Перейти к содержанию
AM_Bot

Негосударственное электронное голосование как объект информационной защиты

Recommended Posts

AM_Bot

В данной статье рассматриваются аспекты защиты информации при проведении массовых независимых голосований федерального уровня через самостоятельно создаваемые площадки электронных голосований. Рассматриваются объекты защиты, факторы, влияющие на результаты голосования, оценка типов кибер-атак на серверы голосований на примере выборов в Координационный Совет российской оппозиции 20-22 октября 2012 г.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Автор просит не разбирать ничего кроме ИБ, сам же пишет:

"Также не хватает пока что проверки того, за кого засчитались голоса того или иного избирателя. Организаторы голосования обещают предоставить такую возможность, но пока её нет. Правда, такая проверка не исключает «вбросов» идентификаторов в базу – это отследить невозможно, снова на всё на доверии."

Влияние СМИ и интернет-ресурсов. Федеральные каналы до окончания голосования в главных вечерних новостях освещали выборы, тем самым влияя на явку и на результат голосования.

При чём тут ИБ.

Также предлагаю обсудить инфо защищенность алгоритма "вышел ежик из тумана" при проведении негосударственных выборов крайних в группах дошкольников.

PS.

Это я к тому что участники процедуры согласились на эту процедуру. Никого кроме участников образно говоря волновать не должно. Защищенность от накруток нашистами и ммм участников волнует, но это не ИБ.

Для вещей сделанных на коленке за 2 месяца это громадный успех проекта с достижением всех целей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

OlegAndr, есть новый объект защиты. Объективность результатов - это тоже объект информационной защиты. Вбросы возможны, подтасовка возможна. Проверка, что мнение учтено правильно - возможно. Всё это информационная безопасность. Т.е. мы обсуждаем перечисленные объекты в контексте информационной безопасности. Объекты и люди находятся в более агрессивной среде, есть специфика. Ездил в Питер недавно на двухдневный семинар по информационной безопасности для наблюдателей на государственных выборах. Тоже есть специфика. Чаще предлагается использовать спецсредства. Здесь и предлагается обсуждать эту специфику.

Есть домашние пользователи. Их понятно, как защищать.

Есть корпоративные.

Недавно добавились облака.

Теперь пошла защита вот таких объектов, как электронные голосования. Плюс здесь персональные данные. Плюс те же облака, массивные DDoS'ы и прочее. И задача выжить.

Если мы говорим про интервью в СМИ, то здесь объект защиты - сохранение контекста интервью. Пока что она не решена. Интервью - набор слов, информация. Как интервьюируемый может защититься от искажения того, что он сказал? Никто тоже это не обсуждает. Думаю, можно тоже подумать. Тем более, что позавчера вечером возник связанный повод.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

ОМГ. Есть семинары для наблюдателей на государственных выборах - как туда можно записаться. И член избиркома убегающий с протоколами в кладовку - какими спецсредствами от него защититься?

По теме:

МММ- валидные формально пользователи голосующие под принуждением. Они действуют по той же процедуре что и остальные участник => защита от них не ИБ, это нечто другое.

Автор статьи ставит странные вопросы. Там безусловно можно нарыть вагон ИБ рисков, просто статья не о том.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Есть семинары для наблюдателей на государственных выборах - как туда можно записаться.

Я тоже не знал, что есть. Нового для меня там ничего не было. Но чтобы туда пригласили, для начала нужно стать наблюдателем, конечно. И это не тема портала.

МММ- валидные формально пользователи голосующие под принуждением.

Да, валидные, но мы это оставляем за кадром. Но при этом говорим о том, что фактически была совершена, возможно, не атака, но около того на форму восстановления пароля на сайте Мавроди. А это уже ИБ.

Автор статьи ставит странные вопросы.

Скажем, необычные :)

Там безусловно можно нарыть вагон ИБ рисков, просто статья не о том.

А о чём статья?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

1. Ну я наблюдатель, меня не звали.

2. Статья я не понял о чем, автор замешал все в кучу, на что-то посетовал и предложил что-то обсудить. Т.к. кто автор я не знаю, думал он расскажет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
1. Ну я наблюдатель, меня не звали.

Проводил "Голос", который сейчас работает последние месяцы. Где-то в ноябре ожидается закрытие (по нашим законам иностранные агенты, а значит, участвуют в политике, а жили на зарубежные гранты, которые политическим организациям не выдаются).

Приглашалось по одному человеку от регионов. Выбирались местными отделениями "Голоса".

Мероприятие достаточно камерное было.

2. Статья я не понял о чем

Описание новых объектов для защиты, способы защиты.

автор замешал все в кучу

А мне кажется, у статьи есть структура.

предложил что-то обсудить

Способы улучшения защиты перечисленных новых объектов защиты.

Т.к. кто автор я не знаю

http://www.anti-malware.ru/experts

думал он расскажет.

Рассказал :)

Кстати, куда более подробное исследование:

http://www.apn.ru/publications/article27389.htm

Но не сказал бы, что такое же объективное :) Я про веру организаторам голосования не писал, наоборот, подвергал сомнению (хотя своё мнение по этому поводу не высказывал) :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Интересный вопрос поднял Луговой.

Фактические единственное что хранилось при голосах - телефон пользователя. Таблица - хеш- телефон.

Луговой утверждает что это перс данные.

Мне так не кажется,

Фактически если я сгенерю любое количество 7-значных номеров это теоретически будут чьи то телефоны. Стану ли я оператором перс данных от этого? Луговой утверждает что стану.

Конечно регуляторы (или суд) будут разбираться и результат в данном кейсе немного предсказуем.

P/S/ Валерий признались бы сразу в авторстве, вопросов было бы меньше -)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×