
La Svizzera sta attualmente conducendo un grande “bug bounty” per testare la sicurezza del suo futuro sistema di voto elettronico. Fino al 24 marzo oltre 3.000 ricercatori, sviluppatori, penetration tester e hacker hanno la possibilità di trovare errori, bug e vulnerabilità nel sistema di e-voting sviluppato dalla Posta Svizzera assieme a Scytl, un’azienda con sede a Barcellona che sviluppa sistemi di voto elettronico.
Oggi però tre ricercatori, Sarah Jamie Lewis, precedentemente impiegata dal GCHQ britannico e oggi direttore esecutivo della Open Privacy Research Society, Olivier Pereira dell’Università di Louvain e Vanessa Teague dell’Università di Melbourne, hanno presentato un documento (qui la versione in PDF) dove descrivono una vulnerabilità di sicurezza molto grave, che consentiva agli amministratori la manipolazione del voto senza lasciare traccia.
It is 9am Swiss Time, @VTeagueAus, Olivier Pereira & I are releasing details of a cryptographic trapdoor that we found in the Swiss Post #evoting system that would allows admins to falsely "prove" mixes that alter votes & undetectably compromise elections: https://t.co/ETEDuDsSAe
— Sarah Jamie Lewis (@SarahJamieLewis) March 12, 2019
La Posta Svizzera ha emesso un comunicato dove riconosce la falla di sicurezza, ma ammette anche che tale vulnerabilità era nota già dal 2017. Sorprendentemente, l’azienda Scytl non la aveva corretta in maniera adeguata, e il bug si è protratto fino a oggi.
Sorprende ancora di più come la vulnerabilità, visibile nel codice sorgente del sistema di voto, fosse rimasta nascosta a diversi audit di sicurezza avvenuti prima di questo bug bounty. Tale fatto, secondo i ricercatori, solleva più di un dubbio sulla sicurezza di tutto il sistema.
Da notare poi come la scoperta sia avvenuta al di fuori dei canali ufficiali del bug bounty. I ricercatori infatti contestano le regole del progetto, in particolare il fatto che questa indagine sia stata organizzata dallo stesso ente, la Posta Svizzera, che andrebbe a gestire tutto il meccanismo di e-voting per la Confederazione.
We need to understand that it is unacceptable that the same organization that stands to benefit from running evoting infrastructure should be in a position of deciding what and when researchers can disclose issues.
— Sarah Jamie Lewis (@SarahJamieLewis) March 12, 2019
Oggi infine la Cancelleria Federale elvetica ha emesso un comunicato dove riconosce la scoperta della vulnerabilità di sicurezza, ma rassicura che il sistema di voto elettronico attualmente usato da alcuni Cantoni non è coinvolto.