Nye valgsystemer bruger sårbar software

Pennsylvania besked var klart:Staten tog et stort skridt for at forhindre, at dets valg blev hacket i 2020. I april sidste år, dens øverste valgembedsmand fortalte amterne, at de var nødt til at opdatere deres systemer. Indtil nu, næsten 60% har taget skridt, med $ 14,15 millioner af hovedsagelig føderale midler, der hjælper amter med at købe helt nye valgsystemer.

Men der er et problem:Mange af disse nye systemer kører stadig på gammel software, der snart vil være forældet og mere sårbar over for hackere.

En analyse fra Associated Press har fundet ud af, at ligesom mange amter i Pennsylvania, langt størstedelen af ​​10, 000 valgdomstole på landsplan bruger Windows 7 eller et ældre operativsystem til at oprette stemmesedler, program afstemningsmaskiner, optæl stemmer og rapporter tæller.

Det er betydningsfuldt, fordi Windows 7 når sin "levetid" den 14. januar, hvilket betyder, at Microsoft holder op med at levere teknisk support og producerer "patches" for at rette softwaresårbarheder, som hackere kan udnytte. I en erklæring til AP Microsoft sagde fredag, at det ville tilbyde fortsatte Windows 7 -sikkerhedsopdateringer mod betaling mod 2023.

Kritikere siger, at situationen er et eksempel på, hvad der sker, når private virksomheder i sidste ende bestemmer sikkerhedsniveauet for valgsystemer med mangel på føderale krav eller tilsyn. Leverandører siger, at de har foretaget konsekvente forbedringer i valgsystemerne. Og mange statstjenestemænd siger, at de er forsigtige med føderalt engagement i stats- og lokalvalg.

Det er uklart, om de ofte store omkostninger ved sikkerhedsopdateringer ville blive betalt af leverandører, der opererer på knivskarpe fortjenstmargener eller kontantstrengede jurisdiktioner. Det er også usikkert, om en version, der kører på Windows 10, som har flere sikkerhedsfunktioner, kan certificeres og rulles ud i tide til primaries.

"Det er en meget alvorlig bekymring, "sagde J. Alex Halderman, en professor ved University of Michigan og en kendt valgsikkerhedsekspert. Han sagde, at landet risikerer at gentage "fejl, som vi begik i løbet af det sidste årti eller halvandet årti, da stater købte valgmaskiner, men ikke holdt softwaren up-to-date og ikke havde nogen seriøse bestemmelser" til ved at gøre sådan.

AP undersøgte alle 50 stater, District of Columbia og territorier, og fandt flere slagmarkstilstande berørt af afslutningen på Windows 7 -support, herunder Pennsylvania, Wisconsin, Florida, Iowa, Indiana, Arizona og North Carolina. Også berørt er Michigan, som for nylig erhvervede et nyt system, og Georgien, som snart annoncerer sit nye system.

"Er det en dårlig vittighed?" sagde Marilyn Marks, administrerende direktør for koalitionen for god regeringsførelse, en fortalervirksomhed for valgintegritet, ved at lære om Windows 7 -problemet. Hendes gruppe stævnede Georgien for at få det til at droppe sine papirløse valgmaskiner og vedtage et mere sikkert system. Georgien har for nylig piloteret et system, der kører på Windows 7, og som blev rost af statslige embedsmænd.

Hvis Georgien vælger et system, der kører på Windows 7, Marks sagde, hendes gruppe vil gå for retten for at blokere købet. Statsvalgsordfører Tess Hammock nægtede at kommentere, fordi Georgien ikke officielt har valgt en sælger.

Valgteknologiindustrien domineres af tre titaner:Omaha, Nebraska-baserede valgsystemer og software LLC; Denver, Colorado-baserede Dominion Voting Systems Inc.; og Austin, Texas-baserede Hart InterCivic Inc. De udgør omkring 92% af de valgsystemer, der bruges landsdækkende, ifølge en undersøgelse fra 2017. Alle tre har arbejdet på at vinde over stater, der nyligt er tilført føderale midler og ivrige efter en opdatering.

Amerikanske embedsmænd fastslog, at Rusland blandede sig i præsidentvalget i 2016 og har advaret om, at Rusland, Kina og andre nationer forsøger at påvirke valget i 2020.

Af de tre virksomheder, kun Dominions nyere systemer berøres ikke af kommende Windows-softwareproblemer-selvom det har valgsystemer erhvervet fra ikke-eksisterende virksomheder, der muligvis kører på endnu ældre operativsystemer.

Harts system kører på en Windows -version, der når sin levetid den 13. oktober, 2020, uger før valget.

