Uma criança de 11 anos mudou os resultados do voto presidencial da Flórida

11/08/2018 17h55 - Atualizado em 11/08/2018 17h55

Hackers veteranos tentaram por anos fazer com que o mundo notasse falhas nas máquinas de votação. Agora que eles têm isso, eles precisam lutar para afastar as pessoas da votação.

Lukas

Hackers eleitorais passaram anos tentando chamar a atenção para falhas em equipamentos eleitorais. Mas com o mundo finalmente assistindo a DEFCON, a maior conferência de hackers do mundo, eles têm uma nova luta: apontando falhas sem fazer com que o público duvide que seu voto conte.

Este fim de semana foi a 26ª reunião anual da DEFCON. Foi a segunda vez que a convenção apresentou um Voting Village, onde os organizadores montaram equipamentos eleitorais desativados e observaram os hackers encontrarem maneiras criativas e alarmantes de invadir. No ano passado, os participantes da conferência encontraram novas vulnerabilidades para as cinco máquinas de votação e um único e-mail. Um livro de sondagem de eleitores registrados ao longo do fim de semana, chamando a atenção de ambos os senadores, introduzindo legislação e o público em geral. O Voting Village deste ano foi maior em todos os aspectos, com equipamentos que variam de máquinas de votação a tabuladores e leitores de cartão inteligente, todos atualmente em uso nos EUA.

Em uma sala separada para hackers, uma menina de 11 anos hackeou uma réplica do site da secretária de Estado da Flórida em 10 minutos - e mudou os resultados.

Antes de os hackers russos atacarem o processo de eleição dos EUA em 2016 , o corte de equipamentos de votação era um problema de nicho. O Voting Village mudou isso. "No que diz respeito ao amplo impacto social", disse Jeff Moss, fundador da DEFCON, "é Voting Village", que alcançou a maior notoriedade na história da conferência.

Mas essa atenção trouxe um retrocesso. Na véspera do início da conferência, a ES & S, uma das maiores fornecedoras de equipamentos eleitorais nos EUA, enviou um e - mail aos seus clientes garantindo que "os participantes acessarão de forma absoluta alguns componentes internos dos sistemas de votação ... É improvável que uma pessoa não autorizada, ou uma pessoa com intenção maliciosa, possa acessar uma máquina de votação ", disse a empresa.

A Associação Nacional dos Secretários de Estado, o grupo que reúne o principal funcionário eleitoral de cada estado, emitiu uma declaração incomumente impaciente contra a Vila Votante. "Nossa principal preocupação com a abordagem adotada pelo DEFCON é que ele usa um pseudo-ambiente que não replica os sistemas eleitorais estaduais, redes ou segurança física", afirmou.

"Proporcionar aos participantes da conferência acesso físico ilimitado a máquinas de votação", disse o NASS, "não reproduz proteções físicas e cibernéticas precisas estabelecidas pelos governos estaduais e locais antes e no dia da eleição".

O conflito traz à tona o contraste entre a forma como a pesquisa em cibersegurança é geralmente conduzida e a ineficiência dos fornecedores eleitorais aprovados pelo governo e seus clientes.

"Acho que a declaração foi equivocada", disse Matt Blaze , um veterano pesquisador de segurança eleitoral que ajudou a organizar a Aldeia de Voto. "É somente através do escrutínio que vamos ter confiança nas eleições. Dito isso, o fato de um sistema ter vulnerabilidades, mesmo vulnerabilidades incrivelmente sérias, não é o mesmo que dizer que qualquer eleição foi adulterada ".

"Há um paradoxo interessante", disse Blaze. "Sabemos que esses sistemas são altamente inseguros e há poucas evidências preciosas de que essas vulnerabilidades estão sendo exploradas em eleições reais. Acho que tivemos muita sorte e acho que há uma bomba-relógio aqui.

Desde outubro de 2016, quando as agências de inteligência divulgaram um comunicado alertando que a Rússia estava tentando interferir na eleição dos EUA, o governo dos EUA andou na corda bamba entre advertir que a Rússia estava tentando várias táticas para influenciar o resultado e insistindo que o voto de todos foi contado com precisão. Embora várias táticas russas com uma série de efeitos tenham sido expostas - hacking e vazando e-mails dos democratas, escaneando bancos de dados de registro de eleitores estatais e enviando e-mails de phishing para funcionários do condado - há, como várias agências afirmaram repetidamente, nenhuma evidência conhecida de hackers estrangeiros já mudaram uma contagem de votos dos EUA. Um dos objetivos fundamentais da Rússia com esses ataques, enfatizam os analistas, está minando a fé dos americanos na própria democracia.

