Strona 1 z 3 123 OstatniOstatni
Pokaż wyniki 1 do 10 z 28

Temat: Bezpieczeństwo informatyczne wyborów

  1. #1

    Domyślnie Bezpieczeństwo informatyczne wyborów

    Tak się składa, że zapisałem się do OKW, na której wiceprzewodniczącego następnie zostałem powołany. Dało mi to możliwość legalnego skorzystania z przygotowanego na tę okazję systemu informatycznego i muszę zaalarmować, bo jest on pełen dziur.
    1. Przy odbieraniu loginu i hasła OKW do Platformy Wyborczej nikt nie sprawdzał mojej tożsamości. Spytano mnie jedynie o numer komisji i o imię i nazwisko (z tego co wiem to skład komisji jest publikowany - więc nie jest problemem uzyskanie tych danych).
    2. Następnym krokiem jest wygenerowanie klucza RSA i pobranie certyfikatu ze wspomnianej Platformy Wyborczej. Tu dość istotnym niedociągnięciem jest to, że sam certyfikat główny nie jest rozpowszechniony ani certyfikowany przez inny powszechnie zaufany CA. Skontaktowałem się w tej sprawie z łącznikiem informatycznym, lecz nie uzyskałem od niego informacji umożliwiającej jego potwierdzenie (prosiłem o podyktowanie odcisku palca), a jedynie polecenie bym nie przejmował się ostrzeżeniami
    Z tego co wiem to jeszcze nie wszystkie komisje odebrały swoje dane do logowania - ciekawe czy znajdzie się jakiś haker, który pokaże ile jest wart obecny system.

    Więcej na Off-Topic :: Bezpiecze

  2. Domyślnie

    Dobry temat!
    Czy możesz sprawdzić, w jaki sposób klient łączy się z centralą? Jaka jest metoda szyfrowania połączenia?
    Proszę, pamiętaj nie podawać żadnych danych ułatwiających przeprowadzenie ataku (adresy ip, numery portów it).

    Pozdr,

  3. #3
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    chyba należy to pozostawić bez komentarza

    zaczynam się jednak martwić o wynik wyborów...ktoś czasem może zebrać 130%...oby nie Andrew...

    @Sebo.pl pisz jak coś będziesz wiedział więcej, może unieważnią wybory partactwo jak zwykle

    Pozdrawiam

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    brak mozliwosci uzyskania odcisku klucza nawet przez telefon to totalna porazka... znam firmy ktore wystawiaja klucz PGP i podaja osobny nymer telefonu pod ktorym mozna potwierdzic ze klucz PGP jest prawdziwy (weryfikacja odcisku, itd)... ale widac dla nasza OKW to juz zdecydowanie za duzo... zal i tyle :-/
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5

    Domyślnie Certyfikaty i hasła przesyłane NIESZYFROWANYM e-mailem!

    Nie no teraz to już pobili sami siebie. Właśnie przed chwilą dostałem informację od mojej łączniczki informatycznej, że mam jej wysłać na agamick[at]wp.pl certyfikat PKCS12 przewodniczącego komisji i HASŁO do niego zwykłym NIESZYFROWANYM e-mailem.
    Jak powiedziałem, że tego nie zrobię, bo to narusza chyba wszelkie możliwe reguły bezpieczeństwa informatycznego, to zostałem poinformowany, żebym nie wydziwiał i że wszystkie pozostałe komisje nie robiły takich problemów.
    A tu podaję linki:
    - https://wybory.kbw.gov.pl/certyfikaty/
    - Oprogramowanie dla komisji obwodowych
    - Oprogramowanie dla komisji obwodowych
    - Oprogramowanie dla komisji obwodowych
    - Oprogramowanie dla komisji obwodowych
    Powyższe linki można wygooglować (sam nie mam ich z oficjalnego źródła tylko wygoglowałem bo nie mogłem się dogadać z łącznikiem)
    Ostatnio edytowane przez Sebo.PL : 06-17-2010 - 21:59

  6. #6

    Domyślnie

    to wyslij jej maila, zeby przeslala ci swoje nagie fotki. i tez niech nie wydziwia, bo inne komisje przesylaja na luzie.

