從未消停的投票攻擊

2016年的美國總統大選可謂是一波三折，最終特朗普當選美國總統，但這一結果其實是飽受爭議的，不少民眾認為有黑客參與其中對美國大選投票進行了干預，但由于沒有切實證據，此事也就不了了之了。

[[330093]]

如今，新一輪的總統大選開戰在即。但這4年間，投票選舉領域卻似乎并未消停過。

據悉，美國選舉事件后，DEF CON黑客大會的參與者們便組成了一個“投票黑客村”(Voting Hacking Village)，以各種方式破解來自Diebold、Sequoia和WinVote的投票機器，包括讓黑客在遠程透過Wi-Fi網絡存取，并上傳惡意軟件到投票系統。

在2017年的DEF CON黑客大會上，信息安全研究員甚至用90分鐘的時間成功攻破了美國大選所用的同款投票機。攻破方式更是多種多樣的，例如通過Wi-Fi進行遠程訪問，再如其它物理硬件上的漏洞，僅通過插入鍵盤鼠標就獲得了投票機的控制權，然后根據黑客自身的意愿來更改票數信息等。

2017年，美國人權組織“自由之家(Freedom House)”在其發布的《網絡與民主狀況年度報告》中指出，“自由之家”對65個國家的民眾進行了調查，其中87%為互聯網用戶;結果發現，有政府或外部機構試圖通過對其中18個國家的互聯網進行限制或干擾來影響選舉。

同樣是2017年，法國大選期間，俄國黑客組織APT28被指入侵馬克龍的電子郵件，試圖干擾總統大選。該組織也曾被指入侵美國民主黨全國委員會(DNC)，泄露希拉里競選主席約翰·波德斯塔的電子郵件。

2017年9月，美國國土安全部(DHS)首次披露，有21個州在2016年的總統選舉中被黑客攻擊。該名單中包括佛羅里達州、俄亥俄州、賓夕法尼亞州等搖擺州，而這些州正是特朗普輸給希拉里280萬選票之后依然贏得選舉的關鍵。不過國土安全部的聲明比較保守，表示唯一百之百確認被黑客攻擊的是伊利諾伊州，其他的高度懷疑。

2018年5月，用于顯示美國田納西州諾克斯維爾市初選結果的網站，一度因遭遇分布式拒絕服務(DDOS)攻擊而被迫中斷服務，此舉造成選民訪問網站及查看選舉結果受限。

近日，塔斯社消息稱，俄羅斯用于選舉黨派候選人的區塊鏈初選投票平臺遭到了分布式拒絕服務(DDoS)攻擊。

尋求新興技術解決方案

隨著2020年競選活動正在如火如荼的開展中，如何實現公正、準確的選舉能力已經成為美國聯邦、州以及地方政府的頭等大事，這些組織機構正在越來越多地探索諸如區塊鏈、人工智能和生物識別技術等新興技術解決方案，以減少網絡干擾選舉的風險，同時幫助提高公眾對于民主進程的信心。

行業領導者一致認為，這些技術著實能夠檢測可疑活動并阻止入侵，但是想要實現這一點，還有很長的路要走。

夏普阿爾法顧問公司(Sharp Alpha Advisors，總部位于紐約的一家AI驅動體育/游戲咨詢公司)的創始人兼首席執行官，同時也是 ICED(一個致力于AI領域道德問題的非營利性組織)創始人兼董事長的Lloyd Danzig表示：

“鑒于投票系統通常在選舉日部署，因此零日攻擊的可能性尤其令人不安。重要的是要事先制定并審核適當的安全檢查、支持和應急響應計劃。”

人工智能，真正的解決方案

據Danzig介紹稱，諸如人工智能(AI)之類的新興技術可以應用于全球范圍內的投票設備上，也可以應用于單個投票設備上。例如，人工智能算法與利用機器學習架構的生物識別驗證相結合，可以幫助防止選民欺詐行為。他表示：

“模式識別可以用于檢查投票操縱的欺詐行為，或是受損的投票設備等跡象。這種方法還可以并幫助增強投票系統和選民數據庫的安全性。當然，還有一些輔助用例，例如由AI驅動的聊天機器人，可以指導選民完成注冊或投票過程。此外，人工智能還可以通過識別境外行為者慣用于尋找軟件后門訪問的模式，來幫助實時鑒別潛在的攻擊行為。而生物特征驗證機制可以由機器學習提供訓練或技術支持。人工智能還可以用來預測和模擬對抗性攻擊，以便在問題真正出現之前就可以實施解決方案。”

區塊鏈創建可驗證的永久投票

與此同時，總部位于芝加哥的企業區塊鏈咨詢公司GoImmutable的合伙人Greg Forst還表示，區塊鏈技術還可以確保投票過程不會被黑客入侵或篡改。

區塊鏈是一個開放的，分布式的數據分類帳，其中包含加密散列，該散列包括時間戳和交易數據，這使得投票數據無法修改。Forst表示：

“區塊鏈可以使得數字投票不可變，這也就意味著這些數據無法更改。此外，它還可以實現遠程投票幫助更多人實現投票行為。”

