作者:詹涓
【事实核查】
先说他们说对的地方:这位教授真有其人,虽然不是右翼媒体所说的“选举专家”,但他是网络安全专家,他也确实在法庭上演示了侵入投票系统的过程,只不过只用笔做不到,还需要大量专业知识。但一次攻击投票系统的演示,只能说明投票系统有着潜在的漏洞,并不能说明在现实世界中有机会实现这种攻击,更不意味着在2020年已经发生过这种攻击。
以下是一些核心事实:
- 作为专家证人,计算机科学教授亚历克斯·霍尔德曼(J. Alex Halderman)本人多次强调(见上图),没有任何证据表明这些漏洞在过去的选举中被利用来改变选票,他也曾作证称,没有证据表明密歇根州的2020年总统选举存在舞弊;
- 霍尔德曼在演示时,设想周围没有安保监督、没有事后审计,这与选举日的现实环境不同;与此同时,他是在获得了对投票系统的完全访问权限并研究了超过12周的情况下,写出了侵入代码,现实世界中也没有黑客能获得这样的网络攻击条件;
- 霍尔德曼承认,这种攻击一次只能黑入一台机器,因此无法成规模地短时间内黑入佐治亚州3.5万台设备;
- 这种漏洞存在于投票的触屏打印系统(BMD),而不是右翼媒体所说的读票计票系统。美国只有两个州要求所有亲自投票的人使用这种系统,另一个是紧邻的南卡罗来纳,而该州使用的是另一家公司生产的机器。也就是说,它也许能孤立地影响佐治亚州的一台机器,但既无法影响佐治亚州更多设备,也不可能影响其他州的投票机;
- 这并不是说霍尔德曼的研究不重要,鉴于他的发现,佐治亚州已经在2020年更换过投票系统,目前则在推进法案,要求改进BMD设备。
佐治亚州的投票有什么特别?
霍尔德曼是投票技术专家,也是密歇根大学计算机安全与社会中心的主任,早在2016年总统大选后,他和其他专家就敦促克林顿竞选团队要求在威斯康星、密歇根和宾夕法尼亚三州(在这三个摇摆州川普以微弱优势获胜)重新计票,他不断表示,电子投票机陈旧且易受攻击,可能会受到外国政府和其他势力的操纵。
他近期作证的这起诉讼起源于2017年,诉讼最初是由左倾的善治联盟(Coalition for Good Governance)和一群个人选民提起的,目的是要求佐治亚使用纸质投票机。
当时,佐治亚州使用的是过时的迪堡(Diebold)无纸化触屏投票机。霍尔德曼和其他科学家的研究发现,这种设备非常脆弱,容易受到恶意软件感染。法官艾米·托滕贝格(Amy Totenberg)因此命令佐治亚在2020年初之前更换这些机器。
佐治亚州立法机构于2019年初对更换投票设备的提案予以通过,该州在2020年用多米尼的纸质投票系统取代了迪堡触屏投票机。
原告要求佐治亚州更换纸质投票系统的目标已经达成了,但这场诉讼并没有停止。原告更新了他们的诉请,表示新的多米尼投票机也存在网络安全漏洞,要求使用手写选票。
对于不熟悉这些投票系统的读者,有必要先解释一下佐治亚的投票机是如何操作的,和其他州的投票有什么不同。
美国近70%的选民使用的是手写选票:进入投票站后先核实身份,然后获得一张空白的纸质选票,选民进入小隔间里填写选项,之后将选票送进读票机扫描并录入系统。
在每个投票站里,按规定都需要至少有一台BMD,BMD是由一个触摸屏平板电脑加一台打印机组成的,选民在平板上点选投票,用打印机打出一份带有二维码和/或文字摘要的结果,再送去读票机扫描和计票。
听起来好像有点多此一举,但BMD能使用多种语言朗读选票内容,对于一些弱势群体来说非常有帮助,比如残障人士,老年和手部颤抖的选民,以及语言能力有限或有视力障碍的选民。除此之外它也可以规避一些手写选票可能发生的错误,比如选民选择的候选人超出或少于允许范围,选民填写不当或者不正确,导致选票作废。
佐治亚州的不同之处在于,BMD在多数州主要是辅助设备,而在这个州,所有在选举日当天进行现场投票的人都是完全使用BMD来投票。主张采用这种操作的人认为,这可以确保每个选民都获得同样的体验。
这就成了问题所在,霍尔德曼认为,BMD这个中间步骤尤其脆弱,因为它打出的是条形码,人类无法直接阅读,因此这个步骤理论上是有可能用来作弊的。
霍尔德曼有什么重要发现?
