В швейцарской системе электронного голосования обнаружены серьезные проблемы

image

Теги: Швейцария, система электронного голосования, уязвимость

Система плохо спроектирована и представляет собой «запутанный лабиринт», в котором сложно отследить происходящее.

На минувшей неделе власти Швейцарии объявили о запуске программы вознаграждения за найденные уязвимости в системе электронного голосования. Публичное тестирование стартует только 25 февраля, однако эксперты, ознакомившиеся с исходным кодом системы и технической документацией, уже обнаружили ряд серьезных проблем, пишет издание Motherboard.

В частности, система плохо спроектирована и представляет собой «запутанный лабиринт», в котором сложно отследить происходящее и эффективно оценить, насколько корректно реализована криптография и прочие меры безопасности, считает бывшая сотрудница команды безопасности Amazon и Центра правительственной связи Великобритании Сара Джейми Льюис (Sarah Jamie Lewis).

«Большая часть системы разделена на сотни разных файлов, каждый из них сконфигурирован на разном уровне. Я привыкла иметь дело Java-кодом, работающим в разных пакетах и разных командах, но этот код даже мне сложно понять», - говорит эксперт.

По ее словам, в системе используются новые криптографические решения, которые должны быть реализованы определенным образом для возможности проведения аудита, однако разработчики значительно усложнили проведение проверки.

Беспокойство вызывает не только риск внешних атак, но и угроза со стороны инсайдеров, которые могут намеренно некорректно сконфигурировать систему и упростить возможность управления ею.

Теоретически, исходный код должен быть написан с учетом защиты, предотвращающей его некорректную реализацию, но разработчики электронной системы голосования просто добавили комментарий в исходный код, призывающий позаботиться об его правильной конфигурации, утверждает Льюис. Как правило, за конфигурацию системы электронного голосования отвечает администрация кантонов, где проводятся выборы.

Система электронной связи разработана национальным оператором почтовой связи Швейцарии Swiss Post совместно с барселонской компанией Scytl. Как утверждают представители компании, система использует сквозное шифрование, возможность расшифровки имеется только у Национальной избирательной комиссии Швейцарии.

Разработанные Scytl системы электронного голосования используются не только в Швейцарии, но и в других странах. За последние несколько лет в них неоднократно находили уязвимости, позволяющие обойти сквозное шифрование, получить доступ к результатам голосования и изменить их.

По словам представителей Swiss Post, система электронного голосования уже прошла три аудита, включая проверку реализации сквозного шифрования. Однако, отмечает Motherboard, результаты проверки никогда не обнародовались, также неясно, вносились ли какие-либо существенные изменения по результатам аудита.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.