Домой / Новости Bitcoin / Это был не только один аудит Voatz-национальная безопасность тоже сделала, с меньшим количеством проблем
Это был не только один аудит Voatz-национальная безопасность тоже сделала, с меньшим количеством проблем

Это был не только один аудит Voatz-национальная безопасность тоже сделала, с меньшим количеством проблем

Министерство внутренней безопасности (DHS) обнаружило ряд уязвимостей в технической инфраструктуре Voatz во время аудита кибербезопасности бостонской штаб-квартиры поставщика мобильных голосующих приложений, согласно недавно рассекреченному отчету, полученному CoinDesk.

Тем не менее, отчет DHS, проведенный группой по поиску и реагированию на инциденты с Агентством кибербезопасности и безопасности инфраструктуры департамента (CISA), также определил, что Voatz не имел активных угроз в своей сети во время недельной операции, проведенной в сентябре прошлого года. Он разработал ряд рекомендаций для дальнейшего повышения безопасности Voatz. С тех пор воатц обратился к этим рекомендациям.

Отчет CISA был передан CoinDesk через несколько часов после того, как технический документ исследователей MIT утверждал, что подробно описал ряд основных уязвимостей в приложении Voatz, поддержанном Медичи, включая утверждения о том, что приложение оставляет личности избирателей открытыми для противников и что бюллетени могут быть изменены.

В докладе MIT, опубликованном в четверг аспирантами Майклом Спектером и Джеймсом Коппелом и главным научным сотрудником Даниэлем Вайцнером, далее утверждается, что приложение имеет ограниченную прозрачность, что также вызвано рядом исследователей безопасности.

“Наши выводы служат конкретной иллюстрацией общей мудрости против интернет-голосования и важности прозрачности для легитимности выборов”, – говорится в докладе исследователей MIT.

Однако аудит CISA, который фокусируется не столько на самом приложении, сколько на внутренней сети и серверах Voatz, делает другой вывод. Исследователи DHS написали, что, хотя они обнаружили некоторые проблемы, которые могли бы представлять будущие проблемы для сетей Voatz, в целом команда “высоко оценивает Voatz за их активные меры” в мониторинге потенциальных угроз.

Эти два отчета рисуют контрастные картины того, как компания, чье приложение было использовано в пилотных программах и живых выборах в Западной Вирджинии, Колорадо и Юте, подходит к безопасности голосования. Кроме того, по крайней мере один чиновник, наблюдающий за внедрением приложения Voatz, считает, что в исследовании MIT отсутствуют данные в его оценке.

Исследователи из Массачусетского технологического института не ответили на запрос о комментарии к прессе.

Выводы MIT

Отчет MIT опирается на обратную разработку приложения Voatz и реимплементированный сервер “чистой комнаты”, согласно исследователям, которые не взаимодействовали с живыми серверами Voatz или его предполагаемым блокчейн-бэкэндом.

Они обнаружили уязвимости конфиденциальности и множество потенциальных путей для атаки в приложении. По словам исследователей, противники могут сделать вывод о выборе пользователем голоса, испортить аудиторский след и даже изменить то, что появилось в бюллетене.

Выводы и ошибки исследователей не были сосредоточены на использовании блокчейна Voatz, по крайней мере частично, потому что у них не было доступа к разрешенному блокчейну, на котором Voatz, как говорят, хранит и аутентифицирует голоса. Вместо этого они сообщают, что приложение Voatz никогда не передает информацию о голосовании в какую-либо “блокчейн-подобную систему”.”

Критикуя недостаточную прозрачность Voatz, исследователи далее утверждали, что подход компании “черный ящик” к публичной документации может, в тандеме с ошибками, подорвать общественное доверие.

“Легитимность правительства зависит от тщательного изучения и прозрачности демократического процесса, чтобы гарантировать, что ни одна партия или сторонний субъект не может необоснованно изменить результат”, – говорится в докладе.

В конечном счете, исследователи рекомендовали избранным чиновникам “отказаться” от приложения сразу.

“Остается неясным, может ли какая-либо электронная мобильная или интернет-система голосования практически преодолеть жесткие требования безопасности к избирательным системам”, – заявили они.

Но Амелия Пауэрс Гарднер, избирательный чиновник округа Юта, который контролировал развертывание системы Voatz для инвалидов-избирателей и членов службы, развернутых за рубежом, сказала CoinDesk, что по крайней мере некоторые из ошибок, обнаруженных исследователями, не могут быть использованы на практике.

