28.04.2015 | 14:19

Adam Haertle

Hasło do systemu wyborczego na stronie urzędu – Ty też mogłeś testować

Na stronie jednego z urzędów od kilku dni dostępne były dane potrzebne do logowania do wersji szkoleniowej i testowej systemu Wsparcia Organów Wyborczych. Każdy, kto je poznał, mógł wziąć udział w dzisiejszych testach wydajnościowych.

System wspierający tegoroczne wyboru prezydenckie został wyposażony w trzy udostępnione użytkownikom środowiska – szkoleniowe, testowe oraz produkcyjne. W środowisku testowym przeprowadzano dzisiaj testy wydajnościowe, w których teoretycznie mógł wziąć udział każdy przypadkowy internauta.

Login i hasło na stronie urzędu

Poznański Urząd Miasta postanowił najwyraźniej znacząco rozszerzyć zakres testów platformy wspierającej nadchodzące wybory prezydenckie i w sekcji Pomoc Techniczna opublikował login i hasło dla użytkowników testowych.

Login i hasło opublikowane na stronie urzędu

Login i hasło opublikowane na stronie urzędu

Według naszego informatora hasło jeszcze chwilę temu pozwalało na dostęp do systemu testowego.

Ekran systemu wyborczego

Ekran systemu wyborczego

Urząd nie widzi ryzyka

Kiedy tylko otrzymaliśmy taką informację, zgłosiliśmy to urzędowi. Bardzo szybko otrzymaliśmy odpowiedź zastępcy dyrektora Wydziału Organizacyjnego urzędu, pana Wojciecha Kasprzaka, która trochę nas zaskoczyła:

Nie wiedzę żadnego zagrożenia, loginy i hasła oraz kody zostały wygenerowane tylko na testy i szkolenia i zostaną po testach SI przed dniem głosowania unieważnione. Osoby funkcyjne i operatorzy będą posiadać własne, indywidualne kody dostępu inne niż testowe. Przekazywane i doręczane indywidualnie za potwierdzeniem odbioru. Dodatkowo komputery obsługujące komisje będą certyfikowane. Testy mają charakter wydajnościowy.

Może nasze standardy bezpieczeństwa, wsparte doświadczeniem z poprzednich wyborów, są nieco przesadzone, ale widzimy kilka ryzyk związanych z takim podejściem:

  • wpuszczenie osób nieautoryzowanych do systemu testowego lub szkoleniowego zwiększa ryzyko przełamania jego zabezpieczeń (bez znajomości infrastruktury środowisk testowych i produkcyjnych a szczególnie poziomu ich separacji trudno rozważać dalsze skutki, ale nie można też założyć ich braku a potencjalne błędy wykryte w środowisku testowym być może da się wykorzystać do ataku na środowisko produkcyjne)
  • nieautoryzowany dostęp do środowiska testowego w trakcie testów wydajnościowych mógł np. spowodować nieprawdziwy wynik testów
  • jak pokazał przykład Wrocławia posiadacz hasła do wspólnego konta mógł je modyfikować, utrudniając dostęp innym użytkownikom systemu w trakcie testów

Publiczne udostępnienie loginu i hasła do systemu testowego nie spowodowało żadnych bezpośrednich konsekwencji, jednak w tak delikatnej materii jaką są wybory prezydenckie chyba lepiej jest dmuchać na zimne.

Aktualizacja 2015-04-28 15:00
W tym samym serwisie internetowym można także pobrać plik ZIP, opisany jako lista jednorazowych kodów testowych przewodniczacych okw (002-257) (ZIP, 910.81KB) który de facto nazywa się Lista kodow na bazie produkcyjnej 002 – 257.zip. To produkcyjnej czy testowej?
Powrót

Komentarze

  • 2015.04.28 14:32 Stas

    Porazka stan fundamentow polskiej demokracji jest zenujaco niski, wtf? https://wolnewybory.wordpress.com

    Odpowiedz
  • 2015.04.28 14:58 Łukasz

    A jeśli filtrują wszystkie zapytania do systemu i sprawdzają.. jakich metod używali atakujący + które były skuteczne? :)

    Odpowiedz
  • 2015.04.28 15:36 Adam

    „To produkcyjnej czy testowej?”
    No przecież jak soft dobrze działa w fazie testowej, to będzie dobrze działać również po przeniesieniu na produkcję, czyż nie? ;>

    Odpowiedz
  • 2015.04.28 15:43 Maciek

    Hasło nadal działa, ale samo środowisko jest bardzo, bardzo ubogie…

    Odpowiedz
  • 2015.04.28 18:10 Jan

    To super pomysł, służby pewnie w ten sposób monitoruą ruch i wszelkie zagrożenia wyłapują już teraz. Tak powinno testować się systemy. Najlepszą formą obrony jest przyjęcie ataku i zaskoczenie przecinika.

    Odpowiedz
    • 2015.04.28 21:08 Adam

      To teraz główne pytanie, czy oni rzeczywiście są w stanie monitorować ten ruch i czy to jest faktycznie feature, czy jednak bug???

      Odpowiedz
  • 2015.04.30 01:29 imie

    nawet http://www.kbw.gov.pl/ niedostepna :) 1.30 AM

    Odpowiedz

Zostaw odpowiedź do Jan

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Hasło do systemu wyborczego na stronie urzędu – Ty też mogłeś testować

Komentarze