Informatyk ujawnia: Każdy mógł zalogować się do systemu PKW i wstawić wynik

pkw.gov.pl; Jef Bettens/SXC

„Każdy błąd jaki można popełnić w kodzie, został popełniony” - tak działanie systemu informatycznego PKW służącego do zliczania głosów w wyborach ocenia informatyk, który przeanalizował działanie programu. System był dziurawy jak sito. Okazuje się, że na dzień przed wyborami kod źródłowy programu został upubliczniony w internecie.

Największe zdumienie może budzić fakt, że do systemu zalogować mógł się praktycznie każdy.

- Poświęciłem dwie godziny na analizę kodu programu do obsługi komisji wyborczych i kilka testów. Program do logowania wymaga klucza cyfrowego (pliku PEM) o odpowiednio przygotowanych parametrach. Programu nie interesuje przez kogo jest ten klucz podpisany. Więc używając OpenSSL można klucz taki samodzielnie wygenerować. Przejrzałem instrukcję obsługi programu, gdzie podano przykład logowania. Używając danych pokazanych na obrazkach w instrukcji, można wygenerować sobie klucz logowania do programu jako członek komisji w Bałtowie (gdziekolwiek to jest). Zalogowanie się jako dowolny członek dowolnej innej komisji nie wymaga wyjątkowej wiedzy – napisał na Facebooku informatyk.

Oznacza to, że dowolna osoba, która miała dostęp do komputera z programem „Kalkulator1”, mogła zalogować się do systemu jako dowolny członek komisji, uzyskując w ten sposób możliwość dokonania w niezauważony sposób zmian w protokołach zapisanych na tym komputerze.

- Członkowie komisji mogli logować się jako ktoś inny, ale mogła to też zrobić osoba zupełnie z zewnątrz, nie znająca żadnego hasła, bez jakiejkolwiek autoryzacji. Wystarczy, że sama sobie prędzej swój własny klucz cyfrowy zrobiła – ustalił informatyk.

Badając luki systemu informatycznego PKW mężczyzna ustalił również, że zgodnie z instrukcją jeśli w protokole występują „ostrzeżenia twarde”, należy uzyskać kod, który umożliwia zaakceptowanie protokołu. Okazało się, że zdobycie kodu odbywa się drogą telefoniczną – kod można było uzyskać od użytkownika na poziomie delegatury.

- Jak program sprawdza czy kod jest poprawny? Kod to nic innego jak MD5 z (nr-obwodu+rok+miesiac+dzien) – wynika z ustaleń specjalisty opublikowanych na Facebooku.

Informatyk podsumowuje funkcjonowanie systemu informatycznego PKW w kilku punktach, nie zostawiając na nim suchej nitki:
1. Dobrze, że ten system nie zadziałał.
2. Jakiekolwiek bezpieczeństwo było gwarantowane tylko poprzez fizyczną kontrolę dostępu do komputera prowadzoną przez przewodniczącego komisji i sprawdzenie przez niego danych zarówno wysyłanych jak i drukowanych. Wszelkie klucze i hasła są w tym systemie zupełnie zbędne.
3. Jeśli w protokole były błędy, wymagające kontaktu z "użytkownikiem na poziomie delegatury", to osoba znająca kod źródłowy programu znała kod autoryzujący te błędy. A jak widać na githubie, kod źródłowy został upubliczniony dzień przed wyborami.
4. Twórca tego programu to początkujący programista. W zasadzie każdy błąd jaki można popełnić w kodzie, został popełniony i mógłbym jeszcze długo pisać. Na przykład o tym, że eksport/import protokołów na serwer nie wymaga żadnej autoryzacji po stronie serwera i co to oznacza.


Pikanterii całej sprawie dodaje fakt, że pomimo zapewnień PKW, iż system działa poprawnie, z poszczególnych komisji obwodowych docierały do nas sygnały o występujących nadal problemach. Większość z nich dotyczyła logowania się w systemie. Niektóre były związane z brakiem podglądu do protokołów zbiorczych. Pojawiły się również przypadki „znikających danych” - pomimo wcześniejszego wprowadzenia i zapisania danych, części z nich nie było widać w systemie.
Źródło: TVN24,niezalezna.pl,facebook.com

Udostępnij


Wczytuję komentarze...

Dr Fedyszak-Radziejowska wskazuje na kolejny problem w wymiarze sprawiedliwości. "To powinno się zmienić"

/ screen TVP Info

- Dla przywrócenia praworządności na poziomie sądów i aresztów lepiej, gdyby pan senator przeszedł tę lekcję, może wówczas to środowisko przekonało, by tymczasowy areszt nie trwał tak długo. To czasem wygląda tak, że w czasie oczekiwania w areszcie widać słabość wymiaru sprawiedliwości. To jest rzecz, która powinna się zmienić - komentowała sprawę decyzji Senatu dotyczącej Stanisława Koguta dr Barbara Fedyszak-Radziejowska, doradca prezydenta RP.

