你应该担心11月的大选。并不是说你支持的候选人不会获胜,而是担心由于黑客篡改结果,“赢家”可能不是真正的赢家。
或者,即使赢家真的是赢家,也会有足够的怀疑来制造政治混乱。
这不是锡纸帽阴谋论。这些警告来自该行业中一些最可靠的安全专家。
理查德·克拉克,前高级网络安全政策顾问,总统比尔·克林顿和乔治·W·布什,在后的ABC新闻日前撰文称,不仅是美国大选系统易遭黑客攻击,但这样做并不困难。
“The ways to hack the election are straightforward and are only slight variants of computer system attacks that we see every day in the private sector and on government networks in the US and elsewhere around the world,” he wrote, adding that, “in America’s often close elections, a little manipulation could go a long way.”
[相关:网络安全能拯救11月的大选吗?]
德米特里·阿尔皮罗维奇,创始人和CrowdStrike的CTO表示,敌意的黑客寻求与美国大选篡改的风险不仅是可能的,但可能性较大。
Dmitri Alperovitch,创始人和CTO,CrowdStrike
“所有类型的敌手 - 民族国家,黑客行动主义者,甚至犯罪的黑客为聘用可能采取措施现在操纵选举,”他说。“CrowdStrike目前卫冕一些组织在打击此类入侵的政治领域的网络。”
And Bruce Schneier, CTO of Resilient Systems and internationally known blogger, author and security guru, said in an interview on Boston’s WGBH radio last month that because the companies that make electronic voting machines aggressively guard their proprietary information, “we don’t actually know how secure these machines are.但人们非常担心它们会被黑客入侵。”
普林斯顿大学教授安德鲁·阿佩尔和他的学生和同事都是证明有多严重至少有15年了,尤其是自从2002年布什诉戈尔在佛罗里达州的投票纠纷之后,电子投票机开始普及以来。
Bruce Schneier, CTO,弹性系统
他们特别注重一个名为直接记录电子(DRE)设计,施奈尔描述为,“像自动取款机,”和其中大部分创建无纸线索。
阿佩尔和他的一个学生演示了他们可以在几分钟内侵入一个更受欢迎的机器。丹·沃勒克(Dan Wallach)曾在阿佩尔的学生时代工作,现在是莱斯大学的计算机科学教授,他最近告诉Politico,“这些机器几乎不能在友好的环境中工作。”
施奈尔和克拉克说,他们不知道在之前的选举中有网络攻击改变了选举结果。但施奈尔指出,对选举结果可信度的不确定性可能导致重大政治问题。
他说,选举有两个主要目的。他说:“一个是选出赢家,另一个是让输家相信他输了,公平地说。”如果你不做第二个,你就会冒着权力交接的风险。所以,就算什么都没发生,假设周三早上有人说,‘我黑了投票’。“我们无法证明,我们无法推翻它。我们不知道。”
Unisys首席信任官汤姆•帕特森(Tom Patterson)表示,黑客可以在不直接篡改总票数的情况下破坏选举的可信度。他说:“它们包括简单的拒绝服务——阻止公民投票——以及侵犯隐私。”
民主与技术中心的首席技术专家约瑟夫·洛伦佐·霍尔对此表示赞同。他说:“我们许多人更担心的是,袭击不是为了推翻选票,而是破坏选举或造成总体混乱。”
“例如,基于党派关系有选择地删除选民登记数据库中的登记的攻击,将导致所有这些选民被认为没有登记,因此,即使他们的临时选票,如果没有咨询数据库的备份,也不太可能有效。”
事实上,就在本周,《华盛顿邮报》(Washington Post)报道称,美国情报和执法官员正在调查他们认为是俄罗斯在美国的一项重大秘密行动,其目的不一定是篡改实际的投票,而是为了“所以公众不信任”的结果。
