POLITICO
Jak 17-latek w kilka minut włamał się do amerykańskiego systemu wyborczego i go rozłożył
wczoraj 09:07
https://wiadomosci.onet.pl/swiat/jak-17-latek-w-kilka-minut-wlamal-sie-do-amerykanskiego-systemu-wyborczego-i-go/6jt71nh
Student amerykańskiego college’u – 17-letni River O’Connor – opisuje w POLITICO, jak w 10 minut włamał się do systemu wyborczego i mógł tam nie tylko zmieniać liczbę głosów, ale nawet nazwiska kandydatów i ich przynależność partyjną. Nie mówiąc o tym, że mógł po prostu usunąć stronę komisji wyborczej. O’Connor mówi o sobie, że jest słabym hakerem i zastanawia się, co mogliby narobić w tym systemie prawdziwi profesjonaliści. O’Connor uczestniczył w konkursie, w którym zadanie polegało na włamaniu się na repliki autentycznych stron internetowych obsługujących wybory stanowe
- Włamanie do wyborczego systemu informatycznego okazało o wiele łatwiejsze, niż się wydaje
- Profesjonaliści określają poziom zabezpieczeń wyborów na poziomie stanowym jako „dziecinny” – eksperyment, w jakim wziął udział O’Connor w pełni to potwierdził
- O’Connor: nikt nie chce żyć w świadomości, że zagłosuje, a potem jego głos może zostać skasowany albo – co gorsza – zmieniony
- Oto relacja studenta Rivera O’Connora, która zmrozi krew w żyłach również nam w Europie
Złamanie zabezpieczeń systemu informatycznego zbliżających się wyborów stanowych zajęło mi około 10 minut. Kiedy wszedłem już do zaskakująco prostych i słabo zabezpieczonych tabel stanowiących bazę danych komisji wyborczej, mogłem bez problemu zamknąć stronę zliczającą głosy, zatrzymując tym samym całą akcję wyborczą. Dane zostały bezpowrotnie utracone.
Tysiące głosów rozpłynęły się w powietrzu – tak po prostu. Całe wybory, a co za tym idzie, kontrola nad Kongresem lub Senatem – nie wspominając już nawet o naszym i tak zachwianym ostatnio zaufaniu do procesów demokratycznych – pogrążyły się w stanie jeszcze większego chaosu, wątpliwości i problemów.
Mam 17 lat. I nie jestem nawet specjalnie dobrym hakerem.
W konferencji DEF CON w Las Vegas biorę udział od ponad pięciu lat – pierwszy raz pojechałem tam, kiedy miałem jedenaście lat. Choć na poziomie koncepcyjnym dobrze rozumiem, jak działa cyberprzestrzeń i internet, to w szkole średniej brałem udział tylko w jednych zajęciach z programowania w języku Python.
Kiedy dowiedziałem się, że Komitet Partii Demokratycznej jest jednym z inicjatorów konkursu dotyczącego bezpieczeństwa dla dzieci i nastolatków, moje zainteresowania polityczne sprawiły, że zacząłem się zastanawiać, jak trudno byłoby wtrącić się w amerykańskie wybory. Choć mam niewielkie doświadczenie, w Las Vegas bardzo szybko zrozumiałem, dlaczego profesjonaliści określają poziom zabezpieczeń wyborów na poziomie stanowym jako „dziecinny”.
Konkurs młodych hakerów
„Voting Machine Village” na DEF CON – konkurencja, w której uczestnicy zajmowali się słabymi punktami maszyn do głosowania i wyborczych baz danych – wzbudziła wiele wątpliwości wśród członków komisji wyborczych i producentów urządzeń wykorzystywanych w czasie wyborów. To także gorzka pigułka dla opinii publicznej: nikt przecież nie chce żyć w świadomości, że nawet jeśli zwolni się z pracy, znajdzie opiekunkę do dzieci, a potem pojedzie zagłosować i odstoi swoje w długiej kolejce, to jego głos może zostać skasowany albo – co gorsza – zmieniony.
Ludzie zaczęli mówić o tym problemie dopiero wtedy, kiedy pojawiły się raporty instytucji wywiadowczych i organizacji takich jak Krajowy Komitet Partii Demokratycznej mówiące o tym, z jaką łatwością obcy wywiad może coś takiego zrobić. Od kiedy na początku XXI w USA wprowadzono głosowanie metodą elektroniczną, nasi przywódcy – zarówno ci w Waszyngtonie, jak w stolicach stanów – wyraźnie nie dotrzymują kroku błyskawicznemu rozwojowi technologii informatycznych i cyberbezpieczeństwa.
Wykorzystane w tegorocznym konkursie repliki stron internetowych obsługujących wybory stanowe zostały stworzone na bazie MySQL, systemu zarządzania bazami danych, w którym dane te przechowywane są w prostych tabelach składających się z kolumn i wierszy.
Po wpisaniu w pole wyszukiwania komendy umożliwiającej dostęp do wszystkich tabel mogłem mieć dostęp do wszystkich danych, także do podsumowania liczby głosów, imion i nazwisk kandydatów i podstawowych funkcji strony. Kiedy uzyska się taki poziom dostępu, można wyrządzić wielkie szkody.
Najpierw organizatorzy poprosili, abyśmy podwoili liczbę głosów oddanych na poszczególnych kandydatów. Później, z pomocą ochotników, niektórzy z nas bez trudu zmienili nazwiska kandydatów, a nawet partie, do których oni należeli. Mogliśmy także zwiększyć ilość oddanych na kogoś głosów do absurdalnego, „putinowskiego” poziomu.
Całe „hakowanie” sprowadzało się w tym przypadku do wpisania nie więcej niż dwóch linijek kodu: pierwsza umożliwiała wyświetlenie wszystkich kolumn i wierszy na danej stronie, druga zmieniała liczbę oddanych głosów. Większość z kilkudziesięciu uczestników bez trudu wypełniła proste zadania postawione przez organizatorów. Mniej więcej co czwarty zdołał zmienić nazwisko kandydata lub usunąć jego i jego partię z listy.
O’Connor posunął się dalej
Po zrobieniu czegoś tak relatywnie prostego – patrząc z perspektywy informatyki – jak namieszanie w liczbach, chciałem się przekonać, ile szkód mógłbym narobić bez instrukcji i pomocy organizatorów konkursu.
Najpierw zapisałem sobie adres IP serwera obsługującego cały konkurs – czyli zrobiłem dokładnie to, co zrobiłby w takiej sytuacji agent obcego państwa. Potem wszedłem na stronę prowadzoną przez DEF CON z bezpiecznego punktu dostępowego przez Wi-Fi i wyszukałem listę najczęściej używanych komend w MySQL. Cała operacja – od wyszukiwania do zamknięcia strony – zajęła mi niecałe pięć minut.
Aby „zdjąć” całą stronę, wystarczyło wpisać komendę, która całkowicie usuwała tabelę z bazy danych. To sprawiało, że strona generowała „błąd wykonania” – aby naprawić sytuację, konieczny był reset całego serwera. Upraszczając: rozwaliłem stronę w sposób przypominający znany atak przez blokadę usług (DoS, denial of service), ale bardziej bezpośredni i w gruncie rzeczy skuteczniejszy.
Organizatorzy byli nieco zaskoczeni, bo przecież w instrukcji kazali nam jedynie zmienić liczbę głosów. Musiałem „zdjąć” stronę jeszcze raz, tym razem na ich oczach, zanim uwierzyli, że rzeczywiście była to moja robota.
Fakt, że ktoś tak słabo przygotowany jak ja mógłby teoretycznie zablokować całe wybory – i że wystarczy do tego krótkie wyszukiwanie za pomocą Google’a – powinien być poważnym ostrzeżeniem.
90 miliardów głosów na niejakiego Gary Johnsona
Zwiększenie liczby głosów oddanych na jakiegoś Gary Johnsona do ponad 90 miliardów to oczywiście dobry dowcip, ale ktoś o złych zamiarach – nie wspominając o zespole dobrze opłacanych i doskonale przygotowanych hakerów – mógłby wyrządzić naprawdę poważne szkody.
Wyniki wyścigu o miejsce w Kongresie, w którym kandydaci mają zbliżone poparcie, można łatwo zmienić, dodając zaledwie kilkaset głosów, instalując złośliwe oprogramowanie, wykorzystując skradzione dane dostępowe albo wyłączając stronę w czasie ostatecznego podliczania głosów – tak jak zrobiłem to w Las Vegas.
Możliwość – czy wręcz prawdopodobieństwo – takiego wydarzenia sprawiła, że Bob Lord, człowiek odpowiedzialny za bezpieczeństwo w Krajowym Komitecie Partii Demokratycznej, rozmawiał ze mną i innymi uczestnikami konkursu, aby przekonać się, jakiego rodzaju obronę przed takimi sytuacjami mogą zaproponować ludzie bez doświadczenia.
Nie wiem, czego oczekiwałem, przystępując do konkursu, ale wiem, że to nie powinno być aż tak proste. Ktoś o moich umiejętnościach nie powinien mieć żadnych szans ataku na profesjonalnie chronioną stronę internetową. Przecież każdy, kto dysponuje dostępem do sieci przez Wi-Fi mógłby teoretycznie zrobić to samo, co ja i zniszczyć prawdziwą wyborczą bazę danych.
Niestety, ludzie, którzy mają władzę, aby coś w tej sprawie zmienić, udają, że wszystko jest w porządku. Co oczywiście nie zmienia faktów. Ameryka uważana jest za kraj wyznaczający standardy w kwestii przeprowadzania wolnych, demokratycznych wyborów – a centralną zasadą naszej tożsamości politycznej jest zasada „jedna osoba – jeden głos”.
Brak rozwiązania problemu tak szerokich i dobrze udokumentowanych prób wpływania na podstawy naszej demokracji przez obce siły wystawia na niebezpieczeństwo zarówno samą demokrację, jak naszą pozycję światowego lidera.
Nie jestem zainteresowany karierą w przemyśle technologicznym, ale mam nadzieję, że kiedyś będę w stanie zapobiegać takim sytuacjom w prawdziwym życiu. Po konkursie na DEF CON zarówno jego organizatorzy, jak uczestnicy zgodzili się co do tego, że potrzebujemy władz świadomych najnowszych technologii i dysponujących środkami – i wolą – do zapewnienia bezpieczeństwa procesowi wyborczemu. A przynajmniej takich, które zdołają powstrzymać siedemnastolatka znającego kilka podstawowych komend i dysponującego 10 minutami wolnego czasu od wybrania jakiegoś Gary Johnsona na dożywotniego prezydenta USA.
River O’Connor jest studentem w Ocean Research College Academy w Everett w stanie Washington