Securitywatch: arreglar-nos la tecnologia de les eleccions és més fàcil i més difícil del que podríeu pensar

Quan vaig sortir a San Francisco per a la convenció RSA (RSAC) a principis de març, tenia previst assistir a totes les converses sobre seguretat electoral que poguessin encaixar en el meu calendari. És una opció òbvia. Mentre que els terminis intermedis del 2018 es van concloure sense gaire controvèrsies, encara lluitem per les eleccions presidencials del 2016 i estem a la meitat de la següent. Això és a més que el sistema nord-americà de votar i comptar els vots és, en el millor dels casos, una incomoditat gairebé poc funcional.

M’esperava l’objectiu habitual de la seguretat electoral, amb investigadors que recorden el lamentable estat de les màquines de vot als Estats Units. Fins i tot l’esperava, perquè heu de ser una mica masoquistes per estar en aquesta indústria. Hi va haver una mica de misèria habitual, però no estava disposat a un doble pes d'optimisme i desesperació. Vaig quedar convençut que realment hem resolt els problemes tecnològics amb més vot. El que ens ha ensopegat són les altres coses.

I això són moltes coses.

Hi ha una solució de baixa tecnologia per a la seguretat de les votacions

Tots els ponents que vaig veure estaven d’acord: en general, sabem quins són els problemes amb la votació a Amèrica. Els sistemes de votació purament electrònics, anomenats màquines de votació electrònica de gravació directa (DRE), solen estar ocults als investigadors, però els que han estat investigats han demostrat ser molt tranquil·les en termes de seguretat. La màquina WinVote, anomenada màquina de votació pitjor del món, tenia gairebé totes les bandes vermelles que podies imaginar per a un material tan important. Aquest sistema està implorant pràcticament la pirateria.

A prop de WinVote, suposadament la pitjor màquina de vot del món. # BlackHat2018 pic.twitter.com/jRuBt5mieK

- Amarg, cansat i sudat (@wmaxeddy) 9 d’agost de 2018

Res d'això és especialment sorprenent, però la meva tecnologia es va posar de manifest quan els debats es van convertir en la verificació de les eleccions. Fa anys que és un problema, però comença a passar al capdavant de les discussions, ja que la seguretat electoral esdevé un problema més important. Molts sistemes de votació electrònica (i fins i tot algunes màquines mecàniques antigues, amb potència de palanca) no tenen forma de verificar el resultat de les eleccions. O fins i tot per determinar si algú ha manipulat la màquina.

Hi ha un consens entre els experts: quan es tracta de la seguretat de les votacions, el paper és un rei. Una boleta de paper no té programari ni té parts mòbils. Una votació en paper és la seva pròpia empremta en paper, una que ha verificat el votant i es pot comptabilitzar tantes vegades com sigui necessari. Tot i que certament hi ha possibles defectes en les màquines electròniques (que imprimeixen una votació finalitzada) i en els escàners de paperetes, les paperetes en si mateix són el mètode més segur que no només hem de votar, sinó també per verificar si el resultat de la l’elecció és correcta.

El que em va sorprendre a RSAC és que els responsables semblen estar rebent el missatge. Kay Stimson, president del Consell de coordinació del sector de les infraestructures electorals del Departament de Seguretat Nacional dels Estats Units, va dir a RSAC que "hi ha una tendència als Estats Units cap a la creació de resiliència, això significa registres i auditories de paper".

Una ràpida revisió dels mapes de les votacions verificades mostra un augment general de la disponibilitat de paperetes en els darrers cicles electorals. Encara queda més feina per fer. El mateix mapa del votant verificat mostra quatre estats que només ofereixen màquines DRE sense rastre de paper. Molts estats ofereixen una combinació de paperetes de paper i màquines de DRE, però a vegades amb districtes que utilitzen el DRE molt més que els de papereta. I els rastres de paper, fins i tot els verificats pels electors, encara es consideren inadequats en comparació amb les paperetes reals.

Fins i tot DARPA està fent un problema al problema, amb la iniciativa de crear dispositius de marcatge de pautes de codi obert i lectors de paperetes. El projecte ja segueix algunes de les millors idees per arreglar màquines de vot. Es basa en les paperetes de paper i serà totalment accessible per als investigadors per trobar defectes. Un toc correcte és un rebut amb un valor criptogràfic que els electors poden utilitzar per verificar que el seu vot va ser emès i comptat després de les eleccions.

Un concepte que ha rebut els avals dels investigadors és realitzar auditories de limitació de riscos després de les eleccions. Aquestes auditories requereixen només una petita fracció de vots per aconseguir confiança estadística en el resultat. És una idea tan senzilla i evident que mai hauria esperat que s’adoptés. Però, segons la Conferència Nacional de les Legislatures de l'Estat, 31 estats requereixen una auditoria tradicional dels resultats després de les eleccions i tres estats realitzen auditories de limitació de risc que són recomanades per experts. Cal destacar que deu estats han aprovat lleis sobre auditories postelectorals des del 2016.

