Sobre la inseguridad del código hash de las máquinas de votación de ES&S


Sobre la inseguridad del código hash de las máquinas de votación de ES&S

Andrew Appel y Susan Greenhalgh tienen un entrada en el web site sobre la inseguridad del sistema de autenticación de computer software de ES&S:

Resulta que ES&S tiene errores en su verificador de código hash: si falta por completo el «código hash de referencia», dirá «sí, jefe, todo está bien» en lugar de informar un mistake. Es simultáneamente impactante y nada sorprendente que el verificador de código hash de ES&S podría contener tal mistake y que pasaría desapercibido para el proceso de certificación federal de la Comisión de Asistencia Electoral de EE. UU. No es sorprendente porque, naturalmente, las pruebas tienden a centrarse en «¿el sistema funciona correctamente cuando se utiliza según lo previsto?» El uso del sistema de formas no deseadas (que es lo que harían los piratas informáticos) no es algo que nadie notará.

También:

Otra joya en el informe del Sr. Mechler se encuentra en la Sección 7.1, en la que revela que la prueba de aceptación de los sistemas de votación la realiza el vendedor, no por parte del cliente. La prueba de aceptación es el proceso mediante el cual un cliente verifica un producto entregado para asegurarse de que cumple con los requisitos. Hacer que el proveedor realice pruebas de aceptación prácticamente frustra el propósito.

Publicado el 16 de marzo de 2021 a las 6:36 h. •
1 comentarios

Foto de la barra lateral de Bruce Schneier por Joe MacInnis.



Enlace a la noticia original