Báo cáo

Bỏ phiếu qua email và Internet: Mối đe dọa bị bỏ qua đối với an ninh bầu cử

Các nghiên cứu của chính phủ liên bang, quân đội và khu vực tư nhân đã xem xét tính khả thi của việc bỏ phiếu qua Internet và kết luận rằng hình thức này không an toàn và không nên sử dụng trong các cuộc bầu cử của chính phủ Hoa Kỳ.

Tóm tắt nội dung

Trong hai năm qua, những tiết lộ rằng hệ thống bầu cử của chúng ta đã bị nhắm mục tiêu tấn công mạng đã làm rúng động Hoa Kỳ. Các nhà lãnh đạo bộ máy an ninh quốc gia của chúng ta đã nhiều lần cảnh báo rằng cơ sở hạ tầng bầu cử của chúng ta tiếp tục bị nhắm mục tiêu tấn công trực tuyến bởi tình báo nước ngoài. Khi các viên chức bầu cử của tiểu bang vật lộn với mối đe dọa đang rình rập về cuộc tấn công mạng vào công nghệ bầu cử, có một lỗ hổng đáng kể đã bị bỏ qua hoàn toàn: việc truyền phiếu bầu qua internet, bao gồm qua email, fax và hệ thống blockchain.

Báo cáo này xem xét các nghiên cứu đã được thực hiện bởi chính phủ liên bang kết luận rằng an toàn
bỏ phiếu trực tuyến vẫn chưa khả thi. Chúng tôi xem xét các vấn đề bảo mật không thể giải quyết vốn có khi bỏ phiếu trực tuyến, bao gồm các cuộc tấn công xâm nhập máy chủ, phần mềm độc hại trên thiết bị của khách hàng, các cuộc tấn công vào lá phiếu được gửi qua email và fax trong quá trình vận chuyển, các cuộc tấn công từ chối dịch vụ, các cuộc tấn công gây gián đoạn và thách thức trong việc xác thực cử tri một cách đáng tin cậy.

Báo cáo nêu bật một mối đe dọa an ninh mạng nghiêm trọng nhưng lại bị bỏ qua rộng rãi đối với cơ sở hạ tầng bầu cử của tiểu bang và quận, nơi nhận được các lá phiếu được gửi dưới dạng tệp đính kèm dưới dạng email hoặc fax kỹ thuật số. Tại các khu vực pháp lý nhận được lá phiếu bằng tệp đính kèm PDF hoặc JPEG, nhân viên bầu cử phải thường xuyên nhấp vào các tài liệu từ các nguồn không xác định để xử lý các lá phiếu được gửi qua email hoặc fax, khiến máy tính nhận được các lá phiếu — và bất kỳ thiết bị nào khác trên cùng một mạng — bị vô số các cuộc tấn công mạng có thể được khởi chạy từ một lá phiếu giả chứa phần mềm độc hại. Một lá phiếu giả bị nhiễm sẽ xâm nhập vào máy chủ giống như bất kỳ lá phiếu nào khác, nhưng khi mở ra, nó sẽ tải xuống phần mềm độc hại có thể cung cấp cho kẻ tấn công quyền truy cập cửa sau vào mạng của văn phòng bầu cử.

Khi xem xét các ấn phẩm về các biện pháp bảo mật tốt nhất từ Ủy ban Hỗ trợ Bầu cử Hoa Kỳ (EAC), Bộ An ninh Nội địa (DHS) và Hiệp hội Quan chức Bầu cử Quốc gia, người ta thấy không có hướng dẫn nào được công bố về tính bảo mật của lá phiếu gửi qua email hoặc khuyến nghị nào về việc bảo mật thiết bị đầu cuối máy tính nhận lá phiếu gửi qua email.

Kết quả:

