Читать книгу Журнал PC Magazine/RE №11/2010 - PC Magazine/RE - Страница 3

Взломать или хотя бы обрушить общенациональную систему голосования? На выборах в Швеции это почти удалось. «Почти» в том смысле, что, если бы хакерам стали известны некоторые дополнительные подробности относительно устройства базы данных, в которой ведется подсчет голосов, выборы вполне могли бы оказаться сорванными. Как минимум, пришлось бы пересчитать все поданные бюллетени вручную. Причем почти удачная хакерская атака вообще не потребовала прямого доступа к серверам, на которых хранится база данных голосования.

В Швеции, как и в любой современной стране, для выборов в парламент используются самые обыкновенные бюллетени, позволяющие просто поставить галочку напротив названия приглянувшейся партии. Однако государственный закон гласит, что волеизъявление граждан может приниматься и в свободной форме, – человек в этом случае сам вписывает в бумагу, за кого голосует.

В ходе недавних выборов, однако, обнаружилось странное: часть таких неформальных записей, добросовестно заносившихся обработчиками в базу, содержала строки вида:

DROP TABLE VALJ;1

и даже

(Script src=http://hittepa.webs.com/x.txt);

Cуровые шведские хакеры надеялись угадать имя SQL-таблицы, в которой будут храниться данные выборов, – в этом случае запрос DROP TABLE к базе привел бы к ее уничтожению. А что делать: закон требует, чтобы заполненные вручную листы голосования непременно публиковались без каких бы то ни было исправлений.

Во втором случае очевидно намерение внедрить в базу код Javascript, который привел бы к появлению Web-ссылки на указанный сайт, если бы результаты обработки бюллетеней выкладывались в Сеть в виде HTML-файла, а не просто текстового документа, как на деле произошло.

Собственно, мораль, которую можно вывести из избыточно «высокотехнологичных» шведских выборов, проста. Администраторам баз данных следует очень ответственно подходить к обеспечению безопасного ввода данных в свои таблицы. Шведам это в данном случае, как видим, удалось.