for første gang i The otte år, Jeg har skrevet om ham, har Halderman noget positivt at sige om et valgsystem. Han er normalt en munter person, indtil samtalen bliver til cybertrusler mod demokrati, og så bliver han den fyr, der for tre år siden sad foran USA. “Jeg ved, at Amerikas stemmemaskiner er sårbare, fordi mine kolleger og jeg har hacket dem — gentagne gange — som en del af et årti med forskning, der studerer teknologien, der driver valg og lærer at gøre det stærkere.”
så når jeg spørger ham, hvor velforberedt svingstat Michigan er, når vores kalender kaster sig mod et præsidentvalg-midt i en pandemi-der indeholder en siddende, der allerede erklærer resultaterne plettet, støtter jeg mig til den slags dommedagsvurdering, der er sædvanlig fra University of Michigan ‘ s star computer security ekspert.
og så vridningen: “der sker mange positive ting i Michigan.”
Huh? Huh!
“staten har hidtil modstået trangen til at tillade fjernafstemning via e-mail,” siger Halderman, 39, via telefon fra sine forældres hjem i forstæder Pennsylvania, hvor han og hans kone er hunkered ned midt i pandemien. “Det fortsætter med at tilbyde papirstemmer, og i modsætning til stater, der har implementeret stemmesedler for hver vælger, udfyldes langt størstedelen af stemmesedler i Michigan for hånd. Michigan tilføjede Online fraværende afstemningsansøgninger og vælgerregistrering — hvilket kræver omhyggelig sikkerhedspraksis for at implementere godt — men i modsætning til online afstemning, det er noget, vi nu har rimeligt sikkert.”Michigan vil sandsynligvis også foretage en særlig form for gennemgang efter valget kendt som en risikobegrænsende revision, eller RLA, af præsidentløbet i 2020, der er designet til at opdage enhver større uoverensstemmelse mellem papirstemmerne og det maskintællede tal, der kunne antyde udbredt svindel med stemmeskift. Halderman og andre har presset stater til at gøre dette i årevis, og nu, endelig, Michigan er en af otte stater med planer for en eller anden form for RLAs, ifølge National Conference of State Legislatures. Fire andre stater, herunder Ohio, har gjort RLAs valgfri.
måske burde det ikke være så overraskende, at Halderman er relativt tilfreds — han har det, han kalder “advarsler”, som vi kommer til — med hvor Michigan er lige nu. Når alt kommer til alt udnævnte udenrigsminister Jocelyn Benson ham i marts 2019 som medformand for hendes Valgsikkerhedskommission, et panel på 18 personer, der inkluderer valgembedsmænd og andre computerforskere. Gruppen skulle udsende en rapport i slutningen af sommeren; det blev forsinket fra tidligere på året af coronavirus-krisen, men kerneanbefalingerne inkluderer RLA, siger Benson-talsmand Jake Roll.Ingham County Clerk Barb Byrum, medlem af Kommissionen, siger, at møderne var en chance for cybersikkerhedseksperter som Halderman, der ofte skinner til medierne om problemer, de observerer, for at tale direkte med valgembedsmænd, der faktisk har ansvaret for at sikre afstemningen. Tit, hun siger, Halderman og andre som ham vil henlede offentlighedens opmærksomhed på sikkerhedsforfald baseret på laboratorieforhold, hvor de har ubegrænset adgang til stemmemaskiner eller tabulatorer, men sådan adgang er ret sjælden. Det kan have hjulpet Halderman med at få en mere nøjagtig forståelse af risiciene, hun siger.
“Vi er i stand til at tale med hinanden, og mange af de forudfattede tanker om valg og hvor sikre eller usikre vi var eller vil være, blev debunked,” siger hun. “I stedet for at kaste sten talte vi med hinanden. Det er det første skridt til at gøre vores valg mere sikkert.”
motiveret af 2000
I datalogiske kredse var Halderman en rockstjerne længe før han gik til Capitol Hill for at skræmme bejesus ud af alle om det amerikanske demokratis skrøbelighed. Som Princeton-kandidatstuderende viste han og hans mentor, professor Ed Felten, hvor let det var at besejre Sony BMGs forsøg på at forhindre piratkopiering. ikke længe efter trak Felten den lovende unge forsker ind i et projekt, der fortsatte med at informere meget om Haldermans karriere: elektronisk stemmesikkerhed. Efter valgdebaklet i 2000 i Florida, med alle de hængende chads og forvirring om vælgerens hensigt med papirstemmer, gav Kongressen stater mere end 3 milliarder dollars til at modernisere deres afstemningsmaskiner. Dette førte til en bred skift til afstemning på berøringsskærmen og edb-tabeller, men få stater eller udstyrsleverandører ville give uafhængige forskere adgang til at vurdere, hvor sikre disse maskiner var. Så i 2006 kontaktede Felten en valginsider, der var villig til at give ham en almindeligt anvendt model.
