Araştırmacılar, yakın zamanda başlatılan bir hata ödül programının bir parçası olarak İsviçre'nin yeni e-oylama sisteminde bulunan güvenlik açıkları için on binlerce avro kazandılar.
E-oylama ilk olarak yaklaşık yirmi yıl önce İsviçre'de tanıtıldı. Ancak, ülkenin ulusal posta servisi olan ve e-oylamadan sorumlu olan Swiss Post, “tam doğrulanabilir” yeni bir sistem üzerinde çalışıyor.
Yeni sistem geniş çapta uygulanmadan önce Swiss Post, doğru şekilde test edildiğinden ve güvenli olduğundan emin olmak istiyor. Organizasyon başlattı ilk e-oylama hata ödül programı 2019'da, ancak yalnızca bir ay çalıştı ve yalnızca yaklaşık bir düzine düşük önemde güvenlik sorununun keşfedilmesiyle sonuçlandı.
Bununla birlikte, aynı zamanda, bir grup araştırmacı, sistemin kaynak kodunu - herhangi bir hata ödül programının dışında - analiz etti ve potansiyel olarak ciddi olduğunu ortaya çıkardılar. kriptografik protokollerle ilgili güvenlik açıklarıtespit edilemeyen oy manipülasyonuna yol açabilecek kusurlar dahil. Bulgular küçümsedi oylama sistemini geliştiren şirket tarafından.
Geçen yıl Swiss Post, devam eden hata ödül programı YesWeHack platformunda, 230,000 €'ya kadar (yazım sırasında yaklaşık 260,000 $) ödüller sunuyor.
Swiss Post'a göre, 122 Ocak 20 itibariyle, "yüksek önem derecesi" olarak atanan dört sorun da dahil olmak üzere 2022 güvenlik açığı raporu aldı. Tüm geçerli güvenlik açıkları için toplam 79,000 € (88,000 $) ödedi.
Bu miktarın 27,000 Euro'su (30,000 ABD Doları), geçtiğimiz yıllarda aşağıdakiler de dahil olmak üzere birçok güvenlik açığı keşfeden deneyimli bir siber güvenlik araştırmacısı Ruben Santamarta tarafından kazanıldı. SanayiIoT, uydu, havacılık elektroniği ve deniz sistemler.
Santamarta şu ana kadar e-oylama sisteminde 13 güvenlik açığı tespit etti, ancak araştırması devam ediyor ve ek sorunları bildirmeyi bekliyor. Ayrıca, bazı kusurların ciddiyetinin hala araştırıldığını ve satıcıya daha önce ifşa edilmiş olan zayıflıklar için ek ödüller almayı beklediğini belirtti.
Ondokuz araştırmacı, Şöhret Salonunda listelenmiştir. Swiss Post'un hata ödül programı YesWeHack ve Santamarta'da şu anda en yüksek sıralamaya sahip. Bu programın bir parçası olarak şimdiye kadar ödenen en yüksek ödül 40,000 € (45,000 $) idi.
Bu ayın başlarında yayınlanan bir blog gönderisinde Santamarta, yedi güvenlik açığının ayrıntıları, kendisine 15,000 € kazandıran yüksek önemdeki bir sorun dahil. Yüksek önemdeki kusur, USB sürücülerinin kullanımıyla ilgilidir.
Santamarta, SecurityWeek'e verdiği demeçte, "Swiss Post e-oylama sisteminde, kritik görevleri yerine getirmekten sorumlu ekipmanların bazıları, aralarında bilgi paylaşmak için bir USB anahtarı kullanarak hava boşlukludur" dedi. "Bu USB anahtarının içeriğinin işlenme biçiminde, etkilenen bilgisayardaki rastgele dosyaların üzerine yazılmasına izin veren bir güvenlik açığı buldum."
Sonunda, kötü niyetli bir aktör - muhtemelen tehdit senaryosunu dikkate alan bir ulus devlet - yöneticilere (hatta sadece Swiss Post'un tehdidinde varsayılan kötü niyetli bir yöneticiye) gizlice kötü niyetli bir USB anahtarı sağlayabiliyorsa. modeli), e-oylama sisteminde önemli bir varlık olan ve böylece tüm seçim sürecinde potansiyel bir uzlaşmaya yol açan bir bilgisayar olan SDM'de rastgele kod çalıştırmak mümkün olacaktır.”
Santamarta ayrıca, "Swiss Post e-oylama sisteminin dayandığı temel kriptografik protokolü zayıflatan" kriptografi zayıflıklarıyla ilgili bazı güvenlik açıkları bulduğunu söyledi.
İlgili: Uzmanlar Seçmen Sistemi Yazılımının İhlalinden Kaynaklanan Tehlikelere Karşı Uyarıyor
İlgili: Rapor, ABD Seçim Sistemlerine Yönelik Siber Riskleri Öne Çıkarıyor
İlgili: Oy Makineleri Üzerindeki Yanlış İddialar Gerçek Kusurları Görünmez
Eduard Kovacs (@EduardKovacs) SecurityWeek'e katkıda bulunan bir editördür. Softpedia'nın güvenlik haber muhabiri olarak gazetecilik kariyerine başlamadan önce iki yıl lise BT öğretmeni olarak çalıştı. Eduard, endüstriyel bilişim alanında lisans ve elektrik mühendisliğinde uygulanan bilgisayar teknikleri alanında yüksek lisans derecesine sahiptir.
Etiketler:
