Pamiętacie wpadki z polskim systemem zliczania głosów w ostatnich wyborach? W zestawieniu z informacjami zza oceanu nasz lokalny produkt okazuje się być mistrzem bezpieczeństwa, jakości i sumienności dostawcy.
Elektroniczne maszyny do głosowania w stanach Wirginia, Pensylwania i Missisipi okazały się być dziurawe jak ser szwajcarski i jeśli ktoś ich do tej pory nie zhakował to tylko dlatego, że nie spróbował.
Katastrofa goni katastrofę
W trakcie ostatnich wyborów w Wirginii jedna z komisji wyborczych zgłosiła, że elektroniczne maszyny do głosowania zainstalowane w lokalu wyświetlały błędy uniemożliwiające prawidłowe oddawanie głosów. W związku z tym powołano komisję, która miała ocenić przyczyny występowania błędów. To, co odkryła i opisała w swoim raporcie, nie mieści się w głowie. Posłuchajcie.
Maszyna do głosowania pod nazwą AVS WinVote jest laptopem z systemem Windows XP Embedded i ekranem dotykowym. Łączy się za pośrednictwem WiFi z serwerem zarządzającym. Specjaliści badający system odkryli, że sieć WiFi korzysta ze standardu WEP. WEP, poprzednik WPA, od 10 lat nie jest praktycznie stosowany ze względu na zidentyfikowane błędy pozwalające w ciągu kilku minut poznać hasło dostępu do sieci. Nawet gdyby hasła nie można było odzyskać na podstawie podsłuchu sieci, to można je było bez trudu złamać – brzmiało abcde. A to dopiero początek.
System operacyjny Windows XP Embedded nie był aktualizowany od roku 2004. Do tego udostępniał na domyślnych portach chyba wszystkie możliwe usługi. Hasło do konta administratora zostało złamane zanim test zdążył się dobrze zacząć – brzmiało admin. Za jego pomocą testerzy połączyli się zarówno ze zdalnym pulpitem jak i z udostępnionymi udziałami C$, D$ i ADMIN$.
Aby wbić ostateczny gwóźdź do trumny systemu testerzy znaleźli w systemie bazę danych Microsoft Access, przechowującą wyniki przebiegu głosowania. Baza była w tak starej wersji, że odzyskanie jej hasła dostępu zajęło kilka sekund. Hasło brzmiało shoup i pochodziło od poprzedniej nazwy firmy – dostawcy systemu.
Trywialny scenariusz ataku
Jak zatem można było zmodyfikować wyniki wyborów? Wystarczyło podejść z laptopem by znaleźć się w zasięgu sieci WiFi. Po minucie – dwóch podsłuchiwania sieci można było poznać jej hasło. Po połączeniu z siecią wystarczyło przeskanować porty komputerów, na których oddawano głosy i w ciągu kilku sekund złamać hasło administratora. Następnie trzeba było pobrać plik z bazą danych, złamać jej hasło, zmodyfikować dane o oddanych głosach i wgrać zmieniony plik do komputera. Taki atak praktycznie nie pozostawiał śladów. Wszystkie błędy mogły być odkryte dosłownie w ciągu kwadransa, zatem strach myśleć, co można było znaleźć szukając głębiej.
Stan Wirginia wycofał maszyny z użytkowania. Nie jest to pierwszy przypadek katastrofalnych błędów w amerykańskich systemach wyborczych (jeden z nich opisywaliśmy kilka lat temu). Marne to pocieszenie, lecz patrząc na to, co dzieje się za oceanem, możemy stwierdzić, że u nas wcale nie jest jeszcze tak najgorzej.
Komentarze
Przypominam, że mamy rok 2015… :D
Po pierwsze w tekscie jest mowa nie o systemie a o maszynie na której można głosować.
Po drugie jak taka maszyna która jest fatalnie zabezpieczona i to w zaledwie 2 stanach na 50 parę można porównywać z systemem którego zamanie było prostrze niz zabranie dziecku cukierka, ponieważ robił to jakiś niskiej klasy specjalista II roku studiów ? Modyfikacja systemu w polsce pozwolila na sfalszowanie wyborow w calym kraju, te 2 maszyny mogly co najwyzej zagrozic wynikowi 2 okregów wyborczych. Skala nie porownywalna
Skąd wziąłeś te „2 maszyny”? Do samych testów użyto 10 egzemplarzy.
Poza tym masz jakieś konkretne dowody na te „sfalszowanie wyborow w calym kraju”, czy op prostu silne przekonanie? Z chęcią poczytam jakieś sensowne źródło :)
Podstawa zachowania polskich lemingów – plują na mnie, bedę udawał że deszcz pada pokói któs nie przedstawi naukowych dowodów na to że to nie deszcz.
Trzeba mieć iq grubo poniżej 30 by wierzyć że te wybory nie były sfałszowane.
2 typy maszyn, a nie maszyny jednostkowe, może źle się wyraziłem.
Na kogo głosujesz w tych wyborach? Na Krula czy na Kacz.. tfu! na Dudę? :D
Pewnie masz rację, pewnie taka jest podstawa ich zachowania. Mam nadzieję, że mnie do nich nie zaliczasz, a jeżeli tak, to wskaż proszę które miejsce w moim krótkim wpisie Cię uraziło? Moją osobistą ambicją jest taki sposób formułowania wypowiedzi pisemnych, aby nikogo nie urażać – nawet osób, z którymi się nie zgadzam. Jeżeli dla kogoś moja wypowiedź jest „pluciem” to znaczy, że ciągle daleko mi do ideału.
Co do inteligencji – tu całe szczęście nie piszesz o mnie, bo ja przecież nie napisałem, że w to nie wierzę. Jednak byłbym ogromnie wdzięczny za podanie źródła (źródeł?) informacji, które upewniają Cię w tym przekonaniu. Nie muszą być naukowe.
Michał,
Nie pisałem personalnie do Ciebie pisałem o pewnych schematach / typach zachowań.
Jeżeli zadajesz mi pytanie dotyczące – „Poza tym masz jakieś konkretne dowody na te „sfalszowanie wyborow w calym kraju”, w domyśle domagasz się abym udowodnił że tak było. Stąd moje stwierdzenie że jest to postawa która opisałem w powyższym poście – „plują na mnie, bedę udawał że deszcz pada pokói któs nie przedstawi naukowych dowodów na to że to nie deszcz. ”
Jeżeli zbierzemy wszystko do „logicznej kupy”, czyli zatrudnienie niskiej klasy amatora do stworzenia systemu którego celem będzie zarządzanie, katalogowanie i liczenie głosów wyborów w „demokratycznym kraju”, dodamy do tego śmiesznie niski budżet, zmieszamy to ze zdjęciami z lokali wyobrczych gdzie głosy walały się po podgłogach, duża cześć była „nieczytalna” oraz dodamy clue które mówi o kosmicznie nie realnej liczbie głosów nieważnych (wiem że w polsce 80-90% ludzi nie rozumie czytanego tekstu) dostaniemy jasny i raczej bez sprzeczny obraz tego że „coś” jest nie tak z tymi wyborami. Teraz jeżli już mamy ustalone że „coś” jest nie tak z wyborami to zastanówmy się kto lub co spowodowało to „coś”. Biorąc pod uwagę że tylko jedna opcja polityczna miała w tym korzyść, jako jedyna miała środki, możliwości żeby to „coś” działało na jej korzyść itd itd itd itp. Na prawdę to jak tłumaczenie dziecku czemu jak podrzuci piłkę do góry to ona spada.
Brawo, Michał, że nie dałeś się sprowokować imputującemu idiocie.
@Januszek
Widać że nigdy nie pracowałeś przy wyborach i nie wiesz o czym mówisz. Nic nie wiesz o całej organizacji pracy i weryfikacji poprawności danych.
10 maja będą kolejne wybory – zgłoś się jako członek obwodowej komisji albo jako mąż zaufania do pracy przy wyborach to zobaczysz jak to wygląda od kuchni. Oprócz Ciebie zachęcam innych „niedowiarków” do tego samego. BA! możesz się również zgłosić do pracy jako Operator Obwodowej Komisji Wyborczej i czynnie uczestniczyć w procesie tworzenia protokołu obwodowego.
Mówiąc, że wybory zostały sfałszowane rzucasz oskarżenia/pomówienia w kierunku (ponad) 30.000 osób zaangażowanych w proces wyborczy (ustalania wyników wyborów).
Twoja pierwsza wypowiedź świadczy o tym, że nie znasz przepisów prawa (chociażby Kodeksu Wyborczego) jeżeli uważasz, że modyfikacja tylko systemu informatycznego jest warunkiem wystarczającym do sfałszowania wyborów w Polsce.
Wszyscy zwolennicy teorii spiskowych zapamiętajcie sobie raz na zawsze – w Polsce wybory wykonuje się ręcznie, w oparciu o protokół papierowy. Nie oddajesz głosu ani poprzez urządzenie dotykowe (jak we wspomnianym USA) ani poprzez formularz skanowany przez maszynę (np. jak w Lotto). W związku z tym, nie ma mowy o sfałszowaniu czegokolwiek poprzez system, bo system sam nie liczy głosów. Lliczą go ludzie, członkowie Obwodowych Komisji Wyborczych, którzy pochodzą z różnych Partii Politycznych / Komitetów Wyborczych. Oni patrzą sobie na ręce. Oprócz tego na ręce im patrzy jeszcze Mąż zaufania. Jeżeli dochodzi tam do jakichś nieprawidłowości to pretensje można mieć tylko do Partii Politycznych / Komitetów Wyborczych, które oddelegowały swoich zaufanych ludzi do pracy w obwodzie głosowania.
