Как взломать онлайн-голосование за 20 минут. Выборы в Москве оказались под угрозой
Французский программист обнаружил возможность взлома московской системы электронного голосования, сообщила русская служба BBC. По словам исследователя Пьеррика Годри, для обхода защиты голосов москвичей ему потребовалось всего 20 минут, обычный персональный компьютер и программное обеспечение (ПО) из открытого доступа. Власти Москвы уже пообещали разобраться с этой уязвимостью.
О планах провести эксперимент с дистанционным интернет-голосованием власти Москвы объявили в начале февраля 2019 года. В единый день голосования — 8 сентября — этой системой смогут воспользоваться до 500 000 москвичей.
Для проверки работоспособности системы уже устраивали два тестовых прогона, третий пройдёт 21 августа. Жители трёх экспериментальных избирательных округов (№ 1, № 10 и № 30) ответят на вопросы, чего именно им не хватает в их районах: метро, бассейнов, парковок, круглосуточных сервисов и т.п.
Тестовую версию ПО системы электронного голосования мэрия Москвы опубликовала в июле на платформе для программистов GitHub. По замыслу создателей, система должна выдерживать попытки взлома до 12 часов — столько продлится голосование. Однако французскому исследователю удалось сделать это намного быстрее.
Скрипт (программистский сценарий) для взлома при этом занял всего одну страницу. Применив его, потенциальный злоумышленник может получить доступ к голосам всех избирателей ещё до закрытия участков и следить за изменениями предпочтений в реальном времени.
О переписывании или удалении голосов из системы речи не идёт, поскольку все голоса хранятся в зашифрованном виде в защищённой распределенной сети — блокчейне. Однако, по словам Годри, сложно точно просчитать все последствия этой уязвимости. Неясно также, сможет ли злоумышленник найти связь между конкретными бюллетенями и избирателями, однако тайна голосования в любом случае оказалась под угрозой.
Перед публикацией своего исследования Годри связался с представителями департамента информационных технологий (ДИТ) Москвы. Там пообещали усилить криптографическую защиту с 256-битных ключей до 1024-битных.
По мнению французского программиста, этого всё равно недостаточно — требуются как минимум 2048-битные ключи. Эксперты предположили, что такая ситуация сложилась из-за того, что к разработке системы не привлекли настоящих криптографов, ограничившись обычными программистами.
У «Секрета фирмы» есть канал в «Яндекс.Дзене». Подписывайтесь!