Massachusetts merkezli, blockchain özellikli bir mobil oylama uygulamasını piyasaya süren Voatz, diğer şeylerin yanı sıra, özellikle veri güvenliği söz konusu olduğunda, şeffaflık eksikliği nedeniyle kamuoyunun eleştirisiyle karşılandı. Ve seçimin tahrif edilmesi tehdidiyle, riskler her zamanki gibi yüksek.
Voatz, Batı Virginia’daki seçimlerde kullanıldı; Jackson County, Oregon; Umatilla İlçesi, Oregon; Utah, Utah County’de belediye seçimleri; yanı sıra Denver, Colorado’daki ikinci tur seçimleri ve belediye seçimlerinde.
Uzmanların talep ettiği saygın bir üçüncü taraf firma tarafından yapılan kamu güvenliği denetimi, sonunda burada. Aralık 2019’da, Voatz’ın mobil oylama pilotlarının çoğunu finanse eden Voatz ve Tusk Philanthropies, kapsamlı bir beyaz kutu denetimi yapmak için güvenlik firması Trail of Bits ile anlaştı..
Voatz, kötü niyetli saldırı vektörlerini canlı test etmek için bir arka uç sağlayamamasına rağmen, Trail of Bits’in çekirdek sunucu, Android istemcisi, iOS istemcisi ve yönetici web arayüzü dahil olmak üzere tüm kaynak koduna erişimi vardı..
Denetim raporu kapsamlıdır ve 122 sayfalık bir güvenlik incelemesi ve tehdit modellemeyle ilgili hususlarla ilgili 78 sayfalık bir belge içerir. İşte ana parçaların kısa bir özeti.
Voatz’ın blockchain’e ihtiyacı yok
Blockchain oylamasının cazibesi, seçmenlerin kimseye güvenmesini gerektirmeyen merkezi olmayan bir sistem olmasıdır. Ancak Voatz’ın kullandığı blok zinciri aslında mobil istemciyi kapsamıyor. Bunun yerine Voatz, oyları bir denetim günlüğü olarak kullandığı bir Hyperledger Fabric blok zincirine uyguluyor – bu, bir denetim günlüğüne sahip bir veritabanı kullanılarak aynı şekilde kolayca yapılabilir..
Bir Voatz sözcüsü, Hyperledger’in “toplu oylamayı güvence altına almak, seçim sonrası denetimi mümkün kılmak ve ekosistemde dolaşırken dijital oy pusulaları için bir gözetim zinciri sağlamak gibi çeşitli güvenlik işlevleri sağladığını” iddia etse de, bunu nasıl yapacağı açık değil ve bu yetenek raporda belirgin değil.
Bakılan Bitlerin İzi kodu, özel zincir kodu veya akıllı sözleşmeler kullanmadı. Aslında, rapor şöyle okur:
“Tüm veri doğrulama ve iş mantığı, Voatz Core Sunucusunun Scala kod tabanında zincir dışı olarak yürütülüyor. Bazı yüksek riskli bulgular, veri doğrulama sorunlarının sonucuydu ve çekirdek sunucudaki bir seçmenin, blok zincirine dokunmadan önce bir diğerinin kılığına girmesine izin verebilecek kafası karışık. “
Seçmenler doğrudan blok zincirine kendileri bağlanmadıkları için, oyların niyetlerini yansıttığını bağımsız olarak doğrulayamazlar. Ancak, Voatz’ın arka uç sunucularına yönetici erişimi olan herkes, “oyları anonim hale getirme, oyları reddetme, oyları değiştirme ve denetim izlerini geçersiz kılma” yeteneğine sahiptir.
Rapor, Voatz sisteminin, oy pusulalarının blok zincirine kaydedildiği zamana bağlı olarak seçmenlerin anonim hale getirilmesi için herhangi bir azaltıcı etkiye sahip olmadığını buldu. Bir Voatz sözcüsü yaptığı açıklamada, ağ seviyesinde deneyler için kullanılan, ancak herhangi bir kaynak kodu olmadan uç altyapısında çalışan deneysel bir mixnet’e sahip olduğunu ve Voatz’ın SSS iddialar “gönderildikten sonra tüm bilgiler anonimleştirilir, bir” mixnet “aracılığıyla yönlendirilir ve blok zincirine gönderilir.” Ama bu aranan bir MIT raporunda sorgulanabilir – ve şimdi yine bu denetimde.
