{"id":1917,"date":"2023-05-11T06:00:00","date_gmt":"2023-05-11T04:00:00","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=1917"},"modified":"2023-05-11T14:26:47","modified_gmt":"2023-05-11T12:26:47","slug":"spoe-wahlmanipulation-moglich","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/spoe-wahlmanipulation-moglich\/","title":{"rendered":"Wahlmanipulation m\u00f6glich \u2013 SP\u00d6 Mitgliederbefragung angreifbar durch Hacker"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

Sicherheitsforscher von Certitude konnten zwei kritische Schwachstellen bei der SP\u00d6-Mitgliederbefragung identifizieren. Der Zugangscode war mit 7 Stellen und 36 unterschiedlichen Zeichen nicht komplex genug, um vor sogenannten Brute-Force-Angriffen zu sch\u00fctzen. Dar\u00fcber hinaus konnte auch eine Sperre von IP-Adressen, mit der solche Brute-Force-Angriffe erschwert werden sollten, umgangen werden.<\/strong>  <\/strong><\/p>\n\n\n\n

Rund 150.000 SP\u00d6-Mitglieder konnten in den vergangenen Tagen im Rahmen einer Mitgliederbefragung \u00fcber den SP\u00d6-Vorsitz und die Spitzenkandidatur bei der n\u00e4chsten Nationalratswahl abstimmen. Das Ergebnis dieser Befragung hat Auswirkungen, die weit \u00fcber jene einer internen Abstimmung hinausgehen. Immerhin k\u00f6nnte damit entschieden werden, wer die n\u00e4chste Bundesregierung in \u00d6sterreich anf\u00fchrt. Entsprechend hoch sind die Anspr\u00fcche an die Sicherheit, die Integrit\u00e4t sowie die Wahrung des Wahlgeheimnisses bei der Abstimmung. In diesem Fall stellt sich heraus: Angreifer konnten Stimmen manipulieren!<\/p>\n\n\n\n

Unzureichende Zugangscodes<\/strong><\/h2>\n\n\n\n

Um sicherzustellen, dass lediglich Mitglieder abstimmen k\u00f6nnen und jedes Mitglied nur eine Stimme erh\u00e4lt, wurden individuelle Zugangscodes an alle Mitglieder verteilt. Mitglieder k\u00f6nnen diese Zugangscodes in der Webseite der Mitgliederbefragung eingeben. Ist der Zugangscode g\u00fcltig, wird dem Mitglied erlaubt, eine Stimme abzugeben. Ein Login oder weitere Sicherheitsmerkmale sind nicht erforderlich.<\/p>\n\n\n\n

Der bei der SP\u00d6 Mitgliederbefragung verwendete Zugangscode besteht aus einer 7-stelligen Kombination aus Kleinbuchstaben und Ziffern. Das bedeutet, ein Angreifer m\u00fcsste 367<\/sup> (=78.364.164.096) Codes probieren, um alle M\u00f6glichkeiten durchzuprobieren. Davon sind am Beginn der Befragung etwa 150.000 Codes g\u00fcltig (Annahme, Anzahl der stimmberechtigten Personen) und bei Annahme einer Wahlbeteiligung von 2\/3 am Ende noch 50.000 Stimmen g\u00fcltig. \u00dcber den Zeitraum der Mitgliederbefragung sind also durchschnittlich 100.000 Codes unverbraucht. Die Wahrscheinlichkeit bei einem Versuch eine g\u00fcltige Stimme zu erraten w\u00e4re damit 100.000 \/ 367<\/sup>.<\/p>\n\n\n\n

Umgehung der Sperre von IP-Adressen<\/strong><\/h2>\n\n\n\n

Um die Anzahl der Versuche zu beschr\u00e4nken, werden lediglich 5 Versuche pro IP-Adresse innerhalb von 10 Minuten erlaubt. Jedoch konnte Certitude eine weitere technische Schwachstelle finden, um diese Beschr\u00e4nkung zu umgehen. Durch das Setzen eines X-Forwarded-For HTTP-Request-Headers konnten beliebige IP-Adressen vorget\u00e4uscht werden.<\/p>\n\n\n\n

Verf\u00fcgt ein Angreifer \u00fcber einen m\u00e4\u00dfig performanten Rechner sowie eine schnelle Internetverbindung, ist die Anzahl der pro Sekunde probierbaren Zugangscodes daher nur durch die Rechenkapazit\u00e4t des Servers begrenzt.  Bei 17 Tagen mit je 86.400 Sekunden und einer Annahme von 10 Requests pro Sekunde w\u00e4re dies ein Erwartungswert von etwa 19 erratenen Zugangscodes im gesamten Befragungszeitraum (Wahrscheinlichkeit x Anzahl der Versuche).<\/p>\n\n\n\n

Unter der Annahme, dass der Server 1.000 Anfragen pro Sekunde verarbeiten kann, konnte ein Angreifer etwa 1.900 Stimmen manipulieren. Eine geringe Rechenkapazit\u00e4t des Servers h\u00e4tte die Anzahl der manipulierbaren Stimmen innerhalb des Zeitraums der Abstimmung zwar reduziert, aber gleichzeitig DDoS-Angriffe erleichtert und somit die Abgabe von legitimen Stimmen behindert.<\/p>\n\n\n\n

Certitude konnte \u00fcber die Anzahl der m\u00f6glichen Requests pro Sekunde nur Annahmen treffen. Informationen zur tats\u00e4chlichen Rechenkapazit\u00e4t wurden weder erfragt noch technisch analysiert.<\/p>\n\n\n\n

