Microsoft anuncia recompensas a hackers que encuentren errores en SDK de código Abierto



Las elecciones justas son las líneas de vida de la democracia, pero en los últimos años la piratería electoral se ha convertido en un tema candente en todo el mundo.
Ya sea que se trate de máquinas de votación estadounidenses durante las elecciones presidenciales de 2016 o de los EVM de India durante las elecciones generales de 2014, la integridad, la transparencia y la seguridad de las máquinas de votación electrónicas siguen siendo cuestionables, lo que deja una herida en la mente de muchos que es difícil de sanar.

Muchos países, incluida la democracia más grande del mundo, es decir, India, creen que la mejor manera de garantizar la seguridad de los EVM es hacer que su tecnología sea opaca para los malos actores, pero en los últimos años una gran parte de la población está perdiendo la confianza en cualquier sistema que ha sido certificado solo por un grupo cerrado de expertos.

Para lograr un equilibrio entre la transparencia y la seguridad, en mayo de 2019, Microsoft lanzó un kit de desarrollo de software (SDK) gratuito de código abierto llamado ElectionGuard que tiene como objetivo permitir la verificación de votación de extremo a extremo.

El SDK ElectionGuard de Microsoft puede integrarse en los sistemas de votación y ha sido diseñado para "permitir la verificación de punta a punta de las elecciones, abrir resultados a organizaciones de terceros para una validación segura y permitir que los votantes individuales confirmen que sus votos fueron contados correctamente".

Programa ElectionGuard Bug Bounty

Como ningún software está libre de errores, Microsoft finalmente lanzó el programa ElectionGuard Bounty, invitando a investigadores de seguridad de todo el mundo a ayudar a la compañía a descubrir vulnerabilidades de alto impacto en el SDK de ElectionGuard.

"El programa ElectionGuard Bounty invita a los investigadores de seguridad a asociarse con Microsoft para proteger a los usuarios de ElectionGuard, y es parte del compromiso más amplio de Microsoft para preservar y proteger los procesos electorales bajo el Programa Defending Democracy", dice la compañía en una publicación de blog publicada hoy.

"Los investigadores de todo el mundo, ya sean profesionales de ciberseguridad a tiempo completo, aficionados a tiempo parcial o estudiantes, están invitados a descubrir vulnerabilidades de alto impacto en áreas específicas del SDK de ElectionGuard y compartirlas con Microsoft bajo la Divulgación de vulnerabilidad coordinada (CVD)".

ElectionGuard Bounty ofrece a los investigadores de ciberseguridad una recompensa de hasta $ 15,000 por envíos elegibles con una prueba de concepto (POC) clara y concisa para demostrar cómo se puede explotar la vulnerabilidad descubierta para lograr un impacto de seguridad en el alcance.
Los componentes de ElectionGuard que actualmente están en el alcance de premios de recompensas de errores incluyen ElectionGuard API SDK, especificación y documentación de ElectionGuard, e implementación de referencia de verificador.
Sin embargo, el gigante tecnológico dice que actualizará el alcance de la recompensa ElectionGuard con componentes adicionales para otorgar más investigaciones en el futuro.