Abo
  • Services:
Anzeige
Der CCC hat selbst Patches für PC-Wahl entwickelt.
Der CCC hat selbst Patches für PC-Wahl entwickelt. (Bild: PC-Wahl)

PC-Wahl: CCC patcht Wahlsoftware selbst

Der CCC hat selbst Patches für PC-Wahl entwickelt.
Der CCC hat selbst Patches für PC-Wahl entwickelt. (Bild: PC-Wahl)

Nach mehreren fehlgeschlagenen Anläufen will der CCC nicht länger warten und schreibt die Patches für die Wahlsoftware selbst. Die gespendeten Codefragmente liegen bei Github, unklar ist, ob der Hersteller das Geschenk annimmt.

Der Chaos Computer Club will die Sicherheit der Bundestagswahl selbst in die Hand nehmen. Weil der Hersteller der umstrittenen Software PC-Wahl nach Ansicht des Clubs die Sicherheitslücken nicht richtig gepatcht hat, haben die Hacker einen eigenen Patch zur Verfügung gestellt, wie Zeit Online schreibt.

Anzeige

Die Wahlsoftware hat kritische Mängel, so können gefälschte Versionen verteilt werden, ohne dass Anwender davon etwas mitbekommen. Außerdem können die vorab übermittelten Stimmergebnisse manipuliert werden. Das würde im Laufe der Zeit auffallen, könnte aber für Verwirrung und Chaos sorgen.

CCC-Sprecher Linus Neumann sagte: "Das größte Einfallstor für Angreifer ist nicht wirksam beseitigt." Die für den Patch benötigten Dateien finden sich bei Github. Dort heiße es: "Der Hersteller der Software PC-Wahl 10.0 versuchte vor der Bundestagswahl im September 2017 hektisch und vergeblich, die Update-Funktion seiner Software abzusichern. Dies geschah mehrfach hintereinander mit teils absurden Mechanismen."

Der Patch implementiert eine Signatur der Update-Dateien, so dass diese nicht mehr einfach von Angreifern ausgetauscht werden könnten. Dazu wird ein RSA-Schlüsselpaar generiert, der öffentliche Schlüssel wird dann auf der Update-Seite des Herstellers hinterlegt. Dazu schreibt der CCC: "Das kommt einem Certificate Pinning gleich." Sprich: Das vertrauensgebende Element kann nicht mehr einfach von einem Angreifer ausgetauscht werden.

Auch die Signatur der Ergebnisdaten wurde überarbeitet

Auch für die Signierung der Ergebnisse wird mit dem Update RSA verwendet. Der Entwickler des Codes, Thorsten Schroeder, schreibt, dass nach gängigen Standards eine Signatur mittels X.509-PKI erfolgen sollte, wie sie zum Beispiel beim Austausch verschlüsselter Mails mittels S/MIME verwendet wird.

Hersteller und Wahlleiter würden aber offenbar nicht "über Willen, Flexibilität und inzwischen auch nicht mehr über die notwendige Zeit verfügen", um eine solche PKI zu implementieren. "Entsprechend passen wir uns mit diesem Vorschlag an die Vorlieben an und ergänzen sie um einen Hauch RSA", heißt es bei Github. Unklar ist, ob der Hersteller die gespendeten Patches anwenden wird.


eye home zur Startseite
nachgefragt 21. Sep 2017

In Delphi schreibt man keine Oberfläche, man schriebt sie sich zurecht. Neu geschrieben...

kelzinc 21. Sep 2017

Nahtürlich würde einer der größten geheimdienste der welt den code so schreiben das...

ML82 20. Sep 2017

Vielleicht die Personen, die ausreichend gefüllte Köfferchen dafür bekommen? Alles...

emuuu 20. Sep 2017

Wenn ich mir deine anderen Posts durchlese bin ich fast der Meinung du gehörst zu dieser...

emuuu 20. Sep 2017

Es würde ja schon reichen, wenn eine solche Software opensource wäre. Das ist natürlich...



Anzeige

Stellenmarkt
  1. dSPACE GmbH, Paderborn
  2. Robert Bosch GmbH, Stuttgart-Vaihingen
  3. ROHDE & SCHWARZ GmbH & Co. KG, München
  4. Dirk Rossmann GmbH, Burgwedel


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 1.499,00€

Folgen Sie uns
       


  1. Spectre

    Intel verteilt Microcode für Client- und Server-CPUs

  2. Aldi Talk

    Nachbuchung des ungedrosselten Datenvolumens wird teurer

  3. Stiftung Warentest

    Zu wenig Datenschutz in Dating-Apps

  4. Mobilfunk

    Vodafone und Telefónica nutzen Glasfaser gemeinsam

  5. Indiegames-Rundschau

    Tiefseemonster, Cyberpunks und ein Kelte

  6. Android P

    Hintergrund-Apps wird Zugriff auf Kamera und Mikro verwehrt

  7. Online-Glücksspiele

    Bei Finanzsperren droht illegale Vorratsdatenspeicherung

  8. Betaversionen

    AirPlay 2 aus iOS und TVOS 11.3 entfernt

  9. Homee

    Homekit mit Z-Wave, Zigbee und Enocean verbinden

  10. Apfel

    Apple lässt sich Regenbogenlogo schützen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  2. Fake News Murdoch fordert von Facebook Sendegebühr für Medien
  3. EU-Urheberrechtsreform Abmahnungen treffen "nur die Dummen"

Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

  1. Re: Spielern das bankkonto sperren...

    Katsuragi | 10:40

  2. Wahnsinn... ich brauch sofort Android One oder...

    pk_erchner | 10:40

  3. Verteil-Mechanismus?

    pk_erchner | 10:39

  4. Re: Subnautica

    Nightdive | 10:38

  5. Re: Bald kommt UHD+

    Pansen | 10:38


  1. 10:33

  2. 10:16

  3. 09:40

  4. 09:08

  5. 09:06

  6. 08:33

  7. 08:01

  8. 07:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel