Informatyk ujawnia: Każdy mógł zalogować się do systemu PKW i wstawić wynik

  

„Każdy błąd jaki można popełnić w kodzie, został popełniony” - tak działanie systemu informatycznego PKW służącego do zliczania głosów w wyborach ocenia informatyk, który przeanalizował działanie programu. System był dziurawy jak sito. Okazuje się, że na dzień przed wyborami kod źródłowy programu został upubliczniony w internecie.

Największe zdumienie może budzić fakt, że do systemu zalogować mógł się praktycznie każdy.

- Poświęciłem dwie godziny na analizę kodu programu do obsługi komisji wyborczych i kilka testów. Program do logowania wymaga klucza cyfrowego (pliku PEM) o odpowiednio przygotowanych parametrach. Programu nie interesuje przez kogo jest ten klucz podpisany. Więc używając OpenSSL można klucz taki samodzielnie wygenerować. Przejrzałem instrukcję obsługi programu, gdzie podano przykład logowania. Używając danych pokazanych na obrazkach w instrukcji, można wygenerować sobie klucz logowania do programu jako członek komisji w Bałtowie (gdziekolwiek to jest). Zalogowanie się jako dowolny członek dowolnej innej komisji nie wymaga wyjątkowej wiedzy – napisał na Facebooku informatyk.

Oznacza to, że dowolna osoba, która miała dostęp do komputera z programem „Kalkulator1”, mogła zalogować się do systemu jako dowolny członek komisji, uzyskując w ten sposób możliwość dokonania w niezauważony sposób zmian w protokołach zapisanych na tym komputerze.

- Członkowie komisji mogli logować się jako ktoś inny, ale mogła to też zrobić osoba zupełnie z zewnątrz, nie znająca żadnego hasła, bez jakiejkolwiek autoryzacji. Wystarczy, że sama sobie prędzej swój własny klucz cyfrowy zrobiła – ustalił informatyk.

Badając luki systemu informatycznego PKW mężczyzna ustalił również, że zgodnie z instrukcją jeśli w protokole występują „ostrzeżenia twarde”, należy uzyskać kod, który umożliwia zaakceptowanie protokołu. Okazało się, że zdobycie kodu odbywa się drogą telefoniczną – kod można było uzyskać od użytkownika na poziomie delegatury.

- Jak program sprawdza czy kod jest poprawny? Kod to nic innego jak MD5 z (nr-obwodu+rok+miesiac+dzien) – wynika z ustaleń specjalisty opublikowanych na Facebooku.

Informatyk podsumowuje funkcjonowanie systemu informatycznego PKW w kilku punktach, nie zostawiając na nim suchej nitki:
1. Dobrze, że ten system nie zadziałał.
2. Jakiekolwiek bezpieczeństwo było gwarantowane tylko poprzez fizyczną kontrolę dostępu do komputera prowadzoną przez przewodniczącego komisji i sprawdzenie przez niego danych zarówno wysyłanych jak i drukowanych. Wszelkie klucze i hasła są w tym systemie zupełnie zbędne.
3. Jeśli w protokole były błędy, wymagające kontaktu z "użytkownikiem na poziomie delegatury", to osoba znająca kod źródłowy programu znała kod autoryzujący te błędy. A jak widać na githubie, kod źródłowy został upubliczniony dzień przed wyborami.
4. Twórca tego programu to początkujący programista. W zasadzie każdy błąd jaki można popełnić w kodzie, został popełniony i mógłbym jeszcze długo pisać. Na przykład o tym, że eksport/import protokołów na serwer nie wymaga żadnej autoryzacji po stronie serwera i co to oznacza.


Pikanterii całej sprawie dodaje fakt, że pomimo zapewnień PKW, iż system działa poprawnie, z poszczególnych komisji obwodowych docierały do nas sygnały o występujących nadal problemach. Większość z nich dotyczyła logowania się w systemie. Niektóre były związane z brakiem podglądu do protokołów zbiorczych. Pojawiły się również przypadki „znikających danych” - pomimo wcześniejszego wprowadzenia i zapisania danych, części z nich nie było widać w systemie.
Wczytuję ocenę...

