Deux équipes distinctes de la sécurité des chercheurs et des universitaires des universités de l’Australie et de la Suisse ont révélé aujourd’hui des vulnérabilités dans le e-système de vote que la Suisse vote de la commission des plans de déploiement pour les prochaines élections.
Parmi les vulnérabilités signalées il y en a un que les chercheurs en sécurité a dit qu’il pourrait permettre à un attaquant ayant un accès local à une machine à voter, ou encore la machine à voter vendeur lui-même– trifouiller dans les suffrages exprimés.
La vulnérabilité réside dans le système de cryptographie qui vérifie que les voix sont les mêmes que ceux qui sont rapportés, cependant, les chercheurs disent que cette cryptographiques schéma est faible et permet à quelqu’un pour échanger des votes.
Une explication technique est disponible dans un très court écriture-up par l’Université de Melbourne et dans un rapport en profondeur par la hesb.
La Poste suisse, l’organisation Suisse en charge de la Suisse e-système de vote, et Scytl, la société espagnole qui a développé le système, ont tous deux publié des déclarations à remercier les chercheurs et l’annonce de correctifs.
Le mois dernier, la Poste Suisse a ouvert Scytl e-solution de vote de public, tests de pénétration, du fait de la e-système de vote du code source à la disposition des participants, et a promis des récompenses en espèces, aussi haut que $50,000.
La vulnérabilité signalée par les deux équipes de chercheurs n’a pas été soumise par le biais de la Poste Suisse bug bounty plate-forme, mais des chercheurs qui, pour la plupart des cryptographes, ont pris avantage du public le code source à regarder le système de vote de protocoles cryptographiques.
Scytl dernière déclaration est loin d’un plus dur et plus critique déclaration qu’il a publié à la fin de février, après les chercheurs en sécurité d’abord commencé à regarder ses e-vote de code du système et de débattre sur Twitter.
Incroyable de voir comment rapidement “les gens dans des voies officieuses qui ne comprennent pas la cryptographie” devient “Nous sommes reconnaissants à ces chercheurs qui nous ont aidé à identifier ce problème “
— Sarah Jamie Lewis (@SarahJamieLewis) 12 Mars 2019
Dans cette déclaration, la société a critiqué les chercheurs en sécurité qui a signé pour sa bug bounty program, mais le vote électronique, système de code source en ligne en dépit d’être dit que le code source était seulement pour les participants au concours.
La Poste suisse a déclaré que plus de 3 000 chercheurs en sécurité ont signé pour le concours, qui est prévue le 24 Mars.
Défauts supplémentaires en Suisse e-système de vote sont également détaillés ici.
Plus de la cybersécurité news:
Facebook supprime la désinformation des comptes du royaume-UNI et RomaniaWarren propose étiquetage Google, Amazon, Facebook, comme la plate-forme des services publics”
L’egypte gouvernement a utilisé Gmail apps de tiers de phish activistsNSA communiqués de Ghidra, un logiciel gratuit de reverse engineering toolkit
Pourquoi la Russie est-elle donc bon à faire des femmes dans la technologie?Facebook poursuit ukrainien de l’extension de navigateur décideurs pour gratter les données de l’utilisateur
Google permet désormais de faire un don à la charité, à travers le Play Store CNET Facebook s’est abattu sur covert application qui paie les adolescents pour les données TechRepublic
Rubriques Connexes:
Le gouvernement
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données