Microsoft thưởng cho các hacker mũ trắng tìm lỗi trong phần mềm bầu cử có mã nguồn mở
Bầu cử công bằng là cuộc sống của nền dân chủ, nhưng trong những năm gần đây, hack bầu cử đã trở thành một chủ đề nóng trên toàn thế giới.
Cho dù đó là máy bầu cử của Mỹ trong cuộc bầu cử tổng thống năm 2016 hay EVM của Ấn Độ trong cuộc tổng tuyển cử năm 2014, tính toàn vẹn, minh bạch và bảo mật của máy bỏ phiếu điện tử vẫn còn nhiều nghi vấn, khiến nhiều người khó có thể đồng ý với kết quả.
Nhiều quốc gia, bao gồm cả nền dân chủ lớn nhất thế giới, ví dụ như Ấn Độ, tin rằng cách tốt nhất để đảm bảo an ninh của EVM là làm cho công nghệ của họ mờ đục trước các tác nhân xấu, nhưng trong những năm gần đây, một bộ phận lớn dân số đang mất niềm tin vào bất kỳ hệ thống nào đã được chứng nhận bởi một nhóm các chuyên gia kín.
Để cân bằng giữa tính minh bạch và bảo mật, vào tháng 5 năm 2019, Microsoft đã phát hành một bộ công cụ phát triển phần mềm nguồn mở (SDK) miễn phí có tên ElectionGuard nhằm mục đích cho phép xác minh bỏ phiếu từ đầu đến cuối.
SDK ElectionGuard của Microsoft có thể được tích hợp vào các hệ thống bỏ phiếu và được thiết kế để “cho phép xác minh các cuộc bầu cử từ đầu đến cuối, mở kết quả cho các tổ chức bên thứ ba để xác thực an toàn và cho phép các cử tri cá nhân xác nhận phiếu bầu của họ được tính chính xác.”
Chương trình Bug Bounty ElectionGuard
Do không có phần mềm nào không có lỗi, cuối cùng Microsoft đã tung ra chương trình ElectionGuard Bounty, mời các nhà nghiên cứu bảo mật từ khắp nơi trên thế giới để giúp công ty khám phá các lỗ hổng tác động cao trong ElectionGuard SDK.
“Chương trình ElectionGuard Bounty mời các nhà nghiên cứu bảo mật hợp tác với Microsoft để bảo mật người dùng ElectionGuard và là một phần trong cam kết rộng lớn hơn của Microsoft trong việc bảo tồn và bảo vệ các quy trình bầu cử theo Chương trình Bảo vệ Dân chủ”, công ty cho biết trong một bài đăng trên blog hôm nay.
“Các nhà nghiên cứu trên toàn cầu, cho dù các chuyên gia an ninh mạng toàn thời gian, người có sở thích bán thời gian hoặc sinh viên, được mời khám phá các lỗ hổng tác động cao trong các khu vực được nhắm mục tiêu của ElectionGuard SDK và chia sẻ chúng với Microsoft theo Coordinated Vulnerability Disclosure (CVD).”
ElectionGuard Bounty cung cấp cho các nhà nghiên cứu an ninh mạng phần thưởng lên tới 15.000 đô la cho các bài nộp đủ điều kiện với bằng chứng rõ ràng và ngắn gọn về khái niệm (POC) để chứng minh cách khai thác lỗ hổng được phát hiện để đạt được phạm vi tác động trong bảo mật .
Các thành phần ElectionGuard hiện đang nằm trong phạm vi cho các giải tiền thưởng lỗi bao gồm SDK API của ElectionGuard, tài liệu và thông số kỹ thuật của ElectionGuard và xác minh các reference được triển khai.
Tuy nhiên, gã khổng lồ công nghệ cho biết họ sẽ cập nhật phạm vi tiền thưởng của ElectionGuard với các thành phần bổ sung để trao giải cho các nhà nghiên cứu tiếp theo trong tương lai.
Nguồn thehackernews.com