Abo
  • Services:

PC-Wahl: CCC patcht Wahlsoftware selbst

Nach mehreren fehlgeschlagenen Anläufen will der CCC nicht länger warten und schreibt die Patches für die Wahlsoftware selbst. Die gespendeten Codefragmente liegen bei Github, unklar ist, ob der Hersteller das Geschenk annimmt.

Artikel veröffentlicht am ,
Der CCC hat selbst Patches für PC-Wahl entwickelt.
Der CCC hat selbst Patches für PC-Wahl entwickelt. (Bild: PC-Wahl)

Der Chaos Computer Club will die Sicherheit der Bundestagswahl selbst in die Hand nehmen. Weil der Hersteller der umstrittenen Software PC-Wahl nach Ansicht des Clubs die Sicherheitslücken nicht richtig gepatcht hat, haben die Hacker einen eigenen Patch zur Verfügung gestellt, wie Zeit Online schreibt.

Stellenmarkt
  1. Haufe Group, Stuttgart
  2. Landratsamt Reutlingen, Reutlingen bei Stuttgart

Die Wahlsoftware hat kritische Mängel, so können gefälschte Versionen verteilt werden, ohne dass Anwender davon etwas mitbekommen. Außerdem können die vorab übermittelten Stimmergebnisse manipuliert werden. Das würde im Laufe der Zeit auffallen, könnte aber für Verwirrung und Chaos sorgen.

CCC-Sprecher Linus Neumann sagte: "Das größte Einfallstor für Angreifer ist nicht wirksam beseitigt." Die für den Patch benötigten Dateien finden sich bei Github. Dort heiße es: "Der Hersteller der Software PC-Wahl 10.0 versuchte vor der Bundestagswahl im September 2017 hektisch und vergeblich, die Update-Funktion seiner Software abzusichern. Dies geschah mehrfach hintereinander mit teils absurden Mechanismen."

Der Patch implementiert eine Signatur der Update-Dateien, so dass diese nicht mehr einfach von Angreifern ausgetauscht werden könnten. Dazu wird ein RSA-Schlüsselpaar generiert, der öffentliche Schlüssel wird dann auf der Update-Seite des Herstellers hinterlegt. Dazu schreibt der CCC: "Das kommt einem Certificate Pinning gleich." Sprich: Das vertrauensgebende Element kann nicht mehr einfach von einem Angreifer ausgetauscht werden.

Auch die Signatur der Ergebnisdaten wurde überarbeitet

Auch für die Signierung der Ergebnisse wird mit dem Update RSA verwendet. Der Entwickler des Codes, Thorsten Schroeder, schreibt, dass nach gängigen Standards eine Signatur mittels X.509-PKI erfolgen sollte, wie sie zum Beispiel beim Austausch verschlüsselter Mails mittels S/MIME verwendet wird.

Hersteller und Wahlleiter würden aber offenbar nicht "über Willen, Flexibilität und inzwischen auch nicht mehr über die notwendige Zeit verfügen", um eine solche PKI zu implementieren. "Entsprechend passen wir uns mit diesem Vorschlag an die Vorlieben an und ergänzen sie um einen Hauch RSA", heißt es bei Github. Unklar ist, ob der Hersteller die gespendeten Patches anwenden wird.



Anzeige
Spiele-Angebote
  1. 31,49€
  2. 59,99€ mit Vorbesteller-Preisgarantie (Release 14.11.)
  3. 15,49€
  4. 53,99€ statt 69,99€

nachgefragt 21. Sep 2017

In Delphi schreibt man keine Oberfläche, man schriebt sie sich zurecht. Neu geschrieben...

kelzinc 21. Sep 2017

Nahtürlich würde einer der größten geheimdienste der welt den code so schreiben das...

ML82 20. Sep 2017

Vielleicht die Personen, die ausreichend gefüllte Köfferchen dafür bekommen? Alles...

emuuu 20. Sep 2017

Wenn ich mir deine anderen Posts durchlese bin ich fast der Meinung du gehörst zu dieser...

emuuu 20. Sep 2017

Es würde ja schon reichen, wenn eine solche Software opensource wäre. Das ist natürlich...


Folgen Sie uns
       


Nvidia Geforce RTX 2080 und 2080 Ti - Test

Nvidia hat mit der RTX 2080 und 2080 Ti die derzeit leistungsstärksten Grafikkarten am Markt. Wir haben sie getestet.

Nvidia Geforce RTX 2080 und 2080 Ti - Test Video aufrufen
Norsepower: Stahlsegel helfen der Umwelt und sparen Treibstoff
Norsepower
Stahlsegel helfen der Umwelt und sparen Treibstoff

Der erste Test war erfolgreich: Das finnische Unternehmen Norsepower hat zwei weitere Schiffe mit Rotorsails ausgestattet. Der erste Neubau mit dem Windhilfsantrieb ist in Planung. Neue Regeln der Seeschifffahrtsorganisation könnten bewirken, dass künftig mehr Schiffe saubere Antriebe bekommen.
Ein Bericht von Werner Pluta

  1. Car2X Volkswagen will Ampeln zuhören
  2. Innotrans Die Schiene wird velosicher
  3. Logistiktram Frankfurt liefert Pakete mit Straßenbahn aus

Campusnetze: Das teure Versäumnis der Telekom
Campusnetze
Das teure Versäumnis der Telekom

Die Deutsche Telekom muss anderen Konzernen bei 5G-Campusnetzen entgegenkommen. Jahrzehntelang von Funklöchern auf dem Lande geplagt, wollen Siemens und die Automobilindustrie nun selbst Mobilfunknetze aufspannen. Auch der öffentliche Rundfunk will selbst 5G machen.
Eine Analyse von Achim Sawall

  1. Stadtnetzbetreiber 5G-Netz kann auch aus der Box kommen
  2. Achim Berg "In Sachen Gigabit ist Deutschland ein großer weißer Fleck"
  3. Telefónica Bündelung von Bandbreiten aus 4G und 5G ist doch möglich

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


      •  /