Piratpartiets mötesplattform


< DöljPiratpartiets vårmöte 2016
Mötesklocka   
 
 
Ämnesverktyg Sök i det här ämnet Visningsalternativ
  (#1) Gammal
exodus Inte uppkopplad
 
exoduss avatar
 
Inlägg: 1 645
Reg.datum: Jan 2006
Standard Säker onlinedemokrati. - 2009-01-11, 01:11

Jag spammade en annan tråd med följande historia:



Citat:
Problemet var att ett okänt antal pirater hade förlorat förtroendet för kaptenen. De var antingen oroliga att kaptenen skulle supa sig full alltför ofta eller så tyckte de att det var orättvist att kaptenen skulle ha så mycket rom. Flera underbefäl var förgrymmade på kaptenen för att han ansåg sig kunna ta sådana stora beslut själv utan att rådfråga dem först. Det beslutades att alla skulle rösta om det fanns förtroende för kaptenen.Alla fick varsin lapp där de fick skriva JA eller NEJ. De gick sedan fram till kaptenshytten och rullade ihop lappen och stoppade in den i ett litet hål i väggen. Det inte alla visste var att kaptenen hade ett kikhål där han kunde se vem som lämnade vilken lapp (förutsatt att polls inte är anonyma). En del visste om det och var rädda för repressalier om de röstade fel.Ett annat problem som inte alla tänkte på var att alla lapparna hamnade i en urna inne hos kaptenen. Eftersom kaptenen var ensam kunde han själv stoppa i extra lappar (förutsatt att inte alla reggade o betalande medlemmar är identifierade som äkta personer).Men om han gjorde det eller inte spelar inte så stor roll eftersom kaptenen själv var den som meddelade resultatet, utan att någon annan kunde kontrollräkna lapparna (förutsatt att inte fler oberoende har adminrättigheter och aktivt utför kontroller).Om antagandena i denna historia ligger ens aningen nära sanningen så var det i princip kapten som avgjorde på sitt samvete hur omröstningen gick.


Var på Marcus Dahlman erbjöd sig att fysiskt kontrollera säkerheten, varpå jag svarade att jag inte förstod varför inte frågan kunde utredas med manualer och email ställda till partiledningen, varpå han svarade:



Citat:
Marcus Dahlman (2009-Jan-11)Det är många som inte förstår sån't här, tyvärr. Om man skall bedöma säkerheten och tillämpningen så bör man också studera den fysiska miljön på plats. Ett trivialt exempel: Om operatörerna sätter notis-lappar med admin-lösenord till servrarna under tangentbordet så är ju forumets säkerhet intet värt, oavsett konfiguration. Om platsen där servern står är undermålig (ostädad, fel ström, fel temp, whatever) så att forumet när som helst kan krascha under en omröstning är det heller inte bra.


Varpå jag svarar:



Jag förstod att du missförstod problematiken. Jag är rädd att kontrollfunktioner saknas när årsmöte och andra omröstningar hålls i forumet. Jag misstänker också att det finns integritets och anonymitetsproblem i forumets funktion. Det har alltså inte alls med den problematiken du nämner ovan att göra.


--------------------------------------------------------------------------------



Det är inte människans natur att världen ser ut som den gör, det är ett systemfel!
   
  (#2) Gammal
Marcus Dahlman Inte uppkopplad
 
Marcus Dahlmans avatar
 
Inlägg: 163
Reg.datum: Jun 2006

Länk: #124535
Standard RE: Säker onlinedemokrati. - 2009-01-11, 20:35

Citat:
exodus (2009-Jan-11)

Jag förstod att du missförstod problematiken. Jag är rädd att kontrollfunktioner saknas när årsmöte och andra omröstningar hålls i forumet. Jag misstänker också att det finns integritets och anonymitetsproblem i forumets funktion. Det har alltså inte alls med den problematiken du nämner ovan att göra.


Nepp, jag har inte alls missförstått problematiken. De kontrollfunktioner som du undrar över, de integritets- och anonymitetsproblem du oroar dig över är ett ämne i sig, det är rätt. Dock är dessa i sin tur beroende av övriga eventuella säkerhetsbrister.



