罗杰·约翰斯顿是阿贡国家实验室漏洞评估团队的负责人。不久前,他和他的同事们对电子投票机发起了安全攻击,以展示窃取选票的惊人容易程度。更令人震惊的是:这些机器的某些版本将在周二出现在美国各地的投票站。据《哈珀斯》杂志最近报道(需要订阅),超过2600万选民将在20个州使用Diebold Accuvote-TSX触摸屏投票机;近900万选民将在4个州使用Sequoia AVC投票机。在这里,约翰斯顿揭示了他如何破解这些机器——以及为什么任何人,从高中生到80岁的祖母,都能做到这一点。-编辑
阿贡国家实验室的漏洞评估团队研究各种安全设备——锁、封条、标签、门禁控制、生物识别、货物安全、核安全保障——以寻找漏洞并定位潜在的修复方法。不幸的是,这个国家在选举安全方面的研究资金非常有限。所以我们把它作为一个周六下午的项目来做。
这被称为“中间人攻击”。这是对安全设备的经典攻击。你在投票机中植入一个微处理器或其他电子设备,这就可以让你控制投票,并开启或关闭作弊。我们基本上是在干扰选民意图的传输。
我们使用了一个逻辑分析仪。数字通信是一系列的0和1。电压升高,电压降低。逻辑分析仪会收集高低电压之间的振荡,然后以各种格式显示数字数据。但有很多方法可以做到这一点。你可以使用逻辑分析仪,可以使用微处理器,可以使用计算机——基本上,任何能让你看到正在交换的信息,然后让你知道如何模仿信息的工具都可以。
我参加过高中科学展,那里的孩子们做的微处理器项目比这要复杂得多。所以我们监听了选民与机器之间的通信——在一台机器中,选民是按按钮(这是一台按钮式投票机),在另一台机器中,选民是触摸触摸屏上的内容。然后我们监听了机器的智能部分与选民之间的通信。假设我想让琼斯赢得选举,而你可能会投票给史密斯。那么,如果你试图投票给史密斯,我的微处理器就会告诉机器的智能部分投票给琼斯。但如果你本来就是要投票给琼斯,我就不会篡改通信。有时我们会阻止通信,有时我们会篡改信息,有时我们只是看看它,然后让它通过。这基本上就是这个想法。找出正在进行的通信,然后根据需要进行篡改,包括对回传给选民的信息进行篡改。
我们可以这样做,是因为在我看来,大多数投票机都没有加密。它就是开放标准格式的通信。所以很容易找出正在交换的信息。任何懂数字电子学的人——业余爱好者或电子爱好者——都能弄清楚这一点。
我们植入触摸屏投票机的设备,基本上是10美元的零售价。如果你想要一个豪华版,可以从半英里外远程控制,零售价是26美元。不是大价钱。RadioShack(一家美国电子产品零售商)就有这些东西。我参加过高中科学展,那里的孩子们做的微处理器项目比操纵这些机器所需的还要复杂。
由于这种安全测试没有资金支持,我们依靠人们在eBay上购买二手机器(在这种情况下,是Diebold Accuvote TS电子投票机和Sequoia AVC Advantage投票机)。这两台机器都有点过时了,我们也没有用户手册和电路图。但我们弄清楚了,在按钮式投票机的情况下,不到两个小时。在2小时内,我们就找到了一个可行的攻击方法。另一台机器花了更长的时间,因为我们不太了解触摸屏显示器的工作原理。所以我们花了一些学习时间。但那也只用了几天。这就像一个魔术。你必须练习很多。如果我们多练习,或者更好的是,如果我们找一个动手能力很强的人,练两周,那么执行这些攻击只需要15到60秒。
我想把它做到连祖母都无法操纵选举的地步。我们真的还没有做到。这些攻击需要物理接触。这对内部人士来说很容易,他们负责为选举编程或安装机器。而且我们认为,对外部人士来说通常也不是那么难。许多投票机在选举前一两周都被闲置在教堂地下室、小学体育馆或走廊里,无人看管。通常它们只有非常便宜的柜子锁,任何人都可以打开;有时甚至没有锁。机器送达时没有人签收。没有人负责看管它们。上面的封条与食品和非处方药的防篡改包装差别不大。想想篡改食品或药品:你觉得这很难吗?其实不然。我们的许多选举官员都是退休的老太太,上帝保佑她们,她们让选举得以正常进行,但她们不一定是最擅长检测细微安全攻击的优秀劳动力。
给检查封条的人一点培训,让他们知道该看什么,他们就有可能发现一个相当复杂的攻击。对内部人士进行良好的背景调查,这样内部威胁的担忧就会大大减少。总的来说,缺乏良好的安全文化。我们可以拥有有缺陷的投票机,但如果我们有良好的安全文化,我们仍然可以进行良好的选举。另一方面,我们可以拥有很棒的机器,但如果安全文化不足,那真的无关紧要。我们必须着眼于更大的图景。我们的观点是:阻止詹姆斯·邦德永远都很困难。但我想把它做到连祖母都无法操纵选举的地步,而我们真的还没有做到。
在此 处 阅读更多关于选举安全的信息。
