Neste 14 de julho, 2018, foto, Sistemas eleitorais e software (ES&S), CEO Tom Burt, direito, examina alguns dos equipamentos eleitorais da empresa na área de exibição do fornecedor em uma convenção da Associação Nacional de Secretários de Estado na Filadélfia. Especialistas dizem que os principais fornecedores eleitorais há muito tempo economizam na segurança em favor da conveniência e usam sistemas proprietários, tornando mais difícil detectar intromissões eleitorais. (AP Photo / Mel Evans)
Foi o tipo de lapso de segurança que causa pesadelos aos funcionários eleitorais. Em 2017, um empreiteiro privado deixou dados sobre 1,8 milhão de eleitores registrados em Chicago, incluindo endereços, datas de nascimento e números parciais da previdência social - expostos publicamente por meses em um servidor em nuvem da Amazon.
Mais tarde, em uma audiência tensa, O Conselho Eleitoral de Chicago derrotou os três principais executivos da Election Systems &Software, o principal fornecedor nacional de equipamentos e serviços eleitorais.
Os três se mexeram inquietos nas cadeiras dobráveis enquanto os membros do conselho os interrogavam sobre o que havia de errado. O CEO da ES&S, Tom Burt, se desculpou e enfatizou repetidamente que não havia evidências de que os hackers baixaram os dados.
O lapso de Chicago proporcionou um raro momento de responsabilidade pública para as empresas de capital fechado que passaram a servir como guardiãs da linha de frente da segurança eleitoral dos EUA.
Um trio de empresas - ES &S de Omaha, Nebraska; Sistemas de Votação Dominion de Denver e Hart InterCivic de Austin, Texas - venda e conserte mais de 90 por cento do maquinário em que os votos são dados e os resultados tabulados. Especialistas dizem que há muito tempo economizaram na segurança em favor da conveniência, tornando mais difícil detectar intrusões, como ocorreu na intromissão nas eleições de 2016 da Rússia.
As empresas também não enfrentam supervisão federal significativa e operam sob um manto de sigilo financeiro e operacional, apesar de seu papel fundamental na sustentação da democracia americana.
Neste 11 de julho, 2018, foto, Peter Lichtenheld, vice-presidente de operações do fornecedor de sistemas de votação Hart InterCivic, testemunha durante uma audiência no Senado sobre segurança eleitoral em Washington. Especialistas dizem que os principais fornecedores eleitorais há muito tempo economizam na segurança em favor da conveniência e usam sistemas proprietários, tornando mais difícil detectar intromissões eleitorais. (AP Photo / Cliff Owen)
Em grande parte da nação, especialmente onde a experiência em tecnologia e os orçamentos são escassos, as empresas efetivamente realizam eleições diretamente ou por meio de subcontratados.
"Eles remendam as coisas o melhor que podem, "O especialista em tecnologia eleitoral da Universidade de Connecticut, Alexander Schwartzman, disse sobre os líderes do setor. Construir sistemas realmente seguros provavelmente os tornaria não lucrativos, ele disse.
Os custos de segurança inadequada podem ser altos. Não mencionado na audiência de Chicago:o cache de dados exposto incluía cerca de uma dúzia de senhas criptografadas para contas de funcionários da ES&S. Na pior das hipóteses, um invasor sofisticado poderia tê-los usado para se infiltrar nos sistemas da empresa, disse Chris Vickery da empresa de segurança Upgard, que descobriu o lapso de dados.
"Este é o tipo de coisa que leva a um compromisso completo, ", disse ele. ES&S disse que as senhas eram usadas apenas para acessar a conta da empresa na nuvem da Amazon e que" não havia acesso não autorizado a quaisquer dados ou sistemas a qualquer momento. "
Todos os três principais fornecedores se recusaram a discutir suas finanças e insistem que as preocupações com segurança são exageradas. ES&S, por exemplo, disse em um e-mail que "quaisquer afirmações sobre resistência a informações sobre segurança são simplesmente falsas" e argumentou que por décadas a empresa "foi bem-sucedida em proteger o processo de votação".
