sérülékenység

Kutatók kritikus sérülékenységet találtak a svájci online szavazórendszerben

 

Még zajlik a nyilvános hibakereső program, egy nemzetközi kutatókból álló csoport máris komoly biztonsági problémát fedezett fel a svájci elektronikus szavazórendszerben, amellyel a szavazatok a rendszeren belülről észrevétlenül manipulálhatóak. A biztonsági kitettség egy korszerű kriptográfiai koncepció (Zero-knowledge proof) hibás implementálásából fakad, amely a szavazatok eredetiségét hivatott garantálni a többlépcsős feldolgozás során. A biztonsági rést felfedező kutatók értesítették a rendszert fejlesztő Swiss Postot, akik közleményükben megerősítették ugyan a sérülékenység tényét, azonban a biztonsági kockázatot alacsonyabbnak ítélték, arra hivatkozva, hogy egy kihasználó támadáshoz a támadóknak előbb a Swiss Post IT infrastruktúráján kellene irányítást szerezniük, ráadásul speciális ismeretekkel rendelkező belső munkatársak segítségre is szükségük lenne. Ugyanakkor Jamie Lewis, a GCHQ egy korábbi kutatója szerint mindez nem jelenti azt, hogy a Swiss Post saját maga ne jelentene biztonsági fenyegetést a szavazás integritására nézve, éppen ezért Matthew Green kriptográfussal egyetemben javasolja a svájci kormányzat számára az online szavazási rendszer elhalasztását, noha a sérülékenység mostanra már befoltozásra került.

(motherboard.vice.com)