[新聞] 專家曝光Dominion投票系統多項安全漏洞
1.新聞網址︰
※ 網址超過一行 請縮網址 ※
https://tinyurl.com/y666mr9c
2.新聞來源︰
大紀元
3.完整新聞標題
※ 請完整轉載標題 請勿修改與編排 ※
專家曝光Dominion投票系統多項安全漏洞
4.完整新聞內容︰
※ 請完整轉載原文 請勿修改內文與編排 ※
【大紀元2020年11月13日訊】(英文大紀元定期撰稿人Jeff Carlson撰文/陳霆編譯)
本月的總統大選中使用Dominion Voting Systems軟件和設備,一直是許多爭議的源頭。
今年稍早,一名曾在喬治亞州全州初選擔任投票觀察員的電子投票安全專家,做出了一
項法律聲明,更凸顯出該系統有許多的重大安全問題。
2019年7月,喬治亞州州務卿布拉德‧拉芬斯珀格(Brad Raffensperger)宣布,該州將
於從Dominion Voting Systems公司購買價值1.06億美元的選舉系統。然而,在一項從2
017年開始的訴訟中,批評者認為,Dominion系統與它所取代的舊系統,有著許多相同的
安全漏洞。
就在總統大選前幾週,美國地區法官艾米·托滕伯格(Amy Totenberg)在10月11日的法
庭命令中,承認Dominion投票系統存在著相關隱憂。
她寫道,該案件提出了「嚴重的系統安全漏洞和操作問題,可能會使原告和其他選民被
剝奪投出有效選票,並加以準確計算的基本權利。」
「法院的命令已深入研究了新的BMD投票系統(ballot-marking device,簡稱BMD)及其
實施方式所帶來的真實風險。在目前的情況下,這些風險既不是假設的,也不是遙遠的
。」托滕伯格法官在命令中寫道。
(譯註:BMD投票系統又稱填票機,選民可在觸摸屏幕上勾畫,然後列印出可以掃描的選
票,對殘障人士尤為重要。)
儘管法院有疑慮,但托滕伯格還是反對在總統大選前更換Dominion系統,並指出:「在
這種情況下,實施這樣一個突然的系統性變化,勢必引起選民的混亂,並在某種程度上
干擾大選。」
選舉系統異常 引發的諸多擔憂
在8月24日的一份聲明中,知名的電子投票安全專家哈里·赫斯蒂(Harri Hursti)描述
了他在6月9日喬治亞州全州初選和8月11日復選(runoff election)期間,親身所見的
問題。
赫斯蒂是「根據『善治聯盟』(Coalition for Good Governance,喬州關注於選舉權的
組織)的第34條要求,被授權以專家身分,在某些投票站和富爾頓縣選舉準備中心進行
檢查和觀察」。
赫斯蒂將他的發現總結如下:
1. 目前採用的掃描和制表軟件設置,在判讀手工標記的選票時,很可能致使某些選票,
有意地不被計算。
2. 富爾頓縣投票系統的運行方式,讓安全風險提升到了極高的水平。
3. 選民沒有檢查填票機打印的選票,然而經過統計,填票機打印出的結果並不可靠,這
將導致選票無法採計。
在喬治亞州亞特蘭大市的桃樹基督教堂觀察時,赫斯蒂指出,「掃描儀接受或拒絕一張
選票的時間會改變。」
赫斯蒂表示,任何專用系統都不應出現可變延遲(variable delays)。他指出:「我們
總是對任何意外的可變延遲持懷疑態度,因為這是許多問題的常見徵兆,包括執行了未
經授權代碼的可能性。」
赫斯蒂在不同地點觀察到不同的處理時間,進一步引起了人們的擔憂,因為相同的設備
「在執行相同的掃描選票任務時,不應有不同的表現」。
赫斯蒂在其宣誓聲明(sworn statement)中表示,他是在Fanplex投票點的兩位投票監
督員要求下到場,他們觀察到了某些無法解釋的異常現象。赫斯蒂到場後觀察到,「不
知出於什麼原因,在多台機器上,當選民試圖投票時,填票機有時會打印出『測試用』
的選票」。
正如赫斯蒂所指出的,「在選舉日期間,除選民正在投票的選票外,填票機不應處理或
打印任何其它選票。」他表示,這說明填票機系統的「組態設定錯誤」(wrong config
uration)。
這個問題也引起了他心中的其它疑問:
1. 為什麼設備打印了測試選票?
2. 設備為何在選舉日之中改變行為?
3. 錯誤的組態設定,是否源於電子投票簿系統?
4. 對打印出來的選票和QR碼的可靠性有何影響?
投票設備的操作全盤外包
在2020年8月11日復選(runoff election)期間,赫斯蒂在富爾頓縣選舉準備中心,觀
察「從各選區存儲設備,上傳到Dominion選舉管理系統(EMS)服務器」的情況。在這次
觀察中,赫斯蒂注意到,「系統問題反複出現,操作系統的Dominion技術人員在上傳過
程中相當吃力」。
赫斯蒂還指出,似乎只有Dominion公司的人員了解並能進入Dominion的服務器。正如赫
斯蒂在聲明中所說:「在我與吉爾斯翠普(Derrick Gilstrap)和其他富爾頓縣選舉部
的電子程式控制(EPC)人員的談話中,他們自稱對EMS服務器的操作了解並不多。」
赫斯蒂指出,這種將投票設備的操作全盤外包給供應商的做法,「在我的經驗中是極不
尋常的,從安全和利益衝突的角度來看,是令人嚴重擔憂的」。赫斯蒂表示,Dominion
的現場操作和訪問權限是一個「高風險因素」。
他還指出,運行Dominion服務器的戴爾(Dell)電腦,似乎沒有進行「系統強化」(ha
rdened),即「通過減少表面的漏洞,來確保系統安全」的過程。赫斯蒂說,他認為「
EMS服務器在安裝前沒有經過強化處理,是不可接受的」。
一個重大缺陷:未刪除電腦遊戲等無關軟件
除了缺乏系統強化,赫斯蒂還注意到,喬治亞州投票系統中使用的電腦上,似乎有「家
庭或小企業的套裝軟件」。這引起了赫斯蒂的嚴重關切。
他說:「系統強化的首要步驟之一,是刪除所有不需要的軟件。刪除遊戲圖標、遊戲軟
件、安裝程序,以及所有其它在選舉過程中非必要軟件等,這是系統強化過程中的第一
步,也是最基本的步驟之一。」
「以我的專業意見,應立即對所有159個縣進行獨立調查,以確定全州的Dominion系統是
否也存在這一重大缺陷。」
除了上述套裝軟件外,赫斯蒂還發現其中一台電腦裡的圖標,來自2017年一款名為《夢
幻家園》(Homescapes)的電玩。赫斯蒂指出,這讓人懷疑「喬治亞州Dominion系統的
電腦是否都有相同的操作系統版本,或者說這款遊戲是如何在富爾頓縣的Dominion投票
系統中出現的」。
赫斯蒂還發現混合使用的新舊設備,由於缺乏更新也令人不安,可能帶有額外的安全風
險。
他說:「雖然這個Dominion投票系統是喬治亞州的新系統,但機架上電腦的Windows 10
操作系統已有4年沒有更新了,並且攜帶了大量眾所周知的公開漏洞。」
赫斯蒂指出,缺乏「系統強化」,即使是沒有連接到互聯網的電腦也會產生安全風險。
他觀察到,當記憶卡連接到服務器時,「是由操作系統自動裝載的。自動裝載時操作系
統會自動啟動,並與設備進行相互作用。」
赫斯蒂指出,富爾頓縣的EMS服務器的管理,似乎是一個「沒有正式流程的臨時性操作站
」。這一點在整個晚上從各個區域傳入存儲資訊的過程,顯得尤為明顯。
「這種操作自然容易出現人為錯誤」,赫斯蒂說,「我觀察到,工作人員在現場打電話
詢問是否所有儲存選票的記憶卡,都已從提前投票機送來進行處理,隨後又發現有更多
記憶卡,因明顯的人為錯誤而被忽略。」
他說:「後來,我又聽到一名技術員在現場打電話,詢問是否所有的卡都已送達。這清
楚地表明缺乏庫存管理,而良好的庫存管理,才可確保不會有惡意存儲設備,被插入電
腦之中。」
「作為回應,有人又交付了3張記憶卡。不到5分鐘後,我聽到一位縣工作人員說找到了
另外一張卡片,並將其交付進行處理。所有這些設備僅依憑印刷標籤來辨認,沒有與任
何形式的庫存清單進行比對。」
Dominion技術人員 擁有完整的系統訪問權限
更令人關切的是,Dominion公司人員似乎擁有「完整權限」進入電腦系統。赫斯蒂觀察
到Dominion的技術人員以「試誤」的方式排除錯誤,其中包括進入「電腦管理」(Comp
uter Management)應用程序,赫斯蒂認為,這表明其擁有完整的權限。
正如他在聲明中所說:「這意味著,沒有任何有意義的訪問分離和角色控制,來保護縣
的主要選舉服務器。這也大大放大了災難性的人為錯誤,和執行惡意程序的風險。」
在試圖解決各種現場問題的過程中,赫斯蒂指出,Dominion工作人員似乎從現場嘗試補
救,轉向了遠程故障排除。
「Dominion公司的工作人員走到服務器機架後面,進行手動操作,從我的位置無法觀察
到。之後,他們帶著個人筆記本電腦搬到了離選舉系統較遠的桌子上,並且停止嘗試用
不同的方法,來解決服務器的問題,也不再通過電話與他們的遠程工程師繼續交談。」
「在接下來的電話中,我無意間聽到,他們要求電話另一端的人檢查不同的東西,他們
到了一台電腦前,似乎在進行測試什麼,隨後用手機拍下電腦屏幕的照片,顯然是將其
發送到遠程位置。」
赫斯蒂表示,這「給人留下了深刻的印象,即故障排除工作的關鍵步驟,是通過遠程訪
問系統進行的。」
赫斯蒂還注意到,在他監控的Wi-Fi列表中,出現了一個「隱藏名稱的無線網路接點」。
這些對赫斯蒂來說,都是實質性的警訊。他指出:「如果事實上安排並允許遠程訪問服
務器,這對Dominion系統的安全性,將有嚴重影響。」
「遠程訪問,無論如何保護和組織,始終是一種安全風險,而且它是將控制權轉移到物
理邊界之外,並剝奪了任何監管活動的能力。」
喬治亞州宣布重新計票
2020年11月11日,喬治亞州州務卿拉芬斯珀格宣布,將對總統大選中該州的所有選票,
進行全面重新計票和審核。
「由於差距如此接近,這將需要在每個縣進行全面的人工重新計票。這將有助於建立信
心。這將是一次審計、重新清點和重新計票。」拉芬斯珀格說。
Dominion投票系統公司沒有回應置評請求。
作者簡介:
傑夫·卡爾森(Jeff Carlson)是英文《大紀元時報》的定期撰稿人,他是獲得CFA認證
的特許金融分析師,曾在高收益債券市場擔任分析師和投資組合經理人超過20年。他還
經營著網站TheMarketsWork.com,可以在Twitter上@themarketswork關注他。
責任編輯:葉紫微#
5.附註、心得、想法︰
※ 40字心得、備註 ※
1.將投票設備的操作全盤外包給供應商
2.系統沒強化(windows沒更新,裡面還灌遊戲
3.Dominion技術人員 擁有完整的系統訪問權限
4.發現隱藏名稱的無線網路接點
問題一大堆...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.142.173.6 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/HatePolitics/M.1605266468.A.597.html
噓
11/13 19:21,
3年前
, 1F
11/13 19:21, 1F
→
11/13 19:21,
3年前
, 2F
11/13 19:21, 2F
噓
11/13 19:21,
3年前
, 3F
11/13 19:21, 3F
推
11/13 19:22,
3年前
, 4F
11/13 19:22, 4F
噓
11/13 19:23,
3年前
, 5F
11/13 19:23, 5F
→
11/13 19:23,
3年前
, 6F
11/13 19:23, 6F
→
11/13 19:23,
3年前
, 7F
11/13 19:23, 7F
→
11/13 19:24,
3年前
, 8F
11/13 19:24, 8F
推
11/13 19:24,
3年前
, 9F
11/13 19:24, 9F
→
11/13 19:25,
3年前
, 10F
11/13 19:25, 10F
推
11/13 19:27,
3年前
, 11F
11/13 19:27, 11F
→
11/13 19:27,
3年前
, 12F
11/13 19:27, 12F
→
11/13 19:27,
3年前
, 13F
11/13 19:27, 13F
→
11/13 19:27,
3年前
, 14F
11/13 19:27, 14F
→
11/13 19:27,
3年前
, 15F
11/13 19:27, 15F
推
11/13 19:28,
3年前
, 16F
11/13 19:28, 16F
推
11/13 19:28,
3年前
, 17F
11/13 19:28, 17F
→
11/13 19:28,
3年前
, 18F
11/13 19:28, 18F
→
11/13 19:28,
3年前
, 19F
11/13 19:28, 19F
→
11/13 19:28,
3年前
, 20F
11/13 19:28, 20F
→
11/13 19:28,
3年前
, 21F
11/13 19:28, 21F
→
11/13 19:28,
3年前
, 22F
11/13 19:28, 22F
推
11/13 19:30,
3年前
, 23F
11/13 19:30, 23F
→
11/13 19:31,
3年前
, 24F
11/13 19:31, 24F
→
11/13 19:31,
3年前
, 25F
11/13 19:31, 25F
推
11/13 19:31,
3年前
, 26F
11/13 19:31, 26F
→
11/13 19:32,
3年前
, 27F
11/13 19:32, 27F
→
11/13 19:32,
3年前
, 28F
11/13 19:32, 28F
→
11/13 19:32,
3年前
, 29F
11/13 19:32, 29F
→
11/13 19:32,
3年前
, 30F
11/13 19:32, 30F
推
11/13 19:33,
3年前
, 31F
11/13 19:33, 31F
→
11/13 19:33,
3年前
, 32F
11/13 19:33, 32F
→
11/13 19:33,
3年前
, 33F
11/13 19:33, 33F
→
11/13 19:33,
3年前
, 34F
11/13 19:33, 34F
→
11/13 19:33,
3年前
, 35F
11/13 19:33, 35F
→
11/13 19:33,
3年前
, 36F
11/13 19:33, 36F
→
11/13 19:33,
3年前
, 37F
11/13 19:33, 37F
→
11/13 19:34,
3年前
, 38F
11/13 19:34, 38F
→
11/13 19:34,
3年前
, 39F
11/13 19:34, 39F
→
11/13 19:34,
3年前
, 40F
11/13 19:34, 40F
→
11/13 19:34,
3年前
, 41F
11/13 19:34, 41F
推
11/13 19:34,
3年前
, 42F
11/13 19:34, 42F
→
11/13 19:34,
3年前
, 43F
11/13 19:34, 43F
→
11/13 19:35,
3年前
, 44F
11/13 19:35, 44F
→
11/13 19:35,
3年前
, 45F
11/13 19:35, 45F
→
11/13 19:35,
3年前
, 46F
11/13 19:35, 46F
→
11/13 19:35,
3年前
, 47F
11/13 19:35, 47F
→
11/13 19:36,
3年前
, 48F
11/13 19:36, 48F
→
11/13 19:37,
3年前
, 49F
11/13 19:37, 49F
→
11/13 19:39,
3年前
, 50F
11/13 19:39, 50F
→
11/13 19:46,
3年前
, 51F
11/13 19:46, 51F
推
11/13 20:02,
3年前
, 52F
11/13 20:02, 52F
→
11/13 20:15,
3年前
, 53F
11/13 20:15, 53F
→
11/13 20:15,
3年前
, 54F
11/13 20:15, 54F
推
11/13 21:28,
3年前
, 55F
11/13 21:28, 55F
推
11/13 21:30,
3年前
, 56F
11/13 21:30, 56F
推
11/13 21:35,
3年前
, 57F
11/13 21:35, 57F
→
11/13 22:06,
3年前
, 58F
11/13 22:06, 58F
→
11/13 22:06,
3年前
, 59F
11/13 22:06, 59F
推
11/14 00:19,
3年前
, 60F
11/14 00:19, 60F
→
11/14 00:19,
3年前
, 61F
11/14 00:19, 61F
→
11/14 00:56,
3年前
, 62F
11/14 00:56, 62F
推
11/14 03:46,
3年前
, 63F
11/14 03:46, 63F
→
11/14 03:46,
3年前
, 64F
11/14 03:46, 64F
→
11/14 03:46,
3年前
, 65F
11/14 03:46, 65F
→
11/14 03:47,
3年前
, 66F
11/14 03:47, 66F
→
11/14 03:48,
3年前
, 67F
11/14 03:48, 67F
→
11/14 03:48,
3年前
, 68F
11/14 03:48, 68F
→
11/14 19:05,
3年前
, 69F
11/14 19:05, 69F