5 medidas para fortalecer la tecnología electoral


La maquinaria de votación necesita seguridad a nivel de hardware. Lo que está en juego es lo último, y los atacantes entre los más capaces del mundo.

Parte 2 de una serie de dos partes.

El caucus de Iowa no es la primera vez que la tecnología electoral falla espectacularmente. Como el New York Moments informó, una elección de noviembre de 2019 en el condado de Northampton, Pennsylvania, hizo historia al ser tan desigual que nadie creyó en los resultados. Al ganador serious (después de un recuento de las papeletas de votación) se le acreditó inicialmente con solo 164 de 55,000 votos en la cuenta electrónica. Todavía no está claro si la causa fue un defecto en el components o computer software de votación, o el resultado de un hack.

En la Parte 1 de esta serie, analizamos las vulnerabilidades comunes de las máquinas de votación, los escáneres y el sistema general de votación. En la Parte 2, examinamos cinco medidas concretas para hacer de nuestra tecnología electoral un objetivo más difícil.

Medida 1: Use sistemas de un solo propósito. Menos complejidad significa mejor seguridad. Las máquinas de votación deben ser construidas específicamente, capaces de llenar papeletas, pero nada más. Deben admitir dos funciones clave: votación y gestión segura de dispositivos. Deben emplear un proceso de arranque seguro, ya sea cargando un sistema operativo y una aplicación de votación o cargando un entorno que permita actualizaciones seguras y verificadas. Todos los sistemas operativos y application comerciales estándar deben bloquearse para evitar el acceso a interfaces físicas (por ejemplo, USB), conexiones de pink y otras interfaces.

Medida 2: Construir en defensa en profundidad. Los fabricantes, de todos los puntos finales, no solo los dispositivos de votación, ahora reconocen que se necesita redundancia y múltiples capas de seguridad. La llamada defensa en profundidad ayuda a hacer que la infraestructura de seguridad sea mucho más difícil de atacar porque elimina puntos únicos de falla.

Medida 3: Limitar privilegios. Una herramienta de seguridad crítica, que a menudo se pasa por alto, es minimizar los privilegios. Esto incluye usuarios del sistema, desarrolladores de software y proveedores de components. Los funcionarios electorales deberían poder verificar todo el sistema y asegurarse de que ningún vendedor, empleado o contratista pueda subvertir las elecciones.

Medida 4: Use múltiples sistemas de conteo y verificaciones cruzadas. Los funcionarios electorales y los votantes necesitan múltiples formas de verificar la elección. El equipo electoral debe proporcionar tanto pistas de auditoría electronic como una boleta de papel física, verificable por humanos. Si, por ejemplo, la máquina de votación informa su propio conteo total de votos, el votante recibe una boleta de papel para verificar antes de enviarlo al sistema de conteo y el sistema de conteo informa los totales de cada máquina de votación, el administrador electoral podría comparar tres piezas independientes de datos (de las papeletas físicas, la máquina de votación y el sistema de conteo). Hacer que el usuario verifique dos veces la boleta física ayuda a garantizar que los votos se cuenten según lo previsto por los votantes.

Gráfico de Ives Brant, TrustiPhi

Gráfico de Ives Brant, TrustiPhi

Medida 5: Medidas de seguridad en capas para dispositivos electorales
Para lograr una votación segura, aplique seguridad contra manipulaciones, software program no autorizado y dispositivos que puedan insertar resultados de votación falsos. Exija boletas de papel claramente impresas y solicite a cada votante que revise su boleta cuidadosamente antes de escanear su código. Estas medidas no son infalibles, pero son difíciles de hackear.

Conceptos básicos de seguridad de components electoral
La sólida seguridad basada en components, con cuatro capacidades fundamentales, en las máquinas electorales debería respaldar las soluciones descritas anteriormente.

  • Autenticación
  • Autorización
  • Atestación
  • Resistencia

La buena noticia: estos requisitos para la comunicación segura entre dispositivos se aplican generalmente a todos los dispositivos conectados, y ahora existen tecnologías para proporcionar estas capacidades.

