Securitywatch: sửa lỗi cho chúng tôi bầu cử công nghệ dễ dàng hơn và khó hơn nhiều so với bạn nghĩ

Khi tôi bay ra San Francisco cho Hội nghị RSA (RSAC) vào đầu tháng 3, tôi đã lên kế hoạch tham dự tất cả các cuộc đàm phán an ninh bầu cử mà tôi có thể phù hợp với lịch trình của mình. Đó là một lựa chọn rõ ràng. Trong khi các kỳ giữa năm 2018 kết thúc mà không có nhiều tranh cãi, chúng tôi vẫn đang chiến đấu trong cuộc bầu cử tổng thống năm 2016 và chúng tôi đang đi được một nửa. Đó là ngoài hệ thống bỏ phiếu và kiểm phiếu của Hoa Kỳ, tốt nhất, là một sự hỗn loạn hầu như không có chức năng.

Tôi mong đợi sự cam chịu thông thường về an ninh bầu cử, với các nhà nghiên cứu đang than vãn về tình trạng đáng tiếc của các máy bầu cử ở Mỹ. Tôi thậm chí đã mong chờ nó, bởi vì bạn phải có một chút khổ dâm để được trong ngành công nghiệp này. Có một chút đau khổ thông thường, nhưng tôi đã không chuẩn bị cho một chút lạc quan và tuyệt vọng. Tôi đã thuyết phục rằng chúng tôi thực sự đã giải quyết vấn đề cấp bách nhất về vấn đề công nghệ với việc bỏ phiếu. Những gì chúng ta đã bối rối là những thứ khác.

Và đó là rất nhiều thứ.

Có một giải pháp công nghệ thấp để bảo mật bỏ phiếu

Tất cả các diễn giả mà tôi thấy đều đồng ý: Nói chung, chúng tôi biết vấn đề của việc bỏ phiếu ở Mỹ là gì. Các hệ thống bỏ phiếu điện tử thuần túy, được gọi là máy bỏ phiếu trực tiếp ghi âm điện tử (DRE), thường được giấu kín khỏi các nhà nghiên cứu, nhưng những hệ thống đã được điều tra đã được chứng minh là rất lỏng lẻo về mặt bảo mật. Máy WinVote, được mệnh danh là cỗ máy bỏ phiếu tồi tệ nhất thế giới, chỉ có mỗi lá cờ đỏ mà bạn có thể tưởng tượng cho một phần cứng quan trọng như vậy. Hệ thống này thực tế đang cầu xin được hack.

Gần gũi với WinVote, được cho là cỗ máy bỏ phiếu tồi tệ nhất thế giới. # BlackHat2018 pic.twitter.com/jRuBt5mieK

- Đắng, Mệt và Mồ hôi (@wmaxeddy) ngày 9 tháng 8 năm 2018

Không có gì đặc biệt đáng ngạc nhiên, nhưng schadenfreude công nghệ của tôi bắt đầu nổi giận khi các cuộc thảo luận chuyển sang xác minh các cuộc bầu cử. Đó là một vấn đề trong nhiều năm, nhưng nó bắt đầu chuyển lên hàng đầu trong các cuộc thảo luận khi an ninh bầu cử trở thành một vấn đề lớn hơn. Nhiều hệ thống bỏ phiếu điện tử (và thậm chí một số máy móc cơ khí cũ, sử dụng đòn bẩy) thiếu cách xác minh kết quả của một cuộc bầu cử. Hoặc thậm chí để xác định xem ai đó đã can thiệp vào máy.

Có sự đồng thuận giữa các chuyên gia: Khi nói đến an ninh lá phiếu, giấy là vua. Một lá phiếu giấy không có phần mềm và không có bộ phận chuyển động. Một lá phiếu giấy là dấu vết giấy riêng của nó, một lá phiếu đã được cử tri xác minh và có thể được kể lại nhiều lần nếu cần thiết. Mặc dù chắc chắn có những lỗ hổng tiềm năng trong các máy bỏ phiếu điện tử (in phiếu bầu đã hoàn thành) và máy quét phiếu, bản thân các lá phiếu là phương pháp an toàn nhất mà chúng tôi không chỉ bỏ phiếu mà còn để xác minh rằng kết quả của bầu cử là đúng.

Điều làm tôi ngạc nhiên ở RSAC là những người phụ trách dường như nhận được tin nhắn. Kay Promotionson, Chủ tịch Hội đồng điều phối khu vực cơ sở hạ tầng bầu cử của Bộ An ninh Hoa Kỳ, nói tại RSAC rằng, "xu hướng trên toàn nước Mỹ hướng tới xây dựng khả năng phục hồi, có nghĩa là hồ sơ giấy và kiểm toán."

Nhìn nhanh vào các bản đồ từ Bỏ phiếu được xác minh cho thấy sự gia tăng chung về tính sẵn có của các lá phiếu giấy trong vài chu kỳ bầu cử gần đây. Vẫn còn nhiều việc phải làm, tuy nhiên. Bản đồ Voter đã được xác minh tương tự đó cho thấy bốn trạng thái chỉ cung cấp các máy DRE không có dấu vết giấy. Nhiều tiểu bang cung cấp hỗn hợp phiếu bầu bằng giấy và máy DRE, nhưng đôi khi với các quận sử dụng DRE nhiều hơn so với các lá phiếu bằng giấy. Và những vệt giấy, ngay cả những cái được xác nhận bởi cử tri, vẫn được coi là không đầy đủ so với một lá phiếu bằng giấy thực tế.

Ngay cả DARPA cũng đang giải quyết vấn đề này, với sáng kiến ​​tạo ra các thiết bị đánh dấu phiếu nguồn mở và đầu đọc phiếu bầu. Dự án đã làm theo một số ý tưởng tốt nhất để sửa chữa máy bỏ phiếu. Nó dựa vào các lá phiếu bằng giấy, và sẽ được các nhà nghiên cứu truy cập đầy đủ để tìm ra sai sót. Một vòng xoắn gọn gàng là một biên nhận với các cử tri có giá trị mật mã có thể sử dụng để xác minh rằng phiếu bầu của họ đã được bỏ và được tính sau cuộc bầu cử.

Một khái niệm nhận được sự chứng thực từ các nhà nghiên cứu đang tiến hành kiểm toán hạn chế rủi ro sau một cuộc bầu cử. Những cuộc kiểm toán này chỉ cần một phần nhỏ phiếu bầu để đạt được sự tin cậy thống kê về kết quả. Đó là một ý tưởng đơn giản và rõ ràng mà tôi không bao giờ mong đợi nó sẽ thực sự được chấp nhận. Nhưng theo Hội nghị Lập pháp Nhà nước Quốc gia, 31 bang yêu cầu kiểm toán kết quả truyền thống sau một cuộc bầu cử và ba bang thực hiện kiểm toán giới hạn rủi ro được các chuyên gia khuyến nghị. Đáng chú ý, mười tiểu bang đã thông qua luật liên quan đến kiểm toán sau bầu cử kể từ năm 2016.

Và kiểm toán làm việc. Chỉ cần nhìn vào Bắc Carolina, nơi kiểm toán đã giúp lật ngược cuộc bầu cử của Mark Harris vào Quốc hội.

Đó là tất cả mọi thứ khác tan vỡ

Thách thức lớn nhất đối với các giả định của tôi về an ninh bầu cử là việc nhận ra rằng cần nhiều hơn các máy bỏ phiếu an toàn và toán học thông minh để xác minh kết quả. Diễn giả sau RSAC nhấn mạnh rằng các cuộc bầu cử là một mạng lưới các sự kiện, công nghệ, chính sách, tổ chức và con người được kết nối với nhau và sự thất bại ở bất kỳ ai trong số họ có thể ảnh hưởng đến kết quả. Mặc dù chúng tôi bắt đầu tìm ra cách an toàn và có thể kiểm chứng để bỏ phiếu, chúng tôi vẫn đang vật lộn với … tốt, mọi thứ khác.

Bỏ phiếu đơn giản là quá khó để thực hiện ở Mỹ và các phiếu bầu cá nhân không mang cùng trọng lượng. Một nỗ lực để biến Ngày bầu cử thành một ngày lễ được gọi là một cuộc giành quyền lực đảng phái. Việc thực hành vận động đã thấy một số thất bại trong những năm gần đây, nhưng đó là ngoại lệ chứ không phải là tiêu chuẩn. Chúng tôi bám lấy trường đại học bầu cử, mặc dù đã có hai cuộc bầu cử trong 20 năm qua, nơi ứng cử viên chiến thắng bị mất phiếu phổ thông.

Đây là những vấn đề đã tồn tại với đất nước chúng ta qua nhiều thế hệ và công nghệ chỉ có thể đóng một vai trò nhỏ trong giải pháp. Ngay cả sự can thiệp của Nga năm 2016 chỉ đơn giản là một bước ngoặt công nghệ cao về thông tin và tuyên truyền sai lệch. Chúng tôi đã thấy vấn đề này trước đây. Những kẻ lừa đảo từ lâu đã biết rằng việc gọi ai đó lên và hỏi thông tin cá nhân, hoặc trình bày với một trang web lừa đảo, thay vì cố gắng hack mục tiêu hoàn toàn dễ dàng hơn nhiều. Chúng tôi gọi nó là "kỹ thuật xã hội", nhưng bạn có thể gọi nó là một thứ được tạo ra theo thứ tự hiệu quả hơn bởi các công nghệ mới. Giải pháp tốt nhất chúng tôi có là đào tạo và giáo dục, không phải là một hậu vệ thông minh được hỗ trợ bởi AI.

Tương tự như vậy, trong khi sự lo lắng đã tăng lên trước các mối đe dọa công nghệ mới đối với nền dân chủ, thì một biện pháp phòng thủ công nghệ có thể không khả thi. James Foster, Giám đốc điều hành của ZeroFOX, đã phá vỡ nó một cách đơn giản: Nhắm mục tiêu các nhóm cử tri Mỹ cụ thể cho các chiến dịch không rõ ràng liên tục sử dụng các nền tảng tiếp thị hiện tại, tương tự như những gì bạn thấy hiển thị quảng cáo trên trang web này, là rất thấp. Chi phí sử dụng các hệ thống tự động để kiểm tra văn bản, hình ảnh và video để chặn thông tin sai lệch cao hơn đáng kể.

Về phần mình, các chính phủ dường như đang đầu tư mạnh vào công nghệ để tấn công lẫn nhau và họ coi các cuộc bầu cử là một cơ hội tuyệt vời để làm điều đó. Kenneth Geers, Nhà khoa học nghiên cứu trưởng tại Comodo, đã chỉ ra cách các cuộc bầu cử ở bất kỳ quốc gia nào mang lại sự tăng đột biến trong việc phát hiện phần mềm độc hại.

• Nga có phải là mối đe dọa đối với bầu cử Mỹ? 'Vâng, hoàn toàn, ' Giám đốc FBI nói rằng Nga có phải là mối đe dọa cho bầu cử Mỹ không? 'Vâng, hoàn toàn, ' Giám đốc FBI nói
• Cách bảo vệ bầu cử Mỹ trước khi quá muộn Cách bảo vệ bầu cử Mỹ trước khi quá muộn
• Chiến dịch ảnh hưởng bầu cử: Quá rẻ cho những kẻ lừa đảo vượt qua Chiến dịch ảnh hưởng bầu cử: Quá rẻ cho những kẻ lừa đảo vượt qua

Một số trong đó, Geers thừa nhận, có thể là những kẻ lừa đảo sử dụng các sự kiện lấy tiêu đề, nhưng ông đưa ra giả thuyết rằng đó chủ yếu là các cơ quan tình báo và có thể cả các đảng chính trị. Một cách riêng biệt, toàn bộ hội đồng đã đồng ý rằng không có cách cụ thể nào để ngăn chặn các quốc gia thực hiện các loại hoạt động này.

Cuộc gọi cuối cùng tại Gian hàng bỏ phiếu

Tôi đã dành vài tuần qua để tiêu hóa mọi thứ tôi nghe và thấy tại hội nghị. Tôi cho rằng một khi các máy bỏ phiếu đã bị khóa, thì đó sẽ là điều đó. Những kẻ xấu sẽ bị đánh. Đó không phải là trường hợp.

Bằng mọi cách, bảo mật phiếu bầu của chúng tôi và xem xét kỹ lưỡng các kết quả bằng phân tích thống kê, nhưng các cuộc bầu cử có thể được bảo mật hoàn toàn với bất kỳ số lượng công nghệ nào. Không có sản phẩm nào sẵn sàng để cắt giảm thông tin sai lệch siêu mục tiêu, không có bản vá phần mềm cho các sự kiện thay thế và không có phần mềm chống vi-rút cho các trang trại troll quốc gia. Để đảm bảo nền dân chủ của chúng ta chịu đựng những mối đe dọa mới này, chúng ta sẽ phải thực hiện công việc xã hội chăm chỉ để giáo dục cử tri và lao động chính trị đau đớn để đảm bảo bỏ phiếu. Tôi không nghe thấy ai trong số những người rất thông minh ở RSAC có giải pháp cho tất cả điều đó.