研究人员在有争议的在线投票系统中发现了16个“次要”漏洞
安全研究人员因在在线投票(电子投票)系统中发现16个低影响力漏洞而获得了奖励,该系统有望在瑞士推出。
今年早些时候,瑞士邮政 - 该国的国家邮政局和负责监督美国在线投票计划的组织 -宣布正在邀请黑客测试其电子投票系统的缺陷。
“公共入侵测试”(PIT)从2月25日至3月24日进行。它模拟了真正的联邦投票,在此期间,Bug Hunters可以下载其加密的投票“卡”,并仔细检查系统的开源代码,以了解漏洞。
电子投票的漏洞赏金计划提供的支出范围从CHF100(100美元)的“非批判性优化可能性”到50,000瑞士法郎($ 50,000)($ 50,000)(50,000美元)的漏洞,这些漏洞提供了潜在的机制来操纵投票而未被发现的机制。
拆分投票
瑞士邮政电子投票坑由位于洛桑的IT公司Scrt SA监督总结报告(PDF)在程序上。
据该公司称,有3186人注册参加了该坑。但是,在这个数字中,只有822个人要求电子投票卡。
根据SCRT的说法,在该计划期间,总共80名参与者提交了173期。这被削减到16个有效的漏洞 - 所有这些漏洞都属于(最低)“最佳实践失败”类别。
这些漏洞 - 包括精心设计的X型http标头注入错误,以及发现脆弱的TLS密码套件和Bootstrap Web框架的过时版本 - 将黑客净化了总计2,000美元。beplay体育能用吗
尽管投票率似乎很低(甚至发现有效的错误数量较低),但斯克尔特说,尽管该公司承认了一些缺点,但对坑锻炼感到满意。
Scrt说:“总的来说,坑是一个精心策划的'Bug Bounty'。”“总体参与是良好的,各种各样的意见表明,许多具有不同能力的研究人员都对该系统进行了研究。”
斯克尔特(Scrt)表示,该坑似乎“正确定义和相关”,但它承认“诸如服务器端投票保密或服务器端投票腐败之类的关键概念上的攻击表面非常有限,因为参与者无法直接访问后端”。
SCRT说,同样值得注意的是,该坑的信誉“可能”“可能是由于与源代码计划的重叠所造成的混乱而遭受的。”
hack早点,经常hack
任何一直跟踪瑞士电子投票计划的人都会很清楚在今年早些时候瑞士邮政的Bug Bounty公告之后引起的争议。
在计划的入侵测试开始之前,该系统的源代码受到了国际研究人员的审查 - 莎拉·杰米·刘易斯(Sarah Jamie Lewis),凡妮莎·蒂格(Vanessa Teague)和奥利维尔·佩雷拉(Olivier Pereira) -发现了三个关键缺陷这可能导致无法检测到的投票操纵,以及其他缺点。
研究人员选择避开电子投票漏洞赏金计划所承诺的任何财务奖励,因此发表了三本白皮书中的第一张,概述了3月12日的脆弱性。
“让我们不要淡化这一点,”刘易斯在Twitter线程当时。“该法规旨在确保全国选举。
“选举安全对民主中权力的分配有直接影响。公众有权了解系统的设计和实施。”
瑞士邮政暂时暂停研究人员披露后其电子投票系统。
试用操作
随着尘埃落定的尘埃锻炼,瑞士邮政发言人杰奎琳·布尔曼(Jacqueline Buehlmann)讨论了瑞士的电子投票的未来。
“瑞士邮政纠正了国家和国际研究人员在源代码中发现的错误,”布尔曼告诉每日swbeplay2018官网ig。
“我们将发布源代码的更正版本。然后,专家可以检查更正。
“我们计划使该系统具有通用性可验证,从2020年开始为瑞士地区(瑞士地区)进行试验。各州决定是否以及何时想向其公民提供电子投票。”
对于安全社区及其他地区的人们来说,电子投票仍然是一个有争议的主题。
支持这项技术的人说,在线投票可以帮助增加选民的“投票率”,尤其是在年轻公民中,同时降低了与当地和国家投票日相关的成本。
但是,对于许多其他人来说,直到我们可以相信电子投票系统的完整性,还有很长的路要走。
“我们不仅担心改变投票,”密码学家布鲁斯·施尼尔(Bruce Schneier)说去年。
“有时会导致广泛的故障,甚至只是在系统中播种不信任就足够了。选举结果不信任或认为是失败的选举。”
