In questo 14 luglio, 2018, foto, Sistemi e software elettorali (ES&S), CEO Tom Burt, Giusto, guarda alcune delle attrezzature elettorali dell'azienda nell'area di esposizione dei venditori a una convention della National Association of Secretaries of State a Filadelfia. Gli esperti affermano che i principali fornitori di elezioni hanno da tempo lesinato sulla sicurezza a favore della comodità e utilizzano sistemi proprietari, rendendo più difficile rilevare le ingerenze elettorali. (Foto AP/Mel Evans)
Era il tipo di falla di sicurezza che fa venire gli incubi ai funzionari elettorali. Nel 2017, un appaltatore privato ha lasciato i dati sugli 1,8 milioni di elettori registrati di Chicago, inclusi indirizzi, date di nascita e numeri di previdenza sociale parziali, esposti pubblicamente per mesi su un server cloud di Amazon.
Più tardi in un'udienza tesa, Il Board of Elections di Chicago ha vestito i primi tre dirigenti di Election Systems &Software, il principale fornitore nazionale di attrezzature e servizi elettorali.
I tre si spostarono a disagio sulle sedie pieghevoli mentre i membri del consiglio li interrogavano su cosa fosse andato storto. Il CEO di ES&S Tom Burt si è scusato e ha ripetutamente sottolineato che non c'erano prove che gli hacker avessero scaricato i dati.
La decadenza di Chicago ha fornito un raro momento di responsabilità pubblica per le aziende strettamente controllate che sono diventate guardiani in prima linea della sicurezza elettorale degli Stati Uniti.
Un trio di aziende:ES&S di Omaha, Nebraska; Dominion Voting Systems di Denver e Hart InterCivic di Austin, Texas:vendi e servi più del 90 percento dei macchinari su cui vengono espressi i voti e i risultati tabulati. Gli esperti affermano di aver lesinato a lungo sulla sicurezza a favore della comodità, rendendo più difficile rilevare intrusioni come quelle avvenute durante le ingerenze elettorali russe del 2016.
Inoltre, le aziende non devono affrontare alcuna supervisione federale significativa e operano sotto un velo di segretezza finanziaria e operativa nonostante il loro ruolo fondamentale alla base della democrazia americana.
In questo 11 luglio 2018, foto, Peter Lichtenheld, vice presidente delle operazioni per il fornitore di sistemi di voto Hart InterCivic, testimonia durante un'audizione al Senato sulla sicurezza elettorale a Washington. Gli esperti affermano che i principali fornitori di elezioni hanno da tempo lesinato sulla sicurezza a favore della comodità e utilizzano sistemi proprietari, rendendo più difficile rilevare le ingerenze elettorali. (Foto AP/Cliff Owen)
In gran parte della nazione, soprattutto dove le competenze e i budget tecnologici sono scarsi, le società di fatto gestiscono le elezioni direttamente o tramite subappaltatori.
"Mettono insieme le cose come possono, " Alexander Schwartzman, esperto di tecnologia elettorale dell'Università del Connecticut, ha affermato dei leader del settore. La costruzione di sistemi veramente sicuri li renderebbe probabilmente non redditizi, Egli ha detto.
I costi di una sicurezza inadeguata possono essere elevati. Non menzionato all'udienza di Chicago:la cache di dati esposta includeva circa una dozzina di password crittografate per gli account dei dipendenti ES&S. Nella peggiore delle ipotesi, un aggressore sofisticato avrebbe potuto usarli per infiltrarsi nei sistemi aziendali, ha detto Chris Vickery della società di sicurezza Upgard, che ha scoperto la mancanza di dati.
"Questo è il tipo di cose che porta a un compromesso completo, ", ha affermato. ES&S ha affermato che le password sono state utilizzate solo per accedere all'account cloud Amazon dell'azienda e che "non c'è stato alcun accesso non autorizzato a dati o sistemi in qualsiasi momento".
Tutti e tre i principali fornitori hanno rifiutato di discutere le loro finanze e hanno insistito sul fatto che i problemi di sicurezza sono esagerati. ES&S, ad esempio, ha affermato in una e-mail che "qualsiasi affermazione sulla resistenza all'input sulla sicurezza è semplicemente falsa" e ha sostenuto che per decenni la società "ha avuto successo nel proteggere il processo di voto".
