Yhdysvaltain vaaleissa käytetyllä Voatz ’Blockchain’ -sovelluksella on lukuisia turvallisuusongelmia, sanoo Raportti

Massachusettsissa toimiva Voatz, joka mainostaa blockchain-yhteensopivaa mobiiliäänestyssovellusta, on saanut julkista kritiikkiä muun muassa avoimuuden puutteesta erityisesti tietoturvan suhteen. Vaalien väärentämisen uhalla panokset ovat yhtä korkeat kuin koskaan.

Voatzia on käytetty Länsi-Virginian vaaleissa; Jackson County, Oregon; Umatilla County, Oregon; kunnallisvaalit Utahin piirikunnassa Utahissa; samoin kuin vaalien ja kunnallisvaaleissa Denverissä, Coloradossa.

Asiantuntijoiden pyytämä arvostetun kolmannen osapuolen yrityksen suorittama julkisen turvallisuuden tarkastus on vihdoin täällä. Joulukuussa 2019 Voatz ja Tusk Philanthropies, jotka rahoittivat suurimman osan Voatzin liikkuvista äänestyslentäjistä, palkkivat turvallisuusyrityksen Trail of Bits suorittamaan kattavan valkoisen laatikon tarkastuksen.

Vaikka Voatz ei toimittanut taustatietoa haitallisten hyökkäysvektoreiden live-testaukseen, Trail of Bitsillä oli pääsy kaikkiin lähdekoodeihin, mukaan lukien ydinpalvelin, Android-asiakas, iOS-asiakas ja järjestelmänvalvojan verkkoliitäntä.

Tarkastusraportti on kattava, ja se sisältää 122 sivun tietoturvatarkastuksen ja 78 sivun asiakirjan uhkamallinnusnäkökohdista. Tässä on pääosien nopea kuvaus.

Voatz ei tarvitse blockchainia

Blockchain-äänestyksen vetovoima on, että se on hajautettu järjestelmä, joka ei vaadi äänestäjiä luottamaan ketään. Voatzin käyttämä estoketju ei kuitenkaan ulotu mobiiliasiakkaalle. Sen sijaan Voatz on soveltanut ääniä Hyperledger Fabric -lohkoketjuun, jota se käyttää tarkastuslokina – mikä on yhtä helppoa käyttämällä tietokantaa tarkastuslokin kanssa.

Vaikka Voatzin edustaja väitti, että Hyperledger “tarjoaa useita turvallisuustoimintoja, kuten koko äänten turvaamisen, vaalien jälkeisen tilintarkastuksen mahdollistamisen ja digitaalisten äänestyslippujen säilytysketjun tarjoamisen ekosysteemin läpi”, on epäselvää, miten se tekisi niin tämä ominaisuus ei näy raportissa.

Tarkastettu koodi Trail of Bits ei käyttänyt mukautettua ketjukoodia tai älykkäitä sopimuksia. Itse asiassa raportti kuuluu:

”Kaikki tietojen vahvistus ja liiketoimintalogiikka suoritetaan ketjun ulkopuolella Voatz Core Serverin Scala-kooditietokannassa. Useat korkean riskin havainnot olivat seurausta tietojen validointiongelmista ja ydinpalvelimen sekavista varajäsenistä, jotka antoivat yhden äänestäjän naamioida toisena ennen kuin edes kosketti lohkoketjua. “

Koska äänestäjät eivät muodosta yhteyttä suoraan lohkoketjuun, he eivät voi itsenäisesti varmistaa, että äänet heijastavat heidän aikomustaan. Mutta jokaisella, jolla on järjestelmänvalvojan pääsy Voatzin back-end-palvelimiin, on kyky “deanonymisoida äänet, kieltää äänet, muuttaa ääniä ja mitätöidä kirjausketjut”.

Raportissa todettiin, että Voatz-järjestelmällä ei ole mitään lieventämistä äänestäjien deanonymisoimiseksi sen perusteella, kun heidän äänestyksensä kirjattiin lohkoketjuun. Voatzin tiedottaja sanoi lausunnossaan, että sillä on kokeellinen mixnet-verkko, joka toimii verkkotason kokeissa käytettyyn infrastruktuuriin, mutta ilman lähdekoodia, ja Voatzin usein kysytyt kysymykset väitteet että “lähetettyään kaikki tiedot nimettömiksi, reititetään” mixnet “-palvelun kautta ja lähetetään estoketjuun.” Mutta tämä oli nimeltään MIT-raportissa – ja nyt taas tässä tarkastuksessa.

“Sekoitusverkkoa ei näytä olevan eikä mainita myöskään Trail of Bitsille toimitetussa koodissa”, tarkastuksessa lukee. “Ydinpalvelimella on kyky deanonymisoida kaikki liikenne, mukaan lukien äänestysliput.”

Bits Trail vahvisti MIT: n havainnot – Voatz kiisti ne

MIT: n tutkijat julkaisivat 13. helmikuuta edellä mainitun raportin “The Ballot Is Busted Before the Blockchain: A Security Analysis of Voatz, the first Internet Voting Application used in US Federal Vailt”, johon Voatz vastasi blogipäivänä samana päivänä kumoamaan sen, mitä se kutsui “puutteelliseksi raportiksi”, joka johti MIT: n tutkijat lähettää usein kysytyt kysymykset ja selvitykset.

On käynyt ilmi, että Voatzin kumoaminen kirjoitettiin kolme päivää sen jälkeen, kun Trail of Bits vahvisti kuvattujen haavoittuvuuksien esiintymisen MIT: lle saatuaan nimettömän yhteenvedon ongelmista Yhdysvaltain sisäisen turvallisuuden ministeriöltä. Tämä viittaa siihen, että Voatz tiesi raportin paikkansapitävyyden ennen sen julkista alentamista.

Tarkastus kiistää myös jotkut Voatzin vastalauseista MIT: n tutkijoiden raporteille. Voatz totesi, että analysoitu Android-sovellus oli 27 versiota vanha, mutta Trail of Bits kirjoitti, että se “ei tunnistanut MIT: n tutkijoiden käyttämän sovelluksen syyskuun 2019 version välillä” turvallisuuden kannalta merkityksellisiä muutoksia koodikantaan “, mikä vaikuttaisi olennaisesti heidän väitteihinsä.

Voatz kyseenalaisti myös tutkijat, jotka kehittelivät pilkkipalvelinta, kutsumalla sitä “puutteelliseksi lähestymistavaksi”, joka “mitätöi väitteet heidän kyvystään vaarantaa koko järjestelmä”. Voatz jopa kirjoitti, että tämä käytäntö “kieltää kaiken uskottavuuden tutkijoiden puolesta”.

Mutta Trail of Bits väittää, että “pilkkopalvelimen kehittäminen tapauksissa, joissa yhteyden muodostaminen tuotantopalvelimeen voi johtaa oikeustoimiin, on vakiintunut käytäntö haavoittuvuustutkimuksessa. Se on myös vakiintunut käytäntö ohjelmistojen testauksessa. ” Lisäksi raportissa todetaan, että havainnot keskittyivät Android-asiakasohjelmaan, mutta eivät tukeutuneet Voatz-palvelinten syvälliseen tuntemukseen.

Voatzin edustajan mukaan Voatz “vastustaa MIT: n tutkijoiden metodologiaa ja lähestymistapaa” ja että raportissa on “useita virheitä”.

”Jos metodologiamme olisi väärä, teoria olisi, että tekisimme väärät johtopäätökset. Kaikki löytämämme haavoittuvuudet on kuitenkin vahvistettu heidän omassa tietoturvatarkastuksessaan. Lisäksi ei vaikuta siltä, ​​että he kilpailevat jostakin heistä “, kertoi Michael Specter, yksi raportin kirjoittaneista MIT-tutkijoista..

Aikaisemmat tarkastukset eivät olleet kattavia

Huolimatta siitä, että Voatz mainostaa useita turvatarkastuksia, tämä on ensimmäinen kerta, kun valkoisen laatikon arviointi on suoritettu, ydinpalvelimen ja taustajärjestelmän analysoinnissa. Vaikka kaikki aiemmat tarkastukset eivät ole julkisia, Trail of Bits tiivisti ne kaikki.

Yksi aikaisempi tietoturvatarkastus oli suoritettu NCC, riippumaton, yksityinen voittoa tavoittelematon organisaatio, joka ei palkkaa teknisen turvallisuuden asiantuntijoita elokuussa 2019. Tarkastus keskittyi käytettävyyteen eikä turvallisuuteen. Heinäkuussa 2018 nimeämätön myyjä suoritti mustan laatikon auditoinnin Voatzin mobiiliasiakkaille.

Lokakuussa 2018 TLDR Security, joka tunnetaan nyt nimellä ShiftState, suoritti laajan turvallisuushygieniatarkastuksen, joka sisälsi järjestelmän arkkitehtuurin, käyttäjien ja tietojen työnkulut ja uhkien lieventämisen suunnittelun, mutta ei etsinyt vikoja järjestelmästä tai varsinaisesta sovelluksesta. Sitten ShiftState suoritti uuden tarkastuksen joulukuussa 2018 selvittääkseen, toimiiko järjestelmä tarkoitetulla tavalla ja noudattaako se parhaita käytäntöjä.

Vaikka ShiftState toimitusjohtaja Andre McGregor on aiemmin sanonut Voatz “suoriutui erittäin hyvin”, Trail of Bitsin ShiftState-tilintarkastuksen tarkastelu viittaa ongelmiin, jotka liittyvät rajoitettuun kirjaamiseen, hallitsemattomiin palvelimiin ja Zimperiumin mobiililaitteiden vastaiseen haittaohjelmaratkaisuun, joita ei otettu käyttöön pilottivaiheessa..

Koska kaikki Voatzin mobiililaitteiden väärinkäyttösuojat perustuvat Zimperiumiin, se ei ole aktiivinen, joten sovellusta olisi voitu manipuloida vähäpätöisesti, koska Voatzilta puuttuu lisäsuojaus haittaohjelmia vastaan, jotka voisivat käyttää arkaluontoisia tietoja..

Voatzin edustaja kertoi, että Zimperium ei ollut täysin integroitu vasta vuonna 2019 ja että jotkut tutkijat vaativat sen poistamista käytöstä testaustarkoituksiin, minkä he tekevät tapauskohtaisesti. “Trail of Bits ei voinut itsenäisesti varmistaa, että Zimperiumin omistamat väärinkäytön tarkastukset todentavat nimenomaisesti Android-tietoturvapalvelujen tarjoajan”, kerrotaan raportissa ja suositellaan lisätarkistusta siltä varalta, että Zimperium poistetaan käytöstä, tahallaan tai ei.

DHS: n lokakuussa 2019 suorittamassa lopullisessa tarkastuksessa tarkasteltiin yksinkertaisesti pilviresursseja, ei sovellusta – onko hakkeroinnista todisteita vai onko se havaittavissa, jos se tapahtui.

Voatzin mainostamien aikaisempien turvallisuusarviointien rajoitusten lisäksi julkistamatta – kuten se, että yksikään tarkastuksista ei sisältänyt palvelin- ja taustahäiriöitä – Trail of Bitsin raportissa todetaan, että muiden suoritettujen turvallisuusarviointien kirjoitukset olivat teknisiä asiakirjoja . Tämä asettaa kyseenalaiseksi, tekevätkö valitut virkamiehet päätöksiä asiakirjojen perusteella, joita he eivät ole lukutaitoisia.

Voatz näyttää olevan villisti organisoitumaton

Trail of Bits -arviointi kesti koko viikon pidempään kuin alun perin oli suunniteltu “koodin ja resurssien vastaanottamisen viivästymisen, järjestelmän odottamattoman monimutkaisuuden ja koon sekä siihen liittyvän raportointityön vuoksi”.

Trail of Bits ei koskaan saanut työkopiota koodista, joka kieltää yritystä suorittamasta live-testausta, mikä tarkoittaa, että tutkijat rajoittuivat lähes kokonaan staattiseen testaukseen, mikä vaati heitä lukemaan valtava määrä koodia. Raportin mukaan Voatzilla on niin paljon koodia, että se “vaati jokaista insinööriä analysoimaan keskimäärin lähes 3000 puhdasta koodiriviä 35 tiedostossa päivässä arvioinnin saavuttamiseksi mahdollisimman pienen kattavuuden saavuttamiseksi”.

Vaikka Trail of Bits sai pääsyn taustajärjestelmään live-testausta varten päivä ennen arvioinnin päättymistä – mikä Voatzin edustajan mukaan johtui samanaikaisista tarkastuksista, viivästyksistä tarkastuksissa ja rinnakkaistoiminnoissa sekä rajoitetusta määrästä testausalustoja, turvallisuuspalveluyritystä pyydettiin olemaan hyökkäämättä tai muuttamatta tapausta tavalla, joka estäisi palvelun samanaikaisissa tarkastuksissa.

Voatz teki alokasvirheitä – eikä vaikuta vakavilta korjauksista

Bits Trail kuvasi useita vikoja, jotka voisivat johtaa äänestysten havaitsemiseen, manipulointiin tai deanonymisointiin tai jotka saattaisivat kyseenalaistaa vaalien eheyden.

Sen lisäksi, että äänestäjät eivät voi itsenäisesti vahvistaa, että heidän äänestyslippu on voimassa tai että äänet laskettiin oikein, Voatzin työntekijä voisi teoriassa pakottaa käyttäjän äänestämään kahdesti, antamaan heille mahdollisuuden äänestää kahdesti tai kopioida äänensä tietämättä taustasta . Lisäksi Voatz käyttää kahdeksannumeroista PIN-koodia salaamaan kaikki paikalliset tiedot – mikä voidaan murtaa 15 minuutissa.

Lisäksi raportissa todettiin, että sovelluksella ei ole turvaohjauksia estämään valvomattomien Android-laitteiden vaarantumista. Arkaluontoiset API-tunnistetiedot tallennettiin git-arkistoihin, mikä tarkoittaa, että kukaan yrityksessä, jolla on pääsy koodiin, – ehkä jopa alihankkijat – voi käyttää tai käyttää väärin arkistoissa näkyviä salaisia ​​avaimia.

Voatzin työntekijät, joilla on järjestelmänvalvojan oikeudet, voivat etsiä tiettyjen äänestäjien äänestyslippuja. Voatz käyttää tapauskohtaista kryptografista kättelyprotokollaa, jota ei yleensä suositella – koska kotitekoinen salaus on altis virheille, ja on parasta käyttää tutkijoiden tutkimia ja todellisessa maailmassa testattuja salausjärjestelmiä. SSL: tä (Secure Sockets Layer) ei määritetty täysin turvallisella tavalla, koska siitä puuttui avainominaisuus, joka auttaa asiakkaita tunnistamaan, milloin TLS (Transport Layer Security) -sertifikaatti peruutetaan..

Yhdessä tapauksessa Voatz jopa leikkasi ja liitti avaimen ja alustusvektorin pinon ylivuotovastauksesta. Koodin leikkaamista ja liittämistä ei yleensä suositella, jopa korkeakoulutason tietoturvakursseilla, koska pinon ylivuotoa koskevan tiedon laatu vaihtelee, ja edes hyvä koodi ei välttämättä toimi tietyssä ympäristössä. Avaimen ja IV: n leikkaaminen ja liittäminen on kuitenkin vielä pahempaa, koska se tarkoittaa, että tietojen salaamiseen käytetty avain ja IV ovat identtisiä Internetissä olevan sisällön kanssa, vaikka sen ei olisikaan olevan julkista. Voatzin edustaja sanoi sähköpostissa, että tämä oli testikoodi sovelluksen sisäiselle esittelylle ja “sitä ei tosiasiassa käytetty missään tapauksessa tai tapahtumassa”.

Jopa yhteenvetona Trail of Bitsin suositukset ovat kahdeksan sivua. Voatz näyttää vaikuttaneen kahdeksaan turvallisuusriskiin, osittain vielä kuuteen ja jättänyt 34 korjaamattomaksi. Yrityksillä on yleensä kattava suunnitelma suurten ja keskisuurten riskien korjaamiseksi. Voatzin edustaja sanoi: “Otamme jokaisen löydön vakavasti, analysoimme jokaista löydöstä käytännön näkökulmasta, osoitamme riskin todennäköisyyden ja määritämme sitten kurssin eteenpäin”, Voatzin edustaja sanoi sähköpostissa..

“Jos vika tai ongelma on käytännössä hyödynnettävissä todellisessa skenaariossa, joka on sopusoinnussa pienimuotoisten lentäjien kanssa, käsittelemme heitä välittömästi, muuten ne kulkevat tavallisissa kehitysputkistoissamme prioriteettien mukaisesti.”

Järkyttävällä tavalla Voatz päätti “hyväksyvänsä riskin” monista näistä virheistä ja hyväksyi lähinnä riskin äänestäjien puolesta sen sijaan, että tekisi korjaamansa palkatun yrityksen ehdottamat korjaukset.

Tusk Philanthropies, Voatz ja Trail of Bits viittasivat Cointelegraphiin erillinen blogi viestejä tarkastuksesta, ja Trail of Bits viittasi itse raporttiin.

Tämä artikkeli on päivitetty Voatzin edustajan kommenteilla.

Aiheeseen liittyvä: Voatzin turvasatama tai heitetty haihin?

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map