Jest jeszcze smieszniej. Furda certyfikat. 5k glosow w skali kraju. Smieszniejsze jest oswiadczenie KBW. Oni w ogole nie stosuja zabezpieczenia w czasie transmisji. Zadnego.
Wyglada na to, że jeden z certyfikatów, którejś z wyborczej komisji obwodowej wpadł w ręce znanego Wam PollyPocketa. Twardych dowodów co prawda brak, ale do tej pory PollyPocket zawsze “słowa dotrzymywał” i jego “fanty” były realne (por. dokumenty kapitana ABW wykradzione).
1000 złotych za certyfikat komisji wyborczej
PollyPocket na forum Torepublic informuje, że certyfikat należy do komisji w ramach której uprawnionych do głosowania ma być ok. 5 000 osób. I żąda za niego min. 1 000 PLN.
Pocket twierdzi, że posiada certyfikat, który ma zostać użyty podczas tegorocznych wyborów. Nie do końca jesteśmy w stanie określić co taki certyfikat ma na celu i czy jego posiadanie rzeczywiście stanowi jakiekolwiek zagrożenie dla porządku wyborów. Zgodnie z instrukcją obsługi programu WOW, są 4 typy certyfikatów (nie wiadomo jaki konkretnie został zdobyty przez PollyPocketa):
Głosy z obwodowych komisji są wysyłane do PKW i spodziewamy się, że nawet jeśli ktoś wyśle drugi raz poprawnie podpisaną paczkę (przy użyciu wykradzionego certyfikatu) to duplikat wzbudzi wątpliwości w PKW, które uruchomi procedurę wyjaśniającą. Wysłaliśmy już stosowne zapytanie do PKW w tej sprawie i oczekujemy odpowiedzi.
Aktualizacja 5.5.2015
Otrzymaliśmy odpowiedzi z KBW. Zanim jednak je osadzimy, przytoczmy pytania, które KBW od nas otrzymało:
1. Czy taki certyfikat może cokolwiek “złego” zdziałać w nieautoryzowanych rękach?
2. Czy za jego pomocą można przesłać fałszywą paczkę z danymi (np. protokołem danej komisji)?
3. Czy KBW/PKW jest w stanie wykryć “duplikaty” protokołów?
4. Czy trzeba będzie resetować wszystkie certyfikaty?
A teraz odpowiedzi (przepraszamy niedowidzących bądź niewidomych czytelników — pomimo obowiązku “dostępności” treści publikowanych w internecie przez administrację publiczną, poniższe odpowiedzi otrzymaliśmy w formie skanu pisma w formacie PDF…)
Podsumowując — kradzież certyfikatu nie powinna stanowić problemu. Chociaż warto się zastanowić jak do kradzieży doszło. Certyfikat mógł zostać skopiowany z komputera komisji-ofiary (kto je dostarcza?) albo ze skrzynki przewodniczącego (jeśli to on go odbierał e-maliowo). Jest też trzecia opcja — PollyPocket kontroluje komputer w KBW, który certyfikaty generuje. Jeśli certyfikat pozyskano komputerów (czy to komisji czy KBW) to należy mieć nadzieję, że nie “przestaną one działać” w kluczowym momencie.
Pozostaje też mieć nadzieję, że PollyPocket posiada tylko 1 certyfikat. Jeśli miałby kilka, i faktycznie wysyłał wiele zduplikowanych protokołów w imieniu wielu różnych komisji, małe zamieszanie i opóźnienie na pewno udałoby mu się wywołać.
PS. Od jednego z czytelników otrzymaliśmy też e-mail, jaki wczoraj PKW wysłało do osób obsługujących wybory:
Po konsultacji z Panią Minister Beatą Tokaj uprzejmie informuję, iż z przyczyn niezależnych od zespołu przygotowującego system Wsparcia Organów Wyborczych, w I turze głosowania w wyborach Prezydenta RP w dniu 10 maja 2015 r. nie będą wykorzystane certyfikaty do przeglądarek dla użytkowników WOW.
Ponieważ zgodnie z decyzją Państwowej Komisji Wyborczej system WOW użyty będzie testowo, wobec czego w I turze testować będziemy bez certyfikatów.
Jednocześnie zdecydowaliśmy, iż testowanie systemu z użyciem certyfikatów będzie miało miejsce w ewentualnej II turze głosowania. Jednocześnie informuję, iż zainstalowanie certyfikatów przed I turą głosowania nie będzie miało żadnego wpływu na działanie systemu WOW