Informatyk ujawnia: Każdy mógł zalogować się do systemu PKW i wstawić wynik

„Każdy błąd jaki można popełnić w kodzie, został popełniony” - tak
działanie systemu informatycznego PKW służącego do zliczania głosów w
wyborach ocenia informatyk, który przeanalizował działanie programu. System
był dziurawy jak sito. Okazuje się, że na dzień przed wyborami kod źródłowy
programu został upubliczniony w internecie.

 Największe zdumienie moĹźe budzić fakt, Ĺźe do systemu zalogować mĂłgł się
praktycznie kaĹźdy.

- Poświęciłem dwie godziny na analizę kodu programu do obsługi komisji
wyborczych i kilka testĂłw. Program do logowania wymaga klucza cyfrowego
(pliku PEM) o odpowiednio przygotowanych parametrach. Programu nie
interesuje przez kogo jest ten klucz podpisany. Więc używając OpenSSL można
klucz taki samodzielnie wygenerować. Przejrzałem instrukcję obsługi
programu, gdzie podano przykład logowania. Używając danych pokazanych na
obrazkach w instrukcji, można wygenerować sobie klucz logowania do programu
jako członek komisji w Bałtowie (gdziekolwiek to jest). Zalogowanie się
jako dowolny członek dowolnej innej komisji nie wymaga wyjątkowej wiedzy –
napisał na Facebooku informatyk.

 Oznacza to, Ĺźe dowolna osoba, ktĂłra miała dostęp do komputera z programem
„Kalkulator1”, mogła zalogować się do systemu jako dowolny członek komisji,
uzyskując w ten sposób możliwość dokonania w niezauważony sposób zmian w
protokołach zapisanych na tym komputerze.

- Członkowie komisji mogli logować się jako ktoś inny, ale mogła to też
zrobić osoba zupełnie z zewnątrz, nie znająca żadnego hasła, bez
jakiejkolwiek autoryzacji. Wystarczy, że sama sobie prędzej swój własny
klucz cyfrowy zrobiła – ustalił informatyk.

 Badając luki systemu informatycznego PKW mężczyzna ustalił rĂłwnieĹź, Ĺźe
zgodnie z instrukcją jeśli w protokole występują „ostrzeżenia twarde”,
należy uzyskać kod, który umożliwia zaakceptowanie protokołu. Okazało się,
że zdobycie kodu odbywa się drogą telefoniczną – kod można było uzyskać od
uĹźytkownika na poziomie delegatury.

- Jak program sprawdza czy kod jest poprawny? Kod to nic innego jak MD5 z
(nr-obwodu+rok+miesiac+dzien) – wynika z ustaleń specjalisty opublikowanych
na Facebooku.

Informatyk podsumowuje funkcjonowanie systemu informatycznego PKW w kilku
punktach, nie zostawiając na nim suchej nitki:
1. Dobrze, że ten system nie zadziałał.
 2. Jakiekolwiek bezpieczeństwo było gwarantowane tylko poprzez fizyczną
kontrolę dostępu do komputera prowadzoną przez przewodniczącego komisji i
sprawdzenie przez niego danych zarówno wysyłanych jak i drukowanych.
Wszelkie klucze i hasła są w tym systemie zupełnie zbędne.
 3. Jeśli w protokole były błędy, wymagające kontaktu z "uĹźytkownikiem na
poziomie delegatury", to osoba znająca kod źródłowy programu znała kod
autoryzujący te błędy. A jak widać na githubie, kod źródłowy został
upubliczniony dzień przed wyborami.
 4. TwĂłrca tego programu to początkujący programista. W zasadzie kaĹźdy błąd
jaki można popełnić w kodzie, został popełniony i mógłbym jeszcze długo
pisać. Na przykład o tym, że eksport/import protokołów na serwer nie wymaga
Ĺźadnej autoryzacji po stronie serwera i co to oznacza.

