从未消停的投票攻击
2016年的美国总统大选可谓是一波三折,最终特朗普当选美国总统,但这一结果其实是饱受争议的,不少民众认为有黑客参与其中对美国大选投票进行了干预,但由于没有切实证据,此事也就不了了之了。
如今,新一轮的总统大选开战在即。但这4年间,投票选举领域却似乎并未消停过。
据悉,美国选举事件后,DEF CON黑客大会的参与者们便组成了一个“投票黑客村”(Voting Hacking Village),以各种方式破解来自Diebold、Sequoia和WinVote的投票机器,包括让黑客在远程透过Wi-Fi网络存取,并上传恶意软件到投票系统。
在2017年的DEF CON黑客大会上,信息安全研究员甚至用90分钟的时间成功攻破了美国大选所用的同款投票机。攻破方式更是多种多样的,例如通过Wi-Fi进行远程访问,再如其它物理硬件上的漏洞,仅通过插入键盘鼠标就获得了投票机的控制权,然后根据黑客自身的意愿来更改票数信息等。
2017年,美国人权组织“自由之家(Freedom House)”在其发布的《网络与民主状况年度报告》中指出,“自由之家”对65个国家的民众进行了调查,其中87%为互联网用户;结果发现,有政府或外部机构试图通过对其中18个国家的互联网进行限制或干扰来影响选举。
同样是2017年,法国大选期间,俄国黑客组织APT28被指入侵马克龙的电子邮件,试图干扰总统大选。该组织也曾被指入侵美国民主党全国委员会(DNC),泄露希拉里竞选主席约翰·波德斯塔的电子邮件。
2017年9月,美国国土安全部(DHS)首次披露,有21个州在2016年的总统选举中被黑客攻击。该名单中包括佛罗里达州、俄亥俄州、宾夕法尼亚州等摇摆州,而这些州正是特朗普输给希拉里280万选票之后依然赢得选举的关键。不过国土安全部的声明比较保守,表示唯一百之百确认被黑客攻击的是伊利诺伊州,其他的高度怀疑。
2018年5月,用于显示美国田纳西州诺克斯维尔市初选结果的网站,一度因遭遇分布式拒绝服务(DDOS)攻击而被迫中断服务,此举造成选民访问网站及查看选举结果受限。
近日,塔斯社消息称,俄罗斯用于选举党派候选人的区块链初选投票平台遭到了分布式拒绝服务(DDoS)攻击。
寻求新兴技术解决方案
随着2020年竞选活动正在如火如荼的开展中,如何实现公正、准确的选举能力已经成为美国联邦、州以及地方政府的头等大事,这些组织机构正在越来越多地探索诸如区块链、人工智能和生物识别技术等新兴技术解决方案,以减少网络干扰选举的风险,同时帮助提高公众对于民主进程的信心。
行业领导者一致认为,这些技术着实能够检测可疑活动并阻止入侵,但是想要实现这一点,还有很长的路要走。
夏普阿尔法顾问公司(Sharp Alpha Advisors,总部位于纽约的一家AI驱动体育/游戏咨询公司)的创始人兼首席执行官,同时也是 ICED(一个致力于AI领域道德问题的非营利性组织)创始人兼董事长的Lloyd Danzig表示:
“鉴于投票系统通常在选举日部署,因此零日攻击的可能性尤其令人不安。重要的是要事先制定并审核适当的安全检查、支持和应急响应计划。”
人工智能,真正的解决方案
据Danzig介绍称,诸如人工智能(AI)之类的新兴技术可以应用于全球范围内的投票设备上,也可以应用于单个投票设备上。例如,人工智能算法与利用机器学习架构的生物识别验证相结合,可以帮助防止选民欺诈行为。他表示:
“模式识别可以用于检查投票操纵的欺诈行为,或是受损的投票设备等迹象。这种方法还可以并帮助增强投票系统和选民数据库的安全性。当然,还有一些辅助用例,例如由AI驱动的聊天机器人,可以指导选民完成注册或投票过程。此外,人工智能还可以通过识别境外行为者惯用于寻找软件后门访问的模式,来帮助实时鉴别潜在的攻击行为。而生物特征验证机制可以由机器学习提供训练或技术支持。人工智能还可以用来预测和模拟对抗性攻击,以便在问题真正出现之前就可以实施解决方案。”
区块链创建可验证的永久投票
与此同时,总部位于芝加哥的企业区块链咨询公司GoImmutable的合伙人Greg Forst还表示,区块链技术还可以确保投票过程不会被黑客入侵或篡改。
区块链是一个开放的,分布式的数据分类帐,其中包含加密散列,该散列包括时间戳和交易数据,这使得投票数据无法修改。Forst表示:
