bencede
New member
Açık bir mektupta, araştırma ve iş dünyasından 20’den fazla önde gelen BT güvenlik uzmanı, Mitre Corporation’ın CEO’sundan Dominion Oylama Sistemlerinin oylama makineleri hakkında yakın zamanda yayınlanan bir güvenlik raporunu geri çekmesini istiyor. Üretici Dominion Oylama Sistemleri tarafından yaptırılan rapor hatalarla doludur.
Bu, ABD’nin Georgia eyaletinin Kuzey Bölgesi için ABD Federal Bölge Mahkemesinde görülen bir davadır, davanın adı “Curling – Raffensperger”dir. Basitçe söylemek gerekirse, Gürcistan’da kullanılan “doğrudan kayıt elektronik” (DRE) oylama makinelerinin, yasal süreç ve eşit koruma vaat eden anayasanın On Dördüncü Değişikliğini ihlal edip etmediği sorusu etrafında dönüyor.
DRE oylama makineleri kağıt rulolar oluşturmadığından veya bireylerin oylarının bağımsız olarak doğrulanmasına izin vermediğinden, davacılar ilgili bireylerin haklarını ihlal ettiklerini söylüyorlar. Ek olarak, DRE cihazlarının bilinen BT güvenlik açıkları vardı.
20’den fazla imza içeren açık mektup
Profesör J. Alex Halderman Twitter üzerinden açık mektuba dikkat çekti. İmzacılar arasında birçok ünlü bilgisayar bilimi profesörü, BT güvenlik araştırmacısı ve Bruce Schneier gibi tanınmış BT güvenlik uzmanları yer alıyor. Halderman, oylama makinelerinde ciddi ve savunmasız güvenlik açıkları olduğunu kanıtlayan duruşma raporlarından birine katkıda bulundu.
Halderman, Georgia’da etkilenen oylama makinelerinde keşfedilen hataların düzeltilmeyeceğini açıklıyor. Bunlar, merkezi eyalet seçim yönetim sistemi tarafından tüm makinelere dağıtılabilen ve orada kök olarak çalıştırılabilen kötü amaçlı kodun yürütülmesine izin veren kritik güvenlik açıklarını içerir. Halderman’ın bulguları ABD bilgisayar güvenlik kurumu CISA tarafından doğrulandı. Dominion, bazı hataları gideren “Democracy Suite 5.17” üretici yazılımı güncellemesini geliştirdi.
İmza sahipleri, açık mektuplarında Mitre Corporation raporunun yanlış olduğunu açıklıyor. Halderman ve ortak yazarı Springall’ın aksine, Mitre’nin Dominion’un oylama makinelerine erişimi yoktu ve herhangi bir güvenlik testi gerçekleştirmedi. Bunun yerine Mitre, bilgi kaynaklarına gerekli erişim olmadan Halderman ve Springall tarafından açıklanan potansiyel saldırı riskini değerlendirmeye çalıştı. Sonuç olarak, Mitre’nin analizi hatalı gerekçeler kullanıyor ve saldırıların “operasyonel olarak mümkün olmadığını” belirterek kötüye kullanım riskini tehlikeli bir şekilde hafife alıyor.
Bu, “bu güvenlik açıkları bir an önce ortadan kaldırılması gereken bir riski temsil ediyor” şeklindeki CISA sınıflandırmasıyla çelişiyor. Mitre şu mantığı alır: öz usuli savunma mekanizmaları kusursuz bir şekilde uygulanmakta, sistem Daha sonra saldırılara karşı savunmasız olacaktır. Gerçek risk, savunmaların ne kadar iyi uygulandığına ve pratikte uygulandığına bağlı olduğundan, bu, gerçek riski değerlendirmenin tamamen uygunsuz bir yoludur.
Yanlış öncüller yanlış sonuçlara yol açar
Mitre’nin analizi tamamen bilinen yanlış bir varsayıma dayanmaktadır. Örneğin, Mitre yazarları analizde “Miter’in araştırmacılar tarafından belirlenen saldırılara ilişkin değerlendirmesi, Dominion’un seçim donanımına ve yazılımına kontrollü erişimin titiz ve etkili bir şekilde uygulandığını varsayar” diye yazıyor. Mitre belgesinin hazırlandığı tarihte, bu tavsiye edilmeyen bir varsayımdı ve bugünün bakış açısına göre saçma bir varsayımdı, çünkü Georgia’da kullanılan Dominon yazılımının zaten çalınmış ve geniş çapta dağıtılmış olduğu biliniyordu. Ek olarak, en az bir Georgia ilçesinde defalarca oylama makinelerine uygunsuz erişim meydana geldi. Georgia, Coffee County’de, Dominion’un ekipmanı “binanın dışına açılan açık bir kapısı olan, delikli bir çatısı ve çatlaklardan güneş ışığının girmesine izin veren duvarları olan bir odada saklandı.” Ancak Mitre’nin değerlendirmesi, Gürcistan’ın 159 ilçesinin tamamında ekipmanı yasa dışı erişime karşı tamamen koruduğunu varsaymaktadır.
Şimdiye kadar Georgia’da bulunan hatalar, kötü niyetli aktörlerin Halderman ve Springall tarafından keşfedilen güvenlik açıklarından ve belki de gözden kaçırmış olabilecekleri diğer güvenlik açıklarından yararlanan istismarlar geliştirmesi ve test etmesi için yeterli olacaktır. Ancak Mitre’nin analizi sadece yanlış değil, aynı zamanda tehlikeli çünkü Georgia gibi eyaletleri yanıltarak yazılım güncellemelerini ve diğer önemli korumaları geciktiriyor. Gürcistan Dışişleri Bakanı Brad Raffensperger kısa süre önce Dominion güvenlik güncellemelerini 2024 başkanlık seçimleri sonrasına kadar yüklemeyeceğini duyurdu.Bu, şüphesiz Mitre’nin hatalı risk değerlendirmesine dayanmaktadır. Kötü niyetli düşmanların, eyaletteki gerçek seçimlere karşı güvenlik açıklarından yararlanmaya yönelik istismarları hazırlamak için artık yaklaşık 18 ayı olacak.
Arizona, Michigan ve Nevada gibi olası hareketli eyaletler de dahil olmak üzere 16’dan fazla başka eyalet aynı Dominion ekipmanını kullanacak. Ayrıca Mitre’nin tavsiyesine göre hataları düzeltmeye veya istismarı “operasyonel olarak olanaksız” olarak sınıflandırmaya karar vermeleri gerekecekti. 2024 seçimlerini bozmak veya itibarını sarsmak için artık herkes tarafından bilinen güvenlik açıklarından yararlanıldıysa, Mitre bu tamamen önlenebilir güvenlik açığının suçunun bir kısmını paylaşıyor. Açık mektubu imzalayanlar bu nedenle Mitre’den analizi derhal geri çekmesini istiyor.
(dmk)
Haberin Sonu
Bu, ABD’nin Georgia eyaletinin Kuzey Bölgesi için ABD Federal Bölge Mahkemesinde görülen bir davadır, davanın adı “Curling – Raffensperger”dir. Basitçe söylemek gerekirse, Gürcistan’da kullanılan “doğrudan kayıt elektronik” (DRE) oylama makinelerinin, yasal süreç ve eşit koruma vaat eden anayasanın On Dördüncü Değişikliğini ihlal edip etmediği sorusu etrafında dönüyor.
DRE oylama makineleri kağıt rulolar oluşturmadığından veya bireylerin oylarının bağımsız olarak doğrulanmasına izin vermediğinden, davacılar ilgili bireylerin haklarını ihlal ettiklerini söylüyorlar. Ek olarak, DRE cihazlarının bilinen BT güvenlik açıkları vardı.
20’den fazla imza içeren açık mektup
Profesör J. Alex Halderman Twitter üzerinden açık mektuba dikkat çekti. İmzacılar arasında birçok ünlü bilgisayar bilimi profesörü, BT güvenlik araştırmacısı ve Bruce Schneier gibi tanınmış BT güvenlik uzmanları yer alıyor. Halderman, oylama makinelerinde ciddi ve savunmasız güvenlik açıkları olduğunu kanıtlayan duruşma raporlarından birine katkıda bulundu.
Halderman, Georgia’da etkilenen oylama makinelerinde keşfedilen hataların düzeltilmeyeceğini açıklıyor. Bunlar, merkezi eyalet seçim yönetim sistemi tarafından tüm makinelere dağıtılabilen ve orada kök olarak çalıştırılabilen kötü amaçlı kodun yürütülmesine izin veren kritik güvenlik açıklarını içerir. Halderman’ın bulguları ABD bilgisayar güvenlik kurumu CISA tarafından doğrulandı. Dominion, bazı hataları gideren “Democracy Suite 5.17” üretici yazılımı güncellemesini geliştirdi.
