為了避免重蹈2000年總統選舉爭議的覆轍,並滿足國會倉促制定的2002年幫助美國投票法案 (HAVA) 的要求,各州和各縣紛紛湧向他們希望能夠消除懸而未決的選票和其他紙質系統固有缺陷的電子投票系統。六年過去了,距離又一次總統選舉不到三個月,許多電子投票系統仍然存在安全漏洞,這項技術尚未證明自己是選民所期待的解決方案。
根據加利福尼亞州和俄亥俄州在過去一年委託進行的研究,此類系統可能允許選民和投票站工作人員多次投票、透過載入病毒使系統崩潰以及偽造計票結果。這些系統的製造商反駁說,測試設定是不現實的。但這並沒有讓選舉官員晚上睡得更安穩。
斯坦福大學計算機科學教授兼“核實投票基金會”(一個推動實施更易於核實和審計的投票流程的非營利組織)的創始人大衛·迪爾說,電子投票系統最終成為失敗的原因之一是,唯一參與檢查這些系統的人是想要出售其技術的供應商,以及沒有能力理解安全問題的地方選舉官員。“當時有一個認證流程,”迪爾說,“但它與安全幾乎無關。”
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。 透過購買訂閱,您將幫助確保有關塑造我們當今世界的發現和想法的有影響力的故事的未來。
迪爾是Attackdog的作者,這是一款威脅建模軟體,可以檢查投票系統可能受到的 9000 多種潛在攻擊方式,包括計算機駭客攻擊、篡改選票和冒充選民。Attackdog 是一個名為“正確、可用、可靠、可審計和透明選舉中心” (ACCURATE) 的更大努力的一部分,該中心於 2005 年由國家科學基金會啟動,獲得了 750 萬美元的資助。“我們現在所做的一切都不會影響 11 月的選舉,”迪爾說。“我們不知道如何製造安全的無紙化投票。”
這種觀點在美國各地都有迴響,其中最突出的是競爭激烈的俄亥俄州,州務卿詹妮弗·布倫納在過去一年中委託進行了一系列測試,以確定電子投票系統是否足夠安全以值得信賴。根據這些測試,布倫納得出的結論是它們不安全,位於得克薩斯州艾倫市的Premier Election Solutions, Inc.對此決定提出異議。Premier 於 5 月起訴了布倫納和一個俄亥俄州縣選舉委員會,試圖讓法院裁定該公司已履行其對州的合同義務。
布倫納於 8 月 6 日反擊,反訴 Premier(前身為 Diebold Election Systems, Inc.)以及觸控式螢幕投票系統的製造商,自 2005 年以來,俄亥俄州已在觸控式螢幕投票系統上投資超過 6200 萬美元。布倫納的訴訟指控 Premier 除其他外,違反合同和違反保證,並尋求法院承認 Premier 未能履行其合同。反訴還要求 Premier 賠償至少 25,000 美元的損失,原因是自 2005 年以來,Premier 的技術在選舉期間在至少 44 個縣中的 11 個縣造成了問題。“我們認為 Premier 的裝置未能按照其合同和州法律的要求執行,”布倫納說。“我們已採取此行動,以追回納稅人為該州 88 個縣中一半縣使用的投票系統支付的資金。”
自布倫納於 2007 年 1 月上任以來,她和 Premier 就該公司的 DRE(直接記錄選舉)觸控式螢幕電子投票技術是否正常工作且安全問題多次發生衝突。問題在 4 月達到頂峰,當時俄亥俄州巴特勒縣的選舉官員在初選期間檢測到選票計數差異。布倫納說,縣選舉委員會工作人員確定 Premier DRE 系統發生故障,未能統計從上傳到系統計票計算機伺服器的儲存卡中的選票,她補充說,“這不是我們期望的。”
布倫納懷疑所有迄今為止已花費俄亥俄州 1.12 億美元的電子投票技術都存在問題,因此去年委託進行了“珠穆朗瑪峰計劃”,對俄亥俄州使用的電子投票技術進行了全面的安全審查,以識別任何可能使選舉容易受到篡改的問題。在為期 10 周的專案中,來自賓夕法尼亞州立大學、賓夕法尼亞大學和 WebWise Security(一家於 2005 年由加州大學聖巴巴拉分校安全研究小組的教職員工和學生組成的安保公司)的學術研究團隊檢查了來自 Premier、Election Systems and Software (ES&S)(位於內布拉斯加州奧馬哈)和位於得克薩斯州奧斯汀的 Hart InterCivic 的 DRE 觸控式螢幕和光學掃描投票系統,以及管理這些系統的軟體。
布倫納在專案於 12 月結束時發表宣告說,珠穆朗瑪峰計劃的研究人員在所有三家供應商的系統中都發現了可利用的安全漏洞。“這些漏洞中的許多漏洞都對俄亥俄州進行的選舉的完整性構成了實際威脅,”她說。“我們發現不同供應商系統中的漏洞,例如,允許選民和投票站工作人員多次投票、用病毒軟體感染選區或破壞先前投出的選票——有時是不可逆轉地破壞。”
賓夕法尼亞州立大學資訊安全教授,也是珠穆朗瑪峰計劃測試負責人帕特里克·麥克丹尼爾說,“鑑於它們處理的資料的重要性,目前沒有任何系統是足夠充分的。” 麥克丹尼爾和他的團隊測試的許多攻擊都可以在幾秒鐘內在投票站或縣選舉辦公室進行。一個例子:當研究人員將一塊白色膠帶貼在電子投票系統掃描器的一部分上時,他們能夠有效地阻止它讀取整張選票。換句話說,一個人可以將膠帶放在某個位置,使系統無法計算特定候選人的選票。該團隊還發現,用於開啟 Hart 選票箱的鑰匙也可以用於開啟 Premier 系統上的選票箱。
在一次更嚴重的攻擊中,麥克丹尼爾發現他的研究人員可以更換某些電子投票系統中的儲存卡。“你放在卡上的任何軟體都會上傳到系統的計算機中,”他說。
Premier 已經對珠穆朗瑪峰計劃的調查結果以及加利福尼亞州州務卿黛布拉·鮑文委託進行的類似專案“自上而下審查”在 3 月份釋出了一份報告,強調珠穆朗瑪峰計劃的研究人員在“沒有物理或操作安全控制”的情況下進行了他們的工作,並且沒有模擬真實的選舉日條件。Premier 無法聯絡到進行置評。
珠穆朗瑪峰計劃的研究人員並不否認這一點。珠穆朗瑪峰計劃的研究員兼普林斯頓大學大氣和海洋科學專案計算系統經理桑迪·克拉克在上個月在紐約市舉行的“最後的希望”駭客大會上說,她和她的珠穆朗瑪峰計劃的同事“將該專案視為一次駭客攻擊”。
在“最後的希望”大會上,領導珠穆朗瑪峰計劃對 ES&S 電子投票技術進行分析的賓夕法尼亞大學研究人員描述了 ES&S 觸控式螢幕和光學掃描系統幾乎每個硬體和軟體元件中都存在可利用的安全漏洞。克拉克說,其中一些缺陷可能允許單個心懷不軌的選民或投票站工作人員篡改全縣範圍的選舉結果,選舉官員可能永遠不會知道結果已被篡改。“我們嘗試過的每一種攻擊都能夠成功實施,”她補充說。“我們瞭解到,目前所有電子投票系統都存在嚴重的可利用漏洞。”
除了投資 Premier 系統外,俄亥俄州還在 ES&S 電子投票技術上花費了超過 4100 萬美元,並且是 ES&S 的 43 個州客戶之一。
當就此報道聯絡 ES&S 時,ES&S 指出了今年早些時候就珠穆朗瑪峰計劃發表的宣告。與 Premier 一樣,ES&S 的結論是,任何試圖複製珠穆朗瑪峰計劃的許多測試的人都需要“不受限制地訪問 DRE 裝置”,並詳細瞭解系統的工作原理(即,其與其審計日誌的通訊協議)。
儘管存在分歧,但在 2008 年總統選舉中,俄亥俄州和 Premier 仍然彼此捆綁在一起。“由於距離選舉不到三個月,各縣將使用他們擁有的技術,”布倫納說。為了消除任何潛在問題,俄亥俄州使用觸控式螢幕投票系統的縣被要求列印至少一部分電子投票的硬複製,這將提供審計跟蹤。還將為選民提供填寫紙質選票的選項,紙質選票可以由光學掃描器讀取並在資料庫中註冊。
麥克丹尼爾說,電子投票系統必須從頭開始重新設計,並以安全為重中之重。在短期內,這意味著增加更全面的選票審計功能,以便可以調查差異。“選舉系統應具有與金融系統相同的質量、相同的可靠性、相同的測試和相同的認證要求,”他說。“如果銀行使用的系統(必須向美國證券交易委員會 [SEC] 報告)具有這種質量水平,就不會有人把錢存入銀行。”
展望 11 月之後,布倫納說她希望俄亥俄州更多地依賴光學掃描技術。“以後,”她補充說,“觸控式螢幕(系統)可能會有一席之地。”