Автор: Бен Уофърд, "Политико"
Статията е написана през 2016 г. за "Политико". Публикуваме я поради актуалното ѝ звучене в дебата за машинното гласуване.
Андрю Апел и машина за гласуване на Sequoia AVC Advantage. Снимка: Алекс Халдерман
Когато професорът от Принстън Андрю Апъл реши да хакне машина за гласуване, той не се опита да имитира руските хакери, проникнали в базата данни на Националния комитет на Демократите през лятото на 2016 г. Той не написа злонамерен код, нито се мота около мястото за гласуване, където машините стоят без надзор в продължение на дни.
Вместо това, той си купи такава онлайн.
С няколко кликвания на мишката, Апъл се раздели с 82 долара и стана собственик на некрасив метален гигант, наречен Sequoia AVC Advantage, една от най-старите и уязвими електронни машини за гласуване в Съединените щати (наред с други места, тя се използва в Луизиана, Ню Джърси, Вирджиния и Пенсилвания). Веднага след като озадачените доставчици дотътриха 115- килограмовото устройство в конферентна зала, близо до неудобния кабинет на Апъл на третия етаж, професорът се захвана за работа. Той нае завършващия студент на име Алекс Халдерман, който успя да неутрализира заключването на машината за седем секунди.
Въртейки отвертката, той ловко изтръгна четирите ROM чипа – те не бяха запоени за платката, както би подсказал здравият разум – правейки съвсем просто заместването им със собствени такива: версия на модифициран фърмуеър, който може да отхвърли резултатите на машината, незабележимо да промени броенето на гласовете, без ни най-малко да се издаде пред гласуващия. Атаката беше завършена за минути. За да отбележи постижението, студентът щраква снимка на Апъл – издължени черти, черни кичури в безпорядък, прошарена брада – ухилен пред фотоапарата, с ръце все още върху платката, сякаш с поглед директно в очите на американските данъкоплатци: Какво ме зяпате, вие сте тези, които платихте за това нещо.
Измамата на Апъл може да бъде наречена професионална дейсност: той е част от усърдното ядро на така наречените кибер-академици – професори, които през последните десет години служат на страната си като неуморно я хакват. Електронните машини за гласуване – и по-конкретно моделът, наречен Direct Recording Electronic или DRE – навлезе в 2002, когато се състезаваха Буш срещу Гор. През следващите 15 години Апъл и колегите му си послужиха с всички възможни каскади, за да убедят публиката, че системата е повсеместно несигурна и уязвима.
Започвайки в края на 90-те, Апъл и неговият колега Ед Фелтън, пионер в компютърното инженерство, работещ по настоящем в кабинета по научни и технологични политики на Белия дом, събират заедно студентите си от Принстън в Центъра по Информационни технологии (на който Фелтън все още е директор). Там те безмилостно хакват машини за гласуване, една след друга, преобразявайки центъра в някаква Зала на славата на технологичната посредственост: препрограмират една известна машина да играе Пак-ман, заразяват популярни модели със самовъзпроизвеждащи се зловредни софтуери, откриват ключове за машини за гласуване, които могат да бъдат поръчани по eBay. Накрая работата на професорите и докторантите прераства в едничкото убеждение, че е само въпрос на време, преди националните избори – неустоимо привлекателна цел – да отправят покана за координирана кибератака.
Откритието от този месец, че кибератаката срещу Националния комитет на Демократите (НКД) е дело на руските служби по национална сигурност, задейства множество алармени сигнали в цялата страна: някои официални лица предположиха, че може да станем свидетели през 2016та и на по-сериозно усилия за намеса в американските избори. Атаката над НКД в известен смисъл предизвика публиката да зададе точните въпроси, които принстънската група се надяваше да бъдат зададени по-рано, още когато те превръщаха машините за гласуване в аркадни игри: Ако мотивирани програмисти могат да направят подобен трик, не биха ли могли също и да преработят резултатите от машините, които използваме за гласуване през ноември?
Тази седмица идеята претърпя трансформация от невероятен заговор в роман на Филип К. Дик в смъртоносно сериозна заплаха, описана в детайли от неколцина правителствени служители по сигурността. „Това вече не е налудничава хипотеза“, каза Дан Уолъч, един от студентите на Фелтън-Апъл, сега професор по компютърни науки в Райс. „Ако вкараме в играта кибер-дейности от страна на друга държава?“ Той въздиша с прискърбие. „Тези машини едва работят дори и в приятелски условия.“
Отговорните власти изглежда бяха надлежно убедени. Секретарят на Хоумленд Секюрити Джонсън наскоро потвърди „дългосрочните инвестиции, които трябва да направим за киберсигурността на изборния ни процес“. Изявление от 31 светлила от Института Аспен беше публикувано: „Нашият изборен процес може да бъде атакуван от дръзки чужди правителствени и терористични групи.“ Появиха се заглавия „Машините за гласуване в Америка са плашещо лесни мишени“.
Точно тази аларма се опитваше да задейства принстънската група през по-голямата част от новото хилядолетие. „Вижте, още преди 15 години ние можехме да видим, че това ще е напълно възможно“, ми каза Апъл със сподавен и накъсан глас. „Това е напълно във възможностите на напреднала страна като Русия.“ Тук направи моментна пауза, сякаш за да осмисли казаното. „Всъщност е напълно във възможностите и на много по-слаби и неразвити нападатели“.
