一个网络安全供应商证明,一个黑客只要有一张价值25美元的PCMCIA卡,就可以在几分钟内改变一台老化的电子投票机的投票总数,这台机器目前在美国13个州有限使用。
安全供应商赛兰斯的黑客攻击发布了一个视频星期五,引起了关注但其他批评电子投票安全的人士认为,这一漏洞并不是什么新鲜事。
该公司指出,Cylance遭黑客攻击显示了10年前的研究中描述的一个理论上的漏洞。
选举安全倡导组织“验证投票”(Verified Voting)的主席帕梅拉·史密斯(Pamela Smith)在电子邮件中表示,这次黑客攻击“并不令人意外”。“发布时间有点奇怪。”
+选举黑客:神话和现实+
黑客,美国情报机构指出俄罗斯政府美国总统奥巴马(barack obama)一直试图通过公布民主党的电子邮件和文件,对本周美国大选的有效性提出质疑。与此同时,共和党总统候选人唐纳德·特朗普(Donald Trump)在没有具体证据的情况下警告支持者,选举可能被“操纵”,不利于他。
赛兰斯的示威活动“并不新鲜,时机也不合适,”安全研究员兼选举技术开发商自由公平公司(Free and Fair)首席执行官乔·金尼里(Joe Kiniry)说。“这种攻击已经在目前使用的几乎所有广泛部署的机器上得到了证明。”
赛兰斯为这段视频辩护说,这是电子投票机安全问题的及时提醒。该公司对这台机器的研究最近“取得了成果”,该公司负责研究的副总裁瑞安·史密斯(Ryan Smith)说,该公司还想提醒投票站工作人员,他们需要在周二的选举期间保持警惕。
他还说,这段视频是在美国大选前发布的,当时人们正在关注这个问题。电子投票机的漏洞已经被讨论多年了,“但我们仍然没有对此采取任何行动,”他说。
该投票机的供应商多美宁投票系统公司(Dominion Voting Systems)没有立即对Cylance遭黑客攻击一事作出回应。
被Cylance盯上的红杉AVC Edge Mk1电子投票机被佛罗里达、亚利桑那、宾夕法尼亚、科罗拉多、内华达和威斯康辛等潜在的总统选举摇摆州的一些选区使用。这种机器在内华达州全州范围内使用,在威斯康星州广泛使用,但这两个州都有选举后的审计程序,帕梅拉·史密斯(Pamela Smith)说。
在佛罗里达州和科罗拉多州等其他州,这种机器只在少数几个地方为有特殊访问要求的选民使用。她说,宾夕法尼亚州只有一个县使用这种机器。
在Cylance的黑客攻击中,一张PCMCIA卡,上面写着黑客想要的投票总数,可以插入红杉AVC机器的插槽。然后黑客就可以改变总票数,甚至是候选人的名字。
瑞安·史密斯说,一些州在电子投票机上修改了封条,以防止现场黑客入侵,但投票工作人员可能没有意识到封条被打破后的潜在问题。他说,赛兰斯的视频是为了给他们看的。
不过,爱荷华大学(University of Iowa)计算机科学教授道格拉斯·琼斯(Douglas Jones)说,Cylance黑客的潜在用途有限。他指出,这次选举的主要担忧是来自俄罗斯或其他海外黑客的黑客攻击,而Cylance的攻击依赖于对每台机器的物理访问。
琼斯在电子邮件中说,“如果我们担心的对手是当地的政治机器,目的可能是控制一个县,那么赛兰斯的黑客攻击将是毁灭性的。”
他补充说,即便是这样的本地黑客攻击,也可能需要几个人的共谋,也有可能是有人泄露了计划。
琼斯说:“可能存在如此腐败的政治机器,我们应该逐步淘汰这些投票机器,以防止它们被滥用,但这不是这次选举的大新闻。”“这次黑客攻击与弗拉基米尔•普京(Vladimir Putin)试图控制总统选举的担忧无关。”
