Svensker forsøgte at papir-hacke rigsdagsvalg

En spasmager blandt de svenske vælgere forsøgte sig med et analogt SQL-injection-angreb mod valget i Sverige. Han skrev en kodestump på stemmesedlen, som siden hen bliver digitaliseret.

Nogle gange er papir og blyant - i dette tilfælde stemmeseddel og blyant - nok til et hackerangreb.

En svensker gjorde i hvert fald forsøget, da Sverige gik til valg i september måned, ved at skrive

'pwn DROP TABLE VALJ'

på stemmesedlen. Det bemærker it-sikkerhedsguruen Bruce Schneier i et blogindlæg. Kommandoen ovenfor ville - hvis den blev indlæst det rigtige sted - have slettet alle data i databasen med navnet VALJ.

Alle håndskrevne stemmesedler bliver sidenhen digitaliseret og publiceret på nettet, så i teorien kunne sådan et SQL-injection angreb give problemer. Kommandoen her fik dog ingen konsekvenser, men tricket har rejst debatten i Sverige.

Valgmyndighederne afviser kategorisk, at det ville være muligt at sabotere valget på den måde, mens den officielle statslige svenske it-sikkerhedsorganisation, SITIC, omvendt mener, at det er en reel trussel.

Om SQL-injection-stemmesedlen var et alvorligt ment forsøg på at udradere hele valg-databasen, eller en practical joke, er uvist. Men inspirationen kan i hvert fald være kommet fra en XKCD-stribe, hvor 'drop table' indgår i et navn.

Andre svenske vælgere har skrevet webadresser på stemmesedlen, mens én prøvede med lidt Javascript, der ville hente kommandoer fra en fil på en webside. Her valgte valgmyndighederne dog at fjerne nogle tegn, så kommandoen ikke virkede.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jimmy Christiansen

Man må formode at digitaliseret tekst der skal ind i sådan et system bliver scannet for skadelig kode. Det tyder eksemplet med javascript også på.

Og under alle omstændigheder så giver man ikke tilfældige vælgere root privilegier. Det må trods alt antages at man skal være root ( eller anden højt privilegieret bruger ) for at kunne slette den pågældende tabel.

  • 0
  • 0
Anonym

Nu skal man jo nok ikke offentliggøre disse angreb, men der mangler noget pling og semikolon.

Hvis et SQL injection skulle kunne lade sig gøre, vidner det om mangel på forståelse for programmering.

Parameterized Queries gør applikationer fuldstændig immune overfor angreb, men man vælger tilsyneladende 'the easy way out'.

At applikationer er følsomme overfor SQL injection angreb er for mig uforståeligt, da den angrebsvektor har været kendt i mindst 15 år.

  • 0
  • 0
Log ind eller Opret konto for at kommentere