Denetimde, “Trail of Bits’e sağlanan kodda bir mixnet yok gibi görünüyor, ne de bahsedilmiyor. “Çekirdek sunucu, oy pusulaları dahil tüm trafiği anonim hale getirme yeteneğine sahip.”
Trail of Bits MIT’nin bulgularını doğruladı – Voatz bunlara itiraz etti
13 Şubat’ta MIT araştırmacıları, Voatz’ın söz konusu raporu “Blockchain’den Önce Oylama: ABD Federal Seçimlerinde Kullanılan İlk İnternet Oylama Uygulaması olan Voatz’ın Güvenlik Analizi” adlı raporu yayınladı. cevap verdi aynı gün bir blog yazısı ile “kusurlu rapor” olarak adlandırdığı şeyi çürütmek için MIT araştırmacılarının İleti açıklamalar içeren bir SSS.
Voatz’ın reddinin, ABD İç Güvenlik Bakanlığı’ndan anonimleştirilmiş bir özet rapor aldıktan sonra, MIT’de açıklanan güvenlik açıklarının varlığını doğrulamasından üç gün sonra yazdığı ortaya çıktı. Bu, Voatz’ın raporu kamuoyuna indirim yapmadan önce raporun doğruluğunun farkında olduğunu gösteriyor..
Denetim aynı zamanda Voatz’ın MIT araştırmacılarının raporlarına yönelik bazı itirazlarına da itiraz ediyor. Voatz, analiz edilen Android uygulamasının 27 sürüm eski olduğunu belirtti ancak Trail of Bits, uygulamanın MIT araştırmacıları tarafından kullanılan ve iddialarını önemli ölçüde etkileyecek Eylül 2019 sürümü arasında “kod tabanında güvenlikle ilgili herhangi bir değişiklik tespit etmediğini” yazdı..
Voatz, sahte bir sunucu geliştiren araştırmacılarla da sorun yaşadı ve bunu “sistemin genelini tehlikeye atma yetenekleriyle ilgili her türlü iddiayı geçersiz kılan” “kusurlu bir yaklaşım” olarak adlandırdı. Voatz, bu uygulamanın “araştırmacılar adına herhangi bir güvenilirlik derecesini geçersiz kıldığını” bile yazdı.
Ancak Trail of Bits, “bir üretim sunucusuna bağlanmanın yasal işlemle sonuçlanabileceği durumlarda sahte bir sunucu geliştirmenin, güvenlik açığı araştırmalarında standart bir uygulama olduğunu iddia ediyor. Aynı zamanda yazılım testinde standart bir uygulamadır. ” Ayrıca rapor, bulguların Android istemcisine odaklandığını, ancak Voatz sunucularının derinlemesine bilgisine dayanmadığını belirtiyor..
Bir Voatz sözcüsü, Voatz “MIT araştırmacılarının metodolojisine ve yaklaşımına itiraz ediyor” ve “raporda birkaç hata” olduğunu söylüyor.
“Metodolojimiz yanlış olsaydı, teori yanlış sonuçlara varacağımız olurdu. Ancak, bulduğumuz tüm güvenlik açıkları kendi güvenlik incelemeleri tarafından onaylandı. Ayrıca, raporu yazan MIT araştırmacılarından biri olan Michael Spectre, bunların hiçbirine itiraz ediyor gibi görünmüyor “dedi..
Önceki denetimler kapsamlı değildi
Voatz’ın birden fazla güvenlik denetimini öne sürmesine rağmen, bu, çekirdek sunucu ve arka uç analiz edilmiş olarak ilk kez bir beyaz kutu değerlendirmesi gerçekleştiriliyor. Önceki denetimlerin tümü halka açık olmasa da, Trail of Bits hepsini özetledi.
Önceki bir güvenlik incelemesi yürütüldü Ağustos 2019’da, herhangi bir teknik güvenlik uzmanı çalıştırmayan bağımsız, özel bir sivil toplum kuruluşu olan NCC tarafından. Denetim, güvenlikten çok kullanılabilirliğe odaklandı. Temmuz 2018’de isimsiz bir tedarikçi, Voatz’ın mobil istemcilerinde kara kutu denetimi gerçekleştirdi.
