Na stronie jednego z urzędów od kilku dni dostępne były dane potrzebne do logowania do wersji szkoleniowej i testowej systemu Wsparcia Organów Wyborczych. Każdy, kto je poznał, mógł wziąć udział w dzisiejszych testach wydajnościowych.
System wspierający tegoroczne wyboru prezydenckie został wyposażony w trzy udostępnione użytkownikom środowiska – szkoleniowe, testowe oraz produkcyjne. W środowisku testowym przeprowadzano dzisiaj testy wydajnościowe, w których teoretycznie mógł wziąć udział każdy przypadkowy internauta.
Login i hasło na stronie urzędu
Poznański Urząd Miasta postanowił najwyraźniej znacząco rozszerzyć zakres testów platformy wspierającej nadchodzące wybory prezydenckie i w sekcji Pomoc Techniczna opublikował login i hasło dla użytkowników testowych.
Login i hasło opublikowane na stronie urzędu
Według naszego informatora hasło jeszcze chwilę temu pozwalało na dostęp do systemu testowego.
Ekran systemu wyborczego
Urząd nie widzi ryzyka
Kiedy tylko otrzymaliśmy taką informację, zgłosiliśmy to urzędowi. Bardzo szybko otrzymaliśmy odpowiedź zastępcy dyrektora Wydziału Organizacyjnego urzędu, pana Wojciecha Kasprzaka, która trochę nas zaskoczyła:
Może nasze standardy bezpieczeństwa, wsparte doświadczeniem z poprzednich wyborów, są nieco przesadzone, ale widzimy kilka ryzyk związanych z takim podejściem:
- wpuszczenie osób nieautoryzowanych do systemu testowego lub szkoleniowego zwiększa ryzyko przełamania jego zabezpieczeń (bez znajomości infrastruktury środowisk testowych i produkcyjnych a szczególnie poziomu ich separacji trudno rozważać dalsze skutki, ale nie można też założyć ich braku a potencjalne błędy wykryte w środowisku testowym być może da się wykorzystać do ataku na środowisko produkcyjne)
- nieautoryzowany dostęp do środowiska testowego w trakcie testów wydajnościowych mógł np. spowodować nieprawdziwy wynik testów
- jak pokazał przykład Wrocławia posiadacz hasła do wspólnego konta mógł je modyfikować, utrudniając dostęp innym użytkownikom systemu w trakcie testów
Publiczne udostępnienie loginu i hasła do systemu testowego nie spowodowało żadnych bezpośrednich konsekwencji, jednak w tak delikatnej materii jaką są wybory prezydenckie chyba lepiej jest dmuchać na zimne.
Komentarze
Porazka stan fundamentow polskiej demokracji jest zenujaco niski, wtf? https://wolnewybory.wordpress.com
A jeśli filtrują wszystkie zapytania do systemu i sprawdzają.. jakich metod używali atakujący + które były skuteczne? :)
„To produkcyjnej czy testowej?”
No przecież jak soft dobrze działa w fazie testowej, to będzie dobrze działać również po przeniesieniu na produkcję, czyż nie? ;>
Hasło nadal działa, ale samo środowisko jest bardzo, bardzo ubogie…
To super pomysł, służby pewnie w ten sposób monitoruą ruch i wszelkie zagrożenia wyłapują już teraz. Tak powinno testować się systemy. Najlepszą formą obrony jest przyjęcie ataku i zaskoczenie przecinika.
To teraz główne pytanie, czy oni rzeczywiście są w stanie monitorować ten ruch i czy to jest faktycznie feature, czy jednak bug???
nawet http://www.kbw.gov.pl/ niedostepna :) 1.30 AM