教授黑入投票器，能说明选举舞弊吗？

【提要】

研究者本人表示，没有证据表明2020年大选存在舞弊。他只是发现了系统的潜在漏洞。而且这种漏洞无法在现实的投票环境中实现大规模攻击。

文：詹涓

上周，鼓吹选举舞弊说的右翼媒体又一次集体疯狂，他们称，一位密歇根大学的教授只用了一支笔就黑进了多米尼(Dominion)投票计票器，成功改变了总票数，由此推定，川普在2020年就是败在了投票机舞弊上。 

先说他们说对的地方：这位教授真有其人，虽然不是右翼媒体所说的“选举专家”，但他是网络安全专家，他也确实在法庭上演示了侵入投票系统的过程，只不过只用笔做不到，还需要大量专业知识。但一次攻击投票系统的演示，只能说明投票系统有着潜在的漏洞，并不能说明在现实世界中有机会实现这种攻击，更不意味着在2020年已经发生过这种攻击。 

以下是一些核心事实：

图源：霍尔德曼个人博客，via freedom to tinker

作为专家证人，计算机科学教授亚历克斯·霍尔德曼(J. Alex Halderman)本人多次强调（见上图），没有任何证据表明这些漏洞在过去的选举中被利用来改变选票，他也曾作证称，没有证据表明密歇根州的2020年总统选举存在舞弊；

霍尔德曼在演示时，设想周围没有安保监督、没有事后审计，这与选举日的现实环境不同；与此同时，他是在获得了对投票系统的完全访问权限并研究了超过12周的情况下，写出了侵入代码，现实世界中也没有黑客能获得这样的网络攻击条件；

霍尔德曼承认，这种攻击一次只能黑入一台机器，因此无法成规模地短时间内黑入佐治亚州3.5万台设备；

这种漏洞存在于投票的触屏打印系统(BMD)，而不是右翼媒体所说的读票计票系统。美国只有两个州要求所有亲自投票的人使用这种系统，另一个是紧邻的南卡罗来纳，而该州使用的是另一家公司生产的机器。也就是说，它也许能孤立地影响佐治亚州的一台机器，但既无法影响佐治亚州更多设备，也不可能影响其他州的投票机；    

这并不是说霍尔德曼的研究不重要，鉴于他的发现，佐治亚州已经在2020年更换过投票系统，目前则在推进法案，要求改进BMD设备。

佐治亚州的投票有什么特别？ 

霍尔德曼是投票技术专家，也是密歇根大学计算机安全与社会中心的主任，早在2016年总统大选后，他和其他专家就敦促克林顿竞选团队要求在威斯康星、密歇根和宾夕法尼亚三州（在这三个摇摆州川普以微弱优势获胜）重新计票，他不断表示，电子投票机陈旧且易受攻击，可能会受到外国政府和其他势力的操纵。 

他近期作证的这起诉讼起源于2017年，诉讼最初是由左倾的善治联盟(Coalition for Good Governance)和一群个人选民提起的，目的是要求佐治亚使用纸质投票机。 

当时，佐治亚州使用的是过时的迪堡(Diebold)无纸化触屏投票机。霍尔德曼和其他科学家的研究发现，这种设备非常脆弱，容易受到恶意软件感染。法官艾米·托滕贝格(Amy Totenberg)因此命令佐治亚在2020年初之前更换这些机器。 

佐治亚州立法机构于2019年初对更换投票设备的提案予以通过，该州在2020年用多米尼的纸质投票系统取代了迪堡触屏投票机。 

原告要求佐治亚州更换纸质投票系统的目标已经达成了，但这场诉讼并没有停止。原告更新了他们的诉请，表示新的多米尼投票机也存在网络安全漏洞，要求使用手写选票。 

对于不熟悉这些投票系统的读者，有必要先解释一下佐治亚的投票机是如何操作的，和其他州的投票有什么不同。 

美国近70%的选民使用的是手写选票：进入投票站后先核实身份，然后获得一张空白的纸质选票，选民进入小隔间里填写选项，之后将选票送进读票机扫描并录入系统。              

全美各州的投票日设备。其中绿色部分为手写选票辅以BMD，黄色部分为所有选民只有BMD，包括了佐治亚州和南卡全州，以及德克萨斯的多数选区。

在每个投票站里，按规定都需要至少有一台BMD，BMD是由一个触摸屏平板电脑加一台打印机组成的，选民在平板上点选投票，用打印机打出一份带有二维码和/或文字摘要的结果，再送去读票机扫描和计票。       

