J. Alex Halderman 是一位計算機科學家,他展示了入侵選舉是多麼容易。他在密歇根大學的研究小組研究了攻擊者如何以投票機器、基礎設施、投票站和選民登記冊等弱點為目標。如今,他花費大量時間教育立法者、網路安全專家和公眾如何更好地保障他們的選舉安全。在美國,在 2020 年總統競選之前,仍然存在嚴重漏洞
鑑於系統中的漏洞、現有的技術能力以及對手的動機,Halderman 在這裡推測了可能發生的網路安全災難,這些災難可能會使 2020 年的選舉以及民主本身受到質疑。然而,Halderman 堅信一件事:“確保你的選票不被計算的唯一方法是不投票。我不想嚇跑人們不去投票。” 以下內容基於 2018 年 10 月和 2019 年 6 月進行的兩段對話; 經過編輯和壓縮
2016 年美國總統大選確實改變了一切。它讓情報和網路安全界措手不及,並教會我們,我們對網路戰的威脅模型是錯誤的。多虧了穆勒報告,我們現在知道俄羅斯人為了破壞 2016 年選舉結果的合法性,做出了認真且協調一致的努力。我認為他們的努力比任何人最初意識到的都要更有組織、更全面。據我所知,此後沒有哪個州對其投票機進行過任何嚴格的法證檢查,以檢視它們是否已被入侵。我非常有信心俄羅斯人會在 2020 年捲土重來。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和思想的具有影響力的故事的未來。
我認為情報部門將繼續努力瞭解惡意行為者的計劃和行動。令人難以置信的是,起訴書中披露了俄羅斯軍方和領導層中特定人員的具體行動的多少細節。但很難知道我們沒有看到什麼。我們是否對朝鮮、伊朗或中國有同等程度的瞭解? 可能有很多複雜的民族國家行為者希望在 2020 年及以後對我們造成傷害。
自 2016 年大選以來,許多州對他們的選舉機器進行了改進,但這還不夠,而且發生的速度也不夠快。仍然有 40 個州正在使用至少有十年曆史的投票機,而且許多機器沒有收到針對漏洞的軟體補丁。近 25% 的州沒有完整的紙質記錄,因此他們無法對實物選票進行選舉後審計。選舉安全不是黨派問題。然而,仍然存在障礙,尤其是來自參議院共和黨領導層的障礙,這使得選舉安全法案不太可能獲得透過。我認為這是國會嚴重瀆職,未能提供共同防禦。因此,在 2020 年,許多最壞情況的選舉干預仍然可能發生。
選舉日臨近
網路戰通常涉及利用系統中已知的漏洞以及人們心理和輕信的基本侷限性。在初選期間以及選舉前的幾個月中,社交媒體上的影響力行動將比以往任何時候都更加精確和資料驅動,因此也更有效且更難被發現。
總統候選人已經在根據消費者資料庫中已知的關於選民人口統計資訊,精心製作政治廣告,以最大限度地影響他們。因此,您可能會根據消費者資料庫中已知的關於您的資訊,收到來自候選人的一條訊息。而對於某些問題持有略微不同觀點的人,可能會收到來自同一候選人的不同訊息。當然,試圖散佈徹頭徹尾的謊言的壞人也將開始利用同樣的策略。
正如我們在 2016 年看到的那樣,攻擊者的目標之一是增加社會中的分裂程度,以減少社會凝聚力。假設俄羅斯人購買了訪問政治競選廣告商用來定位您的相同消費者資料資料的許可權。他們可以將這些資料與政治民意調查和購買的(或被盜的)選民登記名單結合起來,以準確計算出您的個人選票的重要性,並使用這些工具向狹隘的人群推送定製的虛假資訊。攻擊者甚至可能冒充政治候選人。在擁擠的民主黨初選季中,將有大量的機會部署微目標資訊,使人們彼此對立,即使他們在大多數事情上意見一致。
我們都認為更多的透明度是好事。但是,當對他們有利而對他們的對手有害時,人們總是會斷章取義。候選人越來越生活在真實資訊被定向盜竊的威脅之下。當資訊有選擇地從攻擊者想要使其處於不利地位的特定群體中竊取時,真相可以用作強大而片面的政治武器——正如我們在 2016 年希拉里·克林頓競選活動中看到的那樣,它非常有效。這對我們關於新聞業中的真理應該如何在民主程序中發揮作用的觀念構成了如此根本的威脅,以至於我確信它會再次發生。而且它可能比電子郵件被盜更糟糕。想象一下,有人侵入候選人的智慧手機,並在私人時刻或與助手交談時秘密錄音。我的研究小組正在對政治競選活動進行民意調查,以評估他們保護自己免受這種情況的能力,到目前為止,我認為他們還沒有準備好。