霍尔德曼的发现,基于的是富尔顿县多明尼安设备对他的完全开放:托滕贝格法官给了霍尔德曼对投票系统的完全访问权限和密码,他与其他专家得以对设备进行了12周密集测试——请注意,这是一个不现实的威胁场景,这已经表明了这种测试的不可复制性。
在测试后,霍尔德曼完成了一份96页的报告,指出多米尼投票系统存在漏洞,可以被利用,但尚未被利用,有可能导致在未来的选举中选票被操纵。霍尔德曼还强调,2021年1月,川普盟友雇用的计算机取证团队进入佐治亚州的一个农村县,从选举设备中复制数据和软件,导致这些软件被数量不明的人掌握,这导致该州遭到黑客攻击的风险增加(该县已更换选举设备)。
霍尔德曼一再强调,他发现的漏洞并不能证明2020年大选是被窃取的,而只能说明这些投票机面临着潜在的攻击,因此需要迅速采取行动。此前,作为另一场诉讼的专家证人,他证明在密歇根州安特里姆县的2020年总统大选结果是准确的。这已经说明了川普的盟友拿它来说明2020大选被窃是多么荒唐。
霍尔德曼的报告完成后,多米尼进行了软件更新,解决了其他的几个漏洞,但它针对多米尼的BMD系统(商业名为ICX投票标记设备)的技术漏洞分析看来仍然成立:ICX设备附带了一个文本编辑器和一个允许root访问的终端仿真器,留下了被侵的空间。
在他的演示中,霍尔德曼先是用一支笔插进了一台平板的后面,并在那里保持了几秒钟。这导致机器重新启动进入“安全模式”,用户得以访问机器的安卓桌面。
然后,他使用了一张进行编程并伪造身份的智能卡,获得了投票机的访问权限,打开了机器的审计日志,使用文本编辑器删除了一些数据点,再将一个新命令粘贴到终端模拟器中。结果,打印出来的选票中,文字部分反映的是选民真实选出的候选人,而条形码显示的是相反的结果,这就导致选民即使检查了文字结果,但也无从知道是否投票准确。
理论中的攻击和现实中的攻击
这个过程看起来十分惊人,但问题是,霍尔德曼的研究一不具可复制性,二不具可操作性。因此一些专家评价说,研究凸显的是“理论和想象中的风险”。
首先说它的不可复制。
审阅过霍尔德曼报告的专家,如佛罗里达大学计算机科学系系主任胡安·吉尔伯特(Juan Gilbert),并不认为报告像霍尔德曼公开展示的那样可怕。
吉尔伯特写道:“只要有足够的权限和知识,任何电脑都可能被黑客攻击。”他补充说,虽然他认为BMD设备可以改进,但这“并不意味着我认为它们不够安全,或者在其他方面不堪一击。”
吉尔伯特还强调,霍尔德曼的黑客攻击手段无法检测,也无法复制,他写道,“我不知道霍尔德曼博士是否曾向任何其他独立研究人员提供过被‘无法检测到的’黑客攻击破坏的设备,以测试他的理论。”
再说不可操作性。
专注于选举的无党派媒体Votebeat在讨论霍尔德曼的报告时指出,他的攻击完全是在真空环境中进行的,丝毫没有考虑到投票的真实场景。“法官给了霍尔德曼对机器的完全访问权限和密码,他的报告显示,他的研究时间超过了12周。如果你让我在12周内进入一家银行,把钥匙交给我,让保安们不要插手,我很确定我也能实施抢劫。这是一个不现实的威胁场景,它忽略了物理安全措施、机器测试和风控审计的有效性,而这种种手段通常是选举官员和专家所信任的。”
民主基金(Democracy Fund)高级顾问、亚利桑那州马里科帕县前选举管理员塔米·帕特里克(Tammy Patrick)对Votebeat说:“系统的安全性不仅取决于系统本身,还取决于它周围的一切。封条、挂锁、摄像头……如果你把钥匙留在一辆没锁的车里,我把车子给开走了,这能说明这辆车子的防盗性能不佳吗?”
