Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Dziura w szwajcarskim systemie wyborczym

Recommended Posts

W kodzie źródłowym szwajcarskiego systemu wyborczego znaleziono poważny błąd kryptograficzny. Umożliwia on osobom z wewnątrz, które zarządzają tym systemem lub go implementują, na manipulowanie głosami.

Specjaliści z Uniwersytetu w Melbourne, kanadyjskiego Open Privacy Research Society oraz belgijskiego Uniwersytetu Katolickiego w Louvain-la-Neuve przeanalizowali upubliczniony kod systemu wyborczego i znaleźli w nim błąd.

W systemie, którym zarządza SwissPost, szyfrowane głosy muszą zostać przetasowane, by chronić prywatność wyborcy. Zarządzający przetasowaniem muszą dostarczyć matematycznego dowodu, że podczas przetasowania głosy nie uległy zmianie. Dopiero dzięki temu można zweryfikować poprawność głosowania.

Eksperci znaleźli jednak w algorytmie lukę, która pozwala na zmianę głosów i wygenerowanie kodu dowodzącego, że nie zostały one zmienione.

Nic w naszej analizie nie wskazuje, by luka taka została celowo wprowadzona, jednak jej istnienie nas martwi i budzi poważne pytania o jakość pozostałej części kodu, mówi Sarah Jamie Lewis z Kanady.

W tym przypadku analizy wskazują, że mamy tutaj do czynienia z naiwną implementacją złożonego protokołu kryptograficznego przez osoby, które działały w dobrej wierze, ale brak im było pełnej wiedzy na temat bezpieczeństwa, wyjaśnia profesor Vanessa Teague z Melbourne. Oczywiście, gdyby ktoś chciał wprowadzić taki kod, by móc manipulować wynikami wyborów, zrobiłby to w taki sposób, by wyglądało to na przypadek. Jednak nie mamy żadnych dowodów, by stwierdzić, że tak właśnie było, dodaje uczona.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      David Tate z Laceys Creek w Queensland znalazł po powrocie do domu 2 węże, które wpadły do środka przez dziurę w dachu; jeden pełzał tuż przy frontowych drzwiach, drugi po sypialni. Wydaje się, że dwa samce Morelia spilota mcdowelli walczyły o samicę (tej jednak nie znaleziono) i sufit nie wytrzymał ich ciężaru.
      Jak podkreśla Steven Brown, łapacz węży (Brisbane North Snake Catchers and Relocation), węże miały wyjątkowe rozmiary: mierzyły 2,8 i 2,5 m.
      Tate podkreślił, że widział wcześniej pytony wygrzewające się w słońcu na dachu. Gdy wróciłem do domu, na kuchennym stole leżał pokaźny fragment sufitu - powiedział Australijczyk w wywiadzie udzielonym The Courier-Mail.
      Zorientowawszy się w sytuacji, mężczyzna zadzwonił po łapacza węży. Nie chciałem ich, oczywiście, dotykać.
      Brown, który niezamierzenie zyskał międzynarodową sławę, zamieścił fotorelację z interwencji na swoim profilu na Facebooku.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Najpopularniejsze domowe rutery zawierają poważne luki bezpieczeństwa, ostrzegają specjaliści z Instytutu Fraunhofera. Peter Weidenbach i Johannes vom Dorp przeanalizowali pod kątem bezpieczeństwa 127 popularnych domowych ruterów i odkryli, że większość z nich zawiera co najmniej 1 krytyczną dziurę, a w wielu z nich znaleziono setki znanych luk. Jakby tego było mało, średnia liczba krytycznych dziur na ruter wynosiła aż 53, a nawet najbezpieczniejszy z ruterów miał 21 znanych wcześniej luk.
      Eksperci przeanalizowali rutery m.in. takich producentów jak Netgear, Linksys, D-Link, ASUS, TP-Link czy Zyxel. Sprawdzali je m.in. pod kątem aktualizacji, wersji systemu operacyjnego, obecności znanych dziur, technik ochrony zastosowanych przez producenta oraz częstotliwości ich aktualizacji, obecności prywatnych kluczy w firmware oraz obecności zakodowanych na twardo haseł dostępowych.
      Podsumowując, nasze analizy wykazały, że nie istnieje ruter bez błędów, a żaden producent nie wykonuje perfekcyjnej roboty pod kątem zabezpieczeń. Producenci muszą włożyć olbrzymi wysiłek w to, by rutery stały się równie bezpieczne jak komputery czy serwery, mówią autorzy badań.
      Co prawda użytkownicy ruterów często popełniają błędy podczas ich konfiguracji, ale to nie one są główną przyczyną, dla której rutery są podatne na ataki. Analiza jasno pokazała, że to producenci tych urządzeń, pomimo tego, że wiedzą o istniejących dziurach, lekceważą swoje obowiązki i dostarczają użytkownikom źle zabezpieczone urządzenia. To lekceważenie klienta najlepiej widać w wersji użytego systemu operacyjnego. Spośród 127 ruterów aż 116 korzystało z Linuksa. Linux może być bardzo bezpiecznym systemem. Problem jednak w tym, że w większości przypadków producenci instalowali w ruterach przestarzałe wersje oprogramowania, pełne dziur i niedociągnięć. Większość ruterów korzystała z kernela 2.6, który nie jest utrzymywany od wielu lat [ostatnia wersja tego jądra ukazała się w 2011 roku – red.]. To zaś wiąże się z duża liczbą krytycznych błędów w tych urządzeniach, napisali badacze.
      Kolejny problem to rzadkie aktualizacje firmware'u. Zbyt rzadkie niż być powinny. Nawet jednak odpowiednio częste aktualizacje nie rozwiązują problemów. Okazało się również, że producenci ruterów bardzo rzadko stosują popularne techniki zapobiegania atakom. Bywa nawet tak, że używają powszechnie znanych haseł, których użytkownik nie może zmienić. Jakby jeszcze tego było mało, okazuje się, że w firmware wielu ruterów znajdują się łatwe do pozyskanie prywatne klucze kryptograficzne. To zaś oznacza, że nawet gdy próbujesz zabezpieczyć swój ruter, to nie jest on bezpieczny.
      Nie wszyscy producenci ruterów w równej mierze lekceważą klienta. Badacze ocenili, że najlepiej zabezpiecza rutery firma AVM International, chociaż jej produkty również zawierały dziury. Także ASUS i Netgear wyróżniały się pozytywnie na tle innych. Firmy te częściej aktualizowały oprogramowanie swoich urządzeń i wykorzystywały nowsze, wciąż wspierane, wersje jądra Linuksa.
      Najgorzej zaś wypadły produkty D-Linka, Linksysa, TP-Linka oraz Zyxela.
      Szczegóły analizy można przeczytać w dokumencie Home router security report 2020 [PDF].

