Algieri Luca

USA, violata l'agenzia che certifica le macchine per il voto

Durante le elezioni presidenziali un hacker ha ottenuto l'accesso ai sistemi di di EAC. Per ora la validità del voto non è messa in discussione

Roma - L'Election Assistance Commission (EAC) ha confermato la possibilità di essere stata vittima di una violazione della sicurezza.
L'EAC è l'organo statunitense, fondato nel 2002 come parte della Help America Vote Act (HAVA), che si occupa della certificazione delle macchine usate per votare oltre ad individuare soluzioni per migliorare le pratiche con cui svolgere le operazioni di voto.

L'HAVA è stata voluta e tramutata in legge dall'allora presidente George W. Bush per evitare una nuova debacle come quella avvenuta in Florida durante le elezioni del 2000, in cui lo stato fortemente conteso ha visto più di due milioni di schede elettorali annullate perché le macchine registrarono voti multipli o del tutto assenti. La conferma del possibile attacco arriva dopo che un rapporto presentato a inizio dicembre dalla società di sicurezza Recorded Future aveva sollevato il sospetto che EAC fosse stata vittima di un'intrusione a novembre 2016, periodo durante il quale si sono svolte le elezioni presidenziali statunitensi. La stessa Recorded Future ha individuato l'hack dopo aver scoperto che qualcuno offriva credenziali per il login di accesso ai computer EAC.

Per valutare la portata degli accessi non autorizzati è stato quindi ingaggiato il venditore, soprannominato Rasputin, che come prova ha inviato una pagina di report di stato del sistema per dimostrare di aver ottenuto l'accesso al sistema backend di EAC. Ulteriori analisi hanno identificato più di 100 credenziali di accesso potenzialmente compromesse tra cui alcune con privilegi da amministratore e che potrebbero essere utilizzati per accedere a informazioni sensibili, modificare furtivamente o impiantare malware sul sito EAC, il che costituirebbe un ottimo banco di prova per un potenziale attacco watering hole con dipendenti del governo come bersaglio.
Sempre secondo Recorded Future, Rasputin avrebbe affermato di aver ottenuto l'accesso al sistema tramite una vulnerabilità SQL injection (SQLI) senza patch, offrendosi di venderne i dettagli a intermediari di governi del Medio Oriente.

Tuttavia in un periodo in cui i sospetti che ingerenze esterne di hacker russi abbiano potuto influire sulla correttezza del risultato elettorale, occorre precisare che il fatto che l'hacker responsabile dell'attacco a EAC si faccia chiamare Rasputin non significa necessariamente che sia russo e soprattutto che aver violato l'ente che certifica le macchine con cui si vota non equivale ad aver avuto accesso alle macchine durante la votazione.

Certamente viene riportata in primo piano la questione sicurezza dei sistemi di votazione automatici, che ancora una volta si dimostrano ben lontani dall'offrire gli elevati standard di sicurezza che dovrebbero essere garantiti vista la delicatezza del campo in cui vengono poi ad essere utilizzati.

Luca Algieri
Notizie collegate
  • AttualitàPresidenziali USA, il voto e la cybersicurezzaUn gruppo di esperti di sicurezza invita il Comitato Clinton a chiedere il riconteggio per il rischio di brogli a mezzo tecnologico. Il professore Halderman, che già in passato ha studiato le falle delle voting machine, ammorbidisce i toni ma non allontana i dubbi
  • AttualitàE-vote, gli hacker fermano la GermaniaIl Chaos Computer Club scomunica ufficialmente le cabine elettorali elettroniche: non sono sicure, usarle è un pericolo. Il Governo? Ci ripensi
  • AttualitàMa quale e-voto? Meglio la cartaAccade negli USA: il governatore del Maryland ha ordinato di abbandonare le macchine elettroniche per il voto e di ritornare ai vecchi metodi su carta. La polemica infuria e dilaga in tutto il paese
13 Commenti alla Notizia USA, violata l'agenzia che certifica le macchine per il voto
Ordina
  • R: Hai visto, zio Vladimir? ce l'ho fatta, sono entrato nelle macchine elett...
    VP: Zitto. Ti avevo detto di aspettare che quel fesso di Donald firmi i contratti con la Gazprom.
    R: Ma zio, siamo riusciti anche a riempire i social di bufale sulla Clin...
    VP: Sta Zitto, ho detto! O ti mando a saldare tubi in Siberia!
    R: ...
    non+autenticato
  • magari, invece la Klingon e soci non hanno nemmeno negato quante riportato nelle mail pubblicate da Wikileaks

    anzi hanno reagito varando la campagna contro le "fake news", ovvero una massiccia operazione di censura stile Pravda/ventennio fascista

    che bella la demokrazia, solo finche' sono lorsignori a vincere
    non+autenticato
  • le cose semplici sono le migliori la carta rimane ancora lo strumento piu' affidabile
    non+autenticato
  • - Scritto da: Uffa
    > le cose semplici sono le migliori la carta rimane
    > ancora lo strumento piu'
    > affidabile

    Affidabile come le elezioni itagliane.

