Life Technology

Viviendo La Vida Tecnologica Dia a Dia

Uncategorized

Después de condenar el informe, una aplicación de votación dice que es segura, pero los expertos tienen preguntas

El jueves, investigadores del MIT publicaron un informe perjudicial. estudiar sobre vulnerabilidades en un aplicación de votación "basada en blockchain" llamado Voatz. Descubrieron que los atacantes maliciosos podían penetrar en la aplicación y luego ver, interrumpir la transmisión o incluso alterar las elecciones de los votantes.

A pesar de la naturaleza de nicho de la aplicación (está dirigida a votantes extranjeros y discapacitados) y al tecnicismo del estudio, el New York Times recogido la noticia; la integridad de la votación electrónica está en la mente de todos a raíz del uso desastrosamente fallido de una aplicación de votación en el Caucus de Iowa.

Transmitiendo los hallazgos preocupantes en el Veces ha provocado críticas públicas de la aplicación a través de Internet y la preocupación de los funcionarios públicos por su uso en las elecciones: un condado que planeaba usar la aplicación ya decidió no hacerlo a raíz del informe.

Voatz vehementemente objetos a los hallazgos del estudio, señalando lo que considera fallas graves en la forma en que se realizó. A saber, dice que los investigadores utilizaron una versión obsoleta, de ingeniería inversa y parcialmente teórica de la aplicación y su infraestructura de servidor en lugar de la real. Si hubieran aprovechado el acceso al producto a través del programa de recompensas de errores de Voatz, dijo Voatz, los investigadores habrían encontrado un sistema mucho más seguro que el que encontraron los investigadores.

Los expertos en seguridad no están tan seguros. Incluso con las presuntas deficiencias del estudio, los expertos lo ven como una valiosa contribución para comprender una nueva faceta de la democracia y la tecnología con riesgos extremadamente altos.

"De ninguna manera va a ser perfecto, pero afirma bastante bien que necesitamos un poco más de escrutinio de Voatz", dijo a Mashable Maurice Turner, subdirector del Centro de Democracia y Tecnología. "Y es una buena oportunidad para que Voatz eche otro vistazo y comparta la investigación de seguridad que ya han hecho".

Fundada hace cinco años, Voatz es una plataforma que tiene como objetivo aumentar la participación de los votantes y ayudar a los ciudadanos extranjeros (como el personal militar) a emitir votos. En 2018, llegó a los titulares (incluido en Mashable) cuando West Virginia lo contrató como la primera aplicación de votación "basada en blockchain" o como un pequeño programa piloto.

Su introducción al mundo no fue del todo fácil. Eso ha sido criticado por una falta de transparencia sobre cómo funciona, por fallas estructurales en su sistema de auditoría blockchain, por el uso de software de terceros y por el hecho de que los expertos dicen que blockchain en realidad no es adecuado para los sistemas de votación. Además, desarrolló una relación combativa con la comunidad de seguridad luego de informar a un investigador de seguridad de la Universidad de Michigan ante el FBI como un "actor malicioso".

"Aprendimos que Voatz responde mal a la investigación pública que intenta verificar sus reclamos de seguridad", dijo a Mashable Jacob Hoffman-Andrews, un tecnólogo de alto rango de la Electronic Frontier Foundation. "El enfoque de Voatz para las pruebas de seguridad de terceros plantea serias dudas sobre si se debe confiar en ellos, además de la inseguridad fundamental de cualquier esquema de votación electrónica".

Todo esto llevó a los investigadores del Laboratorio de Ciencias de la Computación e Inteligencia Artificial del MIT a profundizar en Voatz, sin el conocimiento o la cooperación de la compañía. En la introducción del documento, los investigadores citan específicamente el conflicto de Michigan como una razón por la que no se involucraron con la compañía.

Si bien Turner dijo que estaba "sorprendido" de que los investigadores no aprovecharan el acceso al sistema a través del programa de recompensas de errores, ni trabajaron con Voatz, también comprende el ímpetu.

"Soy muy consciente de que Voatz tiene una reputación mixta entre los investigadores de seguridad", dijo Turner. "Pude ver por qué podría haber cierta inquietud al comprometerse con Voatz". Sin embargo, también agregó: "Parece inusual que no hubieran dado un paso adicional para comprometerse".

Harri Hursti, investigador de seguridad y cofundador de Nordic Innovation Labs, lo dijo sin rodeos. Primero, Hursti señaló que existen limitaciones técnicas para el programa de recompensas de errores que hacen que no sea del todo útil para el análisis; Los investigadores también explican su decisión de no acceder al programa en la discusión del documento.

"La elección de evaluar esta aplicación de recompensa por sí sola introduciría amenazas adicionales para la validez, y como las diferencias entre esta versión y las que se han presentado no están claras … Fundamentalmente, la recompensa no proporciona ninguna información útil adicional sobre la infraestructura del servidor de Voatz, ni proporciona ninguna fuente o binario para que el servidor API lo pruebe ".

Dada la supuesta conducta y actitud del pasado de Voatz hacia los investigadores, así como las limitaciones técnicas del programa de recompensas de errores, Hursti considera la táctica que tomaron los investigadores, de ingeniería inversa de la aplicación y simulación de la comunicación del servidor, como las mejores prácticas y sus hallazgos como legítimos. .

"Voatz ha sido muy hostil hacia la investigación de seguridad", dijo Hursti. "La investigación del MIT en mi opinión es legítima. En estas circunstancias, cuando el tema de la investigación no es cooperativo, han hecho un muy buen trabajo".

Hoffman-Andrews del EFF estuvo de acuerdo en que la investigación del MIT se mantiene.

"El informe es sólido", dijo Hoffman-Andrews. "Se basa en las mejores prácticas de seguridad comunes y revela algunas cosas muy preocupantes sobre la aplicación Voatz".

A pesar de la reciente preocupación general por las aplicaciones de votación y un legado de seguridad sobre el pesadilla de votación electrónica, Voatz y otras empresas son soldados en. Debido a esta realidad, Turner considera que ambos lados de esta historia, la aplicación y la investigación, son imperativos.

"Definitivamente hay una necesidad de inversión y desarrollo continuos, porque sin eso, en realidad no podemos responder la pregunta '¿es lo suficientemente bueno como para usarlo en una elección general'", dijo Turner. "Los investigadores de seguridad son una parte fundamental de ese proceso de aprendizaje e intercambio, por lo que, en general, agradezco las investigaciones del MIT por hacer el esfuerzo de publicar el informe, por lo que proveedores como Voatz pueden incorporar estos hallazgos y mejorar sus productos".

Uno solo puede esperar.

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod?
n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n;
n.push=n;n.loaded=!0;n.version=’2.0′;n.queue=[];t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window,
document,’script’,’https://connect.facebook.net/en_US/fbevents.js’);
fbq(‘init’, ‘1453039084979896’);
if (window._geo == ‘GB’) {
fbq(‘init’, ‘322220058389212’);
}

if (window.mashKit) {
mashKit.gdpr.trackerFactory(function() {
fbq(‘track’, “PageView”);
}).render();
}
.

Source link

Deja un comentario

Tema creado por Anders Norén