كيفية التحكم في الانتخابات عن طريق اختراق قاعدة بيانات تسجيل الناخبين

في سبتمبر 2017 ، حذرت وزارة الأمن الداخلي (DHS) ما لا يقل عن 21 ولاية للمرة الأولى ، من أن قواعد بيانات تسجيل الناخبين كانت مستهدفة قبل عام من قراصنة الحكومة الروسية.

في أواخر فبراير 2017 ، أي بعد مرور أكثر من عام على الانتخابات ، كان هناك تقرير ، نفى بسرعة من قبل وزارة الأمن الوطني ، أن قواعد بيانات تسجيل الناخبين في سبع ولايات قد تم اختراقها بالفعل.

لماذا على الرغم من؟ كيف يمكن أن يكون اختراق قاعدة بيانات تسجيل الناخبين جزءًا من اختراق الانتخابات؟
 
الجواب الأكثر وضوحا هو الحرمان من الحقوق. إذا تم حذف الناخبين ، أو إذا تم تغيير عنوانهم أو معلومات التعريف الخاصة بهم بطريقة لا تظهر في دفاتر الاقتراع عندما يحاولون التصويت ، فقد يصوتوا في اقتراع مؤقت ، أو ببساطة يختلطون ، دون الإدلاء بأصواتهم تصويت.
 
مقال في كريستيان ساينس مونيتور يبرز هذا الخطر المحتمل.

لكن المقال لا يزال مستمرا. هناك طريقة أخرى ، حتى أكثر إثارة للاشمئزاز ، وهي أن قاعدة بيانات التسجيل المخترقة يمكن أن تسهم في اختراق الانتخابات.

عندما يفكر معظم الناس في "اختراق الانتخابات" ، يفكرون في تغيير مجاميع التصويت. ولكن كما هو الحال مع أي جريمة معقدة ، هناك الجزء الثاني. التستر.
 
يحتاج أي شخص يغير مجاميع التصويت إلى جعلنا نعتقد أنه لم يحدث شيء بالفعل. إنهم بحاجة إلى أن نشعر بأن هناك سببًا للنتائج. الناخبون الساخطون؟ تغيير التركيبة السكانية؟ حملة الفقراء؟ لا شيء لرؤية هنا. يرجى التحرك على طول.
 
يكفي أي تفسير شبه معقول يمنعنا من إعادة التفكير في أنظمتنا الانتخابية وإنهاء اللعبة من أجل الخير.
 
نعتمد على بيانات تسجيل الناخبين لتزويدنا بمعلومات عن الناخبين. نستخدم هذه البيانات للإجابة على أسئلة مثل:

  • كم عدد المسجلين في كل دائرة؟
  • هل هم ديمقراطيون؟ الجمهوريون؟ لا ينتمي مع أي حزب رئيسي
  • كم عدد الناخبين الذين ذهبوا إلى صناديق الاقتراع؟
  • كان هناك إقبال منخفض في بعض المناطق؟ إقبال أعلى في الآخرين؟

الإجابات على هذه الأسئلة تخلق تفسيرات لنتائج الانتخابات ، وخاصة عندما تكون النتيجة مفاجئة. في حالة الانتخابات الرئاسية لعام 2016 ، تحول الباحثون والصحفيون إلى بيانات التسجيل لفهم النتيجة غير المتوقعة.
 
ولكن ماذا لو تم تغيير بيانات تسجيل الناخبين؟ ماذا لو كانت البيانات التي يبدو أنها تغير المشهد السياسي خاطئة؟ ماذا لو تمت إضافة الناخبين "الزومبي" إلى قوائم الناخبين من أجل تغيير التركيبة السكانية الظاهرة؟ من أجل توضيح النتيجة التي كانت غير قابلة للتصديق تقريبًا؟

السيطرة على نظام التسجيل. السيطرة على الناخبين ، والسيطرة على الأصوات ، والسيطرة على السرد.

