美国投票硬件制造商的令人震惊的发现:当你真正与社区合作时,安全性会提高

2020-08-16 22:34:46

今天,就在马特·布拉泽教授讨论美国选举系统安全状况几个小时后,美国最大的投票机制造商之一站出来表示,该公司正在努力改进其漏洞研究项目。

选举系统和软件(ES&;S)的产品包括电子投票箱和选民登记软件,该公司表示,它正在与信息安全机构和漏洞查找人员合作,以提高其产品的安全性。

在今年的在线黑帽美国会议上发言时,CISO克里斯·沃拉斯钦概述了他的企业已经或即将采取的一些步骤,以彻底改变与漏洞赏金猎人的关系。

美国正在控制其电子投票机的安全-然后突然...。一场狂野的大流行出现了。

多读。

除了正在进行的漏洞奖励计划,ES&;S表示,它将利用安全公司Synack的服务来弥合与赏金猎人之间的差距,并使其产品能够更好地抵御来自国家支持组织等机构的攻击。

最值得注意的是,ES&;S将加强上述奖励计划。在Synack道德黑客的帮助下,测试人员将能够敲打ES&S ExpressPoll这样的设备,而不必担心法律报复。

这实际上是ES&;S迈出的一大步,在我们上次入住时,它正与DEF Con的组织者就其产品是否被纳入投票机黑客村而争吵不休,并因其松懈的安全措施而受到政府官员的抨击。

自那以后,这家制造商表示,它已经升级了游戏,并接受了外部关于其设备存在弱点的报告。Wlaschin指出,ES&;S与漏洞查找人员合作,为其产品和其他供应商的产品打补丁。

曾与ES&;S合作的赏金猎人之一、业内资深人士杰克·凯布尔(Jack Cable)对扩大后的计划表示赞同。

今天,美国最大的投票供应商发布了一项漏洞披露政策,授权黑客测试他们的系统。这是朝着选举安全透明度迈出的一大步。我希望其他供应商也能效仿,张开双臂欢迎黑客。🧵。

-杰克·有线(@jackhCable)2020年8月5日。

ES&;S还表示,它计划让州选举机构参与这一努力,尽管它没有承诺让其他选举机器供应商参与进来。

与此同时,Synack首席技术官马克·库尔(Mark Kuhr)博士谈到了他的公司将在2020年大选前帮助清理ES&S;S&S的安全声誉和保护美国投票机方面发挥的作用。

库尔说,这些公司计划在该项目中使用的一个参照点是2016年成功的黑客攻击五角大楼活动。

我们的选举基础设施被国土安全部指定为关键基础设施,他说。我们在这里看到的是安全研究界和政府机构天作之合。