Securitywatch: การแก้ไขเทคโนโลยีการเลือกตั้งให้เราทำได้ง่ายขึ้นและหนักกว่าที่คุณคิด

เมื่อฉันบินออกไปที่ซานฟรานซิสโกเพื่อประชุม RSA (RSAC) ในต้นเดือนมีนาคมฉันวางแผนที่จะเข้าร่วมการเจรจาความมั่นคงการเลือกตั้งทั้งหมดที่ฉันสามารถทำได้ตามกำหนดการ มันเป็นตัวเลือกที่ชัดเจน ในขณะที่ช่วงกลางปี ​​2018 ได้ข้อสรุปโดยไม่มีข้อโต้แย้งเรายังคงต่อสู้กับการเลือกตั้งประธานาธิบดีปี 2559 และเราครึ่งทางสู่การเลือกตั้งครั้งต่อไป นอกจากระบบการคัดเลือกและการนับคะแนนเสียงของสหรัฐอเมริกาแล้ว

ฉันคาดว่าการลงโทษตามปกติและความมืดมนเกี่ยวกับความมั่นคงในการเลือกตั้งกับนักวิจัยคร่ำครวญถึงสถานะการขอโทษของเครื่องลงคะแนนในสหรัฐอเมริกา ฉันยังตั้งตาคอยอยู่เพราะคุณจะต้องเป็นคนที่ร้ายกาจอยู่ในอุตสาหกรรมนี้ มีความทุกข์ยากตามปกติเล็กน้อย แต่ฉันไม่ได้เตรียมพร้อมสำหรับการมองโลกในแง่ดีและความสิ้นหวัง ฉันเชื่อว่าเราได้แยกแยะปัญหาทางเทคโนโลยีที่เร่งด่วนที่สุดด้วยการลงคะแนน สิ่งที่เรานิ่งงันคือสิ่งอื่น ๆ

และนั่นเป็นเรื่องมากมาย

มีโซลูชันที่ใช้เทคโนโลยีต่ำสำหรับการลงคะแนนความปลอดภัย

ลำโพงทั้งหมดที่ฉันเห็นอยู่ในข้อตกลง: โดยทั่วไปเรารู้ว่าปัญหาคืออะไรกับการลงคะแนนในอเมริกา ระบบลงคะแนนอิเล็กทรอนิกส์อย่างหมดจดซึ่งเรียกว่าเครื่องลงคะแนน Direct Recording Electronic (DRE) มักถูกซ่อนอยู่ห่างจากนักวิจัย เครื่อง WinVote ซึ่งขนานนามว่าเครื่องลงคะแนนที่แย่ที่สุดในโลกมีธงแดงทุกอันที่คุณคาดไม่ถึงสำหรับชิ้นส่วนสำคัญของฮาร์ดแวร์ ระบบนี้กำลังถูกขอร้องให้แฮ็ก

ใกล้ชิดกับ WinVote ซึ่งเป็นเครื่องลงคะแนนที่แย่ที่สุดในโลก # BlackHat2018 pic.twitter.com/jRuBt5mieK

- Bitter, Tired และ Sweaty (@wmaxeddy) 9 สิงหาคม 2018

ไม่มีอะไรที่น่าประหลาดใจเป็นพิเศษ แต่เทคโนโลยีของฉันเริ่มต้นขึ้นอย่างน่า เบื่อ เมื่อการอภิปรายหันไปใช้การพิสูจน์ยืนยันการเลือกตั้ง มันเป็นปัญหามาหลายปีแล้ว แต่มันเริ่มที่จะย้ายไปสู่การอภิปรายระดับแนวหน้าเนื่องจากความมั่นคงในการเลือกตั้งกลายเป็นประเด็นที่ใหญ่กว่า ระบบลงคะแนนอิเล็กทรอนิกส์หลายระบบ (และแม้กระทั่งเครื่องกลไกแบบเก่าที่ใช้คันโยก) ยังขาดวิธีการตรวจสอบผลลัพธ์ของการเลือกตั้ง หรือแม้กระทั่งการตรวจสอบว่ามีคนดัดแปลงเครื่องด้วย

