Bezpieczeństwo informatyczne wyborów

[Sebo.PL]

Oczywiście zgadzam się, że najczęściej słabym punktem systemu IT są jego użytkownicy... nie twierdzę również, że obecny system nie ma mechanizmów kontrolnych.
Oczywiste jest również, że w założeniach systemu nie było ani przesyłania certyfikatów (i haseł) e-mailem ani wydawania danych dostępowych bez sprawdzenia tożsamości osób, którym się je przekazuje.
Problem polega na nieprzestrzeganiu tych założeń, przez co login i hasło do platformy (systemu wydawania certyfikatów) mogło się dostać w ręce osoby niewylegitymowanej oraz mogło dojść do wycieku klucza prywatnego certyfikatu (u nas do tego nie doszło, tylko dlatego bo zaprotestowałem, gdy polecono nam przesłanie go zwykłym e-mailem).
Warto jednak wyciągnąć z tego co najmniej następujące wnioski:
1) Niesymetryczne klucze kryptograficzne przeznaczone dla osób niezaawansowanych powinny być generowane sprzętowo np na urządzeniach pracujących w standardzie PKCS11. Dałoby to fizyczny obraz klucza, który jest szczególnie ważny dla przeciętnego obywatela, i dzięki temu uniemożliwiło by jego nieprawidłowe przekazanie.
2) Szczegóły działania systemu powinny być powszechnie znane (zgodnie z zasadą Kerckhoffsa). To tak naprawdę jedyna droga by umożliwić szybkie wyłapanie każdej jego luki.
3) Należy też pamiętać o ujęciu w szkoleniach informacji obrazujących poziom bezpieczeństwa różnych dróg przesyłu informacji. Np Większość spotkanych przy okazji wyborów ludzi uważało, że wiadomość przekazana e-mailem jest tak bezpieczna jakby to był zwykły list zamknięty w kopertę, gdzie adresat może stwierdzić, że nie została ona otworzona przez kogoś po drodze. Tymczasem jak wiemy można by to raczej porównać do kartki pocztowej, którą nie dość, że każdy może przeczytać to jeszcze i skopiować.

[haton]

Co do zasady Kerckhoffsa to uważam, że jest przestrzegana. Piszemy przecież tutaj jak wygląda obsługa wyborów pod względem informatycznym - nic nie jest supertajne. Używane są również powszechnie znane algorytmy. Możemy do generowania używać HSMa i certyfikaty zapisywać na kartach, ale po co ? Jaka jest różnica pomiędzy kradzieżą karty a pendrivea z certyfikatem ? Jedynym rozwiązaniem jest upowszechnienie podpisu elektronicznego w dowodach osobistych i problem z głowy. W Polsce mamy ok 26k obwodów x 2 podpisy (przewodniczący + operator) co daje niezłą kasę do wydania na karty.

Kalkulator jak sam nazwa wskazuje służy tylko do podliczenia głosów i sprawdzenia błędów rachunkowych - jedyną ważną formą protokołów jest podpisana przez wszystkich członków komisji forma papierowa.

Żądanie od Ciebie certyfikatu, hasła i przesłanie tego otwartym mailem uważam za głupotę/nieodpowiedzialność/niewiedzę wiec nie będę komentował. Tak samo nie ma różnicy czy ktoś tobie dał hasło przewodniczącego w formie papierowej, ustnej czy karty kryptograficznej.

Teraz analizujemy Twój przypadek:

- dostałeś/przeczytałeś/skopiowałeś tajne hasło przewodniczącego i na nikomu nieznanej stronce :-) wygenerowałeś sobie certyfikat.

Do wykrycia. Jak pisałem wcześniej są to hasła jednorazowe, więc prawdziwy przewodniczący sam ich sobie ponownie nie wygeneruje. Wizyta w KBW i dostaje nowe, a stare są zablokowane.

- współpracujesz z operatorem kalkulatora. Wydrukowaliście prawidłowy protokół, komisja podpisała i pojechała z nimi do gminy. Wy poprawiacie w kalkulatorze liczby na własne i wysyłacie

Tu mamy 2 zonki
Informatyk w gminie będzie wiedział, że z waszego obwodu poszły 2 protokoły i telefon co się dzieje + weryfikacja sum kontrolnych protokołu papierowego i tego co poszło na serwer pokaże rozbieżności. Czyli rozplombowywanie worków i ponowne liczenie głosów.

Jako osoba z wieloletnim doświadczeniem informatycznym + ponad 10 lat w samorządzie na różnych szczeblach obawiałbym się 3 rzeczy:
- nieodpowiedzialności (również Twojej - skoro przez przypadek dostałeś hasła i od razu lecisz z nimi do prasy, to inaczej tego nie można nazwać. Jako osoba lepiej zorientowana w temacie powinieneś uświadomić im ich niewiedzę)
- dziurawego prawa (vide dyskusja na niebezpiecznik.pl o zaświadczeniach)
- braku "czucia klimatu" - demokracja ma to do siebie, że przewodniczącym komisji może zostać każdy - nawet osoba, która lekceważąco podchodzi do swoich obowiązków lub nieświadoma tego, że ujawnienie hasła ma na coś wpływ.