dette oprettede en scene, der minder om en spionroman, med Halderman, derefter 25, der mødtes i en gyde med en mand i en trenchcoat, der rakte ham en stor lædermappe indeholdende smuglerafstemningsmaskinen. Et par måneder senere offentliggjorde holdet en video online, der viser, at maskinen blev hacket i et mock-valg, hvor Benedict Arnold vinder formandskabet på trods af, at vælgerne klart vælger George.
den slags frække antic blev et signaturelement i Haldermans bestræbelser på at advare offentligheden om teknologiske usikkerheder. I 2010 planlagde District of Columbia især at give beboerne mulighed for at stemme via internettet ved kommunalvalg. Online afstemning er for Halderman en særlig forfærdelig ide, og han har arbejdet imod ved at afsløre sikkerhedsfejl i systemer, der anvendes i Australien, Estland og Norge.for at demonstrere og teste distriktets system for offentligheden afholdt byen et mock-valg et par uger før valgdagen. Halderman-så i sit andet år på U — M-så dette som “en fantastisk mulighed for at teste angreb i et live system, men ikke et faktisk valg.”Hans hold brød let ind og ændrede stemmer uden detektion. Faktisk, den eneste grund til, at nogen bemærkede bruddet, var musikken på siden “tak for afstemning”: hans studerende havde indstillet systemet til at spille “sejrerne.”DC-embedsmænd droppede online-afstemningsideen og vendte aldrig tilbage til den. i Juni forsøgte Halderman at lade vælgerne hente stemmesedler, markere dem elektronisk og derefter e-maile dem til statens 7.juli primære. Stemmesedler, der bruges i vid udstrækning til at hjælpe mennesker med fysiske handicap med at udfylde deres stemmesedler derhjemme, kan manipuleres af programmer til at ændre stemmer, når stemmesedlerne overføres via internettet til deres destination. Dette problem forhindres normalt ved, at vælgeren udskriver stemmesedlen og sender den ind, men Delaver ønskede at lade folk springe over det trin.
efter Halderman co-skrev en Juni 7 papir beskriver systemets sårbarheder, delvare hit pause på e-mail mulighed. “Mit team og jeg lavede sikkerhedsanalysen, og dybest set er der ingen magi til det,” siger Halderman. “Det er bare en anden online portal til upload eller afsendelse af PDF-filer. Det betyder, at der ikke er nogen måde for valgembedsmænd, vælgeren eller det firma, der gør systemet til rent faktisk at være sikker på, at afstemningen, som vælgerne udfyldte, er den samme som valgembedsmænd modtager og tæller.”
Halderman er især tilfreds med vægten på papirstemmer i Michigan og fornyede bekymringer om, hvordan de styres. I 2016 ledede han en stor gruppe computerforskere, der opfordrede Demokraten Hillary Clinton, der afviste, og derefter Green Party — kandidat Jill Stein til at kræve beretninger om afgivne stemmer i flere stater for at sikre, at de rapporterede resultater — smalle sejre for Donald Trump-var nøjagtige. Det førte til ugers drama, der blødte forbi Thanksgiving og omfattede en fuld fortælling i Michigan og en delvis i Michigan, før statslige domstole stoppede det.i Michigan var fortællinger i mange Detroit-distrikter umulige, fordi afstemningsarbejdere ikke havde gemt papirstemmerne, og tabulatoren tæller korrekt. Siden da har lovgiveren givet matchende midler til jurisdiktioner, der søger at erstatte ældre og mere sårbare tabulatorer, og Bensons kontor har lagt vægt på uddannelse i, hvordan man håndterer valgmateriale efter valgdagen.
også den forventede RLA er en big deal. En risikobegrænsende revision er en proces, hvor et vist antal afstemninger vælges tilfældigt til en håndkontrol. Hvis resultaterne er inden for en lille fejlmargin af de resultater, der rapporteres af maskintællingen, bestemmer statistikere, at maskintællingen er nøjagtig, og der er ingen tegn på udbredt svig. Hvis resultaterne er uvirksomme, flere stemmesedler håndtælles tilfældigt, indtil enten resultaterne matcher maskinens resultat, eller indtil alle stemmesedler er håndtællet. En sådan revision er billigere og hurtigere end at gå direkte til en fuld fortælling.Michigan gennemførte sin første statslige RLA — den største nogensinde i USA — som et eksperiment efter præsidentens primærvalg den 10.Marts. Statsembedsmænd rullede terninger for at beslutte, hvilke 669 stemmesedler fra 277 jurisdiktioner der skulle udtages tilfældigt, og fandt ud af, at resultaterne “afspejlede statens officielle valgresultater inden for 1 procentpoint for de førende kandidater i hver primær, hvilket tyder på, at hvis en faktisk revision var blevet gennemført, ville resultatet af valget sandsynligvis være blevet bekræftet,” meddelte en pressemeddelelse. “En RLA til præsidentvalget i November ville være en vigtig yderligere kilde til legitimitet og integritet,” siger Halderman.
