Wahlmanipulation möglich – SPÖ Mitgliederbefragung angreifbar durch Hacker
Sicherheitsforscher von Certitude konnten zwei kritische Schwachstellen bei der SPÖ-Mitgliederbefragung identifizieren. Der Zugangscode war mit 7 Stellen und 36 unterschiedlichen Zeichen nicht komplex genug, um vor sogenannten Brute-Force-Angriffen zu schützen. Darüber hinaus konnte auch eine Sperre von IP-Adressen, mit der solche Brute-Force-Angriffe erschwert werden sollten, umgangen werden.
Rund 150.000 SPÖ-Mitglieder konnten in den vergangenen Tagen im Rahmen einer Mitgliederbefragung über den SPÖ-Vorsitz und die Spitzenkandidatur bei der nächsten Nationalratswahl abstimmen. Das Ergebnis dieser Befragung hat Auswirkungen, die weit über jene einer internen Abstimmung hinausgehen. Immerhin könnte damit entschieden werden, wer die nächste Bundesregierung in Österreich anführt. Entsprechend hoch sind die Ansprüche an die Sicherheit, die Integrität sowie die Wahrung des Wahlgeheimnisses bei der Abstimmung. In diesem Fall stellt sich heraus: Angreifer konnten Stimmen manipulieren!
Unzureichende Zugangscodes
Um sicherzustellen, dass lediglich Mitglieder abstimmen können und jedes Mitglied nur eine Stimme erhält, wurden individuelle Zugangscodes an alle Mitglieder verteilt. Mitglieder können diese Zugangscodes in der Webseite der Mitgliederbefragung eingeben. Ist der Zugangscode gültig, wird dem Mitglied erlaubt, eine Stimme abzugeben. Ein Login oder weitere Sicherheitsmerkmale sind nicht erforderlich.
Der bei der SPÖ Mitgliederbefragung verwendete Zugangscode besteht aus einer 7-stelligen Kombination aus Kleinbuchstaben und Ziffern. Das bedeutet, ein Angreifer müsste 367 (=78.364.164.096) Codes probieren, um alle Möglichkeiten durchzuprobieren. Davon sind am Beginn der Befragung etwa 150.000 Codes gültig (Annahme, Anzahl der stimmberechtigten Personen) und bei Annahme einer Wahlbeteiligung von 2/3 am Ende noch 50.000 Stimmen gültig. Über den Zeitraum der Mitgliederbefragung sind also durchschnittlich 100.000 Codes unverbraucht. Die Wahrscheinlichkeit bei einem Versuch eine gültige Stimme zu erraten wäre damit 100.000 / 367.
Umgehung der Sperre von IP-Adressen
Um die Anzahl der Versuche zu beschränken, werden lediglich 5 Versuche pro IP-Adresse innerhalb von 10 Minuten erlaubt. Jedoch konnte Certitude eine weitere technische Schwachstelle finden, um diese Beschränkung zu umgehen. Durch das Setzen eines X-Forwarded-For HTTP-Request-Headers konnten beliebige IP-Adressen vorgetäuscht werden.
Verfügt ein Angreifer über einen mäßig performanten Rechner sowie eine schnelle Internetverbindung, ist die Anzahl der pro Sekunde probierbaren Zugangscodes daher nur durch die Rechenkapazität des Servers begrenzt. Bei 17 Tagen mit je 86.400 Sekunden und einer Annahme von 10 Requests pro Sekunde wäre dies ein Erwartungswert von etwa 19 erratenen Zugangscodes im gesamten Befragungszeitraum (Wahrscheinlichkeit x Anzahl der Versuche).
Unter der Annahme, dass der Server 1.000 Anfragen pro Sekunde verarbeiten kann, konnte ein Angreifer etwa 1.900 Stimmen manipulieren. Eine geringe Rechenkapazität des Servers hätte die Anzahl der manipulierbaren Stimmen innerhalb des Zeitraums der Abstimmung zwar reduziert, aber gleichzeitig DDoS-Angriffe erleichtert und somit die Abgabe von legitimen Stimmen behindert.
