Uppdaterad med korrigering: Valhjälpskommissionen hanterar certifiering av röstmaskiner, inte Federal Val Commission.

WASHINGTON, D.C. - Röstmaskiner är det sista du behöver oroa dig för att bli hackad under årets valcykel. Så sa en grupp röstsäkerhetsexperter under en paneldiskussion på ShmooCon-hackarkonferensen här den senaste helgen.

Men, tillade de, du har fortfarande gott om anledning att oroa dig.

Röstmaskinsäkerhet, även om det inte är bra, är bättre än det brukade vara. Vad som inte har rättats till är allt annat i det enorma, komplicerade amerikanska valsystemet: statslistor över väljare, kommunikation mellan omröstningsställen och rösttabellcentra, väljarregistreringssystem, webbplatser, e-postsystem och databaser som används av politiska partier och kampanjer och till och med våra sociala medier plattformar.

"Du kan hacka in flödena från vallokalerna på valnatten", säger Casey Ellis, som grundade och fungerar som CTO för Bugcrowd, en säkerhetsplattform med massor. "Du kan ändra rullarna med registrerade väljare."

"Om jag vore en angripare skulle jag göra det DDoS valsystemen en vecka före valet, "att ta systemen offline genom att överväldiga dem med falska begäranden om data, säger Tod Beardsley, chef för säkerhetsforskning med säkerhetsföretaget Boston Snabb7. "Det skulle ta lite tid att återhämta sig efter det."

"År 2016 inriktade ryssarna på väljarinfrastruktur, inriktade sig på politiska kampanjer, inriktade sig på partier", sa Jack Cable, en doktor i Stanford som redan är en känd hackhacker.

"DNC-hacket hade verklig inverkan," tillade Cable. "De riktade också väljare över sociala medier. År 2016 hade infrastrukturhacket inte så stor inverkan, men det kanske inte är sant i år. Sammantaget försvagade det vårt förtroende för valsystemet. "

Ryssarna (och andra som kan komma med) behöver inte ens garantera att en kandidat vinner över en annan, sa experterna. De behöver bara få amerikanerna att tro att omröstningen hackades, även om den inte var det.

"Vi löper den verkliga risken att få folk att tro att deras röster inte kommer att räknas", säger Kimber Dowsett, chef för säkerhetsteknik vid San Francisco säkerhetsföretag TrussWorks.

Inte ett valsystem utan hundratals

Paneldeltagarna var överens om att ett av de stora problemen är att det amerikanska valsystemet är enormt, oorganiserat och decentraliserat.

"Varje stat hanterar sin egen väljarregistrering, har sitt eget system", säger Dowsett. "Det är inte konsekvent mellan stater eller till och med över län."

"Det enda som regleras av FEC [Federal Val Commission] är röstningsmaskinerna själva ", påpekade panelmoderatorn Amelie Koran, senior teknologförespråkare för datasökningsprogram tillverkaren Splunk. (Koranen kontaktade Toms guide efter att den här berättelsen publicerades för att klargöra att det faktiskt är valhjälpskommissionen, en annan federal myndighet, som gör detta.)

EAC intygar att röstmaskiner är säkra att använda, men annars håller det gamla ordspråket fortfarande: Vi håller inte nationella val, inte ens under ett presidentval. Istället håller vi 51 separata statliga val, inklusive i District of Columbia.

Staterna driver olika röstnings- och tabellutrustningar och programvara, har olika metoder för ansvarsskyldighet om något går fel, har olika standarder för att bedöma om något gick fel, och sätta sina egna regler för vem som kan rösta i partiets primärer och i allmänhet val.

"The Feds övervakar inte valen", sa Ellis. "Stater gör det, och de gillar inte att få veta vad fedrarna ska göra."

När det gäller valet själva, lagring, underhåll, leverans, installation och borttagning av röstmaskinerna hanteras ofta av län eller kommuner, liksom körning av vallokaler vid primärval och val dagar.