PEDREIRO NA SEGURANÇA
Neste 13 de março, 2018, foto, os eleitores votaram nas eleições primárias de Illinois, no centro de Chicago. Um lapso de segurança no ano passado devido à Election Systems &Software, fornecedora de sistema de votação, expôs publicamente dados sobre 1,8 milhão de eleitores de Chicago por meses online. O lapso proporcionou um raro momento de responsabilidade pública para uma empresa de capital fechado que é a guardiã da linha de frente da segurança eleitoral dos EUA. (AP Photo / Kiichiro Sato)
Muitos sistemas de votação em uso hoje em mais de 10, 000 jurisdições eleitorais dos EUA são propensas a problemas de segurança. Cientistas da computação acadêmicos começaram a hackea-los com facilidade há mais de uma década, e não mudou muito.
Os hackers podem teoricamente causar estragos em vários estágios do processo eleitoral. Eles podem alterar ou apagar listas de eleitores registrados para semear confusão, secretamente introduza software para inverter votos, embaralhe sistemas de tabulação ou desligue os sites de relatórios de resultados.
Não há evidências de que isso tenha acontecido, pelo menos não ainda.
Os fornecedores dizem que não há indicação de que hackers tenham penetrado em qualquer um de seus sistemas. Mas as autoridades reconhecem que alguns artifícios eleitorais ou armadilhas de malware podem ter passado despercebidos.
Em 13 de julho, O advogado especial dos EUA, Robert Mueller, indiciou 12 agentes da inteligência militar russa por, entre outras coisas, infiltração nos sistemas eleitorais estaduais e locais. Altos funcionários da inteligência dos EUA dizem que o Kremlin está bem posicionado para abalar a confiança na integridade das eleições durante as eleições deste ano, deve escolher.
Fornecedores eleitorais há muito resistem a testes de vulnerabilidade abertos por independentes, hackers éticos - um processo que visa identificar fraquezas que um adversário pode explorar. Esses testes agora são padrão para o Pentágono e os principais bancos.
Neste 14 de julho, 2018, foto, Sistemas eleitorais e software (ES&S), CEO Tom Burt, direito, examina alguns dos equipamentos eleitorais da empresa na área de exibição de fornecedores em uma convenção da Associação Nacional de Secretários de Estado na Filadélfia. Especialistas dizem que os principais fornecedores eleitorais há muito tempo economizam na segurança em favor da conveniência e usam sistemas proprietários, tornando mais difícil detectar intromissões eleitorais. (AP Photo / Mel Evans)
Enquanto os principais fornecedores afirmam ter intensificado seu jogo de segurança cibernética, os especialistas estão céticos.
"A indústria continua a bloquear o problema, "disse Bruce McConnell, um czar da segurança cibernética do Departamento de Homeland durante o governo Obama. Executivos de fornecedores eleitorais emitem garantias rotineiramente, ele disse, mas não incentive estranhos a inspecionar seu código ou ofereça "recompensas por bugs" para pesquisadores em busca de falhas em seus softwares.
Sen. Ron Wyden, um democrata de Oregon, há muito tempo critica o que ele chama de "grave subinvestimento do setor em segurança cibernética". Em uma audiência em julho, ele acusou as empresas de "esquivar-se, balançando e tecendo "em uma série de perguntas básicas de segurança que ele fez a eles.
ES&S disse à Associated Press que permite a independência, teste aberto de seus sistemas corporativos, bem como de seus produtos. Mas a empresa não quis nomear os testadores e se recusou a fornecer a documentação dos testes ou seus resultados.
Vice-presidente de assuntos governamentais da Dominion, Kay Stimson, disse que sua empresa também fez com que terceiros independentes investigassem seus sistemas, mas não os nomearam ou compartilharam detalhes. Hart InterCivic, o terceiro fornecedor, disse que fez o mesmo usando a empresa canadense de segurança cibernética Bulletproof, mas não iria discutir os resultados.
A ES&S contratou seu primeiro diretor de segurança da informação em abril. Nenhum dos três grandes fornecedores diria quantos especialistas em segurança cibernética eles empregam. Stimson disse que "a confidencialidade do funcionário e as proteções de segurança superam qualquer divulgação potencial."
