背景介绍

近日，研究人员分析发现，成千上万投票设备供应商员工的工作电子邮件和明文密码出现在可以免费使用的第三方数据泄露转储中，导致人们对投票设备的安全性和过去选举结果的完整性提出了质疑。

虽然一些遭遇过数据泄露的网站（如2012年LinkedIn数据泄露等）已经强制要求所有受影响的用户更改密码，但是结果显示，还有很多的用户仍在其他平台上重复使用这些密码组合，使得第三方数据泄露成为犯罪分子和网络间谍的金矿。

多年来，投票设备供应商都声称，投票设备是气隙系统（Air-gapped）——即将电脑进行完全隔离，不与互联网以及任何其他联网设备连接——因此是无懈可击的。但是，Kim Zetter却在2月份的《纽约时报》中揭穿了这一美好幻想。

一名攻击者设法闯入了投票设备供应商员工的工作电子邮件，因为该员工使用了与被攻击站点上相同的密码，黑客正是利用了这些密码，最终获得了对投票设备的访问权限。而且，一旦投票设备供应商在投票机上安装了远程访问软件，或是为了方便供应商员工远程访问设备进行维护、故障排除或选举设置而留下后门程序，都将会使投票设备供应商员工沦为攻击目标。

“威胁是真实存在的”

华盛顿民主与技术中心的高级技术专家Maurice Turner表示，第三方数据泄露凭据可能对攻击者非常有用。他说，

分析显示，用户显然并没有遵循服务供应商的建议更换已经泄露的密码，即便是更改了也没有更改完全，可能仍然在其他平台上继续使用着这些密码。

密码重复使用的情况在组织内部也很常见。被聘用来检测组织内部安全的渗透测试人员经常报告称，IT管理员在整个企业中重复使用密码。由此一来，只要侵入最薄弱的环节，便可以轻松掌控网络。

爱荷华大学计算机科学教授兼投票设备安全专家Douglas W. Jones表示，

如果我是攻击者，我会立即竭尽全力地投身于研究其公司的设备，并搜寻出他们在文件系统中记录的后门程序。鉴于目前的情况，我认为可以非常有效地完成任务。

他补充说道，

威胁是真实存在的，应该认真对待。

当然，这种威胁并不仅限于劫持后门程序来破解投票设备，侵入某人的电子邮件帐户可以获得关于他们的联系人、他们的对话内容以及他们的生活等非常丰富的信息。这些信息有助于促成真正的网络钓鱼攻击，并造成破坏性的后果。

Turner表示，

通过此前收集的信息，攻击者可以轻易地伪装成供应商的合法代理人，并要求获取管辖权，继而对他们进行网络钓鱼攻击或社会工程，尝试让他们安装非法的补丁程序等。

对Jones而言，他对投票设备供应商的自我防御能力持怀疑态度。他说，

我怀疑他们根本就没有用过识别攻击的工具。总的来说，人们并不了解大数据的运行原理，即一次数据泄露事件中丢失的内容，可能是来源于其他完全不相关的信息，而利用这些信息能够发现一些原本不应该被获取到的东西。攻击者可能并不是直接针对您公司的网络系统实施攻击，而是先试图瓦解某一位在您公司工作的员工。

供应商回应

研究人员在审查的第三方数据泄露转储中发现了5家投票设备供应商的信息，其中包括超过2000个已经失效的Diebold（现为Dominion Voting所有）凭证。另外4家投票设备供应商包括ES&S、Dominion Voting、MicroVote以及Unisyn Voting Solutions。其中，ES＆S暴露的凭证最多（超过一百个），其余供应商暴露的凭证从少数几个到几十个不等。

泄露的凭证涉及这些公司的管理、工程和运营团队的关键成员。在过去的十年中，一个密码重用的例子就足以让攻击者在投票设备供应商的网络中站稳脚跟，并可能损害投票机的完整性和选举结果的公正性。

研究人员已经通过与ES＆S、Dominion Voting和MicroVote厂商的加密渠道共享了这些第三方泄露凭证的副本，其中包含上述公司员工的工作电子邮件和密码等信息。

对此，ES＆S和Dominion Voting厂商均表示，这些数据不是来自他们的系统，可能是来自第三方数据泄露。ES＆S在一封电子邮件声明中写道，

为了了解这些违规行为，并将其作为我们自己的安全协议的一部分，我们要求公司同事定期重置终端用户密码。最后，需要特别指出的是，副本文件中包含的任何密码组合都不符合我们的密码要求。