Röstmaskinerna har till stor del bedömts, men vi vet verkligen inte hur många säkerhetsproblem som finns i alla back-end-system.

Vem ringer du om något är fel med ett valsystem?

Eftersom denna diskussion var på en hackarkonferens frågade moderator Amelie Koran experterna vilken typ av åtgärder de skulle rekommendera till någon som hittade en säkerhetsproblem i en valrelaterad dator systemet.

Många statliga och lokala valorganisationer kanske inte har kontaktinformation listade eller kanske inte vet var du ska förmedla din rapport i kedjan.

"Många valsystem erbjuder inget sätt att rapportera sårbarheter, särskilt på lokal nivå", säger Dowsett.

Kabel berättade hur han för några år sedan hittade en SQL-injektionssårbarhet - en ganska grundläggande brist i en webbaserad databas - på en väljarregistreringswebbplats.

”Jag visste inte vem jag skulle nå ut till,” sa Cable. Även efter att han gjorde det sa han: "Det tog ungefär sex månader att fixa det."

Inkrementell förbättring

(Bildkredit: Robyn Beck / Getty Images)

Lyckligtvis finns det nu ett sätt att ta dina bekymmer till toppen om du hittar en sådan brist.

"Om du råkar hitta sårbarheter, var inte frustrerad. Nå ut till CISA, "sa Beardsley, med hänvisning till Department of Homeland Security's Cybersecurity and Infrastructure Security Agency. "De är mycket forskare framåt och är mer än villiga att hjälpa."

Saker förbättras också på statsnivå, sade paneldeltagarna, även om förbättringen är bitvis.

"Colorado inleder en process för avslöjande av sårbarheter, och andra stater går mot det", säger Cable. Beardsley tillade att Illinois gjorde förbättringar i samma riktning.

"Colorado gillar jag för att de gör inlämningsröstningar", sa Dowsett. "På baksidan experimenterar West Virginia med blockchain", tillade hon och drog ett stort skratt från publiken.

Vad kan du göra för att skydda valet?

Så frågade Koranen, vad kan hackare - eller någon - göra för att bekämpa desinformation och se till att omröstningen är gratis, rättvis och giltig?

"Det bästa sättet är att gå ut och rösta", sa Ellis. "Jag gillar faktiskt att slå upp den dumma [om desinformation] så att grodan hoppar ur potten och människor kommer att känna igen desinformation för vad det är."

"Gå att rösta", sa Dowsett, men hon hade ett särskilt meddelande till röstsäkerhetsexperter. "När du pratar med reportrar, betona inte bara de dåliga grejerna. Du vill inte avskräcka folk från att rösta. "

Dowsett och Beardsley rekommenderade båda volontärarbete som omröstningsarbetare på valdagen.

"Jag är frivillig i mitt lokala samhälle", sa Beardsley. "Det är en 16-timmars dag, men det är jättekul. Jag älskar att prata med människor om väljarsäkerhet medan de står i kö för att rösta. "

Trots den positiva anteckningen var paneldeltagarna fortfarande oroliga över det värsta som kunde hända: Uppfattningen om en riggad eller ogiltig omröstning och kandidater som vägrar att medge en valförlust på grund av Det.

”Syftet med val är att övertyga förlorare om att de förlorade,” sa Beardsley. "Ändå tillkännager vi vinnare och förlorare på valdagen, veckor innan omröstningen är certifierad. Jag hoppas att förlorarna av de kommande primärerna och valen agerar graciöst och tar förlusten.

Som Matt Blaze, en val-säkerhetsexpert som inte var med i den här panelen, sa vid en annan ShmooCon-panel detta förflutna helg: "Det kommer ett val i detta land, och jag försöker se till att det inte är det sista ett."

  • Amerikas valsäkerhet: Hur sårbara är vi nu?
  • Orolig för hackningsmaskiner? Bli involverad
  • Varför kan inte amerikaner rösta online?