UDOSTĘPNIJ

System informatyczny PKW był dziurawy jak sito. Na dzień przed wyborami kod źródłowy programu został upubliczniony w internecie. „Każdy błąd jaki można popełnić w kodzie, został popełniony” – mówi informatyk, który przeanalizował działanie programu. 

Najbardziej szokuje fakt, że do systemu zalogować mógł się praktycznie każdy.

– Poświęciłem dwie godziny na analizę kodu programu do obsługi komisji wyborczych i kilka testów. Program do logowania wymaga klucza cyfrowego (pliku PEM) o odpowiednio przygotowanych parametrach. Programu nie interesuje przez kogo jest ten klucz podpisany. Więc używając OpenSSL można klucz taki samodzielnie wygenerować. Przejrzałem instrukcję obsługi programu, gdzie podano przykład logowania. Używając danych pokazanych na obrazkach w instrukcji, można wygenerować sobie klucz logowania do programu jako członek komisji w Bałtowie (gdziekolwiek to jest). Zalogowanie się jako dowolny członek dowolnej innej komisji nie wymaga wyjątkowej wiedzy ? napisał na Facebooku informatyk.

Wynika z tego, że dowolna osoba, która miała dostęp do komputera z programem „Kalkulator1” mogła zalogować się do systemu jako dowolny członek komisji i dokonać zmian w protokołach!

– Członkowie komisji mogli logować się jako ktoś inny, ale mogła to też zrobić osoba zupełnie z zewnątrz, nie znająca żadnego hasła, bez jakiejkolwiek autoryzacji. Wystarczy, że sama sobie prędzej swój własny klucz cyfrowy zrobiła ? ustalił informatyk.

– Jak program sprawdza czy kod jest poprawny? Kod to nic innego jak MD5 z (nr-obwodu+rok+miesiac+dzien) ? wynika z ustaleń specjalisty opublikowanych na Facebooku.

Podsumowując, specjalista pisze:
1. Dobrze, że ten system nie zadziałał.
2. Jakiekolwiek bezpieczeństwo było gwarantowane tylko poprzez fizyczną kontrolę dostępu do komputera prowadzoną przez przewodniczącego komisji i sprawdzenie przez niego danych zarówno wysyłanych jak i drukowanych. Wszelkie klucze i hasła są w tym systemie zupełnie zbędne.
3. Jeśli w protokole były błędy, wymagające kontaktu z „użytkownikiem na poziomie delegatury”, to osoba znająca kod źródłowy programu znała kod autoryzujący te błędy. A jak widać na githubie, kod źródłowy został upubliczniony dzień przed wyborami.
4. Twórca tego programu to początkujący programista. W zasadzie każdy błąd jaki można popełnić w kodzie, został popełniony i mógłbym jeszcze długo pisać. Na przykład o tym, że eksport/import protokołów na serwer nie wymaga żadnej autoryzacji po stronie serwera i co to oznacza.

źródło: niezależna.pl

Wspomóż pracę Pikio.pl
Jesteśmy jedynym dużym portalem informacyjnym, który NIGDY nie pobierał publicznych pieniędzy.
Dziękujemy!
Wesprzyj nas
UDOSTĘPNIJ
Poprzedni artykułWybory w Polsce ? drwiny z rozsądku.
Następny artykułSkandaliczny pobyt Spielberga we Wrocławiu. Wyjrzyj przez okno, dostaniesz laserem
Wiadomości Pikio
Starannie wyselekcjonowane wiadomości z Polski i ze świata. Podajemy tylko informacje, a opinie pozostawiamy Czytelnikom. Przedstawiamy wiadomości bez cenzury i bez linii redakcyjnej.

Zobacz również