Pikanterii całej sprawie dodaje fakt, że pomimo zapewnień PKW, iż system
działa poprawnie, z poszczególnych komisji obwodowych docierały do nas
sygnały o występujących nadal problemach. Większość z nich dotyczyła
logowania się w systemie. Niektóre były związane z brakiem podglądu do
protokołów zbiorczych. Pojawiły się również przypadki „znikających danych”
- pomimo wcześniejszego wprowadzenia i zapisania danych, części z nich nie
było widać w systemie.

http://niezalezna.pl/61516-informatyk-ujawnia-kazdy-mogl-zalogowac-sie-do-systemu-pkw-i-wstawic-wynik

użytkownik dante napisał:

Informatyk ujawnia: Każdy mógł zalogować się do systemu PKW i wstawić wynik

"Każdy błąd jaki można popełnić w kodzie, został popełniony" - tak
działanie systemu informatycznego PKW służącego do zliczania głosów w
wyborach ocenia informatyk, który przeanalizował działanie programu.. System
był dziurawy jak sito. Okazuje się, że na dzień przed wyborami kod źródłowy
programu został upubliczniony w internecie.

Widac na pierwszy rzut oka, ze elektorat ma g..o do gadania i sluzby rzadza..



    Mariusz Walter nadaje się na głównego konsultanta, jakiegoś szefa programowego i TV - jednym słowem nie kierownika pionu propagandy, lecz główną siłę koncepcyjno-fachową. Walter to najzdolniejszy w ogóle redaktor telewizyjny w Polsce, który przedstawia tow. Mieczysławowi Rakowskiemu i mnie sporo interesujących koncepcji ogólnopolitycznych i propagandowych.
        Autor: Jerzy Urban, "Tajemnica" sukcesu TVN, wp.pl, 4 października 2011
        Opis: fragment listu polecającego Mariusza Waltera gen. Czesławowi Kiszczakowi z 1983.

Użytkownik "dante" <dante@gmail.com> napisał w wiadomości news:m4fq32$7q1$1speranza.aioe.org...

Informatyk ujawnia: Każdy mógł zalogować się do systemu PKW i wstawić wynik

To dlatego PiS wygrał wybory! Zostały sfałszowane! Gdzie jest PiS? Dlaczego nie drze japy o opcji kremlowskiej?!!

MW

To dlatego PiS wygrał wybory! Zostały sfałszowane! > MW

Wykluczasz możliwość, że w rzeczywistości PiS wygrało z wyższym wynikiem niż
wynik sondaĹźu podany przez IPSOS?

--
Nie da się oddzielić polityki od religii. Nie da się w człowieku oddzielić
katolika od obywatela. Rozdział państwa od Kościoła jest sztuczny.

Użytkownik abc abc@wp.pl ...

To dlatego PiS wygrał wybory! Zostały sfałszowane! > MW

Wykluczasz możliwość, że w rzeczywistości PiS wygrało z wyższym
wynikiem niż wynik sondażu podany przez IPSOS?

To moze jednak powinni krzyczec... jak zwykle...

W dniu .11.2014 o 17:32 abc <abc@wp.pl> pisze:

To dlatego PiS wygrał wybory! Zostały sfałszowane! > MW

Wykluczasz możliwość, że w rzeczywistości PiS wygrało z wyższym wynikiem  niż
wynik sondażu podany przez IPSOS?

A ty masz pewność, że nie przegrało?
--
stevep
-- -- -
Używam klienta poczty Opera Mail: http://www.opera.com/mail/

W dniu 18.11.2014 o 17:19, MarkWoydak pisze:

Użytkownik "dante" <dante@gmail.com> napisał w wiadomości
news:m4fq32$7q1$1speranza.aioe.org...

Informatyk ujawnia: Każdy mógł zalogować się do systemu PKW i wstawić
wynik

To dlatego PiS wygrał wybory! Zostały sfałszowane! Gdzie jest PiS?
Dlaczego nie drze japy o opcji kremlowskiej?!!

MW

To proste z faktycznego 1% nie da się zrobić 35% to dla oszustów nawet nie realne.

Użytkownik MarkWoydak mark.woydak@forest.gmx.de ...

Informatyk ujawnia: Każdy mógł zalogować się do systemu PKW i wstawić
wynik

To dlatego PiS wygrał wybory! Zostały sfałszowane! Gdzie jest PiS?
Dlaczego nie drze japy o opcji kremlowskiej?!!

