经济

更新时间下午3:20 AEDT:新南威尔士州选举委员会现已公开评论Vanessa Teague博士和J教授Alex Halderman发现的安全缺陷但作者如下所述,“我们担心新南威尔士州选举委员会似乎不理解这次攻击的严重影响“在本文末尾阅读其余的回复如果你是新南威尔士州的66,000人之一,他们在3月16日星期一至3月21日星期六中午使用iVote进行州选举投票,如果你不知道我们怎么知道,你的投票可能已被曝光或改变?因为我们在流行的iVote系统中发现了一个安全漏洞,让我们做到了这一点,如果我们选择了那个,尽管新南威尔士州选举委员会一再保证:人民的投票是完全保密的,它是完全加密和保护的,它不能被篡改正如我们已经表明的那样,这不是真的我们应该强调,不是做任何非法行为或扰乱3月28日的州选举结果,我们只是根据我们自己的实践投票测试了这个安全漏洞。 iVote练习服务器在检查了相同的弱点影响真实的投票服务器之后,我们在上周晚些时候向当局发出警告我们也等到我们看到问题已经解决之后才公开谈论它我们发现的问题是投票服务器已经加载来自第三方网站的一些代码容易受到FREAK攻击,这是一个主要的安全漏洞,导致Apple和Google设备容易受到攻击(你可以阅读最近的Washin gton Post解释FREAK漏洞的文章)这个全球安全问题如何影响iVote?有关我们所做和所发现的更长,更技术性的解释,请阅读更多内容较短的版本是通过不到一周的共同努力,我们两个人发现FREAK漏洞让我们 - 或者可能是任何拥有合适技术的人知识 - 拦截新南威尔士州选民的互联网流量,并在易受攻击的网络浏览器中插入不同的代码许多(但不是全部)浏览器在过去一周都得到了适当的修补 - 这个网站可以让你检查你的网站是否仍然很脆弱我们证明了我们可以制作选民的网络浏览器显示选民想要的内容,但秘密地向iVote投票服务器发送不同的投票iVote系统确实包括对选择在线投票或通过电话投票的人进行投票验证过程,他们随后可以拨打自动交互式电话行来仔细检查系统对他们的投票但是,该验证系统可能存在错误或安全漏洞;我们无论如何也无法确切地告诉你,因为没有公开的源代码或系统细节鉴于所谓的“完全加密和保护”的iVote系统被证明很容易受到攻击,我们当然不会建议人们抓住任何机会在新南威尔士州选举中在线投票2015年新南威尔士州选举是澳大利亚有史以来规模最大的电子投票测试,过去在很大程度上仅限于小型试验。官方预测显示,20,000至250,000人将在此次选举中使用iVote进行投票。新南威尔士州的选举已经成为迄今为止世界上最大的在线选票之一,有望超过2013年以电子方式投票的70,090名挪威人,甚至可能击败在2015年爱沙尼亚选举中投票的176,491人在第一周,甚至除了我们的发现之外,事情还没有顺利进行使用iVote的早期投票于3月16日星期一上午8点开始,并且将在选举之夜的下午6点关闭,星期六3月28日星期二3月17日星期二,新南威尔士州选举委员会暂停投票六小时后,事实证明两个小党派被排除在新南威尔士州上议院在线选票的“线上”部分之外这个问题归咎于人类错误,是固定的 - 但不是在19,000票之前已经投票选举中有时会发生严重的人为错误,它们也会影响纸质选票我们对网上投票的关注 - 特别是关于NSW iVote系统 - 是安全漏洞,如我们上周发现的一个仍然过于普遍和可预测不到两周前,我们中的一个人(Teague博士)在“对话”中写到了iVote潜在的隐私和投票篡改问题该文章反映了对新南威尔士州选举的一封信所表达的担忧。委员会在2013年 然而,该委员会从未对这些担忧作出有意义的回应,并且还选择不公开评论我们暴露的FREAK安全漏洞然而,这不是其他地方的选举当局想要提供值得信赖的选举结果的方法。例如,在2010年,华盛顿特区选举和道德委员会邀请密歇根大学(由Halderman教授领导)的专家团队试图破解该地区新的在线投票系统48小时内,密歇根大学队已经入侵,接管选举服务器作为候选人(包括市长和国会议员)添加了虚构的电影和电视人物,改变了每一票,几乎揭晓了所有的秘密选票。选举官员没有意识到他们的系统在近两个工作日被黑了。 ,这只是因为黑客团队留下了一个音乐剧“电话卡”,改变了在v结束时出现的Thank You页面oting过程让它发挥了密歇根大学的战斗歌曲我们希望在iVote中没有更多可利用的安全问题,并且新南威尔士州选举的其余部分运行得更顺利但是因为我们没有机会检查服务器端代码或系统,没有办法确定当你在互联网上工作时,新的漏洞总是会出现这就是为什么,如果你想确定你的投票在新南威尔士州选举中有用,我们建议你坚持使用老式的纸质选票下午3:20更新:自从发表这篇文章以来,这个问题已被其他新闻媒体广泛报道,包括ABC电台和网上新南威尔士州选举委员会的首席信息官Ian Brightwell告诉ABC,有一个问题,但它已经固定,系统是安全的我们有信心,系统正在产生我们实际上最初计划产生的结果,那就是验证过程没有告诉我们任何故障都在系统虽然我们很高兴新南威尔士州选举委员会根据我们的调查结果迅速对iVote进行了更改,但我们担心它似乎不理解这次攻击的严重影响在委员会修补系统之前,问题可能被利用在现实和广泛的条件下,iVote系统无法证明这没有发生问题是iVote系统中错误设计的直接后果,特别是包含来自外部源代码的决定其影响是允许攻击者修改投票,显示新南威尔士州选举委员会过去声称投票“完全加密和保护[和]不能被篡改”是虚假的我们必须证明违反实践系统,因为违反实际的iVote流程有根据选举委员会的网站,在监狱中处罚三年由于真正的系统使用相同的代码,真正的系统会ha这次新南威尔士州选举的完整性现在依赖于iVote的验证和审核流程 - 但这些只能提供有限的防御,充其量选举委员会的安全测试未能揭露我们发现的漏洞,并且可能也漏掉了瑕疵在服务器软件,验证协议和审计过程中委员会迄今拒绝将这些关键组件提供给公众审查*您可以在3月23日收听ABC World Today计划对此问题的报道,

作者:戴醍