نقاط الضعف لا أحد يتحدث عن
عندما نتحدث عن اختراق قاعدة بيانات تسجيل الناخبين ، ماذا يعني ذلك؟ باختصار ، يعني الوصول إلى البيانات وسرقة البيانات.

او أسوأ. تغييره.

هناك عدة طرق يمكن القيام بها. هناك حقن SQL ، على سبيل المثال ، حيث يستغل المتسلل نقاط الضعف في الكود لتغيير قاعدة البيانات عن طريق إرسال الكود من خلال إدخال النموذج أو حتى من خلال عنوان URL.

خلال موسم حملة 2016 ، تم الوصول إلى نظام تسجيل إلينوي عبر حقن SQL. يشير تقرير واحد على الأقل إلى أن بعض سجلات التسجيل قد تم تغييرها أثناء الاختراق.

لقد تم توثيق هجوم إلينوي بشكل جيد إلى حد ما. يعطي الجدول الزمني الذي قدمته الدولة قدرًا كبيرًا من التفاصيل حول الهجوم والرد عليه. تم استخدام الهجوم لتسوية قاعدة البيانات - الوصول ، وربما تغيير عدد غير معروف من السجلات. لاحظت Wisconsin ، في مذكرة استجابة مكتوبة بعد تقرير DHS ، أن نفس الضعف في حقن SQL أو مشكلة مشابهة كانت موجودة في أنظمتها ولكن تمت معالجتها أثناء الترقيات التي أجريت في يناير 2016.

ولكن هناك طرق أخرى لاختراق هذه الأنظمة تتجاوز "الاختراق" الواضح مثل تلك التي اكتشفها DHS.

على سبيل المثال ، يمكن المساس بنظام تسجيل الناخبين من قبل موظف أو مقاول يعمل على أحد هذه الأنظمة من خلال "باب خلفي" مدمج في الكود. يمكن إخفاء مقتطف صغير من التعليمات البرمجية الضارة في الأنظمة التي تسمح للمستخدمين المميزين بإضافة أو تحديث أو الوصول إلى البيانات في قواعد البيانات هذه. يمكن استخدام هذا الرمز لسرقة كلمات المرور ، أو ببساطة للسماح بالوصول إلى قاعدة البيانات عن بعد للمستخدمين الخارجيين المحددين.

أخيرًا ، يمكن لأي عضو من الجمهور تغيير قاعدة بيانات تسجيل الناخبين بشكل ضار من خلال نموذج "تغيير تسجيلك" على مواقع الويب في العديد من الدول. أظهرت دراسة نشرها باحثو هارفارد في سبتمبر / أيلول مدى سهولة معالجة بيانات الناخبين باستخدام هذه النماذج.

وجد الباحثون أن العديد من الولايات تسمح لك بشراء معلومات كافية عن الناخبين يمكن لأي شخص أن ينتحل هوية ذلك الناخب وتغيير المعلومات - العنوان أو تفضيل الحزب أو حتى الاسم - باستخدام هذه النماذج عبر الإنترنت.

لقد وجدنا بسرعة ولاية واحدة على الأقل حيث يمكننا التلاعب بسهولة ببيانات الناخبين بهذه الطريقة. لم نجر أي تغييرات فعلية ، لأن ذلك سيكون جناية. كانت الولاية التي نظرنا إليها هي ولاية بنسلفانيا ، حيث تفوق ترامب على كلينتون بأكثر من 45000 صوتًا من بين 6.2 مليون صوتًا ، أو 0.73٪. حيث أصغر الفواق في العملية الانتخابية يمكن أن تؤثر على هذا الهامش الرفيع.

لقد اشترينا لقطة من بيانات تسجيل الناخبين في بنسلفانيا بمبلغ 20 دولارًا. أكثر من 8.5 مليون سجل. الأسماء والعناوين وتواريخ الميلاد والانتماء السياسي وتاريخ التصويت. ثروة من البيانات. مجموعات البيانات هذه متاحة للجمهور ، هنا
.
مسلحين بهذه المعلومات ، ذهبنا إلى صفحة "تغيير تسجيلك" على موقع وزارة الخارجية في ولاية بنسلفانيا. المعلومات باللون الأحمر إلزامية. كل شيء آخر هو اختياري. إن استثمارنا البالغ 20 دولارًا يمنحنا كل ما نحتاج إليه لانتحال شخصية ناخب أو العديد من الناخبين.