西弗吉尼亞州的國務卿Mac Warner在23年的美國陸軍生涯中，親身體驗了進行海外投票的障礙。他說：

“在阿富汗的山坡上，很難收到郵件，也很難把郵件發送出去。”

而通過區塊鏈網絡提供的遠程投票功能，這一困難也就迎刃而解了。

目前，不同的國家和組織都已經開始試驗這種具有透明度的、安全的、不可篡改的分布式賬本技術。2018年3月，塞拉利昂在清點總統選票時采用了區塊鏈技術，成為了世界上第一個將區塊鏈技術應用在選舉上的國家;5月，弗吉尼亞州也使用Voatz平臺，幫助海外服役的軍事人員(以及其他人員)實現了遠程投票。據悉，Voatz是一個基于區塊鏈的投票項目，成立于2014年，旨在替代缺席選票，在Voatz系統下，用戶將通過應用程序遠程投票，并通過手機的面部識別系統驗證身份。目前，Voatz已經在包括猶他州，俄勒岡州，科羅拉多州和西弗吉尼亞州在內的多個州使用或試用。

很顯然，在選舉中應用區塊鏈技術來替代傳統的選舉方法是有優勢的，這是對目前選舉方式的巨大技術改進。許多國家目前仍在使用紙張系統進行選舉，這對于安全、欺詐以及腐敗來說，存在巨大漏洞。而區塊鏈則為選民提供了一個更新的系統，來解決這些問題。

區塊鏈投票運行原理

區塊鏈投票類似于我們習慣的模擬投票，它們的概念和流程也大同小異。為了進行數字投票，公民需要在特定的司法管轄區注冊并證明其公民身份，然后再將該用戶密鑰關聯到區塊鏈上，記錄其身份和國籍。

接下來，公民需要投票來表決。在區塊鏈中，這很可能采用一種特殊的投票 Token 形式，將這種 Token 存到用戶的帳戶中。這個 Token 也可能有一個投票的時間限制，之后它將通過智能合約銷毀或失效。

用區塊鏈進行投票，涉及將投票的 Token(選票)發送到特定的地址。選民們將知道哪個地址與哪個候選人或公民投票一致，將 Token 發送到該地址即代表投出了票。

從技術角度來說，這聽起來很簡單。投票會在區塊鏈上注冊，而區塊鏈不可篡改、可驗證和透明化。我們可以輕而易舉地唱票，并宣布選舉的獲勝者。此外，我們可以設計友好的用戶界面，把向特定地址發送 Token 的過程隱藏在后臺，自動化進行。相反，選民將會看到一個簡單的線上界面，讓他們選擇候選人或議案，然后單擊提交。

總而言之，區塊鏈技術的透明度，允許通過不同途徑進行投票和統計，使投票行為變得更加容易。同時，由于區塊鏈的匿名交易特性，選民依然可以保護個人隱私。

在區塊鏈網絡中，如果黑客想要篡改選舉結果，他們需要持有區塊鏈網絡上51%的投票分類賬，而實現這一過程，他們需要入侵多個不同的基礎設施，然后按照非常特定的順序破解每個節點基礎設施上的密碼，以免在區塊鏈網絡內觸發任何危險信號。而這幾乎是不可能實現的!

存在的問題

既然優勢如此明顯，我們為什么還不在區塊鏈上投票呢?那是因為還有很多問題需要先解決。

一個主要的問題是核實選民身份。要使區塊鏈投票系統正常運行，就必須先要建立一個強大的、無懈可擊的系統，以確保正確識別選民身份，防止人們多次投票或是非人為投票。例如，需要創建一種數字ID形式并將其存儲在集中式數據庫中。但是，至少到目前為止，驗證數字身份并非不存在風險。

我們如何獲悉智能手機上的投票的確是本人所為?這確實是一個亟需解決的問題。目前，一些系統正在嘗試使用生物特征數據作為身份證明，但這又為個人隱私、生物特征數據的集中控制以及選民跟蹤和定位方面打開了另一扇攻擊大門。并非所有政府都會將本國公民的最大利益放在心上，這些數據中的大部分都可以用于定位和攻擊當時投了反對票的那些人。

投票表決：新興技術機會將增加

迄今為止，許多新興技術已經用于測試環境和小規模的投票系統部署中。隨著市場的成熟和創新的不斷發展，人們期待可以從這些新興技術中獲取更多好處，同時也會加快部署步伐。

當然，這些技術所構成的威脅程度與運營商認為它們所具備的可靠程度也是呈正比的。一般而言，“好人”可以用AI做的事情，“壞人”也一樣可以實現。我們所有人都有責任確保我們擁有適當的保護和技術，來維持和保護我們的民主。

新興技術不會在一夜之間改變選舉，其實施需要一個緩慢而慎重的過程。投票行為對社會發展和穩定至關重要，所以必須以系統的方式進行審核、測試和實施。