Pierwszym poruszanym w Woronicza 17 tematem była decyzja Senatu ws. senatora Stanisława Koguta. Senat nie wyraził bowiem zgody na jego zatrzymanie i tymczasowy areszt, o co wnioskowała prokuratura. Taka decyzja senatorów przyjęta została bardzo negatywnie w kierownictwie Prawa i Sprawiedliwości.

- Nie wyobrażam sobie, żeby senatorowie decydowali nie mając dostępu do materiałów. Musi być jakieś merytoryczne odwołanie w odniesieniu do pewnych informacji (...) Dla przywrócenia praworządności na poziomie sądów i aresztów lepiej, gdyby pan senator przeszedł tę lekcję, może wówczas to środowisko przekonało, by tymczasowy areszt nie trwał tak długo. To czasem wygląda tak, że w czasie oczekiwania w areszcie widać słabość wymiaru sprawiedliwości. To jest rzecz, która powinna się zmienić

- stwierdził dr Fedyszak-Radziejowska.

Doradca z otoczenia prezydenta zaznaczyła także, że rozsądnym pomysłem byłoby sprawienie, by immunitet nie był dwustopniowy i jego zrzeczenie się nie wymagało dodatkowego głosowania w parlamencie nad zatrzymaniem czy aresztowaniem. Nie wykluczyła, że projekt taki zostanie niedługo opracowany przez Kancelarię Prezydenta.

Zebrani w studiu goście debatowali także nad sprawą objęcia kierownictwa nad wydziałem prawa na kieleckim Uniwersytecie Jana Kochanowskiego przez Jerzego Jaskiernię, w przeszłości zarejestrowanego jako tajny współpracownik bezpieki o pseudonimie "Prymus".

Dr Barbara Fedyszak-Radziejowska wskazała, że istotnym doświadczeniem przy takich sprawach była dla niej praca w Kolegium Instytutu Pamięci Narodowej.Jaskiernia nie był kłamcą lustracyjnym

- Mniej więcej po połowie podzieliliśmy jako społeczeństwo w ocenie wagi tego, czy ktoś był TW czy nie. Na poziomie opinii publicznej problem jest złożony. Na poziomie funkcji kierowniczych sprawa wygląda inaczej, są zawody zaufania publicznego, gdzie osoba z agenturalną przeszłością lub kłamca lustracyjny jest niepożądany (...) Środowisko akademickie samo z siebie powinno jednak dbać o przestrzeganie pewnych reguł

 - powiedziała.

Za "nie najlepszą" decyzję uczelni z Kielc uznał także poseł PO, Czesław Mroczek

- To jest nienormalne, że tacy ludzie, takie dinozaury komunistyczne obejmują stanowiska na uczelniach. Brakuje etycznej i moralnej refleksji

- dodał Ryszard Czarnecki.

Goście Michała Rachonia skomentowali również słowa prof. Wiesława Biniendy w odniesieniu do wyników badań przeprowadzonych przez Franka Taylora w ramach prac podkomisji smoleńskiej.

- To nie był wypadek, to był zamach. Ładunki wybuchowe, które zostały zainstalowane w slocie, nie mogły być zainstalowane w Polsce, także odpowiedzialna za eksplozje jest Rosja

- powiedział prof. Binienda w programie TV Republika "10/04/2010. Fakty".

CZYTAJ WIĘCEJ: Dowody Franka Taylora nie pozostawiają złudzeń

Paweł Bejda z PSL wyraził obawę, że tego typu "wypowiedzi bezpośrednio oskarżające Rosję, czyli przecież mocarstwo, mogą doprowadzić do kryzysu politycznego".

- Prof. Binienda ma 100 razy większą wiedzę niż ja i panowie

- stwierdził krótko Ryszard Czarnecki.

Dr Fedyszak-Radziejowska podkreśliła konieczność oddania należytego szacunku osiągnięciom konferencji smoleńskich.

- Tam uczeni nie dostali żadnego grantu, złożyli się sami, by móc pracować. Spotkały ich szykany, dużo ryzykowali. Czas najwyższy, by politycy dostrzegli konferencje smoleńskie

- zaapelowała.

CZYTAJ WIĘCEJ: Końcowy dokument konferencji smoleńskich

 

Źródło: TVP Info, niezalezna.pl

Udostępnij

Tagi

Wczytuję komentarze...

Nasza strona używa cookies czyli po polsku ciasteczek. Korzystając ze strony wyraża Pan/i zgodę na używanie ciasteczek (cookies), zgodnie z aktualnymi ustawieniami Pana/i przeglądarki. Jeśli chce Pan/i, może Pan/i zmienić ustawienia w swojej przeglądarce tak aby nie pobierała ona ciasteczek.


Strefa Wolnego Słowa: niezalezna.pl | gazetapolska.pl | panstwo.net | vod.gazetapolska.pl | naszeblogi.pl | gpcodziennie.pl