从安全的角度看Voting Machine的安全性与可靠性
Voting Machine的争议
我看到不停有人@我 问关于voting machine的事情。
我分享一下关于这件事情的我的认知。
在这里我没有任何价值判断或者倾向性判断。
我所有说的,都有reference。
另外我已经离开安全这个圈子很久很久了,而且我的domain knowledge也不是这块。
一家之见,仅供参考。
另外
1. 直接hacking/testing voting machine 是联邦重罪。请不要去自己试。
2. 投票机的型号有很多种,但是voting machine的技术都非常垃圾。
What Happened
现在有个说法就是MI的一个county机器点票是拜登赢,手工点票Trump赢,差了几千票。
官方的解释,先是software glitch、 后是human error
参考链接:
https://www.freep.com/story/news/politics/elections/2020/11/06/antrim-county-vote-glitch-software-update/6194745002/
whatever,有人肯定会去查的。
投票机安全么?
那就把一个大问题引出来了,这些voting machine 安全吗?
hmm, good question。
自从2016年以来,美国的安全界已经大大加强了选举安全的关注。
美国顶级的安全会议blackhat和defcon都有专门针对voting machine的攻击。
结果安全人士,一脸懵逼。这啥啊。我们的民主就建立在这个上面????
是的。
美国的voting machine和美国其他传统行业的计算机系统一样,已经落在时代的后面。
2018 blackhat上对voting machine的分析
视频链接
https://www.youtube.com/watch?v=omDmeU9eUKI
这个blackhat 报告中的 winvote的用的是XP的系统。而且没有打补丁。
而且里面有中文歌曲,有其他网站的访问痕迹。
白雪,千古绝唱什么鬼?
有不在投票机正常操作时段的u盘操作,文件的更新
反正就是一个筛子。
这个研究人员的结论就是,我觉得投完后还是用安全的纸卷打出来。以核查。没有更好的办法。
是老一代的投票机。
新一代的投票机是不是好一些?
那新一代的投票机有没有好一点呢?
事实上并没有。新一代的就是和佩罗西家族有关的那个Dominion ESS。
这个系统也是个垃圾。
1. Defcon 在voting village里面,对这个系统进行测试。一大堆漏洞。
2. Vice发布了一个深度调查报告。这个系统居然联网。但是公司否认。而且安全分析员对系统分析,发现这个系统根本不安全
https://www.vice.com/en/article/3kxzk9/exclusive-critical-us-election-systems-have-been-left-exposed-online-despite-official-denials
感兴趣的可以把vice的这个深度报告看一下。
他们这个架构就有问题,是联因特网的。
这个是违反联邦法律的。
3. 今年大选之后,有个安全研究人员,扫了几台选票机。(这是违法的,不要去尝试)
发现这些系统,联网,漏洞一大堆。
4. 而且在报告后,一些机器下线了。
进一步Deep Dive
1. 刚刚说Vice深度报道中提到的那个安全专家的名字叫 Kevin Skoglund是一个 安全公司的首席技术专家。
2. 因为常年累月被告知 voting machine 不联网,他联合了9个安全人一起去扫这些机器。
3. 他们发现了很多在摇摆州的voting machine在网上。
4. 他联合了几个组织 起诉了宾夕凡尼亚州。
起诉书 http://www.pacourts.us/assets/files/setting-7133/file-8389.pdf?cb=9aac18
里面有海量细节 226页。
然而PA的结论就是,结论就是,今年来不及改了。我们后面再改。
https://freespeechforpeople.org/wp-content/uploads/2020/01/2020-01-16-app-for-stay-brief.pdf
而有趣的是,共和党可以说是自食其果。其实民主党去年提了一个提案SAFE 法案。
https://www.congress.gov/bill/116th-congress/house-bill/2722/text
这个提案,在众议院通过了。但是还没有过参议院。所以,让投票机更加安全的提案,没有成为强制的法案。
这就尴尬了。
从前段时间对FB的听证会莱来看,参议院和众议院很多老爷爷们对技术真的是一无所知。我觉得他们真的要好好学习。
另外根据资料,美国,已经没有能力/(供应链问题,成本不划算),在本土生产投票机。
ESS投票机其实很多是made in China的。所以他们也谈了大量供应链的安全问题。
虽然满满恶意,但是这些老爷们,你们不shame吗?
连投票机都造不了。
结语
1. 这些系统的安全性普遍存在严重问题。
老的系统第一次拿去defcon的时候,安全人员在上面放了彩虹猫。
哈哈哈
2. 新的系统依然是漏洞百出。而且存在非法联网的情况。
3. 需要设计更加高效的安全的,投票机制。如果投票还有意义的话。
4. 技术从来不是问题。政治才是问题。
大家不要尝试未经许可去hacking voting machine,联邦重罪。