Mieliby krzyczec ze wybory sa sfałszowane kiedy je wygrall? ROTFL

W dniu .11.2014 o 17:19 MarkWoydak <mark.woydak@forest.gmx.de> pisze:

Użytkownik "dante" <dante@gmail.com> napisał w wiadomości  news:m4fq32$7q1$1speranza.aioe.org...

Informatyk ujawnia: Każdy mógł zalogować się do systemu PKW i wstawić  wynik

To dlatego PiS wygrał wybory! Zostały sfałszowane! Gdzie jest PiS?  Dlaczego nie drze japy o opcji kremlowskiej?!!

MW

Wniosek prosty- PiS sfałszował wybory.
--
stevep
-- -- -
Używam klienta poczty Opera Mail: http://www.opera.com/mail/

W dniu 2014-11-18 o 16:54, dante pisze:

Informatyk ujawnia: Każdy mógł zalogować się do systemu PKW i wstawić wynik

„Każdy błąd jaki można popełnić w kodzie, został popełniony” - tak
działanie systemu informatycznego PKW służącego do zliczania głosów w
wyborach ocenia informatyk, który przeanalizował działanie programu. System
był dziurawy jak sito. Okazuje się, że na dzień przed wyborami kod źródłowy
programu został upubliczniony w internecie.

public bool isActiveLicense(string license)
{
bool response = false;
try
{
System.Security.Cryptography.X509Certificates.X509Certificate certtmp = new
System.Security.Cryptography.X509Certificates.X509Certificate(license);
System.DateTime a = new System.DateTime(1, 1, 1, 0, 0, 0);
System.DateTime fromDate = System.Convert.ToDateTime(certtmp.GetEffectiveDateString());
if (fromDate == a)
{
System.Threading.Thread.Sleep(1000);
fromDate = System.Convert.ToDateTime(certtmp.GetEffectiveDateString());
}
System.DateTime toDate = System.Convert.ToDateTime(certtmp.GetExpirationDateString());
if (toDate == a)
{
System.Threading.Thread.Sleep(1000);
toDate = System.Convert.ToDateTime(certtmp.GetEffectiveDateString());
}
int result = System.DateTime.Compare(fromDate, System.DateTime.Now);
int result2 = System.DateTime.Compare(System.DateTime.Now, toDate);
if (result <= 0 && result2 <= 0)
{
response = true;
}
}
catch (System.Security.Cryptography.CryptographicException)
{
}

return response;
}

OMG
I czemu w .NET? Państwo nie powinno wspierać jedynie słusznego systemu.


--
@foe_pl

użytkownik the_foe napisał:

OMG
I czemu w .NET? Państwo nie powinno wspierać jedynie słusznego systemu.

Ten NET malegomiekkiego?

O ja pi...le, 5 baniek, no no europa pelnom gebom.

Jak kurwy nie nauczyli sie planowania przez 7 lat, nie nauczom siem
przez nastepne 7.

W dniu 2014-11-18 o 19:50, szklanynocnik@gmail.com pisze:

Ten NET malegomiekkiego?

..net ma sporo wad dla budowy czegos takiego jak system zbierania głosów. Wymusza na uzytkowniku koncowym uzycia windowsa, doinstalowania frameworka. Na windowsie XP sp2 i nizszych mogą być problemy z instalacją bo nowsze frameworki pod nowsze VS sa nie wspierane. Dodatkowo nie ma tu kompilacji do kodu maszynowego, wiec jest mozliwosc dekompilacji i przyjrzeniu się błedom.

--
@foe_pl

Użytkownik  szklanynocnik@gmail.com ...

O ja pi...le, 5 baniek

jakie 5 baniek?

użytkownik Budzik napisał:
 

> O ja pi...le, 5 baniek

jakie 5 baniek?