我們還將看到被篡改或完全是合成的資訊,並且看起來是真實的。在某些方面,這會造成更嚴重的威脅。如果攻擊者可以生成與真相難以區分的記錄,他們就不必真的抓住候選人說了什麼或發了什麼電子郵件。我們已經看到了使用機器學習來合成人們說他們實際上從未在鏡頭前說過的話的影片的最新進展。總的來說,這些策略有助於破壞我們對什麼是真什麼是假的基本概念。這使得候選人更容易否認他們說過的真實事情,他們會暗示電子郵件和錄音的內容是偽造的,人們不應該相信自己的眼睛和耳朵。這對我們基於現實形成政治共識的能力來說是一個淨損失。
與此同時,每個州都執行著自己獨立的選民登記系統。自 2016 年以來,許多州已採取重大措施來保護這些系統,例如安裝更好的網路入侵檢測系統或升級過時的硬體和軟體。但許多州沒有這樣做。
在上次選舉期間,俄羅斯人探測或試圖侵入至少 18 個州的選民登記系統。一些訊息來源引用的數字更高。根據參議院情報特別委員會的調查結果,在其中一些州,俄羅斯人有能力更改或銷燬登記資料。如果他們這次繼續這樣做,那麼在整個州,人們去投票站時會被告知他們不在名單上。也許他們會被給予臨時選票。但如果這種情況發生在很大一部分選民身上,那麼就會出現如此可怕的延誤,以至於許多人會放棄回家。老練的攻擊者甚至可能導致登記系統對透過線上門戶確認自己登記狀態的選民撒謊,同時破壞投票站中使用的登記冊中的資訊。
對選舉前職能的攻擊可能會被設計為具有種族或黨派影響。由於反歧視法,一些選民登記記錄不僅包括政治派別,還包括種族。透過訪問該資料庫,某人可以輕鬆地僅操縱屬於特定政黨、種族群體或地理位置的人的記錄。
在某些州,線上選民登記系統還允許選民請求缺席選票或更改選票的寄送地址。攻擊者可以為大量公民請求郵寄投票選票,並將選票寄給與攻擊者合作的人,這些人會填寫選票並投下假票。
選舉日
選舉干預可以在很多方面取得成功——這取決於攻擊者的目標和訪問級別。在勢均力敵的選舉中,如果一個協調一致的團體,比如在俄羅斯,認為一位候選人比另一位候選人對他們的國家更有利,那麼為什麼不嘗試透過難以察覺地操縱選票來影響結果呢?攻擊者可能會滲透到所謂的選舉管理系統中。有一個程式設計過程,透過該過程,選票的設計——競選和候選人以及計票規則——被製作出來,然後被複制到每臺單獨的投票機上。選舉官員通常在儲存卡或 USB 快閃記憶體盤上覆制它以供選舉機器使用。這提供了一條惡意程式碼可能從中央程式設計系統傳播到現場許多投票機的途徑。然後,攻擊程式碼在單獨的投票機上執行,它只是另一段軟體。它可以訪問投票機的所有相同資料,包括人們投票的所有電子記錄。
對於 2020 年,我認為這種透過網路攻擊操縱選票的中心點是中西部的一棟辦公樓。這個國家的大部分地區將其選票設計外包給少數幾家選舉供應商——其中最大的一家是投票機制造商,當我訪問時,他們告訴我它為大約 34 個州的 2000 個司法管轄區進行選舉前程式設計。所有這些都是在其總部完成的,我在那裡參觀過一個房間,我將其描述為與其他公司共用的典型工作建築的一部分。如果攻擊者可以侵入該中央設施並遠端滲透到公司的計算機中,他們可以將惡意程式碼傳播到投票機,並更改該國大部分地區的選舉結果。該策略可能就像操縱勢均力敵的司法管轄區的選票總數一樣微妙。它很容易不被察覺。
科學界的共識是,確保投票安全的最佳方法是使用紙質選票並嚴格審計,方法是讓人檢查隨機樣本。不幸的是,仍有 12 個州沒有全面使用紙質選票。一些州現在沒有采用紙質選票,而是讓官員透過檢視計算機螢幕上原始選票的掃描件來進行審計。我們即將釋出新的研究,該研究表明如何使用計算機演算法來基本上完成“深度偽造”選票掃描。我們使用了計算機視覺技術來自動移動複選標記,從而使您的獨特筆跡填寫的選票掃描件反映的選票與您在紙上記錄的選票不同。
