Dnia Tue, 18 Nov 2014 10:12:53 +0100, dante napisał(a):

 - Czyli, Ĺźe zasadniczo Pan się musi na tym rozeznać całkowicie, Ĺźeby
wiedzieć ile i gdzie ?
 - Dotychczas tak było. Ale teraz mamy.. KOMPUTER!! MoĹźe pan pisać co tylko
pan chce. To nie ma najmniejszego znaczenia.
 - Komputer ??
 - Ahha. On się i tak zawsze pomyli przy dodawaniu. Nie było miesiąca, Ĺźeby
się nie pomylił.
 - Czyli, Ĺźe teraz nie trzeba się juĹź tak znać na robocie ?
 - Ooo teraz juĹź nie, teraz jest duĹźo łatwiej Proszę Pana.
 - Komputer

http://niebezpiecznik.pl/post/problemy-w-pkw-zliczanie-glosow-wyborcow-sie-opoznia-zawiodl-system-informatyczny/

Xxx 2014.11.18 14:06 | # | Reply Cytat:

z sieci:
 Marek Małachowski:
 Poświęciłem dwie godziny na analizę kodu programu do obsługi komisji
wyborczych i kilka testĂłw. Program do logowania wymaga klucza cyfrowego
(pliku PEM) o odpowiednio przygotowanych parametrach. Programu nie
interesuje przez kogo jest ten klucz podpisany. Więc używając OpenSSL można
klucz taki samodzielnie wygenerować.
 Przejrzałem instrukcję obsługi programu, gdzie podano przykład logowania.
Używając danych pokazanych na obrazkach w instrukcji, można wygenerować
sobie klucz logowania do programu jako członek komisji w Bałtowie
(gdziekolwiek to jest). Zalogowanie się jako dowolny członek dowolnej innej
komisji nie wymaga wyjątkowej wiedzy.
 Czyli dowolna osoba, ktĂłra miała dostęp do komputera z programem
“Kalkulator1″, mogła się do niego zalogować jako dowolny członek komisji i
dokonać w niezauważony sposób zmian w protokołach zapisanych na tym
komputerze. Członkowie komisji mogli logować się jako ktoś inny, ale mogła
to też zrobić osoba zupełnie z zewnątrz, nie znająca żadnego hasła, bez
jakiejkolwiek autoryzacji. Wystarczy, że sama sobie prędzej swój własny
klucz cyfrowy zrobiła.
 Według instrukcji, jeśli w protokole występują “ostrzeĹźenia twarde”, to
należy uzyskać kod, który umożliwia zaakceptowanie protokołu. Zdobywa się
go telefonicznie od uĹźytkownika na poziomie delegatury. Jak program
sprawdza czy kod jest poprawny? Kod to nic innego jak MD5 z
(nr-obwodu+rok+miesiac+dzien).
 Co to wszystko oznacza?
 1. Dobrze, Ĺźe ten system nie zadziałał.
 2. Jakiekolwiek bezpieczeństwo było gwarantowane tylko poprzez fizyczną
kontrolę dostępu do komputera prowadzoną przez przewodniczącego komisji i
sprawdzenie przez niego danych zarówno wysyłanych jak i drukowanych.
Wszelkie klucze i hasła są w tym systemie zupełnie zbędne.
 3. Jeśli w protokole były błędy, wymagające kontaktu z “uĹźytkownikiem na
poziomie delegatury”, to osoba znająca kod źródłowy programu znała kod
autoryzujący te błędy. A jak widać na githubie, kod źródłowy został
upubliczniony dzień przed wyborami.
 4. TwĂłrca tego programu to początkujący programista. W zasadzie kaĹźdy błąd
jaki można popełnić w kodzie, został popełniony i mógłbym jeszcze długo
pisać. Na przykład o tym, że eksport/import protokołów na serwer nie wymaga
Ĺźadnej autoryzacji po stronie serwera i co to oznacza.
 Myślę, Ĺźe NIK będzie miał duĹźo pisania podczas kontroli i mam nadzieję, Ĺźe
za taki bubel Państwo nie zapłaci.


Czy to oznacza, że de facto KAŻDY mniejszym lub większym wysiłkiem może
zmienić wyniki?!?!