Android

Stemmeautomatik Hack omkostninger mindre end $ 100,000

MARINE ELECTRONICS: Communications at Sea, Navigation, and Sailing Apps (Iridium Go? Sextant?) #35

MARINE ELECTRONICS: Communications at Sea, Navigation, and Sailing Apps (Iridium Go? Sextant?) #35
Anonim

Hvorfor bruge millioner af dollars kampagne, når du kan hacke et valg for mindre end 100 grand?

Det er et spørgsmål oprettet af universitetsforskere, der for nylig købte en Sequoia AVC Advantage-stemmeautomat og derefter brugte en ny hackingsteknik til at omgå sin sikkerhed.

Selvom de er blevet hacket før, betragtes Sequoia's AVC-maskiner som et ret hårdt mål, fordi de har en særlig hukommelsesbeskyttelsesmekanisme, der giver dem mulighed for kun at køre software, de er hardwired til at udføre i maskinens ROM (skrivebeskyttet hukommelse).

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Men ved at bruge en ny hackingsteknik, kaldet et returorienteret programmeringsangreb, var forskerne i stand til at narre maskinen til at ændre resultatet af et valg, ac ifølge Alex Halderman, et af universitetsforskerne bag arbejdet. Halderman er med University of Michigan, men forskere fra University of California, San Diego og Princeton University var også involveret i projektet. De præsenterede deres resultater på Usenix 2009 Electronic Voting Workshop, der blev afholdt i Montreal i denne uge.

Forskerne testede deres resultater på en maskine købt fra et stats auktionssted efter at Buncombe County, North Carolina, stoppede med at bruge stemningsmaskinerne i 2007.

Hacket var ikke let - Halderman anslår, at det tog omkring 16 måneders arbejde at trække det af - men på universitetets lønninger, der stadig ville være billigere end de fleste amerikanske valgkampagner, sagde han. "Omkostningerne til den tid var mindre end $ 100.000," sagde han.

Arbejdet blev udført uden adgang til kildekoden eller nogen dokumentation ud over det, der er tilgængeligt på Sequoia's websted.

For at trække angrebet, forskerne installeret en hjemmelavet mikrocontroller, der blev tilsluttet porten designet til afstemningsresultaterpatronen og sendt falske resultater til stemmemaskinen ved hjælp af denne returorienterede programmeringsteknik. "Du kan bruge uddrag af det eksisterende program til at danne et helt nyt instruktionssæt," sagde Halderman.

Den AVC Advantage 5.0-maskine, de testede, var mellem 10 og 15 år gammel, men denne type maskine bruges stadig i Louisiana og New Jersey (hvor e-stemmekritikere har sagsøgt for at fjerne det fra aktiv brug).

Forskere har tidligere beskrevet andre måder at hacke systemerne på, herunder manipulation af maskinens firmware ved at erstatte en ROM-chip med en anden. -votningsmaskine beslutningstagere hævder, at disse angreb ville være vanskelige at trække sig ud i virkelige situationer, fordi nogen ville have behov for fysisk at manipulere med stemmeapparatet. Forskere siger, at de kan trække deres angreb om i løbet af få minutter.

Sequoia svarede ikke på en anmodning om kommentar til hacket.