在选举投票中使用电子系统越来越普遍。无论是在线投票还是投票站的电子投票机,现在许多选举都使用某种电子系统。
然而,电子投票并非没有风险。最大的问题之一是此类系统可能遭到黑客攻击。这里我们将解释人们发现的各种入侵投票机的方法。
当你去投票站时,你可能会发现一台电子投票机,你可以在那里输入你的选票。这取代了传统的纸笔格式。使用电子投票机的优点是,它们比计算选票更快、更准确。
考虑到选举中安全的重要性,你可能会认为这些机器一定非常安全。但不幸的是,情况并非如此。有很多方法可以攻击这些机器。用更新、更安全的机器替换过时的机器极其昂贵。
在过去的几年里,在Def Con(一个由许多道德黑客参加的大型安全会议)上,组织者举办了一个名为“投票村”的活动。在这里,黑客被邀请入侵美国使用的各种类型的投票机。目的是测试这些机器是否安全。
不幸的是,事实并非如此。黑客们设法破坏了2019年活动中可用的每一台投票机。这些机器可以在eBay上购买,这使得黑客很容易练习访问和破坏它们。
另一个担忧是,投票机的许多部件来自美国境外,因此容易受到外国干涉。例如,黑客测试的一台机器包含指向外部IP地址的硬件。这种联系的作用还不清楚,但很可能已经找到了。
在Def Con,黑客们使用的方法从正确猜测弱默认密码到破解低质量加密。对于其中一些黑客,黑客需要靠近机器才能打开机器或添加硬件。但在某些情况下,黑客报告说,他们甚至可以在不靠近机器的情况下入侵机器。
一个问题是,一台机器将选民数据保存在一张加密的SD卡上。但解密数据的密钥以明文形式存储在XML文件中。如Def Con报告中所述,这“允许[ed]轻松访问和修改所有数据,从而使加密变得毫无意义”。
黑客使用的另一种方法是访问投票机的BIOS,因为官员们没有设置BIOS密码。这允许黑客完全访问所有系统设置。尽管硬件确实支持Secureboot,这将阻止机器运行未知代码,但选举官员并没有启用它。
另一个引导黑客涉及**一个安装了Linux操作系统的U盘。**后,投票机可以从USB启动。这使得黑客能够访问这台机器及其数据。
另一个担忧是,在一些投票机上,臃肿的软件没有被移除。这是指来自**商的预装软件,可能存在安全漏洞。这些漏洞可以让黑客进入机器。在一个案例中,一台投票机被发现安装了Netflix、Hulu和Prime Video等应用程序!
一位安全专家在这段YouTube视频中演示了黑客如何访问投票机。在这本书中,他从eBay上购买了一台投票机,并设法破解它。
一个问题是,安装在设备主板上的智能卡硬件不安全。这意味着任何人都可以使用该连接添加自己的硬件。黑客可以添加一个失败设备。这是一块故意干扰机器运行的硬件。该设备甚至可以在进入系统时更改数据,有效地允许黑客更改投票。
另一个问题是智能卡的普遍使用。该机器允许投票官员使用智能卡设置机器,并在投票结束后收集数据。但是黑客可以**他们自己的智能卡。即使卡是空白的,黑客也可以用它来访问机器的日志。这使得黑客能够发现漏洞,并查看投票总数。
研究人员还可以访问机器上的错误日志。这些可能看起来不重要,但事实上它们可以为黑客保存大量信息。
黑客可以使用错误日志计算出机器的历史记录,并查看底层操作系统。在本例中,错误来自Windows系统,黑客可以使用此信息搜索漏洞。
然而,并非只有投票机容易受到黑客攻击。电子投票基础设施也可能很脆弱。2020年初,Ars Technica报告说,在2016年和2018年美国选举之前,恶意政党可能已经入侵了格鲁吉亚的选举服务器。
黑客能够通过使用Shellshock攻击服务器,这是2014年在Unix中发现的一个漏洞。该漏洞尤其令人担忧,因为它相对容易被攻击,并且使任何基于Unix或Linux的机器都容易受到攻击。
选举服务器上的这个问题在2014年12月得到了修补,但到那时可能已经有人利用了漏洞并访问了服务器。
选举服务器安全的另一个问题发生在2016,当研究人员发现肯尼索州立大学的选举服务器易被称为DrPaGeDeDon的服务器缺陷。这利用了服务器上运行的Drupal内容管理系统中的一个缺陷。
电子投票有许多优点。它可以使投票更容易、更快,并且可以更准确地统计总数。然而,系统也有许多方式容易受到黑客攻击。
而这只是选举被黑客入侵的一种方式。它不考虑操纵选民或操纵基础设施等因素。要了解更多关于各种选举威胁的信息,请参阅我们关于选举黑客如何工作的文章。
Join our newsletter for tech tips, reviews, free ebooks, and exclusive deals!
Click here to subscribe
... Facebook发现了什么:Facebook能鼓励人们投票吗?看来是这样。如果用户看到旁边有自己朋友的名字,他们更有可能点击“我投票”按钮。研究人员发现,在他们的新闻提要中得到“我投票”信息的人实际投...
...以通过物理篡改或通过互联网进行远程攻击来实现。允许人们使用自己的设备投票也可能带来重大风险。恶意代理可以在未被发现的情况下更改数百万张电子投票。改变这么多纸面选票是不可能不引起注意的。 ...
... 以下是安全问题的工作原理,正如谷歌Project Zero在2019年8月披露的那样。传统上,人们认为只要不越狱,就很难甚至不可能入侵iOS设备。入侵iOS设备需要知道“零日漏洞”...