Aufforderung zum Stimmenkauf an der TU Wien

Mai 19, 2009

Urgenz berichtet, dass am heutigen Dienstag folgende Flyer an der TU Wien ausgelegt waren:

flyer_stimmkauf_tuwien

Die Fachschaft Informatik, in deren namen die Flyer angeblich angeboten wurden, hat sich bereits davon distanziert, etwas damit zu tun zu haben:

Es sind Flyer Aufgetaucht, auf denen die Fachschaft Informatik als Urheberin impliziert wird und in denen nahegelegt wird, wir würden dafür zahlen, wenn ihr die Fachschaftsliste wählt (die wir bekanntlich nicht unterstüzten oder gar angehören). Diese Flyer sind NICHT von uns und wir distanzieren uns von dessen Inhalt.

Da es sich bei so einer Aufforderung ganz klar um eine Straftat handelt (Wahlbetrug), bittet die Fachschaft Informatik weiters um Unterstützung zur Aufklärung des Falls.

Ob es sich dabei um einen schlechten Scherz oder eine gezielte Aktion handelt, ist im Moment noch unklar. Laut Urgenz gibt es Verdachtsmomente, dass der Ring Freiheitlicher Studenten (RFS) etwas damit zu tun haben könnte. Es gibt jedoch aktuell keine konkreten Beweise dafür.

Die Fachschaft Informatik und Fachschaftsliste haben gemeinsam bereits Anzeige wegen Stimmenkaufs gegen Unbekannt bei der Polizei eingereicht.

3 Kommentare | e-voting, news, uni | Mit Tag(s) versehen: , , , , , , | Permalink
Verfasst von marc

Noch mehr Audits

Mai 19, 2009

Nachdem hier bereits vor ein paar Tagen über die Analyse der Scytl-Software berichtet wurde, bei der ein guter Überblick über sicherheitsrelevante Schwachstellen zu finden war, gibt nun auch ein finnischer Bericht vom letzten Jahr interessante Einsichten: Audit report on pilot electronic voting in municipal elections.

Insgesamt finden sich in beiden Berichten jede Menge mögliche Angriffswege und detaillierte Risikoanalysen, so wie sie auch aus anderen Audits aller internationalen Hersteller schon bekannt sind. Das Problem, dass die Geschäftsgeheimnisse gegenüber dem Interesse der Wähler an einer transparenten Wahl überwiegen, kennen wir:

The software to be employed is a business secret that cannot be disclosed. Even though there is no reason to suspect the software to be faulty, the possibility of errors or deliberate weaknesses remaining in it cannot be completely excluded. However, a thorough checking of the entire code would require several man-years of effort. [1]

Der Audit stammt vom Department of Mathematics der Universität von Turku.

[1] Juhani Karhumäki and Tommi Meskanen: Audit report on pilot electronic voting in municipal elections, June 2008.

ccc wahlcomputer-logo e-voting

1 Kommentar | e-voting | Mit Tag(s) versehen: | Permalink
Verfasst von 46halbe

Details der Sourcecode-Einsicht

Mai 19, 2009

Die Rahmenbedingungen der Quelltexteinsicht des E-Voting-Systems, das bei der ÖH-Wahl eingesetzt wird, am 8. Mai im BRZ waren ja bereits enorm eingeschränkt. Noch mal zur Erinnerung:

  • Gewöhnliche Studierende haben keine Möglichkeit und kein Recht an der Sourcecode-Analyse teilzunehmen.
  • Die Wahlkommissionen haben die Möglichkeit Wahlbeobachter mitzubringen, aber auch nur pro Gruppe einen einzigen (!) und das erst nach spezieller Beantragung.
  • Man muss vorher einen NDA unterschreiben -> also darf man später auch nicht über Ergebnisse berichten.
  • Es wird nur ein Teil des Sourcecodes hergezeigt, da die Komponenten von Scytl geschützt sind (wozu dann der NDA?).
  • Man darf keine Datenträger mit zur Veranstaltung nehmen.
  • Die Präsentation findet geführt statt, d.h. es wird nur ein Teil des 183.000 Zeilen langen Sourcecodes hergezeigt.

