Die CDU hat eine Umfrage abgeschaltet, die in angeblich "nie dagewessenem Ausmaß" manipuliert wurde. Ich habe mir angeschaut wieviel Energie wirklich nötig war. Das Ergebnis wird Euch nicht überraschen. Für die CDU ist das Internet auch 2024 noch Neuland. (1/14)
Die CDU hat auf ihrer Website eine Umfrage zum Thema Verbrennermotor veröffentlicht, deren Ergebnis so gar nicht auf Parteilinie ist. Im letzten Ergebnis sprachen sich 85% der Teilnehmenden gegen die Rücknahme des Verbrennerverbots aus. (2/14)
Die CDU und ihr technischer Dienstleister sprechen von "massiven Manipulationen" mit "bisher nicht da gewesener kriminellen Energie". Aber stimmt das? Ich habe in 10 Minuten ein Skript gebaut, mit dem ich automatisiert eine Vielzahl von Abstimmungen generieren konnte. (3/14)
Für das Skript braucht es höchstens mittelmäßige IT/Netzwerk-Kenntnisse, weil die Umfrage der CDU unzureichend abgesichert war.Die einzige Sicherheitsmaßnahme, die ich wahrnahm war ein Rate-Limiting, also das Sperren von zu vielen Anfragen in einem festgesetzten Zeitraum. (4/14)
Dies verhindert aber das langsame aber stetige automatisierte Abstimmen nicht. Im dessen Rahmen wäre es mir möglich gewesen in unter 24h 10.000 Stimmen zu generieren, indem ich das Skript einfach dauerhaft laufen lasse. (5/14)
Darüberhinaus gehende Sicherheitsmaßnahmen konnte ich nicht entdecken. Auf Basis meiner über 20 Jahren Erfahrung im Bereich Web-Applikations-Entwicklung möchte ich behaupten, dass jede Umfrage im Web seit 2000 mit automatisierten Abstimmungen zu kämpfen hat. (6/14)
Es handelt sich also wirklich nicht um eine Attacke, die "kriminelle Energie" voraussetzt, sondern um das, was man vom Internet und seinen Skript-Kiddies erwarten muss. Vor allen Dingen im politischen Bereich. Hätte man die Umfrage, (7/14)
wie der Dienstleister es bei Bild behauptet, also nur per Registrierung per E-Mail oder Mobilnummer sicherer machen können? Natürlich nicht. Es existieren verschiedene vollkommen übliche Verfahren um die Hürde für potentiell Angreifende zu erhöhen. (8/14)
An dieser Stelle wäre CSRF-Tokens, das Ausfiltern von offensichtlichen Kommandozeilentools wie curl oder Javascript genannt, die den Aufwand alle so weit erhöhen können, dass die Angreifenden den Spaß an der Sache verlieren. (9/14)
Wenn die CDU also von "nicht dagewesener krimineller Energie" spricht, dann zeigt das nur eins: (10/14)
Die CDU versteht 2024 das Internet noch immer nicht: Sicherheitsmaßnahmen fehlen und sie begreifen nicht, dass es Online-Trolle gibt, die gerne Partei-Umfragen manipulieren, besonders wenn es so leicht gemacht wird. Mehr Details in meinem Blog: wawer.dev (11/14)
Disclaimer: Ich bin Software-Entwickler und Geschäftsführer der SQUIRREL & NUTS digital GmbH. Für über 1.000 Kunden im deutschsprachigen Raum entwickeln wir passgenaue digitale Lösungen für gesellschaftliches Engagement. (12/14)
weil es mir ausschließlich darum ging die technische Funktionsweise und ihre Sicherheitsmaßnahmen zu verstehen. Das künstliche Verändern von Umfragen halte ich für falsch auch wenn ich mir wünschen würde, dass Parteien solche Umfragen vernünftig absichern. (14/14)
جاري تحميل الاقتراحات...