El MIT no Era Sólo Una Auditoría Voatz – la Seguridad de la Patria También, Con Menos Preocupaciones

DHS de ciberseguridad de la rama auditados Voatz interna de redes y servidores, encontrando poco de que preocuparte, en marcado contraste con el MIT informe publicado el jueves. (Imagen a través de Mark Van Scyoc / Shutterstock)

Danny NelsonNikhilesh DeBenjamin Poderes

El MIT no Era Sólo Una Auditoría Voatz – la Seguridad de la Patria También, Con Menos Preocupaciones

El Departamento de Seguridad Nacional (DHS, en inglés) encontró una serie de vulnerabilidades de seguridad en Voatz tecnológico de la infraestructura durante un ciberseguridad de la auditoría de los móviles de votación de la aplicación del proveedor de Boston de la sede, de acuerdo a un recién desclasificados informe obtenido por CoinDesk.

Sin embargo, el DHS informe, realizado por un Caza y el Equipo de Respuesta a Incidentes con el departamento de Ciberseguridad y Seguridad de la Infraestructura de la Agencia (CISA) también se determinó Voatz no tenía amenazas activas en su red durante la semana que duró la operación, llevada a cabo el pasado mes de septiembre. Se desarrolló una serie de recomendaciones para reforzar la Voatz de seguridad. Voatz desde entonces ha abordado esas recomendaciones.

El CISA informe fue compartida con CoinDesk horas después de que un documento técnico por el MIT, los investigadores afirmaron en detalle una serie de importantes vulnerabilidades en la Medici-copia de Voatz de la aplicación, incluyendo acusaciones de que la aplicación de las hojas de los votantes identidades abiertas a los adversarios y que las boletas pueden ser alterados.

El MIT informe, publicado el jueves por estudiantes de posgrado Michael Specter y James Koppel y director científico de investigación de Daniel Weitzner, además alega que la aplicación se ha limitado la transparencia, una reivindicación planteada por un número de investigadores de seguridad.

«Nuestros hallazgos sirven como una muestra concreta de la sabiduría común en contra de la votación por Internet, y de la importancia de la transparencia de la legitimidad de las elecciones,» los investigadores del MIT, dijo en el informe.

Sin embargo, la CISA de auditoría, que se centra menos en la misma aplicación, y más en Voatz interna de la red y los servidores, se saca una conclusión diferente. El DHS investigadores escribió que, si bien se encuentran algunas de las cuestiones que se podrían plantear futuros problemas a Voatz redes, en general, el equipo de «felicita a Voatz para sus medidas proactivas» en la vigilancia de los potenciales amenazas.

Los dos informes de la pintura de contraste de imágenes de cómo la empresa, cuya aplicación ha sido utilizada en programas piloto y vivir de las elecciones en el Oeste de Virginia, Colorado y Utah, enfoques de votación de seguridad. Además, al menos un funcionario de elección supervisión de la Voatz aplicación de implementación cree que el MIT estudio es la falta de datos en su evaluación.

El MIT, los investigadores no devolver una solicitud de comentarios por parte de la prensa.

MIT resultados

El MIT informe se basa en una ingeniería inversa de la Voatz aplicación y reimplantado «sala limpia» del servidor, de acuerdo a los investigadores, que no interactúan con Voatz en vivo de los servidores o sus supuestos blockchain back-end.

Encontraron privacidad de vulnerabilidades y una gran cantidad de posibles vías de ataque en la aplicación. Adversarios podría inferir de usuario de voto de la elección, la corrupción de la pista de auditoría e incluso cambiar lo que aparecía en la boleta electoral, dijeron los investigadores.

Los resultados de los investigadores y de las faltas no se centra en Voatz el uso de una blockchain, al menos en parte debido a que no tienen acceso a la permitan blockchain en el que Voatz se dijo para almacenar y autenticar los votos. En su lugar, ellos reportan que el Voatz app nunca se somete a votación la información a cualquier «blockchain-como sistema.»

Criticar Voatz la falta de transparencia, los investigadores argumentaron que la empresa de la «caja negra» en el enfoque de la documentación pública, podría, en tándem con los errores, erosionan la confianza del público.

«La legitimidad del gobierno se basa en el escrutinio y la transparencia del proceso democrático para garantizar que ningún partido o actor externo puede alterar indebidamente el resultado», dice el informe.

En última instancia, los investigadores recomendaron funcionarios electos «abandonar» la aplicación directamente.

«No queda claro si alguno de electrónica móvil o de Internet sistema de votación prácticamente puede superar los estrictos requisitos de seguridad en los sistemas electorales,» dijeron.

Pero Amelia Poderes Gardner, un Condado de Utah, Utah funcionario electoral que ha supervisado su condado del despliegue de la Voatz sistema de movilidad de los votantes y miembros de los servicios desplegados en el extranjero, dijo a CoinDesk que al menos algunos de los errores de los investigadores hallaron que no pueden ser explotados en la práctica.