Polskie prawo daje Wam możliwość kontrolowania przebiegu wyborów i sporządzania protokołów (instrumenty wymienione powyżej). Korzystacie z tego prawa? A może siedzicie wygodnie przed telewizorem i łykacie jak pelikany co Wam wodzowie powiedzą? A oni lubią patrzeć jak się nawzajem kłócicie – wtedy łatwiej Wami manipulować i odwracać Waszą uwagę od innych arcyważnych tematów.
Poczytajcie sobie treści protestów wyborczych, które wpłynęły do Sądów i orzeczenia w tych sprawach… Fałszowanie wyborów, tia, a gdzie panujące w naszym prawie domniemanie niewinności? Wiem, wiem… to nie deszcz i nie będziesz udawał.
Jasne przecież powiedzenie że nie ważne kto głosuje ważne kto liczy głosy wzieło się z dup..
Karty walające się gdzie popadnie, instrukcje wprowadzajace w blad, chory czas zliczania glosow … itd itp
ale oczywiscie jak wspominalem dalej ludzie beda mysleli ze wszystko jest ok… To ze polacy to dosc glupi narod to widomo … ale ze az tak ?
Aha.
Łączę wyrazy szacunku,
U.
PS. No, ci Polacy, którzy nie byli w stanie zapamiętać, że nazwy państw i narodowości piszemy wielką literą, do mądrych na pewno się nie zaliczają.
I co z tego, że ci wszyscy ludzie liczą te głosy ręcznie, jeśli później wklepią je do komputera, którego zabezpieczenia tak łatwo złamać i sfałszować wynik wyborów już PO tym, jak zacni Mężowie Zaufania i inni Paladyni w Lśniących Zbrojach je klepnęli? Można je zmodyfikować na etapie przesyłania z obwodowych komisji do centrali. I w tym właśnie problem. Bo każdy będzie wierzył, że dopełnił wszelkich starań, by wynik był poprawny, i dałby się za to pokroić, święcie wierząc w swoją (i innych) uczciwość.
Polecam film dokumentalny na ten temat z 2006 roku „Hacking democracy”. Jak widać nie od dawna są zastrzeżenia do tych systemów.
@Januszek
Mama Cię nie woła na obiad? Trzeba mieć iq mocno poniżej przeciętnej żeby nawet nie zainteresować się systemem wyborczym we własnym kraju. Co Ty tu w ogóle robisz? To strona o bezpieczeństwie w sektorze IT a nie wykop.
jak ja zaglosowalem w ostatnich wyborach na panax na prezydenta i paniay do rady pani Y dostala 0 glosow a conajmniej 70 powinna miec. Dalej uwazacie ze nie bylo sfauszowanych wyborow? Mamy zdjecia wiec….
daj spokój widzisz przecież że Ci ludzie wiedzą tyle ile zjedzą + to co im TVN powie … żalosne
Proszę wszystkich o przeniesienie politycznej dyskusji na inną stronę. Kolejne komentarze nie na temat będą kasowane.
Być może dyskusja zeszła od tematu bezpieczeństwa informatycznego, nieco na bok. Ale można to potraktować jako dyskusję o bezpieczeństwie „ogólnym”. Skoro można mieszać (nawet w systemie ręcznym) przy głosowaniu, to jaką mamy pewność, że z czasem nie będziemy mieli powtórki z historii (od czasów saskich)?
A po drugie: wolny umysł lubi wątpić i szukać potwierdzenia lub zaprzeczenia stawianych tez. Też tak należy odbierać (być może momentami emocjonalne) komentarze Januszka… Amen.
Taki mały komentarz odnośnie 'wolnych umysłów’, lemmingów i innych takich bzdur.
Akurat psychologia stojąca za teoriami spiskowymi jest ostatnio często badana – to jest cały system patrzenia na świat, ignorowania faktów i wiary. Przypisywany jest często naturalnej skłonności ludzkiego mózgu do poszukiwaniu wzorców w otaczającym świecie, a także czemuś, co nazywa się błędem atrybucji (w skrócie – szukanie wyjaśnienia zdarzeń w czynach ludzi zamiast w czynnikach zewnętrznych).
Przyjmuje się, że akceptacji teorii spiskowych sprzyja osobista frustracja i poczucie utraty kontrolii and własnym losem.
Teraz, żeby nie było zupełnie obok tematu – to generalnie bardzo ciekawe jak beznadziejny był ten system, ale jestem pewien, że papierowe podkładki były na wszystko. Zdarza mi się oglądać czasami amerykańskie systemy, które, a jakże, pełny hippa compliance, w środku natomiast zgroza i windows xp.
A teraz trwają prace nad OpenPKW