El pasado domingo en Perú se organizó las elecciones distritales, municipales y regionales. Ante tanta afluencia de personas (sólo en Lima votaron más de 9 millones de personas, casi la 3era parte del Perú) es cada vez más arcaico pensar que podemos hacer uso de las votaciones de gran escala de la misma manera como se ha estado haciendo todos estos años.
También se suma la idea de que se está haciendo gran despedicio de papeles, por lo que hacer uso de un sistema de voto electrónico ayudaría mucho a la preservación del medio ambiente, como a la rapidez de conteo de votos, rapidez de los votantes y la eliminación de las largas colas.
De hecho que los mecanismos digitales de votación pueden aliviar a más de uno y a toda una población. Pero (siempre existen los ‘PEROS’), ¿es totalmente seguro? ¿Es seguro que un voto virtual pueda considerarse válido? ¿Es seguro que hayan personas honestas que nunca atenten contra la seguridad y la integridad de cada uno de los votos? Y ni hablar de la disponibilidad, porque si se cae el servicio de votación digital, estamos fritos y revueltos.
En Columbia, distrito de Estados Unidos, se está desarrollando un piloto en la cual se permitiría a los votantes ausentes hacer su respectivo voto, como también incitando a los ciudadanos a evaluar la seguridad del sistema piloto.
El sistema se basa en un código abierto desarrollado con colaboración de TrustTheVote. Funciona con el famoso framework de Ruby y está montado en un servidor Apache con una base de datos MySQL.
Los votantes ausentes recibirán una carta donde se les pedirá visitar una página http://www.dcboee.us/DVM/; se les otorgará un PIN de 16 dígitos. El sistema ofrece a los votantes dos opciones:
Una frase dice: “Una vulnerabilidad es tan limitada como tú quieres que sea” y esto se aplica en esta ocasión. Se ha encontrado una pequeña vulnerabilidad, que por más pequeña que sea, puede ocasionar problemas muy grandes.
La vulnerabilidad consiste en la forma en que el sistema procesa las papeletas subido está mal validada. Se confirmó el problema con una instalación de prueba de la aplicación web, y se encontró los siguientes problemas:
Esto es sólo un mecanismo de voto digital, se pueden crear nuevos mecanismos, otros métodos, otras maneras de implementar votos digitales, pero siempre habrán nuevas brechas, nuevas vulnerabilidades, nuevas fallas, nuevas formas y nuevos métodos de HACKEAR EL SISTEMA.
No estoy diciendo que no debe implementarse este tipo de soluciones, es más, digo todo lo contrario, tanto el Perú como otras naciones ya deben implementar esta solución que es necesario para el bienestar de nosotros como también del planeta, pero hay que tratar de reducir al mínimo el margen de horror en los sistemas informáticos que se implementen en este tipo de eventos.
Para mayor información entren a The Trust Vote. Organización que busca digitalizar este tipo de eventos de gran magnitud, como son las elecciones de un país.
Fuente: Cholohack
También se suma la idea de que se está haciendo gran despedicio de papeles, por lo que hacer uso de un sistema de voto electrónico ayudaría mucho a la preservación del medio ambiente, como a la rapidez de conteo de votos, rapidez de los votantes y la eliminación de las largas colas.
De hecho que los mecanismos digitales de votación pueden aliviar a más de uno y a toda una población. Pero (siempre existen los ‘PEROS’), ¿es totalmente seguro? ¿Es seguro que un voto virtual pueda considerarse válido? ¿Es seguro que hayan personas honestas que nunca atenten contra la seguridad y la integridad de cada uno de los votos? Y ni hablar de la disponibilidad, porque si se cae el servicio de votación digital, estamos fritos y revueltos.
En Columbia, distrito de Estados Unidos, se está desarrollando un piloto en la cual se permitiría a los votantes ausentes hacer su respectivo voto, como también incitando a los ciudadanos a evaluar la seguridad del sistema piloto.
El sistema se basa en un código abierto desarrollado con colaboración de TrustTheVote. Funciona con el famoso framework de Ruby y está montado en un servidor Apache con una base de datos MySQL.
Los votantes ausentes recibirán una carta donde se les pedirá visitar una página http://www.dcboee.us/DVM/; se les otorgará un PIN de 16 dígitos. El sistema ofrece a los votantes dos opciones:
- Pueden descargar una boleta PDF y enviarlo por correo,
- Pueden descargar una votación PDF, rellenarlo de forma electrónica, y luego subir la boleta completa en formato PDF en el servidor.
Una frase dice: “Una vulnerabilidad es tan limitada como tú quieres que sea” y esto se aplica en esta ocasión. Se ha encontrado una pequeña vulnerabilidad, que por más pequeña que sea, puede ocasionar problemas muy grandes.
La vulnerabilidad consiste en la forma en que el sistema procesa las papeletas subido está mal validada. Se confirmó el problema con una instalación de prueba de la aplicación web, y se encontró los siguientes problemas:
- Se puede obtener los mismos privilegios de acceso como el programa de aplicación de servidor en sí, incluyendo accesos de lectura y escritura de los votos cifrados y base de datos.
- La capacidad de recolectar datos secretos almacenados en el servidor, incluyendo los nombres de usuario y contraseña.
- Las papeletas que ya habían sido enviadas podían ser modificadas
- Los investigadores instalaron, durante el ataque inicial, un backdoor para poder ver las actualizaciones de papeletas.
- Para demostrar que tenían el control del servidor, dejaron una ‘tarjeta de presentación’ en la página de confirmación que los usuarios ven después de votar. Después de 15 segundos la página reproduce el himno de la Universidad de Michigan.
Esto es sólo un mecanismo de voto digital, se pueden crear nuevos mecanismos, otros métodos, otras maneras de implementar votos digitales, pero siempre habrán nuevas brechas, nuevas vulnerabilidades, nuevas fallas, nuevas formas y nuevos métodos de HACKEAR EL SISTEMA.
No estoy diciendo que no debe implementarse este tipo de soluciones, es más, digo todo lo contrario, tanto el Perú como otras naciones ya deben implementar esta solución que es necesario para el bienestar de nosotros como también del planeta, pero hay que tratar de reducir al mínimo el margen de horror en los sistemas informáticos que se implementen en este tipo de eventos.
Para mayor información entren a The Trust Vote. Organización que busca digitalizar este tipo de eventos de gran magnitud, como son las elecciones de un país.
Fuente: Cholohack
No hay comentarios:
Publicar un comentario