Le macchine per il voto si basano sulla "sicurezza attraverso l'oscurità"?

4

Nel 2013, l'Università della Pennsylvania ha pubblicato un interessante documento intitolato Contempt delle razze di familiarità: l'effetto luna di miele e il ruolo del codice legacy nelle vulnerabilità zero-day . Un esempio convincente discusso dagli autori è la mancanza di violazioni note alla sicurezza nelle macchine per il voto, in contrasto con l'alto numero di vulnerabili vulnerabilità che i ricercatori trovano su queste macchine. Gli autori sostengono che potrebbe essere un "effetto luna di miele" che impedisce agli hacker di sfruttare queste vulnerabilità, dal momento che queste macchine sono in uso solo da uno a due giorni dopo il loro rilascio. Senza fornire la giusta quantità di tempo per trovare e sfruttare le vulnerabilità, queste macchine sono in gran parte utilizzate per la loro intenzione originale. [1] [2]

La mia domanda è semplice: è un esempio di "sicurezza attraverso l'oscurità"? Si potrebbe dire che gli interni delle macchine di voto sono oscurati dagli hacker per la brevità del tempo che sono esposti al mondo e dal fatto che sono tutti sistemi chiusi proprietari?

Se questo scenario non è la sicurezza attraverso l'oscurità, esiste un termine che descrive questo tipo di "sicurezza"?

[1] link (PDF)

[2] link (DEF CON 19)

    
posta olliezhu 28.02.2014 - 22:37
fonte

1 risposta

2

Per l'industria in generale, in particolare negli Stati Uniti, la sicurezza delle macchine per il voto non è diversa dalla sicurezza dei controlli TSA. Vale a dire, potrebbe funzionare a volte, ma più di ogni altra cosa è lì per farti sentire meglio riguardo al processo. Le palesi violazioni della struttura di sicurezza sembrano essere rare, ma non a causa della qualità della sicurezza.

Anche se è bello pensare che la frode elettorale non avvenga, è improbabile che qualsiasi elezione di qualsiasi entità sia stata perfettamente pulita. Ma presumibilmente la frode in entrambe le direzioni è più o meno media nel tempo. Speriamo.

In particolare, oltre alla sicurezza dei dispositivi stessi, è anche il processo messo in atto attorno a loro che contribuisce all'insicurezza del sistema. La pratica " sleepover " resa famosa nelle elezioni americane del 2004 e del 2006 continua ancora oggi in molte aree. E quando una macchina per il voto mostra segni di manomissione (come spesso accade), non necessariamente annulla il conteggio.

Ma questi sono sempre incidenti locali, ognuno strettamente associato a un determinato distretto di voto, un determinato gruppo di funzionari elettorali e un determinato insieme di influenze locali. È il tipo di incidente che non richiede tecnologia, vulnerabilità o angolo di sicurezza. Un attacco diretto contro una determinata macchina di voto (indipendentemente dai funzionari locali) sarebbe diffuso, diffuso, nascosto e sistematico.

Parte di ciò che ci protegge qui è la completa mancanza di qualsiasi tipo di coordinamento. Non c'è standardizzazione delle procedure di voto o delle macchine per il voto. Non esiste un singolo obiettivo, che complica notevolmente il processo.

Sì, c'è un po 'di sicurezza attraverso l'oscurità, ma più di ogni altra cosa è la sicurezza attraverso la confusione. Il targeting dovrebbe essere opportunistico. E tipicamente questo è un attacco che sarebbe estremamente difficile da estrarre senza accesso fisico. Composto dal fatto che l'accesso fisico semplifica le frodi senza vulnerabilità del software, e inizia a sembrare come se avessimo sbagliato tutto dall'inizio.

    
risposta data 28.02.2014 - 23:20
fonte

Leggi altre domande sui tag