El Departamento de Seguridad Nacional (DHS) encontró una serie de vulnerabilidades de seguridad en la infraestructura tecnológica de Voatz durante una auditoría de ciberseguridad de la sede de Boston del proveedor de la aplicación de votación móvil, según un informe recientemente desclasificado obtenido por CoinDesk.
Sin embargo, el informe DHS realizado por un Equipo de Respuesta a Incidentes y Caza con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del departamento también determinó que Voatz no tenía amenazas activas en su red durante la operación de una semana , realizado el pasado mes de septiembre. Desarrolló una serie de recomendaciones para impulsar aún más la seguridad de Voatz. Desde entonces, Voatz ha abordado esas recomendaciones.
El informe CISA fue compartido con CoinDesk horas después de que un documento técnico de investigadores del MIT afirmara para detallar una serie de vulnerabilidades importantes [194590008] en respaldado por Medici La aplicación de Voatz, que incluye acusaciones de que la aplicación deja las identidades de los votantes abiertas a los adversarios y que las papeletas pueden ser alteradas.
El informe MIT publicado el jueves por los estudiantes graduados Michael Specter y James Koppel y el principal investigador Daniel Weitzner, además, alega que la aplicación tiene una transparencia limitada, un reclamo también planteado por varios investigadores de seguridad.
"Nuestros hallazgos sirven como una ilustración concreta de la sabiduría común contra el voto por Internet y de la importancia de la transparencia para la legitimidad de las elecciones", dijeron los investigadores del MIT en el informe.
Sin embargo, la auditoría CISA, que se centra menos en la aplicación en sí y más en la red interna y los servidores de Voatz, llega a una conclusión diferente. Los investigadores del DHS escribieron que si bien encontraron algunos problemas que podrían plantear preocupaciones futuras para las redes de Voatz, en general, el equipo "elogia a Voatz por sus medidas proactivas" en el monitoreo de posibles amenazas.
Los dos informes muestran imágenes contrastantes de cómo la compañía, cuya aplicación se ha utilizado en programas piloto y elecciones en vivo en West Virginia, Colorado y Utah, se acerca a la seguridad del voto. Además, al menos un funcionario electoral que supervisa el lanzamiento de la aplicación Voatz cree que al estudio del MIT le faltan datos en su evaluación.
Los investigadores del MIT no respondieron una solicitud de comentarios al momento de la publicación.
Hallazgos del MIT
El informe del MIT se basa en una ingeniería inversa de la aplicación Voatz y el servidor de "sala limpia" reimplementado, según los investigadores. , que no interactuaron con los servidores en vivo de Voatz o su supuesta cadena de bloques.
Encontraron vulnerabilidades de privacidad y una gran cantidad de posibles vías de ataque en la aplicación. Los adversarios podrían inferir la elección del voto de los usuarios, corromper la pista de auditoría e incluso cambiar lo que apareció en la boleta, dijeron los investigadores.
Los hallazgos y fallas de los investigadores no se centraron en el uso de una cadena de bloques por parte de Voatz, al menos en parte porque no tenían acceso a la cadena de bloques autorizada en la que se dice que Voatz almacena y autentica los votos. En cambio, informan que la aplicación Voatz nunca envía información de voto a ningún "sistema similar a blockchain".
Al criticar la falta de transparencia de Voatz, los investigadores argumentaron que el enfoque de "caja negra" de la compañía para la documentación pública podría, junto con los errores, erosionar la confianza pública.
"La legitimidad del gobierno se basa en el escrutinio y la transparencia de El proceso democrático para asegurar que ningún partido o actor externo pueda alterar indebidamente el resultado ”, dijo el informe.
Finalmente, los investigadores recomendaron que los funcionarios electos "abandonen" la aplicación directamente.
"No está claro si algún sistema de votación electrónico o móvil por Internet puede superar prácticamente los estrictos requisitos de seguridad en los sistemas electorales", dijeron.
Pero Amelia Powers Gardner, una funcionaria electoral del condado de Utah, Utah, que supervisó el despliegue del condado del sistema Voatz para votantes discapacitados y miembros del servicio desplegados en el extranjero, le dijo a CoinDesk que al menos algunos de los errores los investigadores encontrado no puede ser explotado en la práctica.
"[The researchers] no pudieron justificar estas afirmaciones porque nunca pudieron conectarse realmente al servidor Voatz", dijo Powers Gardner. "Entonces, en teoría, afirman que pudieron haber hecho estas cosas, y solo en la versión de Android, no en la versión de Apple".
