Zestawienie tygodniowe 24 – 31 stycznia

System do głosowania dziurawy jak szwajcarski ser

E-głosowanie zostało po raz pierwszy wprowadzone w Szwajcarii prawie dwie dekady temu. Jednak krajowa poczta szwajcarska, która jest odpowiedzialna za głosowanie elektroniczne, pracuje nad nowym systemem „z pełną weryfikowalnością”.

Zanim nowy system będzie mógł być szeroko wdrożony, Swiss Post chce się upewnić, że jest odpowiednio przetestowany i bezpieczny. Organizacja uruchomiła pierwszy program bug bounty z głosowaniem elektronicznym w 2019 r., ale trwał tylko jeden miesiąc i zaowocował wykryciem zaledwie kilkunastu problemów z zabezpieczeniami o niskim poziomie istotności.

Jednak mniej więcej w tym samym czasie zespół badaczy przeanalizował kod źródłowy systemu — poza jakimkolwiek programem bug bounty — i wykrył potencjalnie poważne luki związane z protokołami kryptograficznymi, w tym luki, które mogły prowadzić do niewykrywalnej manipulacji głosowaniem. Wyniki zostały zbagatelizowane przez firmę, która system opracowała.

W zeszłym roku Swiss Post ogłosił trwający program bug bounty na platformie YesWeHack, oferujący nagrody w wysokości do 230 000 EUR (około 260 000 USD).

Według Swiss Post, do 20 stycznia 2022 r. firma otrzymała już 122 zgłoszeń luk w zabezpieczeniach, w tym cztery problemy, którym przypisano ocenę „wysokiego poziomu ważności”. Za wszystkie ważne luki wypłacił łącznie 79 000 EUR (88 000 USD).

Z tej kwoty 27 000 EUR (30 000 USD) zarobił Ruben Santamarta, doświadczony badacz cyberbezpieczeństwa, który w ostatnich latach odkrył wiele luk w zabezpieczeniach, w tym w systemach przemysłowych, IoT, satelitarnych, lotniczych i morskich.

Santamarta do tej pory zidentyfikował 13 luk w systemie głosowania elektronicznego, ale jego badania są w toku i oczekuje, że zgłosi dodatkowe problemy. Zauważył również, że waga niektórych wad jest nadal badana i oczekuje dodatkowych nagród za słabości, które zostały już ujawnione.

Dziewiętnastu badaczy znajduje się w galerii sław programu „bug bounty” Swiss Post na YesWeHack, a Santamarta ma obecnie najwyższy ranking. Najwyższa nagroda wypłacona do tej pory w ramach tego programu wyniosła 40 000 EUR (45 000 USD).

W poście na blogu opublikowanym na początku tego miesiąca Santamarta ujawnił szczegóły siedmiu luk w zabezpieczeniach, w tym problem o dużej wadze, który przyniósł mu 15 000 euro. Poważna wada związana jest z używaniem dysków USB.

FBI ostrzega przed Irańską firmą.

W tym tygodniu FBI ostrzegło o szkodliwych działaniach prowadzonych przez irańską firmę cybernetyczną o nazwie Emennet Pasargad. Agencja opisała taktyki, techniki i procedury (TTP) oraz podzieliła się kilkoma zaleceniami dotyczącymi zapobiegania i wykrywania ataków.

W listopadzie 2021 r. Departament Skarbu USA ogłosił sankcje wobec sześciu obywateli Iranu i firmy zaangażowanej w kampanię, której celem było wywarcie wpływu na wybory prezydenckie w 2020 roku.

Wspomniana firma to Emennet Pasargad, wcześniej znany jako Eeleyanet Gostar i Net Peygard Samavat — firma regularnie zmienia nazwę, aby uniknąć sankcji. Emennet świadczył usługi cyberbezpieczeństwa w Iranie, w tym na rzecz organizacji rządowych.

W dniu, w którym Ministerstwo Skarbu ogłosiło sankcje, Departament Sprawiedliwości przedstawił zarzuty dwóm pracownikom Emenneta, którzy byli rzekomo odpowiedzialni za działania hakerskie i dezinformacyjne związane z wyborami prezydenckimi.

W ostrzeżeniu wydanym w tym tygodniu FBI zauważyło, że oprócz operacji skoncentrowanej na wyborach, Emennet prowadził „tradycyjną działalność w zakresie cybereksploatacji”, atakując sektory takie jak wiadomości, transport, podróże, ropa i petrochemia, telekomunikacja i finanse. Celowali w Stany Zjednoczone, Europę i Bliski Wschód.

Hakerzy wykorzystywali różne sieci VPN, aby ukryć swoją lokalizację i wykorzystywali w swoich działaniach kilka narzędzi open source i komercyjnych, w tym SQLmap, Acunetix, DefenseCode, Wappalyzer, Dnsdumpster, Netsparker, wpscan i Shodan.

Zaobserwowano również, że hakerzy atakują popularne systemy zarządzania treścią, takie jak WordPress i Drupal, a także ujawnione bazy danych. W wielu przypadkach próbowali użyć domyślnych haseł, aby uzyskać dostęp do docelowego systemu.