根据CoinDesk获得的最新解密报告,在对移动投票应用程序供应商的波士顿总部进行网络安全审核期间,国土安全部(DHS)在Voatz的技术基础架构中发现了许多安全漏洞。 但是,由搜寻和事件响应小组与该部门的网络安全和基础设施安全局(CISA)进行的DHS报告也确定,在去年9月进行的为期一周的运营中,Voatz的网络没有活动威胁。它提出了一系列建议,以进一步提高Voatz的安全性。此后,沃茨就解决了这些建议。 麻省理工学院研究人员发表的一篇技术论文声称详细说明了由Medici支持的Voatz应用程序中的许多重大漏洞,其中包括指控该应用程序使选民的身份向对手开放并且可以更改选票的几小时后,CISA报告便与CoinDesk分享。 麻省理工学院的报告于周四由研究生Michael Spectre和James Koppel以及首席研究科学家Daniel Weitzner发表,进一步声称该应用程序的透明度有限,许多安全研究人员也提出了这一要求。 麻省理工学院的研究人员在报告中说:“我们的发现是对反对互联网投票的普遍智慧的具体例证,以及透明度对选举合法性的重要性。” 但是,CISA审核的结论有所不同,CISA审核的重点不是应用本身,而更多的是Voatz的内部网络和服务器。国土安全部调查人员写道,尽管他们发现了可能会影响沃茨网络的未来问题,但总体上,该团队“赞扬沃茨采取了积极措施”,以监控潜在威胁。 这两份报告描绘了对比鲜明的图片,显示了该公司的应用已在西弗吉尼亚州,科罗拉多州和犹他州的试点计划和现场选举中使用,如何实现投票安全。此外,至少有一位监督Voatz应用程序部署的选举官员认为,麻省理工学院的研究在评估中缺少数据。 截至发稿时,麻省理工学院的研究人员未回复置评请求。 麻省理工学院的发现 研究人员表示,MIT报告依赖于Voatz应用程序的逆向工程和重新实现的“无尘室”服务器,他们没有与Voatz的实时服务器或其声称的区块链后端进行交互。 他们在应用程序中发现了隐私漏洞和大量潜在的攻击途径。研究人员说,对手可能会推断用户的投票选择,破坏审计线索,甚至改变选票上的内容。 研究人员的发现和缺点并未集中在Voatz对区块链的使用上,至少部分原因是他们没有访问Voatz据说可以在其上存储和验证选票的许可区块链。相反,他们报告说Voatz应用程序从未向任何“类似区块链的系统”提交投票信息。 研究人员批评Voatz缺乏透明度,并进一步指出,该公司对公开文档的“黑匣子”方法可能会与错误相提并论,削弱公众信任。 报告说:“政府的合法性取决于民主进程的审查和透明性,以确保任何政党或外部参与者都不能不适当地改变选举结果。” 最终,研究人员建议民选官员彻底“放弃”该应用程序。 他们说:“目前尚不清楚是否有任何纯电子移动或互联网投票系统能够真正克服选举系统上的严格安全要求。” 但是,犹他州犹他州选举官员阿米莉亚·鲍尔斯·加德纳(Amelia Powers Gardner)监督她的县为在海外部署的残疾选民和服务成员推出了Voatz系统,她告诉CoinDesk,研究人员发现至少有一些错误无法在实践中加以利用。 “[The researchers] 无法证实这些说法,因为它们实际上无法连接到Voatz服务器。” Powers Gardner说。 “因此,从理论上讲,他们声称他们可能已经能够执行这些操作,并且只能在Android版本上执行,而在Apple版本上不能执行。” 她说,麻省理工学院的研究人员的努力来自“坦率地讲,如果可能,甚至可能甚至还没有成功”,并且此应用程序自那时以来已被修补。 对于Powers Gardner而言,Voatz的利益远远超过任何安全隐患。她说,相对于当前的技术解决方案,该软件是对原本没有权利的投票团体的更好的替代方案。 她说:“尽管围绕移动负载的这些担忧可能是正确的,但它们并没有达到使我什至质疑移动应用程序使用情况的安全级别,” 开源选举技术学院联合创始人兼首席技术官John Sebes说,尽管Powers Gardner提出了要求,但许多研究人员的担忧仍然存在。 他说,选举官员和计算机科学家生活在截然不同的世界中,因此可能看不见。但是,他补充说,计算机科学研究人员无需了解选举官员的世界,就能评估软件供应商的主张。 Sebes说:“我们无法证实Voatz声称较新版本更好的说法,但是所检查的版本仍然存在一些相当基本的问题,” 在回应Powers Gardner关于研究人员的说法是投机性的说法时,Sebes说,这反映了对这种安全评估价值的误解。 Sebes说,目标是找到软件中的漏洞,这些漏洞可使对手进行一次成功的网络操作,而不是声称发生了实际的攻击,这也是DHS结论得出的结论。 仍以电子方式投票 沃茨(Vaatz)本身对麻省理工学院(MIT)的报告持怀疑态度,暗示研究人员正着手开展恐惧运动。 声明说:“很明显,从研究人员的方法的理论本质上来说,研究人员的真正目的是故意破坏选举过程,对我们选举基础设施的安全性产生怀疑,并散布恐惧和困惑。”说过。 该公司对国土安全部报告的回应更为严格。尽管没有书面声明-发言人也没有发表评论请求-政府调查人员表示,沃茨已经对他们的大部分建议采取了行动。 尽管如此,DHS报告仍对Voatz应用程序本身尚无定论。 西弗吉尼亚州是部署该应用程序的州之一,声称到目前为止尚未发现任何问题。 西弗吉尼亚州国务卿麦克·沃纳的发言人迈克·皇后说,该州2018年的海外军事选民试点顺利进行。但是,他不怀疑该州是否会继续使用Voatz。 他说:“华纳秘书和他的团队将在3月1日之前就我们将在2020年5月的初选中规定使用的技术做出决定。” “正如我们从一开始就做的那样,我们的决定将基于最佳可用信息,并特别强调安全性和可访问性。” 皇后区说,像犹他州的加德纳的力量一样,任何潜在的身体残障或地理位置都不应阻止选民参与民主进程。 鲍尔斯·加德纳说:“我对不了解选举实际运作方式的外地研究员没有责任。” “我有义务捍卫社区中残疾人选民的宪法权利,我将以我所知道的最安全的方式确保他们的宪法投票权。” 阅读以下完整的DHS报告: —- 原文链接:https://www.coindesk.com/mit-wasnt-only-one-auditing-voatz-homeland-security-did-too-with-fewer-concerns 原文作者:Danny Nelson 编译者/作者:wanbizu AI 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
麻省理工不仅是一名审计专家,国土安全部也没有太多关注
2020-02-14 wanbizu AI 来源:www.coindesk.com
LOADING...
相关阅读:
- 您现在可以使用Kyber在以太坊区块链上交易莱特币2020-08-03
- 特拉维夫证券交易所推出区块链平台2020-08-03
- 币海蓝天:8.3比特币晚间行情分析BTC持续横盘,迟迟不动是否有大动作?2020-08-03
- 第六届世界区块链创新大会暨海南区块链投资洽谈会、国际区块链节全2020-08-03
- 糟糕! 以太坊经典(ETC)的Chain Reorg2020-08-03