אפליקציית Voatz ‘Blockchain’ המשמשת בבחירות בארה”ב כוללת בעיות אבטחה רבות, אומר הדיווח

Voatz, החברה המסצ’וסטסית המציגה אפליקציית הצבעה סלולרית המותאמת בבלוקצ’יין, זכתה לביקורת ציבורית על חוסר שקיפות, בין היתר, במיוחד בכל הנוגע לאבטחת נתונים. ועם האיום של התעסקות בבחירות, ההימור גבוה כתמיד.

Voatz שימש בבחירות במערב וירג’יניה; מחוז ג’קסון, אורגון; מחוז אומטילה, אורגון; בחירות מוניציפאליות במחוז יוטה, יוטה; כמו גם בבחירות נגרות ובחירות מוניציפאליות בדנבר, קולורדו.

ביקורת האבטחה הציבורית של חברת צד ג ‘מכובדת שמומחים ביקשו היא כאן סוף סוף. בדצמבר 2019, פילנתרופיות Voatz ו- Tusk, שמימנו את מרבית טייסי ההצבעה הניידים של Voatz, העסיקו את חברת האבטחה Trail of Bits לערוך ביקורת קופסאות לבנות מקיפות..

למרות ש- Voatz לא הצליח לספק backend לבדיקת וקטורי התקפה זדוניים בזמן אמת, ל- Trail of Bits הייתה גישה לכל קוד המקור, כולל שרת הליבה, לקוח אנדרואיד, לקוח iOS וממשק אינטרנט למנהלי מערכת..

דוח הביקורת מקיף וכולל סקירת אבטחה בת 122 עמודים ומסמך בן 78 עמודים הנוגע לשיקולי דוגמנות איומים. הנה סקירה מהירה של החלקים העיקריים.

Voatz לא צריך בלוקצ’יין

הערעור של הצבעה בבלוקצ’יין הוא שמדובר במערכת מבוזרת שאינה מחייבת את המצביעים לסמוך על אף אחד. אבל הבלוקצ’יין בו-וואט משתמש בעצם אינו מתייחס ללקוח הסלולרי. במקום זאת, Voatz החיל את ההצבעות על בלוקצ’יין של Hyperledger Fabric, בו הוא משתמש כ יומן ביקורת – דבר שניתן לעשות באותה קלות באמצעות בסיס נתונים עם יומן ביקורת..

אף על פי שדובר Voatz טען כי Hyperledger “מספק כמה פונקציות ביטחוניות כמו אבטחת ההצבעה המצרפית, המאפשרת ביקורת לאחר הבחירות ומתן שרשרת משמורת לקלפי הדיגיטל תוך שהם עוברים במערכת האקולוגית”, לא ברור כיצד היא תעשה זאת, ו יכולת זו אינה ניכרת בדו”ח.

בקוד Trail of Bits שנבדק לא נעשה שימוש בקוד שרשרת מותאם אישית או בחוזים חכמים. למעשה, הדו”ח קורא:

“כל אימות הנתונים וההיגיון העסקי מבוצעים מחוץ לרשת בבסיס הקוד Scala של שרת הליבה של Voatz. כמה ממצאים בסיכון גבוה היו תוצאה של בעיות אימות נתונים וסגנים מבולבלים בשרת הליבה שיכולים לאפשר לבוחר אחד להתחפש לתפקיד אחר לפני שנגע אפילו בבלוקצ’יין. “

מכיוון שבוחרים אינם מתחברים ישירות לבלוקצ’יין בעצמם, הם אינם יכולים לאמת באופן עצמאי שהקולות משקפים את כוונתם. אך לכל מי שיש לו גישה מנהלתית לשרתים האחוריים של Voatz יש את היכולת “לנקוט שם שם בקולות, לשלול קולות, לשנות קולות ולבטל שבילי ביקורת”.

הדו”ח מצא כי למערכת Voatz אין שום הפחתה לניקוי מילים של מצביעים על סמך הזמן שהוקלטה בקלפי בבלוקצ’יין. בהצהרה, דובר Voatz אמר כי יש לו מערך רשת ניסיוני הפועל בתשתית הקצה המשמשת לניסויים ברמת הרשת, אך ללא כל קוד מקור, והשאלות הנפוצות של Voatz. טוען כי “לאחר שנמסר, כל המידע הוא אנונימי, מנותב באמצעות ‘mixnet’ ומועבר לבלוקצ’יין.” אבל זה היה שקוראים לו מוטל בספק בדו”ח MIT – ועכשיו שוב בביקורת זו.

“לא נראה שיש או אין אזכור למיקסנט בקוד שנמסר ל- Trail of Bits”, נכתב בביקורת. “לשרת הליבה יש את היכולת לנקוט בשם כל תעבורה, כולל פתקי הצבעה.”

Trail of Bits אישר את ממצאי ה- MIT – Voatz חולק עליהם

ב- 13 בפברואר, חוקרי ה- MIT פרסמו את הדו”ח הנ”ל, “ההצבעה מתבצעת לפני הבלוקצ’יין: ניתוח אבטחה של Voatz, אפליקציית ההצבעה באינטרנט הראשונה המשמשת בבחירות הפדרליות בארה”ב, אליה Voatz הגיב עם פוסט בבלוג באותו יום כדי להפריך את מה שכינה “דוח לקוי”, מה שמוביל את חוקרי ה- MIT הודעה שאלות נפוצות עם הבהרות.

מתברר כי ההפרכה של Voatz נכתבה שלושה ימים לאחר ש Trail of Bits אישר את הימצאותן של הפגיעות המתוארות ל- MIT, לאחר שקיבל דוח סיכום אנונימי על הנושאים מהמשרד לביטחון פנים של ארצות הברית. זה מרמז כי Voatz היה מודע לכך שהדוח היה מדויק לפני שהוזיל אותו בפומבי.

הביקורת חולקת גם על חלק מההתנגדויות של Voatz לדוחות חוקרי ה- MIT. Voatz הצהיר כי אפליקציית אנדרואיד שניתחה הייתה בת 27 גרסאות, אך Trail of Bits כתב כי היא “לא זיהתה שינויים רלוונטיים בתחום האבטחה בקוד הקוד” בין גרסת ספטמבר 2019 לאפליקציה בה השתמשו חוקרי ה- MIT שישפיעו באופן מהותי על טענותיהם..

Voatz התמודד גם עם החוקרים שפיתחו שרת מדומה, וכינה אותו “גישה לקויה” ש”בטלת כל טענה בדבר יכולתם לפגוע במערכת הכוללת “. וואץ אף כתב כי פרקטיקה זו “שוללת מידה כלשהי של אמינות מטעם החוקרים.”

אך Trail of Bits טוען כי “פיתוח שרת מדומה במקרים שבהם חיבור לשרת ייצור עלול לגרום לתביעה משפטית הוא נוהג סטנדרטי במחקר פגיעות. זה גם נוהג סטנדרטי בבדיקות תוכנה. ” יתר על כן, הדו”ח מציין כי הממצאים התמקדו בלקוח אנדרואיד, אך לא הסתמכו על ידע מעמיק בשרתי Voatz..

דובר Voatz אומר כי Voatz “מתנגד למתודולוגיה ולגישה של חוקרי ה- MIT”, וכי יש “כמה טעויות בדו”ח”.

“אם המתודולוגיה שלנו הייתה שגויה, התיאוריה הייתה שאנחנו נגיע למסקנות שגויות. עם זאת, כל הפגיעות שמצאנו אושרו בבדיקת האבטחה שלהן. בנוסף, לא נראה שהם מתמודדים עם אף אחד מהם, “אמר מייקל ספקטר, אחד מחוקרי ה- MIT שחיבר את הדו”ח..

ביקורות קודמות לא היו מקיפות

למרות ש- Voatz מציג מספר רב של ביקורות אבטחה, זו הפעם הראשונה שנערכת הערכת קופסאות לבנות, כאשר נותח שרת הליבה והגב האחורי. למרות שלא כל הביקורות הקודמות הן פומביות, Trail of Bits סיכם את כולן.

ביקורת אבטחה קודמת אחת הייתה נערכו באוגוסט 2019 על ידי NCC, עמותה פרטית ופרטית שאינה מעסיקה מומחי אבטחה טכניים. הביקורת התמקדה בשימושיות ולא באבטחה. ביולי 2018, ספק ללא שם ערך ביקורת של קופסה שחורה על לקוחותיה הניידים של Voatz.

באוקטובר 2018, TLDR Security, המכונה כיום ShiftState, ערכה סקירת היגיינת אבטחה רחבה שכללה ארכיטקטורת מערכת, זרימות עבודה של משתמשים ונתונים ותכנון הפחתת איומים, אך לא חיפשה באגים במערכת ולא ביישום בפועל. לאחר מכן ערכה ShiftState ביקורת נוספת בדצמבר 2018, ובדקה האם המערכת פעלה כמתוכנן ופעלה לפי שיטות עבודה מומלצות.

אם כי מנכ”ל ShiftState אנדרה מקגרגור אמר בעבר ש- Voatz “עשה טוב מאוד”, סקירת Trail of Bits של ביקורת ShiftState מצביעה על בעיות עם כניסה מוגבלת, שרתים לא מנוהלים ופתרון תוכנות זדוניות נגד זיפונים של Zimperium שלא הופעל במהלך הפיילוט.

מכיוון שכל ההגנות האנטי-טמפורריות של Voatz למכשירים ניידים מבוססות על Zimperium, זה אומר שהוא לא פעיל שאפשר היה לטפל בהן באופן טריוויאלי, מכיוון של- Voatz אין הגנה נוספת מפני יישומים זדוניים שיכולים לגשת למידע רגיש..

דובר Voatz אמר כי זימפריום לא השתלבה במלואה עד 2019 וכי חלק מהחוקרים מבקשים להשבית אותה לצורכי בדיקה, מה שהם עושים על בסיס כל מקרה לגופו. “Trail of Bits לא יכול היה לאמת באופן עצמאי שהבדיקות הקנייניות נגד זיגוג של Zimperium מאמתות במפורש את ספק האבטחה של Android”, נכתב בדו”ח, וממליץ על בדיקה נוספת למקרה ש- Zimperium יושבת אי פעם, בכוונה או לא.

הביקורת הסופית של ה- DHS, שנערכה באוקטובר 2019, פשוט בחנה את משאבי הענן, ולא את היישום – בין אם יש עדויות לפריצה ובין אם ניתן היה לזהות אם היא מתרחשת.

מעבר למגבלות הערכות האבטחה הקודמות שהציג וואטז מבלי לפרסם פומבית – כמו העובדה שאף אחת מהביקורות לא כללה פגיעות של שרתים ו- back-end – דו”ח Trail of Bits קובע כי כתבי הערכה משאר הערכות האבטחה שנערכו היו מסמכים טכניים. . הדבר מעמיד בסימן שאלה האם נבחרי ציבור מקבלים החלטות על סמך מסמכים שאינם כשירים לקריאה.

וואץ נראה לא מאורגן בפראות

הערכת Trail of Bits נמשכה שבוע שלם מהמתוכנן בתחילה “בשל שילוב של עיכובים בקבלת קוד ונכסים, המורכבות והגודל הבלתי צפויות של המערכת, ומאמץ הדיווח הנלווה.”

Trail of Bits מעולם לא קיבל עותק עבודה של הקוד, מה שאוסר על החברה לבצע בדיקות בשידור חי, כלומר החוקרים היו מוגבלים כמעט לחלוטין לבדיקות סטטיות, מה שחייב אותם לקרוא כמות עצומה של קוד. על פי הדיווח, ל- Voatz יש כל כך הרבה קוד שהוא “דרש מכל מהנדס לנתח, בממוצע, כמעט 3,000 שורות קוד טהורות על פני 35 קבצים ביום להערכה על מנת להשיג כיסוי מינימלי.”

למרות ש- Trail of Bits קיבלו גישה למערכת ה- backend לבדיקה חיה יום לפני שההערכה תוכננה להסתיים, – שלדברי דובר Voatz נבע מביקורת בו זמנית, עיכובים בביקורות ופעילויות מקבילות וכמות מוגבלת של פלטפורמות בדיקה, חברת האבטחה התבקשה שלא לתקוף או לשנות את המקרה באופן שישלול שירות לביקורות מקבילות.

וואץ עשה טעויות טירונים – ולא נראה רציני לגבי תיקונים

Trail of Bits תיאר כמה באגים שעלולים להוביל לצפייה בהצבעות, לחבלה או לניקוי מילים, או שעלולות להטיל ספק בשלימות הבחירות.

מעבר לעובדה שבוחרים אינם יכולים לאמת באופן עצמאי כי קבלת ההצבעה שלהם תקפה או שהקולות הוגדרו כהלכה, עובד בוואץ יכול באופן תיאורטי להכריח את המשתמש להצביע פעמיים, לאפשר להם להצביע פעמיים או לשכפל את קולם ללא ידיעתו על גבי גב. . כמו כן, Voatz משתמש ב- PIN בן שמונה ספרות להצפנת כל הנתונים המקומיים – דבר שעלול להיסדק תוך 15 דקות.

יתר על כן, הדו”ח מצא כי לאפליקציה אין בקרות אבטחה כדי למנוע פגיעה במכשירי Android ללא השגחה. אישורי ה- API הרגישים נשמרו במאגרי git, כלומר כל מי שבחברה שיש לו גישה לקוד – אולי אפילו קבלני משנה – יכול להשתמש או להשתמש לרעה במפתחות סודיים שנחשפו במאגרים..

עובדי Voatz עם גישה למנהלי מערכת יכולים לחפש את הצבעות המצביעים הספציפיות. Voatz משתמש בפרוטוקול לחיצת יד קריפטוגרפית אד-הוק, שבדרך כלל לא מומלץ – מכיוון שהצפנה תוצרת בית מועדת לבאגים, והכי טוב להשתמש בתוכניות הצפנה שנחקרו על ידי חוקרים ונבדקו בעולם האמיתי. SSL (שכבת שקעים מאובטחת) לא הוגדר בצורה מאובטחת לחלוטין, וחסר תכונת מפתח המסייעת ללקוחות לזהות מתי מבוטלת תעודת TLS (Transport Layer Security)..

במקרה אחד, Voatz אפילו חתך והדביק וקטור מפתח ואתחול מתשובת Stack Overflow. חיתוך והדבקה של קוד בדרך כלל לא מתייאש, אפילו בקורסי אבטחת מחשבים ברמת המכללה, מכיוון שאיכות המידע על Stack Overflow משתנה, ואולי קוד טוב אולי לא עובד בסביבה מסוימת. עם זאת, חיתוך והדבקה של מפתח ו- IV הוא גרוע עוד יותר, מכיוון שמשמעותו שהמפתח ו- IV המשמשים להצפנת הנתונים זהים למשהו באינטרנט, למרות שהוא לא אמור להיות ציבורי. דובר Voatz אמר בדוא”ל כי מדובר בקוד בדיקה להדגמה מתוך האפליקציה ו”לא נעשה שימוש בפועל בשום מקרה או בעסקה. “

גם אם מסוכמים, המלצות שביל הביטים אורכות שמונה עמודים. נראה כי וואץ טיפל בשמונה סיכוני ביטחון, טפל בחלקו בשישה נוספים והשאיר 34 לא קבועים. בדרך כלל, לחברות יש תוכנית מקיפה כיצד לתקן סיכונים גבוהים ובינוניים. אכן, דובר Voatz אמר, “אנו מתייחסים ברצינות לכל ממצא, מנתחים כל ממצא מנקודת מבט מעשית, מקצים את ההסתברות לסיכון ואז קובעים את המסלול קדימה”, אמר דובר Voatz בדוא”ל..

“אם הבאג או הנושא ניתנים לניצול כמעט בתרחיש של עולם אמיתי התואם את הטייסים בקנה מידה קטן שאנו עורכים, אנו מתייחסים אליהם מיד אחרת הם זורמים בצינורות הפיתוח הרגילים שלנו בכפוף לסדרי עדיפויות.”

באופן מזעזע, וואט החליט שהוא “מקבל את הסיכון” של רבים מהבאגים הללו, ובעצם מקבל סיכון מטעם המצביעים במקום לבצע את התיקונים שהוצעו מהחברה ששכרה..

פילנתרופיות של טוסק, Voatz ו- Trail of Bits הפנו את Cointelegraph אליהם נפרד בלוג הודעות על הביקורת, ו- Trail of Bits התייחס לדו”ח עצמו.

מאמר זה עודכן בתגובות מאת דובר Voatz.

קשור: Safe Harbor או נזרק לכרישים מאת Voatz?

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map