มีความเห็นเป็นเอกฉันท์ในหมู่ผู้เชี่ยวชาญ: เมื่อพูดถึงเรื่องความปลอดภัยของการลงคะแนนเสียงกระดาษเป็นกษัตริย์ บัตรกระดาษไม่มีซอฟต์แวร์และไม่มีชิ้นส่วนที่เคลื่อนไหว บัตรลงคะแนนเป็นทางกระดาษของตัวเองซึ่งได้รับการตรวจสอบโดยผู้มีสิทธิเลือกตั้งและสามารถนับซ้ำได้บ่อยเท่าที่จำเป็น ในขณะที่มีข้อบกพร่องที่อาจเกิดขึ้นได้อย่างแน่นอนในเครื่องทำเครื่องหมายบัตรอิเล็กทรอนิกส์ (ซึ่งพิมพ์บัตรลงคะแนนเสร็จสิ้น) และเครื่องสแกนบัตรลงคะแนนบัตรลงคะแนนกระดาษเองเป็นวิธีที่ปลอดภัยที่สุดที่เราต้องไม่เพียง แต่ลงคะแนนเท่านั้น การเลือกตั้งถูกต้อง

สิ่งที่ทำให้ฉันประหลาดใจที่ RSAC คือคนที่รับผิดชอบดูเหมือนจะได้รับข้อความ Kay Stimson ประธานคณะมนตรีประสานงานการเลือกตั้งโครงสร้างพื้นฐานภาคการเลือกตั้งของกระทรวงความมั่นคงแห่งสหรัฐอเมริกากล่าวที่ RSAC ว่ามี "แนวโน้มทั่วสหรัฐอเมริกาต่อการสร้างความยืดหยุ่นซึ่งหมายถึงเอกสารบันทึกและการตรวจสอบ"

การดูแผนที่จากการลงคะแนนที่ตรวจสอบแล้วนั้นแสดงให้เห็นถึงการเพิ่มขึ้นโดยทั่วไปของความพร้อมใช้ของบัตรลงคะแนนในช่วงการเลือกตั้งไม่กี่ครั้ง อย่างไรก็ตามยังมีงานที่ต้องทำอีกมาก แผนที่ Verified Voter เดียวกันนั้นแสดงสถานะที่สี่ที่เสนอเครื่อง DRE ที่ไม่มีทางกระดาษเท่านั้น หลายรัฐเสนอการลงคะแนนเสียงรวมกันของกระดาษและเครื่องจักร DRE แต่บางครั้งก็มีเขตการใช้ DRE มากกว่าที่ใช้บัตรเลือกตั้ง และทางเดินกระดาษแม้กระทั่งที่ได้รับการยืนยันโดยผู้ลงคะแนนยังถือว่าไม่เพียงพอเมื่อเทียบกับการลงคะแนนเสียงกระดาษจริง

แม้แต่ DARPA ก็ยังพบปัญหาอยู่ด้วยความคิดริเริ่มในการสร้างอุปกรณ์การลงคะแนนเสียงแบบโอเพนซอร์สและเครื่องอ่านบัตรลงคะแนน โครงการได้ติดตามแนวคิดที่ดีที่สุดในการแก้ไขเครื่องลงคะแนนแล้ว มันขึ้นอยู่กับการลงคะแนนกระดาษและจะสามารถเข้าถึงนักวิจัยเพื่อหาข้อบกพร่อง การบิดอย่างประณีตเป็นใบเสร็จรับเงินที่มีผู้ลงคะแนนเข้ารหัสลับสามารถใช้เพื่อตรวจสอบว่าการลงคะแนนเสียงของพวกเขาถูกนับและนับหลังการเลือกตั้ง

แนวคิดที่ได้รับการรับรองจากนักวิจัยกำลังทำการตรวจสอบที่จำกัดความเสี่ยงหลังการเลือกตั้ง การตรวจสอบเหล่านี้ต้องการคะแนนเพียงเล็กน้อยเพื่อให้ได้ความมั่นใจทางสถิติในผลลัพธ์ มันเป็นความคิดที่เรียบง่ายและชัดเจนที่ฉันไม่เคยคาดหวังว่าจะนำมาใช้จริง แต่ตามที่การประชุมแห่งชาติของกฎหมาย Legislatures, 31 รัฐต้องมีการตรวจสอบแบบดั้งเดิมของผลหลังจากการเลือกตั้งและสามรัฐดำเนินการตรวจสอบการจำกัดความเสี่ยงที่แนะนำโดยผู้เชี่ยวชาญ ที่โดดเด่นสิบรัฐได้ผ่านกฎหมายที่เกี่ยวข้องกับการตรวจสอบหลังการเลือกตั้งตั้งแต่ปี 2016