ES&S sagde, at det ved efteråret forventer at kunne tilbyde kunderne et valgsystem, der kører på Microsofts nuværende operativsystem, Windows 10. Det testes nu af et føderalt akkrediteret laboratorium.

For jurisdiktioner, der allerede har købt systemer, der kører på Windows 7, ES&S sagde, at det vil arbejde sammen med Microsoft for at yde support, indtil jurisdiktioner kan opdatere. Windows 10 udkom i 2015.

Hart og Dominion reagerede ikke på anmodninger om kommentarer.

Microsoft frigiver normalt opdateringer til operativsystemer månedligt, så hackere har lært at målrette mod ældre, ikke -understøttede systemer. Dens systemer har været ground zero for lammende cyberangreb, herunder WannaCry ransomware -angreb, som frøs systemer i 200, 000 computere i 150 lande i 2017.

For mange mennesker, slutningen af ​​Microsoft 7 -support betyder blot opdatering. Imidlertid, for valgsystemer er processen mere besværlig. ES&S og Hart har ikke føderalt certificerede systemer på Windows 10, og vejen til certificering er lang og dyr, ofte tager mindst et år og koster seks tal.

ES&S, landets største sælger, afsluttede sin seneste certificering for fire måneder siden, ved hjælp af Windows 7. Harts sidste certificering var 29. maj på en Windows -version, der heller ikke understøttes inden november 2020.

Selvom ES&S tester et nyt system, er det uklart, hvor lang tid det vil tage at afslutte processen - føderal og mulig statsgencertificering, plus udrulning af opdateringer - og hvis det vil blive gjort, før primærstudier begynder i februar.

Valgadministratorer lider notorisk af utilstrækkelige ressourcer. For nylig, mange jurisdiktioner splurrede på nye valgsystemer, nogle bruger deres del af $ 380 millioner i føderale midler til stater.

Amter i South Dakota, South Carolina og Delaware har alle for nylig købt valgsystemer, mens mange andre vurderer indkøb.

Brugen af ​​valgsystemer, der stadig kører på Windows 7 "er bekymrende, og det burde være bekymret, "sagde formanden for den amerikanske valgkommission, Christy McCormick. EAC udvikler retningslinjer for valgsystemet.

McCormick bemærkede, at selvom valgsystemer ikke skulle være forbundet til internettet, forskellige faser af valgprocessen kræver overførsel af oplysninger, hvilket kan være sårbarhed for angribere. Hun sagde, at nogle valgadministratorer arbejder på at løse problemet.

Embedsmænd i Pennsylvania, Michigan og Arizona siger, at de har diskuteret softwareproblemet med deres leverandører. Andre stater, der er nævnt i denne historie, reagerede ikke på AP -anmodninger om kommentarer.

Valgordfører i Pennsylvania, Wanda Murren, sagde, at kontraktsprog tillader sådan en softwareopgradering gratis. Talskvinde for valget i Arizona, C. Murphy Hebert, sagde, at ES&S også har forsikret staten om, at det vil yde støtte til amter til en opgradering.

Susan Greenhalgh, politikdirektør for fortalergruppen National Election Defense Coalition, sagde, at selv det bedste scenario har valgadministratorer, der forbereder primærvalg, mens de prøver at opgradere deres systemer, hvilket er "skørt". Hendes gruppe delte sine bekymringer om Windows 7 med AP.

Certificering, som er frivilligt på føderalt niveau, men sommetider kræves af statslige love, sikrer, at leverandørsoftware kører korrekt på de operativsystemer, de er testet på. Men der er ingen cybersikkerhedstjek, og processen kan ofte ikke følge med hurtigt skiftende teknologi.

Kevin Skoglund, chefteknolog for borgere til bedre valg, sagde amtsvalgsembedsmænd pege på EAC og statslige certificeringer som "stensikkert bevis", at deres systemer er sikre, men ved ikke, at leverandører certificerer systemer under 2005 -standarder.

Lokale embedsmænd er afhængige af leverandører til at bygge sikre systemer og EAC og staterne for at håndhæve høje standarder, Sagde Skoglund.

Efter at AP begyndte at stille forespørgsler, Senator Ron Wyden, D-Ore., skrev McCormick og spurgte, hvad EAC, som ikke har nogen regulerende magt, gør for at løse en "truende valg cybersikkerhedskrise", der i det væsentlige lægger den "røde løber" ud til hackere.

"Kongressen skal vedtage lovgivning, der giver forbundsregeringen myndighed til at pålægge grundlæggende cybersikkerhed for valginfrastruktur, "Wyden fortalte AP i en erklæring.

© 2019 Associated Press. Alle rettigheder forbeholdes.