想要篡改投票結果，可以從黑掉投票設備供應商入手

背景介紹

近日，研究人員分析發現，成千上萬投票設備供應商員工的工作電子郵件和明文密碼出現在可以免費使用的第三方數據泄露轉儲中，導致人們對投票設備的安全性和過去選舉結果的完整性提出了質疑。

雖然一些遭遇過數據泄露的網站（如2012年LinkedIn數據泄露等）已經強制要求所有受影響的用戶更改密碼，但是結果顯示，還有很多的用戶仍在其他平台上重複使用這些密碼組合，使得第三方數據泄露成為犯罪分子和網路間諜的金礦。

多年來，投票設備供應商都聲稱，投票設備是氣隙系統（Air-gapped）——即將電腦進行完全隔離，不與互聯網以及任何其他聯網設備連接——因此是無懈可擊的。但是，Kim Zetter卻在2月份的《紐約時報》中揭穿了這一美好幻想。

一名攻擊者設法闖入了投票設備供應商員工的工作電子郵件，因為該員工使用了與被攻擊站點上相同的密碼，黑客正是利用了這些密碼，最終獲得了對投票設備的訪問許可權。而且，一旦投票設備供應商在投票機上安裝了遠程訪問軟體，或是為了方便供應商員工遠程訪問設備進行維護、故障排除或選舉設置而留下後門程序，都將會使投票設備供應商員工淪為攻擊目標。

「威脅是真實存在的」

華盛頓民主與技術中心的高級技術專家Maurice Turner表示，第三方數據泄露憑據可能對攻擊者非常有用。他說，

分析顯示，用戶顯然並沒有遵循服務供應商的建議更換已經泄露的密碼，即便是更改了也沒有更改完全，可能仍然在其他平台上繼續使用著這些密碼。

密碼重複使用的情況在組織內部也很常見。被聘用來檢測組織內部安全的滲透測試人員經常報告稱，IT管理員在整個企業中重複使用密碼。由此一來，只要侵入最薄弱的環節，便可以輕鬆掌控網路。

愛荷華大學計算機科學教授兼投票設備安全專家Douglas W. Jones表示，

如果我是攻擊者，我會立即竭盡全力地投身於研究其公司的設備，並搜尋出他們在文件系統中記錄的後門程序。鑒於目前的情況，我認為可以非常有效地完成任務。

他補充說道，

威脅是真實存在的，應該認真對待。

當然，這種威脅並不僅限於劫持後門程序來破解投票設備，侵入某人的電子郵件帳戶可以獲得關於他們的聯繫人、他們的對話內容以及他們的生活等非常豐富的信息。這些信息有助於促成真正的網路釣魚攻擊，並造成破壞性的後果。

Turner表示，

通過此前收集的信息，攻擊者可以輕易地偽裝成供應商的合法代理人，並要求獲取管轄權，繼而對他們進行網路釣魚攻擊或社會工程，嘗試讓他們安裝非法的補丁程序等。

對Jones而言，他對投票設備供應商的自我防禦能力持懷疑態度。他說，

我懷疑他們根本就沒有用過識別攻擊的工具。總的來說，人們並不了解大數據的運行原理，即一次數據泄露事件中丟失的內容，可能是來源於其他完全不相關的信息，而利用這些信息能夠發現一些原本不應該被獲取到的東西。攻擊者可能並不是直接針對您公司的網路系統實施攻擊，而是先試圖瓦解某一位在您公司工作的員工。

供應商回應

研究人員在審查的第三方數據泄露轉儲中發現了5家投票設備供應商的信息，其中包括超過2000個已經失效的Diebold（現為Dominion Voting所有）憑證。另外4家投票設備供應商包括ES&S、Dominion Voting、MicroVote以及Unisyn Voting Solutions。其中，ES＆S暴露的憑證最多（超過一百個），其餘供應商暴露的憑證從少數幾個到幾十個不等。

泄露的憑證涉及這些公司的管理、工程和運營團隊的關鍵成員。在過去的十年中，一個密碼重用的例子就足以讓攻擊者在投票設備供應商的網路中站穩腳跟，並可能損害投票機的完整性和選舉結果的公正性。

研究人員已經通過與ES＆S、Dominion Voting和MicroVote廠商的加密渠道共享了這些第三方泄露憑證的副本，其中包含上述公司員工的工作電子郵件和密碼等信息。

對此，ES＆S和Dominion Voting廠商均表示，這些數據不是來自他們的系統，可能是來自第三方數據泄露。ES＆S在一封電子郵件聲明中寫道，

為了了解這些違規行為，並將其作為我們自己的安全協議的一部分，我們要求公司同事定期重置終端用戶密碼。最後，需要特別指出的是，副本文件中包含的任何密碼組合都不符合我們的密碼要求。