一位不愿透露姓名的官员说,“即使是一些影响我们选举系统安全的蛛丝马迹,也会引起重大关注。”这是我们民主的关键,人民对选举制度有信心。”
约瑟夫·洛伦佐大厅,首席技术专家,民主中心与技术
众所周知,当然,已经出现了连接到即将到来的选举组织中的多个黑客 - 施奈尔指出,它们包括民主党人希拉里·克林顿的竞选活动中,民主党全国委员会和民主党国会竞选委员会(DCCC)。
其他的案例是可疑的但不确定的。Schneier说:“当然,我们看到过候选人的网站在选举前一晚宕机,我们看到过竞选网站和协调系统出现故障。”“是故障还是敌人的行动?”我们不知道。”
但所有这一切,以及联邦调查局网络部门最近发出的“闪电”警告,称外国黑客侵入了两个州的选举数据库(亚利桑那州和伊利诺伊州),已经引起了政府高层的注意。奥巴马总统在他最近的演讲中提到了这个问题会见俄罗斯总统弗拉基米尔·普京。民主党总统候选人希拉里·克林顿呼吁俄罗斯干扰选举的潜力应立即面临的严重威胁。
这也促使美国国土安全部(DHS)秘书杰·约翰逊表明,国家的投票系统应该被认为是“关键的网络基础设施。”
凯文McAleavey,创始人和总设计师,该项目KNOS
8月15日,约翰逊与州选举官员举行了电话会议提供国土安全部帮助,使这些系统更加安全。
在距离大选还有两个月的时候,这是否会产生任何影响还不得而知。正如许多专家指出的那样,尽管人们普遍认为美国的投票系统很脆弱,但没有人确切地知道有多脆弱。
“选举管理人员进行培训,以跑选举,而不是捍卫计算机系统,”霍尔说。“我们在很多情况下使用的投票系统不保留的那种证据之一将需要检测攻击,更不用说它无需中断或投票的损失中恢复过来。”
无论如何也没有足够的时间修补投票系统,因为实际上有50场选举,由50个州的8000多个司法管辖区进行。正如Schneier所指出的,每一个都有“不同的规则,都由不同的组织运行,没有任何协调或最低限度的协调,所以联邦政府除了监督之外,没有什么可做的。”
在某些方面,这似乎是一个优势,因为它是更加难以破解8000多名不同的系统不是一个规范的制度。
但是,同样明显的是,改变选举结果并不需要改变每一个系统。这可以通过对几个摇摆州的几个关键选区的选票进行微小的,或许难以察觉的改变来实现。
霍尔说:“如果投票结果像2000年那样接近,就很容易把目标锁定在一个预计投票结果接近的司法管辖区,并实际改变一些选票。”“这对于像马里兰州这样可能允许非常自由的网络投票的州来说尤其容易,这是非常不安全的。”
和选举官员有几十年,他们已经基本上忽略了,从人们喜欢Appel和他的同事们警告。
Schneier在WGBH上说,安全专家已经讨论这个问题20年了。霍尔说,近10年前在加州和俄亥俄州的黑客项目发现,“所有被检查的机器都有很深很深的弱点,可以用来改变选票、扰乱选举、侵犯选票隐私。”我们没有迹象表明这些缺陷已经修复,而且在很多情况下,它们仍然存在,”他说。
然而,这并不意味着管理国家选举系统的人完全无能为力。
在专家的建议:
- 投票机不应连接任何网络,包括局域网(LANs)、Wi-Fi、互联网和虚拟专用网络(VPNs)。
- 要求所有的投票机器为每一张选票创建一个纸质副本,并将它们归档,确保至少一年的安全。目前,只有大约80%的投票机有纸质备份。
Appel在一篇博客中写道结果报道,通过DRE投票,“都完全在电脑程序的控制之下。”如果电脑被黑了,那么黑客就可以决定要报告哪些数字。”
- 在90天内由专业审计员在统计显著水平上进行抽样核实审计,以将纸质选票与记录的电子结果进行比较。
- 消除网络投票。据施奈尔,“这是最坏的 - 最大的灾难”霍尔表示同意。直到互联网是由设计更安全,“网络投票应完全禁止政府选举,”他说。
当然,没有什么是完全防弹的。凯文·麦卡利斯(Kevin McAleavey)是KNOS项目的联合创始人和首席架构师,也是一名恶意软件分析师。他指出,社会工程攻击可以很容易地克服空气隔离系统的障碍。
“风险是多与业内人士高兴地点击电子邮件附件和安装恶意的东西,”他说。“这几乎是它如何到处都是这些天来完成。”
McAleavey说,大部分近期违规活动,选民名单列表和其他机密信息的进行,“恶意软件通过谁得到钓和点击的诱饵系统的不知情,授权用户种植完成。”
克拉克在他最近的帖子中强调,“没有证据表明此类黑客行为曾经在美国发生过,或者即将发生。”
“我们所知道的是,这是可能发生的,”他说。“没有什么可以阻止它在这个国家的许多地方发生,甚至没有努力去看看它是否正在发生。”
这篇文章,“黑客投票:专家说风险是真实的”最初发表于方案 。