Актуализирано с корекция: Комисията за подпомагане на изборите се занимава със сертифицирането на машини за гласуване, а не с Федералната избирателна комисия.

Вашингтон, окръг Колумбия - Гласуващите машини са последното нещо, за което трябва да се притеснявате за хакване по време на тазгодишния изборен цикъл. Така каза група експерти по сигурността на гласуването по време на панелна дискусия на хакерската конференция на ShmooCon тук миналия уикенд.

Но те добавиха, че все още имате достатъчно причини да се притеснявате.

Сигурността на гласуващата машина, макар и да не е голяма, е по-добра от преди. Това, което не е коригирано, е всичко останало в огромната, сложна американска избирателна система: държавни списъци с избиратели, комуникация между избирателните места и центрове за табулиране на гласове, системи за регистрация на избиратели, уебсайтове, електронни системи и бази данни, използвани от политически партии и кампании, и дори нашите социални медии платформи.

„Можете да проникнете в емисиите от избирателните места в Изборната нощ“, каза Кейси Елис, която основава и служи като главен технически директор на Bugcrowd, платформа за сигурност с краудсорсинг. „Можете да промените списъците с регистрирани избиратели.“

„Ако бях нападател, щях DDoS предизборните системи седмица преди изборите, "за да извадят системите офлайн, като ги затрупат с фалшиви искания за данни, каза Тод Биърдсли, директор на изследването на сигурността в охранителната фирма в Бостън Бързо7. "Ще отнеме известно време, за да се възстанови от това."

„През 2016 г. руснаците бяха насочени към избирателна инфраструктура, насочени към политически кампании, към партии“, каза Джак Кейбъл, второкурсник от Станфорд, който вече е известен хакер на белите шапки.

„Хакването на DNC оказа реално въздействие“, добави Кейбъл. „Те насочиха и гласоподавателите към социалните медии. През 2016 г. инфраструктурният хак не оказа голямо въздействие, но това може да не е вярно тази година. Като цяло отслаби доверието ни в избирателната система. "

Руснаците (и други, които може да се присъединят) дори не трябва да гарантират, че един кандидат печели над друг, казват експертите. Те просто трябва да накарат американците да мислят, че вотът е хакнат, дори и да не е бил.

"Ние рискуваме да накараме хората да мислят, че гласовете им няма да се броят", каза Кимбър Даусет, директор на инженерната сигурност в охранителната фирма в Сан Франциско TrussWorks.

Не една избирателна система, а стотици

Един от големите проблеми, съгласиха се участниците в дискусията, е, че избирателната система на САЩ е огромна, дезорганизирана и децентрализирана.

„Всяка държава се справя със собствената си регистрация на избиратели, има своя собствена система“, каза Даусет. "Това не е последователно в отделните щати или дори в отделните окръзи."

„Единственото нещо, което се регулира от FEC [Федералната избирателна комисия], са машините за гласуване себе си ", посочи модераторът на панела Амели Коран, старши технологичен адвокат в софтуера за търсене на данни производител Splunk. (Коран се свърза с Ръководството на Том след публикуването на тази история, за да поясни, че всъщност Комисията за подпомагане на изборите, различна федерална агенция, прави това.)

EAC удостоверява, че машините за гласуване са безопасни за използване, но в противен случай старата поговорка все още е в сила: Ние не провеждаме национални избори, дори в президентска изборна година. Вместо това провеждаме 51 отделни държавни избора, включително в окръг Колумбия.

Държавите разполагат с различно оборудване и софтуер за гласуване и табулация, имат различни методи на отчетност, ако нещо се обърка, имат различни стандарти за преценка дали нещо се е объркало и определят свои собствени правила за това кой може да гласува в партийните първични избори и като цяло Избори.

"Федералните служители не контролират изборите", каза Елис. „Държавите го правят и не обичат да им казват какво да правят от федералните“.

Що се отнася до самите избори, съхранението, поддръжката, доставката, инсталирането и премахването на машините за гласуване често се управлява от окръзи или общини, както и управлението на избирателните места на първичните и изборните дни.

