В США производитель комплексов для голосования годами поставлял оборудование с бэкдором

image

Теги: США, ES&S, бэкдор

ES&S в период с 2000 по 2006 годы предоставляла небольшому числу клиентов комплексы с установленным ПО pcAnywhere.

Один из крупнейших американских поставщиков оборудования для обслуживания избирательных систем Election Systems & Software (ES&S) годами поставлял оборудование с установленным инструментом для удаленного управления. Об этом стало известно из письма ES&S, направленного сенатору-демократу Рону Вайдеру в апреле нынешнего года.

По информации журналистов издания Motherboard, которым удалось ознакомиться с документом, компания «в период с 2000 по 2006 годы предоставляла небольшому числу клиентов комплексы с установленным ПО pcAnywhere», предназначенным для удаленного управления. Инструменты наподобие pcAnywhere используются системными администраторами для удаленной техподдержки, обновления или модификации ПО. В целях обеспечения безопасности электронные системы для голосования должны быть физически изолированными, то есть без подключения к интернету и другим системам, отмечает ресурс. С помощью удаленного подключения хакеры могли бы проэксплуатировать уязвимости в pcAnywhere и инфицировать систему вредоносным ПО.

В тот же период, когда ES&S все еще устанавливала pcAnywhere на свое оборудование, хакеры украли исходный код инструмента, однако об инциденте стало известно только в 2012 году после публикации кода участниками движения Anonymous. Тогда же производитель pcAnywhere компания Symantec была вынуждена признать факт утечки.

Election Systems & Software прекратила практику в декабре 2007 года после появления новых федеральных стандартов, запрещающих установку «лишнего» программного обеспечения на электронные комплексы для голосования. В письме к сенатору Вайдеру компания мотивировала установку pcAnywhere тем, что «на то время это рассматривалось приемлемой практикой среди технологических компаний, включая других производителей оборудования для обслуживания избирательных систем».

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.