  7. #7
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    Nie da się zbudować dobrego systemu na prędce - nie da się.
    Ciekawe swoją drogą kto i ile łyknął za wygenerowanie ca i certów :P
    ***********
    * markossx *
    ***********

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Nawet jesli CA jest prywatne (tak jak to wyglada tutaj) to mozna ustawic serwer aby wymagal od klietna identyfikacji certyfikatem... i rozpoznawane moga byc tylko certyfikaty podpisane przez to samo CA
    Nawet jesli CA jest prywatne to nie ma to wiekszego znaczenia - zobaczcie jak dziala OpenVPN - ten sam mechanizm. Serwer WWW tez mozna ustawic aby sprawdzal certyfikat klienta... jesli cert nie pasuje albo nie podpisany wlasciwie to polaczenie jest zrywane - wiele firm tak realizuje dostep do API - daje certyfikat klientowi i tylko majac podpisany przez nich cert mozna uzyskac polaczenie z API/back-end'em

    Pamietac tylko trzeba, ze kazdy system PKI jest tak bezpieczny jak bezpieczne sa klucze ktorych on uzywa... a wysylanie klucza razem z haslem na skrzynke na wp.pl to sorry... nie bede komentowal lepiej.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9

    Domyślnie Certyfikat przewodniczącego nie wiele da

    Każdy protokół wysłany przez internet jest weryfikowany czy jest zgodny z tym co zostało podpisane przez komisję i przywiezione na papierze, tak więc zdobycie certyfikatu przewodniczącego (zabezpieczonego przed użyciem hasłem) może co najwyżej trochę skomplikować pracę komisji ale nie ma żadnego wpływu na wynik wyborów
    Ostatnio edytowane przez MariuszR : 06-18-2010 - 19:23

  10. #10

    Domyślnie

    Pieniacz z Ciebie i tyle. Chociaż w przypadku Sebo.PL potwierdza się powiedzeniem, że najsłabszym ogniwem jest człowiek.


    Akurat jestem koordynatorem ds. informatyki i od lat obsługuję wybory, więc wiem jak to wyglada.

    1. Każda komisja ma swojego tzw. operatora kalkulatora wyborczego.
    2. Są 2 - certyfikaty dla operatora i przewodniczącego.
    3. Certyfikaty są generowane na podstawie haseł które otrzymujemy z KBW (delegatury wojewódzkie). Na każdego operatora i przewodniczącego dostajemy oddzielną kopertę z hasłem.
    4. Koperty z KBW może otrzymać sekretarz gminy, koordynator lub osoba z upoważnieniem i każdy bez wyjątku jest legitymowany
    5. N podstawie otrzymanych haseł generowane są certyfikaty + nowe hasła do niego. Jest to próba jednorazowa !!! Jeżeli wygenerowałeś certyfikat to hasła z KBW są zablokowane i można wywalić kopertę - nie da sie na nich drugi raz nic wygenerować podobnie gdy np zawiesiła się w trakcie przeglądarka trzeba zap..dać po nowe hasła do KBW.
    6. W noc wyborczą operator wklepuje protokoły i drukuje je komisji. Komisja sprawdza i podpisuje formę papierową.
    7. Jeżeli wszystko OK to przewodniczący podaje mu lub sam wpisuje hasło i wysyła protokoły na serwer.

    Oczywiście możesz ściągnąć sobie kalkulator, wklepać protokół i wysłać - PÓJDZIE !!!!

    ale

    1. Po to są drukowane cyfry kontrolne i kody kreskowe (od tego roku) na protokołach by uniemożliwić fałszerstwo - dlatego nie da się podmienić jednej strony tylko w przypadku jakiejkolwiek zmiany drukuje się protokół od nowa.
    2. Na specjalnych stronach widzę, czy wszystkie obwody przesłały mi protokoły - datę, godzinę, ilość przesłanych protokołów !!! (np z komisji i Twój, błędy w protokołach) itp.

    3. Do mnie wracają z obwodów kopie elektroniczne protokołów + archiwum kalkulatora.
    4. Protokoły wywozimy "piętro" wyżej gdzie po kodach kreskowych i sumach kontrolnych jest sprawdzana zgodność protokołów papierowych z tym co zostało przesłane na serwer.

    Czyli nawet jak operator programu + przewodniczący komisji + koordynator gminny zechcą razem zrobić przekręt to g... mogą.

    Jeżeli zobaczę nieautoryzowany protokół to samochody z dyskotekami na dachu pojadą najpierw do przewodniczącego zapytać się w jaki sposób wyciekło hasło.


    Co do postu Sebo.Pl to bez komentarza - głupota ludzka nie zna granic.

    PS.1 Ten system nie jest zbudowany naprędce, ale istnieje 10 lat i został dobrze przetestowany -miesiąc przed każdymi wyborami są 2 testy wydajnościowe i sprawdzanie wszystkie moduły.
    PS.2 Strona http://prezydent2010.pkw.gov.pl nie jest powiązana bezpośrednio z Platformą Wyborczą. Na postawie wyników z OKW są generowane strony statyczne i wrzucane co jakiś czas na serwer. Nic nie jest generowane dynamicznie z bazy - brak sql iniection

    Ten pościk nie zawiera żadnych poufnych ani tajnych danych - służy aby rozjaśnieniu sprawy
    Istnieje jeszcze parę metod sprawdzenia po drodze, ale cicho sza :-)

    pozdr
    Ostatnio edytowane przez haton : 06-18-2010 - 19:48

Strona 1 z 3 123 OstatniOstatni

Tagi

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj