——域evoting CWRAF装饰图案细节
http://cwe.mitre.org/cwraf/
|
|
CWRAF版本:0.8.3 |
日期:2013年4月3日 |
项目协调员:
Bob Martin(斜方) |
文档编辑器:
史蒂夫Christey(斜方) |
CWRAF小品文——evoting
CWRAF小品文——evoting
在常见的弱点风险分析框架(CWRAF),一个装饰图案提供了一个可共享的,正式的方式来定义一个特定的环境中,软件在该环境中所扮演的角色,一个组织的优先级对软件安全。它识别必要的资源与能力,以及其重要性相对于安全原则如机密性、完整性和可用性。例如,在电子商务背景下,99.999%正常运行时间可能是一个强大的业务需求驱动的解释发现缺陷的严重程度。 小插曲让水煤浆支持不同的观众可能有不同的要求,如何优先的弱点。水煤浆得分可能发生装饰图案的上下文中。 目前这个页面包含细节4“evoting”域中的小插曲。这些只是说明;CWRAF社区将有助于完善这些和其他发展。反馈是受欢迎的。 |
装饰图案定义:国家选举管理使用远程网络投票通过缺席选举人票
| 的名字 |
州选举政府使用远程网络投票通过缺席选举人票 |
| ID |
elec-abs-int |
| 成熟 |
存根 |
| 域 |
evoting |
| Desc |
apple投票系统支持大容量事务、高可用性、以数据为中心的数据库包含投票信息,审计日志生成每个选民。 |
| 原型 |
通用操作系统,浏览器,Web服务器 |
| 业务价值的上下文(BVC) |
完整性和可用性被认为是最高的优先级。保密是必需的保护选民和匿名投票记录。身份验证和授权也高的优先级,以确保只有注册用户投票,每个用户只能投票一次。帮助美国投票法案》(哈)要求授权纸审计日志供选举官员使用。安全事故可能促进通过恶意欺诈选举过程的影响或结果,便于敲诈勒索,胁迫,或出售投票,导致联邦监管问题,,侵蚀的选民的信心。 |
| 笔记 |
|
| 引用 |
没有引用的记录。 |
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
|
|
| 修改数据 |
应用程序 |
|
|
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
|
|
| 读取数据 |
应用程序 |
|
|
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
|
|
| DoS:不可靠的执行 |
网络 |
|
|
| DoS:不可靠的执行 |
企业 |
|
|
| DoS:资源消耗 |
系统 |
|
|
| DoS:资源消耗 |
应用程序 |
|
|
| DoS:资源消耗 |
网络 |
|
|
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
|
|
| 执行未经授权的代码或命令 |
应用程序 |
|
|
| 执行未经授权的代码或命令 |
网络 |
|
|
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
|
|
| 获得特权/假设的身份 |
应用程序 |
|
|
| 获得特权/假设的身份 |
网络 |
|
|
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
系统 |
|
|
| 旁路保护机制 |
应用程序 |
|
|
| 旁路保护机制 |
网络 |
|
|
| 旁路保护机制 |
企业 |
|
|
| 隐藏活动 |
系统 |
|
|
| 隐藏活动 |
应用程序 |
|
|
| 隐藏活动 |
网络 |
|
|
| 隐藏活动 |
企业 |
|
|
装饰图案定义:国家或地方选举通过直接记录使用eVoting选举机器。
| 的名字 |
国家或地方选举通过直接记录使用eVoting选举机器。 |
| ID |
evoting-DRE |
| 成熟 |
不发达 |
| 域 |
evoting |
| Desc |
DRE系统不直接与互联网相连。投票通过调制解调器数据上传到集中式服务器。选举工人从机器中检索硬拷贝的投票记录,并将选举官员的打印输出。DRE机器与固件程序上传简易闪存卡。人们普遍认为计算机固件上传使用flash卡不应该连接到互联网。 |
| 原型 |
嵌入式设备,端点系统,移动存储媒体,专有的固件,现代通信 |
| 业务价值的上下文(BVC) |
完整性的关键选举终端以及端点系统用于选前设备编程。保护PII不如确保准确的重要投票制表和审计跟踪。物理安全的设备也是必不可少的。帮助美国投票法案》(哈)要求授权纸审计日志供选举官员使用。安全事故可能促进通过恶意欺诈选举过程或结果的影响以及产生联邦监管问题,选民的信心和侵蚀。 |
| 笔记 |
|
| 引用 |
没有引用的记录。 |
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
|
|
| 修改数据 |
应用程序 |
10 |
修改或删除投票记录在内存来促进恶意影响选举进程或结果,欺诈,导致内存损坏导致DoS(崩溃)或腐败的投票数据;在某些情况下,DRE系统上执行任意代码。修改或删除选举数据文件,导致DoS或不可靠的投票结果,或修改DRE系统配置。修改或删除投票记录数据,日志,投票选举或其他核心文件所必需的;改变选票投票记录或修改,或修改密钥。 |
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
|
|
| 读取数据 |
应用程序 |
9 |
阅读和监视投票结果以未经授权的方式,获取密钥用于加密投票数据,记录投票记录。阅读选民记录信息或者窃取密钥用于加密投票记录上传投票服务器之前,或阅读DRE机器的系统/应用程序配置。读取选民记录数据、投票记录或其他核心文件必不可少的选举;读票或以未经授权的方式记录投票记录,或窃取密钥用于保护机密投票。 |
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
7 |
选民经验难以使用DRE机器,不可预知的固件行为导致延误,失去了一些选票,误算了选票,或侵蚀影响总体选举结果和投票选民的信心。打印机无法打印出当地的投票结果的记录。 |
| DoS:不可靠的执行 |
应用程序 |
7 |
选民数据不能达到中央服务器,选举选民日志记录或丢失,延迟和侵蚀的选民的信心将停机时间。 |
| DoS:不可靠的执行 |
网络 |
0 |
网络连接DRE系统中不存在。 |
| DoS:不可靠的执行 |
企业 |
6 |
选民经历缓慢或没有响应的用户界面,不可预知的固件行为包括滞后,行动之间的延迟,导致错误的选票或混乱的选民。总体选民的信心是侵蚀。 |
| DoS:资源消耗 |
应用程序 |
6 |
选民经历缓慢或没有响应的用户界面,不可预知的固件行为包括滞后,行动之间的延迟,导致错误的选票或混乱的选民。总体选民的信心是侵蚀。 |
| DoS:资源消耗 |
网络 |
0 |
网络连接DRE系统中不存在。 |
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
|
|
| 执行未经授权的代码或命令 |
应用程序 |
10 |
|
| 执行未经授权的代码或命令 |
网络 |
0 |
网络连接DRE系统中不存在。 |
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
10 |
攻击者可以执行应用程序管理功能。 |
| 获得特权/假设的身份 |
应用程序 |
10 |
攻击者可以执行函数作为系统管理。 |
| 获得特权/假设的身份 |
网络 |
0 |
网络连接DRE系统中不存在。 |
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
系统 |
|
|
| 旁路保护机制 |
应用程序 |
7 |
避免攻击的检测和维护一个持续攻击DRE系统中的姿态 |
| 旁路保护机制 |
网络 |
0 |
网络连接DRE系统中不存在。 |
| 旁路保护机制 |
企业 |
|
|
| 隐藏活动 |
系统 |
7 |
无法确定攻击源;不能获得足够的证据刑事起诉。 |
| 隐藏活动 |
应用程序 |
7 |
无法确定攻击源;不能获得足够的证据刑事起诉。 |
| 隐藏活动 |
网络 |
0 |
网络连接DRE系统中不存在。 |
| 隐藏活动 |
企业 |
|
|
装饰图案定义:国家或地方选举通过互联网使用eVoting web应用程序
| 的名字 |
国家或地方选举通过互联网使用eVoting web应用程序 |
| ID |
evoting-Internet |
| 成熟 |
存根 |
| 域 |
evoting |
| Desc |
apple轮询系统连接到互联网和旨在支持大容量事务和高可用性。以数据为中心的数据库被用来收集投票信息,审计日志生成每个选民。 |
| 原型 |
Web应用程序、Web浏览器开发框架,通用操作系统,网络通信 |
| 业务价值的上下文(BVC) |
完整性和可用性被认为是最高的优先级。最大的问题是确保投票的完整性,可以拦截和修改而穿越互联网。保密是必需的保护选民和匿名投票记录。身份验证和授权也高的优先级,以确保只有注册用户投票,每个用户只能投票一次。联邦选举援助计划(FVAP)进行了一次网络投票的试点实验(即VOI和服务计划),由于安全问题被取消前实现阶段。安全事故可能促进通过恶意欺诈选举过程的影响或结果,便于敲诈勒索,胁迫,或出售投票,导致联邦监管问题,选民的信心和侵蚀。 |
| 笔记 |
|
| 引用 |
没有引用的记录。 |
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
|
|
| 修改数据 |
应用程序 |
10 |
修改或删除投票记录在内存来促进恶意影响选举进程或结果,欺诈,导致内存损坏导致DoS(崩溃或停机时间)或腐败的投票数据;可能是互联网投票系统上执行任意代码。修改或删除选举数据文件,导致DoS或不可靠的投票结果,或修改互联网投票系统配置。修改或删除投票记录数据,日志,投票选举或其他核心文件所必需的;改变选票投票记录或修改,或修改密钥 |
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
|
|
| 读取数据 |
应用程序 |
