ГлавнаябезопасностьГолосование приложений: демократия в руках технологий

Голосование приложений: демократия в руках технологий

В последние годы растет интерес к использованию онлайн и мобильных технологий для добавления в процедуры голосования. В то же время эксперты по кибербезопасности отмечают, что бумажное голосование является единственным безопасным инструментом голосования.

Голосование-технологии

Теперь исследователи Массачусетского технологического института поднимают еще одну проблему: они говорят, что обнаружили уязвимости безопасности в приложении для голосования, используемом во время выборов 2018 года в Западной Вирджинии. Анализ безопасности приложения, называемый Voatz, выявляет ряд уязвимостей, в том числе возможность для хакеров изменить, остановить или показать, как проголосовал отдельный пользователь. Кроме того, исследователи обнаружили, что использование Voatz внешним партнером для идентификации и проверки избирателей создает потенциальные проблемы с конфиденциальностью для пользователей.

После раскрытия этих уязвимостей в области безопасности исследователи раскрыли свои выводы Департаменту кибербезопасности и инфраструктуры (CISA) Министерства внутренней безопасности. Исследователи работали с командой Бостонского университета / Технологического права Массачусетского технологического института и должностными лицами по обеспечению безопасности выборов в CISA, чтобы гарантировать, что руководители выборов и партнер по программному обеспечению были осведомлены о результатах до публикации расследования. Это включало в себя подготовку письменных резюме выводов и прямые обсуждения с заинтересованными представителями избирательных комиссий по поводу звонков, организованных CISA.

Помимо использования на выборах 2018 года в Западной Вирджинии, приложение использовалось на выборах в Денвере, Орегоне и Юте, а также в демократических конвенциях Массачусетса и Юты 2016 года.

Полученные данные подчеркивают необходимость прозрачности при проектировании систем голосования, считают исследователи.

«Мы все заинтересованы в расширении доступа к голосованию для увеличения явки, но для сохранения доверия к нашей избирательной системе мы должны обеспечить, чтобы системы голосования соответствовали высоким стандартам технической и операционной безопасности, прежде чем их можно будет внедрить», - сказал он. Вайцнер. «Мы не можем экспериментировать с нашей демократией».

«По мнению экспертов по безопасности, безопасные онлайн-выборы сегодня невозможны», - добавил Коппел. «Причина в том, что слабые места в приложениях могут дать оппоненту неоправданное влияние на выборах, а современное программное обеспечение настолько нестабильно, что наличие неизвестных уязвимостей, которые можно использовать, представляет собой очень высокий риск».

Захват результатов

Первоначально исследователи вдохновили Воата на анализ безопасности, основанный на исследованиях Spectre с Рональдом Ривестом, профессором Института MIT. Неха Нарула, директор Инициативы цифрового права MIT, исследует возможность использования систем блокчейн на выборах. По словам исследователей, Voatz утверждает, что использует блокчейн для обеспечения безопасности, но не выпустил ни исходного кода, ни публичной документации о том, как работает его система.

Призрак, который преподает курс самообучения в MIT, основанном Koppel и специализирующийся на программном обеспечении для обратного инжиниринга, обрисовал идею применения обратного инжиниринга Voatz, чтобы лучше понять, как работает его система. Чтобы гарантировать, что они не мешают предстоящим выборам и не выставляют пользовательские файлы, Spectre и Koppel отменили приложение, а затем создали модель сервера Voatz.

голосов технологии

Они обнаружили, что оппонент с удаленным доступом к устройству может изменить или обнаружить голос пользователя, и что сервер, в случае вмешательства, может легко изменить эти голоса. «Не похоже, чтобы протокол приложения пытался проверить [подлинные голоса] через блокчейн», - объясняет Спектер.

"Мы обнаружили, что интернет-провайдер или кто-то из ваших близких, если вы используете незашифрованный Wi-Fi, может определить, как вы голосовали в определенных избирательных группах. «Наиболее агрессивные злонамеренные агенты могут обнаружить, как вы собираетесь голосовать, а затем разорвать соединение только на этом основании».

В дополнение к обнаружению уязвимостей в процессе голосования Voatz, Spectre и Koppel обнаружили, что приложение создает проблемы для конфиденциальности пользователей. Поскольку приложение использует внешнего поставщика для проверки личности избирателя, третья сторона может иметь доступ к фотографии избирателя, данным водительских прав или другим формам идентификации, если платформа поставщика не защищена.

Необходимость большей прозрачности

Призрак и Коппел заявляют, что их выводы указывают на необходимость прозрачности в управлении выборами для обеспечения целостности избирательного процесса. В настоящее время они отмечают, что избирательный процесс в государствах с использованием бумажных бюллетеней разработан таким образом, чтобы быть прозрачным, и что граждане и представители политических партий имеют возможность наблюдать за процессом голосования.

Напротив, Коппель отмечает, что «приложение и инфраструктура Voatz были полностью закрытой инфраструктурой. Мы могли получить доступ только к самому приложению ».

«Я считаю, что такой анализ чрезвычайно важен. В настоящее время предпринимаются попытки сделать голосование более доступным с использованием систем онлайн-голосования и мобильной телефонии. «Проблема здесь в том, что иногда эти системы создаются не людьми, имеющими опыт в обеспечении безопасности систем голосования», - сказал Мэтью Грин, доцент Института информационной безопасности Джонса Хопкинса. В случае с Voatz, добавляет он, «здесь, кажется, много добрых намерений, но в результате отсутствуют ключевые характеристики, которые защищали бы избирателя и честность выборов».

Забегая вперед, исследователи предупреждают, что разработчики программного обеспечения должны доказать, что их системы так же безопасны, как бумага.

«Самая большая проблема - это прозрачность», - говорит Спектер. «Когда у вас есть часть выборов, которая является непрозрачной, невидимой, закрытой и имеет какой-то элемент конфиденциальности, эта часть системы по своей сути является подозрительной и требует аудита».

SecNewshttps://www.secnews.gr
В мире без заборов и стен, которым нужны ворота и окна

ЖИВЫЕ НОВОСТИ