选举科技巨头ES&S和安全公司Synack Partner允许经过Synack审查的安全专业人员对一些ES&S产品进行渗透测试

2020-08-06 12:24:38

十多年来,投票机公司和安全研究人员之间的关系一直令人担忧。制造商长期以来一直拒绝允许漏洞猎人不受限制地进入,尽管主要的、长期存在的漏洞困扰着在本世纪头十年和2010年代使用的投票机型号。然而,一项新的合作表明,冷战已经开始有意义地解冻。

在今天的黑帽安全大会上,选举技术巨头ES&;S的系统安全副总裁兼首席信息安全官克里斯·沃拉斯钦(Chris Wlaschin)和安全公司Synack的首席技术官马克·库尔(Mark Kuhr)详细介绍了两家公司将如何合作,以便对一些ES&;S产品进行所谓的渗透测试,并指出了弥合两家公司之间长期鸿沟的更大项目。

Synack的库尔周一告诉“连线”说,历史上有过很多怨恨,但我认为这是一个积极的发展。我们试图做的是把球向前推进,让这些选举技术供应商以更开放的方式与研究人员合作,认识到安全研究人员总体上可以为发现可能被我们的对手利用的漏洞的过程增加很多价值。

Synack将管理ES&;S的一个项目,在该项目中,经过Synack审查的安全专业人士将检查并试图侵入ES&;S的新型电子投票簿,选举官员用来管理选举选民登记数据的设备。通过将该设备扔给狼群,ES&;S可以在恶意黑客发现之前了解并修复潜在的安全问题。Wlaschin表示,该公司还计划与Synack一起对其他产品进行额外的众包渗透测试。他补充说,最终,该公司希望在新产品仍处于开发阶段时,对它们进行这种类型的渗透测试。ES&;S还在会谈期间宣布了一项经过修改的协调漏洞披露计划,为黑客提交调查结果创造了一条清晰的途径,而无需担心报复。

过去,ES&;S;在信息披露和流程方面的立场是出了名的不透明。该公司在美国投票机市场的主导地位使其能够对标准和监管施加影响。所有这些都使得周三的黑帽谈话更加值得注意。

这是一个相当大的变化,ES&;S&S的沃拉钦在演讲前告诉“连线”杂志。考虑到我们所处的时代和对选举安全的关注,ES&;S公司一段时间以来一直在努力与安全研究人员合作,第一,提高我们设备和软件的安全性,第二,改善人们对选举安全的看法。

多年来,投票机一直是一个黑匣子,尽管越来越多的州用计算机化的选项取代了旧的模拟评分系统。数字千年版权法甚至规定,安全研究人员调查投票机的潜在漏洞是非法的,直到2016年才有所改变,投票机安全研究的DMCA例外。

这为被称为投票村的项目铺平了道路,该项目于2017年启动,很可能是第一次让研究人员拿到投票机,并开始侵入它们。作为Defcon安全会议的一部分,投票村也充当了一种市政厅,供人们在投票安全方面进行辩论和创新。2018年,ES&;S给客户写了一封信,淡化投票村及其调查结果的重要性:参与者绝对会接触到一些投票系统的内部组件,因为他们将完全不受限制地进入投票单位,而不需要训练有素的投票工作人员、锁、防篡改印章、密码和其他安全措施,这些都是在实际投票情况下到位的。

ES&;S&39;的沃拉钦表示,该公司已经建立了漏洞披露机制,但他已努力将这些机制统一起来,使公司更容易对研究结果做出快速反应。他于2018年加入该公司,此前他在海军工作了30多年,并在退伍军人事务部和卫生与公众服务部领导信息安全工作。他补充说,ES&;S;在漏洞披露方面的现代化进程是一个积极的过程。

他说,虽然有些人可能认为这只是一小步,但它们是朝着正确方向迈出的一步。我们对这件事是认真的,这样的话会传开的。因为黑客要进行黑客攻击,所以研究人员要进行研究。

Wlaschin和Kuhr都表示,他们希望他们的谈话以及ES&;S和Synack之间的合作将在选举技术行业树立榜样,并加强正在进行的拥抱安全研究的运动。对于安全界来说,评估这些意图的纯洁性可能需要时间。但由于距离事关重大的总统选举只有几个月的时间了,而且每个人都在考虑投票安全问题,这两个行业之间的更多合作可能是令人鼓舞的一步。

🎙️收听“连线”,这是我们关于未来如何实现的新播客。收看最新剧集,订阅📩时事通讯,跟上我们所有节目的最新动态。

🏃🏽‍♀️想要最好的健康工具吗?看看我们Gear团队挑选的最好的健身跟踪器、跑步装备(包括鞋子和袜子)和最好的耳机