    Il problema qui è che il voto elettronico non aveva sufficienti controlli incrociati.
    Verifiche indipendenti condotte da gruppi diversi. Questo è l'unico sistema per ridurre trucchi e frodi.
    non+autenticato
  • > Verifiche indipendenti condotte da gruppi
    > diversi. Questo è l'unico sistema per ridurre
    > trucchi e
    > frodi.

    no tu lo complichi ancora di piu' rendondolo ancora piu' inaffidabile e costoso, la sicurezza e' come una catena 3000 controlli non rendono piu' forte l'anello debole
    non+autenticato
  • >
    > no tu lo complichi ancora di piu' rendondolo
    > ancora piu' inaffidabile e costoso, la sicurezza
    > e' come una catena 3000 controlli non rendono
    > piu' forte l'anello debole

    Trolla meno. Io parlo di controlli incrociati, non controlli a catena.
    non+autenticato
  • > Trolla meno. Io parlo di controlli incrociati,
    > non controlli a
    > catena.

    e chi controlla il controllore?
    e' ovvio non funziona
    non+autenticato
  • > > controlli incrociati,
    > > non controlli a catena.
    > >
    > e chi controlla il controllore?
    > e' ovvio non funziona

    No. E' ovvio che i tuoi due neuroni sono bruciati e non ci arrivi.
    non+autenticato
  • >
    > No. E' ovvio che i tuoi due neuroni sono bruciati
    > e non ci
    > arrivi.

    la metti sul personale il che significa che sei privo di argomentazioni a riguardo
    non+autenticato
  • ma che michia di affermazioni sono? qui siamo a livello di "domani potrebbe piovere" ma vai a cagare, luca algieri. te e chi non ti ci manda. minchia, a questo livello non ci e' mai arrivato nemmeno maruccia da ubriaco, e si che di cazzate in questi anni ne ha scritte a valanga. "ha comfermato la possibilita'"... ma vai a cagare, ma proprio, guarda!
    non+autenticato
  • - Scritto da: ...
    > ma che michia di affermazioni sono? qui siamo a
    > livello di "domani potrebbe piovere" ma vai a
    > cagare, luca algieri. te e chi non ti ci manda.
    > minchia, a questo livello non ci e' mai arrivato
    > nemmeno maruccia da ubriaco, e si che di cazzate
    > in questi anni ne ha scritte a valanga. "ha
    > comfermato la possibilita'"... ma vai a cagare,
    > ma proprio, guarda!

    Meno isterismi e una più attenta valutazione delle prove prego.
    Hanno solo provato che ci sono delle vulnerabilità. Certo il contenuto dell'articolo stride col titolo, ma questi sono i fatti.
    non+autenticato
  • - Scritto da: gcfccv
    > - Scritto da: ...
    > > ma che michia di affermazioni sono? qui siamo a
    > > livello di "domani potrebbe piovere" ma vai a
    > > cagare, luca algieri. te e chi non ti ci manda.
    > > minchia, a questo livello non ci e' mai arrivato
    > > nemmeno maruccia da ubriaco, e si che di cazzate
    > > in questi anni ne ha scritte a valanga. "ha
    > > comfermato la possibilita'"... ma vai a cagare,
    > > ma proprio, guarda!
    >
    > Meno isterismi e una più attenta valutazione
    > delle prove
    > prego.
    > Hanno solo provato che ci sono delle
    > vulnerabilità. Certo il contenuto dell'articolo
    > stride col titolo, ma questi sono i
    > fatti.

    Non c'era da provare una beneamata mazza!! Si aveva avuto la certezza matematica nel 2004 che il sistema di voto elettronico era non ulnerabile ma proprio DEVIABILE!

    Per gli smemorati vedere come vinse per il secondo mandato lo scimmione Bush! Tanto che il suo avversario Al Gore non recriminò nemmeno per non fare venire fuori che il voto in America è una farsa incredibile.
    non+autenticato
  • >
    > Non c'era da provare una beneamata mazza!! Si
    > aveva avuto la certezza matematica nel 2004 che
    > il sistema di voto elettronico era non ulnerabile
    > ma proprio DEVIABILE!
    >

    2004?
    12 anni fa.
    non+autenticato