และการตรวจสอบงาน แค่ดูที่นอร์ ธ แคโรไลน่าที่การตรวจสอบช่วยคว่ำการเลือกตั้งของมาร์คแฮร์ริสต่อรัฐสภา

มันคือทุกอย่างที่แตกหัก

ความท้าทายที่ยิ่งใหญ่ที่สุดสำหรับข้อสันนิษฐานของฉันเกี่ยวกับความมั่นคงในการเลือกตั้งคือการตระหนักว่าต้องใช้มากกว่าเครื่องลงคะแนนที่ปลอดภัยและคณิตศาสตร์ที่ฉลาดเพื่อตรวจสอบผลลัพธ์ วิทยากรหลังผู้บรรยายที่ RSAC เน้นว่าการเลือกตั้งเป็นเว็บของเหตุการณ์เทคโนโลยีนโยบายองค์กรและผู้คนที่เชื่อมโยงถึงกันและความล้มเหลวของพวกเขาสามารถส่งผลกระทบต่อผลลัพธ์ ในขณะที่เราเริ่มตอกย้ำวิธีการลงคะแนนที่ปลอดภัยและตรวจสอบได้เรายังคงดิ้นรนกับ … เอาละทุกอย่างอื่น

การลงคะแนนเสียงนั้นยากเกินไปที่จะทำในอเมริกาและการลงคะแนนแบบส่วนตัวไม่ได้มีน้ำหนักเท่ากัน ความพยายามที่จะเปลี่ยนวันเลือกตั้งให้เป็นวันหยุดนั้นเรียกว่าการคว้าอำนาจพรรค การฝึกฝนของ gerrymandering ได้เห็นความพ่ายแพ้บางอย่างในปีที่ผ่านมา แต่นั่นเป็นข้อยกเว้นมากกว่าบรรทัดฐาน เรายึดติดกับวิทยาลัยการเลือกตั้งแม้ว่าจะมีการเลือกตั้งสองครั้งในช่วง 20 ปีที่ผ่านมาซึ่งผู้สมัครที่ชนะเลิศแพ้คะแนนนิยม

เหล่านี้เป็นปัญหาที่เกิดขึ้นกับประเทศของเรามาหลายชั่วอายุคนและเทคโนโลยีสามารถมีบทบาทเล็ก ๆ ในการแก้ปัญหา แม้แต่การเข้าไปแทรกแซงของรัสเซียในปี 2559 ก็เป็นเพียงแค่เทคโนโลยีขั้นสูงในการบิดเบือนข้อมูลและการโฆษณาชวนเชื่อ เราเคยเห็นปัญหานี้มาก่อน นักต้มตุ๋นทราบมานานแล้วว่าการโทรหาใครบางคนและขอข้อมูลส่วนบุคคลนั้นง่ายกว่ามากหรือแสดงหน้าเว็บฟิชชิงแทนที่จะพยายามแฮ็คเป้าหมายแบบทันที เราเรียกมันว่า "วิศวกรรมสังคม" แต่คุณสามารถเรียกมันว่าคำสั่งที่ทำให้คำสั่งขนาดใหญ่มีประสิทธิภาพมากขึ้นด้วยเทคโนโลยีใหม่ ทางออกที่ดีที่สุดที่เรามีคือการฝึกอบรมและการศึกษาไม่ใช่ผู้พิทักษ์ AI ที่ฉลาด

ในขณะเดียวกันความวิตกกังวลก็เพิ่มขึ้นจากภัยคุกคามทางเทคโนโลยีใหม่ ๆ ต่อประชาธิปไตยการป้องกันทางเทคโนโลยีอาจไม่เป็นไปได้ James Foster ซีอีโอของ ZeroFOX ทำลายมันง่าย ๆ : การกำหนดเป้าหมายเฉพาะกลุ่มผู้มีสิทธิเลือกตั้งชาวอเมริกันสำหรับแคมเปญการบิดเบือนข้อมูลแบบถาวรโดยใช้แพลตฟอร์มการตลาดที่มีอยู่เช่นเดียวกับที่คุณเห็นการแสดงโฆษณาบนเว็บไซต์นี้อยู่ในระดับต่ำอย่างน่าทึ่ง ค่าใช้จ่ายของการใช้ระบบอัตโนมัติในการตรวจสอบข้อความรูปภาพและวิดีโอเพื่อป้องกันการบิดเบือนข้อมูลนั้นสูงขึ้นอย่างมีนัยสำคัญ

