Amerikanske soldater i udlandet og andre langt fra valgkredsen får ikke mulighed for at stemme til midtvejsvalget i november via internettet, men må brevstemme på normal vis.
Det blev resultatet af en test af et nyt valgsystem på nettet, der ellers skulle have afløst brevstemmerne. Valgmyndighederne i Washington åbnede for websiden og lancerede en konkurrence, der ville belønne dem, som kunne påvise sikkerhedsproblemer.
Testen viste sig at være en god idé, for inden for 36 timer havde it-studerende fra universitetet i Michigan fået fuld kontrol over serverne ved at udnytte en shell-injection-sårbarhed. Det skriver Wired.com.
En stemme skulle afgives ved at uploade en særlig pdf-fil til serveren, som så krypterede den og gemte resultatet. Men de studerende fandt ud af, at systemet afviklede kommandoer i filnavnet på pdf-filen og kunne på den måde tage fuld kontrol over systemet, skriver en datalogi-professor fra universitetet i en gennemgang. Angrebet gav adgang til både brugernavn og password til databasen, samt nøglen til krypteringen af filerne.
Efter det vellykkede hack kunne de studerende ikke blot se alle afgivne stemmer, men også ændre dem og installere software på serveren, der manipulerede valghandlingen løbende. For at sætte trumf på, satte de studerende valg-websiden til at afspille universitetets kampsang for de besøgende efter 15 sekunder.
Alligevel tog det flere dage for myndighederne bag testen at opdage, at systemet var under andres kontrol, hvilket får hacker-holdet fra Michigan til at konkludere, at der ikke var installeret særligt gode værktøjer til at overvåge, om der var hackere på færde.
Myndighederne har efter den pinlige episode taget test-serveren offline og afblæser nu alle intentioner om at vælgerne skal kunne aflevere brevstemmerne digitalt til midtvejsvalget. I stedet skal de nu printe pdf-filen ud, og sende dem med post eller fax, eller sende pdf-filen med en e-mail.
Den kendte it-sikkerheds-ekspert Bruce Schneier skriver i et blogindlæg, at metoden med at lægge et system ud til offentligt bombardement er farlig. Er der sikkerhedshuller i systemet, vil det blive opdaget, hvis nogen finder dem og fortæller om dem i test-perioden. Men det kan ligeså vel ske, at nogle huller ikke bliver opdaget, og så vil testen give en følelse af falsk sikkerhed.
»Bare fordi et system kan modstå en sådan test, betyder det ikke, at det er sikkert. Vi ved ikke, hvem som forsøgte. Vi ved ikke, hvad de forsøgte. Vi ved ikke, hvor længe de forsøgte. Og vi ved ikke, om nogen, som forsøger smartere, hårdere og længere, vil kunne bryde ind i systemet,« skriver han.
Læserne af bloggen kommenterer i øvrigt også det absurde i at sende hemmelige brevstemmer via e-mail og fax.