Certitude hat diese Problematiken am 03.05.2023 an den Bundesgesch\u00e4ftsf\u00fchrer der SP\u00d6 gemeldet. Als kurzfristige Ma\u00dfnahme wurde empfohlen, den X-Forwarded-For Header zu filtern oder zu ignorieren. Dieser Empfehlung wurde offensichtlich gefolgt, denn Certitude wurde am 10.05.2023 bekannt, dass diese Umgehung nicht mehr m\u00f6glich ist.<\/p>\n\n\n\n

Ungeeignete Software<\/strong><\/h2>\n\n\n\n

Abgesehen von den zwei gefundenen Schwachstellen h\u00e4lt Certitude die von der Partei eingesetzte Software f\u00fcr nicht zum Zwecke einer Wahl bzw. eine Mitgliederbefragung dieser Sensibilit\u00e4t konzipiert. Die SP\u00d6 nutzt als technische Basis f\u00fcr die Mitgliederbefragung die Software LimeSurvey. Diese Open-Source Anwendung erlaubt es Befragungen bzw. Umfragen durchzuf\u00fchren. Obwohl dieses Tool anonyme Umfragen unterst\u00fctzt, ist es nicht als Wahlsoftware bestimmt. Insbesondere Anforderungen wie die Nichtzuordenbarkeit der Stimmen zu den W\u00e4hlern bei gleichzeitiger Wahrung der Nachvollziehung der G\u00fcltigkeit der Wahl werden nicht von der Software abgebildet. Auch ist die Manipulation durch Systemadministratoren m\u00f6glich.<\/p>\n\n\n\n

Weitere Hintergr\u00fcnde<\/strong><\/h2>\n\n\n\n

Wie dem Verlauf der Ereignisse medial zu entnehmen war, wurde die Organisation der Mitgliederbefragung unter gro\u00dfem Zeitdruck ohne ausreichend lange Vorlaufzeiten f\u00fcr ein solches Vorhaben durchgef\u00fchrt. In wenigen Wochen ein ad\u00e4quates technisches System f\u00fcr die Durchf\u00fchrung dieser Befragung vorzubereiten, ist eine gro\u00dfe Herausforderung.<\/p>\n\n\n\n

Es wurde durch Certitude keine umfangreiche Sicherheits\u00fcberpr\u00fcfung durchgef\u00fchrt. Es kann nicht ausgeschlossen werden, dass weitere, m\u00f6glicherweise kritischere Schwachstellen in der technischen Umsetzung der Mitgliederbefragung vorliegen. Certitude weist darauf hin, dass auf Basis der vorliegenden Informationen weder best\u00e4tigt noch ausgeschlossen werden kann, ob eine Manipulation von Stimmen tats\u00e4chlich stattgefunden hat.<\/p>\n\n\n\n

Certitude ist ein politisch unabh\u00e4ngiges \u00f6sterreichisches Beratungsunternehmen mit Spezialisierung auf Informationssicherheit. Im Rahmen der unabh\u00e4ngigen Schwachstellenforschung deckt Certitude laufend Sicherheitsl\u00fccken in den Produkten namhafter Hersteller auf, darunter Software von Microsoft, Citrix, Apache, IBM, etc. Derartige Schwachstellen werden in einem branchen\u00fcblichen Responsible Disclosure Verfahren ver\u00f6ffentlicht, d.h. Hersteller oder Systemverantwortliche werden informiert und Schwachstellen i.d.R. erst dann ver\u00f6ffentlicht, wenn kein akuter Schaden mehr entstehen kann.<\/p>\n\n\n\n

Disclosure Timeline<\/strong><\/h2>\n\n\n\n

03.05.2023: Informationen zur Schwachstelle und empfohlene Sofortma\u00dfnahmen an den Bundesgesch\u00e4ftsf\u00fchrer per E-Mail
07.05.2023: Nochmalige Nachfrage beim Bundesgesch\u00e4ftsf\u00fchrer per E-Mail
07.05.2023: Lesebest\u00e4tigung vom Bundesgesch\u00e4ftsf\u00fchrer per E-Mail
10.05.2023: Ende der Mitgliederbefragung
11.05.2023: Ver\u00f6ffentlichung<\/p>\n\n\n\n

Update 11.05.2023 14:25<\/h2>\n\n\n\n

Die SP\u00d6 hat am 11.05.2023 mit einer Presseaussendung Stellung zu diesem Thema bezogen. Die Presseaussendung ist hier<\/a> nachzulesen. Certitude kann die Angaben nicht \u00fcberpr\u00fcfen, da ihr keine Informationen zu den von der SP\u00d6 genannten Sicherheitsmechanismen vorliegen.<\/p>\n\n\n\n

Autoren<\/strong><\/h2>\n\n\n\n

Florian Schweitzer, Wolfgang Ettlinger und Marc Nimmerrichter<\/p>\n","protected":false},"excerpt":{"rendered":"

Sicherheitsforscher von Certitude konnten zwei kritische Schwachstellen bei der SP\u00d6-Mitgliederbefragung identifizieren. Der Zugangscode war mit 7 Stellen und 36 unterschiedlichen Zeichen nicht komplex genug, um vor sogenannten Brute-Force-Angriffen zu sch\u00fctzen. Dar\u00fcber hinaus konnte auch eine Sperre von IP-Adressen, mit der solche Brute-Force-Angriffe erschwert werden sollten, umgangen werden.   Rund 150.000 SP\u00d6-Mitglieder konnten in den vergangenen Tagen […]<\/p>\n","protected":false},"author":2,"featured_media":1919,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[78,63],"tags":[],"class_list":["post-1917","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-schwachstellen-research","category-technische-analyse"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/1917","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=1917"}],"version-history":[{"count":14,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/1917\/revisions"}],"predecessor-version":[{"id":1941,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/1917\/revisions\/1941"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/1919"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=1917"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=1917"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=1917"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}