Securitywatch: fixarea tehnologiei noastre electorale este mai ușoară și mai dificilă decât credeți

Când am zburat la San Francisco pentru Convenția RSA (RSAC) la începutul lunii martie, mi-am propus să particip la toate discuțiile de securitate electorală pe care le puteam încadra în programul meu. Este o alegere evidentă. În timp ce intervalele de timp din 2018 s-au încheiat fără prea multe controverse, încă luptăm pentru alegerile prezidențiale din 2016 și suntem la jumătatea drumului la următoarea. Asta în afară de sistemul american de votare și numărare a voturilor fiind, în cel mai bun caz, un zgomot abia funcțional.

M-am așteptat la obișnuitele obiecții despre securitatea alegerilor, cercetătorii menționând starea regretabilă a mașinilor de vot în SUA. Am fost chiar așteptând cu nerăbdare, pentru că trebuie să fii cam masochist pentru a fi în această industrie. A fost un pic din mizeria obișnuită, dar nu eram pregătit pentru o dublă bătaie de optimism și disperare. Am rămas convins că am rezolvat efectiv cele mai presante probleme tehnologice cu votarea. Ceea ce ne-a împiedicat sunt celelalte chestii.

Și asta sunt multe lucruri.

Există o soluție low-tech pentru securitatea votării

Toți vorbitorii pe care i-am văzut erau de acord: în general, știm care sunt problemele cu votarea în America. Sistemele de votare electronice pur, numite aparate de votare electronice cu înregistrare directă (DRE), sunt în general ascunse de cercetători, dar cele care au fost cercetate s-au dovedit a fi extrem de vagi în ceea ce privește securitatea. Mașina WinVote, supranumită cea mai proastă mașină de vot din lume, avea aproape fiecare steag roșu pe care ți-l puteai imagina pentru o componentă atât de importantă. Acest sistem cerșește practic să fie piratat.

În apropiere de WinVote, se presupune cea mai proastă mașină de vot din lume. # BlackHat2018 pic.twitter.com/jRuBt5mieK

- Amărât, obosit și transpirat (@wmaxeddy) 9 august 2018

Nimic din toate acestea nu este deosebit de surprinzător, dar tehnologia mea schadenfreude a început să se aglomereze atunci când discuțiile au apelat la verificarea alegerilor. A fost o problemă de ani de zile, dar începe să treacă în prim-planul discuțiilor, deoarece securitatea electorală devine o problemă mai mare. Multe sisteme de votare electronică (și chiar unele mașini mecanice vechi, bazate pe pârghie) nu au o modalitate de a verifica rezultatul unei alegeri. Sau chiar pentru a stabili dacă cineva a manipulat mașina.

Există un consens între experți: când vine vorba de securitatea scrutinului, hârtia este rege. Un buletin de hârtie nu are software și nu are piese mobile. Un buletin de hârtie este propriul traseu de hârtie, unul care a fost verificat de alegător și poate fi înregistrat de câte ori este necesar. Cu toate că există cu siguranță defecte potențiale în mașinile electronice de marcare a buletinelor de vot (care tipăresc un buletin de vot finalizat) și scanerele de urne, buletinele de vot din hârtie sunt cea mai sigură metodă pe care trebuie să o alegem nu numai pentru a vota, ci și pentru a verifica dacă rezultatul alegerea este corectă.

Ceea ce m-a surprins la RSAC este că oamenii responsabili par să primească mesajul. Kay Stimson, președintele Consiliului de coordonare a sectorului infrastructurii electorale a departamentului de securitate internă din SUA, a declarat la RSAC că „există o tendință în SUA către construirea rezilienței, ceea ce înseamnă înregistrări de hârtie și audituri”.

O privire rapidă la hărțile din voturile verificate arată o creștere generală a disponibilității buletinelor de vot pe ultimele cicluri electorale. Cu toate acestea, mai sunt de făcut. Aceeași hartă a alegătorilor verificați arată patru state care oferă doar mașini DRE fără urmă de hârtie. Multe state oferă o combinație de buletine de hârtie și mașini DRE, dar uneori, cu districte mult mai multe care utilizează DRE decât cele de buletin de hârtie. Și traseele de hârtie, chiar și cele verificate de alegători, sunt considerate încă inadecvate în comparație cu un buletin de vot real.

Chiar și DARPA se ocupă de o problemă, cu inițiativa de a crea dispozitive de marcare a buletinelor de vot și cititoare de buletine. Proiectul urmărește deja unele dintre cele mai bune idei pentru a repara mașinile de vot. Se bazează pe buletinele de hârtie și va fi pe deplin accesibil cercetătorilor pentru a găsi defecte. O răsucire corectă este o primire cu o valoare criptografică pe care alegătorii o pot folosi pentru a verifica dacă votul lor a fost exprimate și numărat după alegeri.

