NIST, Yurtdışı E-oylama ile Güvenlik Sorunlarını Buldu

ABD ordusu mensuplarının ve diğer denizaşırı seçmenlerin e-posta yoluyla veya internette oy kullanmalarına izin verme çabaları, yeni bir ABD hükümet raporuna göre ciddi güvenlik sorunları yaşıyor.

Standart postaya göre oylama olmasına rağmen. ABD Ulusal Standartlar ve Teknoloji Enstitüsü'nün (NIST) kendi sorunları, raporun, telefon ve faks da dahil olmak üzere tamamlanmış oy pusulalarının elektronik olarak aktarılmasının "seçimin bütünlüğüne önemli zorluklar getirdiğini" söyledi.

ABD Savunma Bakanlığı 2003 yılında İnternet oyu ile deneme yaptı, ancak güvenlik endişeleri ortaya çıktıktan sonra bir sonraki yıl bir pilot program başlattı. Bir avuç devlet, 2008 yılında Florida ve Alabama da dahil olmak üzere İnternet üzerinden oy kullanma konusunda deneyler yaptı, bu da askeri posta sandıklarının sayılması için zamanında teslim edilmemesiyle ilgili endişelerin ortaya çıkmasına neden oldu.

2002 Amerika Yardım Anlaşması (HAVA) ABD Seçimini gerektiriyor Denizaşırı oylama yöntemlerini incelemek için Yardım Komisyonu (EAC) ve NIST raporu bu çabaların bir parçasıdır. "BT güvenliği bu konunun önemli bir yönüdür, bu nedenle EAC, NIST'in denizaşırı oylama için potansiyel elektronik teknolojilerle ilişkili güvenlik tehditlerini araştıracak bir araştırma yürütmesini ve tehditleri hafifletmenin olası yollarını tespit etmesini istedi," diyor Nelson Hastings, raporun yazarı.

NIST raporu, doldurulmamış oy pusulalarını faks veya e-posta ile göndermenin ya da Web’e koymanın nispeten güvenli olduğunu, ancak bu yöntemlerle doldurulmuş oy pusulalarının güvenlik veya gizlilikle ilgili sorunları bulunduğunu söylüyor.

Raporda, telefonla oylama PIN'leri gerektirecek ve PIN'ler kaybolacak veya çalınabilir. Buna ek olarak, raporda, özellikle VoIP (İnternet Protokolü üzerinden sesli aramalar) çağrıları yapılabiliyor, raporda belirtiliyor.

Faks aktarımları nispeten güvenli olabilir, ancak fakslanan oy pusuları birkaç saat boyunca "katılımsız bırakılabilir" diyor. Raporda, "Faks makineleri, gün boyunca faks alan seçim ofisinde bir odada kalacaktı" dedi. "Bu, saldırganların hassas kişisel bilgileri görmeleri veya geçerli kayıt formlarını imha etmeleri için zaman kazandırır."

E-posta engellenebilir veya engellenebilir, rapor ekliyor. Raporda, "E-posta, hedeflenen alıcının mesajı alacağı konusunda herhangi bir garanti vermemektedir." "DNS [Etki Alanı Adı Sistemi] sunucularına yönelik bir saldırı, e-postaları saldıran bir tarafa yönlendirebilir. Bu, yalnızca seçmenlerin haklarının çiğnenmesiyle değil, aynı zamanda hassas seçmen bilgilerinin kaybolmasıyla sonuçlanır."

bir saldırının başarılı olması, DNS sunucularında bu tür bir saldırı oluşturmak için kullanılabilecek yeni bir güvenlik açığının keşfedildiğini belirtti. Raporda, "E-posta oylamayı bozabilecek, daha az karmaşık saldırılar da var." diyor. Raporda, "Bir hizmet reddi saldırısı, seçim yetkililerine çok sayıda hileli e-posta gönderebilir." "E-postaların sayısı, seçim yetkililerinin e-posta sunucusunu hızlı bir şekilde etkileyerek, yasal kayıt formlarının seçim yetkililerine ulaşmasını engelleyebilir."

Web tabanlı oylama, veri sızıntılarına karşı koruma sağlamak için şifrelemeyi kullanabilir, ancak hizmet reddi botnets tarafından desteklenen saldırılar hala potansiyel bir sorundur. Raporda, "Başarılı bir hizmet reddi saldırısı, seçim Web sunucusunu trafikle karşı karşıya getirecek ve meşru seçmenlerin kayıt ve oylama talebi materyalleri göndermesini engelleyecektir." "Bir saldırganın büyük miktarda kaynağı olan bir saldırgandan hizmet reddi saldırılarına karşı korunmak çok zordur."

Bazı eyaletler zaten e-posta veya faks yoluyla oy pusulası dağıtıyor ve NIST raporu Seçim Yardım Komisyonu'nun, Bu şekilde. Oysa, geri dönen oy pusulaları için geleneksel postalara alternatifler konusunda çok az öneride bulunuluyor, ancak güvenlik konusunda iyileştirmelerin izlenmesi gerekiyor.

Raporda, "Faks, e-posta ve Web tabanlı sistemler seçmenlere hızlı ve güvenilir bir şekilde boş oy pusulaları dağıtabilirken, oy sandıklarının seçmenlere gönderdiği oy pusulalarının karşı karşıya kaldığı süreyi önemli ölçüde azaltabildiğini ve vatandaşların yurtdışındaki vatandaşlara oy verme deneyimini geliştirebileceğini" belirtti. "Ayrıca, kayıt ve oylama talepleri de bu dağıtım yöntemlerinden faydalanabilir, ancak seçmenlerin kişisel bilgilerini ele alırken daha fazla tehdit var. Oy vermenin oylanması daha zor bir konu olmaya devam ediyor."

NIST'in seçim sistemindeki rolü "Tamamen teknik", rapor eş yazar Andrew Regenscheid dedi. "NIST, politika kararlarını belirlemiyor veya önermiyor" dedi. “Devlet ve yerel seçim yetkilileri, uygulamaya koydukları prosedür ve kontrollere dayanarak hangi risk düzeyini üstlenmeye karar verdikleri konusunda karar verecekler.”