Ekim 2018’de, artık ShiftState olarak bilinen TLDR Security, sistem mimarisi, kullanıcı ve veri iş akışları ve tehdit azaltma planlamasını içeren geniş bir güvenlik hijyeni incelemesi gerçekleştirdi, ancak sistemde veya gerçek uygulamada hatalar aramadı. ShiftState daha sonra Aralık 2018’de sistemin amaçlandığı gibi çalışıp çalışmadığını ve en iyi uygulamaları takip edip etmediğini inceleyen başka bir denetim gerçekleştirdi..
ShiftState CEO’su olmasına rağmen Andre McGregor önceden söyledi Voatz’ın “çok iyi iş çıkardığını”, Trail of Bits’in ShiftState denetimini incelemesi, sınırlı günlük kaydı, yönetilmeyen sunucular ve pilot sırasında etkinleştirilmemiş olan Zimperium anti-mobil kötü amaçlı yazılım çözümüyle ilgili sorunlara işaret ediyor.
Voatz’ın mobil cihazlara yönelik kurcalamaya karşı korumalarının tümü Zimperium’a dayandığından, Voatz hassas bilgilere erişebilecek kötü amaçlı uygulamalara karşı ek korumadan yoksun olduğundan, bu uygulamanın etkin olmaması, uygulamanın önemsiz bir şekilde değiştirilebileceği anlamına gelir..
Bir Voatz sözcüsü, Zimperium’un 2019’a kadar tam olarak entegre edilmediğini ve bazı araştırmacıların duruma göre yaptıkları test amacıyla devre dışı bırakılmasını talep ettiklerini söyledi. “Trail of Bits, Zimperium’un tescilli kurcalamaya karşı koruma kontrollerinin açıkça Android güvenlik sağlayıcısını doğruladığını bağımsız olarak doğrulayamadı,” yazıyor ve Zimperium’un kasıtlı olarak veya kasıtlı olarak devre dışı bırakılması durumunda ek bir kontrol öneriyor.
DHS tarafından Ekim 2019’da gerçekleştirilen son denetim, uygulamaya değil, basitçe bulut kaynaklarına baktı – bilgisayar korsanlığı kanıtı olup olmadığına veya gerçekleşip gerçekleşmediğine bakıldı..
Denetimlerin hiçbirinin sunucu ve arka uç güvenlik açıklarını içermemesi gibi, Voatz’ın halka açık hale getirmeden öne sürdüğü önceki güvenlik değerlendirmelerinin sınırlamalarının ötesinde – Trail of Bits’in raporu, yapılan diğer güvenlik değerlendirmelerindeki yazımların teknik belgeler olduğunu belirtiyor . Bu, seçilmiş yetkililerin okumak için vasıfsız oldukları belgelere dayanarak karar verip vermediklerini sorgulamaktadır.
Voatz çılgınca düzensiz görünüyor
Trail of Bits’in değerlendirmesi, “kod ve varlıkların alınmasındaki gecikmeler, sistemin beklenmedik karmaşıklığı ve boyutu ve ilgili raporlama çabası nedeniyle” başlangıçta planlanandan tam bir hafta daha uzun sürdü.
Trail of Bits, kodun çalışan bir kopyasını hiçbir zaman almadı, bu da firmanın canlı test yapmasını yasakladı, bu da araştırmacıların neredeyse tamamen statik testlerle sınırlı olduğu ve bu da büyük miktarda kod okumalarını gerektirdiği anlamına geliyordu. Rapora göre, Voatz o kadar çok koda sahip ki, “minimum kapsam elde etmek için her mühendisin günde 35 dosyada ortalama 3.000 saf kod satırını analiz etmesini gerektirdi.”
Bir Voatz sözcüsü, eşzamanlı denetimler, denetimlerdeki gecikmeler ve paralel faaliyetler ve sınırlı sayıda test platformu nedeniyle, değerlendirmenin sona ermesinin planlanmasından bir gün önce canlı test için arka uca Trail of Bits erişim sağlasa da, Güvenlik firmasından, eşzamanlı denetimlere hizmet vermeyi reddedecek şekilde duruma saldırmaması veya durumu değiştirmemesi istendi.
Voatz çaylak hataları yaptı ve düzeltmeler konusunda ciddi görünmüyor
Trail of Bits, oyların gözlemlenmesine, tahrif edilmesine veya anonimleştirilmesine yol açabilecek veya bir seçimin bütünlüğünü sorgulayabilecek birkaç hatayı açıkladı.
