入侵投票机的邀请

最畅销的投票机正邀请黑客四处搜寻安全漏洞。

美国最大的投票机销售商终于同意与“红队”(专门调查安全漏洞的黑客专家)合作。

计划:

在8月6日举行的黑帽安全会议上,选举系统与软件有限责任公司(ES&S)宣布,他们将与安全公司Synack合作,允许对其投票技术的最新型号进行“渗透测试”。

这两家公司将合作安排在ES&S的电子投票簿等设备上进行专业黑客攻击,官员们用它来管理选民登记数据。这样做可以帮助ES&S了解安全风险和漏洞,以便在黑客攻击之前修复它们。

他们还宣布,将对新产品和仍在开发中的产品进行众包渗透测试,并使黑客更容易报告测试结果,而不会冒法律后果的风险。

“有消息说我们是认真的。因为黑客要入侵,研究人员要研究。”ES&S的克里斯·沃拉钦,ES&S系统安全副总裁兼首席信息安全官,有线报道。

背景故事:

包括ES&S在内的选举设备制造商一直抵制让外部专业黑客测试他们的系统。

在过去的几年里,Defcon安全会议主办了“投票村”,黑客在这里建立几十年来一直困扰着投票机的漏洞。但选举设备公司辩称,这样的场景是不现实的,并不代表现实世界的投票情况,在这种情况下,额外的保护措施已经到位,让黑客入侵投票设备变得不可思议。为黑客提供畅通无阻的“暗箱操作”是一种180度的态度转变。

Synack的首席技术官马克·库尔说:“在这段历史上,有很多不好的方面,但我认为这是一个积极的发展,告诉连线。”我们要做的是让这些选举技术供应商以更开放的方式与研究人员合作,并认识到安全研究人员可以为发现可能被我们的对手利用的漏洞的过程增加很多价值。”

为什么这很重要:

离激烈的选举只有几个月的时间了,人们希望自己的选票能算数。但人们对选举安全的担忧比比皆是,一些人说,电子投票机正等着被黑客入侵。政客调查调查发现,在14个州,数百个县在上一次总统选举期间使用了无纸化投票机,其中大多数县计划今年也使用无纸化投票机。那么,谁来确保选票的安全呢?

有些人会对宽松的古塞规定感到惊讶。

没有关于投票技术供应商的联邦法规,只有州法规。当涉及到要求供应商出示网络安全计划或遵守安全标准时,国家拥有一切权力。这个自愿执行标准由美国国家标准与技术研究所和选举援助委员会创建的这项技术不需要,除非各州选择采用。

美国进步中心发表了一份报告报告关于2018年的选举安全,该报告得出结论说,所有州“至少已采取一些措施,在选举管理中提供安全。”然而,CAP认为33个州的选举后审计程序不令人满意,而10个州没有向官员提供网络安全培训,32个州允许经常缺席的选民以电子方式投票——安全专家认为这种做法不安全。换言之:存在的漏洞使一些选票容易受到黑客攻击。

ES&S并不是唯一一家采取措施增加第三方调查的公司。第二大供应商多米尼克投票系统公司(Dominion Voting Systems Corp.)的发言人凯•史汀森(Kay Stimson)也在起草“漏洞披露”政策告诉《华尔街日报》。Hart InterCivic公司还表示,他们正在扩大漏洞测试,并与国土安全部合作。

今年,超过半数的美国选民将在ES&S的投票机上投票。因为他们是美国顶级的投票设备制造商,所以他们也影响着行业标准——传统上,行业标准一直拒绝向四处寻找窃听器的黑客提供开放的访问权限。这种合作可能标志着该行业朝着采用更多安全研究方向的重大转变。

“这是一个很大的变化,”瓦拉钦说告诉连线。”鉴于我们所处的时代和对选举安全的关注,ES&S一段时间以来一直在努力与安全研究人员合作,第一,提高我们设备和软件的安全性,第二,提高对选举安全的认识。”

上一个
量子黑客
订阅自由思考伟大的故事