Getty Images
Öffentliche Aufzeichnungssysteme, auf die sich Gerichte und Regierungen verlassen, um Wählerregistrierungen und Rechtsakten zu verwalten, weisen Schwachstellen auf, die es Angreifern ermöglichen, Registrierungsdatenbanken zu fälschen und offizielle Dokumente hinzuzufügen, zu löschen oder zu ändern.
Im vergangenen Jahr hat der zum Sicherheitsforscher gewordene Softwareentwickler Jason Parker Dutzende kritischer Schwachstellen in nicht weniger als 19 kommerziellen Plattformen gefunden und gemeldet, die von Hunderten von Gerichten, Regierungsbehörden und Polizeibehörden im ganzen Land genutzt werden. Die meisten Schwachstellen waren kritisch.
Ein Fehler Er fand heraus, dass es beispielsweise im Portal zur Löschung der Wählerregistrierung für den Bundesstaat Georgia jedem Besucher erlaubt war, die Registrierung eines Wählers in diesem Bundesstaat zu stornieren, wenn der Besucher den Namen, das Geburtsdatum und den Wohnsitzbezirk des Wählers kannte. In einem anderen Fall werden Dokumentenmanagementsysteme in örtlichen Gerichtsgebäuden im ganzen Land eingesetzt enthalten mehrere Mängel Dies ermöglichte Unbefugten den Zugriff auf vertrauliche Akten wie psychiatrische Gutachten, die unter Verschluss gehalten wurden. Und in einem Fall konnten sich Unbefugte Privilegien zuteilen, die eigentlich nur Gerichtsschreibern zustehen sollten, und von dort aus Akten erstellen, löschen oder ändern.
Scheitern auf der grundlegendsten Ebene
Die entscheidende Rolle, die diese Systeme bei der Verwaltung der Justiz, des Stimmrechts und anderer integraler Regierungsfunktionen spielen, kann kaum genug betont werden. Die Anzahl der Schwachstellen – die größtenteils auf schwache Berechtigungskontrollen, eine schlechte Validierung von Benutzereingaben und fehlerhafte Authentifizierungsprozesse zurückzuführen sind – zeigt einen Mangel an angemessener Sorgfalt bei der Gewährleistung der Vertrauenswürdigkeit der Systeme, auf die sich Millionen von Bürgern täglich verlassen.
„Diese Plattformen sollen Transparenz und Fairness gewährleisten, versagen aber auf der grundlegendsten Ebene der Cybersicherheit“, schrieb Parker kürzlich in einem Post Er verfasste es, um das Bewusstsein zu schärfen. „Wenn die Registrierung eines Wählers mit geringem Aufwand gelöscht werden kann und unbefugte Benutzer auf vertrauliche Rechtsakten zugreifen können, was bedeutet das für die Integrität dieser Systeme?“
Aufgrund der Schwachstelle in der Wählerregistrierungsdatenbank von Georgia fehlte beispielsweise jede Form einer automatisierten Möglichkeit, Löschanträge abzulehnen, bei denen erforderliche Wählerinformationen weggelassen wurden. Anstatt solche Anfragen zu kennzeichnen, verarbeitete das System sie, ohne sie überhaupt zu kennzeichnen. Ebenso könnte die Granicus GovQA-Plattform sein, die Hunderte von Regierungsbehörden zur Verwaltung öffentlicher Aufzeichnungen nutzen gehackt Sie können Passwörter zurücksetzen und Zugriff auf Benutzernamen und E-Mail-Adressen erhalten, indem Sie einfach die in einem Browserfenster angezeigte Webadresse leicht ändern.
Und ein Verletzlichkeit Im C-Track eFiling-System von Thomson Reuters konnten Angreifer ihren Benutzerstatus auf den eines Gerichtsverwalters erhöhen. Die Ausnutzung erforderte lediglich die Manipulation bestimmter Felder während des Registrierungsprozesses.
Es gibt keine Hinweise darauf, dass eine der Schwachstellen aktiv ausgenutzt wurde.
Die Schwachstellen werden vier Monate nach der Entdeckung einer bösartigen Hintertür bekannt, die heimlich in eine Komponente der JAVS Suite 8 eingebaut wurde, einem Anwendungspaket, das 10.000 Gerichtssäle auf der ganzen Welt zum Aufzeichnen, Wiedergeben und Verwalten von Audio- und Videodaten aus Gerichtsverfahren verwenden. Ein Vertreter des Unternehmens sagte am Montag, dass eine in Zusammenarbeit mit der Cybersecurity and Infrastructure Security Agency durchgeführte Untersuchung zu dem Ergebnis gekommen sei, dass die Malware nur auf zwei Computern installiert worden sei und nicht zu einer Kompromittierung von Informationen geführt habe. Der Vertreter sagte, die Malware sei über eine Datei verfügbar, die ein Bedrohungsakteur auf der öffentlichen Marketing-Website von JAVS veröffentlicht habe.
Parker begann im vergangenen Jahr als Softwareentwickler rein ehrenamtlich mit der Untersuchung der Systeme. Er hat mit der Electronic Frontier Foundation zusammengearbeitet, um die Systemanbieter und andere Parteien zu kontaktieren, die für die Plattformen verantwortlich sind, die er für anfällig befunden hat. Bisher wurden alle von ihm gemeldeten Schwachstellen behoben, teilweise erst im vergangenen Monat. In jüngerer Zeit hat Parker eine Stelle als Sicherheitsforscher angenommen, der sich auf solche Plattformen konzentriert.
„Um diese Probleme zu beheben, ist mehr als nur das Beheben einiger Fehler erforderlich“, schrieb Parker. „Es erfordert eine völlige Überarbeitung der Art und Weise, wie die Sicherheit in Gerichts- und öffentlichen Aufzeichnungssystemen gehandhabt wird. Um zu verhindern, dass Angreifer Konten kapern oder sensible Daten verändern, müssen sofort robuste Berechtigungskontrollen implementiert und eine strengere Validierung von Benutzereingaben durchgesetzt werden. Regelmäßige Sicherheitsüberprüfungen und Penetrationstests sollten zur Standardpraxis gehören und nicht als nachträglicher Gedanke betrachtet werden. Die Befolgung der Grundsätze von „Secure by Design“ sollte ein integraler Bestandteil jedes Softwareentwicklungslebenszyklus sein.“
Die 19 betroffenen Plattformen sind:
Parker fordert Anbieter und Kunden gleichermaßen auf, die Sicherheit ihrer Systeme durch die Durchführung von Penetrationstests und Software-Audits sowie die Schulung von Mitarbeitern, insbesondere in IT-Abteilungen, zu erhöhen. Er sagte auch, dass die Multifaktor-Authentifizierung für alle derartigen Systeme allgemein verfügbar sein sollte.
„Diese Reihe von Enthüllungen ist ein Weckruf an alle Organisationen, die sensible öffentliche Daten verwalten“, schrieb Parker. „Wenn sie nicht schnell handeln, könnten die Folgen verheerend sein – nicht nur für die Institutionen selbst, sondern auch für die Personen, deren Privatsphäre sie zu schützen geschworen haben. Derzeit liegt die Verantwortung bei den Agenturen und Anbietern hinter diesen Plattformen, sofortige Maßnahmen zu ergreifen, ihre Abwehrkräfte zu stärken und das Vertrauen in die Systeme wiederherzustellen, auf die so viele Menschen angewiesen sind.“