I les auditories funcionen. Mireu Carolina del Nord, on les auditories van ajudar a anul·lar les eleccions de Mark Harris al Congrés.

És tot el que està trencat

El més important dels meus supòsits sobre la seguretat electoral és la constatació que es necessiten més que màquines de vot segures i matemàtiques intel·ligents per verificar els resultats. Portaveu després de portaveu a RSAC va subratllar que les eleccions són una web d’esdeveniments, tecnologia, polítiques, organitzacions i persones interconnectades i un fracàs en qualsevol d’ells pot afectar el resultat. Tot i que comencem a clavar una manera segura i verificable de votar, encara estem lluitant amb… bé, la resta.

Votar és simplement massa difícil a Amèrica i els vots individuals no tenen el mateix pes. Un esforç per convertir el dia de les eleccions en vacances es va anomenar una presa de poder partidista. La pràctica de gerrymandering ha experimentat algunes derrotes en els darrers anys, però aquesta és l’excepció més que la norma. Ens vam aferrar al col·legi electoral, tot i haver tingut dues eleccions en els darrers 20 anys on el candidat guanyador va perdre el vot popular.

Són problemes que han estat amb el nostre país des de fa generacions i la tecnologia només pot tenir un petit paper en la solució. Fins i tot la interacció russa del 2016 va ser simplement un gir d’alta tecnologia sobre la desinformació i la propaganda. Ja hem vist aquest problema. Els estafadors saben des de fa temps que és molt més fàcil simplement trucar a algú i demanar informació personal o presentar-los amb una pàgina web de phishing, en comptes d’intentar piratejar objectius de forma directa. L'anomenem "enginyeria social", però es pot dir que es pot fer que les noves tecnologies hagin fet ordres de magnitud més eficients. La millor solució que tenim és l’entrenament i l’educació, no un intel·ligent defensor alimentat per IA.

De la mateixa manera, tot i que l’ansietat ha augmentat per les noves amenaces tecnològiques per a la democràcia, és possible que una defensa tecnològica no sigui factible. James Foster, conseller delegat de ZeroFOX, va desglossar-lo simplement: és bastant baix l’orientació a grups específics de votants nord-americans per a campanyes de desinformació persistents que utilitzin plataformes de màrqueting existents, similars a les que veieu publicar anuncis en aquest lloc. El cost d’utilitzar sistemes automatitzats per examinar text, imatges i vídeo per bloquejar la desinformació és significativament més gran.

Per la seva banda, els governs semblen invertir molt en tecnologia per atacar-se els uns als altres i consideren les eleccions com una excel·lent oportunitat per fer-ho. Kenneth Geers, científic en recerca de Comodo, va mostrar com les eleccions de qualsevol país provoquen una pujada massiva de deteccions de programari maliciós.

• Rússia és una amenaça per a les eleccions dels Estats Units? "Sí, absolutament", diu el director del FBI que Rússia és una amenaça per a les eleccions dels Estats Units? "Sí, absolutament", diu el director de l'FBI
• Com protegir les eleccions dels Estats Units abans que sigui massa tard Com protegir les eleccions dels Estats Units abans que sigui massa tard
• Campanyes d’influència electoral: Massa barates perquè els estafadors transmetin campanyes d’influència electoral: Massa barats perquè els estafadors transmetin

Alguns d’això, va admetre Geers, podrien ser estafadors que utilitzessin esdeveniments de captació principal, però va suposar que es tractava sobretot d’agències d’intel·ligència i possiblement també de partits polítics. Per separat, tot un grup va acordar que no hi havia cap manera concreta d’evitar que les nacions realitzessin aquest tipus d’activitats.

Última trucada a la cabina de votació

Les darreres setmanes he passat digerint tot el que he sentit i vist a la conferència. Vaig suposar que un cop tancades les màquines de votació, això seria. Els dolents serien colpejats. No és així.

Per descomptat, assegura les nostres paperetes i examina els resultats amb l’anàlisi estadística, però les eleccions no es poden garantir completament amb cap quantitat de tecnologia sola. No hi ha cap producte fora de la prestatgeria per tallar una desinformació hiper-objectiva, ni un pedaç de programari per a fets alternatius ni cap antivirus per a les granges de trolls de l'estat nació. Per garantir que la nostra democràcia suporti aquestes noves amenaces, haurem de dur a terme un treball social dur per educar els votants i el dolorós treball polític perquè els vots siguin importants. No vaig sentir a ningú entre les persones molt intel·ligents de RSAC que tinguessin una solució per a tot això.