Teknoloji için koordineli güvenlik açığı açıklaması (CVD) veya güvenlik açığı açıklama politikaları (VDP), kullanıcılar ve paydaşlarla güven oluşturan bir güvenlik stratejisinin temel bileşenleridir. VDP, üçüncü tarafların potansiyel güvenlik açıklarını ve güvenlik boşluklarını doğrudan etkilenen kuruluşlara bildirmelerine izin veren bir “bir şey söyle” politikasıdır. Seçim teknolojisi üreticileri, yazılım güvenlik açıklarını kullanılmadan önce tanımlamanın ve düzeltmenin faydalarını tanıyan en son endüstridir. Ağustos 2018’de Bilgi Teknolojisi-Bilgi Paylaşımı ve Analiz Merkezi (BT-ISAC), seçim endüstrisi paydaşları için BT-ISAC içinde özel ve güvenilir bir forum sağlamak üzere bir Seçim Güvenliği Özel Çıkar Grubunun (EI-SIG) kurulmasını onayladı. Fiziksel ve siber tehditlere karşı ağlarını ve varlıklarını korumaya yardımcı olun. EI-SIG’nin kuruluşundan bu yana beş yıllık yolculuk, genel seçim teknolojisi güvenliği için bir dizi girişimde bulundu; VDP’lerin geniş kabul edilmesine yardımcı olacaklardan biri. Çoğu seçim teknoloji uzmanının VDP’leri bir süredir yürürlükte olsa da, yakın tarihli bir etkinlik, ülkedeki en deneyimli ve yenilikçi etik bilgisayar korsanlarından bazılarının uygulamalı güvenlik testi ile güvenlik açığı açıklama uygulamasını bir araya getirdi.
Seçim Güvenlik Araştırma Forumu (ESRF) üyesi olarak Hackerone, yolculuğun bir parçası olmuştur ve olayları koordine etmek ve güvenlik girişimlerinde tavsiyelerde bulunmak için içgörü ve yetenek katkıda bulunmaya devam etmektedir. Bu blogda, etkinliğin arka planını, neden gerçekleştiğini ve sonuçları ve öğrenilen dersleri paylaşıyoruz.
Etik bilgisayar korsanları seçim teknolojisini güvence altına almaya yardımcı olur
Seçim Güvenliği Araştırma Forumu (ESRF) etkinliği Eylül 2023’te McLean, VA’daki Geter tesisinde gerçekleşti ve ISAC tarafından EI-Sig’in işbirliği ile öncülük etti. EI-SIG’nin katılımını tamamlamak için, seçim teknolojisi üreticileri ile güvenlik araştırmacısı topluluğunun temsilcilerine kadar seçim güvenlik alanındaki endüstri profesyonellerinden oluşan bir güvenlik danışma kurulu, seçim teknolojisi üreticileri ve Güvenlik Araştırmacı Topluluğu. Üç seçim teknolojisi üreticisi ve 15 bağımsız güvenlik araştırmacısı veya etik bilgisayar korsanları katıldı. Etik bilgisayar korsanları, etkinlikten önce tamamen güvenlik sağlayan ABD vatandaşlarıdır. İki günlük bir süre boyunca, etik bilgisayar korsanları, cihazlarındaki potansiyel güvenlik sorunlarını keşfetmek için seçim teknolojisi sağlayıcılarıyla bir araya geldi. Testlere ek olarak, çeşitli uzman paydaşlarından paneller ve görüşmeler ortak hedef hakkında ek bir anlayış oluşturmuştur. Güvenlik test edildi, ürünler ve süreçler geliştirildi ve en önemlisi karşılıklı güven kazanıldı.
