Per Ende November 2022 ist die Offenlegung des gesamten Quellcodes von Back- und Frontend des neuen Ergebnisermittlungssystems der Kantone SG und TG abgeschlossen worden. Den mehr als 160 zum Programm angemeldeten Security-Researcher:innen steht damit jedes Element des Systems VOTING Basis – der Datengrundlage für weitere Anwendungen aus der Wahl- und Abstimmungssuite VOTING von Abraxas – zur Prüfung und zur Verifizierung möglicher Schwachstellen offen: github.com/abraxas-labs.
Umfassende Attacken aufs Testsystem
Seit Mai 2022 untersucht eine stark zunehmende Zahl an Security-Researcher:innen im Abraxas Bug-Bounty-Programm das System auf Schwachstellen und versucht, eine Methode zur Manipulation eines Abstimmungsergebnisses zu finden.
Bis Ende November 2022 wurden 59 Findings eingereicht, von denen 20 akzeptiert werden konnten. Von den letztlich bearbeiteten und ausbezahlten Findings stufte das Bug-Bounty-Team von Abraxas eines als hoch, jedoch keines als kritisch ein. Die meisten der akzeptierten Findings wurden im Dialog mit den Security-Researcher:innen als «mittel» eingestuft. Die Summe der ausbezahlten Bounties beträgt 19'600 CHF.
Programm auf Kurs
Das gemeinsam mit Bug Bounty Switzerland durchgeführte Programm befindet sich damit auf Kurs und geht in die letzte Phase vor Produktivstart. Nicht nur konnten Schwachstellen geschlossen werden, das Team hat auch einige Inspiration zur Optimierung verschiedener Bereiche der Software erhalten. Mit signierten kritischen Events ist nun auch eine durchgängige Nachvollziehbarkeit von Urhebern und Aktivitäten über alle Teillösungen und die gesamte Laufzeit hinweg verfügbar.
Ausserdem ist die präventive Erkennung bestimmter Attacken (z. B. Replay) möglich. Die Input-Validierung ist vollständig für alle Schnittstellen umgesetzt worden.
Abraxas plant aufgrund der guten Erfahrungen in Zukunft die Auflage weiterer Bug-Bounty-Programme. In wenigen Wochen ist zudem der Entscheid der Kantone zu erwarten, ob und wann das neue Ergebnisermittlungssystem zum ersten Mal eingesetzt wird.
