罗切斯特理工学院(RIT)的一个获奖的学生研究团队最近对ExpressVote进行了广泛的渗透测试®XL。经过10天的广泛测试,他们发现这台机器非常安全——没有任何可能改变或操纵投票人投票选择的攻击。
“在这两种情况下,我们都无法发现现实世界中有人能够改变选民的选择。——Ian Stroszeck, RIT计算机安全的五年级学生。
ES&S投票机渗透测试,搜索可能的攻击和狗万被端吗漏洞
提供的消息罗切斯特理工学院
罗伯特·格雷(Robert Gray)是计算机安全BS/MS专业的三年级学生,他是本科生团队的一员,他们对ExpressVote XL投票机进行了渗透测试。照片由RIT提供。
罗切斯特理工学院(Rochester Institute of Technology)的一组学生获得了为美国最大的投票设备制造商——选举系统与软件公司(Election Systems & Software,简称ES&S)的ExpressVote XL投票机进行独立安全测试的机会。万博mantetx下载狗万被端吗
经过数周的研究,该团队对ExpressVote XL投票机进行了10天的渗透测试。作为参与的结果,学生研究人员发现,在一个活跃的投票站,在真实世界条件下,没有任何攻击可以改变或操纵选民的选择。
ES&S高级副总裁兼首席信息安全官Chris Wlaschin表示:“这是对我们国家关键基础设施的安全以及我们国家选举实力的证明。”狗万被端吗“渗透测试的全面性质、RIT团队进行的高质量分析以及报告中提出的可行建议,为RIT和ES&S之间潜在的长期安全测试关系奠定了基础。”狗万被端吗
自2016年和2020年选举周期以来,公众对投票安全的兴趣日益增强。政府和网络专家表示,对选举基础设施的潜在网络攻击继续对国家安全构成越来越大的威胁。
“这就是为什么ES&S继续关注其投票系统的狗万被端吗安全性,并与第三方研究人员合作,以确保选举设备的弹性,”Wlaschin说。“每一个合格的选民都应该知道,他们的选票正在被计算。”
伊恩·斯特罗切克,五年级学生计算安全工商管理硕士学生也有同感。他一直对政府感兴趣,甚至选择成为门罗县的一名投票工作人员,以更好地了解选举是如何进行的。认识到去年的选举对他的研究有多么重要,他和一个计算安全学生团队想要测试电子投票硬件的安全性,为他们的本科毕业项目。
来自纽约州布莱顿郊区罗切斯特市的Stroszeck说:“这样做很重要,因为目前缺乏公共研究。”“要改变一场选举的完整性,你甚至不需要攻击这个装置——你只需要制造不确定性。这些公司需要公开,让公众知道他们真诚地努力保持这些机器尽可能的安全。”
stroszeck和Andrew Afonso一起,Andrew Afonso是马萨诸塞州哈伯德斯顿的一名五年级的学士/硕士学生;罗伯特·格雷(Robert Gray)是来自纽约州坎南代瓜市(Canandaigua)的理学士/硕士四年级学生;以及丹尼尔·蒙塔古多,他毕业于计算机安全学士学位她来自纽约州斯塔顿岛,在2021年与RIT合作全球网络安全研究所(GCI)与几家制造商和政府机构接触,以了解人们对投票机安全性测试的兴趣。狗万被端吗ES&S回复了电话。
“我认为这是独一无二的,一个受人尊敬的学术机构来找我们,我们看到了在纽约考试的真正机会,”瓦拉钦说。“在学术界进行独立测试具有巨大的价值,我发现质量无可挑剔。”
狗万被端吗ES&S采访了学生和教师,以确保渗透测试程序是合法的,受尊重的,并遵循专业和道德的行为。Wlaschin还想检查位于GCI的测试地点伊顿网络安全安全(安全评估和法医检查)实验室.
RIT团队开始为ExpressVote XL创建威胁模型。ExpressVote XL是一种投票标记设备和制表机,旨在为所有选民提供服务。它有一个32英寸的全面交互式触摸屏和一个扫描仪/打印机,可以产生选民可验证的纸质记录。ExpressVote XL正在等待纽约州的认证,宾夕法尼亚州、新泽西州和整个特拉华州的选民已经在使用它。
对于渗透测试,RIT的学生开发了两个可能发现投票机的场景。
在第一个攻击场景中,团队设想设备将位于一个不安全的存储柜中。在那里,攻击者很可能可以在没有人监视的情况下进入设备几个小时。
在第二个场景中,团队设想设备在一个活动的投票地点。在这种环境下,攻击者只有几分钟的时间单独使用该设备,否则投票工作人员很可能会产生怀疑。设备将被打开并记录所有操作。
Stroszeck说:“在这两种情况下,我们都没有发现,在现实世界中,有人能够改变选民的选择。”
学生们邀请人们在模拟选举中在机器上投票,以收集关于选民在机器上投票的可用性和时间的反馈。他们从物理访问控制测试开始,通过查看机器上的篡改封条和锁。此外,他们还测试了触摸屏、存储设备、操作系统和固件。他们还试图修改纸质选票,以改变选票或改变选票计数。
Stroszeck说:“我们真的很喜欢该设备的深度防御方式和安全措施的数量。”“所有受限制的输入点都无法触及,或用多个篡改封条固定。”
该团队确实确定了一些需要改进的特定领域,并就如何将这些改进纳入ExpressVote XL提出了建议。这些建议并不代表实际可能在选举中被利用的问题,因为它们受到补偿控制的保护,Wlaschin解释说。这些建议包括加强锁和密封,以及改善软件的功能。该公司计划将这名学生的建议纳入到下一个产品发布中。
他说:“有些人声称,攻击者可以通过ExpressVote XL机器轻松改变选举结果。”“RIT团队反驳了这一说法,并确认你不可能在不被发现的情况下操纵机器。”
罗切斯特理工学院的航拍的计算安全学系授予皇家理工学院学生年度最佳项目奖。
未来,GCI的研究人员希望与更多的企业和组织合作,为投票系统提供安全测试服务。
阿丰索说:“令人惊讶的是,在我们的研究中,我们没有找到一个通过政府机构进行独立测试投票机的既定途径。”“我们联系的州机构安排使用一台机器进行测试,但没有一个既定的流程来处理这样的请求。我希望GCI能够成为测试投票机安全性的新型测试实验室。”