В шумотевицата около НКД, наблюдателите бързо посочиха очевидното: Няма единен национален орган, който регулира сигурността, или дори изпълнението на ставащото в Изборния ден, и никога не е имало. Този процес се регулира от отделните щати. Техническите стандарти за гласуване са разпределени между Националния институт по стандартите и технологиите и Комисията за изборите, която беше формирана след оспорваните заради фалшиви бюлетини президентски избори през 2000, но указанията са произволни. (В продължение на три години Изборната комисия се влачи, без да утвърди председател, след като последният се оттегли през 2005, наричайки работата си в Комисията „загадка“.) Политиката на гласуване се определя самостоятелно от всеки щат и, в някои случаи, от всяка община – система, която живо е онагледена от окопната война за документите за самоличност на гласоподавателите, белязала цялата страна. Общо над 8000 юрисдикции от различна големина и авторитет администрират изборите в страната, като всички те са почти изцяло в ръцете на доброволци на средна възраст. Някои биха казали, че подобна система плаче за въвеждане на стандарти за сигурност.
Ако такива стандарти се реализират, ще бъде благодарение на принстънската група – младите докторанти, които междувременно заеха постове и преподавателски места навсякъде из страната, както и на техните сподвижници от света на компютърните науки, които изведнъж се оказаха от голямо значение.
Принстънската група има просто послание: Машините, които американците ползват в пунктовете за гласуване, са по-несигурни от собствените им айфони, с които навигират за да стигнат до тях. Те са видели скелета на кода в дигиталното мазе на машината за гласуване и са овладяли слабите места на тази техника може би по-добре от всеки друг (в съперничество с конкуриращите се производители на машини за гласуване, разбира се). Те настояват, че изборите са уязвими в безброй слаби точки, между които и софтуера, агрегиращ общия брой гласове за даден участък и избирателните списъци, които все повече се дигитализират. Но заплахата, казват киберекспертите, започва с машините, които изчисляват гласовете и най-вече пазят запис за тях – или пък не пазят, в някои от случаите.
След първоначалния им пик в 2007ма, отделните изборни райони започнаха да разчитат по-малко на дигиталните изборни машини – стъпка в правилната посока, тъй като отделните щати рязко се отдръпнаха от това, което експертите наричат провал на стойност 4 милиарда долара. Вместо това се втурнаха да инсталират хартиени копия, да продават машините и да ги заменят с оптични скенери, а в някои случаи – и да ги забраняват напълно за вечни времена. Но голямата картина, както всичко в този разделен свят, е сложна. С намаляването на броя машини – причинено от остаряването на техниката, винтидж софтуера, за който вече липсва техническа поддръжка, годините без нови изследвания от компютърните учени и общото чувство, че рискът е отминал – възможностите за намеса може временно да се ограничат. Все още има стотици пунктове за гласуване, които са изцяло дигитализирани, като значителна част от тях са в колебаещите се щати, които ще решат президентския вот през ноември. И те стават все по-малко сигурни с всяка изминала година, предупреждава Принстънската група.
В американската политика изборното хакерство е по-скоро традиция, отколкото заплаха, както може да забележи наблюдателят. Бюлетини, многократно надвишаващи броя на гласоподавателите по списък, плъзнаха из всички щатски и някои федерални избори още през 20.век. Хюи Лонг се прочува със залавянето си за изборна измама през 1932 година. Шестнайсет години по-късно, през 1948 стана печално известно „свлачището на Линдън“, когато Джонсън мистериозно преодоля дефицит от 20000 гласа в първата си надпревара за Сената – чудо, за което Робърт Каро коментира, че е почти сигурен резултат от изборна измама. Но дори и неподправени избори могат да бъдат изкривени, както нацията установи по време на ужаса с преброяването във Флорида в 2000та, когато умопомрачителният ръчен процес на броене на бюлетините остави неразгадана мистерията кое квадратче са продупчили гласоподавателите, как са го продупчили и даде на нацията термина „висяща дупка“, заедно със седмици на несигурност кой спечели президентството.
По някакъв начин отговорът на страната подсказваше истинското престъпление, извършено във Флорида: не неточност, а безпокойство. Решението на Конгреса бе да приеме закона Помогни на Америка да Гласува (Help America Vote - HAVA) през 2002 година, равняващ се на близо 4 милиарда долара федерално финансиране, предназначено да стимулира щатите да направят ъпгрейд на машините за гласуване. Това проработи. Всичките 50 щата взеха парите. Изискванията включваха и актуализиране на методите на регистриране на гласове и оборудването на местата за гласуване в полза на хората с увреждания, но раздел 102 осигуряваше финансиране специално предназначено за подмяна на остарели машини за гласуване.
Почти универсална, думата „ъпгрейд“ означава нова, компютъризирана машина за гласуване с тъч скрийн. До 2006та щатите бяха похарчили почти 250 милиона долара за нови машини със средствата от раздел 102. В Пенсилвания бяха закупени 20597 нови машини, от които около 19900 бяха с дигитален тъчскрийн. Някои от тях, като Diebold TSX, Advanced WINvote, ES&S iVotronic и вариант на AVC Advantage—the Sequoia Edge на Апъл, бяха същите модели, които щяха да бъдат подложени на проверка от експертите и учените по кибербезопасност. Хиляди DRE с тъчскрийн екрани бяха продадени по договори с щатите. За времето между изборния ден през 2000та и приемането на Закона за гласуването през 2006та, борсовите акции на големите компании за машини за гласуване се повишиха.