  • Các nghiên cứu của chính phủ liên bang, quân đội và khu vực tư nhân đã xem xét tính khả thi của việc bỏ phiếu qua Internet và kết luận rằng hình thức này không an toàn và không nên sử dụng trong các cuộc bầu cử của chính phủ Hoa Kỳ.
  • Ba mươi hai tiểu bang cho phép một số nhóm cử tri nhất định bỏ phiếu trực tuyến.
  • Trong cuộc tổng tuyển cử năm 2016, hơn 100.000 lá phiếu được báo cáo đã được bỏ trực tuyến, theo dữ liệu thu thập được trong Khảo sát Bầu cử và Quản lý Bầu cử của EAC. Con số thực tế có thể cao hơn nhiều.
  • Các cơ quan liên bang hỗ trợ các tiểu bang cải thiện an ninh bầu cử chưa đưa ra bất kỳ cảnh báo nào liên quan đến việc trả phiếu bầu trực tuyến.
  • Phiếu bầu được trả lại trực tuyến có thể bị thay đổi mà không phát hiện được bằng nhiều cuộc tấn công mạng, bao gồm cả thông qua phần mềm độc hại trên máy tính của người dùng và các cuộc tấn công xâm nhập máy chủ. Điều sau đã được chứng minh trực tiếp và trong một cuộc bầu cử "thử nghiệm".
  • Việc bỏ phiếu qua Internet mở rộng cơ hội cho kẻ tấn công thực hiện các cuộc tấn công gây gián đoạn và từ chối dịch vụ, nhằm mục đích vô hiệu hóa hệ thống, cấm cử tri bỏ phiếu và làm suy yếu lòng tin của cử tri vào cuộc bầu cử.
  • Việc nhận phiếu bầu dưới dạng tệp đính kèm cũng có thể khiến hệ thống bầu cử của tiểu bang hoặc quận bị tấn công hệ thống bầu cử. Những kẻ tấn công tinh vi có thể giả mạo email của cử tri hợp pháp và sử dụng phiếu bầu giả để phát tán phần mềm độc hại có thể được sử dụng để xâm nhập vào cơ sở hạ tầng bầu cử của quận hoặc tiểu bang.
  • Các công nghệ mới, bao gồm blockchain, không giải quyết được các vấn đề bảo mật không thể giải quyết được vốn có của việc bỏ phiếu trực tuyến. Các vấn đề này bao gồm các cuộc tấn công xâm nhập máy chủ, phần mềm độc hại trên thiết bị của khách hàng, các cuộc tấn công từ chối dịch vụ và các cuộc tấn công gây gián đoạn.

Phần kết luận

Cho đến khi có một bước đột phá lớn về công nghệ hoặc thay đổi cơ bản đối với bản chất của internet, phương pháp tốt nhất để bảo mật các cuộc bầu cử là một phương pháp đã được thử nghiệm và chứng minh là đúng: phiếu bầu giấy gửi qua thư. Phiếu bầu giấy không chống giả mạo, nhưng chúng không dễ bị gian lận hoặc thao túng toàn diện giống như bỏ phiếu qua internet. Việc giả mạo phiếu bầu giấy gửi qua thư là một cuộc tấn công từng lần một. Việc lây nhiễm phần mềm độc hại vào máy tính của cử tri hoặc lây nhiễm máy tính tại văn phòng bầu cử xử lý và kiểm phiếu đều là những phương pháp hiệu quả để tham nhũng trên diện rộng.

Những cử tri quân đội chắc chắn phải đối mặt với nhiều trở ngại hơn khi bỏ phiếu. Họ xứng đáng được chính phủ giúp đỡ để tham gia vào nền dân chủ một cách bình đẳng như mọi công dân khác. Tuy nhiên, trong môi trường đầy rẫy mối đe dọa này, bỏ phiếu trực tuyến gây nguy hiểm cho chính nền dân chủ mà quân đội Hoa Kỳ được giao nhiệm vụ bảo vệ.

Xem xét công nghệ hiện tại và các mối đe dọa hiện tại, việc trả lại lá phiếu đã bỏ qua qua đường bưu điện là lựa chọn có trách nhiệm nhất. Các tiểu bang cho phép trả lại lá phiếu đã bỏ phiếu trực tuyến nên đình chỉ việc này. Các cơ quan liên bang như DHS và EAC nên thừa nhận những lỗ hổng do việc cho phép bỏ phiếu trực tuyến gây ra và khuyến nghị các tiểu bang hạn chế mọi hình thức trả lại lá phiếu trực tuyến. Cho đến khi họ làm như vậy, tính toàn vẹn của lá phiếu của người Mỹ đang bị đe dọa và trong nhiều trường hợp, tính toàn vẹn của hệ thống bầu cử đang bị đe dọa.

Tóm tắt khuyến nghị

Chúng tôi khuyến nghị một số biện pháp phòng ngừa cơ bản mà các quan chức bầu cử và cử tri nên tuân theo. [Một bộ khuyến nghị toàn diện có ở cuối báo cáo này.]

Khuyến nghị cho người quản lý bầu cử:

  • Lập bản đồ mạng để đảm bảo rằng máy tính được sử dụng để nhận phiếu bầu qua email hoặc fax kỹ thuật số là không được kết nối với hoặc trên cùng một mạng với mạng máy bỏ phiếu, hệ thống quản lý bầu cử (EMS) hoặc hệ thống đăng ký cử tri thông qua phương tiện có dây hoặc không dây.
  • Quét tất cả email đến và tệp đính kèm kỹ thuật số formalware. Chương trình thư phải được cấu hình để xác minh rằng tệp đính kèm có loại mong đợi và nằm trong phạm vi kích thước thông thường. Quan trọng: Quá trình quét có thể tìm thấy tệp đính kèm cho các chương trình phần mềm độc hại có thể thực thi nhưng có thể không phát hiện được phần mềm độc hại bên trong tệp PDF hoặc JPEG. Phần mềm độc hại bên trong các tệp như vậy phức tạp hơn nhiều.
  • Đảm bảo tất cả các lá phiếu được gửi qua phương tiện điện tử đều được in ra để kiểm phiếu chứ không phải được truyền điện tử đến EMS để kiểm phiếu.
  • Cung cấp cho tất cả cử tri thông tin và các lựa chọn để gửi lại phiếu bầu qua đường bưu điện.
  • Đảm bảo cử tri quân đội biết về tùy chọn thư bưu chính nhanh miễn phí dành cho họ. Khuyến nghị dành cho cử tri:
  • Những cử tri nhận được phiếu bầu trắng qua thư được khuyến khích đánh dấu vào phiếu bầu và gửi lại.
  • Những cử tri nhận được phiếu trắng qua email được khuyến khích in phiếu ra và đánh dấu bằng tay nếu có thể. Nếu đánh dấu phiếu bằng máy tính, hãy in phiên bản cuối cùng và xem xét cẩn thận các lựa chọn trước khi gửi lại.
  • Gửi lại lá phiếu qua đường bưu điện. Quân nhân tại các địa điểm bưu điện quân đội, hạm đội hoặc ngoại giao (APO/FPO/ DPO) có thể gửi lại lá phiếu vắng mặt qua Priority Mail Express bằng cách sử dụng Nhãn thư nhanh miễn phí 11-DOD.

Sau cuộc tổng tuyển cử năm 2018, các tiểu bang cho phép trả lại phiếu bầu trực tuyến nên loại bỏ thông lệ này. Điều này sẽ đòi hỏi hành động lập pháp ở hầu hết các tiểu bang. Mặc dù việc áp dụng lệnh cách ly đối với các lá phiếu đến là hữu ích, nhưng điều đó không có nghĩa là ngăn chặn được kẻ tấn công tinh vi cố gắng sử dụng các lá phiếu trong một cuộc tấn công lừa đảo hoặc làm hỏng các lá phiếu trong quá trình vận chuyển. Ngoài ra, các cơ quan liên bang có nhiệm vụ hỗ trợ các tiểu bang tăng cường an ninh bầu cử của họ nên thể hiện vai trò lãnh đạo và công bố các cảnh báo liên quan đến việc trả lại trực tuyến các lá phiếu đã bỏ phiếu.

Báo cáo

Bỏ phiếu qua email và Internet: Mối đe dọa bị bỏ qua đối với an ninh bầu cử

Các nghiên cứu của chính phủ liên bang, quân đội và khu vực tư nhân đã xem xét tính khả thi của việc bỏ phiếu qua Internet và kết luận rằng hình thức này không an toàn và không nên sử dụng trong các cuộc bầu cử của chính phủ Hoa Kỳ.

Nộp hồ sơ pháp lý

Khiếu nại chống lại Cambridge Analytica

Common Cause đã đệ đơn khiếu nại lên Bộ Tư pháp (DOJ) và Ủy ban Bầu cử Liên bang (FEC), đưa ra lý do để tin rằng Cambridge Analytica LTD và công ty chị em của nó, SCL Group Limited, cùng nhiều nhân viên của các công ty có trụ sở tại London đã nhiều lần vi phạm lệnh cấm công dân nước ngoài thực hiện một số hoạt động liên quan đến bầu cử trong hai chu kỳ bầu cử của Hoa Kỳ - bao gồm cả công việc mở rộng cho chiến dịch tranh cử của Trump.

Thư

Thư của các nhóm cải cách gửi Chủ tịch Hạ viện Ryan về sự can thiệp của Nga vào cuộc bầu cử Hoa Kỳ

Các nhóm gọi Chủ tịch Hạ viện Ryan vì không có hành động nào chống lại sự can thiệp của nước ngoài vào các cuộc bầu cử trong tương lai: Thư gửi Chủ tịch Hạ viện Paul Ryan

Nộp hồ sơ pháp lý

Khiếu nại về người nước ngoài mua quảng cáo trên mạng xã hội liên quan đến bầu cử

Common Cause đã đệ đơn khiếu nại lên Bộ Tư pháp Hoa Kỳ (DOJ) và Ủy ban Bầu cử Liên bang (FEC), cáo buộc một hoặc nhiều công dân nước ngoài không rõ danh tính đã thực hiện các khoản chi tiêu, chi tiêu độc lập hoặc giải ngân liên quan đến cuộc bầu cử tổng thống năm 2016, vi phạm Đạo luật Chiến dịch Bầu cử Liên bang.

Đóng

Đóng

Xin chào! Có vẻ như bạn đang tham gia cùng chúng tôi từ {state}.

Bạn có muốn biết chuyện gì đang xảy ra ở tiểu bang của bạn không?

Đi đến Nguyên nhân chung {state}