Biaya Voting Machine Hack Kurang dari $ 100,000

Mengapa menghabiskan jutaan dolar kampanye ketika Anda dapat meretas pemilu kurang dari 100 ribu?

Itu adalah pertanyaan yang diajukan oleh para peneliti universitas yang baru-baru ini membeli mesin voting AVC Advantage Sequoia dan kemudian menggunakan teknik peretasan baru untuk menghindari keamanannya.

Meskipun telah diretas sebelumnya, mesin AVC Sequoia dianggap sebagai target yang cukup sulit karena mereka memiliki mekanisme perlindungan memori khusus yang memungkinkan mereka untuk hanya menjalankan perangkat lunak yang mereka siapkan untuk dijalankan dalam ROM mesin (memori hanya-baca)).

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

Tetapi menggunakan teknik peretasan baru, yang disebut serangan pemrograman berorientasi-kembali, para peneliti mampu mengelabui mesin untuk mengubah hasil pemilihan., ac Menurut Alex Halderman, salah satu peneliti universitas di balik pekerjaan itu. Halderman bersama Universitas Michigan, tetapi para peneliti dari Universitas California, San Diego dan Universitas Princeton juga terlibat dalam proyek ini. Mereka mempresentasikan hasil mereka di Usenix 2009 Electronic Voting Workshop, yang diadakan di Montreal minggu ini.

Para peneliti menguji hasil mereka pada mesin yang dibeli dari situs lelang pemerintah setelah Buncombe County, North Carolina, berhenti menggunakan mesin voting pada tahun 2007.

Peretasan itu tidak mudah - Halderman memperkirakan butuh 16 bulan kerja untuk mendapatkannya - tetapi pada gaji universitas yang akan tetap lebih murah daripada kebanyakan kampanye pemilu AS, katanya. "Biaya waktu itu kurang dari $ 100.000," katanya.

Pekerjaan itu dilakukan tanpa akses ke kode sumber atau dokumentasi apa pun di luar apa yang tersedia di situs Web Sequoia.

Untuk melakukan serangan itu, para peneliti memasang mikrokontroler buatan sendiri yang dicolokkan ke port yang dirancang untuk kartrid hasil suara dan mengirim hasil palsu ke mesin pemungutan suara menggunakan teknik pemrograman berorientasi-kembali ini. "Anda dapat menggunakan potongan dari program yang ada untuk membentuk satu set instruksi baru," kata Halderman.

Mesin AVC Advantage 5.0 yang mereka uji berusia antara 10 dan 15 tahun, tetapi jenis mesin ini masih digunakan di Louisiana dan New Jersey (di mana kritikus e-voting telah menggugat untuk menghapusnya dari penggunaan aktif).

Para peneliti sebelumnya telah mengungkapkan cara lain untuk meretas sistem, termasuk merusak firmware mesin dengan mengganti satu chip ROM dengan yang lain.

E pembuat mesin -voting berpendapat bahwa serangan ini akan sulit untuk melakukan dalam situasi dunia nyata karena seseorang perlu secara fisik mengutak-atik mesin voting. Para peneliti mengatakan mereka dapat melakukan serangan mereka dalam hitungan menit.

Sequoia tidak membalas permintaan untuk komentar tentang peretasan.