听起来好像有点多此一举，但BMD能使用多种语言朗读选票内容，对于一些弱势群体来说非常有帮助，比如残障人士，老年和手部颤抖的选民，以及语言能力有限或有视力障碍的选民。除此之外它也可以规避一些手写选票可能发生的错误，比如选民选择的候选人超出或少于允许范围，选民填写不当或者不正确，导致选票作废。     

佐治亚州的不同之处在于，BMD在多数州主要是辅助设备，而在这个州，所有在选举日当天进行现场投票的人都是完全使用BMD来投票。主张采用这种操作的人认为，这可以确保每个选民都获得同样的体验。          

这就成了问题所在，霍尔德曼认为，BMD这个中间步骤尤其脆弱，因为它打出的是条形码，人类无法直接阅读，因此这个步骤理论上是有可能用来作弊的。  

霍尔德曼有什么重要发现？ 

霍尔德曼的发现，基于的是富尔顿县多米尼设备对他的完全开放：托滕贝格法官给了霍尔德曼对投票系统的完全访问权限和密码，他与其他专家得以对设备进行了12周密集测试——请注意，这是一个不现实的威胁场景，这已经表明了这种测试的不可复制性。          

在测试后，霍尔德曼完成了一份96页的报告，指出多米尼投票系统存在漏洞，可以被利用，但尚未被利用，有可能导致在未来的选举中选票被操纵。霍尔德曼还强调，2021年1月，川普盟友雇用的计算机取证团队进入佐治亚州的一个农村县，从选举设备中复制数据和软件，导致这些软件被数量不明的人掌握，这导致该州遭到黑客攻击的风险增加（该县已更换选举设备）。          

霍尔德曼一再强调，他发现的漏洞并不能证明2020年大选是被窃取的，而只能说明这些投票机面临着潜在的攻击，因此需要迅速采取行动。此前，作为另一场诉讼的专家证人，他证明在密歇根州安特里姆县的2020年总统大选结果是准确的。这已经说明了川普的盟友拿它来说明2020大选被窃是多么荒唐。          

霍尔德曼的报告完成后，多米尼进行了软件更新，解决了其他的几个漏洞，但它针对多米尼的BMD系统（商业名为ICX投票标记设备）的技术漏洞分析看来仍然成立：ICX设备附带了一个文本编辑器和一个允许root访问的终端仿真器，留下了被侵的空间。         

一台触屏平板加一台激光打印机，构成了BMD投票系统。          

在他的演示中，霍尔德曼先是用一支笔插进了一台平板的后面，并在那里保持了几秒钟。这导致机器重新启动进入“安全模式”，用户得以访问机器的安卓桌面。          

然后，他使用了一张进行编程并伪造身份的智能卡，获得了投票机的访问权限，打开了机器的审计日志，使用文本编辑器删除了一些数据点，再将一个新命令粘贴到终端模拟器中。结果，打印出来的选票中，文字部分反映的是选民真实选出的候选人，而条形码显示的是相反的结果，这就导致选民即使检查了文字结果，但也无从知道是否投票准确。          

理论中的攻击和现实中的攻击     

这个过程看起来十分惊人，但问题是，霍尔德曼的研究一不具可复制性，二不具可操作性。因此一些专家评价说，研究凸显的是“理论和想象中的风险”。

首先说它的不可复制。

审阅过霍尔德曼报告的专家，如佛罗里达大学计算机科学系系主任胡安·吉尔伯特(Juan Gilbert)，并不认为报告像霍尔德曼公开展示的那样可怕。

吉尔伯特写道：“只要有足够的权限和知识，任何电脑都可能被黑客攻击。”他补充说，虽然他认为BMD设备可以改进，但这“并不意味着我认为它们不够安全，或者在其他方面不堪一击。” 

吉尔伯特还强调，霍尔德曼的黑客攻击手段无法检测，也无法复制，他写道，“我不知道霍尔德曼博士是否曾向任何其他独立研究人员提供过被‘无法检测到的’黑客攻击破坏的设备，以测试他的理论。”          

