新闻是有分量的

美国的选举诚信受到安全挑战公司的保护

美国选举诚信的最终守门人可能是其最弱的安全联系。

三家私人控股公司销售和服务超过90%的美国选举制度。 但这些公司长期以来一直强调其客户对产品安全的便利,安全专家和选举官员说。

这使得发现俄罗斯2016年大选干预的重演或复杂黑客的其他入侵变得更加复杂。

趋势新闻

三家公司 - 内布拉斯加州奥马哈的ES&S; 德克萨斯州奥斯汀的丹佛和哈特InterCivic的Dominion Voting Systems面临着很少的公共责任,尽管它们在支撑美国民主方面发挥着举足轻重的作用,但却在金融和运营保密的笼罩下运作。

他们面临的联邦监管不力,但在全国大部分地区直接或通过分包商有效地进行选举 - 特别是在技术专长和预算薄弱的情况下。 没有联邦当局对供应商进行认证或对其进行审查。

专家表示,高门槛和低利润阻碍了可以增强安全性的创新。

康涅狄格大学选举技术专家亚历山大施瓦茨曼说:“他们将所有事情拼凑在一起”,因为建立真正安全的系统可能会抹掉他们的利润。

国会听证会

三家顶级供应商的高管拒绝讨论他们公司的财务状况,并拒绝将他们的产品暴露给独立研究人员和国会的审查。

“这些公司希望成为我们民主的守门人,但他们似乎对保护它并不感兴趣,”俄勒冈州民主党参议员罗恩·怀登在7月的一次国会听证会上抱怨道。

前三大供应商称此类担忧被夸大了,并表示没有迹象表明黑客已经渗透到他们的任何系统中。

但当局表示,严重的选举恶作剧可能已被忽视,黑客在理论上可能会在选举过程的多个阶段造成严重破坏。 他们可能会改变或删除已登记选民的名单,以制造混乱,秘密引入软件以翻转投票,争夺制表系统或使用拒绝服务攻击使结果报告网站脱机。

7月13日,美国特别顾问罗伯特·穆勒(Robert Mueller)起诉了12名俄罗斯军事情报人员,其中包括渗透州和地方选举制度。

选举供应商长期以来一直拒绝独立的道德黑客进行开放式漏洞测试 - 这一过程旨在识别对手可能利用的弱点。 这种测试现在是五角大楼和主要银行的标准。

然而,供应商坚持认为安全是一个优先事项。 例如,ES&S在一封电子邮件中表示,“任何关于抵制安全投入的断言都是不真实的”,并且认为几十年来该公司“成功地保护了投票过程”。

测试软件

专家指出,有许多关于软件开发和未修复漏洞的迹象。

“这个行业继续阻碍这个问题,”奥巴马政府期间国土安全部网站布鲁斯麦康奈尔说。 他说,选举供应商高管发布了温和的保证,但不会为寻找软件缺陷的研究人员提供“错误赏金”。

7月,ES&S告诉美联社,它允许对其公司系统及其产品进行独立,开放式测试。 但该公司不会为测试人员命名,并拒绝提供测试或其结果的文档。

Dominion的政府事务副总裁Kay Stimson表示,她的公司也有独立的第三方调查其系统,但不会命名或分享细节。

第三大供应商Hart InterCivic表示,它已经使用加拿大网络安全公司Bulletproof做了同样的事情,但不会讨论结果。

ES&S于4月份聘请了第一位首席信息安全官。 三巨头中没有人会说他们雇用了多少网络安全专家。 Dominion的Stimson表示,“员工的机密性和安全保护措施超过任何潜在的披露。”

选举失误

在今年的初选中,ES&S技术在几个方面遭遇失误。

在洛杉矶县,超过118,000个名字被打印在选民名单上。 随后的外部审计归咎于ES&S子公司在数据库合并期间进行的系统集成。

在新安装的ES&S系统中出现不同类型的错误后,由于从拇指驱动器上传的数据被抓取,投票数量延迟了13个小时,因此在堪萨斯州人口最多的县没有进行此类审计。

爱荷华大学计算机科学家道格拉斯琼斯说,这两起事件都显示出平庸的节目和选举前的测试不足。 他表示,投票设备供应商在设计的任何阶段都没有出现安全意识。

加州,纽约和科罗拉多州都倾向于密切关注供应商。 拥有较为紧密关系的国家过去曾让他们使用远程访问软件对选举系统进行维护,这是一种广泛不信任的安全失误。

ES&S继续销售配备蜂窝调制解调器的投票制表系统,一位专家称黑客可能会利用,进入选举管理模块并篡改投票数量。

一些州禁止这种无线连接。 马里兰州最近摆脱了它们,阿拉巴马州在1月份迫使ES&S将它们从机器中移除。

阿拉巴马州国务卿副国务卿约翰·贝内特说道:“看起来人们更加强调机器的冷却程度,而不是实际证据证明它们是安全的。”