Promuj niezależne media! Podaj dalej ten artykuł na Facebooku i Twitterze

Źródło: TVN24,niezalezna.pl,facebook.com


Wczytuję komentarze...

Ratownicy blisko miejsca, gdzie są grotołazi?

/ By Jerzy Opioła - Praca własna, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=7063357

  

- Ratownicy powoli zbliżają się do miejsca, w którym przewidują, że mogą przebywać poszkodowani - przekazał naczelnik TOPR Jan Krzysztof. Dodał, że ratownikom prowadzącym akcję w jaskini Wielkiej Śnieżnej udało się przesunąć o 5 metrów.

"W tej chwili 11 ludzi - pirotechnicy i ratownicy do pomocy wchodzą do jaskini. Na późne popołudnie planujemy wejście kolejnej grupy, kolejnych dwóch pirotechników i podobne plany mamy na następną dobę"

- powiedział naczelnik TOPR Jan Krzysztof.

Ich zadaniem jest przeprowadzenie mikro wybuchów, które poszerzą i wydłużą korytarz tak, by dotrzeć do miejsca, w którym, według ratowników, mogą przebywać poszukiwani grotołazi.

Jan Krzysztof poinformował, że w tego typu akcjach używa się niewielkiej ilości materiałów wybuchowych.

"Przy tego typu akcjach używa się mikro ładunków, miko zapalników. Dzisiaj dojedzie do nas dostawa kilograma ładunków wybuchowych, co wystarczy na bardzo długo"

- powiedział Jan Krzysztof.

Dodał, że po wyjściu z jaskini otrzymał informację, że ratownikom udało się przesunąć o 5 metrów.

"Dotarli do miejsca trochę wygodniejszego - takiego, w którym można się chwilami wyprostować"

- przekazał naczelnik TOPR.

Poinformował, że tej chwili najwięcej czasu zajmuje transport materiału, który powstaje na skutek wybuchu.

"W wielu miejscach nie ma możliwości przesunięcia nawet małego kamienia obok człowieka (....) To przejście do tego obszerniejszego fragmentu pozwala łatwiej pakować ten materiał"

- mówił Jan Krzysztof.

Podkreślił też, że ratownicy powoli zbliżają się do miejsca, w którym przewidują, że mogą przebywać poszkodowani.

"Przewidujemy, ale oczywiście żadnej pewności nie mamy" 

- zaznaczył naczelnik TOPR.

Jan Krzysztof przekazał, że jednym z problemów, z którym mierzą się ratownicy jest zimno w jaskini. Temperatura wynosi 4 stopnie Celsjusza i jest bardzo wilgotno.

"Pracujemy w lodówce, w pełnej wilgotności. Zobaczymy jak ta sprawa się potoczy"

- stwierdził.

Dodał, że jeżeli kolejnym grupom "uda się zdobywać kolejne metry, to w ciągu kilkudziesięciu godzin powinni dotrzeć z drugiej strony do tego rejonu zaginięcia".

Wczytuję ocenę...

Promuj niezależne media! Podaj dalej ten artykuł na Facebooku i Twitterze

Źródło: PAP, niezalezna.pl


Wczytuję komentarze...

Nasza strona używa cookies czyli po polsku ciasteczek. Korzystając ze strony wyraża Pan/i zgodę na używanie ciasteczek (cookies), zgodnie z aktualnymi ustawieniami Pana/i przeglądarki. Jeśli chce Pan/i, może Pan/i zmienić ustawienia w swojej przeglądarce tak aby nie pobierała ona ciasteczek.


Strefa Wolnego Słowa: niezalezna.pl | gazetapolska.pl | panstwo.net | vod.gazetapolska.pl | naszeblogi.pl | gpcodziennie.pl