Nun kamen weitere Details des Ablaufes zum Vorschein. Das c’t Magazin berichtet in der aktuellen Ausgabe:

Statt der tatsächlich eingesetzten Software wurde nur ein (angeblich) ähnlicher Code gezeigt. Es handelte sich weder um jene Version, die der A-SIT zur Zertifizierung vorgelegt wurde, noch um jene, die bei dem heute gestarteten E-Voting-Prozess tatsächlich zum Einsatz gelangt. Der nicht kompilierbare C++- und Java-Code war zumindest um den Großteil der Kommentare bereinigt worden – nicht auf Wunsch des Herstellers, sondern auf Wunsch des Kunden, sprich der österreichischen Regierung. Ein Grund dafür wurde nicht angeführt. Eine Überprüfung, ob auch die richtige Software verwendet wird, ist den Wahlkommissionen somit mangels übereinstimmender Hash-Werte unmöglich. Denn auch das A-SIT-Zertifikat nannte keine MD5-Prüfsumme.

Nach allgemeinen Vorträgen wurden maximal neun Personen gleichzeitig zur Einsichtnahme in einen separaten Raum eingelassen. Darin befanden sich drei Laptops. Auf einem wurde der (ansonsten nicht öffentliche) Prüfbericht der A-SIT präsentiert. Die beiden anderen Laptops waren mit je einem Mitarbeiter des Softwarelieferanten Scytl besetzt und durften von den Wahlkommissären nicht angerührt werden. Fragen durften nur auf Englisch gestellt werden. Auf dem einen Laptop wurde der Source Code der Serversoftware, auf dem anderen jener des Clients in einer Entwicklungsumgebung angezeigt.

Die Suche nach Stichwörtern wurde nicht gestattet. Auf Wunsch öffneten die Scytl-Mitarbeiter bestimmte Dateien und scrollten darin auf oder ab. Dafür standen insgesamt etwa acht Stunden zur Verfügung. Doch nicht von jeder erfragten Funktion wussten die Scytl-Mitarbeiter, wo diese im Code zu finden war. Die Verwendung mitgebrachter Laptops, Kameras oder Mobiltelefone war verboten, auch abschreiben wurde von Security-Männern unterbunden. Stichwörter durften unter Beobachtung notiert werden. Konfigurationsdateien fehlten beziehungsweise waren durch Dummies ersetzt. Wie die Scytl-Mitarbeiter ausführten, sei ihr Unternehmen weder für die Konfiguration noch für die Kompilierung zuständig. Wer den Code tatsächlich kompiliert hat, blieb undeutlich.

Ebenfalls wurden Sicherheitslücken in der Bürgerkartenumgebung - die Basis der Sicherheit – festgestellt. Der Quelltext der BKU ist nicht einmal den Wahlkommissionen zugänglich.

Der Sourcecode der Wahladministrationssoftware, die für die Auszählung (!) verantwortlich ist, wurde ebenfalls nicht gezeigt.

Außerdem ist das geheime Wahlrecht quasi aufgelöst, da drei von vier Mitgliedern der Wahlkommission zusammen eine Stimme einer Person zuordnen können.

.

Weitere Artikel:

Ulrich Wiesner berichtet ebenfalls über die ÖH-Wahlen.

Einige Blogger berichten ebenfalls kritisch:

„Bebilderter E-Voting- Test

„E-Voting und das geheime Wahlrecht

„ÖH-Wahlen: Zum Start“

Aktuelle Zeitungsmeldungen:

„eVoting-Server gefährdet!“

„Das ÖH-eVoting startete am Montag 18. Mai 2009″

„Sicherheitslücken bei österreichischer Bürgerkarte trotz Zertifizierung“

„Habe ich jetzt schon gewählt?“

„ÖH-Wahlen: E-Voting-Gegner beschweren sich über Pannen und falsche Wahlzettel

„Parteien erneuern Kritik an E-Voting“

„E-Voting ist in Österreich nicht unbedingt geheim

3 Kommentare | e-voting, internetwahlen, news | Mit Tag(s) versehen: , , , , , | Permalink
Verfasst von electrobabe

Follow

Get every new post delivered to your Inbox.