Hinweis auf Sicherheitslücke in argentinischem Wahlsystem führt zu Hausdurchsuchung

shoot_the_messenger_meme

Am gestrigen Sonntag fanden in Argentiniens Hauptstadt Buenos Aires Bürgermeisterwahlen statt. Im Vorfeld wurde bei dem Programmierer Joaquín Sorianello eine Hausdurchsuchung durchgeführt, elektronische Geräte wurden beschlagnahmt. Der Grund: Sorianello hatte von Schwachstellen im elektronischen Wahlsystem berichtet, das bei Wahlen im letzten Jahr eingesetzt worden war und das auch bei den aktuellen Wahlen verwendet wurde.

Er fand heraus, das SSL-Keys des Systems auf einem öffentlich zugänglichen Server lagen. Eine Zugangssicherung war nur rudimentär vorhanden und leicht zu überwinden. Andere Forscher zeigten, dass es möglich ist, in dem System mehrfach abzustimmen. Durch die Möglichkeit der Signierung durch Dritte können ebenso falsche Wahlergebnisse an die Datencenter gesendet werden. Die Untersuchungen wurden möglich, da der Code des Systems vor etwa zwei Wochen geleakt wurde und eine Untersuchung des Systems so durchführbar war.

Sorianello hatte sich, nachdem er Sicherheitslücken festgestellt bzw. von ihnen Kenntnis hatte, an die Firma MSA (Magic Software Argentina) gewandt, die für die Entwicklung des Systems verantwortlich ist. Er sagt:

Ich habe nichts zu verbergen, ich habe lediglich von dem Sicherheitsproblem erfahren und die Firma MSA davon in Kenntnis gesetzt […] Wenn ich etwas hätte hacken oder etwas Schädliches hätte tun wollen, hätte ich die Firma nicht benachrichtigt.

Die Firma habe sich nicht bei ihm zurückgemeldet, die Durchsuchung kam überraschend, während er sich außerhalb der Stadt aufhielt. Der Fall ist ein trauriges Beispiel für die „Shoot the Messenger“-Politik, in der man eher versucht, denjenigen zum Schweigen zu bringen, der Missstände aufdeckt, als diese wirklich zu beheben.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Die Botschaft ist klar: Schwachstellen an Kriminelle und Geheimdienste zu verkaufen ist OK, den Betroffenen Bescheid zu sagen aber nicht. Beim nächsten Mal weiß er dann ja was zu tun ist.

    1. Stimmt. Wenn die GSG9 so oder so auf ein Käffchen vorbei kommt, sollen sie es wenigstens gerechtfertigt tun. ;)

  2. Ja da sind sie die ganzen rechtsstaatlichen Aufschwungrepubliken. Mit Wahlsystemen für die jeder Depp die Schlüssel haben kann ist es nur noch eine Frage der Zeit bis eine Hackergruppe Wahlausgänge zum Spottpreis von ein paar Mille im Darknet anbietet. Hui wie fein. Dann brauchen wir ja auch nicht mehr wählen gehen und manipulieren uns die dreckigen Schwarzrotparteien weg. Mit Schummeln zu mehr Demokratie. Das hat was von Feuer mit Feuer bekämpfen (Ja, wer will denn Verschlüsselung abschaffen?)
    Traurig diese ganzen Wahlmaschinchen und dann noch von einer Firma mit Magic Software im Namen…

    1. Wir sind imho nicht mehr weit davon entfernt uns dahingehend zurückzuentwickeln. Also spar ich mir selbst ein noch so sarkastisches „Hui“. ;-) Wenn man sich das Gesetz gegen Whistleblower und die Pressefreiheit, um es beim richtigen Namen zu nennen, so ansieht, laufen wir genau dort hin. „Oh, Dir ist aufgefallen, dass etwas am hochheiligen Staat nicht stimmt? Knecht, hol die Peitsche!“ Selbst als Paranoia lasse ich mir das nicht mehr abtun. Vor einigen Jahren hat man mir erzählt, ich wäre Verschwörungstheoretiker, weil ich der Meinung war, dass bereits mehr überwacht wird als bekannt. Vor zwei Jahren hat man mir erklärt, ich wäre Verschwörungstheoretiker, weil ich die Meinungen angezweifelt hatte, die behauptet haben es gäbe keine Ausspähung von Unternehmen,… Vielleicht bin ich paranoid und sehe Dinge falsch, vielleicht sind aber auch DIE ANDEREN die Blinden. ;-)

  3. Sicherlich nur ein Missverständnis! Die Herstellerfirma steckt einfach nicht so drin in der Materie und hat den Hinweis nicht verstanden. Ist das nun ein Virus oder was – einfach überreagiert und panisch geworden, wie das bei Computeranfängern nunmal so ist. :) Viele lesen dann eben nicht, was auf dem Bildschirm geschrieben steht, sondern rufen die Hotline oder jemanden aus dem Bekanntenkreis an.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.