Kaip Arūnas
i-rinkimus laužė...
Seniai seniai...
Tuomet...
Dar vėliau...
Dabar...
Democracy is the worst form of government ... except for all those other forms that have been tried from time to time.
- Winston Churchill, 1947
E-balsavimas
Kai balsai surenkami ir skaičiuojami el. priemonėmis
I-balsavimas
Kai balsavimas yra vykdomas internetu, naudojant rinkėjo kompiuterį
Privalumai
- Patogiau
- ypač jaunimui
- Prieinamiau
- emigrantams, neįgaliesiems
- Pigiau (?)
Trūkumai
- Saugumas
- Preinamumas atakoms
- Saugumas
- Institucijų kompetencijos spragos
- Saugumas
- Vartotojų IT raštingumas
- Anonimiškumo užtikrinimas
- Kaina
Trūkumai (2)
Trūkumai (3). Kompetencija
- Rinkėjo puslapis
- Sergu.lt
- Ada.lt
- ir t.t.
Trūkumai (4)
Vienas konkretus atvejis
Spraga #1. Kompetencija
Spraga #2. Registracija
- Rinkimuose dalyvauti gali internetu užsiregistravę Marijampolės krašto gyventojai:
- Arūnas Liuiza, adresas Kaune
- Juozas Kazlauskas, adresas atsitiktinis Marijampolėje
- Mindaugas P*********, žmogus, kurio adresą Marijampolėje išgooglinau.
- Neringa *********, pažįstama marijampolietė.
Spraga #3. Patvirtinimas
- Patvirtinimui reikia sumokėti 1€ per Paysera Tickets
- Paysera smulkias operacijas leidžia atlikti nepatvirtinus tapatybės.
- Paysera leidžia už pirkinius atsiskaityti Maksimos kasose ir Perlo terminaluose, nepatvirtinant tapatybės.
Spraga #4. Kompetencija
- 2017 m. sausio 26 d. aptinkama ir ištaisoma didelė saugumo spraga WordPress 4.7-4.7.1 versijose
- 2017 m. vasario 1 d. apie spragą pranešama viešai.
- po ~1 min. prasideda masinis tos spragos išnaudojimas svetainių nulaužimui.
- 2017 kovo 1 d. atsitiktinai pastebiu, kad liberalai vis dar naudoja pažeidžiamą WordPress 4.7 versiją.
- Pranešu info@ el. paštą, taip pat - asmeniškai per pažįstamus liberalus.
Spraga #4. Kompetencija (2)
- 2017 m. kovo 3 d. svetainė vis dar pažeidžiama. Privačiai užsimenu, kad po kelių dienų šią informaciją paviešinsiu.
- 2017 m. kovo 4 d. WordPress atnaujintas iki 4.7.2 (tuo metu naujausios) versijos
- 2017 m. liepos 20 d. liberalai.lt vis dar naudoja 4.7.2 versiją (per tą laiką išleistos versijos: 4.7.3, 4.7.4, 4.7.5 ir 4.8)
Spragos demostracija
Spraga #4. Kompetencija (3)
- Liberalų tinklalapis nukreipia į Google formą
- Sukurti savo formos kopiją - 15 min.
- Parašyti skriptą kuris per API sukelia duomenis iš mano formos į jų - 30 min.
- Prieš surašant pakeisti kontaktinius duomenis į mano valdomus - 10 min.
- Žala:
- programišius gauna visus besiregistruojančių asmens duomenis, įskaitant ir asmens kodą (!)
- programišius valdo visų prisregistravusių žmonių balsus per rinkimus
Spraga #5. Phishing
http://www.liberalai.lt/partija/pirminiu-rinkimu-dalyvio registracija
http:/liberalupartija.lt/partija/pirminiu-rinkimu-dalyvio registracija
Spraga #5. Phishing
Spraga #5. Phishing(2)
Spraga #5. Phishing
- Liberalupartija.lt tinklalapis atrodo taip pat
- Sukurti vieno psl kopiją - 5 min.
- Sukurti visos svetainės kopiją - 15 min.
- Pridėti HTTPS, kad atrodytų dar saugiau - 10 min.
- + veiksmai iš praeito punkto
- Žala:
- programišius gauna dalies besiregistruojančių asmens duomenis, įskaitant ir asmens kodą (!)
- programišius valdo dalies prisregistravusių žmonių balsus per rinkimus
Spraga #6. Anonimiškumas
- Prisijungimo prie balsavimo duomenys yra siunčiami el. paštu. Kaip supratau, plain text.
ir t.t.
- Malware
- Man-in-the-middle
- ...
Atšaukta
Klausimai
Kaip Arūnas i.rinkimus laužė
By Arūnas Liuiza
Kaip Arūnas i.rinkimus laužė
- 2,594