Seçmenlerin, oy pusulalarının geçerli olduğunu veya oyların doğru sayıldığını bağımsız olarak doğrulayamamasının ötesinde, bir Voatz çalışanı teorik olarak bir kullanıcıyı iki kez oy vermeye zorlayabilir, arka uç hakkında bilgisi olmadan iki kez oy kullanmasına izin verebilir veya oylarını çoğaltabilir. . Ayrıca Voatz, tüm yerel verileri şifrelemek için sekiz basamaklı bir PIN kullanır – bu, 15 dakika içinde kırılabilecek bir şeydir..
Ayrıca raporda, gözetimsiz Android cihazların güvenliğinin ihlal edilmesini önlemek için uygulamanın güvenlik kontrollerine sahip olmadığı tespit edildi. Hassas API kimlik bilgileri git depolarında depolandı, bu da şirkette koda erişimi olan herkesin – belki alt yükleniciler bile – depolarda açığa çıkan gizli anahtarları kullanabilir veya kötüye kullanabileceği anlamına gelir..
Yönetici erişimine sahip Voatz çalışanları, belirli seçmenlerin oy pusulalarını arayabilir. Voatz, genellikle tavsiye edilmeyen geçici bir kriptografik el sıkışma protokolü kullanır – ev yapımı kriptografi hatalara meyillidir ve araştırmacılar tarafından incelenmiş ve gerçek dünyada test edilmiş şifreleme şemalarını kullanmak en iyisidir. SSL (Güvenli Yuva Katmanı) tamamen güvenli bir şekilde yapılandırılmamıştı ve istemcilerin bir TLS (Taşıma Katmanı Güvenliği) sertifikasının ne zaman iptal edildiğini belirlemesine yardımcı olan bir anahtar özelliği eksikti.
Bir örnekte, Voatz bir Yığın Taşması yanıtından bir anahtar ve başlatma vektörünü bile kesip yapıştırdı. Stack Overflow’daki bilgilerin kalitesi değişiklik gösterdiğinden ve hatta iyi kod bile belirli bir ortamda çalışmayabileceğinden, üniversite düzeyinde bilgisayar güvenliği kurslarında bile kodun kesilmesi ve yapıştırılması genellikle önerilmez. Bununla birlikte, bir anahtarı ve IV’ü kesip yapıştırmak daha da kötüdür, çünkü bu, verileri şifrelemek için kullanılan anahtarın ve IV’ün, halka açık olmaması gerekse bile internetteki bir şeyle aynı olduğu anlamına gelir. Bir Voatz sözcüsü bir e-postada bunun bir uygulama içi demo için test kodu olduğunu ve “hiçbir durumda veya işlemde kullanılmadığını” söyledi.
Özetlendiğinde bile, Trail of Bits’in önerileri sekiz sayfa uzunluğundadır. Voatz, sekiz güvenlik riskine değinmiş, diğer altısı kısmen ele almış ve 34’ü çözümsüz bırakmış gibi görünüyor. Tipik olarak, şirketlerin yüksek ve orta riskleri nasıl düzelteceklerine dair kapsamlı bir planları vardır. Nitekim bir Voatz sözcüsü bir e-postada şunları söyledi: “Her bulguyu ciddiye alıyoruz, her bulguyu pratik bir perspektiften analiz ediyoruz, risk olasılığını atıyoruz ve ardından ileriye doğru gidişatı belirliyoruz” dedi.
“Yürüttüğümüz küçük ölçekli pilotlara uygun bir gerçek dünya senaryosunda hata veya sorun pratik olarak sömürülüyorsa, bunları önceliklere tabi olarak normal geliştirme boru hatlarımıza aktığı takdirde hemen ele alıyoruz.”
Şaşırtıcı bir şekilde, Voatz, işe aldığı firmadan önerilen düzeltmeleri yapmaktan ziyade seçmenler adına riski kabul ederek, bu hataların çoğunun “riskini kabul ettiğine” karar verdi..
Tusk Philanthropies, Voatz ve Trail of Bits, Cointelegraph’ı kendi ayrı Blog gönderiler denetim ve Trail of Bits hakkında raporun kendisine atıfta bulunuldu.
Bu makale bir Voatz sözcüsünün yorumlarıyla güncellendi.
İlgili: Güvenli Liman veya Voatz tarafından Köpekbalıklarına Atılan?