Sluszna uwaga, kajam sie:)

W dniu 2014-11-18 o 16:54, dante pisze:

  4. TwĂłrca tego programu to początkujący programista. W zasadzie kaĹźdy błąd
jaki można popełnić w kodzie, został popełniony i mógłbym jeszcze długo
pisać. Na przykład o tym, że eksport/import protokołów na serwer nie wymaga
Ĺźadnej autoryzacji po stronie serwera i co to oznacza.

https://github.com/wybory2014/Kalkulator1/blob/master/Kalkulator1/Field.cs
https://github.com/wybory2014/Kalkulator1/blob/master/Kalkulator1.AdditionalWindow/Import.cs

ktoś mocno przyzwyczajony do php


--
@foe_pl

W dniu 2014-11-18 o 16:54, dante pisze:

Informatyk ujawnia: Każdy mógł zalogować się do systemu PKW i wstawić wynik

„Każdy błąd jaki można popełnić w kodzie, został popełniony”

Wiedziałem że struktury państwa się sypią. (u Sowy coś takiego mówili ;-) ) ale że do tego stopnia?
Co można jeszcze spieprzyć jak się spieprzyło liczenie głosów przy wyborach. Co jeszcze?
Niedokończenie autostrady A1 czy afera z pendolino to pikuś.
Mam nadzieję że tvny stosownie to nagłośnią tak żeby zwykły Kowalski zrozumiał co się stało. Mnie po 20 latach pracy z komputerami i cokolwiek liźnięcia programowania włosy się jeżą na głowie.

z

Dnia Tue, 18 Nov 2014 16:54:10 +0100, dante napisał(a):

Informatyk ujawnia: Każdy mógł zalogować się do systemu PKW i wstawić wynik

„Każdy błąd jaki można popełnić w kodzie, został popełniony” - tak
działanie systemu informatycznego PKW służącego do zliczania głosów w
wyborach ocenia informatyk, który przeanalizował działanie programu. System
był dziurawy jak sito. Okazuje się, że na dzień przed wyborami kod źródłowy
programu został upubliczniony w internecie.

 Największe zdumienie moĹźe budzić fakt, Ĺźe do systemu zalogować mĂłgł się
praktycznie kaĹźdy.

- Poświęciłem dwie godziny na analizę kodu programu do obsługi komisji
wyborczych i kilka testĂłw. Program do logowania wymaga klucza cyfrowego
(pliku PEM) o odpowiednio przygotowanych parametrach. Programu nie
interesuje przez kogo jest ten klucz podpisany. Więc używając OpenSSL można
klucz taki samodzielnie wygenerować. Przejrzałem instrukcję obsługi
programu, gdzie podano przykład logowania. Używając danych pokazanych na
obrazkach w instrukcji, można wygenerować sobie klucz logowania do programu
jako członek komisji w Bałtowie (gdziekolwiek to jest). Zalogowanie się
jako dowolny członek dowolnej innej komisji nie wymaga wyjątkowej wiedzy –
napisał na Facebooku informatyk.

 Oznacza to, Ĺźe dowolna osoba, ktĂłra miała dostęp do komputera z programem
„Kalkulator1”, mogła zalogować się do systemu jako dowolny członek komisji,
uzyskując w ten sposób możliwość dokonania w niezauważony sposób zmian w
protokołach zapisanych na tym komputerze.

- Członkowie komisji mogli logować się jako ktoś inny, ale mogła to też
zrobić osoba zupełnie z zewnątrz, nie znająca żadnego hasła, bez
jakiejkolwiek autoryzacji. Wystarczy, że sama sobie prędzej swój własny
klucz cyfrowy zrobiła – ustalił informatyk.

 Badając luki systemu informatycznego PKW mężczyzna ustalił rĂłwnieĹź, Ĺźe
zgodnie z instrukcją jeśli w protokole występują „ostrzeżenia twarde”,
należy uzyskać kod, który umożliwia zaakceptowanie protokołu. Okazało się,
że zdobycie kodu odbywa się drogą telefoniczną – kod można było uzyskać od
uĹźytkownika na poziomie delegatury.

- Jak program sprawdza czy kod jest poprawny? Kod to nic innego jak MD5 z
(nr-obwodu+rok+miesiac+dzien) – wynika z ustaleń specjalisty opublikowanych
na Facebooku.

