|
|
新南威爾士州iVote首席淡化狂風險安全問題“夸大了” 灰鴿子下載,遠程控制軟件
1.jpg (48.47 KB, 下載次數: 557)
下載附件
2015-3-24 10:46 上傳
啟示,新南威爾士州的在線投票系統包含一個嚴重的漏洞州政府選舉前幾天被過分夸大,根據國家選舉委員會的首席。
上周末,兩個大學的研究人員發現iVote的投票服務器加載代碼從一個第三方網站容易受到了最近發現的怪物攻擊。
狂缺陷在安全套接字層/傳輸層安全性(SSL / TLS)加密協議允許攻擊者截獲HTTPS脆弱的客戶端和服務器之間的連接。
攻擊者可以強迫網站下調弱密碼,這可能很容易破解為了解密網站流量,允許攻擊者竊取密碼和其他敏感信息。
iVote的缺陷——因一個脆弱的第三方服務器托管Piwik web分析工具使用的新南威爾士州選舉委員會——意味著攻擊者可以攔截新南威爾士州選民的網絡流量變化和閱讀選票,灰鴿子使用教程,灰鴿子遠程控制軟件。
出版的缺陷后,NSWEC終止了連接到服務器,“公眾可能保留信心iVote系統”。
然而,NSWEC Ian Brightwell認為CIO的機會成功,集體中間人攻擊太偏遠,被認為是一個可行的風險。
“特定風險發生的攻擊,你必須有五種不同的條件下發生,“Brightwell告訴iTnews。
“人與怪物——你不得不訪問鍵和打入SSL,你還必須進入的流量,通過瀏覽器,沒有修補,以及。真正打破這一關鍵并不是一件容易的事情。
“我們刪除(連接到服務器),因為我們認為公眾會反應不佳,而且會花費很多來解釋它是低風險的。”
他承認這是一個“壞”決定舉辦Piwik web分析工具在第三方服務器上,但表示主機內部沒有一個選項時發射。
Piwik給NSWEC匿名網絡分析證明該委員會的瀏覽器環境中工作。它取代了基于服務器的網絡日志NSWEC以前使用。
“這可能是一個不必要的風險。當時這似乎是一個好主意,但我接受,也許沒有,”Brightwell說。
“我們并沒有打算做這樣外部舉辦的最初,我們實際上已經在內部嵌入到核心投票系統,但這并不是在我們啟動的時間。
“毫無疑問,怪物在服務器上的實際存在一定程度上減少了服務器的安全狀況,這是我們決定把它的原因之一。”
然而Brightwell認為不構成危機問題,并翻譯成“相對低風險”,盡管研究人員的發現。
“這是容易[測試攻擊]如果你坐在一個局域網,直接自己內部代理,但實際上攔截集體交通你不得不以某種方式坐在那個特定的服務器和客戶機之間的投票,”他說。
”,你可以做到的唯一有效的方法是毒藥DNS的地方,然后開始獲得的流量通過你。”
他說,iVote電話驗證系統被設計用來幫助減輕對任何篡改網上投票。
“如果你看看這個系統的整體風險,我們已經接受了風險,客戶端瀏覽器可以攻擊,可以篡改選票。所以我們為人們提供了一種方法來驗證他們的選票,”Brightwell告訴iTnews。
“不是每個人都使用這個選項,但是如果做一個合理的比例,你就會有合理的高肯定沒有集體攻擊。”
NSWEC計劃繼續使用Piwik軟件,盡管位于自己的數據中心,在一個更詳細的評估工具。
他說,委員會已收到一小部分人關心的電話投票篡改,但是“沒有實質性的表明我們有問題”。
“我們告訴他們有另一個去,他們不回來。”
新南威爾士州公民能夠投票通過iVote系統自3月16日之前,這周六的州選舉。平臺是開放給那些生活超過20公里的一個投票站,盲人和殘疾人公民,這些州際或海外在選舉日。
NSWEC預測超過100000選民將為2015年的選舉中,使用iVote相比46800年的46800人使用它。
大約有66000人已經注冊他們的投票通過iVote 2015州選舉。 |
|
加載中...
發表于 2015-3-24 10:47:10
QQ好友和群
收藏
發表于 2015-3-24 10:47:12
