NIST găsește probleme de securitate cu votul în străinătate prin e-vot

Eforturile de a permite membrilor alegătorilor militari americani și ale altor alegători de peste hotare să trimită buletine de vot prin e-mail sau pe Internet se confruntă cu probleme serioase de securitate, potrivit unui nou raport al guvernului SUA

Chiar dacă votul prin corespondență standard are propriile probleme, raportul de la Institutul Național de Standarde și Tehnologie din SUA (NIST), spune că transmisia electronică a buletinelor de vot completate, inclusiv telefonul și faxul, "prezintă provocări semnificative pentru integritatea alegerilor". Departamentul Apărării a experimentat votarea pe internet în 2003, dar a renunțat la un program pilot în anul următor, după apariția problemelor de securitate. O mână de state au experimentat votarea pe Internet, inclusiv Florida și Alabama în 2008, determinate de preocupările privind buletinele de poștă militară care nu au fost livrate la timp pentru a fi luate în considerare.

Comisia de asistență (CEA) pentru studierea metodelor de vot în străinătate, iar raportul NIST face parte din acest efort. "Securitatea IT este un aspect important al acestei probleme, astfel că EAC a cerut NIST să efectueze un studiu care să exploreze amenințările la adresa securității asociate cu tehnologiile electronice potențiale pentru votul de peste hotare și să identifice posibilele modalități de atenuare a amenințărilor", a declarat Nelson Hastings, autorul raportului

Raportul NIST spune că este relativ sigur să transmiteți buletinele nevalabile prin fax sau prin e-mail sau să le puneți pe Web, dar trimiterea buletinelor de vot completate prin aceste metode prezintă probleme de securitate sau de confidențialitate. > Votarea prin telefon ar necesita coduri PIN, iar PIN-urile pot fi pierdute sau furate, se spune in raport. În plus, apelurile telefonice pot fi apelate, în special apelurile VoIP (Voice over Internet Protocol), se spune în raport.

Transmisiile fax pot fi relativ sigure, însă buletinele de fax pot fi lăsate nesupravegheate "timp de mai multe ore". "Aparatele de fax ar fi probabil lăsate într-o cameră la biroul electoral care primește faxuri pe parcursul zilei", se spune în raport. "Acest lucru îi oferă atacatorilor posibilitatea de a vizualiza informații personale sensibile sau de a distruge formularele de înregistrare valide."

E-mailurile pot fi interceptate sau blocate, se adaugă raportul. "E-mailul nu oferă nicio garanție că destinatarul destinat va primi mesajul", se spune în raport. "Un atac asupra serverelor DNS [Domain Name System] ar putea direcționa e-mailuri către o parte atacantă, ceea ce nu ar avea ca rezultat numai excluderea dreptului la vot, ci și pierderea informațiilor electorale sensibile."

În timp ce nu există rapoarte despre astfel de un atac care a avut succes, a fost descoperită o vulnerabilitate recentă în serverele DNS care ar fi putut fi folosite pentru a crea un astfel de atac, se spune în raport.

Există și o serie de atacuri mai puțin sofisticate care ar putea perturba votarea prin e-mail spune. "Un atac de negare a serviciilor ar putea inunda oficialii electorali cu un număr mare de e-mailuri frauduloase", se arată în raport. "Numărul de e-mailuri ar putea copleși repede serverul de e-mail al oficialilor electorali, împiedicând formatele legitime de înscriere să ajungă la oficialii electorali".

Votarea pe internet ar putea folosi criptarea pentru a evita scurgeri de date, atacurile alimentate de botneturi reprezintă o problemă potențială. "Un atac negativ de serviciu ar duce la copleșirea traficului serverului Web electoral, împiedicând alegătorii legitimi să trimită materiale de înregistrare și de solicitare a buletinelor de vot", se arată în raport. "Este foarte dificil de protejat împotriva atacurilor de negare a serviciilor de la un atacator cu o cantitate mare de resurse".

Mai multe state distribuie buletinele prin e-mail sau fax, iar raportul NIST recomandă Comisiei de asistență electorală să elaboreze linii directoare pentru facand asa. Oferă puține sfaturi pentru alternativele la corespondența tradițională pentru returnarea buletinelor de vot, cu toate acestea, spunând că trebuie monitorizate îmbunătățirile în securitate

"Sistemele de fax, e-mail și Web ar putea distribui buletinele libere în mod rapid și fiabil alegătorilor, reducând în mod semnificativ timpul de difuzare a buletinelor de vot cu care se confruntă trimiterea de buletine de vot către alegători și îmbunătățirea … experienței de vot pentru cetățenii de peste hotare". "În plus, cererile de înregistrare și de vot pot beneficia de asemenea de aceste metode de distribuție, însă există mai multe amenințări la manipularea informațiilor personale de la alegători. Rotația voturilor votate rămâne o problemă mai dificilă."

Rolul NIST în sistemele electorale este "pur tehnic", a declarat co-autorul raportului, Andrew Regenscheid. "NIST nu stabilește și nu recomandă decizii politice", a spus el. "Este de datoria oficiilor de stat și locale să decidă ce nivel de risc sunt dispuși să-și asume, pe baza procedurilor și controalelor pe care le-au pus în aplicare."