Informatyk podsumowuje funkcjonowanie systemu informatycznego PKW w kilku
punktach, nie zostawiając na nim suchej nitki:
1. Dobrze, że ten system nie zadziałał.
 2. Jakiekolwiek bezpieczeństwo było gwarantowane tylko poprzez fizyczną
kontrolę dostępu do komputera prowadzoną przez przewodniczącego komisji i
sprawdzenie przez niego danych zarówno wysyłanych jak i drukowanych.
Wszelkie klucze i hasła są w tym systemie zupełnie zbędne.
 3. Jeśli w protokole były błędy, wymagające kontaktu z "uĹźytkownikiem na
poziomie delegatury", to osoba znająca kod źródłowy programu znała kod
autoryzujący te błędy. A jak widać na githubie, kod źródłowy został
upubliczniony dzień przed wyborami.
 4. TwĂłrca tego programu to początkujący programista. W zasadzie kaĹźdy błąd
jaki można popełnić w kodzie, został popełniony i mógłbym jeszcze długo
pisać. Na przykład o tym, że eksport/import protokołów na serwer nie wymaga
Ĺźadnej autoryzacji po stronie serwera i co to oznacza.

Pikanterii całej sprawie dodaje fakt, że pomimo zapewnień PKW, iż system
działa poprawnie, z poszczególnych komisji obwodowych docierały do nas
sygnały o występujących nadal problemach. Większość z nich dotyczyła
logowania się w systemie. Niektóre były związane z brakiem podglądu do
protokołów zbiorczych. Pojawiły się również przypadki „znikających danych”
- pomimo wcześniejszego wprowadzenia i zapisania danych, części z nich nie
było widać w systemie.

http://niezalezna.pl/61516-informatyk-ujawnia-kazdy-mogl-zalogowac-sie-do-systemu-pkw-i-wstawic-wynik

No przecież to jasne jak słońce, ze jak przetrag na system opiewa na 500
tys. i sysyem powstaje w 3 miesiace, bez prĂłb, weryfikacji i roboczych
wdrożeń, to robiła go firma jakiegoś krewnego lub znajomego Królika - a nie
rzetelny wykonawca.

W dniu 2014-11-19 o 20:17, XL pisze:

No przecież to jasne jak słońce, ze jak przetrag na system opiewa na 500
tys. i sysyem powstaje w 3 miesiace, bez prĂłb, weryfikacji i roboczych
wdrożeń, to robiła go firma jakiegoś krewnego lub znajomego Królika - a nie
rzetelny wykonawca.

ale sedziowie - czlonkowie PKW ze smiertelnie powaznymi minami twierdzili na konferencji tuz po wyborach, ze ten system po weryfikacji nadal bedzie uzytkowany przez PKW:)


--
General Skalski o zydach w UB :

"Rozanski, Zyd, kanalia najgorszego gatunku, razem z Brystigerowa, Fejginami, to wszystko (...) nie byli ludzie."

prof. PAN Krzysztof Jasiewicz o zydach :

"Zydow gubi brak umiaru we wszystkim i przekonanie, ze sa narodem
wybranym. Czuja sie oni upowaznieni do interpretowania wszystkiego,
takze doktryny katolickiej. Cokolwiek bysmy zrobili, i tak bedzie
poddane ich krytyce - za malo, ze zle, ze zbyt malo ofiarnie. W moim
najglebszym przekonaniu szkoda czasu na dialog z Zydami, bo on do
niczego nie prowadzi... Ludzi, ktorzy uzywają slow 'antysemita',
'antysemicki', nalezy traktowac jak ludzi niegodnych debaty, ktorzy
usiluja niszczyc innych, gdy brakuje argumentow merytorycznych. To oni
tworza mowe nienawisci".

Dnia Wed, 19 Nov 2014 20:25:39 +0100, u2 napisał(a):

W dniu 2014-11-19 o 20:17, XL pisze:

No przecież to jasne jak słońce, ze jak przetrag na system opiewa na 500
tys. i sysyem powstaje w 3 miesiace, bez prób, weryfikacji i roboczych
wdrożeń, to robiła go firma jakiegoś krewnego lub znajomego Królika - a nie
rzetelny wykonawca.

ale sedziowie - czlonkowie PKW ze smiertelnie powaznymi minami twierdzili na konferencji tuz po wyborach, ze ten system po weryfikacji nadal bedzie uzytkowany przez PKW:)

O żeż...

