Für die Bereitstellung des bestmöglichen Service verwenden wir Cookies. Mit der Nutzung der Website erklären Sie sich mit dem Einsatz einverstanden. Zur Datenschutzerklärung

Suche

Letztes Quellcode-Stück offengelegt

Cédric Chiavi 2. Dezember 2022

Das Bug-Bounty-Programm von Abraxas geht mit der Offenlegung des letzten Stücks Quellcode in die Schlussrunde: Das Ergebnisermittlungssystem der Kantone SG und TG nähert sich dem gewünschten Reifegrad für den produktiven Einsatz an einem Wahl- und Abstimmungssonntag im kommenden Frühling.

Per Ende November 2022 ist die Offenlegung des gesamten Quellcodes von Back- und Frontend des neuen Ergebnisermittlungssystems der Kantone SG und TG abgeschlossen worden. Den mehr als 160 zum Programm angemeldeten Security-Researcher:innen steht damit jedes Element des Systems VOTING Basis – der Datengrundlage für weitere Anwendungen aus der Wahl- und Abstimmungssuite VOTING von Abraxas – zur Prüfung und zur Verifizierung möglicher Schwachstellen offen: github.com/abraxas-labs.

Umfassende Attacken aufs Testsystem

Seit Mai 2022 untersucht eine stark zunehmende Zahl an Security-Researcher:innen im Abraxas Bug-Bounty-Programm das System auf Schwachstellen und versucht, eine Methode zur Manipulation eines Abstimmungsergebnisses zu finden.

Bis Ende November 2022 wurden 59 Findings eingereicht, von denen 20 akzeptiert werden konnten. Von den letztlich bearbeiteten und ausbezahlten Findings stufte das Bug-Bounty-Team von Abraxas eines als hoch, jedoch keines als kritisch ein. Die meisten der akzeptierten Findings wurden im Dialog mit den Security-Researcher:innen als «mittel» eingestuft. Die Summe der ausbezahlten Bounties beträgt 19'600 CHF.

Programm auf Kurs

Das gemeinsam mit Bug Bounty Switzerland durchgeführte Programm befindet sich damit auf Kurs und geht in die letzte Phase vor Produktivstart. Nicht nur konnten Schwachstellen geschlossen werden, das Team hat auch einige Inspiration zur Optimierung verschiedener Bereiche der Software erhalten. Mit signierten kritischen Events ist nun auch eine durchgängige Nachvollziehbarkeit von Urhebern und Aktivitäten über alle Teillösungen und die gesamte Laufzeit hinweg verfügbar.

Ausserdem ist die präventive Erkennung bestimmter Attacken (z. B. Replay) möglich. Die Input-Validierung ist vollständig für alle Schnittstellen umgesetzt worden.

Abraxas plant aufgrund der guten Erfahrungen in Zukunft die Auflage weiterer Bug-Bounty-Programme. In wenigen Wochen ist zudem der Entscheid der Kantone zu erwarten, ob und wann das neue Ergebnisermittlungssystem zum ersten Mal eingesetzt wird.

Photo by unsplash.com/@4dr13nv1n
Cédric Chiavi

Über Cédric Chiavi

Cédric Chiavi ist Leiter Projektmanagement im Solution Engineering von Abraxas. Er ist unter anderem im Projektmanagement von Solution Engineering tätig und betreut hauptsächlich Softwareprojekte im Bereich von Wahlen und Abstimmungen.

Lesen Sie jetzt

  • Pizza Engineering: Maturity-Modell

    Die Kolumne von Daniel Scherrer.
    Daniel Scherrer
    Daniel Scherrer // Chief Software Architect
    12.10.2022 Bounty
    Weiterlesen
  • So läuft die Jagd nach den Bounties

    In wenigen Wochen ist es soweit: Das neue Ergebnisermittlungssystem der Kantone SG und TG wird vom Private ins Public Bug-Bounty-Programm überführt. Zeit für eine erste Bilanz. Das Interesse der Security Researcher ist stark gestiegen. Dennoch sind die bisher eingetroffenen Findings vor allem unkritischer Natur.
    Daniel Scherrer
    Daniel Scherrer // Chief Software Architect
    03.08.2022 Bounty
    Weiterlesen