menawarkan hadiah hingga €230,000 (kira-kira $260,000 pada saat penulisan).
Menurut Swiss Post, ia telah menerima 122 laporan kerentanan pada 20 Januari 2022, termasuk empat masalah yang telah diberi peringkat "keparahan tinggi". Untuk semua kerentanan yang valid, ia telah membayar total €79,000 ($88,000).
Dari jumlah ini, €27,000 ($30,000) diperoleh oleh Ruben Santamarta, seorang peneliti keamanan siber berpengalaman yang dalam beberapa tahun terakhir menemukan banyak kerentanan, termasuk di industri, IOT, satelit, avionik dan maritim sistem.
Santamarta sejauh ini telah mengidentifikasi 13 kerentanan dalam sistem e-voting, tetapi penelitiannya sedang berlangsung dan dia berharap untuk melaporkan masalah tambahan. Dia juga mencatat bahwa tingkat keparahan beberapa kekurangan masih diselidiki dan dia mengharapkan untuk menerima penghargaan tambahan untuk kelemahan yang telah diungkapkan kepada vendor.
Sembilan belas peneliti terdaftar di aula ketenaran Program hadiah bug Swiss Post di YesWeHack dan Santamarta saat ini memiliki peringkat tertinggi. Hadiah tertinggi yang dibayarkan sejauh ini sebagai bagian dari program ini adalah €40,000 ($45,000).
Dalam sebuah posting blog yang diterbitkan awal bulan ini, Santamarta mengungkapkan: rincian tujuh kerentanan, termasuk masalah dengan tingkat keparahan tinggi yang membuatnya mendapatkan €15,000. Cacat tingkat keparahan yang tinggi terkait dengan penggunaan drive USB.
“Dalam sistem e-voting Swiss Post, beberapa peralatan yang bertugas melakukan tugas-tugas penting memiliki celah udara, menggunakan kunci USB untuk berbagi informasi di antara mereka,” kata Santamarta kepada SecurityWeek. “Saya menemukan kerentanan dalam cara isi kunci USB ini ditangani, yang memungkinkan untuk menimpa file arbitrer di komputer yang terpengaruh.”
Dia menjelaskan, “Pada akhirnya, jika aktor jahat — kemungkinan negara-bangsa dengan mempertimbangkan skenario ancaman — dapat secara diam-diam memasok kunci USB berbahaya ke administrator (atau bahkan hanya administrator jahat, yang diasumsikan dalam ancaman Swiss Post). model), adalah mungkin untuk menjalankan kode arbitrer di SDM, komputer yang merupakan aset utama dalam sistem e-voting, sehingga mengarah pada potensi kompromi dari seluruh proses pemilihan.”
Santamarta mengatakan dia juga menemukan beberapa kerentanan terkait dengan kelemahan kriptografi yang “melemahkan protokol kriptografi yang mendasari sistem e-voting Swiss Post yang diandalkan.”
Terkait: Para Ahli Memperingatkan Bahaya Dari Pelanggaran Perangkat Lunak Sistem Pemilih
Terkait: Laporan Menyoroti Risiko Siber terhadap Sistem Pemilu AS
Terkait: Klaim Palsu pada Mesin Pemungutan Suara Mengaburkan Cacat Nyata
Eduard Kovacs (@EduardKovacs) adalah editor yang berkontribusi di SecurityWeek. Dia bekerja sebagai guru TI sekolah menengah selama dua tahun sebelum memulai karir di bidang jurnalisme sebagai reporter berita keamanan Softpedia. Eduard memegang gelar sarjana di bidang informatika industri dan gelar master dalam teknik komputer yang diterapkan dalam teknik elektro.
Tags:
