diff options
author | linus <linus@berlin.ccc.de> | 2017-09-19 08:04:31 +0000 |
---|---|---|
committer | linus <linus@berlin.ccc.de> | 2020-05-23 13:40:05 +0000 |
commit | a25ed787e1dbb405c84f50abea48a3a1465be447 (patch) | |
tree | cafe6e5395910733ddf9c35252c701f46de816f1 | |
parent | c26d0732211ed112c7e7127de05e01e847630467 (diff) |
committing page revision 1
-rw-r--r-- | updates/2017/pc-wahl-again.md | 109 |
1 files changed, 109 insertions, 0 deletions
diff --git a/updates/2017/pc-wahl-again.md b/updates/2017/pc-wahl-again.md new file mode 100644 index 00000000..2b6839bc --- /dev/null +++ b/updates/2017/pc-wahl-again.md | |||
@@ -0,0 +1,109 @@ | |||
1 | title: Open-Source-Spende: CCC schließt größte Schwachstelle in PC-Wahl | ||
2 | date: 2017-09-18 18:37:00 | ||
3 | updated: 2017-09-19 08:04:31 | ||
4 | author: 46halbe | ||
5 | tags: update, pressemitteilung | ||
6 | previewimage: /images/pcw_findefehler.png | ||
7 | |||
8 | Ein Bericht des Chaos Computer Clubs über die zur Stimmenauswertung bei der Bundestagswahl genutzte Software „PC-Wahl“ zeigte zahlreiche Schwachstellen. Mit einem Update vom 13. September 2017 versuchte der Hersteller erfolglos, das größte Einfallstor für Angreifer zu schließen. Fünf Tage vor der Bundestagswahl leistet der Chaos Computer Club nun „Erste Hilfe“ beim Stopfen der gröbsten Löcher: eine Open-Source-Spende, die das Einspielen manipulierter Updates wirkungsvoll verhindert. | ||
9 | |||
10 | <!-- TEASER_END --> | ||
11 | |||
12 | Am Donnerstag hatte der Chaos Computer Club (CCC) im Rahmen einer | ||
13 | Recherche der Wochenzeitung Die Zeit einen [23-seitigen Bericht über | ||
14 | zahlreiche Schwachstellen](https://ccc.de/de/updates/2017/pc-wahl) in | ||
15 | der aktuellen Version 10 der Software „PC-Wahl“ veröffentlicht. \[1\] | ||
16 | Diese Software wird bei der kommenden Bundestagswahl im Rahmen der | ||
17 | Stimmenauswertung verwendet. Das Update des Herstellers vom 13. | ||
18 | September 2017 war erfolglos, das größte Einfallstor für Angreifer ist | ||
19 | nicht wirksam beseitigt. | ||
20 | |||
21 | **CCC spendet Open-Source-Lösung** | ||
22 | |||
23 | In einem öffentlichen Software-Repository stellt der CCC [eine | ||
24 | funktionierende | ||
25 | Möglichkeit](https://github.com/devio/Walruss/tree/master/pcw_rsa_donation) | ||
26 | zur digitalen Signatur von „PC-Wahl“-Updates und Wahlergebnisdateien | ||
27 | sowie zu deren automatischer Prüfung bereit. \[4\] Der Code kann sowohl | ||
28 | für „PC-Wahl“ als auch beliebige andere Software-Projekte verwendet | ||
29 | werden, um die dort beobachteten Anfängerfehler zu vermeiden. | ||
30 | |||
31 | Der CCC veröffentlicht weiterhin einen [aktualisierten technischen | ||
32 | Bericht](https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf), | ||
33 | in dem auch die neuen Fehler dokumentiert werden. Neue Empfehlungen zur | ||
34 | Behebung der Schwachstellen kommen darin allerdings nicht vor – es | ||
35 | bleiben die alten Empfehlungen, welche bisher nicht oder nur | ||
36 | unzureichend umgesetzt wurden. | ||
37 | |||
38 | „Durch unsere Veröffentlichung wollten wir den Hersteller dazu bewegen, | ||
39 | sich endlich kompetenten Rat zu suchen. Resigniert stellen wir nun fest, | ||
40 | dass es dem Hersteller nicht nur am Willen, sondern an Kompetenz und | ||
41 | inzwischen auch an der notwendigen Zeit fehlt, seine Probleme nachhaltig | ||
42 | in den Griff zu bekommen“, sagte Linus Neumann, Sprecher des CCC. „Daher | ||
43 | spenden wird hiermit einen für PC-Wahl einfach zu übernehmenden | ||
44 | Mechanismus für signierte Updates – als Open-Source-Software, wie es | ||
45 | sich für hochkritische Wahlsoftware gehören sollte“, so Neumann weiter. | ||
46 | |||
47 | **Festhalten an fehlerhaften Prinzipien** | ||
48 | |||
49 | Wie die begleitetende Prüfung der neuen Versionen ergab, setzt der | ||
50 | Hersteller auch in seinem dritten Behebungsversuch – trotz aller | ||
51 | Warnungen – weiter auf die alten untauglichen Mechanismen: „Obfuscation“ | ||
52 | und Geheimhaltung. Wenig überraschend konnten auch diese vermeintlichen | ||
53 | Geheimnisse noch am gleichen Abend vom CCC durchschaut werden. \[6\] | ||
54 | |||
55 | Der Hersteller hat sein bisheriges Paketformat für Software-Updates | ||
56 | beibehalten und bettet es nun in ein Code-signiertes | ||
57 | „Hello-World-Programm“ ein. Der Installer öffnet dieses Programm lesend | ||
58 | und extrahiert das herkömmliche Update-Paket aus dem Programm. Während | ||
59 | der Mechanismus sehr simpel zu dechiffrieren ist, bleiben die | ||
60 | technischen Beweggründe nicht nachvollziehbar. | ||
61 | |||
62 | Dadurch gelang es dem CCC erneut, eigenen Code per Software-Update | ||
63 | einzuschleusen. Eine Demonstration ist als Screencast-Video verfügbar. | ||
64 | \[3\] Der Angriff gelang bereits wenige Stunden nach Veröffentlichung | ||
65 | des Updates und umgeht den inzwischen dritten Versuch des Herstellers, | ||
66 | das Problem zu lösen. \[6\] | ||
67 | |||
68 | **Abwälzen der Verantwortung auf die Nutzer** | ||
69 | |||
70 | Aber nicht nur die technische Umsetzung ist mangelhaft. Linus Neumann | ||
71 | erklärte: „Ohne nachvollziehbaren Grund wird die Prüfung der Signatur | ||
72 | auf die Nutzer abgewälzt – eindeutig aber eine Aufgabe des | ||
73 | Update-Programms! Hierzu wird eine unübersichtliche Anleitung zur | ||
74 | Verfügung gestellt, die noch dazu unzureichende Handlungsanweisungen | ||
75 | gibt.“ Die Nutzer werden angewiesen, auf umständliche Weise manuell zu | ||
76 | prüfen, ob das Update signiert ist. Jedoch werden sie überhaupt nicht | ||
77 | angeleitet, den sicherheitskritischen Teil der Signatur zu vergleichen: | ||
78 | den kryptographischen Fingerabdruck. Durch dieses unsinnige und | ||
79 | unzureichende Vorgehen wird die Maßnahme gänzlich überflüssig. | ||
80 | |||
81 | **Forderung: Public Money, Public Code!** | ||
82 | |||
83 | Nach dem Debakel um die handwerklich inadäquate und fehlerbehaftete | ||
84 | Wahlauswertungssoftware sind vor der Bundestagwahl nun nur noch Scherben | ||
85 | aufzufegen. Hastige Anweisungen zur manuellen unabhängigen Kontrolle von | ||
86 | digital weitergeleiteten Ergebnissen mögen eine kurzfristige Lösung | ||
87 | sein. Nach der Wahl aber muss ein grundsätzliches Umdenken stattfinden: | ||
88 | Von öffentlicher Hand bezahlte Software soll künftig auch öffentlich | ||
89 | einsehbar und überprüfbar sein – insbesondere bei der Wahlauswertung, | ||
90 | aber auch darüber hinaus. \[5\] | ||
91 | |||
92 | **Links**: | ||
93 | |||
94 | \[1\] Software zur Auswertung der Bundestagswahl unsicher und | ||
95 | angreifbar: <https://ccc.de/de/updates/2017/pc-wahl> | ||
96 | |||
97 | \[2\] [aktualisierter | ||
98 | Bericht](https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf) | ||
99 | |||
100 | \[3\] erfolgreicher Angriff in einem Screencast-Video: PC-Wahl Update | ||
101 | Demo II <https://vimeo.com/234341640> | ||
102 | |||
103 | \[4\] öffentliches Software-Repository RSA-Spende: | ||
104 | <https://github.com/devio/Walruss/tree/master/pcw_rsa_donation> | ||
105 | |||
106 | \[5\] Offener Brief: Public Money? Public Code! | ||
107 | <https://ccc.de/de/updates/2017/public-money-public-code> | ||
108 | |||
109 | \[6\] <https://github.com/devio/Walruss/tree/master/attic#hold-my-beer> | ||