J. Alex Halderman 是一位计算机科学家,他展示了入侵选举是多么容易。他在密歇根大学的研究小组研究了攻击者如何以投票机器、基础设施、投票站和选民登记册等弱点为目标。如今,他花费大量时间教育立法者、网络安全专家和公众如何更好地保障他们的选举安全。在美国,在 2020 年总统竞选之前,仍然存在严重漏洞
鉴于系统中的漏洞、现有的技术能力以及对手的动机,Halderman 在这里推测了可能发生的网络安全灾难,这些灾难可能会使 2020 年的选举以及民主本身受到质疑。然而,Halderman 坚信一件事:“确保你的选票不被计算的唯一方法是不投票。我不想吓跑人们不去投票。” 以下内容基于 2018 年 10 月和 2019 年 6 月进行的两段对话; 经过编辑和压缩
2016 年美国总统大选确实改变了一切。它让情报和网络安全界措手不及,并教会我们,我们对网络战的威胁模型是错误的。多亏了穆勒报告,我们现在知道俄罗斯人为了破坏 2016 年选举结果的合法性,做出了认真且协调一致的努力。我认为他们的努力比任何人最初意识到的都要更有组织、更全面。据我所知,此后没有哪个州对其投票机进行过任何严格的法证检查,以查看它们是否已被入侵。我非常有信心俄罗斯人会在 2020 年卷土重来。
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关塑造我们当今世界的发现和思想的具有影响力的故事的未来。
我认为情报部门将继续努力了解恶意行为者的计划和行动。令人难以置信的是,起诉书中披露了俄罗斯军方和领导层中特定人员的具体行动的多少细节。但很难知道我们没有看到什么。我们是否对朝鲜、伊朗或中国有同等程度的了解? 可能有很多复杂的民族国家行为者希望在 2020 年及以后对我们造成伤害。
自 2016 年大选以来,许多州对他们的选举机器进行了改进,但这还不够,而且发生的速度也不够快。仍然有 40 个州正在使用至少有十年历史的投票机,而且许多机器没有收到针对漏洞的软件补丁。近 25% 的州没有完整的纸质记录,因此他们无法对实物选票进行选举后审计。选举安全不是党派问题。然而,仍然存在障碍,尤其是来自参议院共和党领导层的障碍,这使得选举安全法案不太可能获得通过。我认为这是国会严重渎职,未能提供共同防御。因此,在 2020 年,许多最坏情况的选举干预仍然可能发生。
选举日临近
网络战通常涉及利用系统中已知的漏洞以及人们心理和轻信的基本局限性。在初选期间以及选举前的几个月中,社交媒体上的影响力行动将比以往任何时候都更加精确和数据驱动,因此也更有效且更难被发现。
总统候选人已经在根据消费者数据库中已知的关于选民人口统计信息,精心制作政治广告,以最大限度地影响他们。因此,您可能会根据消费者数据库中已知的关于您的信息,收到来自候选人的一条消息。而对于某些问题持有略微不同观点的人,可能会收到来自同一候选人的不同消息。当然,试图散布彻头彻尾的谎言的坏人也将开始利用同样的策略。
正如我们在 2016 年看到的那样,攻击者的目标之一是增加社会中的分裂程度,以减少社会凝聚力。假设俄罗斯人购买了访问政治竞选广告商用来定位您的相同消费者资料数据的权限。他们可以将这些数据与政治民意调查和购买的(或被盗的)选民登记名单结合起来,以准确计算出您的个人选票的重要性,并使用这些工具向狭隘的人群推送定制的虚假信息。攻击者甚至可能冒充政治候选人。在拥挤的民主党初选季中,将有大量的机会部署微目标信息,使人们彼此对立,即使他们在大多数事情上意见一致。
我们都认为更多的透明度是好事。但是,当对他们有利而对他们的对手有害时,人们总是会断章取义。候选人越来越生活在真实信息被定向盗窃的威胁之下。当信息有选择地从攻击者想要使其处于不利地位的特定群体中窃取时,真相可以用作强大而片面的政治武器——正如我们在 2016 年希拉里·克林顿竞选活动中看到的那样,它非常有效。这对我们关于新闻业中的真理应该如何在民主进程中发挥作用的观念构成了如此根本的威胁,以至于我确信它会再次发生。而且它可能比电子邮件被盗更糟糕。想象一下,有人侵入候选人的智能手机,并在私人时刻或与助手交谈时秘密录音。我的研究小组正在对政治竞选活动进行民意调查,以评估他们保护自己免受这种情况的能力,到目前为止,我认为他们还没有准备好。