Po prostu komisja to praktycznie cały przekrój społeczny i wszystko może się wydarzyć. Kiedyś w mojej obecności żona- członek komisji- kazała pokazać mężowi dowód osobisty, bo inaczej nie wyda karty. Śmieszne ? Nie jeżeli masz w komisji nawiedzona osobę która aby czyha na to, by uwalić pracę komisji i wykryć spisek z fałszerstwami (oczywiście ta osoba rzucała się, że członek komisji nie sprawdził od razu dokumentu tożsamości, tylko po jej interwencji, ale reszta komisji to olała i nie umieścili w protokole)



Na podstawie jednego incydentu i tylko małej części wiedzy o Platformie Wyborczej nie oceniaj całego systemu wyborczego.

Pozdrawiam

[lem]

Teraz analizujemy Twój przypadek:
(...)
Jako osoba z wieloletnim doświadczeniem informatycznym + ponad 10 lat w samorządzie na różnych szczeblach obawiałbym się 2 rzeczy: nieodpowiedzialności (również Twojej - skoro przez przypadek dostałeś hasła i od razu lecisz z nimi do prasy, to inaczej tego nie można nazwać. Jako osoba lepiej zorientowana w temacie powinieneś uświadomić im ich niewiedzę) + dziurawego prawa (vide dyskusja na niebezpiecznik.pl zaświadczeniach)

Na podstawie jednego incydentu i tylko małej części wiedzy o Platformie Wyborczej nie oceniaj całego systemu wyborczego.

Pozdrawiam

tak apropo bolda: Fuszerka wykonawcy, szukanie luki, oferta naprawy i kajdanki | prawo | VaGla.pl Prawo i Internet
tu tez jeden mial wiedze i chcial "uswiadomic" poprzez pomoc.

to raz.
dwa informatyku z mega stażem: gminne systemy i admini?
blagam czlowieku, spadles z ksiezyca?
wasze serwery sa ruchane jak ukrainskie dziwki. nie kiwacie palcem, bo wszystko co macie w urzedowych serwerowniach (platanina kabli w calym budynku) to syf kila i mogila. jesli czegokolwiek dotykacie ze swoich przestarzalych noveli netwerow, to tylko jak przyjada 'profesjonalisci z warszawy' (haha) poklikaja troche pomrucza pod nosem i wyjda wreczajac wam hiper projesjonalny certyfikat 'poprawnosci' chujumuju.

na pytania osob nie pracujacych w 'profesjonalnych' firmach, ktore tak jak wspomniales 'chca pomoc wiedzą' informatyczna, odpowiadacie, ze nic nie mozecie przepuscic jako 'projekt' co nie jest z firmy. wiec tutaj freelancerzy odpadli w przedbiegach.

a teraz tak w ramach kulruty antywirusowej ktora najpierw stwarza z ruskimi robala a pozniej wydaje uaktualnienie do swoich produktów: dlaczego nie napieprzac wam w serwery pakietami, dlaczego nie atakowac waszych mega eskjuel indżekszyn baz, dlaczego nie krasc wam hasel, dlaczego nie przejmowac sesji adminow i na koniec dlaczego jestescie o zgrozo tak tępi, ze inwestujecie w gowno z ulotki a nie w kwiaty informatyki, ktore rozrastaja sie calymi połaciami pod waszymi nogami?

post retoryczny rzecz jasna, bo i tak chuj co dadza te wszystkie dywagacje.

[haton]

Do lema

Dla mnie komputery to pasja. Jestem pokoleniem Bajtka, -underground.org.pl, phreak.it - nawet tego nie kojarzysz. 15 lat zabawy z komputerami po kilkanaście godzin dziennie. Audytor bezpieczeństwa wg ISO IEC 27001 , oraz CCNP w Cisco. Wiem, ile wiem i nikomu nie muszę nic udowadniać. Praca w samorządzie to tylko jeden z moich etatów.

Po Twoim poście można się domyślać, że jesteś gimnazjalistą lub jakąś sfrustrowana osobą, która myślała że skończy byle jakie studia informatyczne i na wejście dostanie 10kPLN. Sorry Winnetou - nie tędy droga. To 20% talentu, 79% cieżkiej pracy i 1% szczęścia. Tu nie ma skrótów. Nie każdy może być najlepszy, ale niektórym się udaje :-)

Pokory wiec trochę, bo z takimi pyskówkami i słownictwem to nawet na śmieciarza się nie nadajesz, a co dopiero do profesjonalnej pracy.