Dijo que el esfuerzo de los investigadores del MIT proviene de "qué pasaría si, y tal vez, y maybes, que francamente no ha funcionado ", y que la aplicación había sido parcheada desde entonces.
Para Powers Gardner, los beneficios de Voatz superan con creces cualquier riesgo de seguridad. Ella dijo que el software es una alternativa mucho mejor para los grupos de votación privados de sus derechos que la solución tecnológica actual: el correo electrónico.
"Si bien estas preocupaciones acerca de la carga móvil pueden ser válidas, no alcanzan un nivel de seguridad que me haga cuestionar el uso de la aplicación móvil", dijo.
John Sebes, cofundador y director de tecnología del Open Source Election Technology Institute, dijo que algunas de las preocupaciones de los investigadores siguen en pie, a pesar de las afirmaciones de Powers Gardner.
Los funcionarios electorales y los informáticos viven en mundos muy diferentes y, por lo tanto, es posible que no estén de acuerdo, dijo. Sin embargo, agregó que los investigadores en ciencias de la computación no necesitan comprender el mundo de un funcionario electoral para poder evaluar las afirmaciones de un proveedor de software.
"No podemos validar las afirmaciones de Voatz de que las versiones más nuevas eran mejores, pero sigue siendo el caso la versión inspeccionada tenía algunos problemas bastante básicos ", dijo Sebes.
En respuesta a las afirmaciones de Powers Gardner de que las afirmaciones de los investigadores eran especulativas, o" qué pasa si ", Sebes dijo que esto reflejaba un malentendido del valor de este tipo de evaluación de seguridad .
El objetivo es encontrar vulnerabilidades en el software que podrían permitir a los adversarios llevar a cabo una operación cibernética exitosa, en lugar de afirmar que ocurrió un ataque real, que también es el marco que toma la conclusión del DHS, dijo Sebes.
Todavía votando electrónicamente
Voatz en sí mismo estaba en desacuerdo con el informe del MIT, insinuando en una declaración que los investigadores se estaban embarcando en una campaña de miedo.
"Está claro que por la naturaleza teórica del enfoque de los investigadores … que el verdadero objetivo de los investigadores es interrumpir deliberadamente el proceso electoral, sembrar dudas en la seguridad de nuestra infraestructura electoral y difundir el miedo y la confusión ", dijo el comunicado.
La respuesta de la compañía a el informe del DHS fue más medido; Si bien no hubo una declaración escrita, y un portavoz no respondió una solicitud de comentarios, los investigadores del gobierno dijeron que Voatz había tomado medidas sobre la mayoría de sus recomendaciones.
Aún así, el informe del DHS sigue sin ser concluyente sobre la aplicación Voatz en sí.
West Virginia, uno de los estados que desplegó la aplicación, afirma que hasta ahora no ha tenido problemas.
Mike Queen, portavoz del Secretario de Estado de Virginia Occidental Mac Warner, dijo que el piloto 2018 del estado para los votantes militares en el extranjero se activó sin problemas. Sin embargo, no se comprometió en cuanto a si el estado continuaría usando Voatz.
“El Secretario Warner y su equipo tomarán una decisión antes del 1 de marzo sobre la tecnología que prescribiremos para su uso en mayo Elecciones primarias 2020 ”, dijo. "Como lo hemos hecho desde el principio, nuestra decisión se basará en la mejor información disponible con un fuerte énfasis en la seguridad y la accesibilidad".
Al igual que Powers Gardner de Utah, Queen dijo que cualquier posible discapacidad física o ubicación geográfica no debería evitar votantes de participar en el proceso democrático.
"No tengo el deber de un investigador fuera de la ciudad que no entiende cómo se llevan a cabo las elecciones", dijo Powers Gardner. "Tengo el deber de defender los derechos constitucionales de los votantes discapacitados en mi comunidad, y voy a garantizar su derecho constitucional a votar de la manera más segura que sé".
Lea el informe completo del DHS a continuación:
Divulgación Leer Más
Líder en noticias de blockchain, CoinDesk es un medio de comunicación que lucha por los más altos estándares periodísticos y cumple con un estricto conjunto de políticas editoriales . CoinDesk es una subsidiaria operativa independiente de Digital Currency Group, que invierte en criptomonedas y startups de blockchain.
.
[DISPLAY_ULTIMATE_PLUS]
Referencia: https://www.coindesk.com/mit-wasnt-only-one-auditing-voatz-homeland-security-did-too-with-fewer-concerns