Olay
Seçim sezonuna hazırlanırken, Hackerone, Bilgi Teknolojisi – Bilgi Paylaşımı ve Analiz Merkezi (BT -ISAC) içindeki Seçim Güvenliği Grubu ile koordineli olarak benzersiz bir canlı hack etkinliği planladı ve yürüttü. HackerOne’un teknoloji sahiplerinin ve araştırmacılarının hedeflenen varlıkları test etmek için birlikte çalıştıkları mevcut canlı hack etkinliklerinden sonra modellenen BT-ISAC, bu tür ilk etkinlik için danışma kurulunun kolektif deneyimini kullandı.
Hackerone, seçimlerimizi güvence altına almak için canlı hack etkinliğini planlamak için gerekli önemli uzmanlığını ve kaynaklarını memnuniyetle sağladı. Üç seçim teknolojisi üreticisi ve 15 bağımsız, donanım hackleme uzmanlığına sahip ABD güvenlik araştırmacıları araştırdı. İki günlük bir süre boyunca, bu etik bilgisayar korsanları ve seçim teknolojisi sağlayıcıları, yeni geliştirilmiş ve henüz yerleşik yazılımların konfigürasyonlarıyla modern seçim teknolojisine kontrollü erişimi içeren seçim cihazlarında potansiyel güvenlik sorunlarını araştırmak için işbirliği yaptı. Test edilen cihazlar, seçmenlerin bir sandık sitesinde karşılaşabileceği teknolojiyi vurgulayarak dijital tarayıcılar, oy pusulası cihazları ve elektronik politika kitaplarını içeriyordu. Testlere ek olarak, Hackerone gibi çeşitli uzman paydaşlar, paneller ve takip tartışmaları aracılığıyla sağlayıcılar arasında öğrenilen işbirliğini ve yaygın dersleri daha da geliştirdi.
Sonuçlar
48 saatlik bir test penceresinde, etik bilgisayar korsanları üç seçim teknolojisi üreticisinde 21 rapor sundu. Test edilen saldırı vektörleri, oy pusulası doldurma, tarayıcı hizmet reddi, web sitesi URL çömelme ve ön panel iş istasyonu erişimi gibi bir dizi seçim güvenlik tehdidini temsil ediyordu. Sonuç daha güvenli ürünler ve dolayısıyla daha güvenli seçimler ve paydaşlar arasında güçlendirilmiş bir güvendi.
Bu etkinlik, Seçim Teknolojisi üreticileri tarafından Güvenlik Açığı Açıklama Programlarının (VDP) benimsenmesini desteklemek için önceki çabalar üzerine inşa edilmiştir. VDP, üçüncü tarafların potansiyel güvenlik açıklarını ve güvenlik boşluklarını doğrudan etkilenen kuruluşlara bildirmeleri için güvenli bir kanal sağlayan “bir şey söyle” politikasıdır. HackerOne dahil olmak üzere eski seçim yetkililerinin, endüstrinin ve güvenlik araştırma topluluğunun yardımıyla, seçim teknolojisi üreticileri bu güvenlik en iyi uygulamasını giderek daha fazla uyguladı. Çoğu seçim teknolojisi şirketi şu anda VDP’lere sahip olsa da, geçen yılki etkinlik çeşitli sistemlere daha fazla erişim sağladı ve bu işbirliğinin güvenliği artıran değerini güçlendirdi.
Gelecek
Etkinliğin başarısının ardından BT-ISAC, sektördeki VDP ve sorumlu açıklamayı daha iyi karşılamak ve bu etkinliğin gelecekteki yinelemeleri için bir çerçeve geliştirmek için standartları güncellemeye ve modernleştirmeye odaklanmıştır. Paydaşlar, eyalet ve yerel seçim yetkilileri de dahil olmak üzere, daha geniş bir dizi araştırmacı, ek şirket ve seçim güvenlik sürecine katılan diğerlerini dahil etmeyi amaçlayan gelecekteki olası etkinlikleri araştırıyorlar. Bu sadece saldırı yüzeyinin etik bilgisayar korsanlarının test edebileceği, aynı zamanda ek saldırı vektörlerine odaklanmaları için de güçlendirmekle kalacaktır. Oylarımızın bütünlüğünü korumak hayati önem taşır ve güç açıklarını sömürülmeden önce tanımlamak ve ele almak için donanımı kesmek için bir odada bir grup uzman almak gibi proaktif yaklaşımlar gerektirir.
Tüm Seçim Güvenlik Araştırma Forumu Hikayesini Oku>