|
|
新南威尔士州iVote首席淡化狂风险安全问题“夸大了” 灰鸽子下载,远程控制软件
启示,新南威尔士州的在线投票系统包含一个严重的漏洞州政府选举前几天被过分夸大,根据国家选举委员会的首席。
上周末,两个大学的研究人员发现iVote的投票服务器加载代码从一个第三方网站容易受到了最近发现的怪物攻击。
狂缺陷在安全套接字层/传输层安全性(SSL / TLS)加密协议允许攻击者截获HTTPS脆弱的客户端和服务器之间的连接。
攻击者可以强迫网站下调弱密码,这可能很容易破解为了解密网站流量,允许攻击者窃取密码和其他敏感信息。
iVote的缺陷——因一个脆弱的第三方服务器托管Piwik web分析工具使用的新南威尔士州选举委员会——意味着攻击者可以拦截新南威尔士州选民的网络流量变化和阅读选票,灰鸽子使用教程,灰鸽子远程控制软件。
出版的缺陷后,NSWEC终止了连接到服务器,“公众可能保留信心iVote系统”。
然而,NSWEC Ian Brightwell认为CIO的机会成功,集体中间人攻击太偏远,被认为是一个可行的风险。
“特定风险发生的攻击,你必须有五种不同的条件下发生,“Brightwell告诉iTnews。
“人与怪物——你不得不访问键和打入SSL,你还必须进入的流量,通过浏览器,没有修补,以及。真正打破这一关键并不是一件容易的事情。
“我们删除(连接到服务器),因为我们认为公众会反应不佳,而且会花费很多来解释它是低风险的。”
他承认这是一个“坏”决定举办Piwik web分析工具在第三方服务器上,但表示主机内部没有一个选项时发射。
Piwik给NSWEC匿名网络分析证明该委员会的浏览器环境中工作。它取代了基于服务器的网络日志NSWEC以前使用。
“这可能是一个不必要的风险。当时这似乎是一个好主意,但我接受,也许没有,”Brightwell说。
“我们并没有打算做这样外部举办的最初,我们实际上已经在内部嵌入到核心投票系统,但这并不是在我们启动的时间。
“毫无疑问,怪物在服务器上的实际存在一定程度上减少了服务器的安全状况,这是我们决定把它的原因之一。”
然而Brightwell认为不构成危机问题,并翻译成“相对低风险”,尽管研究人员的发现。
“这是容易[测试攻击]如果你坐在一个局域网,直接自己内部代理,但实际上拦截集体交通你不得不以某种方式坐在那个特定的服务器和客户机之间的投票,”他说。
”,你可以做到的唯一有效的方法是毒药DNS的地方,然后开始获得的流量通过你。”
他说,iVote电话验证系统被设计用来帮助减轻对任何篡改网上投票。
“如果你看看这个系统的整体风险,我们已经接受了风险,客户端浏览器可以攻击,可以篡改选票。所以我们为人们提供了一种方法来验证他们的选票,”Brightwell告诉iTnews。
“不是每个人都使用这个选项,但是如果做一个合理的比例,你就会有合理的高肯定没有集体攻击。”
NSWEC计划继续使用Piwik软件,尽管位于自己的数据中心,在一个更详细的评估工具。
他说,委员会已收到一小部分人关心的电话投票篡改,但是“没有实质性的表明我们有问题”。
“我们告诉他们有另一个去,他们不回来。”
新南威尔士州公民能够投票通过iVote系统自3月16日之前,这周六的州选举。平台是开放给那些生活超过20公里的一个投票站,盲人和残疾人公民,这些州际或海外在选举日。
NSWEC预测超过100000选民将为2015年的选举中,使用iVote相比46800年的46800人使用它。
大约有66000人已经注册他们的投票通过iVote 2015州选举。 |
|
加载中...
发表于 2015-3-24 10:47:10
发表于 2015-3-24 10:47:12