MURATURA IN PIETRA SULLA SICUREZZA
In questo 13 marzo 2018, foto, gli elettori hanno espresso il loro voto alle elezioni primarie dell'Illinois nel centro di Chicago. Un errore di sicurezza lo scorso anno da parte del fornitore di sistemi di voto Election Systems &Software ha esposto pubblicamente i dati sugli 1,8 milioni di elettori di Chicago per mesi online. L'intervallo ha fornito un raro momento di responsabilità pubblica per un'azienda strettamente tenuta che è un tutore in prima linea della sicurezza elettorale degli Stati Uniti. (Foto AP/Kiichiro Sato)
Molti sistemi di voto in uso oggi negli oltre 10, 000 giurisdizioni elettorali degli Stati Uniti sono soggette a problemi di sicurezza. Gli scienziati informatici accademici hanno iniziato a hackerarli con facilità più di dieci anni fa, e non è cambiato molto.
Gli hacker potrebbero teoricamente provocare il caos in più fasi del processo elettorale. Potrebbero alterare o cancellare elenchi di elettori registrati per seminare confusione, introdurre segretamente un software per capovolgere i voti, scramble i sistemi di tabulazione o metti offline i siti che riportano i risultati.
Non ci sono prove che tutto questo sia successo, almeno non ancora.
I fornitori affermano che non ci sono indicazioni che gli hacker siano penetrati nei loro sistemi. Ma le autorità riconoscono che alcune marachelle elettorali o trappole malware potrebbero essere passate inosservate.
Il 13 luglio Il consigliere speciale degli Stati Uniti Robert Mueller ha incriminato 12 agenti dell'intelligence militare russa per, tra l'altro, infiltrazione nei sistemi elettorali statali e locali. Alti funzionari dell'intelligence degli Stati Uniti affermano che il Cremlino è ben posizionato per scuotere la fiducia nell'integrità delle elezioni durante il midterm di quest'anno, dovrebbe scegliere di farlo.
I fornitori di elezioni hanno resistito a lungo ai test di vulnerabilità a tempo indeterminato da parte di indipendenti, hacker etici:un processo che mira a identificare i punti deboli che un avversario potrebbe sfruttare. Tali test sono ora standard per il Pentagono e le principali banche.
In questo 14 luglio, 2018, foto, Sistemi e software elettorali (ES&S), CEO Tom Burt, Giusto, guarda alcune delle attrezzature elettorali dell'azienda nell'area di esposizione del venditore a una convention della National Association of Secretaries of State a Philadelphia. Gli esperti affermano che i principali fornitori di elezioni hanno da tempo lesinato sulla sicurezza a favore della comodità e utilizzano sistemi proprietari, rendendo più difficile rilevare le ingerenze elettorali. (Foto AP/Mel Evans)
Mentre i principali fornitori affermano di aver intensificato il loro gioco di sicurezza informatica, gli esperti sono scettici.
"L'industria continua a ostruire il problema, " ha detto Bruce McConnell, uno zar della sicurezza informatica del Department of Homeland durante l'amministrazione Obama. I dirigenti dei fornitori di elezioni rilasciano regolarmente assicurazioni, Egli ha detto, ma non incoraggiare gli estranei a ispezionare il loro codice o offrire "ricompensa di bug" ai ricercatori per cercare difetti nel loro software.
Sen. Ron Wyden, un democratico dell'Oregon, ha a lungo criticato quello che definisce il "grave sottoinvestimento nella sicurezza informatica" del settore. In un'udienza di luglio, ha accusato le società di "abbassarsi, ondeggiando e intrecciando" su una serie di domande di sicurezza di base che aveva chiesto loro.
ES&S ha dichiarato all'Associated Press che consente l'indipendenza, test a tempo indeterminato dei propri sistemi aziendali e dei propri prodotti. Ma la società non ha voluto nominare i tester e ha rifiutato di fornire la documentazione del test o dei suoi risultati.
Vicepresidente degli affari del governo del Dominio, Kay Stimson, ha affermato che la sua azienda ha anche chiesto a terze parti indipendenti di sondare i suoi sistemi, ma non ha voluto nominarli o condividere i dettagli. Hart InterCivic, il venditore n. 3, ha affermato di aver fatto lo stesso utilizzando l'azienda canadese di sicurezza informatica Bulletproof, ma non discuterei i risultati.
ES&S ha assunto il suo primo Chief Information Security Officer ad aprile. Nessuno dei tre grandi fornitori direbbe quanti esperti di sicurezza informatica impiegano. Stimson ha affermato che "la riservatezza e le protezioni di sicurezza dei dipendenti superano qualsiasi potenziale divulgazione".