Certitude konnte über die Anzahl der möglichen Requests pro Sekunde nur Annahmen treffen. Informationen zur tatsächlichen Rechenkapazität wurden weder erfragt noch technisch analysiert.
Certitude hat diese Problematiken am 03.05.2023 an den Bundesgeschäftsführer der SPÖ gemeldet. Als kurzfristige Maßnahme wurde empfohlen, den X-Forwarded-For Header zu filtern oder zu ignorieren. Dieser Empfehlung wurde offensichtlich gefolgt, denn Certitude wurde am 10.05.2023 bekannt, dass diese Umgehung nicht mehr möglich ist.
Ungeeignete Software
Abgesehen von den zwei gefundenen Schwachstellen hält Certitude die von der Partei eingesetzte Software für nicht zum Zwecke einer Wahl bzw. eine Mitgliederbefragung dieser Sensibilität konzipiert. Die SPÖ nutzt als technische Basis für die Mitgliederbefragung die Software LimeSurvey. Diese Open-Source Anwendung erlaubt es Befragungen bzw. Umfragen durchzuführen. Obwohl dieses Tool anonyme Umfragen unterstützt, ist es nicht als Wahlsoftware bestimmt. Insbesondere Anforderungen wie die Nichtzuordenbarkeit der Stimmen zu den Wählern bei gleichzeitiger Wahrung der Nachvollziehung der Gültigkeit der Wahl werden nicht von der Software abgebildet. Auch ist die Manipulation durch Systemadministratoren möglich.
Weitere Hintergründe
Wie dem Verlauf der Ereignisse medial zu entnehmen war, wurde die Organisation der Mitgliederbefragung unter großem Zeitdruck ohne ausreichend lange Vorlaufzeiten für ein solches Vorhaben durchgeführt. In wenigen Wochen ein adäquates technisches System für die Durchführung dieser Befragung vorzubereiten, ist eine große Herausforderung.
Es wurde durch Certitude keine umfangreiche Sicherheitsüberprüfung durchgeführt. Es kann nicht ausgeschlossen werden, dass weitere, möglicherweise kritischere Schwachstellen in der technischen Umsetzung der Mitgliederbefragung vorliegen. Certitude weist darauf hin, dass auf Basis der vorliegenden Informationen weder bestätigt noch ausgeschlossen werden kann, ob eine Manipulation von Stimmen tatsächlich stattgefunden hat.
Certitude ist ein politisch unabhängiges österreichisches Beratungsunternehmen mit Spezialisierung auf Informationssicherheit. Im Rahmen der unabhängigen Schwachstellenforschung deckt Certitude laufend Sicherheitslücken in den Produkten namhafter Hersteller auf, darunter Software von Microsoft, Citrix, Apache, IBM, etc. Derartige Schwachstellen werden in einem branchenüblichen Responsible Disclosure Verfahren veröffentlicht, d.h. Hersteller oder Systemverantwortliche werden informiert und Schwachstellen i.d.R. erst dann veröffentlicht, wenn kein akuter Schaden mehr entstehen kann.
Disclosure Timeline
03.05.2023: Informationen zur Schwachstelle und empfohlene Sofortmaßnahmen an den Bundesgeschäftsführer per E-Mail
07.05.2023: Nochmalige Nachfrage beim Bundesgeschäftsführer per E-Mail
07.05.2023: Lesebestätigung vom Bundesgeschäftsführer per E-Mail
10.05.2023: Ende der Mitgliederbefragung
11.05.2023: Veröffentlichung
Update 11.05.2023 14:25
Die SPÖ hat am 11.05.2023 mit einer Presseaussendung Stellung zu diesem Thema bezogen. Die Presseaussendung ist hier nachzulesen. Certitude kann die Angaben nicht überprüfen, da ihr keine Informationen zu den von der SPÖ genannten Sicherheitsmechanismen vorliegen.
Autoren
Florian Schweitzer, Wolfgang Ettlinger und Marc Nimmerrichter