Amerikanska myndigheter rapporterade efter valet 2016 att valinfrastrukturen var utsatt för attacker. På samma gång som dessa rapporter väckt oro har representanter för amerikanska myndigheter i vittnesmål sagt att infrastrukturen visserligen inte är helt säker, men att valsystemet är alltför decentraliserat och distribuerat för att en attack skulle kunna påverka valet. Vissa forskare hävdar dock att detta antagande är felaktigt.
I ett examensarbete utfört av Dennis Nilsson Sjöström vid fysikinstitutionen på Umeå universitet, idag säkerhetskonsult på Simovits Consulting, presenteras en matematisk modell för hur resultatet i ett amerikanskt presidentval skulle kunna manipuleras genom att attackera de röstningsmaskiner som används i en majoritet av de amerikanska vallokalerna. Examensarbetet publicerades i förra veckan på International Conference on Cyber Warfare and Security (ICCWS) i Kapstaden, Sydafrika.
Modellen bygger på data från offentlig information från väljarundersökningar i de amerikanska delstaterna och information om vilka röstningsmaskiner delstaterna använder. Detta antas vara den enda information förövarna har att tillgå.
Modellen bygger även på antagandet att för att kunna vinna i en delstat måste antalet väljare som inte röstar på förövarnas kandidat, och använder röstningsmaskiner, vara större än antalet marginalväljare. Ett tredje antagande är att väljarundersökningarna stämmer överens med väljarnas preferenser på valdagen och att attackerna mot röstningsmaskinerna lyckas.
De amerikanska röstningsmaskinerna kan delas in i två kategorier – en kategori är så kallade DRE-maskiner (Direct-Recording Electronic) där rösterna samlas in digitalt genom knapptryckningar vid eller på en skärm. För att starta röstningen måste väljaren starta processen genom att ansluta eller stoppa in en autentiserings-enhet, till exempel ett smart kort, som autentiserar väljaren. Rösterna sparas sedan på ett löstagbart minneskort och summeras av maskinens mjukvara.
Alla röstningsmaskiner har brister
Den andra kategorin av röstningsmaskiner är optiska inläsningsmaskiner som läser in valsedlar där väljaren markerat sitt val, till exempel ett kryss i en ruta, på en valsedel av papper. Maskinen läser alltså in valsedlarna, summerar rösterna och sparar datat i sin minnesenhet och på ett löstagbart minneskort. Den stora fördelen med denna kategori av maskin är att även de fysiska valsedlarna sparas i maskinen, och dessa kan kontrollräknas i efterhand om man misstänker att något inte står rätt till.
Framförallt DRE-maskinerna är sårbara; detta har konstaterats mer än en gång, men optiska inläsningsmaskiner är knappast felfria de heller. Flera modeller av DRE-maskiner har genomgått säkerhetsrevisioner av källkoden och i samtliga fall har det visat sig att de har så allvarliga brister att de skulle kunna utnyttjas i en attack. Tillvägagångssätten är flera; förövare skulle kunna manipulera de löstagbara minneskorten, den bakomliggande mjukvaran i maskinen eller till och med de autentiseringsenheter som väljarna använder, för att komma åt och manipulera maskinen.
För att kunna genomföra attacker måste förövarna ha ingående kunskaper om röstningsmaskiner och deras mjukvara, men även ingående kunskaper om det amerikanska valsystemet. För att en attack ska bli framgångsrik, det vill säga påverka valutgången, måste förövarna ha kunskap om i vilka delstater utgången står och väger (där det alltså krävs färre falska röster för att avgöra utgången) och vilka röstningsmaskiner de behöver infektera. Det i sin tur kräver kompetens för att hitta sårbarheter, bygga attacker och att anskaffa cybervapen som dag-noll-attacker.
– Röstningsmaskinerna förvaras mellan val i till exempel skolors källare eller lagerlokaler med dålig säkerhet. Mycket av det logiska skyddet bygger på ”security by obscurity”, det vill säga dålig transparens. Som ett exempel har den amerikanska hackerkonferensen Defcon, de senaste två åren ställt ut röstningsmaskiner från flera tillverkare för hackare att testa säkerheten på. De två åren Defcon har hållits har sårbarheter upptäcks i de flesta av maskinerna, säger Dennis Nilsson Sjöström. Mest sårbara är maskinerna vid konfigurationen innan ett val; konfigurationen sker många gånger via en usb-sticka.
Det krävs sex månader och 10 miljoner dollar
Dennis Nilsson Sjöström utgår från att en operation skulle ta sex månader att genomföra, och den tiden är även en viktigt del i kostnadsberäkningen eftersom en operation skulle medföra höga personalkostnader; de största kostnadsposterna är just kostnader för utforskning av sårbarheter, utveckling av attacker, test och leverans. I övrigt skulle operationens team behöva köpa in tio röstningsmaskiner med tillhörande mjukvara, samt hårdvara för att driva 200 virtuella maskiner. Sammanlagt landar kostnaden på minst tio miljoner dollar.
En viktig slutsats av Dennis Nilsson Sjöströms arbete är att det inte räcker att hacka enbart DRE-maskiner från en och samma tillverkare. Istället bör förövarna fokusera på tre olika modeller av optiska inläsningsmaskiner från tillverkaren Election System & Software (ESS), men det innebär också en högre risk för upptäckt att attackera optiska inläsningsmaskiner, och av den anledningen är det inte den bästa strategin.
Dock skulle det alltså räcka att lyckas med en attack mot endast en tillverkare av optiska inläsningsmaskiner och det som skulle tala för en attack mot de optiska inläsningsmaskinerna i just USA, är att omräkningen oftast görs med samma maskiner samt att processen att få till en omräkning av rösterna i USA är mycket krånglig.
– Angreppen skulle framförallt utgå mot den personal som förbereder maskinerna inför valet. Det skiftar mellan delstaterna och i vissa fall är det folk från leverantören av maskinerna och i andra fall folk som jobbar i valorganisationen som gör omprogrammeringen, säger Dennis Nilsson Sjöström.
– Angreppsvektorn vi använt är att man angriper själva tillverkaren av röstningsmaskinerna för att sedan se till att den koden som manipulerar maskinerna sprids ut till aktuella maskiner. Antalet maskiner har därför inte ingått i modellen, utan vi har utgått från att vi lyckats infektera specifika modeller.
Är elektronisk röstning en dålig idé från början till slut?
– Vid indikativa eller rådgivande val skulle elektronisk röstning kunna fungera, men för att säkra spårbarheten bör man kunna spara röstsedlar för att i efterhand kunna bekräfta resultatet. Ett val ska kunna ifrågasättas och vara transparent mot de som lagt sin röst. Ett annat problem, till exempel med att rösta elektroniskt på distans, är att de röstberättigade kan utsättas för press från sin närmaste omgivning.
Dennis Nilsson Sjöströms examensarbete finns att läsa här.
Läs också:
Trump beordrar myndigheter att satsa hårdare på AI
Rapport: EU:s diplomat-nätverk hackat av kinesiska militären