In questo 11 luglio 2018, foto, Sen. Ron Wyden, D-Ore., parla a un'audizione del Senato sulla sicurezza elettorale a Washington. Wyden si è lamentato del fatto che i venditori di sistemi elettorali "vogliono essere i guardiani della nostra democrazia, ma sembrano completamente disinteressati a salvaguardarla". Due dei primi tre venditori di elezioni hanno rifiutato l'invito a comparire all'udienza. (Foto AP/Cliff Owen)
SOFTWARE SLOPPY E VULNERABILITÀ
Gli esperti affermano che potrebbero prendere più seriamente le garanzie di sicurezza del settore se non fosse per le abbondanti prove di uno sviluppo software sciatto, una delle principali fonti di vulnerabilità.
Durante le elezioni primarie di quest'anno, La tecnologia ES&S ha fallito su più fronti.
Nella contea di Los Angeles, più di 118, 000 nomi sono stati lasciati fuori dalle liste elettorali stampate. Un successivo audit esterno ha accusato l'integrazione del sistema sciatta da parte di una sussidiaria di ES&S durante un'unione di database.
Nessun controllo di questo tipo è stato effettuato nella contea più popolosa del Kansas dopo che un diverso tipo di errore nei sistemi ES&S appena installati ha ritardato il conteggio dei voti di 13 ore a causa della scansione del caricamento dei dati dalle chiavette USB.
L'informatico dell'Università dell'Iowa Douglas Jones ha affermato che entrambi gli incidenti rivelano una programmazione mediocre e test pre-elettorali insufficienti. E i fornitori di apparecchiature per il voto non sono mai sembrati attenti alla sicurezza "in nessuna fase della loro progettazione, " Egli ha detto.
In questo 14 luglio, foto 2018, un dipendente di Election Systems &Software (ES&S) mostra le apparecchiature dell'azienda nell'area espositiva dei fornitori di una convention della National Association of Secretaries of States a Philadelphia. Gli esperti affermano che le tecnologie proprietarie e insicure – che hanno a lungo sottolineato la convenienza rispetto alla sicurezza – stanno ostacolando gli sforzi federali per rendere i sistemi di voto statunitensi più difficili da hackerare per i russi o chiunque altro. (Foto AP/Mel Evans)
Ad esempio, leader del settore ES&S vende sistemi di tabulazione dei voti dotati di modem cellulari, una caratteristica che gli esperti dicono che hacker sofisticati potrebbero sfruttare per manomettere il conteggio dei voti. Alcuni stati vietano tali connessioni wireless; nell'Alabama, lo stato ha dovuto costringere ES&S a rimuoverli dalle macchine a gennaio.
"Sembrava che ci fosse molta più enfasi su quanto potessero essere fantastiche le macchine rispetto a quanto ci fossero prove reali che fossero sicure, "ha detto John Bennett, il vice capo di gabinetto del segretario di stato dell'Alabama.
La California conduce alcuni dei più rigorosi controlli sui sistemi di voto negli Stati Uniti e ha ripetutamente riscontrato problemi cronici con i sistemi di voto più popolari. L'anno scorso, un appaltatore della sicurezza statale ha rilevato molteplici vulnerabilità nel sistema Electionware di ES&S che potrebbero, ad esempio, consentire a un intruso di cancellare tutti i voti registrati al termine della votazione.
Nel 2014, lo stesso contraente, Jacob Stauffer della società di sicurezza Coherent Cyber, trovato "più vulnerabilità critiche" in Democracy Suite di Dominion che potrebbero consentire a hacker esperti di compromettere l'esito di un'elezione.
"Questi sistemi sono il mostro di Frankenstein, essenzialmente, ", ha detto Stauffer.
Il Dipartimento federale della sicurezza interna ha iniziato a offrire test di vulnerabilità riservati ai fornitori durante l'estate. Ma solo un venditore si è sottoposto a tale test, ha detto un funzionario dell'agenzia che ha parlato a condizione di anonimato perché il funzionario non era autorizzato a discutere pubblicamente della questione.
Questo 14 luglio La foto del 2018 mostra i tappetini per il mouse del computer con il logo Secure the Vote su di essi, visualizzato su un tavolo presso il venditore Election Systems &Software (ES&S) a una convention dei segretari di stato di stato a Filadelfia. (Foto AP/Mel Evans)
INNOVAZIONE STACCATA
Più concorrenza potrebbe aiutare, ma le barriere del settore per i fornitori più piccoli sono "assolutamente enormi, " ha detto Larry Moore, presidente dell'emergente Clear Ballot. Il suo sistema di voto verificabile ha impiegato due anni e mezzo per ottenere la certificazione federale al costo di $ 1 milione.
