Hack costi di votazione inferiori a $ 100.000

Perché spendere milioni di dollari in campagne quando si possono hackerare le elezioni per meno di 100 mila?

Questa è una domanda sollevata dai ricercatori universitari che hanno recentemente acquistato una macchina per il voto di Sequoia AVC Advantage e poi hanno usato una nuova tecnica di hacking per eludere la sicurezza.

Anche se sono stati hackerati in precedenza, le macchine AVC di Sequoia sono considerate un obiettivo piuttosto difficile perché hanno uno speciale meccanismo di protezione della memoria che consente loro di eseguire solo il software che sono cablati per eseguire nella ROM della macchina (memoria di sola lettura)).

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Ma usando una nuova tecnica di hacking, chiamata attacco di programmazione orientato al rendimento, i ricercatori sono stati in grado di ingannare la macchina per cambiare i risultati di un'elezione, AC in collegamento con Alex Halderman, uno dei ricercatori universitari dietro il lavoro. Halderman è con l'Università del Michigan, ma anche i ricercatori dell'Università della California, San Diego e Princeton University sono stati coinvolti nel progetto. Hanno presentato i loro risultati al Workshop di voto elettronico di Usenix 2009, tenutosi a Montreal questa settimana.

I ricercatori hanno testato i risultati su una macchina acquistata da un sito di aste pubbliche dopo che la contea di Buncombe, nel North Carolina, ha smesso di utilizzare le macchine per il voto nel 2007.

L'hacking non è stato facile - secondo Halderman ci sono voluti circa 16 mesi-uomo di lavoro per ottenerlo - ma a stipendi universitari sarebbe ancora più economico della maggior parte delle campagne elettorali americane, ha detto. "Il costo di quel tempo era inferiore a $ 100.000", ha detto.

Il lavoro è stato svolto senza accesso al codice sorgente o documentazione oltre a ciò che è disponibile sul sito Web di Sequoia.

Per tirare fuori l'attacco, i ricercatori ha installato un microcontrollore fatto in casa che è stato inserito nella porta progettata per la cartuccia dei risultati del voto e ha inviato risultati fasulli alla macchina per il voto utilizzando questa tecnica di programmazione orientata al rendimento. "È possibile utilizzare frammenti del programma esistente per formare un set di istruzioni completamente nuovo", ha detto Halderman.

La macchina AVC Advantage 5.0 testata aveva tra 10 e 15 anni, ma questo tipo di macchina è ancora utilizzato in Louisiana e New Jersey (dove i critici per il voto elettronico hanno fatto causa per rimuoverlo dall'uso attivo).

I ricercatori hanno precedentemente rivelato altri modi per hackerare i sistemi, inclusa la manomissione del firmware della macchina sostituendo un chip ROM con un altro.

E I produttori di macchine da presa a voto affermano che questi attacchi sarebbero difficili da realizzare in situazioni del mondo reale perché qualcuno avrebbe bisogno di manomettere fisicamente la macchina per il voto. I ricercatori dicono che possono portare a termine i loro attacchi in pochi minuti.

Sequoia non ha risposto a una richiesta di commento sull'hack.