Neste 11 de julho, 2018, foto, Sen. Ron Wyden, D-Ore., fala em uma audiência no Senado sobre segurança eleitoral em Washington. Wyden reclamou que os fornecedores de sistemas eleitorais "querem ser os guardiões de nossa democracia, mas parecem completamente desinteressados em salvaguardá-la". Dois dos três principais fornecedores eleitorais recusaram convites para comparecer à audiência. (AP Photo / Cliff Owen)
SOFTWARE INCLINADO E VULNERABILIDADE
Os especialistas dizem que podem levar as garantias de segurança da indústria mais a sério se não forem as abundantes evidências de desenvolvimento de software desleixado, uma importante fonte de vulnerabilidades.
Durante as eleições primárias deste ano, A tecnologia ES&S falhou em várias frentes.
No Condado de Los Angeles, mais de 118, 000 nomes foram deixados de fora das listas eleitorais impressas. Uma auditoria externa subsequente culpou a integração malfeita do sistema por uma subsidiária da ES&S durante a fusão do banco de dados.
Nenhuma auditoria desse tipo foi realizada no condado mais populoso do Kansas, depois que um tipo diferente de erro nos sistemas ES&S recém-instalados atrasou a contagem dos votos em 13 horas, à medida que o upload de dados de pen drives se arrastava.
O cientista da computação da Universidade de Iowa, Douglas Jones, disse que ambos os incidentes revelam uma programação medíocre e testes pré-eleitorais insuficientes. E os fornecedores de equipamentos de votação nunca pareceram preocupados com a segurança "em qualquer fase de seu projeto, " ele disse.
Neste 14 de julho, Foto 2018, um funcionário da Election Systems &Software (ES&S) demonstra o equipamento da empresa na área de exibição do fornecedor de uma convenção da Associação Nacional de Secretários de Estados na Filadélfia. Especialistas dizem que as tecnologias proprietárias e inseguras - que há muito enfatizam a conveniência em relação à segurança - estão impedindo os esforços federais para tornar os sistemas de votação dos EUA mais difíceis de serem hackeados pelos russos ou qualquer outra pessoa. (AP Photo / Mel Evans)
Por exemplo, o líder da indústria ES&S vende sistemas de tabulação de votos equipados com modems celulares, um recurso que os especialistas dizem que hackers sofisticados poderiam explorar para alterar a contagem de votos. Alguns estados proíbem essas conexões sem fio; no Alabama, o estado teve que forçar o ES&S a removê-los das máquinas em janeiro.
"Parecia que havia muito mais ênfase sobre o quão legal as máquinas podiam ser do que evidências reais de que eram seguras, "disse John Bennett, o vice-chefe de gabinete do secretário de estado do Alabama.
A Califórnia realiza algumas das análises mais rigorosas dos sistemas de votação nos EUA e repetidamente encontrou problemas crônicos com os sistemas de votação mais populares. Ano passado, um contratante de segurança estadual encontrou várias vulnerabilidades no sistema Electionware da ES&S que poderia, por exemplo, permitir que um invasor apague todos os votos registrados no encerramento da votação.
Em 2014, o mesmo empreiteiro, Jacob Stauffer, da empresa de segurança Coherent Cyber, descobriram "vulnerabilidades críticas múltiplas" no Democracy Suite da Dominion que poderiam permitir que hackers habilidosos comprometessem o resultado de uma eleição.
"Esses sistemas são o monstro de Frankenstein, essencialmente, "Stauffer disse.
O Departamento de Segurança Interna federal começou a oferecer testes de vulnerabilidade confidenciais para fornecedores durante o verão. Mas apenas um fornecedor se submeteu a esses testes, disse um funcionário da agência que falou sob condição de anonimato porque o funcionário não estava autorizado a discutir o assunto publicamente.
Em 14 de julho, A foto de 2018 mostra mouse pads de computador com o logotipo Secure the Vote neles, exibido em uma mesa no fornecedor de sistemas e software eleitoral (ES&S) em uma convenção de secretários de estado na Filadélfia. (AP Photo / Mel Evans)
INOVAÇÃO STALLED
Mais competição pode ajudar, mas as barreiras da indústria para fornecedores menores são "absolutamente enormes, "disse Larry Moore, presidente da empresa iniciante Clear Ballot. Seu sistema de votação auditável levou dois anos e meio para obter a certificação federal a um custo de US $ 1 milhão.