再说不可操作性。          

2020年选举日，亚特兰大的一个投票站。

专注于选举的无党派媒体Votebeat在讨论霍尔德曼的报告时指出，他的攻击完全是在真空环境中进行的，丝毫没有考虑到投票的真实场景。“法官给了霍尔德曼对机器的完全访问权限和密码，他的报告显示，他的研究时间超过了12周。如果你让我在12周内进入一家银行，把钥匙交给我，让保安们不要插手，我很确定我也能实施抢劫。这是一个不现实的威胁场景，它忽略了物理安全措施、机器测试和风控审计的有效性，而这种种手段通常是选举官员和专家所信任的。”          

民主基金(Democracy Fund)高级顾问、亚利桑那州马里科帕县前选举管理员塔米·帕特里克(Tammy Patrick)对Votebeat说：“系统的安全性不仅取决于系统本身，还取决于它周围的一切。封条、挂锁、摄像头……如果你把钥匙留在一辆没锁的车里，我把车子给开走了，这能说明这辆车子的防盗性能不佳吗？” 

非营利性安全研究机构MITRE撰写的一份报告指出，基于正常的投票惯例、规模，以及对严格安全措施的遵守，霍尔德曼发现的黑客攻击“在操作上是不可行的”。佐治亚（以及其他所有州）的投票设备设有挂锁和封条保护，投票工作人员监督选区，选举前测试和纸质选票审计。          

MITRE的研究发现，霍尔德曼的攻击场景中有五个是“不可扩展的”，一次只能影响一台设备，这意味着它们“一次对单个设备的影响在统计上微不足道”。 

报告发现，第六种攻击场景因为在投票地点中设有严格的安全限制，因为无法实施。          

解释下“不可扩展”。霍尔德曼在法庭上展示了用一支笔、一张智能卡改变投票结果的潜力，但他也承认，这种操作一次只能影响一台机器，而且智能卡中的恶意文本命令需要有专业知识——具体来说，是像他那样获得了多米尼设备完全访问权后获得的专业知识。但是佐治亚州一共有2700个投票站、3.5万台BMD机器，不法分子如何才能协调一致，在短时间内既能获得智能卡和入侵指令，又能神不知鬼不觉地用笔插入机器中重启电脑，改变选举结果，然后偷偷溜出去呢？

佐治亚州将进一步加强选举安全          

霍尔德曼表示，也许不需要入侵大量机器，只要攻击少许，在重大选举中就可能会造成“混乱”。

他的信息是有意义的。乔治城大学(Georgetown University)计算机科学与法学教授马特·布雷兹(Matt Blaze)说，作为一名选举安全研究人员，看到错误信息的泛滥让人感到沮丧。他对美联社说：“多年来，选举安全专家提出的担心没有被重视，这显然不对。但突然之间，人们走到风向的另一面，说存在缺陷就意味着选举被窃，这也不对。”     

佐治亚州选举官员声称，所有的投票系统，包括手写选票，都有潜在的风险，没有证据表明任何投票被篡改、操纵或改变；也没有证据能超过该州继续使用现有设备的益处，他们说，选择这些机器是因为它们能让残疾人毫无困难地投票，简化了选举工作人员的工作，并有助于获得准确记录的选票。          

与此同时，基于霍尔德曼的发现，佐治亚州参众两院正在各自推进法案，要求取消该州大部分选票上的条形码。本周四，参议院道德委员会以8比2的投票结果将参议院第189号法案提交给全体参议院。它的目的是需要新的光学扫描仪来读取选票上的打印文本，而不是条形码。

如果现有的漏洞导致不法分子能改变投票的条形码，而扫描和计票系统只能扫码读不了文字，这样的新设备就将有望堵上漏洞。预计改进机器可能需要大约六到七个月的时间。同时，该州还在升级BMD机器。          

与川普的盟友不同，我们不应该陷入逻辑陷阱，认为理论上的系统潜在漏洞意味着它们已经被人们所利用。同时也需要反复强调，霍尔德曼的报告是基于对系统的不受限制的访问，这与选举的现实环境不同。

来源于美国华人杂谈