Das MIT war nicht nur ein Prüfungs-Voatz – auch die Heimatschutzbehörde mit weniger Bedenken


Das Department of Homeland Security (DHS) hat laut einem kürzlich freigegebenen Bericht von CoinDesk bei einem Cybersicherheitsaudit des Hauptsitzes des Anbieters von Apps für mobile Abstimmungen in Boston eine Reihe von Sicherheitslücken in der technischen Infrastruktur von Voatz festgestellt.

Der DHS-Bericht, der von einem Hunt and Incident Response Team mit der Cybersecurity and Infrastructure Security Agency (CISA) der Abteilung erstellt wurde, stellte jedoch auch fest, dass Voatz während des einwöchigen Betriebs im vergangenen September keine aktiven Bedrohungen in seinem Netzwerk hatte. Es wurden eine Reihe von Empfehlungen entwickelt, um die Sicherheit von Voatz weiter zu erhöhen. Voatz hat sich seitdem mit diesen Empfehlungen befasst.

Der CISA-Bericht wurde CoinDesk Stunden nach der Veröffentlichung eines technischen Papiers von MIT-Forschern mitgeteilt, in dem eine Reihe schwerwiegender Schwachstellen in der von Medici unterstützten Voatz-App detailliert beschrieben wurden, einschließlich der Behauptungen, dass die App die Identität der Wähler für Gegner offen lässt und dass Stimmzettel geändert werden können.

Der MIT-Bericht, der am Donnerstag von den Doktoranden Michael Specter und James Koppel sowie dem Hauptforschungswissenschaftler Daniel Weitzner veröffentlicht wurde, behauptet weiter, dass die App nur eine begrenzte Transparenz aufweist, eine Behauptung, die auch von einer Reihe von Sicherheitsforschern erhoben wurde.

"Unsere Ergebnisse dienen als konkretes Beispiel für die allgemeine Weisheit gegen Internet-Abstimmungen und für die Bedeutung von Transparenz für die Legitimität von Wahlen", so die MIT-Forscher in dem Bericht.

Das CISA-Audit, das sich weniger auf die App selbst als vielmehr auf das interne Netzwerk und die Server von Voatz konzentriert, kommt jedoch zu einem anderen Ergebnis. Die DHS-Ermittler schrieben, dass das Team zwar einige Probleme festgestellt hat, die künftige Bedenken für die Netzwerke von Voatz aufwerfen könnten, das Team Voatz jedoch insgesamt für seine proaktiven Maßnahmen zur Überwachung potenzieller Bedrohungen lobt.

Die beiden Berichte zeichnen kontrastierende Bilder davon, wie das Unternehmen, dessen App in Pilotprogrammen und Live-Wahlen in West Virginia, Colorado und Utah verwendet wurde, sich der Wahlsicherheit nähert. Darüber hinaus ist mindestens ein Wahlbeamter, der den Rollout der Voatz-App überwacht, der Ansicht, dass der MIT-Studie Daten in ihrer Bewertung fehlen.

Die MIT-Forscher haben zum Zeitpunkt der Drucklegung keine Bitte um Stellungnahme zurückgesandt.

MIT-Ergebnisse

Der MIT-Bericht basiert auf einem Reverse Engineering der Voatz-App und einem neu implementierten „Reinraumserver“, so die Forscher, die nicht mit den Live-Servern von Voatz oder dem angeblichen Blockchain-Backend interagierten.

Sie fanden Datenschutzlücken und eine Fülle potenzieller Angriffsmöglichkeiten in der App. Gegner könnten auf die Wahl der Nutzer abstimmen, den Prüfpfad verfälschen und sogar das ändern, was auf dem Stimmzettel steht, sagten die Forscher.

Die Ergebnisse und Fehler der Forscher konzentrierten sich nicht auf Voatz 'Verwendung einer Blockchain, zumindest teilweise, weil sie keinen Zugriff auf die genehmigte Blockchain hatten, in der Voatz Stimmen speichern und authentifizieren soll. Stattdessen berichten sie, dass die Voatz-App niemals Abstimmungsinformationen an ein „Blockchain-ähnliches System“ übermittelt.

Die Forscher kritisierten die mangelnde Transparenz von Voatz und argumentierten weiter, dass der „Black Box“ -Ansatz des Unternehmens für die öffentliche Dokumentation zusammen mit den Fehlern das Vertrauen der Öffentlichkeit untergraben könnte.

"Die Legitimität der Regierung beruht auf der Kontrolle und Transparenz des demokratischen Prozesses, um sicherzustellen, dass keine Partei oder ein externer Akteur das Ergebnis übermäßig ändern kann", heißt es in dem Bericht.

Letztendlich empfahlen die Forscher gewählten Beamten, die App sofort „aufzugeben“.

"Es bleibt unklar, ob ein reines elektronisches Mobil- oder Internet-Abstimmungssystem die strengen Sicherheitsanforderungen an Wahlsysteme praktisch überwinden kann", sagten sie.

Amelia Powers Gardner, eine Wahlbeamtin aus Utah County, Utah, die die Einführung des Voatz-Systems für behinderte Wähler und im Ausland eingesetzte Servicemitglieder in ihrem County beaufsichtigte, erklärte gegenüber CoinDesk, dass zumindest einige der von den Forschern gefundenen Fehler in der Praxis nicht ausgenutzt werden können.

„[The researchers] konnten diese Behauptungen nicht begründen, da sie nie eine Verbindung zum Voatz-Server herstellen konnten “, sagte Powers Gardner. "Theoretisch behaupten sie also, dass sie diese Dinge möglicherweise konnten, und zwar nur auf der Android-Version, nicht auf der Apple-Version."

Sie sagte, die Bemühungen der MIT-Forscher seien darauf zurückzuführen, "was wäre wenn und vielleicht und vielleicht auch, dass dies offen gesagt nicht der Fall ist" und dass die App seitdem gepatcht wurde.

Für Powers Gardner überwiegen die Vorteile von Voatz bei weitem alle Sicherheitsrisiken. Sie sagte, die Software sei eine weitaus bessere Alternative für ansonsten entrechtete Abstimmungsgruppen als die aktuelle technologische Lösung: E-Mail.

"Obwohl diese Bedenken hinsichtlich des Ladens von Mobilgeräten berechtigt sein können, erreichen sie kein Sicherheitsniveau, das mich veranlasst, die Verwendung der mobilen App überhaupt in Frage zu stellen", sagte sie.

John Sebes, Mitbegründer und Chief Technology Officer des Open Source Election Technology Institute, sagte, dass trotz der Behauptungen von Powers Gardner eine Reihe von Bedenken der Forscher weiterhin bestehen.

Wahlbeamte und Informatiker leben in sehr unterschiedlichen Welten und sehen sich daher möglicherweise nicht auf Augenhöhe, sagte er. Er fügte jedoch hinzu, dass Informatikforscher die Welt eines Wahlbeamten nicht verstehen müssen, um die Behauptungen eines Softwareanbieters beurteilen zu können.

"Wir können Voatz 'Behauptungen, dass neuere Versionen besser waren, nicht bestätigen, aber es ist immer noch so, dass die überprüfte Version einige ziemlich grundlegende Probleme hatte", sagte Sebes.

Als Antwort auf die Behauptungen von Powers Gardner, die Behauptungen der Forscher seien spekulativ oder "Was wäre wenn", sagte Sebes, dies spiegele ein Missverständnis des Wertes dieser Art von Sicherheitsbewertung wider.

Das Ziel ist es, Schwachstellen in der Software zu finden, die es Gegnern ermöglichen könnten, eine erfolgreiche Cyber-Operation durchzuführen, anstatt zu behaupten, dass ein tatsächlicher Angriff stattgefunden hat. Dies ist auch der Rahmen, den die Schlussfolgerung des DHS annimmt, sagte Sebes.

Immer noch elektronisch abstimmen

Voatz selbst stellte den MIT-Bericht in Frage und unterstellte in einer Erklärung, dass die Forscher eine Angstkampagne starteten.

"Es ist klar, dass aus dem theoretischen Charakter des Ansatzes der Forscher … das wahre Ziel der Forscher darin besteht, den Wahlprozess absichtlich zu stören, Zweifel an der Sicherheit unserer Wahlinfrastruktur zu säen und Angst und Verwirrung zu verbreiten", heißt es in der Erklärung sagte.

Die Reaktion des Unternehmens auf den DHS-Bericht war gemessener. Zwar gab es keine schriftliche Erklärung – und ein Sprecher gab keine Bitte um Stellungnahme zurück -, doch die Ermittler der Regierung sagten, Voatz habe die meisten ihrer Empfehlungen umgesetzt.

Dennoch bleibt der DHS-Bericht über die Voatz-App selbst nicht schlüssig.

West Virginia, einer der Staaten, die die App bereitgestellt haben, behauptet, bisher keine Probleme gesehen zu haben.

Mike Queen, ein Sprecher des Außenministers von West Virginia, Mac Warner, sagte, der Pilot des Staates für die Militärwähler in Übersee im Jahr 2018 sei reibungslos verlaufen. Er war jedoch unverbindlich, ob der Staat Voatz weiterhin nutzen würde.

"Sekretär Warner und sein Team werden vor dem 1. März eine Entscheidung über die Technologie treffen, die wir für die Vorwahlen im Mai 2020 vorschreiben werden", sagte er. "Wie wir es von Anfang an getan haben, wird unsere Entscheidung auf den besten verfügbaren Informationen basieren, wobei der Schwerpunkt auf Sicherheit und Zugänglichkeit liegt."

Wie Utahs Powers Gardner sagte Queen, dass potenzielle körperliche Behinderungen oder geografische Lage die Wähler nicht daran hindern sollten, am demokratischen Prozess teilzunehmen.

"Ich habe keine Pflicht gegenüber einem Forscher außerhalb der Stadt, der nicht versteht, wie Wahlen tatsächlich durchgeführt werden", sagte Powers Gardner. "Ich habe die Pflicht, mich für die verfassungsmäßigen Rechte der behinderten Wähler in meiner Gemeinde einzusetzen, und ich werde ihr verfassungsmäßiges Wahlrecht so sicher wie möglich sicherstellen."

Lesen Sie den vollständigen DHS-Bericht unten:

Offenlegung Lesen Mehr

CoinDesk ist der führende Anbieter von Blockchain-Nachrichten und ein Medienunternehmen, das höchste journalistische Standards anstrebt und strenge redaktionelle Richtlinien einhält. CoinDesk ist eine unabhängige Tochtergesellschaft der Digital Currency Group, die in Kryptowährungen und Blockchain-Startups investiert.

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

Werbung: Immobilienmakler HeidelbergMakler Heidelberg

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close