Stemapparaat Hack kost minder dan $ 100.000

Waarom miljoenen dollars uitgeven aan campagnes als je een verkiezing voor minder dan 100 grand kunt hacken? Dat is een vraag van universiteitsonderzoekers die onlangs een Sequoia AVC Advantage-stemmachine hebben gekocht en vervolgens een nieuwe hacktechniek hebben gebruikt om de beveiliging te omzeilen.

Hoewel ze al eerder zijn gehackt, worden de AVC-machines van Sequoia beschouwd als een behoorlijk moeilijk doelwit omdat ze een speciaal mechanisme voor geheugenbescherming hebben waarmee ze alleen software kunnen uitvoeren die ze met vaste bedrading kunnen uitvoeren in het ROM van de machine (alleen-lezen geheugen).

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Maar met een nieuwe hacktechniek, een terugkeergerichte programmeeraanval genoemd, konden onderzoekers de machine misleiden en de resultaten van een verkiezing veranderen, ac volgens Alex Halderman, een van de universitaire onderzoekers achter het werk. Halderman is bij de University of Michigan, maar ook onderzoekers van de University of California, San Diego en Princeton University waren bij het project betrokken. Ze presenteerden hun resultaten op de Elektronische Voting Workshop van Usenix 2009 deze week in Montreal.

De onderzoekers testten hun resultaten op een machine gekocht bij een overheidsveilingsite nadat Buncombe County, North Carolina, de stemmachines in 2007 stopte.

De hack was niet gemakkelijk - Halderman schat dat het ongeveer 16 manmaanden werk kostte om het af te maken - maar op salarissen van de universiteit zou dat nog steeds goedkoper zijn dan de meeste Amerikaanse verkiezingscampagnes, zei hij. "De kostprijs van die tijd was minder dan $ 100.000," zei hij.

Het werk werd gedaan zonder toegang tot de broncode of documentatie die verder gaat dan wat beschikbaar is op de website van Sequoia.

Om de aanval te starten, hebben de onderzoekers installeerde een zelfgemaakte microcontroller die op de poort was aangesloten die ontworpen was voor de cartridge met stemresultaten en verzond nepresultaten naar de stemmachine met behulp van deze op terugkeer gerichte programmeertechniek. "U kunt fragmenten van het bestaande programma gebruiken om een ​​geheel nieuwe instructieset te vormen," zei Halderman.

De AVC Advantage 5.0-machine die zij hebben getest was tussen de 10 en 15 jaar oud, maar dit type apparaat wordt nog steeds gebruikt in Louisiana en New Jersey (waar critici van e-voting aanklagen om het te verwijderen voor actief gebruik).

Onderzoekers hebben eerder andere manieren bekendgemaakt om de systemen te hacken, inclusief knoeien met de firmware van de machine door één ROM-chip te vervangen door een andere.

E - makers van videomachines stellen dat deze aanvallen in echte situaties moeilijk kunnen zijn, omdat iemand fysiek zou moeten knoeien met de stemmachine. Onderzoekers zeggen dat ze binnen enkele minuten hun aanvallen kunnen uitvoeren.

Sequoia heeft niet gereageerd op een verzoek om commentaar op de hack.