几周前,计算机科学家 J. Alex Halderman 将一台电子投票机推到麻省理工学院的舞台上,并演示了黑客攻击选举是多么简单。
在乔治·华盛顿和本尼迪克特·阿诺德之间的模拟竞赛中,三名志愿者都投票给了华盛顿。但霍尔德曼的研究涉及测试选举系统的安全性,他篡改了选票程序,用恶意软件感染了机器的存储卡。当他打印出结果时,收据显示阿诺德以 2 比 1 获胜。如果没有每张选票的纸质记录,选民和人工审核员都无法检查差异。在真实的选举中,全国约有 20% 的选民仍然只投电子选票。
随着美国中期选举的临近,霍尔德曼等人警告说,我们“过时且未经充分测试”的电子投票系统越来越容易受到攻击。它们也可能导致混乱。一些得克萨斯州的提前投票选民已经报告,他们投给民主党美国参议院挑战者贝托·奥鲁克的选票在屏幕上被切换为现任共和党参议员特德·克鲁兹。没有证据表明存在黑客攻击,而且有关机器已知存在软件漏洞,这可能是造成错误的原因。
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保关于塑造我们今天世界的发现和想法的具有影响力的故事的未来。
霍尔德曼不认为攻击是罪魁祸首。“如果是的话,候选人切换对选民和选举官员都不可见,”他说。“但得克萨斯州正在发生的事情是老旧机器运行不良的另一个警告信号,这使它们成为窃取选票攻击的沃土。”
最终——无论得克萨斯州的场景是源于故障软件、有缺陷的机器还是敌对的黑客攻击——一个结果是失去了对我们选举过程的信心。正如网络安全记者 Kim Zetter 最近在纽约时报杂志中写道,“说如果在投票箱中出现故障,那么民主就会失败,这并不夸张。”
密歇根大学计算与社会中心主任霍尔德曼最近与大众科学谈论了对民主的不同类型的技术威胁——以及古老的纸张如何保障选举安全。
电子投票机。图片来源:Elijah Nouvelage Getty Images
[以下是采访的编辑稿:]
似乎选举干预正在我们周围发生,以如此多种不同的方式。黑客攻击投票机软件与出现在我们 Facebook 信息流中的虚假信息宣传活动有什么关系?
技术正在许多不同层面上改变民主,它们并非完全相关。但它们都在社会形成政治观点、表达这些观点并将其转化为选举结果的方式中制造了漏洞。
例如,俄罗斯在 2016 年选举中进行干预的一种形式是社交媒体宣传活动,这影响了个人形成的意见层面的政治话语。但第二个方面——黑客攻击竞选活动,例如约翰·波德斯塔的电子邮件——在其仅针对一方的方式上是如此险恶。这触及了开放社会传统上依赖信息收集和媒体来做出健全政治决策的根基。
然后是第三种形式的黑客攻击:攻击选举机器、基础设施、投票站、选民登记系统等等。这正是我大部分工作所在。
您是如何开始调查投票安全的?
这实际上是在我 2006 年在普林斯顿读研究生时突然降临到我身上的。此前没有任何研究小组能够接触到美国的投票机进行安全分析,一个匿名团体提出给我们一台进行研究。当时,研究人员假设投票站设备存在漏洞,而制造商坚持一切都很好,这之间存在相当大的争议。
在过去的十年中,选举网络安全领域发生了怎样的变化?
它已经从自负的立场转变。现在已经有重要的学术研究,科学界已达成共识,即投票站设备将存在漏洞。
有时,新技术的风险或可能的故障模式是完全可以预见的。在投票方面肯定就是这种情况。随着无纸化计算机投票机的引入,许多计算机科学家——甚至在任何人直接研究过这些机器之前——就说,“让选举由本质上是黑箱技术的东西进行,这不是一个好主意。”
另一方面,这些故障将被利用的方式——以及这种利用的含义——有时更难以预见。当我们 10 年前进行第一次投票机研究时,我们谈到了一系列不同的潜在攻击者、不诚实的选举官员和腐败的候选人。但外国政府网络攻击的概念,即这将是需要担心的最大问题之一——嗯,这在名单上相当靠后。在过去的 10 年里,网络战从看似科幻小说变成了你几乎每天在报纸上读到的东西。
2016 年真的改变了一切。它告诉我们,我们的威胁模型是错误的。我认为这让情报界的大部分人和网络安全界的大部分人都措手不及。看到俄罗斯如此接近实际利用这些漏洞来伤害我们,真是令人感到超现实。
国土安全部和情报界表示,没有证据表明俄罗斯黑客在 2016 年总统选举中篡改了选票。您能将“没有证据”放在上下文中理解吗?
我们确信,在 2016 年,俄罗斯人并没有做他们有能力做的一切。大部分证据——既有俄罗斯攻击的证据,也有俄罗斯克制的证据——都与选民登记系统有关,这是每个州运营的另一个后端系统。
如果您仔细阅读情报界的声明,我们没有选票被更改的证据是,我们显然没有听到负责其他部分攻击计划或试图进行选票操纵攻击的特定俄罗斯特工。但这并不是很令人放心,因为我们不知道其他攻击者可能在尝试什么,我们可能没有相同的情报洞察力。很难知道你不知道什么。还有其他对手肯定会从操纵美国选举中获益,包括中国或朝鲜等其他国家。
据我们所知,在公共领域,投票机本身在 2016 年后受到的情报和防御方面的审查要少得多得多。据我所知,没有哪个州对其投票机进行任何类型的严格取证,以查看它们是否已被攻破。
因此,可能还有更多事情正在发生,但没有受到密切关注?
没错。但我们从参议院情报委员会关于俄罗斯干预选举的调查报告中得知,俄罗斯有能力对登记系统造成比他们实际造成的更大的损害。他们有能力修改或破坏至少一些州的登记系统中的数据,如果这种情况没有被发现,将会在选举日造成大规模混乱。但他们决定不扣动扳机。
但是,当涉及到投票机本身时,恶意代码如何被引入?
一种可能性是,攻击者可能会渗透到所谓的选举管理系统。这些是州或县政府或有时是外部供应商运营的小型计算机网络,选票设计在那里准备。
存在一个编程过程,通过该过程,选票的设计——竞赛和候选人,以及计票规则——被制作出来,然后被复制到每台单独的投票机。选举官员通常将其复制到选举机的存储卡或 USB 驱动器上。这提供了一条恶意代码可以从集中式编程系统传播到现场许多投票机的途径。然后,攻击代码在单独的投票机上运行,它只是另一段软件。它可以访问投票机的所有相同数据,包括人们投票的所有电子记录。
那么,如何渗透到编程选票设计的公司或州机构?您可以渗透到他们的计算机,这些计算机连接到互联网。然后,您可以将恶意代码传播到非常大范围内的投票机。这为攻击创造了一个非常集中的目标。
这让我们在中期选举中走向何方?
虽然与 2016 年相比,安全意识大大提高(特别是登记系统的保护有所增强),但选举安全方面仍然存在许多漏洞——尤其是在投票站设备方面。当然有可能以会导致大规模混乱的方式破坏选举系统。如果今年 11 月什么都没发生,那将是因为我们的对手选择不扣动扳机。而不是因为他们没有办法伤害我们。
如果对手的目标不是广泛的混乱,而是更微妙的东西呢?
不幸的是,也有可能更巧妙地操纵事情,尤其是在势均力敌的选举中,以导致错误的候选人获胜——并且很有可能不会被发现。
我正在考虑参议院和众议院的激烈竞争,例如在得克萨斯州和佐治亚州。
更广泛的问题是,如果我们将在全国范围内就国会的控制权展开激烈竞争,这将取决于一系列摇摆选区。由于我们的选举系统如此分散,地方和州做出自己的关键安全决策,这意味着有些地方的防御能力将比其他地方弱得多。像俄罗斯这样复杂的对手可能会尝试探测所有可能的摇摆选区的选举安全,找到那些防御最薄弱的选区,并巧妙地操纵这些选区的结果。如果他们能在足够多的摇摆选区做到这一点,他们就可以扭转结果——并控制国会。这就是如此可怕的地方。
国家科学院、工程院和医学院 在 9 月份发布了一份报告,敦促所有州在 2020 年之前采用纸质选票。为什么纸质选票最适合验证选举结果?
选举后纸质审计的想法是一种质量控制形式。您希望有人检查足够的纸质记录,以高统计概率确认纸质结果和电子结果相同。您基本上是在进行随机抽样。您需要的样本量取决于选举结果有多接近。如果这是一场压倒性胜利,那么很小的样本——甚至只是从全州随机选择的几百张选票——就足以以高度的统计置信度确认这确实是一场压倒性胜利。但如果选举结果是平局,那么您需要检查每张选票以确认它是平局。
审计作为网络防御背后的关键见解是,如果您有选民检查过的纸质记录,那么以后就无法通过网络攻击来更改它。这样做的成本相对较低。我的估计是,每年花费约 2500 万美元就可以对全国每次联邦选举进行高置信度的审计。
但这种策略对于像新泽西州和佐治亚州这样的州来说是一个问题,因为这些州目前根本没有纸质记录。
今天,全国只有大约 79% 的选票记录在纸上。如果您没有纸质记录,那么就无法进行严格的审计。充其量,您只是再次点击计算机程序上的打印按钮。无论结果是否真实,您都将获得与第一次相同的结果。
大约有 14 个特定州存在选票未记录在纸上的漏洞,这已为众人所知。例如,佐治亚州完全是无纸化的。他们还在使用自 2005 年以来 [未进行安全补丁] 的软件的投票机。
您最担心 2018 年中期选举的什么?
现在做任何其他事情都为时已晚。除非一些州加强其选举后程序。
重点需要开始放在 2020 年。因为一些州需要那么长时间才能更换其老旧且易受攻击的投票机,并确保每个州都实施严格的选举后审计。我们有机会解决这个问题。这是少数几个不必困难或昂贵的重大网络安全挑战之一。
但这需要国家领导和国家标准才能实现。否则,我们将无法以足够快的速度或协调一致的方式前进,而那些将我们视为目标的攻击者将获胜。