İmza sahipleri, açık mektuplarında Mitre Corporation raporunun yanlış olduğunu açıklıyor. Halderman ve ortak yazarı Springall’ın aksine, Mitre’nin Dominion’un oylama makinelerine erişimi yoktu ve herhangi bir güvenlik testi gerçekleştirmedi. Bunun yerine Mitre, bilgi kaynaklarına gerekli erişim olmadan Halderman ve Springall tarafından açıklanan potansiyel saldırı riskini değerlendirmeye çalıştı. Sonuç olarak, Mitre’nin analizi hatalı gerekçeler kullanıyor ve saldırıların “operasyonel olarak mümkün olmadığını” belirterek kötüye kullanım riskini tehlikeli bir şekilde hafife alıyor.
Bu, “bu güvenlik açıkları bir an önce ortadan kaldırılması gereken bir riski temsil ediyor” şeklindeki CISA sınıflandırmasıyla çelişiyor. Mitre şu mantığı alır: öz usuli savunma mekanizmaları kusursuz bir şekilde uygulanmakta, sistem Daha sonra saldırılara karşı savunmasız olacaktır. Gerçek risk, savunmaların ne kadar iyi uygulandığına ve pratikte uygulandığına bağlı olduğundan, bu, gerçek riski değerlendirmenin tamamen uygunsuz bir yoludur.
Yanlış öncüller yanlış sonuçlara yol açar
Mitre’nin analizi tamamen bilinen yanlış bir varsayıma dayanmaktadır. Örneğin, Mitre yazarları analizde “Miter’in araştırmacılar tarafından belirlenen saldırılara ilişkin değerlendirmesi, Dominion’un seçim donanımına ve yazılımına kontrollü erişimin titiz ve etkili bir şekilde uygulandığını varsayar” diye yazıyor. Mitre belgesinin hazırlandığı tarihte, bu tavsiye edilmeyen bir varsayımdı ve bugünün bakış açısına göre saçma bir varsayımdı, çünkü Georgia’da kullanılan Dominon yazılımının zaten çalınmış ve geniş çapta dağıtılmış olduğu biliniyordu. Ek olarak, en az bir Georgia ilçesinde defalarca oylama makinelerine uygunsuz erişim meydana geldi. Georgia, Coffee County’de, Dominion’un ekipmanı “binanın dışına açılan açık bir kapısı olan, delikli bir çatısı ve çatlaklardan güneş ışığının girmesine izin veren duvarları olan bir odada saklandı.” Ancak Mitre’nin değerlendirmesi, Gürcistan’ın 159 ilçesinin tamamında ekipmanı yasa dışı erişime karşı tamamen koruduğunu varsaymaktadır.
Şimdiye kadar Georgia’da bulunan hatalar, kötü niyetli aktörlerin Halderman ve Springall tarafından keşfedilen güvenlik açıklarından ve belki de gözden kaçırmış olabilecekleri diğer güvenlik açıklarından yararlanan istismarlar geliştirmesi ve test etmesi için yeterli olacaktır. Ancak Mitre’nin analizi sadece yanlış değil, aynı zamanda tehlikeli çünkü Georgia gibi eyaletleri yanıltarak yazılım güncellemelerini ve diğer önemli korumaları geciktiriyor. Gürcistan Dışişleri Bakanı Brad Raffensperger kısa süre önce Dominion güvenlik güncellemelerini 2024 başkanlık seçimleri sonrasına kadar yüklemeyeceğini duyurdu.Bu, şüphesiz Mitre’nin hatalı risk değerlendirmesine dayanmaktadır. Kötü niyetli düşmanların, eyaletteki gerçek seçimlere karşı güvenlik açıklarından yararlanmaya yönelik istismarları hazırlamak için artık yaklaşık 18 ayı olacak.
Arizona, Michigan ve Nevada gibi olası hareketli eyaletler de dahil olmak üzere 16’dan fazla başka eyalet aynı Dominion ekipmanını kullanacak. Ayrıca Mitre’nin tavsiyesine göre hataları düzeltmeye veya istismarı “operasyonel olarak olanaksız” olarak sınıflandırmaya karar vermeleri gerekecekti. 2024 seçimlerini bozmak veya itibarını sarsmak için artık herkes tarafından bilinen güvenlik açıklarından yararlanıldıysa, Mitre bu tamamen önlenebilir güvenlik açığının suçunun bir kısmını paylaşıyor. Açık mektubu imzalayanlar bu nedenle Mitre’den analizi derhal geri çekmesini istiyor.
(dmk)
Haberin Sonu