Donanım hacker Brandon Reynolds etkinliğe katıldı ve “ [The election security event] seçim sürecimiz ve kullanılan donanım olan makinenin içinde görmek için ömür boyu bir şanstı. Kesinlikle donanım güvenliğine bayılıyorum ve kuruluşların donanımlarını güvence altına almak için alacak. Seçim teknolojisi tüm seçim ekosisteminin belki% 20’sini oluşturuyor, ancak son derece kritik. Ülkemizde oy vermek için kullanılan donanımı gözden geçirme fırsatı, her zaman merak uğruna bakmak istediğim bir şeydi. ” Brandon ayrıca güven inşa etmek için şeffaflığın önemi hakkında da yorum yaptı. “Seçmen sahtekarlığı etrafında korku ve yanlış bilgi olmaya devam ediyor. En büyük siber güvenlik mühendisleri, kendi kuruşlarında, bu kritik makineleri gözden geçirerek birden fazla gün geçirdi ve genel halkın sonuç (lar) dan haberdar edildiğini görmek isterim. Olumlu ister olumsuz olsun, bulguları yasa koyucular, vatandaşlar ve seçim sürecinin diğer VIP’leriyle paylaşmak, ülkemizdeki özgür ve açık seçim sürecine olan güveni geri kazanmanın çok önemli bir yönüdür. ”
Seçim sürecinde şeffaflık güven oluşturur
Dezenformasyon, yabancı müdahale ve güvensizlik nedeniyle seçimlere yöneltilen riskler çok güvenilir. Ve gerçek şu ki, teknoloji mevcut olsa da, güvenlik açıkları mevcut olacak. Bununla birlikte, bir örtü arkasında güvenlik gerçekleşirse, seçim teknolojisindeki herhangi bir potansiyel güvenlik açığı çok daha büyük bir risk algısı yaratabilir. Bu nedenle, bir yabancının zihniyetini benimseyebilenler tarafından kapsamlı güvenlik testinin gerçekleştirilmesini sağlamak çok önemlidir ve güvenlik açığı açıklaması yoluyla bu testin şeffaflığını sağlamak için neden bu kadar kritiktir. Kooperatif ve şeffaf test bu olayın amacı ve amacı idi ve katılan katılımcıların kanıtladığı gibi, ulaşılabilir ve değerlidir ve bu sadece başlangıçtır.
Sonuçlar: düşük riskli
Nihai rapor– ISAC’ın EI-Sig ve ESRF tarafından yayınlanan, seçim teknolojisi üreticileri tarafından yayınlanan ve araştırmacılarla işbirliği içinde bir araya getirilen üç bağımsız bulgu raporunun bir koleksiyonudur. Bu raporlar, etkinlik sırasında 48 saatlik test süresinin ve olay sonrası triyaj ve iyileştirme penceresinin sonucuydu. Test edilen saldırı vektörleri, oy pusulası doldurma, tarayıcı hizmet reddi, web sitesi URL çömelme ve ön panel iş istasyonu erişimi de dahil olmak üzere bir dizi seçim güvenlik tehdidini ele aldı. Üç seçim teknolojisi üreticisindeki 21 rapordan 19’u “düşük risk” olarak kategorize edilirken, geri kalan ikisi hala araştırılmaktadır.
Gelecek için Öğrenmeler
Bu işbirliğinin başarısını geliştirmek için, üreticiler ve araştırmacılar, öğrenme ve geliştirme fırsatları olduğu konusunda hemfikirdir. Gelecekteki etkinlikler için, yerel ve eyalet yargı bölgelerini içerecek şekilde ekosistemin daha fazlasını çekmek ve test etmek ideal olacaktır. Bu sadece saldırı yüzeyi güvenliği araştırmacılarının test edebileceği genişletmekle kalmaz, aynı zamanda seçim güvenlik alanındaki daha fazla saldırı vektörüne odaklanmalarını da sağlar.
Seçimleri güvence altına alma yolculuğu muhtemelen tam bir tam olarak olmayacak, her zaman yeni teknolojiler, yeni insanlar ve süreçler ve yeni tehditler olacak. Seçim sistemlerinin norm haline gelmesinin bu işbirlikçi ve şeffaf güvenlik testi uygulamasıyla, genel olarak daha esnek bir seçim sürecinin temelini geliştirmek için bir yol var.
Bir güvenlik açığı açıklama programı oluşturma konusunda tavsiye için bugün uzmanlarımızdan biriyle konuşun.