Un concept care a primit avize de la cercetători este efectuarea de audituri de limitare a riscurilor după alegeri. Aceste audituri necesită doar o mică parte din voturi pentru a obține încredere statistică în rezultat. Este o idee atât de simplă și evidentă, încât niciodată nu m-aș fi așteptat să fie adoptată. În conformitate cu Conferința Națională a Legislaturilor de Stat, 31 de state necesită un audit tradițional al rezultatelor după alegeri, iar trei state efectuează audituri de limitare a riscurilor, recomandate de experți. În special, zece state au adoptat legi din 2016 cu privire la auditurile post-electorale.

Și auditurile funcționează. Uitați-vă la Carolina de Nord, unde auditurile au ajutat la anularea alegerilor lui Mark Harris la Congres.

Este totul altceva care este rupt

Cea mai mare provocare a presupunerilor mele despre securitatea alegerilor este realizarea faptului că este nevoie de mai mult decât mașini sigure de vot și matematica inteligentă pentru a verifica rezultatele. Purtătorul de cuvânt la RSAC a subliniat că alegerile sunt o rețea de evenimente, tehnologie, politici, organizații și oameni interconectați, iar un eșec al oricăreia dintre ele poate avea efect asupra rezultatului. În timp ce începem să analizăm un mod sigur și verificabil de a vota, încă ne luptăm cu… bine, cu toate celelalte.

Votul este pur și simplu prea greu de făcut în America, iar voturile individuale nu au aceeași pondere. Un efort de a transforma Ziua alegerilor într-o sărbătoare a fost numit o putere de partizanare. Practica de gerrymandering a cunoscut unele înfrângeri în ultimii ani, dar aceasta este excepția, mai degrabă decât norma. Ne-am agățat de colegiul electoral, în ciuda faptului că am avut două alegeri în ultimii 20 de ani în care candidatul câștigător a pierdut votul popular.

Acestea sunt probleme care au fost cu țara noastră de generații, iar tehnologia poate juca doar un mic rol în soluție. Chiar și amestecul rusesc din 2016 a fost pur și simplu o învârtire de înaltă tehnologie asupra dezinformării și a propagandei. Am văzut această problemă înainte. Scamatorii știau de multă vreme că este mult mai ușor să apelezi pur și simplu pe cineva și să ceară informații personale sau să le prezinte o pagină web de tip phishing, în loc să încerci să piratezi direct țintele. O numim „inginerie socială”, dar ai putea numi un con care a fost făcut mai eficient pentru comenzi de mărime prin noile tehnologii. Cea mai bună soluție pe care o avem este instruirea și educația, nu un apărător inteligent care funcționează în domeniul AI.

În mod similar, deși anxietatea a crescut cu noile amenințări tehnologice la adresa democrației, este posibil ca o apărare tehnologică să nu fie posibilă. James Foster, CEO la ZeroFOX, a doborât-o pur și simplu: Direcționarea unor grupuri specifice de alegători americani pentru campanii de dezinformare persistente folosind platformele de marketing existente, similar cu cele pe care le vedeți afișarea anunțurilor pe acest site, este remarcabil de scăzută. Costul utilizării sistemelor automate pentru examinarea textului, imaginilor și videoclipurilor pentru a bloca dezinformarea este semnificativ mai mare.

La rândul lor, guvernele par să investească foarte mult în tehnologie pentru a se ataca reciproc și consideră alegerile ca o oportunitate excelentă în acest sens. Kenneth Geers, cercetător șef de cercetare la Comodo, a arătat cum alegerile din orice țară determină o intensitate masivă a detectărilor de malware.

• Rusia este o amenințare la alegerile americane? "Da, absolut", spune directorul FBI, este Rusia o amenințare la alegerile americane? „Da, absolut, ” spune directorul FBI
• Cum să protejăm alegerile din SUA înainte să fie prea târziu Cum să protejăm alegerile din SUA înainte să fie prea târziu
• Campanii de influență electorală: Prea ieftine pentru escroci să transmită Campanii de influență electorală: Prea ieftin pentru escroci să transmită

O parte din asta, a recunoscut Geers, ar putea fi escroci care folosesc evenimente care prind titluri de cap, dar a presupus că este vorba despre agenții de informații și, probabil, și despre partide politice. În mod separat, un întreg grup a fost de acord că nu există nicio modalitate concretă de a împiedica națiunile să desfășoare aceste tipuri de activități.

Ultimul apel la cabina de votare

Am petrecut ultimele săptămâni digerând tot ce am auzit și am văzut la conferință. Am presupus că odată ce blocurile de vot au fost blocate, asta va fi. Băieții răi ar fi bătuți. Nu este cazul.

În orice caz, asigurați-vă buletinele de vot și cercetați rezultatele cu analize statistice, dar alegerile nu pot fi complet garantate cu o singură cantitate de tehnologie. Nu există niciun produs în afara raftului pentru tăierea prin dezinformare hiper-țintită, niciun patch software pentru fapte alternative și nici un antivirus pentru fermele de troll-uri ale statului național. Pentru a ne asigura că democrația noastră va suporta aceste noi amenințări, va trebui să depunem o muncă asiduă în societate pentru a educa alegătorii și munca politică dureroasă pentru a se asigura că voturile contează. Nu am auzit pe nimeni printre oamenii foarte deștepți de la RSAC care să aibă o soluție pentru toate acestea.