为了避免重蹈2000年总统选举争议的覆辙,并满足国会仓促制定的2002年帮助美国投票法案 (HAVA) 的要求,各州和各县纷纷涌向他们希望能够消除悬而未决的选票和其他纸质系统固有缺陷的电子投票系统。六年过去了,距离又一次总统选举不到三个月,许多电子投票系统仍然存在安全漏洞,这项技术尚未证明自己是选民所期待的解决方案。
根据加利福尼亚州和俄亥俄州在过去一年委托进行的研究,此类系统可能允许选民和投票站工作人员多次投票、通过加载病毒使系统崩溃以及伪造计票结果。这些系统的制造商反驳说,测试设置是不现实的。但这并没有让选举官员晚上睡得更安稳。
斯坦福大学计算机科学教授兼“核实投票基金会”(一个推动实施更易于核实和审计的投票流程的非营利组织)的创始人大卫·迪尔说,电子投票系统最终成为失败的原因之一是,唯一参与检查这些系统的人是想要出售其技术的供应商,以及没有能力理解安全问题的地方选举官员。“当时有一个认证流程,”迪尔说,“但它与安全几乎无关。”
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。 通过购买订阅,您将帮助确保有关塑造我们当今世界的发现和想法的有影响力的故事的未来。
迪尔是Attackdog的作者,这是一款威胁建模软件,可以检查投票系统可能受到的 9000 多种潜在攻击方式,包括计算机黑客攻击、篡改选票和冒充选民。Attackdog 是一个名为“正确、可用、可靠、可审计和透明选举中心” (ACCURATE) 的更大努力的一部分,该中心于 2005 年由国家科学基金会启动,获得了 750 万美元的资助。“我们现在所做的一切都不会影响 11 月的选举,”迪尔说。“我们不知道如何制造安全的无纸化投票。”
这种观点在美国各地都有回响,其中最突出的是竞争激烈的俄亥俄州,州务卿詹妮弗·布伦纳在过去一年中委托进行了一系列测试,以确定电子投票系统是否足够安全以值得信赖。根据这些测试,布伦纳得出的结论是它们不安全,位于得克萨斯州艾伦市的Premier Election Solutions, Inc.对此决定提出异议。Premier 于 5 月起诉了布伦纳和一个俄亥俄州县选举委员会,试图让法院裁定该公司已履行其对州的合同义务。
布伦纳于 8 月 6 日反击,反诉 Premier(前身为 Diebold Election Systems, Inc.)以及触摸屏投票系统的制造商,自 2005 年以来,俄亥俄州已在触摸屏投票系统上投资超过 6200 万美元。布伦纳的诉讼指控 Premier 除其他外,违反合同和违反保证,并寻求法院承认 Premier 未能履行其合同。反诉还要求 Premier 赔偿至少 25,000 美元的损失,原因是自 2005 年以来,Premier 的技术在选举期间在至少 44 个县中的 11 个县造成了问题。“我们认为 Premier 的设备未能按照其合同和州法律的要求运行,”布伦纳说。“我们已采取此行动,以追回纳税人为该州 88 个县中一半县使用的投票系统支付的资金。”
自布伦纳于 2007 年 1 月上任以来,她和 Premier 就该公司的 DRE(直接记录选举)触摸屏电子投票技术是否正常工作且安全问题多次发生冲突。问题在 4 月达到顶峰,当时俄亥俄州巴特勒县的选举官员在初选期间检测到选票计数差异。布伦纳说,县选举委员会工作人员确定 Premier DRE 系统发生故障,未能统计从上传到系统计票计算机服务器的存储卡中的选票,她补充说,“这不是我们期望的。”
布伦纳怀疑所有迄今为止已花费俄亥俄州 1.12 亿美元的电子投票技术都存在问题,因此去年委托进行了“珠穆朗玛峰计划”,对俄亥俄州使用的电子投票技术进行了全面的安全审查,以识别任何可能使选举容易受到篡改的问题。在为期 10 周的项目中,来自宾夕法尼亚州立大学、宾夕法尼亚大学和 WebWise Security(一家于 2005 年由加州大学圣巴巴拉分校安全研究小组的教职员工和学生组成的安保公司)的学术研究团队检查了来自 Premier、Election Systems and Software (ES&S)(位于内布拉斯加州奥马哈)和位于得克萨斯州奥斯汀的 Hart InterCivic 的 DRE 触摸屏和光学扫描投票系统,以及管理这些系统的软件。
