Asiantuntijat kauhistelevat Harri Hurstin löytämiä äänestysaukkoja
Hurstin raportti esittelee äänestyspäätteen sisuksia.
15.5.2006 10:45 It-asiantuntija Harri Hursti julkaisi BlackBoxVoting-järjestön kanssa viime viikolla raporttinsa Dieboldin äänestysjärjestelmän haavoittuvuuksista. Yhdysvaltalaiset tutkijat ja asiantuntijat pitävät aukkoja vakavimpina, mitä sähköisen äänestyksen järjestelmistä on ikinä löydetty. Pennsylvaniassa on jo määrätty äänetyspäätteet päivitettäviksi.
Hurstin raportti käsittelee tietoturvaongelmia Dieboldin kosketusnäytöillä varustetuissa TSx- ja TS6-äänestyspäätteissä, jotka ovat yleisesti käytössä Yhdysvalloissa ja Kanadassa. Julkaisu ajoittui keskelle Yhdysvaltain osavaltioiden esivaalikautta.
Vakavin aukoista antaa hyökkääjälle mahdollisuuden asentaa haittaohjelman äänestyspäätteeseen käytännössä jälkiä jättämättä, jos hyökkääjällä on fyysinen pääsy laitteen luo, raportissa todetaan.
Hurstin mukaan ohjelman voi ujuttaa laitteeseen jopa vuosia ennen sen aktivoitumista. Päätteeseen ladattu haittaohjelma voisi vääristää äänestystuloksia.
- Julkisesti saatavilla olevan dokumentaation, lähdekoodin palasten ja testauksen perusteella näyttää, että järjestelmään on useita takaovia, joita turvallisuuden näkökulmasta ei voi hyväksyä.
Aiemmat löydöt kalpenevat
Princetonin yliopiston professori Ed Felten ja Johns Hopkinsin yliopiston professori Aviel Rubin analysoivat Hurstin löytöjä Freedom-to-Tinker-blogissa.
- Tämä ei ole ensimmäinen kerta, kun Dieboldilla on vakavia tietoturvaongelmia - tämä tosin vaikuttaa pahimmalta niistä kaikista, tutkijat kirjottavat.
Aviel Rubin on analysoinut Dieboldin äänestyspäätteiden lähdekoodia ja julkaisi vuonna 2003 ensimmäisenä tietoja lähdekoodista löytyneistä tietoturva-aukoista.
- Tämä saa meidän löytämämme aukot näyttämään triviaaleilta, hän kommentoi SecurityFocus-verkkolehdelle.
Pennsylvania määräsi päivityksen
New York Timesin haastattelema tietotekniikan professori Michael I. Shamos Carnegie Mellonin yliopistosta arvioi myös, että haavoittuvuus on vakavin, mitä äänestysjärjestelmistä on koskaan löydetty.
Shamos toimii Pennsylvanian osavaltion esivaaleissa. Äänestyspäivä on huomenna tiistaina. Vaaleissa käytetään Dieboldin haavoittuvia päätteitä, joita on käytössä myös useissa muissa esivaaleissa Yhdysvalloissa tulevina viikkoina.
SecuryFocus kertoo Pennsylvanian vaaliviranomaiset lähettäneen viime viikolla Hurstin raportin vuoksi vaalivirkailijoille varoituksen ja toimintaohjeet. Määräyksen mukaan äänestyspäätteiden ohjelmisto pitää päivittää ja sen jälkeen päätteet siirtää lukkojen taakse säilöön vaalipäivään asti.
Päivittäminen ei välttämättä auta
Feltenin ja Rubinin toteavat, että järjestelmän joutumista hyökkääjän hallintaan olisi erittäin vaikea havaita, koska hyökkääjä voi väärentää myös ohjelmistopäivitysten asennuksen onnistumisesta kertovia järjestelmäviestejä.
- Tällä hetkellä ei ole mahdollista selvittää kaikkia tapoja, joilla järjestelmä voi olla haavoittuva, ja täman suuruusluokan ongelman löytyminen keskellä esivaalikautta on skenaario, jota me olemme koko ajan pelänneet.
- Uskomme, että vaaliviranomaisten ja hallituksen olisi syytä vakavasti harkita, pitäisikö kaupallisiin tuotteisiin perustuvaa laitteistoa ja käyttöjärjestelmää ylipäätään käyttää vaaleissa, Rubin ja Felten kirjoittavat.
Dieboldin äänestyspäätteissä on käytössä muokattu Windows CE -käyttöjärjestelmä.
Yksityiskohtia vain viranomaisille
Hursti ja sähköiseen äänestämiseen kriittisesti suhtautuva BlackBoxVoting-järjestö jakoivat tutkijoille ja viranomaisille täydellisen version raportista ja julkaisivat järjestön nettisivuilla karsitun version.
Hursti on luvannut lisätietoja päätteiden haavoittuvuuksista tämän päivän aikana.
Harri Hursti toimi 90-luvun lopulla internet-operaattori Eunet Finland Oy:n toimitusjohtajana ennen yhtiön myyntiä KPNQwestille. Hursti on myös F-Securen vuonna 2005 ostaman Rommon-tietoturvayhtiön perustajia ja toimi aiemmin yhtiön hallituksen puheenjohtajana.
http://www.blackboxvoting.org/BBVtsxstudy.pdf 327 KB
Jaakko Kuivalainen toimitus@digitoday.fi
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Nokia luopuu isosta massatapahtumasta
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. IPhoneen uusi alihankkija
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Taloussanomat
- Suomi löysi taas Nokian älypuhelimet 06:01
- Autonvuokrauksessa hurjat eurohintaerot 06:09
- Haluatko menestyä? Unohda nämä koulun opit 16:35
- Lumia 900:n myynti alkoi: "Näyttää erittäin lupaavalta" 06:03
- IMF-pomo: Olen enemmän huolissani Afrikan lapsista kuin kreikkalaisista 15:54
- Kevään epämukavin pikku-Fiat 06:15
- Oikeus päätti: Tekstarin lähettäjä syytön onnettomuuteen 10:13
- HS: Palkkakuilu levenee kovaa vauhtia 09:43
- Vain yksi pankki lellii asuntovelkaista korkokikkailijaa 06:01
- Taloussanomilta KHO-valitus VM:n vakuuspäätöksestä 12:58
- » Taloussanomat.fi
