Princetonin yliopiston tietojenkäsittelytieteen kandidaatin Henry Herringtonin uusi paperi osoittaa, että hakkeroitu PDF-äänestyslippu voi näyttää yhden äänijoukon äänestäjälle, mutta eri äänet sen jälkeen, kun se on lähetetty – tai ladattu – laskentaa suorittaville vaalivirkailijoille.
Ulkomaisille äänestäjille tai vammaisille äänestäjille monet osavaltiot tarjoavat "Remote Accessible Vote By Mail" eli RAVBM-järjestelmän, jonka avulla äänestäjät voivat ladata ja tulostaa poissaolijoiden äänestyslipun, täyttää sen käsin paperille ja fyysisesti. Lähetä se takaisin.Jotkut osavaltiot käyttävät kaupallisia tuotteita, kun taas toiset ovat kehittäneet omia ratkaisujaan.Yleensä tämä RAVBM-muoto voidaan tehdä riittävän turvalliseksi, pääasiassa siksi, että äänestäjät tekevät omat jälkensä paperille.
Joissakin RAVBM-muodoissa äänestäjä voi täyttää äänestyslipun tietokoneella olevalla sovelluksella ennen sen tulostamista ja lähettämistä. Tämä on vähemmän turvallista: jos äänestäjän tietokoneella oleva haittaohjelma on "hakkeroinut" äänestyssovelluksen, mitä tulostetaan. voivat poiketa siitä, mitä äänestäjä näytöllä osoitti, eivätkä äänestäjät ole kovin hyviä tarkistamaan tulosteita ja huomaamaan tällaisia muutoksia.
Vaarallisin RAVBM-muoto on se, joka sallii sähköisen äänestyksen palauttamisen, jolloin äänestäjä lataa tai lähettää sähköpostitse PDF-tiedoston. Kolmekymmentä osavaltiota sallivat ulkomailla olevien äänestäjien palauttaa äänestyslippuja sähköisesti joko sähköpostitse, faksilla tai verkkoportaalilla, kuten näkyy Herringtonin pidemmän paperin Ballot Acrobatics: Altering Electronic Ballots using Internal PDF Scripting taulukossa 5 (sivut 34-35).
Vaara on, että äänestäjän tietokoneella olevat haittaohjelmat voivat lähettää eri PDF-tiedoston kuin se, jonka äänestäjä on katsonut ja vahvistanut. Vaalit varastaa halunnut hakkeri saattaa levittää tällaisen haittaohjelman tuhansien äänestäjien tietokoneisiin.Haittaohjelma saattaa muuttaa äänestyssovelluksen, PDF-katseluohjelman, selaimen tai sähköposti-/latausohjelmiston toimintaa. Tästä vallitsee selvä tieteellinen yksimielisyys: Kansainvälisen järjestön julkaiseman vuoden 2018 raportin "Securing the Vote, Protecting American Democracy" mukaan. National Academy of Sciences, Engineering and Medicine: Internetiä "ei pitäisi käyttää merkittyjen äänestyslippujen palauttamiseen. . . koska mikään tunnettu tekniikka ei takaa Internetin kautta lähetetyn merkityn äänestyksen salaisuutta, turvallisuutta ja todennettavuutta."
Teknologian toimittajat, Democracy Live ja Voatz, edistävät sähköistä äänestyslipun palautusta. ja Nevada, omalla EASE-järjestelmällään, joka antaa äänestäjille "mahdollisuuden tallentaa äänestyslippumateriaalit PDF-tiedostona ja lähettää asiakirjan sähköpostin liitteenä vastaavalle läänin virkailijalle tai rekisterinpitäjälle". Democracy Live käyttää OmniBallotia, sähköistä menetelmää äänestyslippujen toimittamiseen ja palauttamiseen.
Kaikissa näissä tapauksissa äänestäjien arvioima "lopullinen" äänestyslippu on PDF-tiedosto.* Vaalisovellusten toimittajat luottavat implisiittisesti intuitioon, että "se on asiakirja", ja me ihmiset luulemme voivamme lukea asiakirjan. . Klo 8.32 tässä Democracy Live -mainosvideossa "tämä äänestyslippu sattuu olemaan asiakirja". On selvää, että videossa se on PDF, jota tarkastellaan PDF-katseluohjelmassa, ja Spectre ja Halderman (2021) tiedämme, että se on PDF.
On tarpeeksi vaarallista, että tarkastelemasi PDF ei välttämättä ole se PDF, joka välitetään vaalien järjestäjälle. Mutta vaikka se olisi sama PDF-tiedosto, nyt näkemäsi ei välttämättä ole sitä mitä saat. myöhemmin.
Herringtonin äskettäinen artikkeli "Sähköisten vaalien muuttaminen PDF-komentosarjan avulla" sisältää live-esittelyn (sivulla 2) PDF-äänestyslipusta, joka muuttaa merkittyjä ääniä minuutista toiseen. Tietenkin todelliset vaalit hakkeri ei tuottaisi PDF-tiedostoa, jonka äänet vaihtuvat minuutin välein; äänestäjä saattaa huomata sen. Todellinen uhkamalli on varmistusajan ja ääntenlaskentaajan välissä. Herrington näyttää minuutti minuutilta tapahtuvan muutoksen lukijoidensa avuksi.
Äänestäjä voi merkitä äänestyslipun läänin vaalitoimiston EASE-, Voatz- tai Democracy Live -sovelluksella ja tarkistaa sen sitten selaimella tai PDF-katseluohjelmalla:
Tarkastuessaan äänestyslipun äänestäjä saattaa luulla, että hän on vahvistanut ehdokkaiden valintansa. Sitten hän lähettää tämän PDF-äänestyslipun ohjeiden mukaisesti sähköpostitse tai lähettää sen.
Mutta kun vaalien järjestäjä käsittelee samaa PDF-tiedostoa äänten laskemiseksi, täytetty soikea on siirtynyt nimestä toiseen:
Äänestys on hakkeroitu!
PDF-tiedostot eivät ole staattisia; ne sisältävät aktiivisia ohjelmaohjelmistoja.Jos hakkeri on tartuttanut tuhansia äänestäjien kotitietokoneita äänestyshaittaohjelmilla, haittaohjelma voi korruptoida virallisen äänestyslipun merkintäsovelluksen toiminnan tuottaakseen dynaamisia PDF-tiedostoja.
Saatat ajatella: "Tietokoneeni ei luultavasti ole hakkeroitu, joten otan sen riskin." Mutta todellinen riski ei ole vain tietokoneesi. Hakkeri voi levittää saman haittaohjelman tuhansien tovereidesi tietokoneisiin. kansalaisia ja varastaa heidän äänensä samoissa vaaleissa – ja vaalitulosta voidaan muuttaa. Se ei ole demokratiaa, se on hakokratiaa.
Lopuksi: Merkitse äänestyslippusi fyysiselle paperille. Ja kerro osavaltiosi ja kunnallisvaalien virkamiehille, etteivät he hyväksy sähköistä äänestyslippujen palautusta. Voit esimerkiksi viitata tähän Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvaviraston (CISA) vuoden 2020 raporttiin, jossa sanotaan: "Sähköisen äänestyksen palauttamiseen liittyy suuri riski. Sähköinen äänestyslippujen palautus eli äänestettyjen äänestyslippujen digitaalinen toimittaminen takaisin vaaliviranomaiselle aiheuttaa merkittäviä turvallisuusriskejä äänestettyjen äänestyslippujen eheydelle, äänestäjien yksityisyydelle ja järjestelmän saatavuudelle. Ei ole olemassa kompensoivia valvontatoimia sähköisen äänestyksen palautusriskin hallitsemiseksi nykyisten tekniikoiden avulla. Vaikka monilla sähköisen äänestyslipun palauttamiseen liittyvillä riskeillä on fyysinen analogi vaalilippujen postittamiseen liittyvän riskin kanssa, vertailusta voi jäädä huomaamatta, että sähköiset järjestelmät tarjoavat mahdollisuuden nopeasti vaikuttaa äänestykseen laajasti."
*PDF:n käyttö tähän tarkoitukseen Democracy Livessä ja Voatzissa on vahvistettu riippumattomalla vertaisarvioitulla analyysillä: (1) Spectre, Michael ja J. Alex Halderman. "Democracy Live -verkkoäänestysjärjestelmän turvallisuusanalyysi." 30. USENIX Security Symposium (USENIX Security 21), 2021; ja (2) Spectre, Michael A., James Koppel ja Daniel Weitzner. "Väliäänestys murrettiin ennen lohkoketjua: Voatzin tietoturvaanalyysi, ensimmäinen Yhdysvaltain liittovaltion vaaleissa käytetty Internet-äänestyssovellus." 29th USENIX Security Symposium (USENIX Security 20), 2020; ja (3) PDF-tiedoston käyttö EASE:ssa on kerrottu selkeällä kielellä Nevadan verkkosivustolla.
Filed Under: Luokittelematon Tagged With: ÄänestysKommentit
Speak Your Mind Peruuta vastaus
Freedom to Tinker -tapahtumaa isännöi Princeton's Center for Information Technology Policy, tutkimuskeskus, joka tutkii digitaalisia tekniikoita julkisessa elämässä. Täältä löydät kommentteja ja analyyseja digitaaliselta tieltä, jotka ovat kirjoittaneet keskuksen opettajat, opiskelijat ja ystävät.
Mistä keskustelemme
AACSbitcoinCD-kopiosuojaus sensuuriCITPKilpailuTekijänoikeuskyberturvallisuuspolitiikkaDMCADRMEKoulutusetiikkaTapahtumat FacebookFCCGovernmentethicsTapahtumat ncetonPrivacy PublishingRecommended ReadingSecrecySecuritySpamSuper -DMCA-valvontaTech/Law/Policy BlogsTeknologia ja FreedomtransparencyVirtuaalimaailmatÄänestysLangallinen salakuunteluWPMKäyttäjät
Arkistot kuukausittain
tekijä kirjaudu sisäänPalaa sivun alkuun
Tekijänoikeudet © 2022 ·Koulutusteema Genesis Frameworkissa · WordPress · Kirjaudu sisään