Тези машини бяха привлекателни по един прост начин: гласуването е чисто, незабавно, цифрово регистрирано. За щатските власти, едновременно с това и гласоподаватели, безвъзмездните федерални пари изглеждаха добра сделка. За компютърните специалисти това беше бедствие, което предстои да се разрази. Уолъч си спомня показанията си пред Градския съвет на Хюстън, когато убеждава членовете да не използват машините. „Показанията ми бяха: „О, машините са много лоша идея. Те са просто компютри, а ние знаем как да подправяме компютрите. Това ни е работата“, спомня си Уолъч. „Общинският служител, който вече е пенсионер, в общи линии каза следното: „Вие нямате никаква идея за какво говорите. Тези машини са страхотни!“. И ги купиха.“
Почти в деня, когато бяха извадени от кутиите си, тъчскрийн машините показаха проблеми (същите компании имаха много по-добри резултати от машините си за оптично сканиране). По време на първичните избори във Флорида през 2002ра, няколко машини в Маями-Дейд имаха проблеми и не успяха да бъдат включени, в резултат на което се появиха опашки с часове, които оставиха отвън неизброимо множество гласоподаватели, включително тогавашния кандидат за губернатор Джаред Рино. Същата година грешен софтуер (и администраторско недоглеждане) на моделите Sequoia доведоха до загуба на пропуснати гласове при ранното гласуване в община Берналило, Албукърки. В община Феърфакс, Вирджиния, разследване на надпреварата за избиране на училищно настиятелство през 2003-та, откри, че от 10 машини на всеки 100 гласа е изваждан един глас в полза на един от кандидатите. С размер на разликите достатъчно малък, за да бъде забелязан, местните избори не достигат до челните позиции в тези дебати. Апъл по-късно се принуди да пише експертни показания за малки избори на Изпълнителен комитет на Демократическата партия в община Къмбърланд, Ню Джърси, където един от кандидатие загуби с 24 гласа. Разликата беше много малка и загубилите заведоха дело, на което повикаха 28 свидетели, всеки от които се закле, че е гласувал за тях. Използваната машина беше Sequoia AVC Advantage.
Рояци изследователи по киберсигурността изследват машините, но те са изправени пред безкомпромисен съперник: компаниите, произвеждащи машини за гласуване, гледат на кодовете за машините като на интелектуална собственост. До 2009та две компании, Diebold и ES&S, контролират лъвския пай от пазара на машини за гласуване. Процесът на акредитация е също така тесен: от 1990та нарочна федерална акредитационна процедура сертифицира технологията за гласуване – система, която е подложена на обстрел заради липсата си на прозрачност. Лабораториите („Независими служби по изпитанията“), които провеждат сертифицирането, обикновено са платени от производителя и обикновено е необходимо да подпишат споразумение за неразкриване. През 2008ма пет лаборатории бяха акредитирани, като същата година една от тях бе отстранена за слаби лабораторни процедури, а друга временно отстранена за недостатъчен контрол на качеството.
Щатските власти обикновено могат да изискват лабораторните доклади, както Кати Роджърс от ES&S ми напомни в имейл. („От съображения за сигурност не правим този код широкодостъпен за всеки, който просто поиска копие за свои цели. Ние наистина нямаме какво да крием.“) Но Апъл, Принстънската група и други от киберсигурността подчертаха, че тези мерки – които те считат за „сигурност чрез неизвестност“ – целят да избегнат щателно тестване, което би се случило ако се оповести кодът пред обществото и учените. Една от компаниите, Sequoia, придобита впоследствие от Dominion, заплаши Фелтън и Апъл от Принстън със съдебни действия, ако се опитат да тестват някой от техните модели.
Изборните органи понякога се оплакват, че докладите, които получават от лабораториите, имат съществени пропуски и информацията от лабораториите, обвързани със споразумения за неразкриване, може да не бъде доставена. В 2004-та, когато държавният секретар на Калифорния Кевин Шели, отговорен за наблюдение на изборния процес, поиска от една от лабораториите повече информация за тестването на машините, беше попарен от неин служител: „Ние не обсъждаме работата си по машините за гласуване“. Поради наводняването на пазара с тези машини след закона HAVA, важат единствено стандартите по акредитиране от 2002 година – процесът, който одобри тъчскрийн машините Diebold, чийто супервайзорски код за достъп до машината за гласуване беше „1111“. По-късно Шели забрани тези машини, обявявайки, че Diebold си служат с измама.
През 2003-та служител на Diebold по погрешка остави 40000 файла, съдържащи кода на Diebold AccuVote TS, една от най-широко използваните машини на пазара, на публичнодостъпен уебсайт. Компютърните учени се задействаха и един от първите хвърлящи светлина документи беше публикуван в съавторство между Уолъч и Ави Рубин от Джон Хопкинс. Откритията в него бяха опустошителни: смарткартите на машините могат да бъдат подправени с най-примитивни подръчни средства, така че да позволят с тях да се гласува повече от веднъж; слабото криптографиране оставя файловете с регистрациите на вотовете лесни за манипулиране; и слаби предпазни мерки, което означава, че „зложелателен програмист“ – служител на компанията, например – може да преподреди дефиницията на файловете с бюлетините и с това да промени кой кандидат получава гласовете.
Енкриптичният код може да бъде намерен в кода, който е напълно видим; всички машини Diebold отговарят на него. (Рубин по-късно отбеляза, че би отнел правата на всеки недоучил, който може да напише толкова слаб код.) „Прочетохме кода и открихме много, много лоши проблеми“, ми каза Уолъч, докато седяхме на масата във всекидневната му в Хюстън. След което се поправи: „Нека се изразя по друг начин, намерихме недопустими проблеми.“ Diebold отхвърлиха доклада, като отговориха, че кодът е излязъл от употреба и това прави разкритията в документа спорни. Но този доклад от 2003та катализира леки движения – във факултетите по компютърни науки в цялата страна изборното хакерство стана малък, отделен код на честта за граждански заслуги. Групата на Фелтън от Принстън поведе течението, изготвяйки някои от най-важните документи през първото десетилетие на 2000 година.