Le startup hanno difficoltà a rivoluzionare un settore i cui principali attori fanno molto affidamento su tecnologie proprietarie. ES&S e altri fornitori li hanno custoditi gelosamente in tribunale e hanno anche scatenato avvocati contro i funzionari elettorali che acquistano prodotti della concorrenza.
In ottobre, ES&S ha citato in giudizio la Contea di Cook, Illinois, cercando di annullare i suoi 30 milioni di dollari, Contratto di 10 anni con un concorrente. Di recente ha anche minacciato la Louisiana e la contea di Douglas, Kansas, con cause legali per la scelta di altri fornitori.
Il direttore delle elezioni della contea di Cook, Noah Praetz, ha affermato che fare causa in difesa della quota di mercato non fa altro che raffreddare la concorrenza in un settore con margini "orribilmente bassi", soprattutto considerando i finanziamenti governativi limitati per le attrezzature elettorali.
"Il mercato non funziona molto bene in termini di innovazione, " Egli ha detto.
Questo 18 luglio 2018, la foto mostra un magazzino nel nord del Cantone, Ohio, dove le macchine per il voto AccuVote TSX usate in precedenza acquistate da una contea dell'Ohio sono vendute da un riciclatore di dispositivi elettronici per meno di $ 100 l'una. L'antiquato, macchine vulnerabili, ancora in uso in tutta la nazione, sono un retaggio di un'industria che ha a lungo sottolineato la convenienza rispetto al tipo di sicurezza richiesto dagli esperti per proteggere i sistemi elettorali della nazione da hacker sofisticati. (Foto AP/Frank Bajak)
VIGILANZA LIMITATA
Le elezioni sono gestite dagli stati, la cui supervisione sui fornitori varia. California, New York e Colorado sono tra gli stati che tengono d'occhio i venditori, ma molti altri hanno rapporti più intimi con loro.
E i venditori possono essere recalcitranti. Nel 2017, ad esempio, Hart InterCivic ha rifiutato di fornire alla Virginia una macchina per il voto touchscreen e-Slate senza carta per i test, disse Edgardo Cortes, poi il commissario statale per le elezioni.
Nel midterm di quest'anno, come nelle elezioni del 2016, circa 1 elettore su 5 utilizzerà tali macchine elettroniche. I loro conteggi non possono essere verificati perché non producono documenti cartacei.
Cortes ha deciso di decertificare tutti questi sistemi. Se qualcuno ha cercato di entrare e alterare i voti, ha concluso, "non c'era davvero modo per noi di dire se fosse successo." Vicepresidente delle operazioni di Hart InterCivic, Peter Lichtenheld, non ha contestato il resoconto di Cortes nella testimonianza del Senato di luglio, ma ha detto che i suoi clienti in Virginia si stavano già spostando su macchine più recenti.
A livello federale, nessuna autorità accredita i venditori di elezioni o controlla loro o i loro subappaltatori. Nessuna legge federale impone loro di segnalare violazioni della sicurezza o di eseguire controlli sui precedenti di dipendenti o subappaltatori.
In questo 8 novembre, 2016, foto d'archivio, i residenti del 33° rione di Chicago segnano il loro voto nella sala da biliardo Marie's Golden Cue. Un errore di sicurezza lo scorso anno da parte del fornitore di sistemi di voto Election Systems &Software ha esposto pubblicamente i dati sugli 1,8 milioni di elettori di Chicago per mesi online. L'intervallo ha fornito un raro momento di responsabilità pubblica per un'azienda strettamente tenuta che è un tutore in prima linea della sicurezza elettorale degli Stati Uniti. (Foto AP/Charles Rex Arbogast, File)
I fornitori di elezioni non devono nemmeno essere società statunitensi. Dominion era di proprietà canadese fino a luglio, quando una società di private equity di New York ha acquistato una partecipazione di controllo.
La supervisione federale è limitata alla poco conosciuta Commissione di assistenza elettorale, un'agenzia di 30 dipendenti che certifica le apparecchiature di voto ma le cui raccomandazioni sono strettamente volontarie. Non ha potere di supervisione e non può sanzionare i produttori per eventuali carenze.
"Non possiamo regolamentare, Il presidente dell'EAC Thomas Hicks ha dichiarato durante un'audizione al Congresso dell'11 luglio quando è emersa la domanda. anche se all'inizio del 2017 ha designato i sistemi elettorali della nazione come "infrastrutture critiche".
© 2018 The Associated Press. Tutti i diritti riservati.
