PC-Wahl: CCC patcht Wahlsoftware selbst

Nach mehreren fehlgeschlagenen Anläufen will der CCC nicht länger warten und schreibt die Patches für die Wahlsoftware selbst. Die gespendeten Codefragmente liegen bei Github, unklar ist, ob der Hersteller das Geschenk annimmt.

Artikel veröffentlicht am ,
Der CCC hat selbst Patches für PC-Wahl entwickelt.
Der CCC hat selbst Patches für PC-Wahl entwickelt. (Bild: PC-Wahl)

Der Chaos Computer Club will die Sicherheit der Bundestagswahl selbst in die Hand nehmen. Weil der Hersteller der umstrittenen Software PC-Wahl nach Ansicht des Clubs die Sicherheitslücken nicht richtig gepatcht hat, haben die Hacker einen eigenen Patch zur Verfügung gestellt, wie Zeit Online schreibt.

Stellenmarkt
  1. IT-Spezialist (m/w/d)
    Dan Produkte GmbH, Siegen
  2. Wissenschaftlicher Mitarbeiter (m/w/d)
    Hochschule Ruhr West, Mülheim an der Ruhr
Detailsuche

Die Wahlsoftware hat kritische Mängel, so können gefälschte Versionen verteilt werden, ohne dass Anwender davon etwas mitbekommen. Außerdem können die vorab übermittelten Stimmergebnisse manipuliert werden. Das würde im Laufe der Zeit auffallen, könnte aber für Verwirrung und Chaos sorgen.

CCC-Sprecher Linus Neumann sagte: "Das größte Einfallstor für Angreifer ist nicht wirksam beseitigt." Die für den Patch benötigten Dateien finden sich bei Github. Dort heiße es: "Der Hersteller der Software PC-Wahl 10.0 versuchte vor der Bundestagswahl im September 2017 hektisch und vergeblich, die Update-Funktion seiner Software abzusichern. Dies geschah mehrfach hintereinander mit teils absurden Mechanismen."

Der Patch implementiert eine Signatur der Update-Dateien, so dass diese nicht mehr einfach von Angreifern ausgetauscht werden könnten. Dazu wird ein RSA-Schlüsselpaar generiert, der öffentliche Schlüssel wird dann auf der Update-Seite des Herstellers hinterlegt. Dazu schreibt der CCC: "Das kommt einem Certificate Pinning gleich." Sprich: Das vertrauensgebende Element kann nicht mehr einfach von einem Angreifer ausgetauscht werden.

Auch die Signatur der Ergebnisdaten wurde überarbeitet

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Auch für die Signierung der Ergebnisse wird mit dem Update RSA verwendet. Der Entwickler des Codes, Thorsten Schroeder, schreibt, dass nach gängigen Standards eine Signatur mittels X.509-PKI erfolgen sollte, wie sie zum Beispiel beim Austausch verschlüsselter Mails mittels S/MIME verwendet wird.

Hersteller und Wahlleiter würden aber offenbar nicht "über Willen, Flexibilität und inzwischen auch nicht mehr über die notwendige Zeit verfügen", um eine solche PKI zu implementieren. "Entsprechend passen wir uns mit diesem Vorschlag an die Vorlieben an und ergänzen sie um einen Hauch RSA", heißt es bei Github. Unklar ist, ob der Hersteller die gespendeten Patches anwenden wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
E-Scooter
Voi wird wegen angeblich unbegrenzter Fahrten abgemahnt

Mit einer Tages- oder Monatskarte des E-Scooter-Anbieters Voi sollen Nutzer so viel fahren können, wie sie wollen - können sie aber nicht.

E-Scooter: Voi wird wegen angeblich unbegrenzter Fahrten abgemahnt
Artikel
  1. Vidme: Webseiten blenden ungewollt Pornos ein
    Vidme
    Webseiten blenden ungewollt Pornos ein

    Eine Pornowebseite hat die verwaiste Domain eines Videohosters gekauft. Auf bekannten Nachrichtenseiten wurden daraufhin Hardcore-Pornos angezeigt.

  2. Intel, Playdate, Elektroautos: Elektro boomt, Verbrenner verlieren
    Intel, Playdate, Elektroautos
    Elektro boomt, Verbrenner verlieren

    Sonst noch was? Was am 23. Juli 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  3. Datenbank: Facebook braucht schon Jahre für MySQL-Update
    Datenbank
    Facebook braucht schon Jahre für MySQL-Update

    Das Update von MySQL 5.6 auf das aktuelle 8.0 laufe bei Facebook wegen vieler Probleme schon seit "einigen Jahren" und ist noch nicht fertig.

nachgefragt 21. Sep 2017

In Delphi schreibt man keine Oberfläche, man schriebt sie sich zurecht. Neu geschrieben...

kelzinc 21. Sep 2017

Nahtürlich würde einer der größten geheimdienste der welt den code so schreiben das...

Anonymer Nutzer 20. Sep 2017

Vielleicht die Personen, die ausreichend gefüllte Köfferchen dafür bekommen? Alles...

emuuu 20. Sep 2017

Wenn ich mir deine anderen Posts durchlese bin ich fast der Meinung du gehörst zu dieser...

emuuu 20. Sep 2017

Es würde ja schon reichen, wenn eine solche Software opensource wäre. Das ist natürlich...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% Rabatt auf Amazon Warehouse • Asus TUF Gaming 27" FHD 280Hz 306,22€ • Samsung 970 Evo Plus 1TB 136,99€ • Gratis-Spiele im Epic Games Store • Alternate (u. a. be quiet Pure Wings 2 Gehäuselüfter 7,49€) • Philips 75" + Philips On-Ear-Kopfhörer 899€ • -15% auf TVs bei Ebay [Werbung]
    •  /