Abo
  • Services:

PC-Wahl: CCC patcht Wahlsoftware selbst

Nach mehreren fehlgeschlagenen Anläufen will der CCC nicht länger warten und schreibt die Patches für die Wahlsoftware selbst. Die gespendeten Codefragmente liegen bei Github, unklar ist, ob der Hersteller das Geschenk annimmt.

Artikel veröffentlicht am ,
Der CCC hat selbst Patches für PC-Wahl entwickelt.
Der CCC hat selbst Patches für PC-Wahl entwickelt. (Bild: PC-Wahl)

Der Chaos Computer Club will die Sicherheit der Bundestagswahl selbst in die Hand nehmen. Weil der Hersteller der umstrittenen Software PC-Wahl nach Ansicht des Clubs die Sicherheitslücken nicht richtig gepatcht hat, haben die Hacker einen eigenen Patch zur Verfügung gestellt, wie Zeit Online schreibt.

Stellenmarkt
  1. JOB AG Industrial Service GmbH, Baunatal
  2. MVV EnergySolutions GmbH, Mannheim

Die Wahlsoftware hat kritische Mängel, so können gefälschte Versionen verteilt werden, ohne dass Anwender davon etwas mitbekommen. Außerdem können die vorab übermittelten Stimmergebnisse manipuliert werden. Das würde im Laufe der Zeit auffallen, könnte aber für Verwirrung und Chaos sorgen.

CCC-Sprecher Linus Neumann sagte: "Das größte Einfallstor für Angreifer ist nicht wirksam beseitigt." Die für den Patch benötigten Dateien finden sich bei Github. Dort heiße es: "Der Hersteller der Software PC-Wahl 10.0 versuchte vor der Bundestagswahl im September 2017 hektisch und vergeblich, die Update-Funktion seiner Software abzusichern. Dies geschah mehrfach hintereinander mit teils absurden Mechanismen."

Der Patch implementiert eine Signatur der Update-Dateien, so dass diese nicht mehr einfach von Angreifern ausgetauscht werden könnten. Dazu wird ein RSA-Schlüsselpaar generiert, der öffentliche Schlüssel wird dann auf der Update-Seite des Herstellers hinterlegt. Dazu schreibt der CCC: "Das kommt einem Certificate Pinning gleich." Sprich: Das vertrauensgebende Element kann nicht mehr einfach von einem Angreifer ausgetauscht werden.

Auch die Signatur der Ergebnisdaten wurde überarbeitet

Auch für die Signierung der Ergebnisse wird mit dem Update RSA verwendet. Der Entwickler des Codes, Thorsten Schroeder, schreibt, dass nach gängigen Standards eine Signatur mittels X.509-PKI erfolgen sollte, wie sie zum Beispiel beim Austausch verschlüsselter Mails mittels S/MIME verwendet wird.

Hersteller und Wahlleiter würden aber offenbar nicht "über Willen, Flexibilität und inzwischen auch nicht mehr über die notwendige Zeit verfügen", um eine solche PKI zu implementieren. "Entsprechend passen wir uns mit diesem Vorschlag an die Vorlieben an und ergänzen sie um einen Hauch RSA", heißt es bei Github. Unklar ist, ob der Hersteller die gespendeten Patches anwenden wird.



Anzeige
Top-Angebote
  1. 199€ (Vergleichspreis 265,99€)
  2. 269€ (Vergleichspreis 319€)HP Pavilion 32
  3. 3,82€

nachgefragt 21. Sep 2017

In Delphi schreibt man keine Oberfläche, man schriebt sie sich zurecht. Neu geschrieben...

kelzinc 21. Sep 2017

Nahtürlich würde einer der größten geheimdienste der welt den code so schreiben das...

ML82 20. Sep 2017

Vielleicht die Personen, die ausreichend gefüllte Köfferchen dafür bekommen? Alles...

emuuu 20. Sep 2017

Wenn ich mir deine anderen Posts durchlese bin ich fast der Meinung du gehörst zu dieser...

emuuu 20. Sep 2017

Es würde ja schon reichen, wenn eine solche Software opensource wäre. Das ist natürlich...


Folgen Sie uns
       


Red Dead Redemption in 4K - Grafikvergleich

Wir haben Red Dead Redemption in 4K auf der Xbox One X angespielt und zeigen unseren Grafikvergleich mit der Originalfassung.

Red Dead Redemption in 4K - Grafikvergleich Video aufrufen
Klimaschutz: Unter der Erde ist das Kohlendioxid gut aufgehoben
Klimaschutz
Unter der Erde ist das Kohlendioxid gut aufgehoben

Die Kohlendioxid-Emissionen steigen und steigen. Die auf der UN-Klimakonferenz in Paris vereinbarten Ziele sind so kaum zu schaffen. Fachleute fordern daher den Einsatz von Techniken, die Kohlendioxid in Kraftwerken abscheiden oder sogar aus der Luft filtern.
Ein Bericht von Daniel Hautmann

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

Ryzen 7 2700X im Test: AMDs Zen+ zieht gleich mit Intel
Ryzen 7 2700X im Test
AMDs Zen+ zieht gleich mit Intel

Der neue Ryzen 7 2700X gehört zu den schnellsten CPUs für 300 Euro. In Anwendungen schlägt er sich sehr gut und ist in Spielen oft überraschend flott. Besonders schön: die Abwärtskompatibilität.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen 2400GE/2200GE AMD veröffentlicht sparsame 35-Watt-APUs
  2. AMD-Prozessor Ryzen-Topmodell 7 2700X kostet 320 Euro
  3. Spectre v2 AMD und Microsoft patchen CPUs bis zurück zum Bulldozer

Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Soziales Netzwerk Facebook ermöglicht Einsprüche gegen Löschungen
  2. Soziales Netzwerk Facebook will in Deutschland Vertrauen wiedergewinnen
  3. Denial of Service Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern

    •  /