“[Исследователи] не смогли обосновать эти утверждения, потому что они никогда не могли подключиться к серверу Voatz”, – сказал Пауэрс Гарднер. “Таким образом, теоретически, они утверждают, что они могли бы сделать эти вещи, и только на Android версии, а не на Apple версии.”

Она сказала, что усилия исследователей Массачусетского технологического института исходят из “того, что если, и возможно, и возможно, что откровенно просто не получилось”, и что приложение было исправлено с тех пор.

Для Пауэрса Гарднера выгоды Воатца намного перевешивают любые риски безопасности. Она сказала, что программное обеспечение является гораздо лучшей альтернативой для других бесправных групп избирателей, чем нынешнее технологическое решение: электронная почта.

“Хотя эти опасения по поводу загрузки мобильных устройств могут быть обоснованными, они не поднимаются до уровня безопасности, который заставляет меня даже сомневаться в использовании мобильного приложения”, – сказала она.

Джон себес, соучредитель и главный технический директор Института технологии выборов с открытым исходным кодом, сказал, что ряд проблем исследователей все еще остаются, несмотря на заявления Пауэрса Гарднера.

Избирательные чиновники и компьютерщики живут в очень разных мирах, и поэтому могут не сходиться во взглядах, сказал он. Однако он добавил, что исследователям компьютерных наук не нужно понимать мир чиновника на выборах, чтобы иметь возможность оценить претензии поставщика программного обеспечения.

“Мы не можем подтвердить утверждения Voatz о том, что новые версии были лучше, но это все еще так, что проверенная версия имела некоторые довольно основные проблемы”, – сказал себес.

В ответ на заявления Пауэрса Гарднера о том, что утверждения исследователей были спекулятивными, или “что если”, себес сказал, что это отражает непонимание ценности такого рода оценки безопасности.

Цель состоит в том, чтобы найти уязвимости в программном обеспечении, которые могли бы позволить противникам провести успешную кибероперацию, а не заявлять о фактической атаке, которая также является основой заключения DHS, сказал себес.

Все еще голосует в электронном виде

Сам Voatz не согласился с отчетом MIT, намекая на то, что исследователи начали кампанию страха.

“Из теоретического характера подхода исследователей ясно… что истинная цель исследователей-сознательно нарушить избирательный процесс, посеять сомнения в безопасности нашей избирательной инфраструктуры, посеять страх и смятение”, – говорится в заявлении.

Реакция компании на отчет DHS была более взвешенной; хотя не было никакого письменного заявления – и пресс – секретарь не ответил на запрос о комментариях-правительственные следователи сказали, что Voatz принял меры по большинству их рекомендаций.

Тем не менее, отчет DHS остается неубедительным о самом приложении Voatz.

Западная Вирджиния, один из Штатов, который развернул приложение, утверждает, что до сих пор не видел никаких проблем.

Майк Куин, пресс-секретарь Государственного секретаря Западной Вирджинии Мака Уорнера, сказал, что пилот 2018 года для иностранных военных избирателей прошел без сучка и задоринки. Однако он уклончиво ответил, Будет ли государство продолжать использовать Voatz.

“Госсекретарь Уорнер и его команда примут решение до 1 марта относительно технологии, которую мы назначим для использования на первичных выборах в мае 2020 года”, – сказал он. “Как мы и делали с самого начала, наше решение будет основываться на наилучшей имеющейся информации с сильным акцентом на безопасность и доступность.”

Как и Пауэрс Гарднер из Юты, Куин сказал, что любые потенциальные физические недостатки или географическое положение не должны препятствовать участию избирателей в демократическом процессе.

“У меня нет обязанностей перед исследователем из другого города, который не понимает, как на самом деле проводятся выборы”,-сказал Пауэрс Гарднер. “Я обязан отстаивать конституционные права избирателей-инвалидов в моей общине, и я собираюсь обеспечить их конституционное право голосовать самым безопасным способом, который я знаю.”

Прочитайте полный отчет DHS ниже:

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...

Проверьте также

Нью-йоркские крипто-компании работают удаленно из-за COVID-19

Нью-йоркские крипто-компании работают удаленно из-за COVID-19

Генеральный директор Kadena Уилл Мартино уже думал о том, чтобы покинуть штаб-квартиру своей компании в ...

Добавить комментарий