Autenticación: ¿Es usted el dispositivo que dice ser?
Cada dispositivo electoral debe proporcionar evidencia sólida (criptográfica) para confirmar su identificación como la fuente correcta de sus datos. Cualquier máquina que proporcione datos críticos, como diseños de boletas, boletas completas o resultados tabulados, debe autenticarse para verificar que no sea un impostor.

Autorización: ¿Su dispositivo tiene privilegios para hablar conmigo?
Solo a los usuarios autorizados se les debe permitir administrar el equipo electoral, eso es un hecho. Además, cada dispositivo debe tener un rol definido en el sistema standard. Una máquina de votación actualmente autorizada generalmente puede proporcionar datos a un escáner, pero solo en el mismo lugar de votación física. El tabulador central debe aceptar datos de escáneres pero no directamente de máquinas de votación.

Atestación: ¿Cómo sé que no estás comprometido?
La certificación de la integridad del dispositivo es una verificación de que el dispositivo emisor no se ha visto comprometido. Si una máquina de elección ha sido pirateada a nivel de components, o ha sido atacada con malware, debería «entregarse», o no ser capaz de dar fe de que todavía es segura de usar.

Resistencia del hardware: ¿con qué rapidez puede recuperarse un dispositivo de los ataques?
La resiliencia es un método nuevo e importante para abordar los problemas de seguridad de los equipos electorales y en Net de las cosas. Es de gran importancia que los dispositivos puedan recuperarse rápidamente de los ataques. Si un infiltrado compromete un dispositivo, como una máquina de votación o un escáner, la máquina debe recuperarse rápidamente, o continuar funcionando en un «modo seguro» a pesar de la violación.

El resultado de una elección podría cambiarse simplemente apagando un escáner o algunas máquinas de votación en el gran día. Cuando los votantes se mantienen esperando, pueden simplemente darse por vencidos y volver a casa. El dispositivo de elección debe volver a su estado funcional rápidamente. No existe una seguridad perfecta, por lo que la resistencia es esencial.

Donde las naciones hostiles atacarían
Los administradores electorales deben tomar esto en serio. Un ataque contra el hardware electoral, como los sistemas de registro de votantes, o en cualquier parte de la cadena de votación y escrutinio, podría anular una elección. El profesor Steve Bellovin, de la Universidad de Columbia, una autoridad en seguridad electoral, ha enfatizado la amenaza de ataques a la cadena de suministro, señalando que «los atacantes de los estados nacionales tienen los recursos para infiltrarse en los fabricantes de tecnología electoral y comprometer las máquinas de tabulación. «.

Bellovin está específicamente preocupado por el application crítico de conteo de votos, que transmite los resultados de cada distrito electoral a la junta electoral del condado, y puede tener enlaces a los medios de comunicación. «Este program está conectado en red y, por lo tanto, está sujeto a ataques», dice. También le preocupa el computer software de diseño de papeletas, que «se encuentra en las computadoras de los supervisores electorales». El application falsificado puede crear boletas que favorecen a un candidato, confunde a los votantes y hace que la boleta impresa sea difícil de leer y verificar.

La maquinaria de votación necesita seguridad a nivel de components. Lo que está en juego es lo último, y los atacantes entre los más capaces del mundo. La autorización, autenticación y certificación a nivel de components, junto con la resistencia cibernética incorporada, harán que la mayoría de los ataques sean demasiado difíciles de llevar a cabo con éxito. Las verificaciones cruzadas independientes, los procedimientos sólidos y el application de terceros y la verificación de boletas electorales permiten una confianza aún mayor, y se necesita con urgencia. La elección de Pensilvania y el comité de Iowa mostraron la necesidad de mitigar las deficiencias de la tecnología electoral antes de que ocurra un compromiso catastrófico.

Leer parte 1: «¿Cómo podemos hacer que la tecnología electoral sea segura?»

Contenido relacionado:

Ari Singer, CTO de TrustiPhi y arquitecto de seguridad desde hace mucho tiempo con más de 20 años en el espacio informático de confianza, es ex presidente del grupo de trabajo IEEE P1363 y actuó como editor / autor de seguridad de IEEE 802.15.3, IEEE 802.15.4 y EESS # 1. Presidió el Dependable Computing … Ver biografía completa

Más suggestions





Enlace a la noticia unique