Dzień przed wyborami samorządowymi kod źródłowy programu do zliczania głosów został upubliczniony w internecie. To oznacza, że do systemu mógł się zalogować praktycznie każdy.
PKW zapewnia, że system działa już prawidłowo i wyników możemy się spodziewać jeszcze dziś wieczorem. Jednak kłopoty z wprowadzeniem wyników mają niektóre z komisji.
Jak donosza media klucz do zalogowania się do systemu można wygenerować za pomocą bardzo prostego programu. W ten sposób jako członek komisji można dokonać zmian w protokołach.
Informatyk Marek Małachowski opublikował na Facebooku wpisopisujący wszystkie słabości programu wykorzystywanego przez PKW:
“Poświęciłem dwie godziny na analizę kodu programu do obsługi komisji wyborczych i kilka testów. Program do logowania wymaga klucza cyfrowego (pliku PEM) o odpowiednio przygotowanych parametrach. Programu nie interesuje przez kogo jest ten klucz podpisany. Więc używając OpenSSL można klucz taki samodzielnie wygenerować.
Przejrzałem instrukcję obsługi programu, gdzie podano przykład logowania. Używając danych pokazanych na obrazkach w instrukcji, można wygenerować sobie klucz logowania do programu jako członek komisji w Bałtowie (gdziekolwiek to jest). Zalogowanie się jako dowolny członek dowolnej innej komisji nie wymaga wyjątkowej wiedzy.
Czyli dowolna osoba, która miała dostęp do komputera z programem “Kalkulator1”, mogła się do niego zalogować jako dowolny członek komisji i dokonać w niezauważony sposób zmian w protokołach zapisanych na tym komputerze. Członkowie komisji mogli logować się jako ktoś inny, ale mogła to też zrobić osoba zupełnie z zewnątrz, nie znająca żadnego hasła, bez jakiejkolwiek autoryzacji. Wystarczy, że sama sobie prędzej swój własny klucz cyfrowy zrobiła.
Według instrukcji, jeśli w protokole występują “ostrzeżenia twarde”, to należy uzyskać kod, który umożliwia zaakceptowanie protokołu. Zdobywa się go telefonicznie od użytkownika na poziomie delegatury. Jak program sprawdza czy kod jest poprawny? Kod to nic innego jak MD5 z (nr-obwodu+rok+miesiac+dzien).
Co to wszystko oznacza?
1. Dobrze, że ten system nie zadziałał.
2. Jakiekolwiek bezpieczeństwo było gwarantowane tylko poprzez fizyczną kontrolę dostępu do komputera prowadzoną przez przewodniczącego komisji i sprawdzenie przez niego danych zarówno wysyłanych jak i drukowanych. Wszelkie klucze i hasła są w tym systemie zupełnie zbędne.
3. Jeśli w protokole były błędy, wymagające kontaktu z “użytkownikiem na poziomie delegatury”, to osoba znająca kod źródłowy programu znała kod autoryzujący te błędy. A jak widać na githubie, kod źródłowy został upubliczniony dzień przed wyborami.
4. Twórca tego programu to początkujący programista. W zasadzie każdy błąd jaki można popełnić w kodzie, został popełniony i mógłbym jeszcze długo pisać. Na przykład o tym, że eksport/import protokołów na serwer nie wymaga żadnej autoryzacji po stronie serwera i co to oznacza.
Myślę, że NIK będzie miał dużo pisania podczas kontroli i mam nadzieję, że za taki bubel Państwo nie zapłaci” – kończy informatyk.
Marcin Zarzecki, socjolog polityki, podkreśla, że w ten sposób osoby, które przegrały, zwłaszcza niewielką ilością głosów, będą podważały tryb wyborczy. Tego komisja powinna się ustrzegać.
– Jak to się dzieje, że w okresie 4-miesięcznym przed wyborami system jest zastartowany i właściwie jest konstytuowany? To ma naprawdę ważne konsekwencje dla uzyskania legitymizacji przez osoby, które zostały wybrane dla uzyskania konkretnych rozkładów preferencji politycznych na poziomie samorządowym. Tutaj idea reprezentatywności, wiarygodności danych uzyskanych od głosów wyborczych może nie została podważona, ale na pewno skrzywiona– ocenia socjolog.
W niektórych miejscowościach zdumiewa także sam etap głosowania. W miejscowości Rybie w gminie Raszyn pod Warszawą wyborcy wrzucali głosy do kubła na śmieci przerobionego na urnę wyborczą. Kosz był owinięty flagą państwową. Według Delegatury Krajowego Biura Wyborczego w Warszawie nie naruszyło to Kodeksu Wyborczego.
RIRM/Facebook.com/KRESY.PL
A czy ktoś sprawdził, czy to nie jest ingerencja obcych służb ? Sianie fermentu i niepokojów społecznych, które może wywołać taka informacja, pokazuje jakie sa w tym przypadku możliwości.
Może ktoś wpuścił wirusa, do tego systemu, żeby wzburzyć niepokoje społeczne ?