Frontend bzw. Benutzeroberfläche wird im Abraxas Bug-Bounty-Programm als Quellcode veröffentlicht

Jetzt wird es noch spannender für die Security-Researcherinnen und -Researcher: Abraxas bringt einen weiteren wichtigen Teil des Quellcodes des Ergebnisermittlungssystems für die Kantone St. Gallen und Thurgau in das Public Bug-Bounty-Programm ein. Weitere werden folgen. Damit erhalten die Experten Einblick in die Kalkulation der Demokratie und können Schwachstellen finden.

Neuer Quellcode steht bereit. (Symbolbild: unsplash.com/@markusspiske)

(English version below)

Per Ende September erweitert Abraxas den Scope des Public Bug-Bounty-Programms für das neue Ergebnisermittlungssystem der Kantone SG und TG um den Quellcode der Weboberfläche zur Ergebniserfassung. Mit ihr erfassen Gemeinden und Kantone an Wahl- und Abstimmungssonntagen ihre ausgezählten Stimmen und stellt der Kanton ein amtliches Ergebnis fest. Die Software steht bereits parallel zum bisherigen System im Praxistest. Mit der jetzt erfolgten Veröffentlichung des Quellcodes auf github.com/abraxas-labs können die Security-Researcherinnen und -Researcher Schwachstellen noch leichter finden und mit Hilfe des Quellcodes präzise dokumentieren.

Details zur Scope-Erweiterung

Nun steht der Quellcode der Weboberfläche von VOTING Ausmittlung Erfassung zur Ansicht. Dabei handelt es sich um jenen Teil des Ergebnisermittlungssystems, der für die Eingabe der Auszählung in den Gemeinden verantwortlich ist. Er zählt zum Kernstück des Ergebnisermittlungssystems, das neu auf Angular 13 basiert, der jüngsten Long-Term-Support-Version der Entwicklerplattform. Weitere Teile des Quellcodes werden in den nächsten Wochen veröffentlicht.

Damit sind auch die Komponenten der Benutzeroberfläche aktualisiert und visuell aufgefrischt worden; sie stellen zudem ein einheitliches Erscheinungsbild über die gesamte Abraxas, eine hohe Usability, ein produktives Nutzererlebnis sowie eine grundlegende Zugänglichkeit sicher. Für die Security-Researcherinnen und -Researcher bedeutet dies: neue Schwachstellen können sich damit zeigen.

Ein Auge auf das Kernsystem

Daniel Scherrer, Leiter des Abraxas Bug-Bounty-Programms, bedankt sich für die bisherige Arbeit der Security-Researcherinnen und -Researcher. «Wir haben wertvolle Inputs erhalten und konnten bisher einige Schwachstellen und Fehler beheben.» Mit der Offenlegung des Quellcodes sei die Aufgabe für die Experten noch anspruchsvoller: «Wir bitten darum, den Fokus auf das Kernsystem zu legen», sagt Scherrer. Bisher ist vor allem die Identitäts- und Berechtigungskomponente (VOTING IAM) im Zentrum gestanden, durchaus verständlich: «IAM basiert auf OAuth 2.0 + OIDC auf RFC Standards. Die Schwachstellen hier sind bekannt und darum attraktive Angriffsvektoren».

Die höher hängenden Früchte mit attraktiven Prämien enthält das Frontend, für das nun der Quellcode zur Verfügung steht. «Super wäre, wenn die Security Researcherinnen und Researcher beispielsweise Schwachstellen in der Anwendung der Autorisierungs-Regeln fänden», sagt Scherrer und weist auf das entsprechende Dokument hin. Ein weiterer Prüfpunkt könnte die front- und backendseitige Inputvalidierung der Daten sein, die Benutzerinnen und Benutzer in das Ergebnisermittlungssystem eingeben.