สำหรับส่วนของพวกเขารัฐบาลดูเหมือนจะลงทุนอย่างหนักในเทคโนโลยีเพื่อโจมตีซึ่งกันและกันและพวกเขามองว่าการเลือกตั้งเป็นโอกาสที่ดีในการทำเช่นนั้น Kenneth Geers หัวหน้านักวิทยาศาสตร์การวิจัยที่ Comodo แสดงให้เห็นว่าการเลือกตั้งในประเทศใดนำมาซึ่งความรุนแรงในการตรวจจับมัลแวร์

• รัสเซียเป็นภัยคุกคามต่อการเลือกตั้งสหรัฐหรือไม่? 'ใช่แน่นอน' ผู้อำนวยการ FBI กล่าวว่ารัสเซียเป็นภัยคุกคามต่อการเลือกตั้งสหรัฐหรือไม่? 'ใช่แน่นอน "ผู้อำนวยการ FBI กล่าว
• วิธีปกป้องการเลือกตั้งสหรัฐก่อนที่จะสายเกินไปวิธีปกป้องการเลือกตั้งสหรัฐก่อนที่จะสายเกินไป
• แคมเปญที่มีอิทธิพลต่อการเลือกตั้ง: ราคาถูกเกินไปสำหรับนักต้มตุ๋นที่จะผ่านการรณรงค์การเลือกตั้งที่มีอิทธิพล: ถูกเกินไปสำหรับนักต้มตุ๋นที่จะผ่าน

Geers ยอมรับบางคนอาจเป็นนักต้มตุ๋นที่ใช้เหตุการณ์พาดหัวข่าว แต่เขาตั้งสมมติฐานว่ามันเป็นหน่วยงานข่าวกรองและพรรคการเมืองที่เป็นไปได้เช่นกัน แยกออกจากกันทั้งคณะเห็นพ้องกันว่าไม่มีวิธีที่เป็นรูปธรรมใด ๆ ในการป้องกันประเทศไม่ให้ทำกิจกรรมประเภทนี้

โทรครั้งสุดท้ายที่บูธลงคะแนน

ฉันใช้เวลาสองสามสัปดาห์ที่ผ่านมาย่อยทุกอย่างที่ฉันได้ยินและเห็นในที่ประชุม ฉันสันนิษฐานว่าเมื่อเครื่องลงคะแนนถูกล็อคนั่นจะเป็นเช่นนั้น คนเลวจะพ่ายแพ้ นั่นไม่ใช่กรณี

รักษาความปลอดภัยให้กับบัตรลงคะแนนของเราและตรวจสอบผลลัพธ์ด้วยการวิเคราะห์ทางสถิติ แต่การเลือกตั้งไม่สามารถปลอดภัยได้อย่างสมบูรณ์ด้วยเทคโนโลยีจำนวนเท่าใดก็ได้ ไม่มีผลิตภัณฑ์นอกชั้นวางสำหรับการตัดผ่านข้อมูลผิดพลาดที่กำหนดเป้าหมายแบบไฮเปอร์ไม่มีแพตช์ซอฟต์แวร์สำหรับข้อเท็จจริงทางเลือกและไม่มีโปรแกรมป้องกันไวรัสสำหรับฟาร์มโทรลล์ระดับรัฐ เพื่อให้มั่นใจว่าประชาธิปไตยของเรามีความอดทนต่อภัยคุกคามใหม่ ๆ เหล่านี้เราจะต้องทำงานอย่างหนักในสังคมเพื่อให้ความรู้แก่ผู้ลงคะแนนและแรงงานทางการเมืองที่เจ็บปวด ฉันไม่ได้ยินใครในหมู่คนที่ฉลาดมาก ๆ ที่ RSAC ที่มีทางออกสำหรับทุกสิ่ง