8 |
阅读和监视投票结果以未经授权的方式,获取密钥用于加密投票数据,记录投票记录。阅读选民记录信息或者窃取密钥用于加密投票记录上传投票服务器之前,或阅读系统/应用程序配置互联网投票系统。读取选民记录数据、投票记录或其他核心文件必不可少的选举;读票或以未经授权的方式记录投票记录,或窃取密钥用于保护机密投票。 |
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
7 |
选民数据不能达到中央服务器,选民或日志记录丢失,选举选民的信心由于停机时间的延误和侵蚀,打印机无法打印出当地的投票结果的记录。 |
| DoS:不可靠的执行 |
网络 |
|
|
| DoS:不可靠的执行 |
企业 |
|
|
| DoS:资源消耗 |
系统 |
|
|
| DoS:资源消耗 |
应用程序 |
8 |
拒绝服务攻击会导致停机,选举推迟,选民的信心的丧失。选民经历困难在使用互联网投票系统,不可预知的固件行为导致延误,失去了一些选票,误算了选票,或侵蚀影响总体选举结果和投票选民的信心。选民经历缓慢或没有响应的用户界面,不可预知的固件行为包括滞后,行动之间的延迟,导致错误的选票或混乱的选民。总体选民的信心是侵蚀。 |
| DoS:资源消耗 |
网络 |
|
|
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
10 |
修改投票UI导致不正确的投票选择,偷取票,或安装/卸载软件或驱动程序至关重要。 |
| 执行未经授权的代码或命令 |
应用程序 |
10 |
读取或修改选民记录,投票结果,或加密密钥。导致拒绝服务从而推迟选举。 |
| 执行未经授权的代码或命令 |
网络 |
|
|
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
|
|
| 获得特权/假设的身份 |
应用程序 |
10 |
攻击者可以执行管理功能的应用程序管理。 |
| 获得特权/假设的身份 |
网络 |
10 |
攻击者可能伪装成选民由于执行TCP / IP劫持的能力或MITM web会话互联网投票系统。 |
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
系统 |
|
|
| 旁路保护机制 |
应用程序 |
8 |
避免检测的攻击;可能窃取数据;冒充别人。 |
| 旁路保护机制 |
网络 |
8 |
攻击者能力的恶搞,化妆舞会,MITM或隐藏自己的踪迹。 |
| 旁路保护机制 |
企业 |
|
|
| 隐藏活动 |
系统 |
|
|
| 隐藏活动 |
应用程序 |
8 |
无法确定攻击源;不能获得足够的证据刑事起诉。风险更大网络投票由于攻击的恶搞,化妆舞会,MITM或隐藏自己的踪迹。 |
| 隐藏活动 |
网络 |
8 |
无法确定攻击源;不能获得足够的证据刑事起诉。风险更大网络投票由于攻击的恶搞,化妆舞会,MITM或隐藏自己的踪迹。 |
| 隐藏活动 |
企业 |
|
|
装饰图案定义:互联网公司股东投票
| 的名字 |
互联网公司股东投票 |
| ID |
corp-vote |
| 成熟 |
存根 |
| 域 |
evoting |
| Desc |
公司股东投票使用远程网络投票。 |
| 原型 |
通用操作系统,浏览器,Web服务器 |
| 业务价值的上下文(BVC) |
TBD。 |
| 笔记 |
|
| 引用 |
没有引用的记录。 |
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
|
|
| 修改数据 |
应用程序 |
|
|
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
|
|
| 读取数据 |
应用程序 |
|
|
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
|
|
| DoS:不可靠的执行 |
网络 |
|
|
| DoS:不可靠的执行 |
企业 |
|
|
| DoS:资源消耗 |
系统 |
|
|
| DoS:资源消耗 |
应用程序 |
|
|
| DoS:资源消耗 |
网络 |
|
|
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
|
|
| 执行未经授权的代码或命令 |
应用程序 |
|
|
| 执行未经授权的代码或命令 |
网络 |
|
|
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
|
|
| 获得特权/假设的身份 |
应用程序 |
|
|
| 获得特权/假设的身份 |
网络 |
|
|
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
系统 |
|
|
| 旁路保护机制 |
应用程序 |
|
|
| 旁路保护机制 |
网络 |
|
|
| 旁路保护机制 |
企业 |
|
|
| 隐藏活动 |
系统 |
|
|
| 隐藏活动 |
应用程序 |
|
|
| 隐藏活动 |
网络 |
|
|
| 隐藏活动 |
企业 |
|
|
|
