NIST מציאת בעיות אבטחה בהצבעה אלקטרונית בחו"ל

המאמצים לאפשר לחברי צבא ארה"ב ולמצביעים אחרים בחו"ל להעביר את הקולות בדואר אלקטרוני או באינטרנט בפני בעיות אבטחה חמורות, על פי דו"ח חדש של ממשלת ארה"ב.

למרות ההצבעה בדואר רגיל (המכון הלאומי לתקנים וטכנולוגיה) (NIST), אומר כי שידור אלקטרוני של הקולות שהושלמו, כולל גם טלפון ופקס ", מציב אתגרים משמעותיים על שלמות הבחירות."

ארה"ב משרד ההגנה ניסוי עם ההצבעה באינטרנט בשנת 2003, אבל ירד תוכנית פיילוט בשנה הבאה לאחר חששות אבטחה פני השטח. קומץ מדינות התנסו בהצבעה באינטרנט, כולל פלורידה ואלבמה ב -2008, בעקבות חששות בנוגע להצבעה של הודעות דואר צבאיות שלא נמסרו בזמן.

חוק הצבעת אמריקה לשנת 2002 (HAVA) דורש את הבחירות בארה"ב ועדת סיוע (EAC) כדי ללמוד שיטות של הצבעה בחו"ל, ואת הדו"ח NIST הוא חלק ממאמץ זה. "אבטחת ה- IT היא היבט חשוב של הנושא הזה, ולכן EAC ביקש NIST לנהל מחקר זה יחקור את האיומים הביטחוניים הקשורים לטכנולוגיות אלקטרוניות פוטנציאל להצבעה בחו"ל, ולזהות דרכים אפשריות למתן את האיומים", אמר נלסון הייסטינגס, המחבר של הדו"ח.

הדו"ח NIST אומר שזה בטוח יחסית להעביר קלפיות מלא על ידי פקס או דואר אלקטרוני או לשים אותם באינטרנט, אבל שליחת פתקים מלאים על ידי שיטות אלה מציגות בעיות עם אבטחה או פרטיות. ההצבעה באמצעות הטלפון תדרוש PINs, ואלה יכולים להיות אבודים או נגנבים, נכתב בדו"ח. בנוסף, ניתן לדפדף בשיחות טלפון, במיוחד בשיחות ה- VoIP (Voice over Internet Protocol). [

] שיגור הפקס יכול להיות מאובטח יחסית, אך ניתן להשאיר את הצבעות בפקס ללא השגחה במשך מספר שעות. "סביר להניח שמכשירי פקס יישארו בחדר במשרד הבחירות שיקבל פקסים לאורך כל היום", נכתב בדו"ח. "זה נותן לתקוף את הזמן כדי להציג מידע אישי רגיש או להרוס טופסי רישום חוקיים."

דואר אלקטרוני ניתן ליירט או חסום, מוסיף הדו"ח. "דואר אלקטרוני אינו מספק ערובה לכך שהנמען המיועד יקבל את ההודעה", נכתב בדו"ח. "התקפה על שרתי DNS [Domain Name System] יכולה לנתב הודעות דואר אלקטרוני למפלגה שתוקפת, דבר שלא יוביל רק לביטול זכות הבוחר, אלא גם לאובדן מידע הבוחר הרגיש". [

] אמנם אין דיווחים על כך ההתקפה הייתה מוצלחת, התגלה פגיעות של שרתי ה- DNS שניתן היה להשתמש בהם כדי ליצור התקף כזה, כך דווח.

יש גם מספר התקפות פחות מתוחכמות שיכולות להפריע להצבעה בדואר אלקטרוני, אומר. "התקפת מניעת שירות עלולה להציף פקידים בבחירות עם מספר עצום של הודעות דואר אלקטרוני מזויפות", נכתב בדו"ח. "מספר הודעות הדואר האלקטרוני עלול להציף במהירות את שרת הדואר האלקטרוני של רשמית הבחירות, ולמנוע טופסי הרשמה לגיטימיים מלהגיע לפקידים בבחירות".

הצבעה מבוססת אינטרנט יכולה להשתמש בהצפנה כדי להגן מפני דליפות נתונים, אך על רקע שלילת שירות התקפות המופעלות על ידי botnets הן עדיין בעיה פוטנציאלית. "תקיפה מוצלחת של מניעת שירות תגבר על שרת האינטרנט של הבחירות עם התנועה, ותמנע מהמצביעים החוקיים לשלוח חומרים לרישום ולבקשה", נכתב בדו"ח. "קשה מאוד להגן מפני התקפות של מניעת שירות מצד תוקף עם כמות גדולה של משאבים".

מספר מדינות כבר מפיצות פתקים באמצעות דואר אלקטרוני או פקס, ודוח ה- NIST ממליץ על ועדת הסיוע לבחירות לפתח הנחיות עושה זאת. הוא מציע עצות מועטות לחלופות לדואר המסורתי להצבעה, אך יש לציין כי יש צורך בשיפורים בביטחון.

"הפקס, הדואר האלקטרוני ומערכות מבוססות האינטרנט יכולים להפיץ פתקים ריקים במהירות ובאמינות לבוחרים, ובכך להפחית באופן משמעותי את זמני האספקה ​​של הבוחרים העומדים בפני העברת הקולות לבוחרים ולשפר את חוויית ההצבעה לאזרחים בחו"ל", נכתב בדו"ח. "בנוסף, בקשות ההצבעה וההצבעה יכולות גם לנצל את שיטות ההפצה האלה, אך יש יותר איומים בעת טיפול במידע אישי מהבוחרים, אך ההצבעה בבחירות הצבעה נותרה בעיה קשה יותר לטפל בה".

תפקידה של NIST במערכות הבחירות הוא "טכנית גרידא," אמר שיתוף המחבר אנדרו Regenscheid. "NIST אינו קובע או ממליץ על החלטות מדיניות", אמר. "זה תלוי בפקידי המדינה ובבחירות המקומיות להחליט איזה רמת סיכון הם מוכנים להניח, על פי הנהלים והבקרות שהם מכניסים".