Il MIT T è stato ONE a controllare Voatz: anche la Homeland Security lo ha fatto, con meno preoccupazioni

CORREZIONE (21 febbraio, 21:50 UTC):A causa di informazioni inesatte fornite dall'ufficio del Segretario di Stato della Virginia Occidentale, una versione precedente di questo articolo descriveva erroneamente il documento in questione come un rapporto DHS declassificato. Si tratta di un riassunto pubblicato da Voatz di un rapporto DHS ancora classificato.

Secondo un rapporto appena declassificato ottenuto da CoinDesk, il Dipartimento della sicurezza interna (DHS) ha scoperto una serie di vulnerabilità di sicurezza nell'infrastruttura tecnica di Voatz durante un audit di sicurezza informatica presso la sede centrale di Boston del fornitore dell'app per il voto mobile.

Tuttavia,il DHSrapporto, condotto da un Hunt and Incident Response Team con la Cybersecurity and Infrastructure Security Agency (CISA) del dipartimento, ha anche determinato che Voatz non aveva minacce attive sulla sua rete durante l'operazione della durata di una settimana, condotta a settembre. Ha sviluppato una serie di raccomandazioni per rafforzare ulteriormente la sicurezza di Voatz. Da allora Voatz ha affrontato tali raccomandazioni.

Il rapporto CISA è stato condiviso con CoinDesk poche ore dopo che un documento tecnico dei ricercatori del MIT ha affermato per dettagliare una serie di vulnerabilità importantinelSostenuto dai MediciL'app di Voatz, comprese le accuse secondo cui l'app lascia l'identità degli elettori esposta agli avversari e che le schede possono essere alterate.

IL Rapporto del MIT, pubblicato giovedì dagli studenti laureati Michael Specter e James Koppel e dal principale ricercatore scientifico Daniel Weitzner, sostiene inoltre che l'app ha una trasparenza limitata, un'affermazione sollevata anche da numerosi ricercatori sulla sicurezza.

"I nostri risultati servono come illustrazione concreta del senso comune contro il voto via Internet e dell'importanza della trasparenza per la legittimità delle elezioni", hanno affermato i ricercatori del MIT nel rapporto.

Tuttavia, l'audit CISA, che si concentra meno sull'app in sé e più sulla rete interna e sui server di Voatz, trae una conclusione diversa. Gli investigatori del DHS hanno scritto che, sebbene abbiano trovato alcuni problemi che potrebbero sollevare preoccupazioni future per le reti di Voatz, nel complesso il team "loda Voatz per le sue misure proattive" nel monitoraggio di potenziali minacce.

I due report dipingono immagini contrastanti di come l'azienda, la cui app è stata utilizzata in programmi pilota ed elezioni in diretta in West Virginia, Colorado e Utah, affronta la sicurezza del voto. Inoltre, almeno ONE funzionario elettorale che supervisiona il lancio dell'app Voatz ritiene che lo studio del MIT manchi di dati nella sua valutazione.

Al momento in cui andiamo in stampa, i ricercatori del MIT non hanno risposto alla Request di commento.

Risultati del MIT

Secondo i ricercatori, che non hanno interagito con i server live di Voatz o con il suo presunto back-end blockchain, il rapporto del MIT si basa su un reverse engineering dell'app Voatz e sul server "clean room" reimplementato.

Hanno trovato vulnerabilità Privacy e una serie di potenziali vie di attacco nell'app. Gli avversari potrebbero dedurre la scelta di voto dell'utente, corrompere la traccia di controllo e persino modificare ciò che è apparso sulla scheda, hanno affermato i ricercatori.

Le scoperte e gli errori dei ricercatori non si sono concentrati sull'uso di una blockchain da parte di Voatz, almeno in parte perché non avevano accesso alla blockchain autorizzata su cui si dice che Voatz memorizzi e autentichi i voti. Invece, segnalano che l'app Voatz non invia mai informazioni sui voti a nessun "sistema simile a una blockchain".

Criticando la mancanza di trasparenza di Voatz, i ricercatori hanno inoltre sostenuto che l’approccio “scatola nera” dell’azienda alla documentazione pubblica potrebbe, insieme ai bug, erodere la fiducia del pubblico.

"La legittimità del governo si basa sul controllo e sulla trasparenza del processo democratico per garantire che nessun partito o attore esterno possa alterare indebitamente il risultato", afferma il rapporto.

Alla fine, i ricercatori hanno raccomandato ai rappresentanti eletti di “abbandonare” del tutto l’app.

"Non è ancora chiaro se un sistema di voto elettronico, basato esclusivamente su dispositivi mobili o su Internet, possa effettivamente superare i severi requisiti di sicurezza dei sistemi elettorali", hanno affermato.

