MIT encuentra fallas de seguridad masivas con la aplicación de votación blockchain


Los investigadores dicen que los piratas informáticos pueden alterar, detener o exponer cómo un usuario individual ha votado a través de la aplicación Voatz.

Las elecciones de Pensilvania traen de vuelta las papeletas para mejorar la seguridad y la audibilidad
Para aumentar la transparencia y la precisión en las elecciones presidenciales de 2020, Pensilvania reemplazará las máquinas de votación obsoletas con papeletas tradicionales.

Los creadores de la plataforma de votación blockchain Voatz han tenido que
ir a la ofensiva
para abordar las afirmaciones de los investigadores del MIT de que su aplicación es insegura y puede ser hackeada fácilmente.

Los investigadores del MIT lanzaron un largo papel El jueves dijo que los piratas informáticos podrían cambiar los votos a través de la aplicación, que ya se ha utilizado en Oregon, Virginia Occidental, Washington y Utah desde 2018.

"Su análisis de seguridad de la aplicación, llamada Voatz, señala una serie de debilidades, incluida la oportunidad para que los hackers alteren, detengan o expongan cómo ha votado un usuario individual", dijo MIT en un comunicado de prensa.

Además, los investigadores encontraron que el uso de Voatz de un proveedor externo para la identificación y verificación de votantes plantea posibles problemas de privacidad para los usuarios ". el comunicado de prensa del MIT decía.

en un entrada en el blog y llamar con reporteros, Voatz defendió sus prácticas de seguridad y cuestionó las afirmaciones hechas por los investigadores del MIT. La compañía dijo que el trabajo de investigación se basó en una "versión anterior" de la aplicación y que debido a esto, muchas de sus afirmaciones no eran válidas.

"Voatz ha trabajado durante casi cinco años para desarrollar un sistema de balotaje resistente, un sistema creado para responder a amenazas no anticipadas y distribuir actualizaciones en todo el mundo con poca antelación. Incorpora soluciones de otras industrias para abordar problemas de seguridad, identidad, accesibilidad y auditabilidad " la empresa escribió.

El MIT dijo en su comunicado: "Después de descubrir estas vulnerabilidades de seguridad, los investigadores revelaron sus hallazgos a la Agencia de Infraestructura y Seguridad Cibernética (CISA) del Departamento de Seguridad Nacional. Los investigadores, junto con la Clínica de Derecho Tecnológico de la Universidad de Boston / MIT, trabajaron en estrecha coordinación con funcionarios de seguridad electoral dentro de CISA para asegurar que los funcionarios electorales afectados y el vendedor estuvieran al tanto de los hallazgos antes de que la investigación se hiciera pública ".

VER: Redes móviles 5G: una guía interna (PDF gratuito) (TechRepublic Premium)

Michael Specter, un estudiante graduado en el Departamento de Ingeniería Eléctrica y Ciencias de la Computación del MIT (EECS) y miembro de la Iniciativa de Investigación de Políticas de Internet del MIT, y James Koppel, también un estudiante graduado en EECS, describió lo que salió mal con Voatz y cómo descubrieron las vulnerabilidades en su documento, "La balota está rota antes de la cadena de bloques: un análisis de seguridad de Voatz, la primera aplicación de votación por Internet utilizada en las elecciones federales de los Estados Unidos".

Dijeron que inicialmente se inspiraron para investigar Voatz porque otros investigadores del MIT estaban buscando formas de usar blockchain en las elecciones y estaban interesados ​​en cómo la compañía con sede en Boston pudo armar su plataforma.

Voatz no publicó públicamente ningún código fuente o documentación sobre cómo funciona su sistema, por lo que Specter y Koppel diseñaron la aplicación de Voatz.

Dijeron que ambos se alarmaron de inmediato por lo que encontraron. Cibercriminales con acceso remoto a un dispositivo con Voatz podría cambiar fácilmente los votos.

"No parece que el protocolo de la aplicación intente verificar (votos genuinos) con la cadena de bloques de fondo. Quizás lo más alarmante es que encontramos un adversario de red pasivo, como su proveedor de servicios de Internet o alguien cercano a usted si está en Wi-Fi sin cifrar, podría detectar de qué manera votó en algunas configuraciones de la elección ", dijo Specter.

"Peor aún, los atacantes más agresivos podrían detectar de qué manera va a votar y luego detener la conexión basándose solo en eso".

También descubrieron que Voatz estaba utilizando proveedores externos para manejar la verificación de las identificaciones de los votantes, dando a grupos externos acceso a fotos e información sobre las licencias de conducir.

Koppel dijo que no es posible realizar elecciones seguras a través de Internet con base en el consenso de opiniones de expertos en seguridad.

Los dos investigadores elogiaron a Voatz por tratar de hacer que la votación fuera más accesible, pero dijeron que la plataforma debía asegurarse a través de los canales adecuados.

Nada en el comunicado de prensa o estudio del MIT indica que Voatz fue pirateado durante las elecciones intermedias de 2018 en los cuatro estados en los que se utilizó. Pero los investigadores señalaron en el estudio que piratear Voatz estaría "dentro de la capacidad de un actor de estado-nación".

La aplicación para teléfonos inteligentes fue diseñada para ayudar a facilitar el voto de ciertas comunidades y, en esencia, tomar el lugar de los sistemas de votación en ausencia. Voatz permite a las personas votar a través de una aplicación de Android. Oregon, Washington y West Virginia lo usaron para ayudar a los oficiales militares en el extranjero a votar en las elecciones locales mientras que un condado en Utah lo usaba para votantes discapacitados.