“区块链可以使得数字投票不可变,这也就意味着这些数据无法更改。此外,它还可以实现远程投票帮助更多人实现投票行为。”
西弗吉尼亚州的国务卿Mac Warner在23年的美国陆军生涯中,亲身体验了进行海外投票的障碍。他说:
“在阿富汗的山坡上,很难收到邮件,也很难把邮件发送出去。”
而通过区块链网络提供的远程投票功能,这一困难也就迎刃而解了。
目前,不同的国家和组织都已经开始试验这种具有透明度的、安全的、不可篡改的分布式账本技术。2018年3月,塞拉利昂在清点总统选票时采用了区块链技术,成为了世界上第一个将区块链技术应用在选举上的国家;5月,弗吉尼亚州也使用Voatz平台,帮助海外服役的军事人员(以及其他人员)实现了远程投票。据悉,Voatz是一个基于区块链的投票项目,成立于2014年,旨在替代缺席选票,在Voatz系统下,用户将通过应用程序远程投票,并通过手机的面部识别系统验证身份。目前,Voatz已经在包括犹他州,俄勒冈州,科罗拉多州和西弗吉尼亚州在内的多个州使用或试用。
很显然,在选举中应用区块链技术来替代传统的选举方法是有优势的,这是对目前选举方式的巨大技术改进。许多国家目前仍在使用纸张系统进行选举,这对于安全、欺诈以及腐败来说,存在巨大漏洞。而区块链则为选民提供了一个更新的系统,来解决这些问题。
区块链投票运行原理
区块链投票类似于我们习惯的模拟投票,它们的概念和流程也大同小异。为了进行数字投票,公民需要在特定的司法管辖区注册并证明其公民身份,然后再将该用户密钥关联到区块链上,记录其身份和国籍。
接下来,公民需要投票来表决。在区块链中,这很可能采用一种特殊的投票 Token 形式,将这种 Token 存到用户的帐户中。这个 Token 也可能有一个投票的时间限制,之后它将通过智能合约销毁或失效。
用区块链进行投票,涉及将投票的 Token(选票)发送到特定的地址。选民们将知道哪个地址与哪个候选人或公民投票一致,将 Token 发送到该地址即代表投出了票。
从技术角度来说,这听起来很简单。投票会在区块链上注册,而区块链不可篡改、可验证和透明化。我们可以轻而易举地唱票,并宣布选举的获胜者。此外,我们可以设计友好的用户界面,把向特定地址发送 Token 的过程隐藏在后台,自动化进行。相反,选民将会看到一个简单的线上界面,让他们选择候选人或议案,然后单击提交。
总而言之,区块链技术的透明度,允许通过不同途径进行投票和统计,使投票行为变得更加容易。同时,由于区块链的匿名交易特性,选民依然可以保护个人隐私。
在区块链网络中,如果黑客想要篡改选举结果,他们需要持有区块链网络上51%的投票分类账,而实现这一过程,他们需要入侵多个不同的基础设施,然后按照非常特定的顺序破解每个节点基础设施上的密码,以免在区块链网络内触发任何危险信号。而这几乎是不可能实现的!
存在的问题
既然优势如此明显,我们为什么还不在区块链上投票呢?那是因为还有很多问题需要先解决。
一个主要的问题是核实选民身份。要使区块链投票系统正常运行,就必须先要建立一个强大的、无懈可击的系统,以确保正确识别选民身份,防止人们多次投票或是非人为投票。例如,需要创建一种数字ID形式并将其存储在集中式数据库中。但是,至少到目前为止,验证数字身份并非不存在风险。
我们如何获悉智能手机上的投票的确是本人所为?这确实是一个亟需解决的问题。目前,一些系统正在尝试使用生物特征数据作为身份证明,但这又为个人隐私、生物特征数据的集中控制以及选民跟踪和定位方面打开了另一扇攻击大门。并非所有政府都会将本国公民的最大利益放在心上,这些数据中的大部分都可以用于定位和攻击当时投了反对票的那些人。
投票表决:新兴技术机会将增加
迄今为止,许多新兴技术已经用于测试环境和小规模的投票系统部署中。随着市场的成熟和创新的不断发展,人们期待可以从这些新兴技术中获取更多好处,同时也会加快部署步伐。
当然,这些技术所构成的威胁程度与运营商认为它们所具备的可靠程度也是呈正比的。一般而言,“好人”可以用AI做的事情,“坏人”也一样可以实现。我们所有人都有责任确保我们拥有适当的保护和技术,来维持和保护我们的民主。
新兴技术不会在一夜之间改变选举,其实施需要一个缓慢而慎重的过程。投票行为对社会发展和稳定至关重要,所以必须以系统的方式进行审核、测试和实施。