O governo suíço anunciou um programa de Bug Bounty no qual convida especialistas de qualquer parte do mundo a realizar testes de penetração no seu sistema de voto eletrónico
O governo da Suiçavai realizar um teste público de intrusão(PIT) para colocar em prova a segurança do seu sistema de votos eletrónico. O convite para participar está aberto a empresas e especialistas de segurança de qualquer parte do mundo que desejem participar. Os interessados podem registar-se aqui.
Entre 25 de fevereiro e 24 de março o sistema de votação eletrónica estará aberto como parte de um simulacro. Este período de tempo é similar à duração do processo de votação para o conselho federal da Suiça, e durante o mesmo qualquer pessoa, desde que registada previamente, pode colocar em prova os seus conhecimentos e habilidades para tentar descobrir e reportar vulnerabilidades no sistema.
Este programa de bug bounty faz parte do plano que o governo suíço tem para expandir e implementar o sistema de voto eletrónico em dois terços dos cantões que formam a Confederação Suíça.
O programa de recompensas pagará até um máximo de entre 30 e 50 mil francos suíços (CFH), (entre 30 e 50 mil dólares) para aquelas falhas que permitam a manipulação de votos individuais ou a manipulação escalável de votos, sem que o votante ou os auditores o percebam. Ainda no que respeita a recompensas, o programa pagará até 20 mil CHF (20 mil dólares) para falhas que permitam a manipulação do voto, mas que sejam percebidas pelo auditor.
A recompensa mínima será de 100 CHF e será para falhas reportadas que respeitem à configuração de um servidor ou serviço, que não siga com as práticas recomendadas pela indústria da segurança. No meio estão categorias com recompensas que vão dos 1.000 aos 10.000 CFH e que correspondem a falhas que exponham a privacidade dos eleitores, corrupção de votos, intrusão de um dos servidores ou a habilidade de executar código arbitrariamente em um ou mais servidores.
A prova será controlada por uma empresa independente chamada SCRT AS, que será responsável por verificar o relatório de vulnerabilidades por parte dos participantes.
Aquando da publicação deste artigo, o número de inscritos era de 1605, maitoritariamente da Suiça, seguidos por participantes de França, Estados Unidos, Alemanha e Canadá.
Para mais informação, aceda à página oficial do E-Voting Public Intrusion Test (PIT).
