En samstemt amerikansk hackergruppe mener den norske evalg-løsningen som skal driftssettes i 2011 ikke holder mål.
SKEPTISKE TIL E-VALG: T.v. Professor innen Robotics og integrerte systemer, Ryan "1057" Clarke, University of Advancing TEchnology; Brad "Renderman" Haines, konsulent innen trådløs sikkerhet; Victor Teissler, nettverkssikkerhetsstudent University of Advancing Technology; Luke "Purø" McOmic, spionasje- og sikkerhetskonsulent; Guy Martin, sikkerhetsforsker med ekspertise på kabelmodem; Sandy Clark, ph.d.-kandidat ved University of Pensylvania; Michael "Theprez98" Schearer, seikkerhetskonsuklent og Deviant Ollam, fysisk sikkerhets- og nettverksssikekrhetskonsulent. Foran sitter Mike Kenshaw"Dragorn", ekspert på trådløs og øvrig nettverkssikkerhet.
Evalg er ikke trygt, heller ikke den norske varianten. Det mener i alle fall en gruppe amerikanske «snille» hackere, som har besøkt Norge for å snakke om sikkerhet på konferansen Hackcon. Listen over feilkilder er på flere A4-sider.
En av disse, Ph.d-kandidat ved University of Pennsylvania, Sandy Clark, har konkret erfaring med å hacke slike valgsystemer. Hun har vært med å teste sikkerheten til evalg-systemet i Ohio, på lovlig vis.
- Uansett hvordan vi forsøkte og uansett hvor vi så, fant vi problemer, sier hun.
Ohio full av hull
Hackerne var delt inn i to lag, rødt og blått. Det blå laget, Clarks lag, hadde etter iherdig jobbing og overtaling av leverandørene fått tilgang til alle elementene i valgsystemet, deriblant den omfattende kildekoden på over 670.000 linjer, noe gjengen i utgangspunktet mener er altfor mye kode.
Forskerne måtte jobbe i en lukket bunkers og låse inn arbeidet i en safe hver gang de var ferdige for dagen. Til slutt ble det laget to rapporter, en med og en uten detaljert beskrivelse av hvordan angrepene ble gjennomført. Kun den udetaljerte ble offentliggjort.
Oppsummert i punktliste fyller den 15 proppfulle A4-sider med ulike angrepsscenarioer.
Og det er bare rapporten til blått lag, for valgsystemene de fikk testet i Ohio.
Rødt lag hadde kun tilgang til selve valgklientene. Også de lykkes å hacke systemene.
- Vi fant at det var mulig for en enkeltbruker å sette inn ødeleggende kode som kunne påvirke valget.
Slakter norsk system
Dette snakket Clark om på Hackcon. Til stede var flere fra norsk, offentlig sektor, og interessen rundt foredraget var stor.
Den norske Regjeringen har planlagt at kommunestyre- og fylkestingsvalget i 2011 skal skje elektronisk i utvalgte kommuner. Prosjektet skal etter planen etablere en sikker elektronisk valgløsning for stortingsvalg i fremtiden.
Clark har tatt en kikk på det overordnede rundt det planlagte norske valgsystemet. Med overordnet menes skissene til systemet, og ikke selve systemet.
Saken fortsetter. Les videre på neste side.
Som ventet betaler Googles Android for populariteten med å bli yndlingsarena for skadevare.
Mozilla lover oppdatering for neste store oppdatering fra Apple.
Sophos-forsker langer ut mot sikkerhetsmekanisme i Internet Explorer 9.
Nettleseren Opera ligger to versjoner etter i Apples programbutikk.
Dårlige tall og yteevne sender internettsikkerhet ut av selskapet.
Computerworld utgis avCopyright 2012 IDG Magazines Norge AS. All rights reserved
Postboks 9090 Grønland – 0133 OSLO / online@idg.no / Telefon 22053000
Ansvarlig redaktør Morten Kristiansen / Utviklingsansvarlig Ulf H. Helland / Salgsdirektør Jon Thore Thorstensen
Les mer