Ma Amelia Powers Gardner, un revisore dei conti elettorale della contea di Utah, nello Utah, che l'ha supervisionatalancio della contea del sistema Voatz per gli elettori disabili e i militari in servizio all'estero, ha dichiarato a CoinDesk che almeno alcuni dei bug trovati dai ricercatori non possono essere sfruttati nella pratica.

"[I ricercatori] T sono stati in grado di convalidare queste affermazioni perché non sono mai stati in grado di connettersi effettivamente al server Voatz", ha affermato Powers Gardner. "Quindi in teoria affermano che potrebbero essere stati in grado di fare queste cose, e solo sulla versione Android, non su quella Apple".

Ha affermato che gli sforzi dei ricercatori del MIT derivano da "cosa succederebbe se, forse e forse che, francamente, T hanno ancora funzionato" e che nel frattempo l'app è stata corretta.

Per Powers Gardner, i vantaggi di Voatz superano di gran lunga qualsiasi rischio per la sicurezza. Ha affermato che il software è un'alternativa di gran lunga migliore per gruppi di voto altrimenti esclusi rispetto all'attuale soluzione tecnologica: la posta elettronica.

"Sebbene queste preoccupazioni relative al caricamento su dispositivi mobili possano essere valide, T raggiungono un livello di sicurezza tale da farmi mettere in dubbio l'utilizzo dell'app per dispositivi mobili", ha affermato.

John Sebes, co-fondatore e direttore Tecnologie dell'Open Source Election Tecnologie Institute, ha affermato che molte delle preoccupazioni dei ricercatori permangono, nonostante le affermazioni di Powers Gardner.

Funzionari elettorali e informatici vivono in mondi molto diversi e quindi potrebbero non essere d'accordo, ha detto. Tuttavia, ha aggiunto, i ricercatori informatici non hanno bisogno di comprendere il mondo di un funzionario elettorale per poter valutare le affermazioni di un fornitore di software.

"T possiamo convalidare le affermazioni di Voatz secondo cui le versioni più recenti erano migliori, ma resta il fatto che la versione esaminata presentava alcuni problemi piuttosto basilari", ha affermato Sebes.

In risposta alle affermazioni di Powers Gardner secondo cui le affermazioni dei ricercatori erano speculative o "cosa succederebbe se", Sebes ha affermato che ciò rifletteva un malinteso sul valore di questo tipo di valutazione della sicurezza.

L'obiettivo è trovare vulnerabilità nel software che potrebbero consentire agli avversari di condurre un'operazione informatica di successo, piuttosto che affermare che si è verificato un attacco reale, ha affermato Sebes.

Si continua a votare elettronicamente

Lo stesso Voatz ha contestato il rapporto del MIT, insinuandoin una dichiarazioneche i ricercatori stavano lanciando una campagna di paura.

"È chiaro che dalla natura teorica dell'approccio dei ricercatori... il vero obiettivo dei ricercatori è quello di interrompere deliberatamente il processo elettorale, di seminare dubbi sulla sicurezza della nostra infrastruttura elettorale e di diffondere paura e confusione", si legge nella dichiarazione.

La risposta dell'azienda al rapporto del DHS è stata più moderata; nonostante non vi sia stata alcuna dichiarazione scritta (e un portavoce non ha risposto alla Request di commento), gli investigatori governativi hanno affermato che Voatz ha preso provvedimenti in merito alla maggior parte delle loro raccomandazioni.

Tuttavia, il rapporto del DHS non è ancora conclusivo riguardo all'app Voatz.

La Virginia Occidentale, ONE degli stati che ha utilizzato l'app, afferma di non aver riscontrato finora alcun problema.

Mike Queen, portavoce del Segretario di Stato della Virginia Occidentale Mac Warner, ha affermato che lo statoPilota 2018per gli elettori militari all'estero è andato liscio come l'olio. Tuttavia,non si è impegnatose lo Stato avrebbe continuato a utilizzare Voatz.

"Il Segretario Warner e il suo team prenderanno una decisione prima del 1° marzo in merito alla Tecnologie che prescriveremo per l'uso nelle elezioni primarie di maggio 2020", ha affermato. "Come abbiamo fatto fin dall'inizio, la nostra decisione si baserà sulle migliori informazioni disponibili, con una forte enfasi sulla sicurezza e l'accessibilità".

Come Powers Gardner dello Utah, Queen ha affermato che eventuali disabilità fisiche o posizione geografica non dovrebbero impedire agli elettori di partecipare al processo democratico.

"T ho alcun dovere nei confronti di un ricercatore fuori città che T capisce come si gestiscono realmente le elezioni", ha affermato Powers Gardner. "Ho il dovere di difendere i diritti costituzionali degli elettori disabili nella mia comunità e garantirò il loro diritto costituzionale a votare nel modo più sicuro che conosco".

Leggi il rapporto completo del DHS qui sotto: