Kaspersky готовит систему голосования на базе российской криптографии

Kaspersky готовит систему голосования на базе российской криптографии

Команда Polys «Лаборатории Касперского» готовит к запуску систему дистанционного электронного голосования (ДЭГ) на базе российских криптографических алгоритмов. Продукт, получивший название Polys.ГОСТ, предназначен для проведения масштабных государственных голосований с участием неограниченного количества избирателей на любом уровне — от муниципального до федерального.

Polys.ГОСТ будет соответствовать требованиям, распространяющимся на государственные информационные системы (ГИС), которые должны применять сертифицированные средства криптографической защиты для обеспечения безопасности конфиденциальной информации, в том числе персональных данных. В данном случае речь идёт о сохранении в тайне реестра избирателей и информации о ходе голосования. В Polys.ГОСТ нужные криптографические алгоритмы будут встроены как в саму блокчейн-платформу, так и в бизнес-логику, реализуемую в смарт-контрактах, приложениях организатора голосования, избирателя и наблюдателя.

Электронные голосования проводятся в мире уже более 20 лет, при этом во время пандемии их популярность значительно выросла, поскольку во многих случаях такой формат стал единственно возможным для того, чтобы выразить своё мнение и отдать свой голос. В частности, дистанционные электронные голосования активно проводят университеты в разных странах, а также частные, некоммерческие и государственные организации. Так, например, в 2019 году на системе Polys, в разных странах было проведено 675 голосований, а в 2020-м в пять раз больше — 3 392.

Платформа Polys доступна для организации голосований с 2017 года. Ядром продукта является блокчейн-платформа, с помощью которой обеспечивается прозрачность процесса голосования: голосующий (и только голосующий) может проверить корректность учёта своего голоса, а наблюдатель — убедиться, что все голоса были посчитаны корректно.

В Polys применяется специально спроектированная под задачи электронного голосования модульная блокчейн-платформа на базе открытого фреймворка Exonum. Это позволяет существенно повысить производительность и обеспечить возможность комбинировать модули системы под задачи заказчиков. В число преимуществ Polys входят основанные на криптографических методах технология слепой подписи — высоконадёжный метод анонимизации, а также специализированные инструменты для наблюдения за ходом голосования.

«2020 год стал годом электронного голосования. Необходимость строго соблюдать карантинные меры способствовала росту востребованности решений, позволяющих безопасно организовывать дистанционные голосования. Активный интерес стали проявлять и государственные организации. Мы начали готовить релиз Polys, который удовлетворяет требованиям российского законодательства в части применения криптографических средств для защиты информации, что делает возможным его применение в государственных информационных системах. Надеемся, что вскоре Polys сможет обеспечить органы власти удобным и безопасным инструментом для проведения дистанционных электронных голосований, а миллионам избирателей предоставит комфортный способ волеизъявления», — комментирует Александр Сазонов, руководитель проекта Polys.

Проект Polys — резидент центра инноваций «Лаборатории Касперского». Систему используют государственные институты, частные предприятия и НКО в различных странах мира. С помощью Polys проводились выборы в студенческие советы в РАНХиГС и Высшей школе экономики, голосования Верховного суда Российской Федерации и выборы в Европейском молодёжном парламенте Германии, выборы в Совет партнёров «Додо Пиццы», голосование за местные инициативы в Нижегородской, Волгоградской областях, выборы в студенческой ассоциации Нидерландов, в университете Туниса и др.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Fortinet FortiWeb устранили уязвимость, позволяющую внедрить команды

Компания Fortinet устранила уязвимость в своем межсетевом экране FortiWeb, предназначенном для защиты веб-приложений от веб-атак, и поблагодарила эксперта Positive Technologies Андрея Медова, выявившего проблему.

Ошибка получила идентификатор CVE-2021-22123 и оценку 7,4 по шкале CVSSv3, что соответствует высокому уровню опасности.

«Уязвимость внедрения команд в интерфейсе управления FortiWeb может позволить удаленному злоумышленнику, прошедшему проверку подлинности, выполнять произвольные команды в системе через страницу конфигурации сервера SAML, — объясняет Андрей Медов. — Выполнение команд с максимальными привилегиями приведет к получению атакующим полного контроля над сервером. Если же в результате неправильной настройки интерфейс администрирования межсетевого экрана окажется доступен в интернете, а сам продукт не будет обновлен до последних версий, то комбинация CVE-2021-22123 и обнаруженной нами ранее ошибки CVE-2020-29015 может позволить атакующему проникнуть во внутреннюю сеть».

Для устранения уязвимости нужно обновить FortiWeb 6.3.7 (и ниже), 6.2.3 (и ниже), 6.1.x, 6.0.x, 5.9.x до версий 6.3.8 или 6.2.4 (в зависимости от используемой редакции продукта).

В феврале 2021 года Fortinet закрыла четыре уязвимости в FortiWeb, выявленные Андреем Медовым.

Автоматизировать обнаружение и приоритизацию подобных уязвимостей позволяют системы управления уязвимостями, такие как MaxPatrol VM. Выявить признаки проникновения (например, в случае невозможности установки обновления) помогут системы класса SIEM (в частности, MaxPatrol SIEM), которые позволяют выявить подозрительное поведение на сервере, зарегистрировать инцидент и своевременно остановить продвижение злоумышленников внутри корпоративной сети.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru