Kaip Arūnas
i-rinkimus laužė...

Seniai seniai...

Tuomet...

Dar vėliau...

Dabar...

Democracy is the worst form of government ... except for all those other forms that have been tried from time to time.

- Winston Churchill, 1947

E-balsavimas

Kai balsai surenkami ir skaičiuojami el. priemonėmis

I-balsavimas

Kai balsavimas yra vykdomas internetu, naudojant rinkėjo kompiuterį

Privalumai

  • Patogiau
    • ypač jaunimui
  • Prieinamiau
    • emigrantams, neįgaliesiems
  • Pigiau (?)

Trūkumai

  • Saugumas
    • Preinamumas atakoms
  • Saugumas
    • Institucijų kompetencijos spragos
  • Saugumas
    • Vartotojų IT raštingumas
  • Anonimiškumo užtikrinimas
  • Kaina

Trūkumai (2)

Trūkumai (3). Kompetencija

  • Rinkėjo puslapis
  • Sergu.lt
  • Ada.lt
  • ir t.t.

Trūkumai (4)

Vienas konkretus atvejis

Spraga #1. Kompetencija

Spraga #2. Registracija

  • Rinkimuose dalyvauti gali internetu užsiregistravę Marijampolės krašto gyventojai:
     
  • Arūnas Liuiza, adresas Kaune
     
  • Juozas Kazlauskas, adresas atsitiktinis Marijampolėje
     
  • Mindaugas P*********, žmogus, kurio adresą Marijampolėje išgooglinau.
     
  • Neringa *********, pažįstama marijampolietė.

Spraga #3. Patvirtinimas

  • Patvirtinimui reikia sumokėti 1€ per Paysera Tickets
     
  • Paysera smulkias operacijas leidžia atlikti nepatvirtinus tapatybės.
     
  • Paysera leidžia už pirkinius atsiskaityti Maksimos kasose ir Perlo terminaluose, nepatvirtinant tapatybės.

Spraga #4. Kompetencija

  • 2017 m. sausio 26 d. aptinkama ir ištaisoma didelė saugumo spraga WordPress 4.7-4.7.1 versijose
  • 2017 m. vasario 1 d. apie spragą pranešama viešai.
    • po ~1 min. prasideda masinis tos spragos išnaudojimas svetainių nulaužimui.
  • 2017 kovo 1 d. atsitiktinai pastebiu, kad liberalai vis dar naudoja pažeidžiamą WordPress 4.7 versiją.
    • Pranešu info@ el. paštą, taip pat - asmeniškai per pažįstamus liberalus.

Spraga #4. Kompetencija (2)

  • 2017 m. kovo 3 d. svetainė vis dar pažeidžiama. Privačiai užsimenu, kad po kelių dienų šią informaciją paviešinsiu.
  • 2017 m. kovo 4 d. WordPress atnaujintas iki 4.7.2 (tuo metu naujausios) versijos
  • 2017 m. liepos 20 d. liberalai.lt vis dar naudoja 4.7.2 versiją (per tą laiką išleistos versijos: 4.7.3, 4.7.4, 4.7.5 ir 4.8)

Spragos demostracija

Spraga #4. Kompetencija (3)

  • Liberalų tinklalapis nukreipia į Google formą
    • Sukurti savo formos kopiją - 15 min.
    • Parašyti skriptą kuris per API sukelia duomenis iš mano formos į jų - 30 min.
    • Prieš surašant pakeisti kontaktinius duomenis į mano valdomus - 10 min.
  • Žala:
    • programišius gauna visus besiregistruojančių asmens duomenis, įskaitant ir asmens kodą (!)
    • programišius valdo visų prisregistravusių žmonių balsus per rinkimus

Spraga #5. Phishing

http://www.liberalai.lt/partija/pirminiu-rinkimu-dalyvio registracija

 

http:/liberalupartija.lt/partija/pirminiu-rinkimu-dalyvio registracija

Spraga #5. Phishing

Spraga #5. Phishing(2)

Spraga #5. Phishing

  • Liberalupartija.lt tinklalapis atrodo taip pat
    • Sukurti vieno psl kopiją - 5 min.
    • Sukurti visos svetainės kopiją - 15 min.
    • Pridėti HTTPS, kad atrodytų dar saugiau - 10 min.
    • + veiksmai iš praeito punkto
  • Žala:
    • programišius gauna dalies besiregistruojančių asmens duomenis, įskaitant ir asmens kodą (!)
    • programišius valdo dalies prisregistravusių žmonių balsus per rinkimus

Spraga #6. Anonimiškumas

  • Prisijungimo prie balsavimo duomenys yra siunčiami el. paštu. Kaip supratau, plain text.

ir t.t.

  • Malware
  • Man-in-the-middle
  • ...

Atšaukta

Klausimai

Kaip Arūnas i.rinkimus laužė

By Arūnas Liuiza

Kaip Arūnas i.rinkimus laužė

  • 2,577