Abo
  • IT-Karriere:

PC-Wahl: CCC patcht Wahlsoftware selbst

Nach mehreren fehlgeschlagenen Anläufen will der CCC nicht länger warten und schreibt die Patches für die Wahlsoftware selbst. Die gespendeten Codefragmente liegen bei Github, unklar ist, ob der Hersteller das Geschenk annimmt.

Artikel veröffentlicht am ,
Der CCC hat selbst Patches für PC-Wahl entwickelt.
Der CCC hat selbst Patches für PC-Wahl entwickelt. (Bild: PC-Wahl)

Der Chaos Computer Club will die Sicherheit der Bundestagswahl selbst in die Hand nehmen. Weil der Hersteller der umstrittenen Software PC-Wahl nach Ansicht des Clubs die Sicherheitslücken nicht richtig gepatcht hat, haben die Hacker einen eigenen Patch zur Verfügung gestellt, wie Zeit Online schreibt.

Stellenmarkt
  1. Höchstleistungsrechenzentrum Universität Stuttgart HLRS, Stuttgart
  2. Stadtverwaltung Kaiserslautern, Kaiserslautern

Die Wahlsoftware hat kritische Mängel, so können gefälschte Versionen verteilt werden, ohne dass Anwender davon etwas mitbekommen. Außerdem können die vorab übermittelten Stimmergebnisse manipuliert werden. Das würde im Laufe der Zeit auffallen, könnte aber für Verwirrung und Chaos sorgen.

CCC-Sprecher Linus Neumann sagte: "Das größte Einfallstor für Angreifer ist nicht wirksam beseitigt." Die für den Patch benötigten Dateien finden sich bei Github. Dort heiße es: "Der Hersteller der Software PC-Wahl 10.0 versuchte vor der Bundestagswahl im September 2017 hektisch und vergeblich, die Update-Funktion seiner Software abzusichern. Dies geschah mehrfach hintereinander mit teils absurden Mechanismen."

Der Patch implementiert eine Signatur der Update-Dateien, so dass diese nicht mehr einfach von Angreifern ausgetauscht werden könnten. Dazu wird ein RSA-Schlüsselpaar generiert, der öffentliche Schlüssel wird dann auf der Update-Seite des Herstellers hinterlegt. Dazu schreibt der CCC: "Das kommt einem Certificate Pinning gleich." Sprich: Das vertrauensgebende Element kann nicht mehr einfach von einem Angreifer ausgetauscht werden.

Auch die Signatur der Ergebnisdaten wurde überarbeitet

Auch für die Signierung der Ergebnisse wird mit dem Update RSA verwendet. Der Entwickler des Codes, Thorsten Schroeder, schreibt, dass nach gängigen Standards eine Signatur mittels X.509-PKI erfolgen sollte, wie sie zum Beispiel beim Austausch verschlüsselter Mails mittels S/MIME verwendet wird.

Hersteller und Wahlleiter würden aber offenbar nicht "über Willen, Flexibilität und inzwischen auch nicht mehr über die notwendige Zeit verfügen", um eine solche PKI zu implementieren. "Entsprechend passen wir uns mit diesem Vorschlag an die Vorlieben an und ergänzen sie um einen Hauch RSA", heißt es bei Github. Unklar ist, ob der Hersteller die gespendeten Patches anwenden wird.



Anzeige
Top-Angebote
  1. (u. a. Smartphones, TVs, Digitalkameras & Tablets reduziert)
  2. 139,99€ (Bestpreis - nach Abzug 20€-Coupon)
  3. 749,00€
  4. 199,00€

nachgefragt 21. Sep 2017

In Delphi schreibt man keine Oberfläche, man schriebt sie sich zurecht. Neu geschrieben...

kelzinc 21. Sep 2017

Nahtürlich würde einer der größten geheimdienste der welt den code so schreiben das...

Anonymer Nutzer 20. Sep 2017

Vielleicht die Personen, die ausreichend gefüllte Köfferchen dafür bekommen? Alles...

emuuu 20. Sep 2017

Wenn ich mir deine anderen Posts durchlese bin ich fast der Meinung du gehörst zu dieser...

emuuu 20. Sep 2017

Es würde ja schon reichen, wenn eine solche Software opensource wäre. Das ist natürlich...


Folgen Sie uns
       


Acer Predator Thronos ausprobiert (Ifa 2019)

Acer stellt auf der Ifa den doch auffälligen Gaming-Stuhl Predator Thronos aus. Golem.de setzt sich hinein - und möchte am liebsten nicht mehr aussteigen.

Acer Predator Thronos ausprobiert (Ifa 2019) Video aufrufen
iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

    •  /