Машины для электронного голосования AVS WinVote, которые использовались в нескольких штатах во время трёх президентских выборов в США и на других выборах с 2002 по 2014 годы, совершенно ужасны с точки зрения безопасности, считают эксперты.
Джереми Эпштейн (Jeremy Epstein) из Центра по регулированию информационных технологий при Принстонском университете популярно объясняет, почему избирательная комиссия Виргинии недавно лишила модель AVS WinVote сертификата качества и запретила устанавливать подобные устройства в кабинах для голосования.
Система безопасности AVS WinVote просто безалаберно реализована. Уязвимости настолько серьёзны и просты в эксплуатации, что воспользоваться ими может кто угодно, даже школьник средней квалификации. Взломщику не требуется приходить на участок для голосования, он может быть в сотне метров от него, например, на парковке. А если сделать самодельную антенну из цилиндрической банки чипсов — то почти в километре. Подключившись к терминалу, нет проблемы войти в админский аккаунт и изменить статистику по голосованию. Более того, в системе не останется даже следов такого проникновения!
Первые версии AVS WinVote работали под Windows 2000, а современные — под Windows XP Embedded.
Причиной десертификации этих терминалов в Виргинии стало то, что во время выборов в ноябре 2014 году одна из машин постоянно зависала. После консультаций с экспертами появилась версия, что причиной стало то, что некто в радиусе действия 802.11b пытался скачать музыку со своего iPhone. Отчёт об инциденте опубликован 14 апреля 2015 года. В нём перечислены многочисленные уязвимости AVS WinVote, количество которых не должно удивлять никого, знакомого с Windows XP Embedded. На ОС не устанавливались патчи с 2004 года. Уязвимые сервисы работают во встроенном сервере на портах 135/tcp, 139/tcp, 445/tcp, 3389/tcp, 6000/tcp and 16001/tcp. Можно легко получить доступ в консоль. В качестве БД используется Access со слабым криптоключом. USB-порты минимально защищены от проникновения. Беспроводная связь терминала защищена ключом WEP. Используемый пароль — “ABCDE”. И т.д.
Избирательная комиссия штата в тот же день лишила AVS WinVote сертификата.
Можно только догадываться, как настолько безобразные устройства вообще допустили для подсчёта голосов и почему их используют уже более десятка лет. Нужно признать, разработчики очень дальновидно отключили логгирование, потому что скандал с подделкой результатов голосования поставил бы крест на их репутации. А так — никаких доказательств.
