L'impresa con sede nel Massachusetts, Voatz, l' blockchain statunitense per i rischi per la sicurezza, è stata recentemente scoperta e ha raccolto calore da tutte le parti.
Voatz ha promosso un'app di voto mobile blockchain che è stata studiata per avere molte lacune nella sicurezza e quindi ha raccolto molte critiche pubbliche, e le lacune nella sicurezza sono particolarmente gravi per quanto riguarda la sicurezza dei dati.
L’importanza di controllare questi problemi di sicurezza è tanto più importante in quanto negli Stati Uniti si avvicina la settimana delle elezioni. Il rapporto di audit sulla sicurezza dell'app elettorale statunitense include una revisione della sicurezza di 122 pagine con altre 78 pagine che evidenziano considerazioni sulla modellazione delle minacce.
Rischi per la sicurezza dell’app elettorale statunitense: Voatz non ha bisogno della blockchain?
La blockchain utilizzata da Voatz non si estende al client mobile, creando a sua volta rischi per la sicurezza dell'app elettorale statunitense.
L' trac di questa app blockchain è che non richiede agli elettori di fidarsi di nessuno poiché è un sistema decentralizzato; tuttavia, Voatz non lo estende al pubblico. Voatz utilizza una blockchain Hyperledger come registro di controllo. Non si tratta di una tecnologia blockchain all'avanguardia in quanto può essere facilmente eseguita da un database con un registro di controllo.
Il rapporto di audit ha rilevato che il sistema Voatz non offre alcun sollievo per la deanonimizzazione degli elettori in base al periodo in cui il loro voto è stato espresso nell'app. Voatz afferma che esiste un "mixnet" che inserisce le informazioni sulla blockchain dopo che sono state rese anonime.
Rischi per la sicurezza delle app elettorali americane: confermate le scoperte del MIT
Massachusetts Institute of Technology: i ricercatori del MIT hanno pubblicato un rapporto il 13 febbraio sostenendo che la blockchain di Voatz presentava importanti problemi di sicurezza, al quale Voatz ha risposto più tardi lo stesso giorno confutando le affermazioni del MIT.
A quanto pare, la risposta di Voatz è stata scritta tre giorni dopo che la traccia di Bits aveva verificato le vulnerabilità della sicurezza dell'ubiquità al MIT dopo aver ricevuto un riepilogo dei problemi da parte della Homeland Security degli Stati Uniti.
I precedenti progetti sui rischi per la sicurezza delle app elettorali negli Stati Uniti non erano stati completati?
Questo è stato il primo rapporto che ha effettuato un'indagine white box che ha portato a questi risultati; prima di questo, sono stati condotti molti rapporti ma non erano sufficientemente completi. Trail of Bits ha riassunto i rapporti precedenti come segue.
Nel 2019 NCC ha condotto una revisione della sicurezza, ma poiché era privata, non è stato impiegato alcun esperto di sicurezza tecnica.
Nell’ottobre del 2018, ShiftState ha condotto un’ampia revisione igienica dell’architettura blockchain, del flusso di dati e delle decisioni sulla riduzione delle minacce; tuttavia, questa revisione non è stata presa in considerazione per la ricerca di bug nell'applicazione stessa.
L’ultimo controllo sulla sicurezza è stato condotto nell’ottobre del 2019, valutando semplicemente le risorse cloud e se l’app fosse attaccabile o meno. I rapporti precedenti non includevano valutazioni dei problemi di sicurezza del server e del back-end, il che rendeva i rapporti precedenti incomprensibili.
Da un lato, diversi stati americani stanno prendendo in considerazione il voto basato sulla blockchain. D’altro canto, il rapporto Trail of Bits afferma che questi rapporti erano meramente documenti tecnici, e il trascurare queste lacune di valutazione solleva la questione se i funzionari eletti siano sufficientemente qualificati per leggere questi documenti.