"É preciso equilibrar a conscientização sobre as vulnerabilidades e pressionar os fornecedores a fazer projetos mais seguros, o que é muito do que o DEFCON está tentando fazer, com a capacidade de os fornecedores reagirem a isso", disse Jeanette Manfra, a principal autoridade de segurança cibernética do DHS. que falou na conferência sexta-feira. "E nós temos que explicar que não, estes são fisicamente seguros até o dia da eleição, então eles são eliminados. Existem todos esses outros controles de compensação que estão no lugar ".

"Se você está dizendo 'até uma criança pode hackear isso', você não está recebendo a história completa, o que pode ter o impacto do eleitor médio não entender", disse Manfra ao BuzzFeed News.

No sentido mais fundamental, os pesquisadores de segurança trabalham jogando o livro em um software, cutucando e cutucando qualquer falha obscura ou evidente em um programa, geralmente fazendo com que os desenvolvedores emitam patches regulares à medida que as vulnerabilidades são descobertas. Conferências como o DEFCON fornecem uma plataforma para pesquisas críticas e "truques de hackers", truques chamativos que geralmente são simples, mas projetados para atrair a atenção do público em geral.

Mas esse processo é um anátema para os fabricantes de equipamentos de votação por várias razões. Os fornecedores têm que seguir algumas diretrizes do governo e passar por certas auditorias, mas são em grande parte inexplicáveis ​​para o público. Corrigir o equipamento de votação que não está conectado à internet é difícil para muitos condados com pouca experiência técnica, e os fornecedores recorrem a quão improvável é que um funcionário de uma pesquisa registrada ou uma autoridade eleita tenha o tempo necessário para adulterar uma votação. máquina. Os fornecedores também ressaltam que, mesmo que alguém tenha tempo para fazer um hack, o sistema geral de eleições dos EUA é descentralizado o suficiente para que seja tão improvável quanto hackear uma máquina, um esforço coordenado para cortá-la em massa é ainda menos provável.

As leis de direitos autorais já dificultaram para que o evento dos pesquisadores adquirisse legalmente equipamentos de votação para testá-lo. Com um incentivo para garantir aos clientes que seu produto não é perigoso, os fornecedores têm historicamente mentiu abertamente sobre vulnerabilidades que consideravam susceptíveis de causar problemas no mundo real.

Um hacker na vila deste ano, que pediu anonimato porque não queria amarrar sua pesquisa ao seu trabalho diário como programador, pegou uma máquina de votação da Diebold TSX - versões que estão em uso em pelo menos algumas áreas de 20 estados - e transformou-a em uma jukebox que tocava música de seus alto-falantes pequenos e uma tela para um GIF Illuminati que ele encontrou online.

O truque, ele descobriu, era perceber que, embora a máquina tenha selos invioláveis, o que provavelmente alertaria os trabalhadores da pesquisa de que alguém tentou alterar um arquivo de votação, ele poderia acessar o próprio sistema operacional sem qualquer efeito aparente na máquina. Então ele substituiu o que aquela máquina estava rodando, o Windows 4.1, com o Linux, onde ele podia ligar seu próprio laptop e exibir o que quisesse.

O procedimento demorou algumas horas, disse ele, e seria extremamente difícil de realizar no mundo real, mas, em teoria, isso poderia ser feito por alguém com habilidades básicas de hackers e acesso a máquinas de votação em armazenamento.

"Obviamente, é um tiro no escuro que as pessoas adulterariam em um depósito", disse ele. "Eu escolhi fazer isso porque achei hilário, mas obviamente há sérias implicações".

Em outra área do DEFCON, os organizadores montaram um semicírculo de computadores pré-carregados com cópias de sites de secretárias dos estados para permitir que crianças pequenas tentassem alterar a aparência de um resultado de votação. Embora tal ataque não altere os votos reais, simplesmente mudar a aparência pode causar estragos no dia da eleição, e reflete uma tática que a Rússia empregou na Ucrânia em 2014.

Notavelmente, as crianças foram instruídas a usar uma simples tática de hacking de banco de dados chamada injeção de SQL, a mesma ferramenta que os EUA usaram hackers russos para atacar bancos de dados estaduais de registro de eleitores no verão de 2016.

Em poucos minutos, Audrey, de 11 anos, descobriu isso e fez parecer que o candidato libertário Darrell Castle havia vencido a eleição presidencial da Flórida em 2016.

"Basicamente, o que você está fazendo é que você está aproveitando que não é seguro", explicou ela.

Uma vez que ela acessou o banco de dados de votos, foi rápido: "Demorou talvez um minuto ou mais, porque eu sou um rápido digitador", ela disse ao BuzzFeed News. "Você pode [subtrair] pontos, você pode fazer o que quiser."

O secretário de Estado da Flórida não pôde ser contatado para comentar o assunto.

 

— buzzfeednews