През този период преподаватели от и около Принстънската група започнаха работа по разнищване на това, което считаха за провал на 50те щата. Фелтън и Апъл са обединени от черния хумор и от общото си влечение към популяризиране. Фелтън започна блог и сложи начало на традиция – на всички избори пуска своя снимка, на която седи сам с неохраняема машина за гласуване, дни преди изборите. В друг експеримент машина Sequoia AVC Edge е заразена с вирусен софтуер, вследствие на което не може да прави друго, освен да играе Пак-ман. Студентите, извършили експеримента, са проявили изключително майсторство и са постигнали този резултат без да нарушават печатите за сигурност и след това са декорирали машината с логото на Пак-ман. Групата разбива различните елементи, включително отваря сорскода на системата за гласуване Diebold. Съветват изборните власти за мерките за сигурност без нов хардуер. Разработват вирусен софтуер за машината Sequoia, която Апъл си е купил. За по-малко от минута успяват да заразят машина Diebold със самовъзпроизвеждащ се код, който се разпространява от машина на машина чрез администраторска карта и я програмират да отчете изборен процес между кандидатите Бенедикт Арнолд (XVIII в.) и Джордж Вашингтон.
Последният хак беше следствие от любопитен и загадъчен имейл, който Фелтън получава от анонимен източник, вероятно свързан с индустрията на машините за гласуване. Отговорът на Diebold на проучването на Уолъч и Рубин е неуверен и уклончив и източникът желае да даде на Фелтън машина Diebold TS – същата като тази, чийто код е публикуван в проучването. Проучването на самата машина било възможност, която не е за изпускане и Фелтън слага своите дипломирани студенти Фелдман и Халдерман, тогава на по 25 години, начело на този труд. Една нощ през април 2006-та Халдерман пътува до Ню Йорк сити, паркира на аварийни успоредно на спрелите автомобили пред хотел само на няколко преки от Таймс Скуеър. Халдерман изтичва по тротоара, където неговият източник чака търпеливо, облечен в сив шлифер и държащ черна платнена торба. След няколко кратки любезности, той дава на Халдерман торбата с машината в нея. Халдерман никога повече не се среща с този човек. („Има много конспиративност в електоралната безопасност“, ми каза по-късно Халдерман.)
През лятото на 2006-та Фелдман и Халдерман се залавят за работа в приземния етаж на една академична сграда. Страхувайки се от наказание или съдебен процес, те не казват нищо за своя проект на колегите си от факултета. От обяд до полунощ двамата студенти, се срещат във влажния принстънски кампус и се установяват в клаустрофобично преддверие – достатъчно пространство за малка маса и два сгъваеми стола – и се потапят в безкрайните редове на кодирането и програмирането под флуоресцентното осветление на помещението без прозорци. В центъра на масата е обектът на дългогодишна мистерия – квадратният бежов монитор на Diebold TS. По-късно авторите ще опишат проекта като първият щателен анализ на самата тъчскрийн машина DRE – какъвто по общо мнение би трябвало да е направен в някоя от акредитираните лаборатории.
Когато приключват, те разполагат с нов документ, пълен със заслужаващи внимание открития, както и най-изчерпателното обяснение как работят машините на Diebold. „Утановихме, че машината няма никакви механизми за сигурност, освен тези, които съществуват на обикновен домашен компютър“, ми каза Халдерман. „Беше много лесно да се хакне.“ По време на обучението си при Фелтън Халдерман беше научил ключовата фраза „Защита в дълбочина“, която описва система с различни кръгове на защита. Халдерман се пошегува, че този модел по скоро би трябвало да се казва „Уязвимост в дълбочина“, толкова многобройни са били откритите от тях възможни точки на проникване. По-късно откриват, че ключът, който отваря машината, е стандартен корпоративен модел, използван за минибарчета и други катинари, наличен онлайн. Когато техният доклад разкрива този детайл, случаен читател намира снимка на такъв ключ, поръчва един в железарията и го изпраща на Фелдман и Халдерман като сувенир (които от своя страна пробват ключа – работи!) Същата година 10 процента от регистрираните гласоподаватели използват AccuVote TS за гласуване.
Всички тези открития са предоставени на щатите, закупили машини, както и на властите, които следят работата на научните среди. Фелтън пише по-късно, че уязвимостта на тестваните от тях машини едва ли може да се поправи, без напълно да се промени дизайнът им. Но решението на щатските власти е просто – ако могат да включат и хартиена разписка, разпечатана заедно с дигиталното гласуване – електронният списък ще може, на теория, да бъде засечен за по-голяма точност. През декември 2003-та Невада става първият щат, който въвежда задължителното удостоверяване на гласа с отпечатана хартиена разписка. Вълна от щати последваха примера.
Но повратната точка идва в 2006-та, когато надпреварата за Конгреса между Върн Бюканън и Кристин Дженингс в 13ти район на Флорида се взриви по повод броенето на гласовете в Сарасота – 18000 гласа от машини без хартиена разписка липсваха (технически се считаха „невалидни“) в надпреварата, решена от по-малко от 400 гласа разлика. Фелтън направи директна връзка с основния заподозрян: машините ES&S Votronic, една от множеството, закупени със средствата по закона HAVA. Скоро след този провал губернаторът Чарли Крист разпореди до края на годината във Флорида да бъдат въведени хартиените потвърждения. Губернаторът на Мериленд Боб Ърлич призова своите избиратели по-скоро да пуснат празна бюлетина, отколкото да допрат ръка до дигитален тъчскрийн екран – на практика безпрецедентна мярка. В началото на 2007-ма тъчскрийн системите станаха толкова непопулярни, че двама сенатори, Бил Нелсън от Флорида и Шелдън Уайтхауз от Роуд Айлънд приеха закони, забраняващи дигиталните тъчскрийн машини за изборите през 2012 година.
Изборните секции, които днес гласуват с оптически сканиращи машини – друга форма на DRE, която чете малка дупка на голяма карта – сякаш нямат този проблем. Чрез просто попълване на дупчицата, се генерира и разписката. Но това не означава, че резултатите не могат да бъдат подправени и студентите на Фелтън започнаха да пишат инструкции за електоралните власти за нужните одитиращи процедури срещу опити за манипулации.
Всеки щат носи белезите от свои собствени случаи с дигитални тъчскрийн машини – парабола от хаос и лошо управление в продължение на 15 кошмарни години за държавните и местните власти. През 2006-та беше пикът на тъчскрийн машините, когато 40% от избирателите гласуваха с тях. В 2016та повечето избиратели ще използват някаква комбинация между хартия, оптично сканиране или хартиена разпечатка. Множество щати успяха да преминат навреме преди изборите в 2016 към оптично сканиране, а впоследствие до 2020та и да забранят тъчскрийн машините. Забраната във Вирджиния беше следствие на донкихотовска битка на един експерт по компютърни науки от частния сектор, Джереми Епстайн. В 2002-ра Епстайн отива в изборно бюро във Феърфакс, Вирджиния, за да се оплаче от лошата изработка на тъчскрийн машината модел WINVote и си тръгва с мисията да извоюва забраната им в щата. Машините са свързани с Wi-Fi, който е уязвим „от всеки един, който реши да ги хакне, удобно седнал в колата си на паркинга отпред“, ми каза Епстайн. Последвалото разследване установи, че енкриптиращият ключ на машините е бил „abcde”. Машините са били сертифицирани през 2003-та, работели са на версия на Windows от 2002 г. и от 2005-та не са били ъпдейтвани. 13 години по-късно Вирджиния произнася забрана. Епстийн повтаряше през всичките тези години своето твърдо убеждение: „Ако тези машини и избори не са били хакнати, това е само защото никой не е опитал.“
През 2001-ва идеята за чуждестранна намеса в изборите изглеждаше като невероятно предупреждение от далечното бъдеще – щеше да отнеме години преди севернокорейски агенти да хакнат компания като Сони или китайци да пробият файловете с досиетата на правителствени членове. Гражданските активисти, които направиха контрареформата с хартиените бюлетини бяха загрижени, но най-вече за вътрешните избори. Либералите бяха склонни да виждат компаниите производителки като заплаха за честните избори. Консерваторите бяха склонни да разглеждат некомпетентността и салбия дизайн на машините като заплаха за нормалността.
Днес, напомня ми Халдерман, „идеята, че чужда държава може да се опита да се намеси в американската политика чрез някакъв вид кибератака, вече не е от далечното бъдеще.“
Приснтънската група има достатъчно неща, които я държат будна до късна нощ. Между всички възможни цели, чуждестранни хакери могат да атакуват компютрите на щати и общини, които агрегират сборовете от изборните секции в нощта на изборите – машини, които не би следвало да са включени в мрежа, но Апъл подозира, че вероятно са свързани с Интернет, макар и извънредно и само понякога. Те могат да атакуват дигиталните списъци на гласоподавателите – все по-често употребявани напоследък – да изтрият имена на гласоподаватели (което или ще накара избирателите да си тръгнат, или ще претовари дублиращата система за гласуване с бюлетина). Могат да заразят софтуера в началния му етап, разпространяван от произвеждащите компании или да направят същото със софтуерна корекция. Могат да изпратят по пощата фалшив софтуер на някой чиновник от секция, придружен с подходяща бланка и убедително писмо, които да го накарат да го инсталира. Ако въпросният чиновник има неправилния лаптоп, свързан с Интернет в непраилното време, това би бил достаъчно широк прозорец за атака.
„Нито един общински чиновник където и да е в САЩ няма способността да се защити от сложни заплахи“, ми каза Уолъч, използвайки жаргона на съсловието за силно мотивирани хакери, които „лягат ниско и се навъртат наоколо известно време“. Уолъч описва нелицеприятната картина на закален кибербоец от чужбина, застанал в бойна поза срещу седемдесетина годишен доброволец. „По същия начин, не можем да очакваме кварталната полиция да отблъсне чуждестранни военни сили“, продължава Уолъч.
В академичните проучвания хакерските атаки срещу машини са много по-всеобхватни. Дигиталните списъци на избирателите или софтуера не са на по 10 години и не оперират с Windows 2000, за разлика от машините. И все пак те представляват риск сами по себе си. „Има прекалено много компютри в процеса“ дори и без дигитален тъчскрийн, казва Апъл. „Дори и при гласуването с оптично сканиране, не става дума само за самите машини, а за компютрите и лаптопите, които използват служителите, за да приготвят бюлетините, електронните файлове за оптично сканиране, панелите за регистриране на гласуващите, електронните книги на секцията. И компютрите, които агрегират резултатите общо от всички оптични сканирания.“
„Ако един от всички тях бъде хакнат, това сериозно ще опорочи изборите.“
Дигиталните тъчскрийн машини, дори и потвърдени с хартиена разпечатка за вота, ще преобладават през тези избори. 28 щата все още ги използват в някаква степен. Групата „Проверено гласуване“, която отблизо и в голям детайл следи използването на техниката за гласуване по секции, няма ясна представа колко такива машини са в употреба. Никой, с когото са разговаряли, няма представа. Нито е ясно, кога те ще бъдат премахнати, решението е оставено на общинските администратори. Със сигурност след 2007ма нивото им на употреба спира да расте, а напоследък най-сетне започва да намалява. Броят на щатите, използващи тъчскрийн без хартиена разписка, е 5: Южна Каролина, Джорджия, Луизиана, Ню Джърси и Делауеър. Но броят на щатите, в които има значителен брой общини, използващи тези лесно уязвими машини, е много по-голям. От гледна точка на хакерството няма голяма разлика. На предстоящите избори ще се наложи само на няколко секции да опровергаят броя гласове, въпреки че множеството общини са все още в каменната ера. Много от експериментите на лудите учени на Фелтън са предназначени да разпространят нечестивия код веднага щом той получи достъп до машинната система.