我们还将看到被篡改或完全是合成的信息,并且看起来是真实的。在某些方面,这会造成更严重的威胁。如果攻击者可以生成与真相难以区分的记录,他们就不必真的抓住候选人说了什么或发了什么电子邮件。我们已经看到了使用机器学习来合成人们说他们实际上从未在镜头前说过的话的视频的最新进展。总的来说,这些策略有助于破坏我们对什么是真什么是假的基本概念。这使得候选人更容易否认他们说过的真实事情,他们会暗示电子邮件和录音的内容是伪造的,人们不应该相信自己的眼睛和耳朵。这对我们基于现实形成政治共识的能力来说是一个净损失。
与此同时,每个州都运行着自己独立的选民登记系统。自 2016 年以来,许多州已采取重大措施来保护这些系统,例如安装更好的网络入侵检测系统或升级过时的硬件和软件。但许多州没有这样做。
在上次选举期间,俄罗斯人探测或试图侵入至少 18 个州的选民登记系统。一些消息来源引用的数字更高。根据参议院情报特别委员会的调查结果,在其中一些州,俄罗斯人有能力更改或销毁登记数据。如果他们这次继续这样做,那么在整个州,人们去投票站时会被告知他们不在名单上。也许他们会被给予临时选票。但如果这种情况发生在很大一部分选民身上,那么就会出现如此可怕的延误,以至于许多人会放弃回家。老练的攻击者甚至可能导致登记系统对通过在线门户确认自己登记状态的选民撒谎,同时破坏投票站中使用的登记册中的信息。
对选举前职能的攻击可能会被设计为具有种族或党派影响。由于反歧视法,一些选民登记记录不仅包括政治派别,还包括种族。通过访问该数据库,某人可以轻松地仅操纵属于特定政党、种族群体或地理位置的人的记录。
在某些州,在线选民登记系统还允许选民请求缺席选票或更改选票的寄送地址。攻击者可以为大量公民请求邮寄投票选票,并将选票寄给与攻击者合作的人,这些人会填写选票并投下假票。
选举日
选举干预可以在很多方面取得成功——这取决于攻击者的目标和访问级别。在势均力敌的选举中,如果一个协调一致的团体,比如在俄罗斯,认为一位候选人比另一位候选人对他们的国家更有利,那么为什么不尝试通过难以察觉地操纵选票来影响结果呢?攻击者可能会渗透到所谓的选举管理系统中。有一个编程过程,通过该过程,选票的设计——竞选和候选人以及计票规则——被制作出来,然后被复制到每台单独的投票机上。选举官员通常在存储卡或 USB 闪存盘上复制它以供选举机器使用。这提供了一条恶意代码可能从中央编程系统传播到现场许多投票机的途径。然后,攻击代码在单独的投票机上运行,它只是另一段软件。它可以访问投票机的所有相同数据,包括人们投票的所有电子记录。
对于 2020 年,我认为这种通过网络攻击操纵选票的中心点是中西部的一栋办公楼。这个国家的大部分地区将其选票设计外包给少数几家选举供应商——其中最大的一家是投票机制造商,当我访问时,他们告诉我它为大约 34 个州的 2000 个司法管辖区进行选举前编程。所有这些都是在其总部完成的,我在那里参观过一个房间,我将其描述为与其他公司共用的典型工作建筑的一部分。如果攻击者可以侵入该中央设施并远程渗透到公司的计算机中,他们可以将恶意代码传播到投票机,并更改该国大部分地区的选举结果。该策略可能就像操纵势均力敌的司法管辖区的选票总数一样微妙。它很容易不被察觉。
科学界的共识是,确保投票安全的最佳方法是使用纸质选票并严格审计,方法是让人检查随机样本。不幸的是,仍有 12 个州没有全面使用纸质选票。一些州现在没有采用纸质选票,而是让官员通过查看计算机屏幕上原始选票的扫描件来进行审计。我们即将发布新的研究,该研究表明如何使用计算机算法来基本上完成“深度伪造”选票扫描。我们使用了计算机视觉技术来自动移动复选标记,从而使您的独特笔迹填写的选票扫描件反映的选票与您在纸上记录的选票不同。
如果攻击者不认为一位候选人比另一位候选人更符合他们的目的,那么情况实际上可能会更可怕。也许他们的动机更笼统:削弱美国民主。他们可能会引入恶意代码,使选举设备在 2020 年 11 月开启时基本上自毁,这将造成大规模混乱。或者他们可以让设备看起来可以工作,但在一天结束时,官员们发现没有记录任何选票。在没有纸质备份的司法管辖区,没有其他选票记录。您将不得不重新举行一次全新的选举。这种可见攻击的目的是破坏人们对系统的信任,并动摇人们对民主完整性的信心。
选举之夜及以后
您需要让人们或多或少地就真相和选举的结论达成一致。但是,到 11 月来临时,我们都将为我们程序的合法性感到担忧。届时,很大程度上将取决于选举之夜的竞选看起来有多么接近。
结果从您当地的选区转移到 CNN 或《纽约时报》网站上的显示器的方式是通过美联社和其他机构运营的非常集中的计算机系统。如果攻击者侵入这些计算机系统并导致在选举之夜做出错误的预测会怎么样?我们最终会发现它,因为各州会返回并进行自己的总计,但可能需要几天甚至几周的时间才能发现广泛的错误。那些想要相信选举被操纵的人会认为这是选举确实被操纵的证据。
只有 22 个州要求在法律上证明结果之前完成任何类型的选举后纸质记录审计。在 22 个州中的 20 个州,该要求并不总是产生具有统计意义的审计水平,因为他们没有查看足够大的选票样本来对结果有高度的信心,尤其是在结果接近时。这只是基于数学,与政治无关。只有罗德岛州和科罗拉多州要求进行称为风险限制审计的统计上严格的过程,尽管其他州正在朝着这个方向发展。
如果由于计算机黑客攻击,我们在许多州都无法获得选举结果,我们将进入未知的领域。最接近的先例将类似于 2000 年布什诉戈尔选举,该选举的结果最终由最高法院裁决,并且在选举日后一个月才为人所知。这将是可怕的,并且可能需要在受影响的州重新举行选举。您真的无法重演选举并期望获得相同的结果,因为政治环境总是会发生变化。
或者,假设一位候选人对势均力敌的选举结果提出质疑。根据现行规则和程序,这通常是人们唯一会回头检查实物证据以查看是否发生过攻击的方式。目前,我们没有正确的法证工具来回溯并查看在哪里发生了什么以及谁可能做了什么。甚至不清楚谁有权进行这些类型的测试,因为选举官员和执法部门通常不会携手合作。您不希望将决定谁获胜的权力交给警察。
在真正的噩梦情景中,攻击者可能会获得足够的投票系统访问权限来影响选举结果,并导致一位候选人通过欺诈获胜。然后他们可以对此保密,但以这样一种方式进行设计,即在未来的任何时候,他们都可以证明他们窃取了选举。
想象一下宾夕法尼亚州这样的摇摆州,该州在 2019 年底之前竞相更换了其易受攻击的无纸化投票机。尽管如此,该州仍然不要求进行风险限制审计,这意味着改变结果的欺诈行为可能会未被发现。如果整个选举都取决于宾夕法尼亚州,并且攻击者能够侵入其机器并更改报告的结果会怎么样?他们可以将操纵设置为,如果您按字母顺序对投票站的名称进行排序,那么获胜候选人的选票的最低有效数字将形成圆周率的数字——或类似的东西。这将是一种不会引人注意的模式,但以后可以指出这种模式,无可辩驳地表明结果是伪造的。
假设此信息在新政府执政一段时间后发布,并且没有人可以否认总统不是合法的获胜者。现在我们面临着前所未有的宪法危机。最后,想象一下,实施这次攻击的民族国家不公开其信息,而是利用它来勒索成为总统的人。这有点接近科幻小说的领域,但相差不远。
现实情况是,大多数网络战都比较平凡。几乎可以肯定,我们将看到与选举系统中的漏洞相关的散布怀疑的企图,仅仅是因为它太容易了。您不必侵入任何一件选举设备——您所要做的就是暗示有人可能已经侵入了。
很难公开讨论系统中的漏洞,而又不会冒着助长攻击者目标的风险,即让人们对结果感到不那么自信。但根本问题是,美国选举制度的基础是说服公众信任不完善的机器和操作这些机器的不完善的人的诚信。最终,我们最好的防御是使选举基于证据而不是信仰——这完全是可行的。在网络安全和关键基础设施中存在许多问题,您可能会给我数十亿美元和数十年的时间进行研究,我会说,也许我们可以让它稍微好一点。但是,选举安全挑战可以在没有任何重大科学突破的情况下解决,而且只需花费数亿美元。这只是政治意愿的问题。