Компьютерный департамент ФБР опубликовал предупреждение, что сайты электронного голосования в двух штатах – Иллинойс и Аризона – были взломаны неизвестными. В результате персональные данные граждан США, которые регистрировались на сайте, возможно, были украдены. ФБР не исключает, что системы электронного голосования в других штатах также могут быть подвержены кибератакам.
Подробностей о взломе голосования в Аризоне не публикуется, но про Иллинойс представлено достаточно детальная информация. Дело в том, что сайт голосования данного штата в июле не работал в течение десяти дней – не заметить этого было сложно. В опубликованном сообщении указывается, что хакеры использовали коммерческий сканер веб-уязвимостей для платформы Acunetix с широкими возможностями по поиску SQL-инъекций. Под такое определение подходит, в частности, российская разработка MaxPatrol компании Positive Tecnologies, которая как раз и отличается уникальным механизмом поиска неизвестных уязвимостей типа SQL-инъекции. Возможно, именно потому и возник в этой истории российской след, хотя купить такой сканер можно и за пределами России – продукт достаточно популярен. Для доступа к данным было использовано два продукта с открытыми кодами: SqlMap – для выкачивания данных из уязвимой базы и DirBuster – для поиска скрытых файлов и каталогов. С помощью этих инструментов хакерам удалось скачать персональные данные 200 тыс. зарегистрированных на сайте пользователей. Отмечено также, что атака была выполнена с IP-адресов двух операторов виртуального хостинга – из Болгарии и Нидерландов.
Если бы США присоединилась к Евроконвенции по персональным данным, и у разработчиков сайта были бы требования по защите ПДн, аналогичные требованиям 152-ФЗ, то им пришлось бы разделить базу данных CMS-системы веб-сервера и базу персональных данных голосующих, что исключило бы возможность для нападающих получить доступ к критически важным данным с помощью указанного набора хакерских инструментов.
Проведенная атака заставила разработчиков систем электронного голосования задуматься о том, как обеспечить защиту систем голосования, сохранив доверие к результатам. В частности, журнал Dark Reading выделил шесть компонентов систем для голосования, которые желательно улучшить: сами машины-считыватели бланков; защита регистрационных баз; защита критической для голосования инфраструктуры; защита серверов электронной почты; обеспечение надежного функционирования системы голосования; защита от внутреннего мошенничества. Вполне возможно, что часть этих элементов будет модернизирована уже в ходе голосований в рамках текущей президентской кампании.
В других странах также начинается переосмысление требований к безопасности систем для голосования. В частности, в эстонском издании Estonian Cyber Security News появилась статья, где предлагается пересмотреть эстонскую систему голосования, в частности, добавить в нее дополнительную идентификацию, например по Mobile-ID. Кроме того, рекомендуется провести качественный аудит кода системы голосования, чтобы найти максимально возможное количество уязвимостей. При этом эстонцы по-прежнему предпочитают иметь систему для голосования с открытыми исходными кодами, чтобы любой желающий мог проверить качество программирования и быть уверен, что программа не делает ничего лишнего. Именно в этом и заключается возможность повысить доверие к электронной системе для голосования. Забавно, что в анонимном комментарии к статье указывается, что Финляндия заморозила развитие своей системы электронного голосования.
Первоисточник: http://www.connect-wit.ru/dajdzhest-inostrannoj-pressy-po-informatsionnoj-bezopasnosti-za-avgust.html
Комментариев нет:
Отправить комментарий