Spannend ist für das #TeamAbraxas auch die Frage, ob die Teilnehmenden im Public Bug Bounty Insecure direct object references (IDOR) finden – diese legen sensitive Daten offen. Zudem wäre es desaströs für unsere Demokratie, wenn während der Auszählung eine Manipulation der Stimmabgabe erfolgen könnte. Darum, so Daniel Scherrer, «sind wir sehr dankbar für gute Findings und viele Augen auf unser System und den Quellcode – gemeinsam schützen wir unsere Demokratie.»

Further source code of the voting and election Sunday for viewing

Things are getting even more exciting for the security researchers: Abraxas contributes another important part of the source code of the result determination system for the cantons of St. Gallen and Thurgau to the Public Bug Bounty programme. More will follow. This gives the experts an insight into the calculation of democracy and enables them to find weak points.

As of the end of September, Abraxas will expand the scope of the Public Bug Bounty programme for the new result determination system of the cantons SG and TG to include the source code of the web interface for result recording. It is used by communes and cantons to record their counted votes on election and voting Sundays and by the canton to establish an official result. The software is already being tested in practice parallel to the previous system. Now that the source code has been published on github.com/abraxas-labs, security researchers can find vulnerabilities even more easily and document them precisely with the help of the source code.

Scope extension details

Now the source code of the web interface of VOTING determination capture is available for viewing. This is the part of the result determination system that is responsible for entering the count in the municipalities. It is at the core of the results system, which is now based on Angular 13, the latest long-term support version of the developer platform. Further parts of the source code will be published in the coming weeks.

This has also updated and visually refreshed the user interface components; it also ensures a consistent look and feel across Abraxas, high usability, a productive user experience and basic accessibility. For security researchers, this means that new vulnerabilities may become apparent.

An eye on the core system

Daniel Scherrer, head of the Abraxas Bug Bounty programme, thanks the security researchers for their work so far. «We have received valuable inputs and have been able to fix some weaknesses and bugs so far.» With the disclosure of the source code, the task for the experts is even more challenging: «We ask that the focus be on the core system,» says Scherrer. Up to now, the focus has been on the identity and authorisation component (VOTING IAM), which is quite understandable: «IAM is based on OAuth 2.0 + OIDC on RFC standards. The weak points here are known and therefore attractive "attack vectors.»

The higher-hanging fruit with attractive rewards is contained in the frontend, for which the source code is now available. «It would be great if the security researchers found vulnerabilities in the application of the authorisation rules, for example,» says Scherrer and points to the corresponding document. Another checkpoint could be the front- and back-end input validation of the data that users enter into the results analysis system.

Another exciting question for #TeamAbraxas is whether participants will find Insecure direct object references (IDOR) in the Public Bug Bounty - these reveal sensitive data. Moreover, it would be disastrous for our democracy if vote manipulation could take place during the count. That's why, says Daniel Scherrer, «we are very grateful for good findings and many eyes on our system and source code - together we protect our democracy.»

Über Cédric Chiavi

Cédric Chiavi ist Leiter Projektmanagement im Solution Engineering von Abraxas. Er ist unter anderem im Projektmanagement von Solution Engineering tätig und betreut hauptsächlich Softwareprojekte im Bereich von Wahlen und Abstimmungen.

23 Leser:innen gefällt das

Lesen Sie jetzt

So läuft die Jagd nach den Bounties

In wenigen Wochen ist es soweit: Das neue Ergebnisermittlungssystem der Kantone SG und TG wird vom Private ins Public Bug-Bounty-Programm überführt. Zeit für eine erste Bilanz. Das Interesse der Security Researcher ist stark gestiegen. Dennoch sind die bisher eingetroffenen Findings vor allem unkritischer Natur.

Daniel Scherrer // Chief Software Architect

03.08.2022 Bounty

21 Likes

Weiterlesen
Pizza Engineering

Die Kolumne von Daniel Scherrer.

Daniel Scherrer // Chief Software Architect

11.07.2022 Bounty

35 Likes

Weiterlesen