Машините за гласуване са до голяма степен оценени, но ние наистина не знаем колко уязвимости в сигурността съществуват във всички системи отзад.

На кого се обаждате, ако нещо не е наред с изборната система?

Тъй като тази дискусия беше на хакерска конференция, модераторът Амели Коран попита експертите какъв вид действие, което биха препоръчали на някой, който откри уязвимост в сигурността в компютър, свързан с избори система.

Много държавни и местни изборни организации може да нямат информация за контакт или да не знаят къде да предадат вашия доклад по веригата.

„Много предизборни системи не осигуряват никакъв начин за докладване на уязвимости, особено на местно ниво“, каза Даусет.

Кабелно свързано с това, как преди няколко години той е открил уязвимост при инжектиране на SQL - доста основен недостатък в уеб база данни - в уебсайт за регистрация на избиратели.

"Не знаех към кого да се обърна", каза Кейбъл. Дори и след като го направи, той каза, „отне около шест месеца, за да го поправим“.

Постепенно подобрение

(Кредит за изображение: Робин Бек / Гети Имиджис)

За щастие сега има начин да изведете притесненията си до самия връх, ако откриете такъв недостатък.

„Ако случайно намерите уязвимости, не бъдете разочаровани. Обърнете се към CISA ", каза Биърдсли, позовавайки се на Агенцията за киберсигурност и сигурност на инфраструктурата на Министерството на националната сигурност. "Те са много изследователи и са повече от готови да помогнат."

Нещата се подобряват и на държавно ниво, казаха участниците, дори ако подобрението е на части.

„Колорадо въвежда процес за разкриване на уязвимост и други държави се придвижват към това“, каза Кейбъл. Биърдсли добави, че Илинойс прави подобрения по същия начин.

„Колорадо ми харесва, защото правят бюлетини по пощата“, каза Даусет. „От друга страна, Западна Вирджиния експериментира с блокчейн“, добави тя, предизвиквайки голям смях от тълпата.

Какво можете да направите, за да защитите изборите?

И така, попита Коран, какво могат да направят хакерите - или някой друг, за да се борят с дезинформацията и да се уверят, че гласуването е безплатно, честно и валидно?

"Най-добрият начин е да излезете и да гласувате", каза Елис. "Всъщност ми е приятно да изкарам глупавите [за дезинформация], така че жабата да изскочи от гърнето и хората да разпознаят дезинформацията за това, което е."

"Гласувайте", каза Даусет, но тя имаше специално послание за експертите по сигурността на гласуването. „Когато говорите с репортери, не подчертавайте само лошите неща. Не искате да възпирате хората да гласуват. "

Доусет и Биърдсли препоръчаха доброволчеството като анкетиран в деня на изборите.

„Аз съм доброволец в анкета в моята местна общност“, каза Биърдсли. „Това е 16-часов ден, но е много забавно. Обичам да говоря с хората за сигурността на избирателите, докато те стоят на опашка, за да гласуват. "

И все пак, въпреки тази положителна нота, участниците в дискусията все още се тревожеха за най-лошото, което може да се случи: Възприемането на фалшив или невалиден вот и кандидати, които отказват да признаят загуба на избори поради то.

„Целта на изборите е да убедят губещите, че са загубили“, каза Биърдсли. „И все пак обявяваме победители и губещи в Изборната нощ, седмици преди гласуването да бъде сертифицирано. Надявам се, че губещите от предстоящите първични избори и избори действат грациозно и поемат загубата. "

Като Мат Блейз, експерт по сигурността на изборите, който не беше в този панел, каза в друг панел на ShmooCon това минало уикенд: „В тази страна предстоят избори и се опитвам да се уверя, че не са последните един. "

  • Сигурността на изборите в Америка: Колко уязвими сме сега?
  • Притеснявате се от хакове на машини за гласуване? Включете се
  • Защо американците не могат да гласуват онлайн?