tech

PC-Wahl ist unsicher

Wahlauswertung mit PC Wahl

Fucking Friday. Fake-News und Social-Bots und russische Hacker könnten die Bundestagswahl am 24. September 2017 beeinflussen, warnt der Verfassungsschutzbericht 2016:

Insbesondere mit Blick auf die bevorstehende Bundestagswahl 2017 ist davon auszugehen, dass staatliche russische Stellen zudem versuchen, verstärkt Einfluss auf Parteien, Politiker und die öffentliche Meinung zu nehmen.
[ VSB 2016 (pdf, 270p) ]

So präsentieren sich Bundesinnenminister Dr. Thomas de Maizière und der Präsidenten des Bundesamtes für Verfassungsschutz Dr. Hans-Georg Maaßen noch im Juli 2017 in Berlin [ 4.7 ]. Jetzt kommt allerdings heraus, das die Software zur Auswertung der Bundestagswahl unsicher und angreifbar ist, und zwar ohne Verfassungsschutz und ohne russische Hacker, sondern einfach aus sich heraus. Wegen der Inkompetenz ihrer Entwickler bei PC-Wahl.

Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht beachtet. Die Menge an Angriffsmöglichkeiten und die Schwere der Schwachstellen übertraf unsere schlimmsten Befürchtungen. Eine ganze Kette aus eklatanten Schwachstellen vom Update-Server des Herstellers, über die Software selbst bis hin zu den exportierten Wahlergebnissen, ermöglicht uns die Demonstration von gleich drei praktisch relevanten Angriffsszenarien.
[ Linus Neumann, an der Analyse beteiligter Sprecher des CCC ]

Das Ergebnis der Sicherheitsanalyse ist ein Totalschaden für das Software-Produkt. Der CCC veröffentlicht die Ergebnisse in einem mehr als zwanzig Seiten umfassenden Bericht [ PDF ]. Die technischen Details und die zum Ausnutzen der Schwächen verfasste Software können in einem Repository eingesehen und zeitsouverän nachgespielt werden [ github.com ].

Ein niederschmetterndes Ergebnis der Analyse ist, dass es gar kein vielbeschworenes staatlich finanziertes Hacker-Team braucht, um den vollständigen Auswertungsvorgang zu übernehmen. Der fehlerhafte Update-Mechanismus von „PC-Wahl“ ermöglicht eine one-click-Kompromittierung, die gepaart mit der mangelhaften Absicherung des Update-Servers eine komplette Übernahme erleichtert. [ ccc.de ].

< update />
zeit.de: Die Bundestagswahl kann manipuliert werden. Bundeswahlleiter und BSI sind alarmiert.

, , ,

Eine Antwort auf PC-Wahl ist unsicher

  1. Matthias 19. September 2017 bei 20:08 #

    CCC schließt größte Schwachstelle in PC-Wahl und stellt damit sowohl den Hersteller der Software als auch BMI und BSI bloß
    http://j.mp/2xfVxiU

Powered by WordPress. Designed by Woo Themes