Nem aprózta el a svájci állam azt a jutalmazási programját, amelyet a választási rendszer biztonsági tesztelésére indított: még az optimalizálási lehetőségeket is díjazza, igaz, mindössze 100 frankkal (kb. 28 ezer forint – mínusz az adó). A súlyos biztonsági résekért viszont akár 50 ezer frankot (14 millió forint) is be lehet zsebelni, amiből úri módon elélhetünk akár két évig is – Magyarországon.

Egy meghatározott időszakban lehet támadni

A svájci kormány a közelmúltban hirdette meg azt a nyilvános behatolási tesztet (E-Voting Public Intrusion Test), amelyben az ország online választási rendszerének biztonságát szeretné próbára tenni. A világ minden tájáról várják a szakértőket, biztonsági cégeket, mert arra számítanak, hogy a biztonsági hibák feltárása mellett elsegíti, hogy a svájciak jobban megbízzanak az elektronikus választási rendszerben. A bizalom növelése fontos cél. Egy politikusokból és informatikai szakemberekből álló csoport ugyanis elkezdett aláírásokat gyűjteni, hogy a következő öt évben ne vezessenek be Svájcban e-szavazást.

Mivel igencsak kritikus rendszerről van szó, a szabályok is szigorúak. Pontosan meghatározták a támadható rendszerek körét, melyek ellen a biztonsági szakemberek, etikus hekkerek február 25. és március 2. között intézhetnek támadásokat. (Nem lehet támadni például a rendszert fejlesztő Svájci Posta azon rendszereit, melyek az e-szavazási rendszertől függetlenül működnek.) A feladat az, hogy a kiírásban előre meghatározott sérülékenység-típusok kiaknázásával megkíséreljék a választási rendszer manipulálását.

A tesztre előzetesen regisztrálni kell, amely egyrészt biztosítja a kísérletezők nyomon követhetőségét (minden regisztrálónak meg kell adni személyes adatokat és referenciát is). Ez a regisztráció egyben szerződésként is szolgál az etikus hekkelést végzők és a rendszer üzemeltetői között. É persze ez a feltétele annak is, hogy sikeres munka esetén valaki részesüljön a jutalmazási keretből.

Hat kategóriában adnak jutalmat

Összesen hat kategóriában lehet próbálkozni. A legkisebb jutalmat (minimum jutalom: 100 frank) azoknak a konfigurációs jellemzőknek a feltárásáért lehet kapni, melyek nem eltérnek a biztonsági iparág legjobb gyakorlataitól.

Minimum 1000 frankot ér, ha valaki sikeresen behatol egy szerverbe, és tetszőleges kódot futtat le egy vagy több szerveren vagy vezérlőelemen. Ötször ennyit lehet kapni, ha valakinek sikerül a szavazásba beavatkozni. Például a támadó megsemmisíti az elektronikus szavazóurnát, vagy olyan módon befolyásolja az elektronikus szavazatot, hogy az bár tárolódik az urnában, nem lehet visszafejteni.

Legalább tízezer frankot ér minden olyan hiba, ami veszélyezteti a szavazás titkosságát, például kiderül, hogy ki mire voksolt, vagy csak pontosan beazonosítható a szavazó.

Minden olyan sérülékenység, ami az egyes szavazatok vagy választási eredmény manipulálását teszi lehetővé, legalább 20 ezer frankot fizet még akkor is, ha azt utólag a szavazó vagy a szavazás tisztaságért felelős ellenőr utólag észrevenné. De a legvastagabb 30 és 50 ezer frank (8,5 – 14 millió forint) közötti összeget azzal lehet elnyerni, ha valaki észrevétlenül tudná manipulálni a rögzített szavazatokat és/vagy a választási folyamatot.

Segítséget is kapnak a próbálkozók

A Svájci Posta a verseny idejére letiltja a szavazási rendszert általános védelmi rendszereit, hogy a hekkereknek csak a választási rendszer központi elemeire kelljen koncentrálniuk. Fel is lehet készülni, a rendszer forráskódját ugyanis már közzétették a GitLabon. A próbálkozók a Postától igényelhetik a hekkeléshez szükséges e-szavazólapokat.

A feltárt és dokumentált sérülékenységeket az SCRT nevű svájci IT-biztonsági cég fogja elbírálni. A részvételi feltételeket itt találja.