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Kanadyjskie bobry i rosomaki korzystają z wykopanych przez ludzi dziur w ziemi, informują naukowcy z University of Alberta. Ekolodzy badali interakcje pomiędzy zwierzętami, a dziurami pozostałymi po tym, jak wydobyto z nich materiał potrzebny do prac budowlanych. Okazało się, że gdy miejsce, w którym wydobywano piach czy żwir zostanie porośnięte przez roślinność, niejednokrotnie wprowadzają się tam bobry, a obecność bobrów pomaga rosomakom.
      Takie sztuczne jamy poszerzają habitat wielu gatunków zamieszkujących podmokłe tereny północnej Alberty, mówi współautor badań Mark Boyce z Albarta Conservaton Association. Znajdujące się w pobliżu głębokie wody oraz tereny, na których można żerować, to wspaniały ekosystem dla bobrów. A dobrze wiedzie się bobrom, rozwija się też populacja rosomaków. Onie nie tylko polują na bobry, ale również wykorzystują ich nory do wychowywania własnego potomstwa, mówi Boyce.
      W tym przypadku w wyniku działalności przemysłowej powstają nory, które są wykorzystywane przez bobry, co z kolei zwiększa populację rosomaków, naszej ikony dzikiej przyrody, dodaje uczony.
      Artykuł Beaver (Castor canadensis) Use of Borrow Pits in an Industrial Landscape in Northwestern Alberta został opublikowany na łamach Journal of Environmental Management.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      W chipsetach Intela używanych od ostatnich pięciu lat istnieje dziura, która pozwala cyberprzestępcom na ominięcie zabezpieczeń i zainstalowanie szkodliwego kodu takiego jak keyloggery. Co gorsza, luki nie można całkowicie załatać.
      Jak poinformowała firma Positive Technologies, błąd jest zakodowany w pamięci ROM, z której komputer pobiera dane podczas startu. Występuje on na poziomie sprzętowym, nie można go usunąć. Pozwala za to na przeprowadzenie niezauważalnego ataku, na który narażone są miliony urządzeń.
      Na szczęście możliwości napastnika są dość mocno ograniczone. Przeprowadzenie skutecznego ataku wymaga bowiem bezpośredniego dostępu do komputera lub sieci lokalnej, w której się on znajduje. Ponadto przeszkodę stanowi też klucz kryptograficzny wewnątrz programowalnej pamięci OTP (one-time programable). Jednak jednostka inicjująca klucz szyfrujący jest również podatna na atak.
      Problem jest poważny, szczególnie zaś dotyczy przedsiębiorstw, które mogą być przez niego narażone na szpiegostwo przemysłowe. Jako, że błąd w ROM pozwala na przejęcie kontroli zanim jeszcze zabezpieczony zostanie sprzętowy mechanizm generowania klucza kryptograficznego i jako, że błędu tego nie można naprawić, sądzimy, że zdobycie tego klucza jest tylko kwestią czasu, stwierdzili przedstawiciele Positive Technologies.
      Błąd występuję w chipsetach Intela sprzedawanych w przeciągu ostatnich 5 lat. Wyjątkiem są najnowsze chipsety 10. generacji, w której został on poprawiony.
      Intel dowiedział się o dziurze jesienią ubiegłego roku. Przed kilkoma dniami firma opublikowała poprawkę, która rozwiązuje problem. Firma przyznaje, że programowe naprawienie dziury jest niemożliwe. Dlatego też poprawka działa poprzez poddanie kwarantannie wszystkich potencjalnych celów ataku.
      Dziura znajduje się w Converged Security Management Engine (CSME), który jest odpowiedzialny za bezpieczeństwo firmware'u we wszystkich maszynach wykorzystujących sprzęt Intela.

      « powrót do artykułu
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...