Оттеглянето от електронното гласуване е положителен ход, казва професорът. Най-добрият вариант на електронно гласуване е системата за оптично сканиране. В 2012 г. тя се използва на 56 процента. Но малкият процент вотове, които ще бъдат направени на тъчскрийн машини не означава непременно по-малък риск от атаки. По някакъв начин дори го увеличава, превръщайки проблемът с фалшифицирането на тези машини от крива в права, в който случай малък брой машини генерира високо ниво на риск. Оставащите машини често оперират със стар софтуер от края на 90те или началото на 2000-та, някои от които отдавна са прехвърлили времето си за поддръжка. „Те са може би точно толкова уязвими, колкото са били и преди 10 години“, смята Апъл. „И все още взимат програмите си от един и същи ROM”.
Изледване на Центъра Бренън от миналия септември достига до същите резултати. В него се казва още, че всичко – от софтуера, до подмяната на части и калибрирането на екраните, е в риск. Цитира се и видео от YouTube, в което се вижда как гласоподавател в Западна Вирджиния натиска с пръстите си екрана, а той отбелязва съвсем различен кандидат или пък екранът се набраздява (поради загуба на лепило зад екрана). Парите по закона HAVA бяха похарчени бързо и наведнъж през 2002 г. и тези разходи не се изплатиха“, казва Уолъч.
През 2011 г. екип от лабораторията на Департамента по енергетика направи отново експеримент с машините Diebold. Заключенията: с части на стойност 26 долара и с компютърни познания на ниво 8 клас, буквално всеки може да подправи машината. Пет години след първия експеримент признават пред мен, че почти нищо не се е променило в електоралната кибербезопасност. Моделът на тази машина се планира да се използва в 20 щата през 2016-та, в това число Пенсилвания, Охайо, Флорида, Мисури и Колорадо.
Щатските власти признават, че тъчскрийн машините са за изхвърляне, но професорите бързо ми припомнят как работят държавните договори – когато падне планираната печалба, страда поддръжката. „Нивото на сигурност на тези машини е много по-ниско от стандартите в сектора, от нивото, което имат да кажем Google, Facebook, Apple. Твоят айфон е с по-голяма защита, отколкото имат тези машини“, казва Фелдман. „Мисля, че нивото на технологична грамотност на хората, които работят за тези много популярни търговски услуги и устройства е много по-високо отколкото е на онези, които тези малки машини за гласуване могат да привлекат.“
Никой не се съмнява, че компаниите гледат на сигурността сериозно. Но подходът към сигурността, споделен между производителя и електоралните органи изглежда разчита на идеята, че хакерството на избор за училищно настоятелство е прекалено скучно за някой достатъчно талантлив да го извърши. „Ще срещнете сериозни затруднения да намерите примери на хакване на нашата система за гласуване в реална изборна обстановка, за разлика от опитите, провеждани в лабораторни условия, в които не се употребяват физически изборни процеси от реалния свят“, пише Кати Роджърс, говорител на ES&S в своя имейл и е права, защото никога не е било доказвано умишлено хакване на изборни резултати. „Ние се чувстваме напълно уверени в сигурността на нашите системи за гласуване – особено когато съчетаете тази сигурност с физическата сигурност, верига от надзорници, законови изисквания и купища предизборни тестове.“ И добавя: „Ние не страдаме от безсънни нощи в безпокойство дали нашата система може да бъде хакната.“
Служител от избирателна секция във Вирджиния с десетилетия опит се съгласи да рзговаря с мен неофициално. „Знам, че когато някакви учени са хакнали машина, те са имали неограничен достъп за много голям период от време“, каза той и нарече подобна ситуация нереалистична. „Един от праговете на сигурност не е ли това, че машината не стои тук на публично място, така че всеки да има достъп до нея за неограничено време.“ А когато му показах традиционната снимка на Фелтън с неохранявана машина, той възрази „Само хора, които са упълномощени, и са се заклели да подсигуряват процеса, само те могат да имат административен достъп до машините.“ „Старичка е, разбирам това“, продължи той, „но си е на място.“
В случай на атака, спонсорирана от друга държава – колкото и невероятно да е това – може ли старомодният подход да сработи? Противникът, посочват от Принстънската група, може да е по-опитен, отколкото очакваме. През юни 2014-та доклад уличава руски хакери в намеса в изборния резултат в Украйна, чрез проникване в софтуера за компютърна агрегация – една от атаките, от които Апъл се бои.
Каква е разликата между Киев и Гари, Индиана? И както става с кибератаките – никога не са много вероятни, докато в един момент са. Хакерите тази година атакуваха избирателните списъци в Илинойс и вероятно в Аризона, както разкриха възпитаниците на Принстън.
В Питсбърг и Филаделфия – две демократически крепости, които обикновено решават изхода от изборите в щата Пенсилвания – около 900000 души ще гласуват на тъчскрийн машини без хартиен носител. В този случай, поне от гледна точка на гласоподавателите, тези гласове ще изчезнат в морето от единици и нули.
