Sammensatt og helt

AHLERTS HJØRNE: Integrerte systemer appellerer til it-produsentene, men bør appellere til økonomidirektørene.

Les mer Les mer

Titanix

PETERS PLASS: Gonggongen ljomer. Sisterunden begynner for Unix.

Les mer Les mer

Innhold a-å

Du er her: Computerworld > Tema > Sikkerhet >

- Evalg er ikke trygt

Leif Martin Kirknes
23.02.2009 kl 08:32

En samstemt amerikansk hackergruppe mener den norske evalg-løsningen som skal driftssettes i 2011 ikke holder mål.

SKEPTISKE TIL E-VALG: T.v. Professor innen Robotics og integrerte systemer, Ryan "1057" Clarke, University of Advancing TEchnology; Brad "Renderman" Haines, konsulent innen trådløs sikkerhet; Victor Teissler, nettverkssikkerhetsstudent University of Advancing Technology; Luke "Purø" McOmic, spionasje- og sikkerhetskonsulent; Guy Martin, sikkerhetsforsker med ekspertise på kabelmodem; Sandy Clark, ph.d.-kandidat ved University of Pensylvania; Michael "Theprez98" Schearer, seikkerhetskonsuklent og Deviant Ollam, fysisk sikkerhets- og nettverksssikekrhetskonsulent. Foran sitter Mike Kenshaw"Dragorn", ekspert på trådløs og øvrig nettverkssikkerhet.

RELATERTE ARTIKLER

Datakriminalitet

It-politikk

Sikkerhet

ARTIKKELSIDER

- Evalg er ikke trygt
Offentlig interesse

Evalg er ikke trygt, heller ikke den norske varianten. Det mener i alle fall en gruppe amerikanske «snille» hackere, som har besøkt Norge for å snakke om sikkerhet på konferansen Hackcon. Listen over feilkilder er på flere A4-sider.

En av disse, Ph.d-kandidat ved University of Pennsylvania, Sandy Clark, har konkret erfaring med å hacke slike valgsystemer. Hun har vært med å teste sikkerheten til evalg-systemet i Ohio, på lovlig vis.

- Uansett hvordan vi forsøkte og uansett hvor vi så, fant vi problemer, sier hun.

Ohio full av hull

Hackerne var delt inn i to lag, rødt og blått. Det blå laget, Clarks lag, hadde etter iherdig jobbing og overtaling av leverandørene fått tilgang til alle elementene i valgsystemet, deriblant den omfattende kildekoden på over 670.000 linjer, noe gjengen i utgangspunktet mener er altfor mye kode.

Forskerne måtte jobbe i en lukket bunkers og låse inn arbeidet i en safe hver gang de var ferdige for dagen. Til slutt ble det laget to rapporter, en med og en uten detaljert beskrivelse av hvordan angrepene ble gjennomført. Kun den udetaljerte ble offentliggjort.

Oppsummert i punktliste fyller den 15 proppfulle A4-sider med ulike angrepsscenarioer.

Og det er bare rapporten til blått lag, for valgsystemene de fikk testet i Ohio.

Rødt lag hadde kun tilgang til selve valgklientene. Også de lykkes å hacke systemene.

- Vi fant at det var mulig for en enkeltbruker å sette inn ødeleggende kode som kunne påvirke valget.

Slakter norsk system

Dette snakket Clark om på Hackcon. Til stede var flere fra norsk, offentlig sektor, og interessen rundt foredraget var stor.

Den norske Regjeringen har planlagt at kommunestyre- og fylkestingsvalget i 2011 skal skje elektronisk i utvalgte kommuner. Prosjektet skal etter planen etablere en sikker elektronisk valgløsning for stortingsvalg i fremtiden.

Clark har tatt en kikk på det overordnede rundt det planlagte norske valgsystemet. Med overordnet menes skissene til systemet, og ikke selve systemet.

Saken fortsetter. Les videre på neste side.

Neste side: Offentlig interesse

Forrige

Neste