وفقًا للتعليمات ، يمكن استخدام هذا النموذج لتغيير حزب الناخب. أو اسمه أو اسمها.

باستخدام هذا النموذج ، يمكننا نقل عدد من الناخبين إلى أماكن الاقتراع المختلفة. يمكننا منع هؤلاء الناخبين من التصويت ، عن طريق إبعادهم عن مناطقهم المحلية. أو يمكننا الاطلاع على البيانات الخاصة بالناخبين الذين ليس لديهم تاريخ حديث للتصويت ، وربما كبار السن. من خلال تغيير العناوين وربما الأحزاب السياسية للناخبين الذين من غير المرجح أن يظهروا بالفعل في صناديق الاقتراع ، يمكننا تغيير التركيبة السكانية الواضحة لمنطقة ما دون الكشف عنها.

في هذه المقالة ، يوثق جوناثان أولبرايت بعض البرامج النصية لبيثون التي تم نشرها على موقع ويب لمشاركة الشفرة بواسطة موظف في Cambridge Analytica. يعثر أحد البرامج النصية على الإحداثيات الجغرافية لعنوان محدد. الغريب أن هذا البرنامج النصي يذكر على وجه التحديد "VoterID".

هذا البرنامج النصي قادر على إنشاء عناوين جديدة صالحة لتعيين ناخبينا لها. باستخدام هذا البرنامج النصي والمعلومات الواردة في مجموعة البيانات التي تم شراؤها ، يمكن نقل الناخبين إلكترونيًا إلى مناطق جديدة. يمكن القيام بذلك تلقائيًا عبر مكون إضافي للمتصفح يمكنه قراءة قائمة بالناخبين والعناوين المطلوبة وملء نموذج "تغيير في التسجيل" في بنسلفانيا تلقائيًا.

ولكن كيف يمكننا تحديد العناوين التي تم تعيينها لأي مكان من مراكز الاقتراع؟ نحن ببساطة نستخدم واجهة محدد موقع الاقتراع عبر الإنترنت ، التي نقدمها لك من ولاية بنسلفانيا المفيدة دائمًا:

تم توثيق واجهة برمجة تطبيقات تسجيل دخول الناخبين التي تتوافق مع الجمهور بشكل جيد جدًا. حتى شخص غير روسي يمكن أن يعرف ذلك!

أخيرًا ، وربما الأكثر دمارًا ، يمكن إرسال بريد إلكتروني للتصيد الاحتيالي إلى كاتب مقاطعة أو بائع أنظمة انتخابات في محاولة لسرقة بيانات اعتماد تسجيل الدخول لشخص لديه حق الوصول إلى قاعدة بيانات واحدة أو أكثر من قواعد الحالة. تم توثيق هجوم واحد على الأقل من هذه الهجمات الإلكترونية - ضد موظفي وعملاء شركة VR Systems لتكنولوجيا الانتخابات.

إذا تم اختراق أي معلومات تسجيل دخول في مثل هذا الهجوم ، فستكون قاعدة البيانات بأكملها لأي ولاية يخدمها هذا البائع قد فتحت للاعبين المشينين الذين كان بإمكانهم بسهولة إضافة الناخبين وحذفهم وتغييرهم.

يصر الصحفيون والسياسيون ، وحتى وزارة الأمن الداخلي ، على أنه رغم هذه الثغرات الواضحة ، لم تتغير تسجيلات الناخبين. ولكن كيف يعرفون ذلك بالتأكيد؟

- مايك فارب

www.unhackthevote.com

يرجى متابعتنا على Facebook على

https://www.facebook.com/unhackthevote.orgwww.unhackthevote.com

المساهمون:
saill
kottipillar
شون ايب - CSEC الأمن