Voting Machine的争议

我看到不停有人@我 问关于voting machine的事情。
我分享一下关于这件事情的我的认知。
在这里我没有任何价值判断或者倾向性判断。
我所有说的，都有reference。

另外我已经离开安全这个圈子很久很久了，而且我的domain knowledge也不是这块。
一家之见，仅供参考。
另外
1. 直接hacking/testing voting machine 是联邦重罪。请不要去自己试。
2. 投票机的型号有很多种，但是voting machine的技术都非常垃圾。

What Happened

现在有个说法就是MI的一个county机器点票是拜登赢，手工点票Trump赢，差了几千票。

官方的解释，先是software glitch、 后是human error

参考链接：

https://www.freep.com/story/news/politics/elections/2020/11/06/antrim-county-vote-glitch-software-update/6194745002/

whatever，有人肯定会去查的。

投票机安全么？

那就把一个大问题引出来了，这些voting machine 安全吗？
hmm， good question。
自从2016年以来，美国的安全界已经大大加强了选举安全的关注。
美国顶级的安全会议blackhat和defcon都有专门针对voting machine的攻击。
结果安全人士，一脸懵逼。这啥啊。我们的民主就建立在这个上面？？？？
是的。
美国的voting machine和美国其他传统行业的计算机系统一样，已经落在时代的后面。

2018 blackhat上对voting machine的分析

视频链接

https://www.youtube.com/watch?v=omDmeU9eUKI

这个blackhat 报告中的 winvote的用的是XP的系统。而且没有打补丁。

而且里面有中文歌曲，有其他网站的访问痕迹。

白雪，千古绝唱什么鬼？

有不在投票机正常操作时段的u盘操作，文件的更新

反正就是一个筛子。
这个研究人员的结论就是，我觉得投完后还是用安全的纸卷打出来。以核查。没有更好的办法。

是老一代的投票机。

新一代的投票机是不是好一些？

那新一代的投票机有没有好一点呢？

事实上并没有。新一代的就是和佩罗西家族有关的那个Dominion ESS。
这个系统也是个垃圾。
1. Defcon 在voting village里面，对这个系统进行测试。一大堆漏洞。

2. Vice发布了一个深度调查报告。这个系统居然联网。但是公司否认。而且安全分析员对系统分析，发现这个系统根本不安全

https://www.vice.com/en/article/3kxzk9/exclusive-critical-us-election-systems-have-been-left-exposed-online-despite-official-denials

感兴趣的可以把vice的这个深度报告看一下。

他们这个架构就有问题，是联因特网的。

这个是违反联邦法律的。

3. 今年大选之后，有个安全研究人员，扫了几台选票机。（这是违法的，不要去尝试）
发现这些系统，联网，漏洞一大堆。

4. 而且在报告后，一些机器下线了。

进一步Deep Dive

1. 刚刚说Vice深度报道中提到的那个安全专家的名字叫 Kevin Skoglund是一个 安全公司的首席技术专家。
2. 因为常年累月被告知 voting machine 不联网，他联合了9个安全人一起去扫这些机器。
3. 他们发现了很多在摇摆州的voting machine在网上。
4. 他联合了几个组织 起诉了宾夕凡尼亚州。

起诉书 http://www.pacourts.us/assets/files/setting-7133/file-8389.pdf?cb=9aac18

里面有海量细节 226页。

然而PA的结论就是，结论就是，今年来不及改了。我们后面再改。

https://freespeechforpeople.org/wp-content/uploads/2020/01/2020-01-16-app-for-stay-brief.pdf

而有趣的是，共和党可以说是自食其果。其实民主党去年提了一个提案SAFE 法案。

https://www.congress.gov/bill/116th-congress/house-bill/2722/text

这个提案，在众议院通过了。但是还没有过参议院。所以，让投票机更加安全的提案，没有成为强制的法案。
这就尴尬了。

从前段时间对FB的听证会莱来看，参议院和众议院很多老爷爷们对技术真的是一无所知。我觉得他们真的要好好学习。

另外根据资料，美国，已经没有能力/（供应链问题，成本不划算），在本土生产投票机。

ESS投票机其实很多是made in China的。所以他们也谈了大量供应链的安全问题。

虽然满满恶意，但是这些老爷们，你们不shame吗？

连投票机都造不了。

结语

1. 这些系统的安全性普遍存在严重问题。
老的系统第一次拿去defcon的时候，安全人员在上面放了彩虹猫。

哈哈哈

2. 新的系统依然是漏洞百出。而且存在非法联网的情况。
3. 需要设计更加高效的安全的，投票机制。如果投票还有意义的话。
4. 技术从来不是问题。政治才是问题。

大家不要尝试未经许可去hacking voting machine，联邦重罪。