Ivan Marković

Security consultant and researcher

Long experience in designing and implementation of security solutions, mainly oriented on web, mobile and embedded applications. Author of penetration testing tools, recognized by OWASP organization and BackTrack Linux distribution. Researching work includes discovery of vulnerabilities of numeral applications and services, and for these, author received public apreciations by Microsoft Company.

Contact via Linkedin or read interesting staff on Twitter.

Analiza uticaja e-mail "SPAM" filtera na regularnost izbora

07.04.2022

Uvod

Prijavljivanje za glasanje u inostranstvu izvršava se slanjem e-mail poruke na jednu od kontakt e-mail adresa nama najbliže ambasade (ili na adresu po uputstvu ambasade).
Ovaj način prijavljivanja za glasanje od samog početka nosi rizike poput presretanja komunikacije, neadekvatnog čuvanja privatnih podataka i gubljenja podataka usled tehničkih nedostataka.

Na ovom linku možete pronaći sve e-mail adrese ambasada: https://pastebin.com/3QzeBrRm, a originalni izvor je ovde: https://raw.githubusercontent.com/vokativ/glasanje/master/src/app/register/form/constants.ts. Ukupno ima 218 email adresa na velikom broju domena, između ostalog smeštenih i van resursa u vlasništvu naše države (Srbija).

Više osoba tokom godina žalilo se na izborni proces u inostranstvu, neki su kao odgovor dobijali da je e-mail server bio u kvaru, neki da su završili u “SPAM” folderu, a pojedini su ostali bez odgovora. Slučaj, kada je e-mail filtriran usled mera bezbednosti, i završi u “SPAM” folderu me je posebno zainteresovao, jer mi se čini da je teško da se to zapravo i stvarno desilo.

Opis okolnosti

Nekoliko osoba je poslalo zahtev za prijavu za glasanje u inostranstvu na e-mail adresu: gen.konsul@gksrbijedis.de. Posle izvesnog vremena dobili su odgovor da je njihova poruka filtrirana.

Napomena: Isti e-mail nalozi su korišćeni i pre, za druge ili slične namene, i nisu bili filtrirani.



Nekoliko dana pre ove komunikacije, imao sam komunikaciju sa ambasadom, putem email adrese info@gksrbijedis.de, povodom svog slučaja (druga tema, mene jednostavno ignorišu). To mi je omogućilo da analiziram zaglavlje i sadržaj poruke, i da saznam detalje o e-mail serveru, i pretpostavim kakve mere zaštite koristi ambasada. Za početak bitna informacija je da ambasada koristi Microsoft 365, i da se e-mail šalje i prima preko outlook.com servera. Ovo možemo da potvrdimo i putem externih servisa (MX DNS zona).

Analiza

Zamolio sam osobe, koje su dobile odgovor da ne mogu da glasaju zato što je njihov e-mail “filtriran”, da mi pošalju identičnu poruku (“Prijava za glasanje u inostranstvu”), sa zamaskiranim privatnim podacima. Ovo mi je omogućilo da pogledam kako je e-mail server (leaseweb.com) koji koristim “ocenio” ove poruke. E-mail server koristi dobro poznatu “SpamAssassin” platformu za filtriranje poruka. “SpamAssassin” izvodi veliki broj testova, i neke od detalja možete videti ovde: https://spamassassin.apache.org/old/tests_3_3_x.html.

Rezultati

#OsobaPriloziLinkOcena
1@hotmail.com4 x PDFHTTP LINKX-Spam-Score: 0.50
X-Spamd-Bar: /
X-Spam-Status: No, score=0.50
2@outlook.com1 x PDFNemaX-Spam-Score: -0.77
X-Spamd-Bar: /
X-Spam-Status: No, score=-0.77
3@gmail.com2 x PDFNemaX-Spam-Score: -0.23
X-Spamd-Bar: /
X-Spam-Status: No, score=-0.23
4@gmail.com4 x PDFNemaX-Spam-Score: -1.00
X-Spamd-Bar: -
X-Spam-Status: No, score=-1.00


Legenda

X-Spam-ScoreOva vrednost prikazuje kako je poruka ocenjena. Što je manji broj, to je poruka “bezbednija” i ima manje šansi da bude filtrirana.
X-Spamd-BarRezultat kodiran kao “+” za svaki celi broj ili “-“ za cijeli broj za negativne rezultate. Ako je rezultat nula vrednost je “/“.
X-Spam-StatusOva vrednost prikazuje (Yes, No) da li je poruka SPAM ili ne.

Zaključak

Sistem za organizaciju glasanja u inostranstvu nije adekvatno sproveden u delo, podložan je namernoj, i slučajnoj manipulaciji podacima. Tehnička ograničenja, zastareli procesi i netrasparentna rešenja dovode do povećanja rizika eksploatacije građana (ili povrede prava) od strane državnih službenika, ali i od treće strane.

Na osnovu svog stručnog iskustva, kao i rezultata prikazanih u analizi, mogu takođe da pretpostavim da poruke nisu završile u “SPAM” folderu, ili da je tehničko rešenje zaštite pogrešno konfigurisano.

Za analizu i rešavanje trenutnog “SPAM” problema predlažem pregled (“audit”) e-mail i mrežnih logova.

Za sprečavanje ovakvih i sličnih zloupotreba u budućnosti, predlažem centralizaciju i automatizaciju, prvo e-mail komunikacije, a zatim i samog izbornog procesa (i drugih) u inostranstvu.

Napomena: Molim Vas da ako imate dodatne detalje i komentare, ili Vam se desila slična situacija, da me kontaktirate putem e-mail poruke (moja e-mail adresa je ivanm@security-net.biz).