Voatz ha sido utilizado por ambas partes, desplegado para la Convención Democrática de Massachusetts de 2016, así como para la Convención Republicana de Utah de 2016.

NBC obtuvo un estudio de Voatz realizado por el Departamento de Seguridad Nacional el año pasado que también encontró una serie de fallas de seguridad. En un comunicado, el Secretario de Estado de West Virginia, Mac Warner, dijo que estaba siguiendo la investigación del MIT y señaló que solo se emitieron alrededor de 200 votos a través de la aplicación en las elecciones de 2018.

"En un esfuerzo por proporcionar seguridad adicional a cualquier plataforma que podamos usar, seguimos recibiendo críticas de la tecnología Voatz al igual que Voatz". El portavoz de Warner, Mike Queen, le dijo a NBC en un correo electrónico.

Los investigadores del MIT no son las únicas personas que tuvieron problemas con Voatz. En noviembre, el senador de Oregón Ron Wyden envió una carta al Pentágono exigiendo al gobierno mire a Voatz y obligarlos a abordar las preocupaciones de seguridad que presenta.

"También estoy muy preocupado por los importantes riesgos de seguridad asociados con la votación por Internet, incluso mediante el uso de aplicaciones basadas en teléfonos inteligentes como Voatz. Un coro de expertos en seguridad cibernética expuso sus preocupaciones en un Informe de la Academia Nacional de Ciencias de 2018", dijo Wyden. escribió, incluyendo una cita del informe que decía que Internet no debería usarse para la devolución de las boletas de mercado.

"Si bien Voatz afirma haber contratado expertos independientes para auditar a la compañía, sus servidores y su aplicación, aún no ha publicado ni publicado los resultados de esas auditorías o cualquier otra evaluación de seguridad cibernética. De hecho, Voatz ni siquiera identificará a sus auditores". Este nivel de secreto apenas inspira confianza ", agregó antes de implorar al Pentágono que realice su propia auditoría de Voatz.

La publicación del blog de Voatz dice que la credibilidad de los investigadores es negada por el hecho de que no tenían ningún acceso real a los servidores de back-end de Voatz y, por lo tanto, no podían probar nada de lo que estaba en el estudio. Voatz también cuestionó la idea de que no fueran transparentes y escribió que la compañía está abierta con "investigadores calificados y colaborativos".

Voatz señaló que las nueve elecciones piloto gubernamentales de la compañía realizadas han involucrado a menos de 600 votantes y no han tenido problemas reportados.

"Está claro que, por la naturaleza teórica del enfoque de los investigadores, la falta de evidencia práctica que respalde sus afirmaciones, su intento deliberado de permanecer en el anonimato antes de la publicación y su prioridad es encontrar la atención de los medios, que el verdadero objetivo de los investigadores es interrumpir deliberadamente el proceso electoral, sembrar dudas en la seguridad de nuestra infraestructura electoral y difundir el miedo y la confusión ".

En una llamada posterior con Voatz El CEO Nimit Sawhney, Larry Moore, vicepresidente senior y Hilary Braseth, vicepresidenta, dijeron que la compañía ha trabajado junto con funcionarios electorales y organizaciones independientes de ciberseguridad para desarrollar un proceso de auditoría posterior a las elecciones.

Moore sugirió que los investigadores del MIT estaban tratando de usar la atención de los medios para detener el trabajo de Voatz.

Sawhney dijo que varias de las afirmaciones hechas en el periódico ya se han solucionado y que están trabajando con el Departamento de Seguridad Nacional para abordar cualquier otra inquietud que pueda tener el gobierno.

"Su afirmación de poder comprometer un dispositivo y luego poder usarlo para conectarse a la red, eso habría sido bloqueado por la protección del lado del servidor. Y definitivamente, hay mucha inteligencia en el sistema que depende del lado del servidor, en la nube, que se perdieron por completo porque solo estaban mirando una pieza aislada del sistema ", dijo Sawhney.

"En lo que respecta a los usuarios de Voatz, no creemos que deberían preocuparse en absoluto por estas vulnerabilidades".

Sawhney continuó diciendo que los investigadores del MIT no pudieron realizar ingeniería inversa de todo el código en la aplicación de Android y que faltan algunas partes en la aplicación de Android en sí, así como una porción significativa de la información de la arquitectura del servidor de Voatz.

Moore también se dirigió el New York Times informa que el condado de Mason, Washington ha decidido no para usar la aplicación en sus elecciones, diciendo que la persona a cargo había sido presionada por funcionarios del gobierno para descartar la aplicación.

Los investigadores del MIT no han respondido a las afirmaciones hechas por los ejecutivos de Voatz, pero tenían muy claro que ninguna aplicación como Voatz debería usarse durante las elecciones en este momento.

"Todos tenemos interés en aumentar el acceso a la boleta electoral, pero para mantener la confianza en nuestro sistema electoral, debemos asegurarnos de que los sistemas de votación cumplan con los altos estándares técnicos y de seguridad de la operación antes de que sean puestos en el campo", dice Weitzner.

"No podemos experimentar con nuestra democracia".

Ver también

screen-shot-2020-02-14-at-1-54-47-pm.png

Voatz combina una aplicación de teléfono inteligente, verificación biométrica y cadena de bloques hiperledger para facilitar la votación a las personas que no pueden llegar físicamente a las urnas.

Imagen: Voatz



Enlace a la noticia original