非营利性安全研究机构MITRE撰写的一份报告指出,基于正常的投票惯例、规模,以及对严格安全措施的遵守,霍尔德曼发现的黑客攻击“在操作上是不可行的”。佐治亚(以及其他所有州)的投票设备设有锁和封条保护,投票工作人员监督选区,选举前测试和纸质选票审计。
MITRE的研究发现,霍尔德曼的攻击场景中有五个是“不可扩展的”,一次只能影响一台设备,这意味着它们“一次对单个设备的影响在统计上微不足道”。
报告发现,第六种攻击场景因为在投票地点中设有严格的安全限制,因为无法实施。
解释下“不可扩展”。霍尔德曼在法庭上展示了用一支笔、一张智能卡改变投票结果的潜力,但他也承认,这种操作一次只能影响一台机器,而且智能卡中的恶意文本命令需要有专业知识——具体来说,是像他那样获得了多米尼设备完全访问权后获得的专业知识。但是佐治亚州一共有2700个投票站、3.5万台BMD机器,不法分子如何才能协调一致,在短时间内既能获得智能卡和入侵指令,又能神不知鬼不觉地用笔插入机器中重启电脑,改变选举结果,然后偷偷溜出去呢?
佐治亚州将进一步加强选举安全
霍尔德曼表示,也许不需要入侵大量机器,只要攻击少许,在重大选举中就可能会造成“混乱”。
他的信息是有意义的。乔治城大学(Georgetown University)计算机科学与法学教授马特·布雷兹(Matt Blaze)说,作为一名选举安全研究人员,看到错误信息的泛滥让人感到沮丧。他对美联社说:“多年来,选举安全专家提出的担心没有被重视,这显然不对。但突然之间,人们走到风向的另一面,说存在缺陷就意味着选举被窃,这也不对。”
佐治亚州选举官员声称,所有的投票系统,包括手写选票,都有潜在的风险,没有证据表明任何投票被篡改、操纵或改变;也没有证据能超过该州继续使用现有设备的益处,他们说,选择这些机器是因为它们能让残疾人毫无困难地投票,简化了选举工作人员的工作,并有助于获得准确记录的选票。
与此同时,基于霍尔德曼的发现,佐治亚州参众两院正在各自推进法案,要求取消该州大部分选票上的条形码。本周四,参议院道德委员会以8比2的投票结果将参议院第189号法案提交给全体参议院。它的目的是需要新的光学扫描仪来读取选票上的打印文本,而不是条形码。如果现有的漏洞导致不法分子能改变投票的条形码,而扫描和计票系统只能扫码读不了文字,这样的新设备就将有望堵上漏洞。预计改进机器可能需要大约六到七个月的时间。同时,该州还在升级BMD机器。
与川普的盟友不同,我们不应该陷入逻辑陷阱,认为理论上的系统潜在漏洞意味着它们已经被人们所利用。同时也需要反复强调,霍尔德曼的报告是基于对系统的不受限制的访问,这与选举的现实环境不同。
参考资料:
https://www.votebeat.org/2022/3/2/22959221/alex-halderman-dominion-report-georgia-bmd-lawsuit/
https://freedom-to-tinker.com/2023/06/14/security-analysis-of-the-dominion-imagecast-x/