As startups enfrentam dificuldades para interromper uma indústria cujos principais participantes dependem fortemente de tecnologias proprietárias. A ES&S e outros fornecedores os protegeram zelosamente no tribunal - e também lançaram advogados contra funcionários eleitorais que compram produtos de concorrentes.
Em outubro, ES&S processou Cook County, Illinois, buscando anular seus $ 30 milhões, Contrato de 10 anos com um concorrente. Também ameaçou recentemente o condado de Louisiana e Douglas, Kansas, com ações judiciais para escolha de outros fornecedores.
O Diretor Eleitoral do Condado de Cook, Noah Praetz, disse que processar em defesa da participação de mercado só esfria a competição em um setor com margens "terrivelmente baixas", especialmente considerando o financiamento limitado do governo para equipamentos eleitorais.
"O mercado não está funcionando muito bem em termos de inovação, " ele disse.
Em 18 de julho, 2018, foto mostra um armazém em North Canton, Ohio, onde as máquinas de votação AccuVote TSX usadas anteriormente compradas de um condado de Ohio são vendidas por uma recicladora de eletrônicos por menos de US $ 100 cada. O antiquado, máquinas vulneráveis, ainda em uso em todo o país, são um legado de uma indústria que há muito enfatiza a conveniência em relação ao tipo de segurança que os especialistas dizem ser necessário para proteger os sistemas eleitorais do país de hackers sofisticados. (AP Photo / Frank Bajak)
SUPERVISÃO LIMITADA
As eleições são administradas pelos estados, cuja supervisão de fornecedores varia. Califórnia, Nova York e Colorado estão entre os estados que ficam de olho nos fornecedores, mas muitos outros têm relacionamentos mais íntimos com eles.
E os vendedores podem ser recalcitrantes. Em 2017, por exemplo, A Hart InterCivic recusou-se a fornecer à Virgínia uma máquina de votação com tela sensível ao toque e-Slate sem papel para teste, disse Edgardo Cortes, em seguida, o comissário eleitoral estadual.
No semestre deste ano - como na eleição de 2016 - cerca de 1 em cada 5 eleitores usará essas máquinas eletrônicas. Suas contagens não podem ser verificadas porque eles não produzem nenhum registro em papel.
Cortes decidiu cancelar a certificação de todos esses sistemas. Se alguém tentasse invadir e alterar os votos, ele concluiu, "não havia realmente nenhuma maneira de sabermos se isso tinha acontecido." Vice-presidente de operações da Hart InterCivic, Peter Lichtenheld, não contestou o relato de Cortes no depoimento de julho no Senado, mas disse que seus clientes da Virgínia já estavam mudando para máquinas mais novas.
No nível federal, nenhuma autoridade credencia vendedores eleitorais ou os vete ou seus subcontratados. Nenhuma lei federal exige que eles relatem violações de segurança ou realizem verificações de antecedentes de funcionários ou subcontratados.
Neste 8 de novembro, 2016, foto do arquivo, residentes da 33ª Ala de Chicago marcam suas cédulas no salão de sinuca de Marie's Golden Cue. Um lapso de segurança no ano passado devido à Election Systems &Software, fornecedora de sistema de votação, expôs publicamente dados sobre 1,8 milhão de eleitores de Chicago por meses online. O lapso proporcionou um raro momento de responsabilidade pública para uma empresa de capital fechado que é a guardiã da linha de frente da segurança eleitoral dos EUA. (AP Photo / Charles Rex Arbogast, Arquivo)
Os vendedores eleitorais nem precisam ser empresas americanas. Dominion era canadense até julho, quando uma firma de private equity de Nova York comprou o controle acionário.
A supervisão federal é limitada à pouco conhecida Comissão de Assistência Eleitoral, uma agência de 30 funcionários que certifica o equipamento de votação, mas cujas recomendações são estritamente voluntárias. Não tem poder de supervisão e não pode sancionar os fabricantes por quaisquer deficiências.
"Não podemos regular, "O presidente da EAC, Thomas Hicks, disse durante uma audiência no Congresso em 11 de julho, quando a questão foi levantada. Nem o DHS, embora tenha designado os sistemas eleitorais do país como "infraestrutura crítica" no início de 2017.
© 2018 Associated Press. Todos os direitos reservados.
