Виробник голосувальних машин приймає встановлення програмного забезпечення віддаленого доступу на державні системи

Виробник голосувальних машин приймає встановлення програмного забезпечення віддаленого доступу на державні системи

У лютому 2018 року виборчі системи та програмне забезпечення повідомили пресі, що він ніколи не встановив програмне забезпечення для віддаленого доступу в будь-якій системі електронного голосування, яку вона продала у різних штатах США чи місцевих органах влади. У квітні компанія розповів канцелярійці Сенатора Рона Відена (D-OR) про те, що вона продала програмне забезпечення для віддаленого підключення pcAnywhere "для невеликої кількості клієнтів у період між 2000 та 2006 роками". Доброю новиною про це розкриття є те, що відповідні системи мають всі вони були на пенсії та більше не використовуються в США.

Але той факт, що це сталося, по-перше, у поєднанні з поточними попередженнями про загалом незадовільному стані безпеки електронного голосування, свідчить про глибину і широту проблем, що стоять перед системою електронного голосування Сполучених Штатів у зв'язку з підходом до середньострокових виборів 2018 року . Той факт, що ES & S звинувачує свою власну попередню поведінку перед громадськістю до тиску з боку канцелярії Сенатора Відена, не дуже добре свідчить про громадянську відповідальність, яку відчувають ці компанії щодо забезпечення безпечного ведення голосування. Це важливо - просто не так важливо, як мінімізувати будь-які натяки на корпоративну відповідальність.

Виробник голосувальних машин приймає встановлення програмного забезпечення віддаленого доступу на державні системи

У цьому випадку ES & S встановила програмне забезпечення pcAnywhere на системах управління виборами, а не на терміналах голосування. Хоча апаратне забезпечення EMS фактично не збирає голоси, вони, як правило, використовуються для програмування терміналів голосування та для підрахунку результатів, згрупованих з цих терміналів. Словом, компрометування ESM може бути навіть більш ефективним, ніж окремі термінали, в залежності від характеру порушення та можливостей програмного забезпечення. Але, з огляду на це, існують деякі важливі розбіжності між тим, як Віза характеризує ситуацію і що ES & S говорить у своєму листі до Wyden. Заступник пише: "Клієнти ES & S, які встановили pcAnywhere, також мали модеми у своїх системах управління виборчими процесами, таким чином технічні фахівці ES & S могли набрати ці системи та використовувати програмне забезпечення для усунення несправностей, створюючи тим самим потенційний порт входу для хакерів". Однак ES & S , стверджує, що "використання інструменту може відбуватися тільки за погодженням з клієнтом, який мав почати віддалене з'єднання".

Це не тривіальне відмінність, і ES & S зауважує, що жоден з ESM, який він продає в цій конфігурації, все ще працює сьогодні. Але це також не кінець проблеми, а не довгий вистрілив. Система голосування Сполучених Штатів сильно атомається і управляється на місцевому рівні, що означає, що в основному її керує республіканська партія, оскільки ВП контролює набагато більше округів у Сполучених Штатах, ніж Демократична партія. Ця атомізація робить надзвичайно важко змінювати голосування як частину масштабної скоординованої кампанії та є однією з причин того, чому звинувачення у великих обсягах незаконних голосувань ніколи не витримували розслідування - будь-яка спроба змінити результати виборів навіть у одній державі фактично вимагає компромісу кілька округів у широких географічних районах, не кажучи вже про складність координації такої атаки по всій країні.

Але той факт, що американська система, як правило, стійка до певних видів атак, не робить її ідеальною проти всіх. Атомний характер нашої виборчої системи також означає, наприклад, що ми не маємо жодного глобального стандарту, коли мова йде про збереження паперової сліди того, як люди голосують, щоб забезпечити перевірку електронних документів:

Дані від Ballotpedia
Дані від Ballotpedia

Як пише The New York Times у лютому:

Протягом 15 років, коли електронні машини для голосування були вперше прийняті багатьма штатами, численні доповіді комп'ютерних дослідників показали, що кожен марка та модель можуть бути вразливими до хакерства. Системи спочатку не розроблені з надійною безпекою, і навіть там, де включені функції безпеки, експерти виявили, що вони погано реалізовані з яскравими отворами.

Це було правдою в 2016 році. Він залишається вірним, коли ми переходимо до середніх термінів 2018 року. Не в тому, що ES & S був спійманий, зробивши щось жахливе - це незрозуміло, якщо Віце розуміє різницю між системою з комутованим модемом, в якій клієнт ініціює зв'язок із віддаленим працівником і той, в якому може здійснювати постачальник це з'єднання самостійно, але первісна відсутність прозорості компанії в цьому питанні є лише останнім прикладом проблеми, яка настає десятиліттями. Ще в 2006 році Ars Technica документувала масовані проблеми з машинами електронного голосування. Майбутні недоліки все ще були знайдені в 2015 році. Вони все ще знаходяться сьогодні. Саме цей факт - це більше, ніж питання про те, що ES & S перевозили в 2006 році - це має торкнутися нас.