如果攻擊者不認為一位候選人比另一位候選人更符合他們的目的,那麼情況實際上可能會更可怕。也許他們的動機更籠統:削弱美國民主。他們可能會引入惡意程式碼,使選舉裝置在 2020 年 11 月開啟時基本上自毀,這將造成大規模混亂。或者他們可以讓裝置看起來可以工作,但在一天結束時,官員們發現沒有記錄任何選票。在沒有紙質備份的司法管轄區,沒有其他選票記錄。您將不得不重新舉行一次全新的選舉。這種可見攻擊的目的是破壞人們對系統的信任,並動搖人們對民主完整性的信心。
選舉之夜及以後
您需要讓人們或多或少地就真相和選舉的結論達成一致。但是,到 11 月來臨時,我們都將為我們程式的合法性感到擔憂。屆時,很大程度上將取決於選舉之夜的競選看起來有多麼接近。
結果從您當地的選區轉移到 CNN 或《紐約時報》網站上的顯示器的方式是透過美聯社和其他機構運營的非常集中的計算機系統。如果攻擊者侵入這些計算機系統並導致在選舉之夜做出錯誤的預測會怎麼樣?我們最終會發現它,因為各州會返回並進行自己的總計,但可能需要幾天甚至幾周的時間才能發現廣泛的錯誤。那些想要相信選舉被操縱的人會認為這是選舉確實被操縱的證據。
只有 22 個州要求在法律上證明結果之前完成任何型別的選舉後紙質記錄審計。在 22 個州中的 20 個州,該要求並不總是產生具有統計意義的審計水平,因為他們沒有檢視足夠大的選票樣本來對結果有高度的信心,尤其是在結果接近時。這只是基於數學,與政治無關。只有羅德島州和科羅拉多州要求進行稱為風險限制審計的統計上嚴格的過程,儘管其他州正在朝著這個方向發展。
如果由於計算機駭客攻擊,我們在許多州都無法獲得選舉結果,我們將進入未知的領域。最接近的先例將類似於 2000 年布什訴戈爾選舉,該選舉的結果最終由最高法院裁決,並且在選舉日後一個月才為人所知。這將是可怕的,並且可能需要在受影響的州重新舉行選舉。您真的無法重演選舉並期望獲得相同的結果,因為政治環境總是會發生變化。
或者,假設一位候選人對勢均力敵的選舉結果提出質疑。根據現行規則和程式,這通常是人們唯一會回頭檢查實物證據以檢視是否發生過攻擊的方式。目前,我們沒有正確的法證工具來回溯並檢視在哪裡發生了什麼以及誰可能做了什麼。甚至不清楚誰有權進行這些型別的測試,因為選舉官員和執法部門通常不會攜手合作。您不希望將決定誰獲勝的權力交給警察。
在真正的噩夢情景中,攻擊者可能會獲得足夠的投票系統訪問許可權來影響選舉結果,並導致一位候選人透過欺詐獲勝。然後他們可以對此保密,但以這樣一種方式進行設計,即在未來的任何時候,他們都可以證明他們竊取了選舉。
想象一下賓夕法尼亞州這樣的搖擺州,該州在 2019 年底之前競相更換了其易受攻擊的無紙化投票機。儘管如此,該州仍然不要求進行風險限制審計,這意味著改變結果的欺詐行為可能會未被發現。如果整個選舉都取決於賓夕法尼亞州,並且攻擊者能夠侵入其機器並更改報告的結果會怎麼樣?他們可以將操縱設定為,如果您按字母順序對投票站的名稱進行排序,那麼獲勝候選人的選票的最低有效數字將形成圓周率的數字——或類似的東西。這將是一種不會引人注意的模式,但以後可以指出這種模式,無可辯駁地表明結果是偽造的。
假設此資訊在新政府執政一段時間後釋出,並且沒有人可以否認總統不是合法的獲勝者。現在我們面臨著前所未有的憲法危機。最後,想象一下,實施這次攻擊的民族國家不公開其資訊,而是利用它來勒索成為總統的人。這有點接近科幻小說的領域,但相差不遠。
現實情況是,大多數網路戰都比較平凡。幾乎可以肯定,我們將看到與選舉系統中的漏洞相關的散佈懷疑的企圖,僅僅是因為它太容易了。您不必侵入任何一件選舉裝置——您所要做的就是暗示有人可能已經侵入了。
很難公開討論系統中的漏洞,而又不會冒著助長攻擊者目標的風險,即讓人們對結果感到不那麼自信。但根本問題是,美國選舉制度的基礎是說服公眾信任不完善的機器和操作這些機器的不完善的人的誠信。最終,我們最好的防禦是使選舉基於證據而不是信仰——這完全是可行的。在網路安全和關鍵基礎設施中存在許多問題,您可能會給我數十億美元和數十年的時間進行研究,我會說,也許我們可以讓它稍微好一點。但是,選舉安全挑戰可以在沒有任何重大科學突破的情況下解決,而且只需花費數億美元。這只是政治意願的問題。