Muad'Dib
.:.Carpe.Diem.:.
  
Dabei seit: 12.06.2007
Beiträge: 8.284
Herkunft: 51°N/11.5°E Jena/Thuringia
 |
|
 Die Schweiz kurz vor dem Härtetest ihres E-Voting-Systems |
     |
Am Montag startet der von der Schweizerischen Post lancierte Intrusiontest des E-Voting-Systems, doch schon jetzt gibt es Bedenken wegen der Sicherheit.
Am Montag, den 25. Februar wird er beginnen, der öffentliche Penetrationstest der Schweizerischen Post und soll bis 24. März dauern. Vier Wochen also, in denen IT-Security-Spezialisten und Hacker Zeit haben, um das einzig verbliebene E-Voting-System in der Schweiz dem Härtetest zu unterziehen. Bis zu 50.000 Franken (rund 44.000 EUR) winken erfolgreichen IT-Experten, je nachdem welches Sicherheitsproblem sie ausfindig machen.
Ein "Maulkorb" für die Tester
Wer beim "Public Intrusion Test" (PIT) mitmachen will, muss sich registrieren und die Nutzungsbedingungen akzeptieren. Dann gibt es den Zugang zum Quellcode. Dafür ist man verpflichtet, bei Entdeckung einer Sicherheitslücke diese der Post umgehend mitzuteilen und eine Wartefrist abzuwarten (laut Medienberichten 45 Tage), bevor die Schwachstelle veröffentlicht werden darf. Bis zum 18. Februar seien bereits rund 30 Hinweise eingereicht worden, und für den PIT seien rund 2500 Anmeldungen aus aller Welt eingegangen, teilt die Post mit. Falls nach der Wartefrist Schwachstellen publiziert würden, dürfen lediglich die "relevanten Teile des Quellcodes zitiert werden". Verboten ist jedoch, den Quellcode weiterzugeben oder zu publizieren. Das betrachten viele IT-Experten als Maulkorb.
Schweizer "Crypto Valley": E-Voting auf Blockchain-Basis in Zug
Dumm nur, dass der Source-Code für das E-Voting-System der Post (der auf einer Lösung von Scytl, eine spanischen Firma für E-Government-Software, basiert) vorletzte Woche auf GitLab unter einem Account "fickdiepost" aufgetaucht ist. Was an sich unproblematisch wäre, da die Post ja ohnehin am 7. Februar den Quellcode prinzipiell zur Verfügung stellte. Mittlerweile werden die Webadressen, unter denen der geleakte Quellcode zu finden war, blockiert. Bei GitHub wird ein "DMCA Takedown" vermutet.
275.000 Zeilen Java-Code, dürftige Dokumentation
Dennoch wird nun an verschiedenen Orten – inzwischen weltweit – der Programmcode uneingeschränkt geprüft. Und vielfach für zu leicht befunden. Respektive auch auf eigenartige Weise unzugänglich. So bemängelte das Schweizer Online-Magazin Republik in einem detailfreudigen Artikel "das Gebaren der Post, dem interessierten Fachpublikum 275.000 Zeilen Java-Code mehr oder weniger kommentarlos hinzuwerfen (und) auf Nachfragen per E-Mail nicht zu reagieren".
Die mit dem Quellcode gelieferte Dokumentation zu Kompilierung und Deployment sei recht dürftig, wird von Beobachtern bemängelt. Konkret sind darin keine Anleitungen auffindbar, um eigene Abstimmungen und Wahlen durchzuführen, so Hernâni Marques, Pressesprecher des Schweizer CCC. Dazu wäre die Post aber per Gesetzgebung eigentlich sogar verpflichtet. Auf Nachfragen von Marques, gab es von der Schweizer Post bisher keine Antworten.
Noch dazu gebe es laut Republik keinerlei "Anleitung, wie die zahlreichen Komponenten und Dienste in Betrieb genommen werden und wie sie miteinander kommunizieren können". Die im Projekt federführende Bundeskanzlei rechtfertigt sich in den Medien: "Falls Sie finden, die Systemdokumentation sei unvollständig oder der Quellcode sei zu schwer zum Laufen zu bringen, können Sie der Post Ihre Erkenntnisse melden."
Bei Sarah Jamie Lewis, laut Vice eine frühere Ingenieurin für IT-Sicherheit bei Amazon und Ex-Mitarbeiterin des englischen Geheimdiensts GCHQ, gingen ebenfalls gleich "sämtliche Warnsignale an". In einem Artikel des englischen Online-Magazins beschreibt sie obige Ausgangssituation analog: "Der Großteil des Systems ist in Hunderte von verschiedenen Dateien aufgeteilt, wobei jede Datei auf unterschiedlichen Schichten konfiguriert ist." Sie sei gewohnt mit Java-Code umzugehen, "der kreuz und quer zwischen verschiedenen Paketen und verschiedenen Entwicklerteams läuft", doch der Code der E-Voting-Plattform "bezwingt irgendwie selbst meine Auffassungsgabe".
Viel Kritik von Spezialisten
Lewis lässt in den diversen Tweets zu ihren Untersuchungen des Quellcodes und der Kryptographiemodule kaum ein gutes Haar an dem E-Voting-System. Es sei mangelhaft konstruiert, wie ein verschachteltes Labyrinth, in dem es schwierig sei zu begreifen, was passiere und darüber gar festzustellen, ob es denn überhaupt sicher sei. Sarah Jamie Lewis, die heute für Open Privacy arbeitet, eine kanadische Non-Profit-Organisation, will es kaum begreifen, wie dilettantisch der Code ist. Die Datenschutzforscherin: "Je genauer du hinsiehst, desto mehr Fehler findest du", stellt sie fest. "Im Ernst, dieser Code weist nicht einmal die Annäherung an einen Standard auf, der von einem System erwartet wird, welches die Integrität von öffentlichen Wahlen sicherstellen soll", so Lewis.
