I rischi per la sicurezza dell'app blockchain per le elezioni negli Stati Uniti sono sotto accusa

L'azienda con sede nel Massachusetts Voatz, l'app blockchain per le elezioni statunitensi che mette a rischio la sicurezza, è stata recentemente scoperta e sta suscitando critiche da più parti.

Voatz ha promosso un'app di voto mobile basata su blockchain che è stata oggetto di indagini per la presenza di numerose falle nella sicurezza e che ha quindi suscitato numerose critiche da parte del pubblico. Le falle nella sicurezza sono particolarmente gravi per quanto riguarda la sicurezza dei dati.

L'importanza di controllare questi problemi di sicurezza è tanto maggiore quanto più vicina è la settimana delle elezioni negli Stati Uniti. Il rapporto di audit sulla sicurezza dell'app elettorale statunitense include una revisione della sicurezza di 122 pagine, con ulteriori 78 pagine che evidenziano le considerazioni relative alla modellazione delle minacce.

Rischi per la sicurezza delle app per le elezioni negli Stati Uniti: Voatz non ha bisogno della blockchain?

La blockchain utilizzata da Voatz non si estende al client mobile, creando a sua volta rischi per la sicurezza delle app elettorali statunitensi.

L'tracdi questa app blockchain risiede nel fatto che non richiede agli elettori di fidarsi di nessuno, essendo un sistema decentralizzato; tuttavia, Voatz non estende questo principio al pubblico. Voatz utilizza una blockchain Hyperledger come registro di controllo. Questa non è una tecnologia blockchain all'avanguardia, poiché lo stesso risultato può essere facilmente ottenuto con un database dotato di registro di controllo.

Il rapporto di audit ha rilevato che il sistema Voatz non prevede alcun meccanismo per deanonimizzare gli elettori in base al periodo in cui hanno espresso il voto nell'app. Voatz afferma di utilizzare una "rete mista" che trasferisce le informazioni sulla blockchain dopo l'anonimizzazione.

Rischi per la sicurezza delle app elettorali statunitensi: confermate le conclusioni del MIT 

Il 13 febbraio, i ricercatori del Massachusetts Institute of Technology (MIT) hanno pubblicato un rapporto in cui affermavano che la blockchain di Voatz presentava gravi problemi di sicurezza. Voatz ha replicato lo stesso giorno, confutando le affermazioni del MIT.

A quanto pare, la risposta di Voatz è stata scritta tre giorni dopo che la pista di Bits aveva verificato le vulnerabilità di sicurezza di Ubiquity al MIT, dopo aver ricevuto un riepilogo dei problemi da parte del Dipartimento della Sicurezza Interna degli Stati Uniti.

I precedenti progetti sui rischi per la sicurezza delle app elettorali negli Stati Uniti non sono stati completati?

Questo è stato il primo rapporto a condurre un'indagine "a scatola bianca" che ha portato a queste scoperte; prima di questo, erano stati effettuati molti rapporti, ma non erano sufficientemente esaustivi. Trail of Bits ha riassunto i rapporti precedenti come segue.

Nel 2019 , NCC ha condotto una revisione della sicurezza, ma, trattandosi di un'azienda privata, non sono stati impiegati esperti di sicurezza tecnica.

Nell'ottobre del 2018, ShiftState ha condotto un'ampia revisione di sicurezza dell'architettura blockchain, del flusso di dati e delle decisioni relative alla mitigazione delle minacce; tuttavia, tale revisione non ha incluso la ricerca di bug nell'applicazione stessa.

L'ultima revisione di sicurezza è stata condotta nell'ottobre 2019 e si è limitata a valutare le risorse cloud e la vulnerabilità dell'app. I report precedenti non includevano valutazioni dei problemi di sicurezza del server e del back-end, il che li rendeva incomprensibili.

Da un lato, diversi stati americani stanno prendendo in considerazione il voto basato sulla blockchain. Dall'altro, il rapporto di Trail of Bits afferma che questi rapporti erano meri documenti tecnici e che il fatto di trascurare queste lacune nella valutazione solleva la questione se i funzionari eletti siano sufficientemente qualificati per leggerli.