masser af risici forbliver
Dette er ikke at sige, at Halderman ikke er bekymret over Michigan. En øjenåbnende hændelse i juni 2019 er en vigtig årsag.
min boligejerforening holdt sit medlemsmøde i den overordnede bymødesal, hvor chokerende byens stemmetabulatorer sad ubeskyttet bag på rummet. Føler en stor sikkerhedsrisiko, jeg mailede Halderman, og 15 minutter senere, han og hans kandidatstuderende kom forbi for at tage billeder. Ingen rørte ved maskinerne, men Halderman siger, at en angriber let kunne have inficeret en af tabulatorerne med en uopdagelig stemmeændrende virus. Hvad mere er, da disse tabulatorer gik online for at overføre stemmetællingerne til amtet, hvis de var blevet hacket, kunne en virus være kommet ind i det landsdækkende system og derefter statssystemet, siger han.”dette udstyr skal opbevares sikkert mellem valget, og hvis det ikke er tilfældet, ville det være meget lettere for en angriber at have den slags fysisk adgang til at manipulere med programmeringen inde i maskinen,” siger Halderman. “Selvfølgelig gjorde vi det ikke. men hvis de studerende, jeg bragte med mig, og jeg var kriminelle angribere, kunne vi have omprogrammeret disse maskiner, så de ville snyde i efterfølgende løb. Det ville være meget, meget vanskeligt for valgembedsmænd at fortælle, at det var sket.”
ingen fra overlegen by returnerede opkald til kommentar.hændelsen afspejler også, hvorfor Halderman ikke er helt rolig med Michigans afstemning. Statens valgsystem er så decentraliseret, at frontlinjeforsvaret for demokrati overlades til bymedarbejdere, der ofte mangler fantasi til at forstå, hvordan en mangelfuld tilgang på deres kontor kan underminere en hel nations tillid. Der er ofte en “stor afbrydelse mellem valgembedsmænds erkendelse af, at valg står over for cybersikkerhedsrisici og deres egne vurderinger af deres egne lokale jurisdiktioners sikkerhed,” siger Halderman.
Halderman er glad for, at valgsikkerhed endelig tages mere alvorligt, skønt han og andre er urolige over præsident Trumps gentagne og falske påstande om, at mail-in-afstemninger “er meget farlige for dette land på grund af snydere.”Mens Halderman bemærker, at” en stor del af alle dokumenterede tilfælde af valgsvindel, der retsforfølges i USA, har at gøre med fraværende stemmesedler, ” siger han, at det skyldes, at disse angreb er usædvanligt lette at opdage og folie.
er enig: “Det er ikke kun et spørgsmål om, at du skal have adgang til en persons mail og alt det, men du skal have adgang til deres underskrift; du skal kunne kopiere den korrekt. Risikoen for, at nogen ville tage for at gøre dette og vanskeligheden, som de skulle underholde for at gøre det i enhver skala for at gøre nogen forskel i et stort valg, går det ikke rigtig ud. Derfor er det så sjældent forsøgt.”
det større problem med afstemning pr. mail, Halderman og Byrum er enige om, er, at valgembedsmænd måske ikke er parat til at håndtere den massive stigning i fraværende stemmesedler, der forventes i år. Byrum og andre har opfordret Michigan — lovgiveren til at tillade amtsfunktionærer at behandle afstemninger — det vil sige tage dem ud af deres konvolutter, matche underskrifterne og forberede dem til tabulatorerne-før valgdagen.
“hvis lovgiveren ikke handler, bliver det måske ikke en sen aften, men en sen morgen efter og måske en sen eftermiddag efter,” siger Byrum. “Frø af tvivl kan let sås, jo længere tid det tager resultaterne at komme ud.”
det er præcis, hvad Halderman har brugt en karriere på at bekymre sig om. Mens han mener, at Michiganders kan have tillid til, at deres valgstemmer vil gå til den rigtige præsidentkandidat, bekymrer han sig også.
” vores valgsystemer er stadig stort set ikke konstrueret til at fremlægge bevis for, at folk kan undersøge for at få tillid til resultaterne,” siger han. “Det vil sandsynligvis være en ret støjende kamp for offentlighedens tillid i November.”