在今年的DefCon駭客大會上,電腦駭客們只花了不到兩個小時的時間,就成功破解了美國的投票機器。DefCon是全球最大的電腦安全會議之一,今年的這場年度盛會就在美國拉斯維加斯舉行,吸引了來自全世界各地的網路安全專家。

DefCon駭客大會創辦人Jeff Moss表示,在舉辦這場活動之前,他想找出自己真正在乎什麼事。他說:「我厭煩了經常聽到有關投票系統安全的錯誤訊息。」

DefCon的參與者們組成了一個「投票駭客村」(Voting Hacking Village),以各種方式破解來自Diebold、Sequoia和WinVote的投票機器,包括讓駭客在遠端透過Wi-Fi網路存取,並上傳惡意軟體到投票系統。利用無線方式的駭客由於其遠端穩秘性質,在破解時顯得更麻煩,「有些人甚至想通知其他人直接帶螺絲起子衝進投票站。」

這是DefCon首次舉辦駭入投票系統,很可能源於選舉新聞中引涉選民駭入投票系統。而且,雖然還無法證明俄羅斯駭客影響了2016年美國總統大選的投票數,但有證據表明為其造成干擾。DefCon的安全專家們想知道是否真的有可能以這種方式影響投票和選舉結果。

丹麥研究人員Carsten Schürmann只花了90分鐘,利用微軟(Microsoft) Windows XP系統中一個存在已久的漏洞,順利地遠端存取至未執行增補程式的投票機,甚至讓他從遠端位置就能改變投票數。許多機器都還在使用一些過時的軟體,甚至還有一些機器的連接埠門戶洞開,讓駭客能直接登堂入室安裝惡意軟體。

安全諮詢公司Cambridge Global Advisors執行長Jake Braun在今年初就曾經向大會提出建議,「由於駭客社群的貢獻,我們才真的知道它是如何進行的。可怕的是我們也發現外敵——包括俄羅斯、北韓、伊朗——也都具有駭入這些系統的能力,甚至可能在此過程中,破壞民主原則以及威脅到我們的國家安全。」

另外,根據Gizmodo指出,在被駭入的一台機器——這台機器是從eBay買來的——中,甚至還內含大約65萬筆不安全的選民資料,如姓名、地址、生日、政黨、是否參與投票,以及是否被要求提供份證明文件等。

當這些投票機「退役」以及公開拍賣以前,政府的工作人員有責任先刪除投票機記憶體中的選民資料。目前不清楚為什麼會有這一台「漏網之魚」,但它很可能並不是唯一的例子。

這些被駭入的機器是透過Wi-Fi存取,雖然並未受到完全的保護,但駭客入侵時也會被偵測到,並且被記錄下來。再者,並不是所有被攻擊的設備都會被用於當前的選舉中。不過,這一事實顯示,如果在監督選舉過程中未能對於安全性提高警覺,就可能受到潛在的損害。

Cambridge Global Advisors負責人Douglas Lute說:「這是一個攸關國家安全的問題,而且不會自動消失。」他並引用美國前聯邦調查局(FBI)局長Douglas Lute的話說:「這些問題來自美國,而且還會再發生!」

編譯:Susan Hong

(參考原文:Voter machines remotely hacked in 90 minutes at DefCon,by Heather Hamilton, contributing writer)