Koszty ataków na maszyny do głosowania poniżej 100 000 USD

Po co wydawać miliony dolarów na kampanię, kiedy można zhackować wybory za mniej niż 100 tysięcy?

To pytanie zadali naukowcy uniwersyteccy, którzy niedawno kupili maszynę do głosowania Sequoia AVC Advantage, a następnie zastosowali nową technikę hakerską, aby ominąć jej bezpieczeństwo.

Mimo że zostały już zhakowane, maszyny AVC Sequoia są uważane za dość trudny cel, ponieważ mają specjalny mechanizm ochrony pamięci, który pozwala im tylko uruchamiać oprogramowanie, które są na stałe podłączone do pamięci ROM komputera (pamięć tylko do odczytu).

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Ale używając nowej techniki hakerskiej, zwanej atakiem programistycznym, naukowcy byli w stanie oszukać maszynę w celu zmiany wyników wyborów, ac w nawiązaniu do Alexa Haldermana, jednego z naukowców uniwersyteckich odpowiedzialnych za tę pracę. Halderman jest z University of Michigan, ale naukowcy z University of California, San Diego i Princeton University również byli zaangażowani w projekt. Przedstawili swoje wyniki na warsztatach elektronicznych głosowania Usenix 2009, które odbyły się w tym tygodniu w Montrealu.

Naukowcy przetestowali swoje wyniki na maszynie zakupionej na aukcji rządowej po Buncombe County w Północnej Karolinie, przestali używać maszyn do głosowania w 2007 roku.

Hack nie był łatwy - Halderman szacuje, że zajęło mu to około 16 roboczo-miesięcy pracy, ale na uniwersytetach, które wciąż byłyby tańsze niż większość kampanii wyborczych w USA, powiedział. "Koszt tego czasu wynosił mniej niż 100 000 $", powiedział.

Prace zostały wykonane bez dostępu do kodu źródłowego lub dokumentacji wykraczającej poza to, co jest dostępne na stronie internetowej Sequoia.

Aby przeprowadzić atak, naukowcy zainstalował domowy mikrokontroler, który podłączono do portu zaprojektowanego dla wkładu wyników głosowania i wysłał fałszywe wyniki do maszyny do głosowania, stosując tę ​​technikę programowania zorientowaną na powrót. "Możesz użyć fragmentów istniejącego programu, aby utworzyć zupełnie nowy zestaw instrukcji" - powiedział Halderman.

Testowana maszyna AVC Advantage 5.0 miała od 10 do 15 lat, ale ten typ maszyny nadal jest używany w Luizjanie i New Jersey (gdzie krytycy e-głosowania wystąpili o usunięcie go z aktywnego użytkowania).

Badacze wcześniej ujawnili inne sposoby włamywania się do systemów, w tym manipulowanie oprogramowaniem sprzętowym maszyny poprzez wymianę jednego układu ROM na inny.

E producenci maszyn głosujących twierdzą, że ataki te byłyby trudne do zrealizowania w rzeczywistych sytuacjach, ponieważ ktoś musiałby fizycznie manipulować przy maszynie do głosowania. Naukowcy twierdzą, że mogą wykonać swoje ataki w ciągu kilku minut.

Sekwoja nie odpowiedziała na prośbę o komentarz na temat włamania.