Чтобы разработчики всяческих инноваций делали без хакеров (причем в исконном понимании этого слова)? Страшно подумать. История, произошедшая недавно в Вашингтоне, округ Колумбия, лишний раз это подтверждает. В связи с грядущими ноябрьскими выборами здесь разработали новую электронную систему голосования, Digital Vote by Mail, вложив в проект более 300 тыс. долларов. …
В тестировании новинки пригласили принять участие экспертов по компьютерной безопасности со всего мира, и кто бы мог подумать, что систему взломают, не дав ей проработать и 36 часов! Самое смешное в том, что отличились не какие-то маститые деятели, а простые студенты из университета Мичигана, нашедшие дырку в системе обработки заполненных PDF-бюллетеней. По их «вине» система вдруг начала проигрывать на машине пользователя песню «Наil to the Victors» после окончания процедуры голосования. Это командный гимн университета Мичигана, который исполняется во время спортивных состязаний. Но гимн был лишь верхушкой айсберга… На деле взломщики обнаружили, что могут выполнять в системе произвольные команды. Для этого у PDF-файла бюллетеня расширение .pdf достаточно было изменить на нужную строку. Как оказалось, далее имя файла далее передавалось консольной утилите GnuPG для шифрования. Сложно представить, что в таком очевидном месте разработчики не реализовали достаточную проверку. Дальше уже несложно было добраться до базы данных и установить свой бэкдор, который позволял просматривать результаты голосования и под¬менять голоса. Дальше ребята заморочились еще больше и перенастроили систему так, чтобы она изменяла результаты голосования по определенному сценарию. И лишь потом они встроили в страницу гимн, благодаря которому взлом наконец-то и был замечен! В итоге технический глава избирательной комиссии Поул Стенбйорн сообщил, что, хотя дырка, давшая взломщикам полный доступ к системе, и была закрыта, пробный запуск новой разработки, намеченный на ноябрь, отложен. Подумать только: и этот дуршлаг стоил $300 000!