布伦纳在项目于 12 月结束时发表声明说,珠穆朗玛峰计划的研究人员在所有三家供应商的系统中都发现了可利用的安全漏洞。“这些漏洞中的许多漏洞都对俄亥俄州进行的选举的完整性构成了实际威胁,”她说。“我们发现不同供应商系统中的漏洞,例如,允许选民和投票站工作人员多次投票、用病毒软件感染选区或破坏先前投出的选票——有时是不可逆转地破坏。”
宾夕法尼亚州立大学信息安全教授,也是珠穆朗玛峰计划测试负责人帕特里克·麦克丹尼尔说,“鉴于它们处理的数据的重要性,目前没有任何系统是足够充分的。” 麦克丹尼尔和他的团队测试的许多攻击都可以在几秒钟内在投票站或县选举办公室进行。一个例子:当研究人员将一块白色胶带贴在电子投票系统扫描仪的一部分上时,他们能够有效地阻止它读取整张选票。换句话说,一个人可以将胶带放在某个位置,使系统无法计算特定候选人的选票。该团队还发现,用于打开 Hart 选票箱的钥匙也可以用于打开 Premier 系统上的选票箱。
在一次更严重的攻击中,麦克丹尼尔发现他的研究人员可以更换某些电子投票系统中的存储卡。“你放在卡上的任何软件都会上传到系统的计算机中,”他说。
Premier 已经对珠穆朗玛峰计划的调查结果以及加利福尼亚州州务卿黛布拉·鲍文委托进行的类似项目“自上而下审查”在 3 月份发布了一份报告,强调珠穆朗玛峰计划的研究人员在“没有物理或操作安全控制”的情况下进行了他们的工作,并且没有模拟真实的选举日条件。Premier 无法联系到进行置评。
珠穆朗玛峰计划的研究人员并不否认这一点。珠穆朗玛峰计划的研究员兼普林斯顿大学大气和海洋科学项目计算系统经理桑迪·克拉克在上个月在纽约市举行的“最后的希望”黑客大会上说,她和她的珠穆朗玛峰计划的同事“将该项目视为一次黑客攻击”。
在“最后的希望”大会上,领导珠穆朗玛峰计划对 ES&S 电子投票技术进行分析的宾夕法尼亚大学研究人员描述了 ES&S 触摸屏和光学扫描系统几乎每个硬件和软件组件中都存在可利用的安全漏洞。克拉克说,其中一些缺陷可能允许单个心怀不轨的选民或投票站工作人员篡改全县范围的选举结果,选举官员可能永远不会知道结果已被篡改。“我们尝试过的每一种攻击都能够成功实施,”她补充说。“我们了解到,目前所有电子投票系统都存在严重的可利用漏洞。”
除了投资 Premier 系统外,俄亥俄州还在 ES&S 电子投票技术上花费了超过 4100 万美元,并且是 ES&S 的 43 个州客户之一。
当就此报道联系 ES&S 时,ES&S 指出了今年早些时候就珠穆朗玛峰计划发表的声明。与 Premier 一样,ES&S 的结论是,任何试图复制珠穆朗玛峰计划的许多测试的人都需要“不受限制地访问 DRE 设备”,并详细了解系统的工作原理(即,其与其审计日志的通信协议)。
尽管存在分歧,但在 2008 年总统选举中,俄亥俄州和 Premier 仍然彼此捆绑在一起。“由于距离选举不到三个月,各县将使用他们拥有的技术,”布伦纳说。为了消除任何潜在问题,俄亥俄州使用触摸屏投票系统的县被要求打印至少一部分电子投票的硬拷贝,这将提供审计跟踪。还将为选民提供填写纸质选票的选项,纸质选票可以由光学扫描仪读取并在数据库中注册。
麦克丹尼尔说,电子投票系统必须从头开始重新设计,并以安全为重中之重。在短期内,这意味着增加更全面的选票审计功能,以便可以调查差异。“选举系统应具有与金融系统相同的质量、相同的可靠性、相同的测试和相同的认证要求,”他说。“如果银行使用的系统(必须向美国证券交易委员会 [SEC] 报告)具有这种质量水平,就不会有人把钱存入银行。”
展望 11 月之后,布伦纳说她希望俄亥俄州更多地依赖光学扫描技术。“以后,”她补充说,“触摸屏(系统)可能会有一席之地。”