Um novo artigo de Henry Herrington, estudante de ciência da computação na Universidade de Princeton, demonstra que uma cédula de PDF hackeada pode exibir um conjunto de votos para o eleitor, mas votos diferentes após serem enviados por e-mail – ou carregados – para funcionários eleitorais que fazem a contagem.
Para eleitores estrangeiros ou com deficiência, muitos estados fornecem "Voto remoto acessível por correio" ou RAVBM, um sistema que permite aos eleitores baixar e imprimir uma cédula de ausente, preenchê-la à mão em papel e fisicamente envie-o de volta.Alguns estados usam produtos comerciais, enquanto outros desenvolveram suas próprias soluções.Em geral, esta forma de RAVBM pode ser adequadamente segura, principalmente porque os eleitores fazem suas próprias marcas no papel.
Em algumas formas de RAVBM, o eleitor pode preencher a cédula usando um aplicativo em seu computador antes de imprimi-la e enviá-la pelo correio. Isso é menos seguro: se o malware no computador do eleitor “hackeou” o aplicativo de votação, o que é impresso pode diferir do que o eleitor indicou na tela, e os eleitores não são muito bons em revisar os impressos e perceber tais mudanças.
A forma mais perigosa de RAVBM é aquela que permite a devolução da cédula eletrônica, na qual o eleitor carrega ou envia por e-mail um arquivo PDF. Trinta estados permitem que os eleitores estrangeiros devolvam a cédula eletrônica, seja por e-mail, fax ou upload de portal da web, conforme mostrado na Tabela 5 (páginas 34-35) do artigo mais longo de Herrington, Ballot Acrobatics: Altering Electronic Ballots using Internal PDF Scripting.
O perigo é que o malware no computador do eleitor pode enviar um arquivo PDF diferente daquele que o eleitor visualizou e verificou.Um hacker que quisesse roubar uma eleição poderia propagar esse malware para milhares de computadores de eleitores.O malware pode alterar a operação do aplicativo de votação, o visualizador de PDF, o navegador ou o software de e-mail/upload. Academias Nacionais de Ciências, Engenharia e Medicina: a internet “não deve ser usada para a devolução de cédulas marcadas . . . pois nenhuma tecnologia conhecida garante o sigilo, a segurança e a verificabilidade de uma cédula marcada transmitida pela Internet”.
O retorno da cédula eletrônica é promovido por fornecedores de tecnologia, Democracy Live e Voatz; e por Nevada, com seu próprio sistema EASE, que dá aos eleitores “a opção de salvar os materiais da cédula como um arquivo PDF e enviar o documento por e-mail como anexo ao respectivo secretário do condado ou cartório”. Democracy Live usa OmniBallot, um método eletrônico de entrega e devolução de cédulas.
Em todos esses casos, a cédula “final” que o eleitor analisa é um arquivo PDF.* Os fornecedores de aplicativos eleitorais confiam implicitamente em sua intuição de que “é um documento” e nós, humanos, pensamos que podemos ler um documento . Às 8:32 neste vídeo promocional do Democracy Live, “essa cédula é um documento”. Claramente, no vídeo, é um PDF, visualizado em um visualizador de PDF, e por Spectre e Halderman (2021) sabemos que é um PDF.
É perigoso o suficiente para que o PDF que você visualiza não seja o PDF transmitido ao administrador da eleição. Mas mesmo que fosse o mesmo arquivo PDF, o que você vê agora não é necessariamente o que obtém mais tarde.
Um artigo recente de Herrington, “Altering Electronic Ballots Using PDF Scripting”, contém uma demonstração ao vivo (na página 2) de uma cédula em PDF que muda quais votos são marcados de um minuto para o outro. Claro, uma eleição real o hacker não produziria um PDF cujos votos mudassem a cada minuto; o eleitor pode perceber isso. O modelo de ameaça real está entre o tempo de verificação e o tempo de contagem de votos. Herrington demonstra uma mudança minuto a minuto para a conveniência de seus leitores.
Um eleitor pode marcar uma cédula usando o aplicativo EASE, Voatz ou Democracy Live fornecido pelo escritório eleitoral do condado e, em seguida, inspecioná-lo usando um navegador ou visualizador de PDF:
Ao inspecionar a cédula, o eleitor pode pensar que verificou sua seleção de candidatos. Em seguida, ele envia um e-mail ou carrega esta cédula em PDF, conforme instruído.
Mas quando o administrador da eleição processa esse mesmo arquivo PDF para contar os votos, o oval preenchido mudou de um nome para outro:
A votação foi hackeada!
Arquivos PDF não são estáticos; eles contêm software de programa ativo. Se um hacker infectou milhares de computadores domésticos de eleitores com malware para roubo de votos, esse malware pode corromper a operação do aplicativo oficial de marcação de votos para produzir arquivos PDF dinâmicos.
Você pode pensar: “meu computador provavelmente não foi hackeado, então vou correr esse risco.”Mas o risco real não é apenas o seu computador.Um hacker pode espalhar o mesmo malware para os computadores de milhares cidadãos e roubar seus votos na mesma eleição - e o resultado da eleição pode ser alterado. Isso não é democracia, é hackocracia.
Em conclusão: Marque suas cédulas em papel físico. E diga aos seus funcionários eleitorais estaduais e locais para não adotarem o retorno eletrônico da cédula. Por exemplo, você pode encaminhá-los para este relatório de 2020 da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), que diz: “O retorno da cédula eletrônica é de alto risco. A devolução da cédula eletrônica, a entrega digital de uma cédula votada de volta à autoridade eleitoral, enfrenta riscos de segurança significativos para a integridade da cédula votada, privacidade do eleitor e disponibilidade do sistema. Não há controles de compensação para gerenciar o risco de retorno de cédula eletrônica usando as tecnologias atuais. Embora muitos riscos associados ao retorno de cédulas eletrônicas tenham uma analogia física com o risco associado ao envio de cédulas pelo correio, a comparação pode deixar escapar que os sistemas eletrônicos oferecem a oportunidade de afetar rapidamente a votação em escala.”
*O uso de PDF para esta finalidade em Democracy Live e Voatz é confirmado por análise independente revisada por pares: (1) Specter, Michael e J. Alex Halderman. “Análise de segurança do sistema de votação online Democracy Live.” 30º Simpósio de Segurança USENIX (USENIX Security 21), 2021; e (2) Specter, Michael A., James Koppel e Daniel Weitzner. “A cédula é perdida antes do Blockchain: uma análise de segurança do Voatz, o primeiro aplicativo de votação na Internet usado nas eleições federais dos EUA.” 29º USENIX Security Symposium (USENIX Security 20), 2020; e, (3) o uso de PDF no EASE é declarado em linguagem simples no site de Nevada.
Arquivado em: Sem categoria Marcado com: VotaçãoComentários
Fale o que pensa Cancelar resposta
A Freedom to Tinker é hospedada pelo Centro de Política de Tecnologia da Informação de Princeton, um centro de pesquisa que estuda as tecnologias digitais na vida pública. Aqui você encontrará comentários e análises da fronteira digital, escrita pelo corpo docente, estudantes e amigos do centro. UblishishingRencomended ReadingSecrecySecurityspamsuper -DMCAsurveillanceBlogs de tecnologia/direito/políticaTecnologia e liberdadetransparênciaMundos virtuaisVotaçãoWiretappingWPM
Contribuidores
Arquivos por mês
login do autorRetornar ao início da página
Copyright © 2022 ·Tema de Educação no Genesis Framework · WordPress · Entrar