Låt mig utveckla mitt triviala exempel från annan tråd:



Ponera att kontrollfunktionerna finns och styrs av en admin-användare. Det verkar ju bra, eller hur? Men vad händer om lösenordet till admin-användaren är så dåligt att vem som helst kan gissa det ("hemligt", "lösen", "pirat", etc)? Då är ju kontrollfunktionen väldigt sårbar för intrång av obehöriga.



Samma sak med risken för haveri. Ponera att det finns goda kontrollfunktioner och integritets-stödjande funktioner. Mitt i en omröstning kraschar servern för att den står i taskig miljö, är illa skött, saknar reserv-ström, etc, etc. På grund av att databasen saknar roll-back-funktionalitet och audit-trails går det inte att återskapa aktuellt läge med följd att ingen vet vilka som röstat eller ej. Hela omröstningen måste då göras om.



Eller om backupen inte hanteras korrekt: Ponera att det alla omröstningar hanteras konfidentiellt av själva forumet, men att allt lagras i klartext i backup-filerna. Om då backupen tas på ett band som läggs i en hylla som vem som helst kan komma åt är ju konfidentialiteten inte mycket att skryta med.



Etc, ad infinitum.



Skall man göra en seriös säkerhetsanalys av det här området så bör man titta på allt möjligt såsom:

informationsrutiner inför omröstning,

rutiner för tilldelning av behörighet att starta/summera omröstningar,

riktlinjer för hur lösenord får väljas,

rutiner för hantering av loggfiler (de IP-adresser som loggas, vem kommer åt den informationen, etc, etc)

praktisk hantering av loggfiler, databaser, lagringsmedia, etc.

(Nu ids jag inte räkna upp fler exempel, men läs ISO 27001 och ISO 27002 så ser du strukturen, eller titta på Kris- och Beredskapsmyndighetens publiceringar av BITS, eller på deras skrift "Det robusta sjukhuset" som är en av de bättre handledningarna, även för icke-sjukvård.)



Återigen, skall detta göras, så skall det göras av någon med kompetens och integritet.


----------------------
Vice Valkretsledare, Bohuslän

Who Wills, Can
Who Tries, Does
Who Loves, Lives
(Anne McCaffrey, 1978)
   
  (#3) Gammal
exodus Inte uppkopplad
 
exoduss avatar
 
Inlägg: 1 645
Reg.datum: Jan 2006

Länk: #124536
Standard RE: Säker onlinedemokrati. - 2009-01-11, 20:43

Citat:
Marcus Dahlman (2009-Jan-11)De kontrollfunktioner som du undrar över, de integritets- och anonymitetsproblem du oroar dig över är ett ämne i sig, det är rätt. Dock är dessa i sin tur beroende av övriga eventuella säkerhetsbrister.


Ja, allt är ju beroende av att sladden sitter i!







Citat:
informationsrutiner inför omröstning, rutiner för tilldelning av behörighet att starta/summera omröstningar, riktlinjer för hur lösenord får väljas, rutiner för hantering av loggfiler (de IP-adresser som loggas, vem kommer åt den informationen, etc, etc) praktisk hantering av loggfiler, databaser, lagringsmedia, etc.


Nu börjar det likna något. Det där kan du ju börja nysta lite i innan du hoppar i bilen och besöker serverparken, no?


--------------------------------------------------------------------------------



Det är inte människans natur att världen ser ut som den gör, det är ett systemfel!
   
  (#4) Gammal
Marcus Dahlman Inte uppkopplad
 
Marcus Dahlmans avatar
 
Inlägg: 163
Reg.datum: Jun 2006

Länk: #124541
Standard RE: Säker onlinedemokrati. - 2009-01-11, 20:59

[quote]exodus (2009-Jan-11)
Citat:
Marcus Dahlman (2009-Jan-11)

Citat:
informationsrutiner inför omröstning, rutiner för tilldelning av behörighet att starta/summera omröstningar, riktlinjer för hur lösenord får väljas, rutiner för hantering av loggfiler (de IP-adresser som loggas, vem kommer åt den informationen, etc, etc) praktisk hantering av loggfiler, databaser, lagringsmedia, etc.


Nu börjar det likna något. Det där kan du ju börja nysta lite i innan du hoppar i bilen och besöker serverparken, no?


Visst, men mångårig erfarenhet visar att det är bättre att börja med ett besök på plats, sedan tar man resten och kompletteringar via telefon, mail, etc. Återigen, läs på ISO 27001/2.


----------------------
Vice Valkretsledare, Bohuslän

Who Wills, Can
Who Tries, Does
Who Loves, Lives
(Anne McCaffrey, 1978)
   
  (#5) Gammal
mobboffer Inte uppkopplad
 
mobboffers avatar
 
Inlägg: 2 735
Reg.datum: May 2006

Länk: #124540
Standard RE: Säker onlinedemokrati. - 2009-01-11, 20:59

Se även till att SSL används så inte FRA och därmed regeringen kan se vem som röstat på vad.
   
  (#6) Gammal
exodus Inte uppkopplad
 
exoduss avatar
 
Inlägg: 1 645
Reg.datum: Jan 2006

Länk: #124543
Standard RE: Säker onlinedemokrati. - 2009-01-11, 21:08

Citat:
Marcus Dahlman (2009-Jan-11)Visst, men mångårig erfarenhet visar att det är bättre att börja med ett besök på plats, sedan tar man resten och kompletteringar via telefon, mail, etc. Återigen, läs på ISO 27001/2.


Men jag måste väl kunna be någon att utvärdera om instantforum är en säker plattform att bedriva demokratiska omröstningar och val på utan att de måste åka och titta på servern först?


--------------------------------------------------------------------------------



Det är inte människans natur att världen ser ut som den gör, det är ett systemfel!
   
  (#7) Gammal
redhog Inte uppkopplad
 
redhogs avatar
 
Inlägg: 116
Reg.datum: Jan 2006

Länk: #124597
Standard RE: Säker onlinedemokrati. - 2009-01-12, 09:31

Eftersom det inte finns något system inbyggt för utomstående att garanterat verifiera utfallet av omröstningar (paper trail, redundanta servrar som hanteras av olika parter, kryptografiska (signerings)system etc) så är det ganska lätt att komma fram till att systemet vi använder bara är så säkert som vi är säökra på att de som administrerar servern gör sitt jobb korrekt.


http://redhog.org - egil.moller@piratpartiet.se - +4747344024
  Skicka ett meddelande via ICQ till redhog Skicka ett meddelande via MSN till redhog Skicka ett meddelande via Yahoo till redhog  
  (#8) Gammal
exodus Inte uppkopplad
 
exoduss avatar
 
Inlägg: 1 645
Reg.datum: Jan 2006

Länk: #124641
Standard RE: Säker onlinedemokrati. - 2009-01-12, 16:49

Citat:
redhog (2009-Jan-12)Eftersom det inte finns något system inbyggt för utomstående att garanterat verifiera utfallet av omröstningar (paper trail, redundanta servrar som hanteras av olika parter, kryptografiska (signerings)system etc) så är det ganska lätt att komma fram till att systemet vi använder bara är så säkert som vi är säökra på att de som administrerar servern gör sitt jobb korrekt.


Det var duktigt av dig, utan hembesök och allt! Så vilken/vilka administrerar servern? Vad skiljer admin från mod? Vilka kontroller kan en mod göra jämfört med en admin? Osv, osv.


--------------------------------------------------------------------------------



Det är inte människans natur att världen ser ut som den gör, det är ett systemfel!
   
 

Ämnesverktyg Sök i det här ämnet
Sök i det här ämnet:

Avancerad sökning
Visningsalternativ

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av


Liknande ämnen
Ämne Startat av Forum Svar Senaste inlägg
Onlinedemokrati? exodus Övrig piratpolitik 22 2008-05-08 01:18
Säker på nätet? Anders Strömgren PP i media 5 2007-09-14 19:48
Säkerhet med fingeravtryck är nada säker Joakim Holgersson PP i media 2 2006-11-29 08:45
Säker kommunikation nilst2006 PP i media 12 2006-09-30 13:46
Mobilen går inte längre säker Anders Häggström PP i media 3 2006-09-14 17:13



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
vBulletin Skin developed by: vBStyles.com