Cylance demuestra vulnerabilidades en máquinas de votación

0
118

Cylance, la empresa que está revolucionando la ciberseguridad mediante el apalancamiento de la Inteligencia Artificial para prevenir proactivamente las ciber- amenazas más avanzadas, anunció la explotación de vulnerabilidades críticas en un modelo común de máquina de votación. La explotación de dichas vulnerabilidades eran previamente considerada solo teorética en naturaleza previo a las revelaciones de los investigadores de Cylance. Las técnicas de comprobación son relativamente simples de llevar a cabo, pero requieren el acceso físico a las máquinas de votación.

Para ayudar a entender el riesgo de la integridad de la votación, Cylance produjo un video de demostración de las técnicas usadas para afectar la máquina de votación Edge Mk1 Sequoia AVC. El video cómo ellos fueron capaces de remover fácilmente y reemplazar tarjetas de memoria flash internas, manipular las votaciones en la memoria, y causar que el voto hacia un candidato sea acreditado a otro mediante la alteración de elementos del display de la pantalla del dispositivo.

Adicionalmente,  demuestra cómo los conteos pueden ser manipulados tanto en el contador público como en el protegido, el cual fue diseñado como un sistema de verificación redundante para asegurar que los resultados sean válidos. Métodos similares de explotación fueron propuestos en bases teóricas por otros investigadores como en 2007 con el whitepaper “Revisión del Código Fuente del sistema de Votos de Sequoia”, y fueron luego discutidos en el artículo de político “Cómo hackear una elección en 7 minutos”, pero Cylance es el primero en demostrarlo en la vida real.

Información adicional de las vulnerabilidades no pueden ser informadas públicamente por razones de integridad de la elección, pero Cylance ha provisto de talles de las técnicas tanto a Sequoia como a las autoridades gubernamentales, así como también sugerencias para mitigarlas. Cylance recomienda un incremento en la supervisión/ monitoreo sobre el acceso físico a las máquinas de votación, en especial si están ligadas a interfaces o puertos con excepción del slot de la tarjeta de activación del votante (típicamente en el frente); la verificación frecuente de los errores de hardware o software, como los mostrados en la pantalla del operador alrededor de dispositivos, puertos, etc.

Para la mitigación a largo plazo, Cylance recomienda el reemplazo de máquinas inseguras y depreciadas (que no cuenten con mecanismos de verificación de datos). Así mismo, es importante la participación de voluntarios/ oficiales / trabajadores en el lugar de votación.

Las unidades en cuestión, es sabido que se encuentran en numerosas locaciones de votación en el país. De acuerdo al sitio web VerifiedVoting.org , el sistema DRE Pantalla Táctil de Sequoia se usa en 8,170,477 votantes registrados en 22,368 precintos. El descubrimiento de ésta explotación durante ésta semana junto a la simplicidad con la cual fue descubierto (3-4 dias) y el real potencial de que un adversario afecte la integridad de las máquinas de votación, nos incitó a anunciar éstos descubrimientos antes de la elección.

“Creemos que tanto el público como las agencias regulatorias necesitaban ser advertidas inmediatamente para que tomen las medidas apropiadas para asegurar las máquinas de votación”, dijo el CEO y Presidente de Cylance Stuart McClure. “También esperamos que la información que proveemos al fabricante los ayude a desarrollar mejores dispositivos en el futuro para poder lograr que el proceso de elecciones sea más seguro.