Auch der Kryptoexperte Matthew Green, Informatikprofessor an der Johns Hopkins University, äußerte sich öffentlich, u.a. auf Vice/Motherboard und Twitter: "Ich liebe komplizierte Kryptografie, aber das macht sogar mir Angst". Seines Wissens habe noch nie jemand ein Wahlsystem mit einem derartigen Komplexitätslevel eingesetzt. Laut seiner Expertise habe das System Schwachstellen, die er im Quellcode gefunden habe. Die Post habe von der Kritik Kenntnis genommen und reagierte mit der Antwort, dass diese Beobachtungen bereits zuvor gemacht worden seien, die "durch einen renommierten Schweizer IT-Spezialisten über den dafür vorgesehenen Prozess eingereicht wurden". Nach der Analyse sei die Post zum Fazit gelangt, dass es sich dabei nicht um eine Schwachstelle handle. Das Statement der Post lässt sich zusammen mit einigen anderen Rückmeldungen zum Leak des Quellcodes hier nachlesen.
Bereits etliche Sicherheitslücken gefunden
Seit neuestem hat sich auf Twitter eine Gruppe "setuid0" mit zahlreichen weiteren Schwachstellen und Sicherheitslücken präsentiert, die sie im Programmcode gefunden habe. Die Sicherheitsforscher und "WhiteHats" haben bislang sechs Reports ihres Auditings erstellt und sind laut eigenen Angaben in konstruktiver Kooperation mit der Post.
Auch bei Republik hat man die Hoffnung nicht aufgegeben und versucht, das System in Betrieb zu nehmen. Man habe "ein öffentliches Code Repository erstellt, in dem wir den Code der Post um die fehlenden Informationen laufend ergänzen. Beiträge und Korrekturen sind herzlich willkommen!" Für Matt Green indessen ist das am Montag beginnende Bug-Bounty-Programm keinesfalls das "richtige Werkzeug, um etwas so Komplexes und Fragiles zu untersuchen". Trotz aller Vorab-Kritik lässt sich die Post nicht beirren und bleibt dabei, dass die Intrusionstests wie geplant durchgeführt werden.
Nur wenige Angriffsmethoden erlaubt
Der Haken bei der Sache: Laut den Nutzungsbedingungen sind eine ganze Reihe von Angriffsmethoden, die das E-Voting-System knacken könnten, überhaupt nicht zulässig. Laut Republik könne man vereinfacht sagen, dass "Bund und Post im Rahmen des Intrusionstests nur direkte Angriffe auf das Kernsystem der E-Voting-Infrastruktur" zulassen. Aber selbst DDoS-Attacken sind untersagt. Und "Social Engineering" etwa, also indirekte Angriffsmethoden, die bei den Abstimmenden ansetzen, sind ebenfalls explizit verboten. Aber auch die Voting-Hardware muss für den PIT unberührt bleiben. So ist es etwa untersagt, Malware auf die Computer der Abstimmenden zu bringen, um damit Stimmen lesen zu können oder die E-Voting-Infrastruktur bzw. die kantonalen Zentralen zum Versand der E-Voting-Codes anzugreifen und zu unterwandern.
Nicolas A. Rimoldi, Kampagnenleiter der Volksinitiative für ein E-Voting-Moratorium findet: "Der Test ist einfach nur ein schlechter Witz". Das Vertrauen der Bevölkerung in die Demokratie dürfe nicht aufs Spiel gesetzt werden. In den Medien sagte er: "Das wäre der Super-GAU, doch genau das macht die Post, indem sie alle realen Bedrohungen vom Test ausschließt." Die Post wehrt sich: Grundsätzlich gehe es im PIT nicht darum, Angriffsszenarien zu testen, die bekannt seien.
Zweifel an beweisbarer Sicherheit
Ob sich aber auch Geheimdienste oder kriminelle "BlackHat"-Hacker an die Vorgaben der Post halten würden, steht eher in den Sternen. "Kriminelle und strategische Organisationen nehmen viel größere Beträge in die Hand, um Angriffe zu entwickeln. Daher ist es unwahrscheinlich, dass sie den Schweizern ihr Cyber-Arsenal für Preissummen zwischen 100 bis 50.000 Franken offenlegen werden", tönt es aus Kreisen des Initiativkomitees "Ja zum E-Voting-Moratorium".
Denn zu guter Letzt lässt sich als Fazit feststellen, dass sich die Sicherheit von E-Voting nie endgültig wird garantieren oder gar beweisen lassen, zumal immerzu Angriffe möglich sind, welche die Sicherheitsschranken des E-Voting-Kernsystems umgehen – wie der Chaos Computer Club Schweiz (CCC-CH) in einem Zeitungsbeitrag argumentiert. Dies wird von den E-Voting-Befürwortern auch nicht behauptet. Bund und Post wollen mit dem am Montag beginnenden Intrusionstest aber eine größtmögliche Sicherheit erzielen. Doch wenn der Test als erfolgreich verkauft wird, ohne alle anderen ausgeschlossenen Systemhacking-Methoden zu bedenken, ist vermutlich Feuer unterm Dach der Demokratie. (tiw)
Quelle: https://heise.de/-4316841
__________________
| Multifeed Triax Unique 3°e>28°e & motorized FiboStøp120/90/75/55 |
|| VU+ Solo 4K & Blindscan|Mio 4K|Denys H265|S3mini|X-xx0|DVB-Cards ||
Ich bremse nicht für Schnarchroboter. ®²º¹³ Muad'Dib
Alle meine posts stellen meine persönliche und freie Meinungsäußerung dar.
|
|