Dominion Voting也对此作出了回应，并在电子邮件中写道，

这些数据似乎与上一次第三方数据泄露相关，它不是我们公司管理的系统或平台，因此没有任何Dominion系统受到损害。但是，为了加强预防措施，我们经常要求员工更改其电子邮件相关密码，并采取其他措施作为公司相关电子邮件安全强制性政策的一部分。

MicroVote软件开发总监Bernie Hirsch也通过电子邮件回复称：

我已经查看了这些数据。并对数据进行了分析，结果发现其中两条记录是有效的，其余的均无效，这些信息看起来像是三四年前的。

当研究人员询问“有效”是否意味着对当前员工有效时，Hirsch解释称，

不是，公司任何现有的员工都没有使用这些密码。数据中的用户名和密码仅适用于我们的第三方电子邮件系统，其与我们公司或开发网络没有连接，并且对我们的选举系统或其他任何投票系统均没有影响。

研究人员也试图与Unisyn Voting Solutions取得联系，但是无法建立一个安全渠道来共享公开的凭证信息，截至目前，该公司也没有予以任何回应和评论。

除以上5家供应商外，投票设备测试研究室Pro V&V 和SLI Compliance也出现在第三方违规中，但是目前也没有得到这两家公司的任何回应。

远程访问风险

这些公司中至少有两家提供远程访问服务：ES＆S和Dominion Voting。

据《纽约时报》报道称，投票设备供应商ES＆S在2006年和2011年提供了远程访问服务项目。此外，《泰晤士报》也报道称，参议员Ron Wyden在批评ES＆S的新闻稿中写道：

允许远程访问会显著削弱投票设备的安全性，并可能被黑客利用来破坏机器或干扰投票记录。

ES＆S在向《纽约时报》发表的一份声明中表示：

公司所有员工（包括长期雇员）都没有听说过我们的投票系统曾与远程访问软件一起出售过。

但是，根据ES＆S与密歇根州之间签订的一份为期十年（起始日期为2017年3月1日）的合同显示，就在去年，ES＆S向该州的投票设备提供了远程访问服务。该合同以每天1,575美元的价格为选举官员提供现场技术支持服务，或者以“每次选举设置250美元”的价格提供“远程访问”服务选项。

在一封电子邮件声明中，该公司解释称，

与密歇根州合同中提到的‘远程访问’，指的是与票据打印机一起使用的远程访问软件，而不是投票制表产品。BOD打印机的作用就相当于选举管辖区将选票文件直接发送到当地印刷厂以产生空白选票。而BOD打印机只需‘按需打印’这些选票，就可以省去选举管辖区等待选票由印刷车间生产和运输的过程。BOD打印机不是端对端认证投票系统配置的一部分，也不会与认证投票系统连接或进行任何通信。

攻击BOD打印机可能会导致拒绝服务攻击，由此干扰选举的顺利进行，但其本身不会使攻击者修改投票总数——这是因为，BOD打印系统确实没有连接到密歇根州投票系统的其他部分。

Jones在一封电子邮件中写道，

你可以通过强制选择性的选票印刷失败或故意错印来混乱选举结果。但这并不是明智的选择，很有可能会被注意到，而且这些打印错误的选票也会成为直接证据。

对于ES＆S的解释，密歇根州政府发言人回应称，

投票制表器（Ballot tabulators）为地方政府所有，没有连接到互联网。而且，密歇根州目前在任何地方都没有使用‘按需投票打印’，且未来也没打算这样做。

除ES＆S外，佛罗里达州在2013年关于建议使用Dominion产品的报告中指出，Dominion的Democracy Suite投票系统中也包含“可选的远程访问服务（RAS）”。对此，Dominion回应道，

Dominion没有远程访问任何弗洛里达州的客户网站，这也不是我们为客户提供服务的方式。我们从未提供或利用公司技术人员对投票设备的远程访问能力。

投票设备中留后门着实是个坏主意

在加密后门是否应该存在的辩论中，会触及相同的原则问题。联邦调查局想要利用后门捉住罪犯，但是这些后门并非能够隐藏地不露痕迹。事实证明，只要给予足够的时间和精力，这些后门程序总是能够被恶意行为者发现并滥用的。这就是网络安全的基础原则。

恶意行为者有足够的时间、精力和资源来针对投票设备供应商，以便能够控制投票设备并篡改投票结果，或是以其他方式破坏选举。如果投票设备供应商提供远程访问软件，那么投票设备厂商自己也会成为攻击目标。第三方泄露数据会使针对这些供应商的攻击活动变得更加容易。