Dominion Voting也對此作出了回應，並在電子郵件中寫道，

這些數據似乎與上一次第三方數據泄露相關，它不是我們公司管理的系統或平台，因此沒有任何Dominion系統受到損害。但是，為了加強預防措施，我們經常要求員工更改其電子郵件相關密碼，並採取其他措施作為公司相關電子郵件安全強制性政策的一部分。

MicroVote軟體開發總監Bernie Hirsch也通過電子郵件回復稱：

我已經查看了這些數據。並對數據進行了分析，結果發現其中兩條記錄是有效的，其餘的均無效，這些信息看起來像是三四年前的。

當研究人員詢問「有效」是否意味著對當前員工有效時，Hirsch解釋稱，

不是，公司任何現有的員工都沒有使用這些密碼。數據中的用戶名和密碼僅適用於我們的第三方電子郵件系統，其與我們公司或開發網路沒有連接，並且對我們的選舉系統或其他任何投票系統均沒有影響。

研究人員也試圖與Unisyn Voting Solutions取得聯繫，但是無法建立一個安全渠道來共享公開的憑證信息，截至目前，該公司也沒有予以任何回應和評論。

除以上5家供應商外，投票設備測試研究室Pro V&V 和SLI Compliance也出現在第三方違規中，但是目前也沒有得到這兩家公司的任何回應。

遠程訪問風險

這些公司中至少有兩家提供遠程訪問服務：ES＆S和Dominion Voting。

據《紐約時報》報道稱，投票設備供應商ES＆S在2006年和2011年提供了遠程訪問服務項目。此外，《泰晤士報》也報道稱，參議員Ron Wyden在批評ES＆S的新聞稿中寫道：

允許遠程訪問會顯著削弱投票設備的安全性，並可能被黑客利用來破壞機器或干擾投票記錄。

ES＆S在向《紐約時報》發表的一份聲明中表示：

公司所有員工（包括長期僱員）都沒有聽說過我們的投票系統曾與遠程訪問軟體一起出售過。

但是，根據ES＆S與密歇根州之間簽訂的一份為期十年（起始日期為2017年3月1日）的合同顯示，就在去年，ES＆S向該州的投票設備提供了遠程訪問服務。該合同以每天1,575美元的價格為選舉官員提供現場技術支持服務，或者以「每次選舉設置250美元」的價格提供「遠程訪問」服務選項。

在一封電子郵件聲明中，該公司解釋稱，

與密歇根州合同中提到的『遠程訪問』，指的是與票據印表機一起使用的遠程訪問軟體，而不是投票製表產品。BOD印表機的作用就相當於選舉管轄區將選票文件直接發送到當地印刷廠以產生空白選票。而BOD印表機只需『按需列印』這些選票，就可以省去選舉管轄區等待選票由印刷車間生產和運輸的過程。BOD印表機不是端對端認證投票系統配置的一部分，也不會與認證投票系統連接或進行任何通信。

攻擊BOD印表機可能會導致拒絕服務攻擊，由此干擾選舉的順利進行，但其本身不會使攻擊者修改投票總數——這是因為，BOD列印系統確實沒有連接到密歇根州投票系統的其他部分。

Jones在一封電子郵件中寫道，

你可以通過強制選擇性的選票印刷失敗或故意錯印來混亂選舉結果。但這並不是明智的選擇，很有可能會被注意到，而且這些列印錯誤的選票也會成為直接證據。

對於ES＆S的解釋，密歇根州政府發言人回應稱，

投票製表器（Ballot tabulators）為地方政府所有，沒有連接到互聯網。而且，密歇根州目前在任何地方都沒有使用『按需投票列印』，且未來也沒打算這樣做。

除ES＆S外，佛羅里達州在2013年關於建議使用Dominion產品的報告中指出，Dominion的Democracy Suite投票系統中也包含「可選的遠程訪問服務（RAS）」。對此，Dominion回應道，

Dominion沒有遠程訪問任何弗洛里達州的客戶網站，這也不是我們為客戶提供服務的方式。我們從未提供或利用公司技術人員對投票設備的遠程訪問能力。

投票設備中留後門著實是個壞主意

在加密後門是否應該存在的辯論中，會觸及相同的原則問題。聯邦調查局想要利用後門捉住罪犯，但是這些後門並非能夠隱藏地不露痕迹。事實證明，只要給予足夠的時間和精力，這些後門程序總是能夠被惡意行為者發現並濫用的。這就是網路安全的基礎原則。

惡意行為者有足夠的時間、精力和資源來針對投票設備供應商，以便能夠控制投票設備並篡改投票結果，或是以其他方式破壞選舉。如果投票設備供應商提供遠程訪問軟體，那麼投票設備廠商自己也會成為攻擊目標。第三方泄露數據會使針對這些供應商的攻擊活動變得更加容易。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！