«[Los investigadores] no fueron capaces de fundamentar estas afirmaciones, porque nunca fueron capaces de conectarse a la Voatz servidor,» Poderes Gardner dijo. «Así que en teoría, afirman que pueden haber sido capaz de hacer estas cosas, y sólo en la versión de Android, no la versión para Apple.»

Ella dijo que el MIT de los investigadores, el esfuerzo viene de «qué pasaría si, y tal vez, y de un «quizás», que, francamente, todavía no se ha desarrollado,» y que la aplicación había sido revisado desde entonces.

Para Potencias de Gardner, Voatz los beneficios superan los riesgos de seguridad. Ella dijo que el software es una mejor alternativa para lo contrario privados de sus derechos de voto de los grupos de la actual solución tecnológica: correo electrónico.

«Mientras que estas preocupaciones de los móviles de carga puede ser válida, que no se elevan a un nivel de seguridad que me hace incluso cuestionan el uso de la aplicación móvil», dijo.

Juan Sebes, co-fundador y Director de Tecnología de código Fuente Abierto en la Elección de la Tecnología de Instituto, dijo que un número de los investigadores’ preocupaciones siguen en pie, a pesar de los Poderes de Gardner reclamaciones.

Los funcionarios electorales y los científicos de la computación viven en mundos muy distintos, y por lo tanto no puede ver a los ojos, dijo. Sin embargo, añadió que el equipo de investigadores de la ciencia no necesita de la comprensión de un funcionario de elección del mundo para ser capaz de evaluar un proveedor de software de reclamos.

«No podemos validar Voatz afirmaciones de que las versiones más recientes fueron mejores, pero es aún el caso de que la versión inspeccionado había algunos bastante cuestiones básicas,» Sebes, dijo.

En respuesta a las Facultades de Gardner afirma que los investigadores reclamos eran especulativas, o «qué pasaría si,» Sebes dijo que esto refleja una falta de comprensión de que el valor de este tipo de evaluación de seguridad.

El objetivo es encontrar vulnerabilidades en el software que podría permitir a los adversarios para llevar a cabo una exitosa operación cibernética, en lugar de reclamar un ataque real ocurrido, que es también el encuadre, el DHS conclusión toma, Sebes, dijo.

Todavía votación electrónica

Voatz sí tuvo problema con el MIT informe, insinuando en un comunicado que los investigadores estaban embarcando en una campaña de miedo.

«Es claro que a partir de la naturaleza teórica de los investigadores’ enfoque… que el de los investigadores, el verdadero objetivo es deliberadamente interrumpir el proceso de elección, de sembrar la duda en la seguridad de nuestra elección, la infraestructura, y para difundir el miedo y la confusión», dijo el comunicado.

La respuesta de la empresa a la DHS informe fue más mesurado; mientras que no hubo ninguna declaración por escrito – y un portavoz de la no devolución de una solicitud de comentarios – el gobierno de los investigadores dijeron que Voatz había tomado la acción en la mayoría de sus recomendaciones.

Aún así, el DHS informe no es concluyente acerca de la Voatz la propia aplicación.

West Virginia, uno de los estados que implementan la aplicación, las reclamaciones se ha visto ningún problema hasta el momento.

Mike Reina, un portavoz de West Virginia el Secretario de Estado, Mac Warner, dijo que el estado del 2018 piloto de ultramar votantes militares fue sin un tirón. Sin embargo, fue evasiva en cuanto a si el estado continuaría usando Voatz.

«El secretario de Warner y su equipo tomará una decisión antes del 1 de Marzo con respecto a la tecnología que vamos a prescribir para el uso en el número de Mayo De 2020 Elecciones Primarias», dijo. «Como lo hemos hecho desde el inicio, nuestra decisión estará basada en la mejor información disponible con un fuerte énfasis en la seguridad y la accesibilidad.»

Como Utah Poderes Gardner, la Reina dijo que cualquier potencial discapacidad física o ubicación geográfica no debe impedir a los votantes que participan en el proceso democrático.

«No tengo el deber de un fuera-de-ciudad investigador que no entiende cómo las elecciones son realmente ejecute,» Poderes Gardner dijo. «Tengo el deber de defender los derechos constitucionales de los discapacitados a los votantes en mi comunidad, y me voy a asegurar su derecho constitucional al voto en la forma más segura de que sé cómo.»

Leer el informe del DHS a continuación:

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

725Más publicaciones en Comercio de criptomonedas categoría
Recomendado para ti
Token de Axie Infinity y NEM encabezan el top semanal en un mercado que sigue rojo

La blockchain de NEM se usa en espacio de prueba de Colombia y sube más...