Община Монтгомъри, ключов демократически редут в предградията на Филаделфия и район, за който понякога се смята, че може да обърне целия щат, е едно от тези места, на които се използва електронна машина без хартиено копие и само една машина за всичките 425 секции – Sequoia-та на Апъл. „Ние сме напълно, напълно спокойни за нашите машини“, ми казва Вал Аркуш, заместник председател на Общинския Съвет на Монтгомъри. Говори с отривисто стакато и много подробности, като човек, който мисли за този проблем и бил питан и друг път. Тя ме уверява, че системата им е сигурна: „Програмираме всяка от машините ни индивидуално, те никога не са свързани с интернет, а вътрешен харддиск създава перманентен запис всеки път, когато бъде регистриран глас.“ В края на деня вотът се транскрибира в термален запис, машините се заключват, информацията се прехвърля в самостоятелен сървър, който преброява резултатите.“ После изброява длъжностните лица, които охраняват секциите и подчертава: „Би било извънредно трудно някой да направи нещо подобно в хода на изборния ден.“
Помолих Халдерман да подложи на проверка отговора на Аркуш. „Сигурно е, че те имат процедури за проверка и засичане на място, че бройките от всяка машина отговарят на табличните резултати, но нищо от тези действия не предотвратява типа атаки, за които Апъл пише и програмираните атаки на софтуера. Хакер с достъп до администриращата система на касетите с паметта преди изборите, би могъл да разпространи заразен код до всички машини.“, написа той в имейла си до мен.
Каква би могла да е политическата мотивация за спонсорирана от чужда държава атака? В случая с хакването на демократите от Русия, най-удобното обяснение е, че Москва би искала да види президентът Доналд Тръмп на държавно посещение в Кремъл. Но програмистите посочват, че и други държави може да са подозрителни. „Китай има какво да губи. Те никога не биха дръзнали да направят нещо подобно.“, казва Улоъч, който наскоро присключи договора си с научния съвет на Еър Форс. И все пак, статистическото оценяване на заплаха не се интересува от вероятностите, става дума за подготовка за невероятното.
Добрата новина според Уолъч е, че бихме надушили нещо подобно, и то доста бързо. „Ако има фалшифициране, ние ще го открием. Но трябва да имаме вариант какво следва. Ако открием електронна фалшификация, какво следва?“
Никой няма директен отговор, освен общото съгласие за едно нещо: хаос, който ще накара 2000 да изглежда като детска игра. (Крясъците на Тръмп за „подправени избори“ още преди вота да е започнал, със сигурност не помогнаха.) Програмистите предложиха да допуснем, за целите на въображението, перспективата за национален скандал. Двете страни ще се обвиняват взаимно в корупция и спонсориране на атаката. А политическият отговор на страната, от която произхожда атаката, ще бъде също толкова труден – Белия дом се чуди как най-добре да отговори на атаката срещу Демократичния Конгрес, въпрос, който не предоставя очевидни отговори. Какво може да гарантира киберсигурността в изборния ден? Ракети Круз?
Най-лесният и видимо евтин вариант на защита – прикрепянето на валидираща вота хартиена разписка за всеки дигитален тъчскрийн глас – представлява сам по себе си проблем. Този вариант предпоставя, че одитните процедури на щатите са твърди. Много от тях са всъщност ограничени и неадекватни. Освен това залагането на хартиена разпечатка предполага избирателите да разбират нейната важност. Мнозина може просто да хвърлят хартията по пътя си, без да й обърнат внимание, или да я оставят да си виси на принтера на машината.
Сега вече има технически решения, които карат компютърните специалисти да потръпват. Всички, до последния човек, ме предупредиха за новата обществена делюзия – интернет гласуването. „В днешния свят правим толкова много неща онлайн“, казва Апъл, обяснявайки популярността на тази идея. „Банкираме онлайн, пием кафе онлайн. Някой, който е свикнал да живее толкова много онлайн, би се зачудил защо не гласуваме онлайн?“ Но както Апъл, така и останалите, категорично предупреждават: „Това ще бъде катастрофа. Всеки може да го хакне. Руснаците, Северна Корея, всеки, който пожелае.“
Подобно на машините за гласуване, интернет услугите за гласуване отказват да подлагат работата си на обществено обсъждане. Интернет компаниите имат същите подбуди като производителите на машини за глсуване да убедят публиката, че си заслужава. Както в случая с HAVA, най-вероятно и тук ще има огромни печалби. В 2004 г. Мичиган използва интернет гласуване за първичните избори на демократите. В 2009 Западна Вирджиния даде зелена светлина на пробен проект, който да позволи на военните в чужбина да гласуват онлайн. Тази година в Юта първичните избори бяха проведени изцяло оналйн, а инициатива за интернет гласуване в Калифорния почти беше приета преди гласуването в щата.
Халдерман не може да повярва, че ще трябва отново и отново да води същия спор за риска от хакерски атаки. „Това не е нещо, което само злодеите от комиксите могат да правят. Ученици току-що излезли от гимназията могат да го направят.“
Идеята за гласуване по отделно е изобретение на американската политика. Първият път, когато е било проведено мащабно тайно гласуване, са президентските избори през 1896 г. – това са също и първите избори, на които никой не е убит в изборния ден. Двете неща не са просто съвпадение – от първите дни на републиката гласуването е почти изцяло колективен акт. Гражданите гласуват с краката си – заставайки от едната страна на тълпата или от другата, като партиен комитет, като този начин е бил предпочитан от манипулативните партийни шефове.
Компютърните програмисти, чийто дом е кампусът на Принстън, сега са в ново състезание, за да изобретят бъдещето на сигурното гласуване. И най-интересните идеи гледат към началото на 19 век не с отвращение, а с любопитство. Излиза, че от гледна точка на потвърждаването на математическата система, Бос Туийд (политик, известен с купуването на гласове и политическите си машинации – б.пр.) може и да е бил прав за някои неща.
