Logo Zephyrnet

Các lỗ hổng trong Hệ thống bỏ phiếu điện tử của Thụy Sĩ Kiếm được các khoản tiền thưởng lớn cho các nhà nghiên cứu

Ngày:

Các lỗ hổng trong hệ thống bỏ phiếu điện tử của Thụy Sĩ

Các nhà nghiên cứu đã kiếm được hàng chục nghìn euro cho các lỗ hổng được tìm thấy trong hệ thống bỏ phiếu điện tử mới của Thụy Sĩ như một phần của chương trình tiền thưởng lỗi mới được triển khai gần đây.

Bỏ phiếu điện tử lần đầu tiên được giới thiệu ở Thụy Sĩ cách đây gần hai thập kỷ. Tuy nhiên, dịch vụ bưu chính quốc gia của đất nước, Swiss Post, phụ trách bỏ phiếu điện tử, đã và đang làm việc trên một hệ thống mới "với khả năng xác minh hoàn toàn."

Trước khi hệ thống mới có thể được triển khai rộng rãi, Swiss Post muốn đảm bảo rằng nó đã được kiểm tra và bảo mật đúng cách. Tổ chức đã phát động chương trình tiền thưởng lỗi bỏ phiếu điện tử đầu tiên vào năm 2019, nhưng nó chỉ chạy trong một tháng và chỉ dẫn đến việc phát hiện ra khoảng một tá vấn đề bảo mật mức độ nghiêm trọng thấp.

Tuy nhiên, cùng lúc đó, một nhóm các nhà nghiên cứu đã phân tích mã nguồn của hệ thống - bên ngoài bất kỳ chương trình tiền thưởng lỗi nào - và họ phát hiện ra các lỗ hổng liên quan đến các giao thức mật mã, bao gồm cả những sai sót có thể dẫn đến thao túng phiếu bầu không thể phát hiện được. Những phát hiện đã xem thường bởi công ty đã phát triển hệ thống bỏ phiếu.

Năm ngoái, Bưu điện Thụy Sĩ đã công bố một chương trình tiền thưởng lỗi đang diễn ra trên nền tảng YesWeHack, cung cấp phần thưởng lên đến € 230,000 (khoảng $ 260,000 tại thời điểm viết bài).

Theo Swiss Post, nó đã nhận được 122 báo cáo về lỗ hổng bảo mật tính đến ngày 20 tháng 2022 năm 79,000, bao gồm 88,000 vấn đề đã được xếp hạng "mức độ nghiêm trọng cao". Đối với tất cả các lỗ hổng hợp lệ, nó đã trả tổng cộng XNUMX € (XNUMX USD).

Trong số tiền này, € 27,000 ($ 30,000) đã kiếm được bởi Ruben Santamarta, một nhà nghiên cứu an ninh mạng giàu kinh nghiệm, người trong những năm qua đã phát hiện ra nhiều lỗ hổng bảo mật, bao gồm công nghiệp, IOT, vệ tinh, hệ thống điện tửhàng hải hệ thống.

Santamarta cho đến nay đã xác định được 13 lỗ hổng trong hệ thống bỏ phiếu điện tử, nhưng nghiên cứu của ông vẫn đang được tiến hành và ông hy vọng sẽ báo cáo thêm các vấn đề khác. Ông cũng lưu ý rằng mức độ nghiêm trọng của một số sai sót vẫn đang được điều tra và ông hy vọng sẽ nhận được phần thưởng bổ sung cho những điểm yếu đã được tiết lộ cho nhà cung cấp.

Mười chín nhà nghiên cứu được liệt kê trong đại sảnh danh tiếng của Chương trình tiền thưởng lỗi của Swiss Post trên YesWeHack và Santamarta hiện có thứ hạng cao nhất. Tiền thưởng cao nhất được trả cho đến nay khi một phần của chương trình này là € 40,000 ($ 45,000).

Trong một bài đăng trên blog được xuất bản vào đầu tháng này, Santamarta đã tiết lộ chi tiết về bảy lỗ hổng, bao gồm một vấn đề nghiêm trọng cao đã kiếm được 15,000 €. Lỗ hổng nghiêm trọng cao liên quan đến việc sử dụng ổ USB.

Santamarta nói với SecurityWeek: “Trong hệ thống bỏ phiếu điện tử của Bưu điện Thụy Sĩ, một số thiết bị chịu trách nhiệm thực hiện các nhiệm vụ quan trọng được dò tìm bằng cách sử dụng khóa USB để chia sẻ thông tin giữa chúng. “Tôi đã tìm thấy một lỗ hổng trong cách xử lý nội dung của khóa USB này, cho phép ghi đè các tệp tùy ý trong máy tính bị ảnh hưởng.”

Ông giải thích, “Cuối cùng, nếu một kẻ độc hại - có thể là một quốc gia có tính đến kịch bản mối đe dọa - có thể lén lút cung cấp một khóa USB độc hại cho các quản trị viên (hoặc thậm chí chỉ là một quản trị viên độc hại, được giả định trong mối đe dọa của Swiss Post mô hình), có thể chạy mã tùy ý trong SDM, một máy tính là tài sản quan trọng trong hệ thống bỏ phiếu điện tử, do đó có thể dẫn đến sự xâm phạm toàn bộ quá trình bầu cử. ”

Santamarta cho biết ông cũng tìm thấy một số lỗ hổng liên quan đến điểm yếu của mật mã “làm suy yếu giao thức mật mã cơ bản mà hệ thống bỏ phiếu điện tử của Bưu điện Thụy Sĩ dựa vào.”

Liên quan: Các chuyên gia cảnh báo về những nguy cơ do vi phạm phần mềm hệ thống cử tri

Liên quan: Báo cáo các rủi ro mạng nổi bật cho các hệ thống bầu cử của Hoa Kỳ

Liên quan: Tuyên bố sai về máy bỏ phiếu ít bị che khuất

xem quầy

Eduard Kovacs (@EduardKovacs) là một biên tập viên đóng góp tại SecurityWeek. Anh từng là giáo viên CNTT trung học trong hai năm trước khi bắt đầu sự nghiệp báo chí với tư cách là phóng viên tin tức an ninh của Softpedia. Eduard có bằng cử nhân tin học công nghiệp và bằng thạc sĩ về kỹ thuật máy tính ứng dụng trong kỹ thuật điện.

Các cột trước của Eduard Kovacs:
tags:

tại chỗ_img

di động

Tin tức mới nhất

tại chỗ_img