W dniu 2014-11-19 o 20:51, XL pisze:

ale sedziowie - czlonkowie PKW ze smiertelnie powaznymi minami
twierdzili na konferencji tuz po wyborach, ze ten system po weryfikacji
nadal bedzie uzytkowany przez PKW:)

O żeż...

lesne dziadki ale dobrze wiedza, czym oddanie wladzy ludowi smierdzi:)


--
General Skalski o zydach w UB :

"Rozanski, Zyd, kanalia najgorszego gatunku, razem z Brystigerowa, Fejginami, to wszystko (...) nie byli ludzie."

prof. PAN Krzysztof Jasiewicz o zydach :

"Zydow gubi brak umiaru we wszystkim i przekonanie, ze sa narodem
wybranym. Czuja sie oni upowaznieni do interpretowania wszystkiego,
takze doktryny katolickiej. Cokolwiek bysmy zrobili, i tak bedzie
poddane ich krytyce - za malo, ze zle, ze zbyt malo ofiarnie. W moim
najglebszym przekonaniu szkoda czasu na dialog z Zydami, bo on do
niczego nie prowadzi... Ludzi, ktorzy uzywają slow 'antysemita',
'antysemicki', nalezy traktowac jak ludzi niegodnych debaty, ktorzy
usiluja niszczyc innych, gdy brakuje argumentow merytorycznych. To oni
tworza mowe nienawisci".

W dniu .11.2014 o 20:53 u2 <u_2@o2.pl> pisze:

W dniu 2014-11-19 o 20:51, XL pisze:

ale sedziowie - czlonkowie PKW ze smiertelnie powaznymi minami
twierdzili na konferencji tuz po wyborach, ze ten system po weryfikacji
nadal bedzie uzytkowany przez PKW:)

O żeż...

lesne dziadki ale dobrze wiedza, czym oddanie wladzy ludowi smierdzi:)

A gdyby tak trio leśnych dziadków Kaczyński- Miller- Korwin- Mikke?
--
stevep
-- -- -
Używam klienta poczty Opera Mail: http://www.opera.com/mail/

W dniu 2014-11-19 o 20:17, XL pisze:

No przecież to jasne jak słońce, ze jak przetrag na system opiewa na 500
tys. i sysyem powstaje w 3 miesiace, bez prób, weryfikacji i roboczych
wdrożeń, to robiła go firma jakiegoś krewnego lub znajomego Królika - a nie
rzetelny wykonawca.

A nowy system na wybory prezydenckie też szykuje się w takim krótkim terminie. Nowy bo na stary wygasła licencja. Teraz nie ma kasy. Przetarg jak dobrze pójdzie na wiosnę ...
Będzie powtórka z rozrywki.

z

Dnia Wed, 19 Nov 2014 22:14:46 +0100, z napisał(a):

W dniu 2014-11-19 o 20:17, XL pisze:

No przecież to jasne jak słońce, ze jak przetrag na system opiewa na 500
tys. i sysyem powstaje w 3 miesiace, bez prób, weryfikacji i roboczych
wdrożeń, to robiła go firma jakiegoś krewnego lub znajomego Królika - a nie
rzetelny wykonawca.

A nowy system na wybory prezydenckie też szykuje się w takim krótkim terminie. Nowy bo na stary wygasła licencja. Teraz nie ma kasy. Przetarg jak dobrze pójdzie na wiosnę ...
Będzie powtórka z rozrywki.

z

No niestety.

W dniu 2014-11-19 o 23:04, XL pisze:

No niestety.

Niestety do kwadratu.
NIK już rok temu przy kontroli dokładnie wykazał błędy i zaniedbani.
I co?
I nic się nie stało. Polacy...

z

Użytkownik XL ikselk@gazeta.pl ...

No przecież to jasne jak słońce, ze jak przetrag na system opiewa na
500 tys. i sysyem powstaje w 3 miesiace, bez prób, weryfikacji i
roboczych wdrożeń, to robiła go firma jakiegoś krewnego lub znajomego
Królika - a nie rzetelny wykonawca.

Z ciekawości - to jest tak, ze przetarg był na 500 tysiecy, czy moze był przetarg i wygrała oferta za 430 tysiecy? Był limit kwotowy?