След години на обикаляне из страната и свидетелстване пред различни институции за уязвимостта на машините за гласуване, Уолъч сега е ориентиран не толкова към диагнозата, колко към лечението – в момента води научнен екип за изследване на най-новата технология за гласуване: криптографирано гласуване.
Уолъч подхожда отзад напред към идеята, предлагайки мисловен експеримент. Най-неоспоримата електорална техника би била да се броят гласовете на огромна коркова дъска. Всеки гласоподавател си забожда гласа, а публиката брои резултатите заедно. Всеки може да види гласовете и всеки ще се съгласи с резултата. Освен проблемът с тайното гласуване и смущението (и, очевидно, убийствата в изборния ден), подобна система е неудобна – твърде много коркови дъски. Но енкриптирането на вота би позволило публично броене, запазвайки самия избор личен: гласоподавателите ще правят избора си на дигитална обработваща машина. След това ще получават енкриптирана разписка, произволен набор от цифри и букви. Тогава гласът им ще бъде качен на публична електорална дъска онлайн. Самият глас ще бъде смесен с останалите и напълно таен, а сложна функция, известна като хомоморфична криптография ще брои гласовете, без да декриптира източника.
„Крипто“, както го наричат в средите, ще обезпечи нашите избори почти завинаги. Но ще промени фундаментално начина, по който гласуваме. Ще превърне взирането в някакъв произволен сорскод в гражданско задължение. И ще унищожи концепцията за преброими „бюлетини“, принуждавайки ни да повярваме, че някакъв неразбираем код е еквивалент на бюлетината. Криптографското гласуване е все още отдалечено с години. Но все още стои и въпросът как правим такъв преход от технократска вяра от една електронна система в друга. Изглежда трудно да повярваме, след всички невидими гласове и изчезнали бюлетини, че гласоподавателите ще се доверят на нещо толкова абстрактно. След като Уолъч ми го обясни четири пъти, аз все още немеех.
Учените посочват и няколко други по-сигурни и по-готови за прилагане начини, но и при тях има все още неразрешими проблеми.
Но може би имаме на разположение по-прост трик. Апъл, експерът по киберсигурността от Принстън, повелителят на числата, забавният шегаджия по машините, предлага радикален изход от този 15-годишен кошмар: Ами ако вземем пример от градските викачи отпреди два века и просто четем резултатите от всяка секция на глас?
„Има много проста и старомодна рецепта, която ние използваме в нашата американска демокрация“, казва Апъл. „Събраните гласове от всяка секция се обявяват в момента, в който тя затвори, в самата секция, пред всички наблюдатели – работниците в секцията, партийните застъпници, всички граждани, които наблюдават затварянето на секцията.“ След това резултатите от тази секция се записват на хартия – молив ще свърши чудесна работа – след това се подписва от работниците в секцията, които са обслужвали въпросната секция. „Всеки гражданин може независимо да събира сборовете на резултатите секция по секция и това ще бъде много важна проверка. Това е начин чрез нашата основаваща се на секциите система на броене, да бъдем сигурни, че няма как хакнати компютри незабелязано да променят резултатите от нашия избор.
Идеята на Апъл е, че не технологията създава проблема. Може би технологията е част от проблема – нашата липса на доверие е метастазирала в култура на бдителността и само увеличава проблема с гласуването, най-доверителният граждански акт, който познаваме. Изглежда невероятно да очакваме единен лек за американските президентски избори, не поради неразбираемостта на криптографията или ненадеждността на тех-компаниите, а защото няма такова нещо като единен избор: 8000 юрисдикции, в невероятна бъркотия от федерализъм и лошо похарчени долари. Чистите резултати, представени в изборната нощ, представляват оптическа илюзия, като поредица от единици и нули, жужащи отвъд нашето възприятие.
Ако този век измести нашето доверие от ближния ни към машините, може би е време да го върнем обратно. От осем европейски страни, които преди флиртуваха с електронното гласуване, шест се върнаха обратно към хартията. Великобритания преброи своя брекзит вот на ръка. Дори и вотът никога да не е бил хакван – което е крайно невероятно събитие – дори и най-малката възможност е заплаха за демокрацията и благодат за зложелатели, и не само за кибернападатели. Технологията увеличи не само опасността от хакерството, но и опасността от хакера. „Ние сме в колизия между технологията, която използваме в администрирането на изборите, и нарастващата реалност на политически мотивираните киберпрестъпници на държавно ниво“, казва Халдерман. „Седим и пишем документи по цял ден. Но тези хора са експлоататори на пълен работен ден. Те са професионалисти. Ние сме аматьори.“
Панегирикът на Уолъч за криптографията ми напомни за нещо друго от тех-сферата: концепцията за споделената участ, понякога цитирана в проучванията за дроновете. Изследователите отдавна предлагат да направим влаковете и самолетите по-надеждни, като внедрим крайно прецизни роботи в управлението им, или дронове-пилоти. Те са хладнокръвни оператори, на които няма да се налага да спасяват горящ самолет, докато се трвожат за турбуленцията и крещящите пасажери. И това може би е един от най-силните примери как психологията надцаква технокрацията – дори и при положение, че системите ще работят по-добре, дори и да спасяват животи, всеки знае, че подобно решение не работи. Човекът има нужда да знае, че там, в пилотската кабина, има някой като него. Ние имаме нужда да знаем, че ще споделим една и съща участ.
Бен Уофърд, "Политико" 5. август 2016
Преввод за "Гласове": Екатерина Грънчарова