PS. Serwerki mam na SLESie i Centosie

[lem]

Do lema

Dla mnie komputery to pasja. Jestem pokoleniem Bajtka, -underground.org.pl, phreak.it - nawet tego nie kojarzysz.

kojarze. az nad to. za to hatona z underground - nie.

15 lat zabawy z komputerami po kilkanaście godzin dziennie. Audytor bezpieczeństwa wg ISO IEC 27001 , oraz CCNP w Cisco. Wiem, ile wiem i nikomu nie muszę nic udowadniać. Praca w samorządzie to tylko jeden z moich etatów.

gratulacje, pomierzmy zatem kto ma dluzszego: ja - 10 lat w secit, zabawy z komputerami rowniez kilkanascie godzin dziennie. powiedzmy 15, jest bawimy sie w liczby. a na certyfikaty mnie nie stać. z hajsu za pentesty mam co splacac jak do tej pory.

Po Twoim poście można się domyślać, że jesteś gimnazjalistą lub jakąś sfrustrowana osobą, która myślała że skończy byle jakie studia informatyczne i na wejście dostanie 10kPLN. Sorry Winnetou - nie tędy droga.

ta, mozna sie domyslac. wiec pomoge: mam 25 lat i nie jestem sfrustrowany. jestem WKURWIONY na to co sie dzieje w obszarze IT w polsce. slownictwo nie ma tu nic do rzeczy, mooooze oprocz odbicia wewnetrznych opinii na temat zachowan na rynku i 'specjalistow' z tym zwiazanych. aha, studia 'informatyczne' rzucilem, bo zakres materialu ze szkoly przerabialem w tygodniowym projekcie. wiec faktycznie 'nie tedy droga'. wole napierdalac 3 ksiazki tygodniowo niz sleczec nad pascalem na studiach.

To 20% talentu, 79% cieżkiej pracy i 1% szczęścia. Tu nie ma skrótów. Nie każdy może być najlepszy, ale niektórym się udaje :-)

wątpie. raczej liczylbym to w 20% ciezkie zapierdalanie na klawiaturze w pocie czola. 79% znajomosci. 1% szczescie. ale opinie sa podzielone.

Pokory wiec trochę, bo z takimi pyskówkami i słownictwem to nawet na śmieciarza się nie nadajesz, a co dopiero do profesjonalnej pracy.

dziekuje za te wszystkie komplementy gdybym byl pokorny uzywalbym programow zgodnie z ich przeznaczeniem, rozwiazujac wszelkie problemy helpem z F1. licze, ze sarkazm tu zrozumiesz

PS. Serwerki mam na SLESie i Centosie

jestem z Ciebie dumny.

a tak z innej beczki, skoro tak bardzo Cie urazilem - wybacz i kajam sie o ja bogobojny. w koncu jestes z phreak.it...

a teraz wybacz, musze doklikac raport, bo mam i tak juz zarwana przez to noc.

pozdrawiam czule i zycze dalszych sukcesow.

[haton]

Haton to login wymyślony naprędce i na potrzeby tego forum.

atmosfera phreak.it , underground, zarwane noce nad jakiś problemem - to se nevrati i niektórzy nie zrozumieją tamtych czasów - Urmetów, abloyów itp

wiek niestety już> 30 :-( i człek musiał sporządnieć i spoważnieć

Mnie też wkurzają durne przepisy, preferowanie niektórych firm i traktowanie informatyków jak ludzi od wszystkiego - rozciągania kabli, programowania centralki telefonicznej, alarmowej i obsługa wszystkiego co ma w nazwie komputer, ale z mentalnością niektórych się nie wygra.

W urzędach jak i w każdej inne pracy można znaleźć i naprawdę dobrych specjalistów i zwykłych partaczy - reguły nie ma. W jednej firmie kupuje 3 serwerki po 20kPLN bo skoro trzeba to trzeba, a w innej tłumacz się z zakupu myszy czy głośników za 40 zł - taki folklor

Sorry, jeżeli uraziłem w poprzednim poście, ale jest mnóstwo dzieci neostrady, którzy piszą dla samego pisania.


PS. Cierpliwość jest cnotą w IT, gdy ma się setkę nierozgarniętych użytkowników
Ps.1 Wszystkie protokoły poszły wczoraj przed 21.30
PS.2 Co do sukcesów, to robię to co od lubię i za to jeszcze nieźle płacą wiec i Tobie życzę.
PS.3 co do sarkazmu to mam podobny typ humoru i dość dużo dystansu do siebie.

pozdrawiam

[lem]

... i dlatego i ja chylę czoła i zwracam honor.

[markossx]

Moim zdaniem temat wystarczająco rozjaśniony, dodatkowo szacun za fajne załagodzenie
zamykam.