Kaspersky готовит систему голосования на базе российской криптографии

Kaspersky готовит систему голосования на базе российской криптографии

Команда Polys «Лаборатории Касперского» готовит к запуску систему дистанционного электронного голосования (ДЭГ) на базе российских криптографических алгоритмов. Продукт, получивший название Polys.ГОСТ, предназначен для проведения масштабных государственных голосований с участием неограниченного количества избирателей на любом уровне — от муниципального до федерального.

Polys.ГОСТ будет соответствовать требованиям, распространяющимся на государственные информационные системы (ГИС), которые должны применять сертифицированные средства криптографической защиты для обеспечения безопасности конфиденциальной информации, в том числе персональных данных. В данном случае речь идёт о сохранении в тайне реестра избирателей и информации о ходе голосования. В Polys.ГОСТ нужные криптографические алгоритмы будут встроены как в саму блокчейн-платформу, так и в бизнес-логику, реализуемую в смарт-контрактах, приложениях организатора голосования, избирателя и наблюдателя.

Электронные голосования проводятся в мире уже более 20 лет, при этом во время пандемии их популярность значительно выросла, поскольку во многих случаях такой формат стал единственно возможным для того, чтобы выразить своё мнение и отдать свой голос. В частности, дистанционные электронные голосования активно проводят университеты в разных странах, а также частные, некоммерческие и государственные организации. Так, например, в 2019 году на системе Polys, в разных странах было проведено 675 голосований, а в 2020-м в пять раз больше — 3 392.

Платформа Polys доступна для организации голосований с 2017 года. Ядром продукта является блокчейн-платформа, с помощью которой обеспечивается прозрачность процесса голосования: голосующий (и только голосующий) может проверить корректность учёта своего голоса, а наблюдатель — убедиться, что все голоса были посчитаны корректно.

В Polys применяется специально спроектированная под задачи электронного голосования модульная блокчейн-платформа на базе открытого фреймворка Exonum. Это позволяет существенно повысить производительность и обеспечить возможность комбинировать модули системы под задачи заказчиков. В число преимуществ Polys входят основанные на криптографических методах технология слепой подписи — высоконадёжный метод анонимизации, а также специализированные инструменты для наблюдения за ходом голосования.

«2020 год стал годом электронного голосования. Необходимость строго соблюдать карантинные меры способствовала росту востребованности решений, позволяющих безопасно организовывать дистанционные голосования. Активный интерес стали проявлять и государственные организации. Мы начали готовить релиз Polys, который удовлетворяет требованиям российского законодательства в части применения криптографических средств для защиты информации, что делает возможным его применение в государственных информационных системах. Надеемся, что вскоре Polys сможет обеспечить органы власти удобным и безопасным инструментом для проведения дистанционных электронных голосований, а миллионам избирателей предоставит комфортный способ волеизъявления», — комментирует Александр Сазонов, руководитель проекта Polys.

Проект Polys — резидент центра инноваций «Лаборатории Касперского». Систему используют государственные институты, частные предприятия и НКО в различных странах мира. С помощью Polys проводились выборы в студенческие советы в РАНХиГС и Высшей школе экономики, голосования Верховного суда Российской Федерации и выборы в Европейском молодёжном парламенте Германии, выборы в Совет партнёров «Додо Пиццы», голосование за местные инициативы в Нижегородской, Волгоградской областях, выборы в студенческой ассоциации Нидерландов, в университете Туниса и др.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft все еще не пропатчила уязвимости, показанные на Pwn2Own 2024

Из семи уязвимостей повышения привилегий, выявленных в марте на Pwn2Own, Microsoft устранила только одну, да и то портом заплатки Google для Chrome. Остался месяц до публикации, и появились опасения, что дедлайн Windows встретит непропатченной.

Участники проекта Zero Day Initiative (ZDI), ежегодно проводящие Pwn2Own, обычно дают вендорам 90 дней на выпуск патчей к уязвимостям, продемонстрированным конкурсантами. Показанные в Ванкувере 0-day уже устранили Oracle, Apple, Google, VMware, Mozilla (патчи для Firefox вышли в рекордные сроки, за пару дней).

Все думали, что Microsoft последует их примеру, но разработчик популярной ОС исправил только Edge к апрельскому «вторнику патчей», позаимствовав фикс для Chrome (CVE-2024-3159). Майский набор обновлений для Windows ожиданий не оправдал.

В ходе интервью Dark Reading Дастин Чайлдс (Dustin Childs) из ZDI перечислил все успешно показанные на Pwn2Own 2024 уязвимости в разных компонентах Windows:

  • два бага use-after-free;
  • один TOCTOU (условие гонок типа «время проверки – время использования»);
  • переполнение буфера в куче;
  • ошибка переключения контекста;
  • неадекватная проверка пользовательского ввода;
  • состояние гонки.

Некоторые из них, по словам эксперта, можно использовать напрямую для повышения привилегий (EoP), другие работают только в связке с багом виртуализации, позволяющим выйти за пределы гостевой ОС. Возможности EoP часто используются в атаках и в сочетании с RCE позволяют захватить контроль над системой.

От Microsoft получены подтверждения по всем уязвимостям и заверения, что работа над исправлениями уже начата.

«Панику мы пока не поднимаем, я прекрасно знаю, что такое латание ОС, — отметил представитель ZDI. — Однако Microsoft многократно заявляла, что безопасность у нее в приоритете, и у нее наверняка много хлопот на этом направлении: в прошлом месяце вышел громадный набор обновлений. Я просто боюсь, что новые уязвимости могут сойти с дистанции при таких объемах».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru