NIST tìm ra vấn đề an ninh với bỏ phiếu điện tử ở nước ngoài

Những nỗ lực cho phép các thành viên của quân đội Mỹ và các cử tri ở nước ngoài bỏ phiếu qua e-mail hoặc trên Internet phải đối mặt với các vấn đề an ninh nghiêm trọng, theo một báo cáo mới của chính phủ Hoa Kỳ. các vấn đề của chính họ, từ Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST), nói rằng việc truyền tải điện tử các lá phiếu đã hoàn thành, bao gồm cả điện thoại và fax, "mang lại những thách thức quan trọng cho tính toàn vẹn của cuộc bầu cử."

Hoa Kỳ Bộ Quốc phòng đã thử nghiệm bỏ phiếu trên Internet vào năm 2003, nhưng đã bỏ một chương trình thí điểm vào năm tới sau khi các vấn đề an ninh nổi lên. Một số tiểu bang đã thử nghiệm bỏ phiếu trên Internet, bao gồm cả Florida và Alabama trong năm 2008, được thúc đẩy bởi những lo ngại về lá phiếu thư quân sự không được chuyển giao kịp thời để được tính.

Đạo luật bầu cử Mỹ năm 2002 (HAVA) yêu cầu bầu cử Hoa Kỳ Ủy ban hỗ trợ (EAC) để nghiên cứu các phương pháp bỏ phiếu ở nước ngoài, và báo cáo của NIST là một phần của nỗ lực đó. "An ninh CNTT là một khía cạnh quan trọng của vấn đề này, vì vậy EAC đã yêu cầu NIST tiến hành một nghiên cứu để khám phá các mối đe dọa an ninh liên quan đến các công nghệ điện tử tiềm năng để bỏ phiếu ở nước ngoài và xác định các cách có thể giảm thiểu các mối đe dọa". Tác giả của báo cáo.

Báo cáo của NIST cho biết tương đối an toàn khi truyền các lá phiếu không được thực hiện bằng fax hoặc e-mail hoặc đưa chúng lên Web, nhưng gửi phiếu bầu đầy đủ bằng những phương pháp đó có vấn đề về bảo mật hoặc riêng tư. > Bình chọn qua điện thoại sẽ yêu cầu mã PIN và mã PIN có thể bị mất hoặc bị đánh cắp, báo cáo cho biết. Ngoài ra, các cuộc gọi điện thoại có thể được khai thác, đặc biệt là các cuộc gọi VoIP (voice over Internet Protocol), báo cáo nói.

Truyền fax có thể tương đối an toàn, nhưng phiếu bầu fax có thể không được giám sát "trong vài giờ". "Các máy fax có thể sẽ bị bỏ lại trong một căn phòng tại phòng bầu cử nhận fax suốt cả ngày", bản báo cáo cho biết. "Điều này cho phép những kẻ tấn công sẽ có thời gian để xem thông tin cá nhân nhạy cảm hoặc phá hủy các mẫu đăng ký hợp lệ."

E-mail có thể bị chặn hoặc chặn, báo cáo cho biết thêm. "E-mail không cung cấp bất kỳ đảm bảo rằng người nhận dự định sẽ nhận được thông báo", báo cáo cho biết. "Một cuộc tấn công vào các máy chủ DNS [Domain Name System] có thể định tuyến e-mail đến một bên tấn công. Điều này sẽ không chỉ dẫn đến việc bỏ quyền bỏ phiếu, mà còn làm mất thông tin cử tri nhạy cảm."

Trong khi không có báo cáo nào Một cuộc tấn công thành công, một lỗ hổng gần đây đã được phát hiện trong các máy chủ DNS có thể đã được sử dụng để tạo ra một cuộc tấn công như vậy, báo cáo cho biết.

Ngoài ra còn có một số cuộc tấn công ít phức tạp hơn có thể làm gián đoạn bình chọn e-mail nói. "Một cuộc tấn công từ chối dịch vụ có thể làm ngập lụt các quan chức bầu cử với một số lượng lớn các thư điện tử gian lận", báo cáo cho biết. "Số lượng e-mail có thể nhanh chóng áp đảo máy chủ e-mail của chính thức bầu cử, ngăn chặn các hình thức đăng ký hợp pháp từ việc tiếp cận các quan chức bầu cử."

Bỏ phiếu trên nền web có thể sử dụng mã hóa để bảo vệ chống lại rò rỉ dữ liệu, nhưng từ chối dịch vụ các cuộc tấn công được cung cấp bởi botnet vẫn là một vấn đề tiềm ẩn. "Một cuộc tấn công từ chối dịch vụ thành công sẽ áp đảo máy chủ web bầu cử với lưu lượng truy cập, ngăn chặn các cử tri hợp pháp gửi tài liệu đăng ký và phiếu bầu", báo cáo cho biết. "Rất khó để bảo vệ chống lại các cuộc tấn công từ chối dịch vụ từ kẻ tấn công với một lượng lớn tài nguyên."

Một số tiểu bang đã phân phối lá phiếu bằng e-mail hoặc fax, và báo cáo của NIST đề nghị Ủy ban Hỗ trợ Bầu cử xây dựng các hướng dẫn cho làm như vậy. Tuy nhiên, nó cung cấp ít lời khuyên cho các lựa chọn thay thế cho thư truyền thống để trả lại lá phiếu, tuy nhiên, cần phải theo dõi những cải tiến về an ninh.

"Fax, e-mail và hệ thống trên nền web có thể phân phát phiếu bầu nhanh chóng và đáng tin cậy cho cử tri, giảm đáng kể thời gian phân phát phiếu bầu bằng cử tri gửi thư cho cử tri và cải thiện … kinh nghiệm bỏ phiếu cho công dân ở nước ngoài". "Ngoài ra, yêu cầu đăng ký và phiếu bầu cũng có thể tận dụng các phương pháp phân phối này, nhưng có nhiều mối đe dọa hơn khi xử lý thông tin cá nhân từ cử tri. Trả lại phiếu bầu vẫn là một vấn đề khó giải quyết hơn.

Vai trò của NIST trong hệ thống bầu cử là "hoàn toàn là kỹ thuật", đồng tác giả báo cáo Andrew Regenscheid nói. "NIST không đưa ra hoặc đưa ra các quyết định chính sách", ông nói. "Điều này phụ thuộc vào các viên chức bầu cử của tiểu bang và địa phương để quyết định mức độ rủi ro mà họ sẵn lòng giả định, dựa trên các thủ tục và kiểm soát mà họ đưa ra."