הניסוי הצליח? בן 11 פרץ למערכות הצבעה ממשלתיות בארה"ב
לפי מארגני ועידת אבטחת המידע הגדולה בעולם, דפקון, שבמסגרתה התבצעה הפריצה, הילד עשה זאת תוך 10 דקות - והוא לא היה היחיד
בן 11 פרץ בהצלחה לעותק של אתר הבחירות של פלורידה ושינה את תוצאות הבחירות שם בתוך פחות מ-10 דקות - כך לדברי מארגני ועידת הסייבר דפקון (DEFCON), שבמסגרתה התבצעה הפרצה. והוא לא היה היחיד.
- לא מחכים לנובמבר: תשתית הבחירות בארה"ב כבר נפרצה בידי האקרים
- חור בווטסאפ: האקרים יכולים לשנות הודעות, לבצע מניפולציות בקלות
- ממשלת ארה"ב מזהירה מפני פרצות אבטחה בתוכנות SAP ואורקל
דפקון, שנערכת מדי שנה בלאס וגאס, נחשבת לוועידת אבטחת המידע הגדולה והחשובה בעולם. בשנה שעברה, על רקע הדיווחים לניסיונות של האקרים רוסים להתערב במערכת הבחירות לנשיאות ארה"ב, הקימו מארגני הוועידה מתחם מיוחד ובו עשרות מכונות הצבעה מדגמים שונים - והזמינו את משתתפי הוועידה לנסות ולפרוץ עליהן.
המתחם הוקם גם השנה, כאשר לצד האקרים מבוגרים שהגיעו כדי לפרוץ למכונות הצבעה הוזמנו גם ילדים ונערים לנסות לפרוץ לשכפולים של אתרים שמציגים את תוצאות הבחירות בשש מדינות מפתח בארה"ב. 39 בני 6 עד 17 השתתפו באתגר, ו-35 מתוכם הצליחו למצוא ולנצל פרצות באתרים.
הפרצות שמצאו הילדים אפשרו להם לשנות את תוצאות הבחירות שמוצגות לציבור, וכן להחליף שמות מפלגות ומועמדים. בין השאר, תוצאות הצבעה שונו למספרים כמו 12 מיליארד ושמות מועמדים שונו ל-Bob Da Builder או Richard Nixon’s Head.
אמט ברואר בן ה-11 היה המהיר מכולם ופרץ לאתר הבחירות של פלורידה בתוך 10 דקות. בת 11 הצליחה לפרוץ לאותו אתר בתוך 15 דקות, ושילשה את מספר ההצבעות שהוצגו בו. "מדובר בעותקים מאוד מדויקים של האתרים האלו", אמרה ל-PBS מייסד עמותת r00tz Asylum, ניקו סל, שארגנה את אירוע הילדים. "ילד בן 8 לא צריך להיות מסוגל לפרוץ אליהם בתוך 30 דקות, זו רשלנות".
במקביל לפריצות לאתרי בחירות, האקרים מבוגרים יותר ניסו לפרוץ למכונות הצבעה. וגם כאן, כמו בשנה שעברה, הם עשו זאת בהצלחה מדאיגה. האקר אחד הצליח לתכנת מחדש מכונת הצבעה, שהשתמשה בתעודות אבטחה שתוקפן פג ב-2013, כדי לנגן קובץ gif ולהשמיע מוזיקה.
במכונות מדגם אחר, התברר, ניתן להוציא בקלות את כרטיס הזיכרון ולהחליף אותו בכרטיס אחר עם מידע בוחרים חלופי. ניתן להשתמש בפרצה זו כדי להוציא מצביעים מספר הבוחרים, או להכניס אליו מצביעים חדשים. את הפרצה ניתן לבצע בתוך 5 שניות, באמצעות יצירת הסחת דעת או שימוש בעובד קלפי בעל גישה לכל מכונות ההצבעה. מכונות אלו גם מאחסנות על הכרטיס, בצורה לא מוצפנת, את סיסמאות המפקחים ומידע מזהה על בוחרים כמו 4 ספרות אחרונות של מספר ביטוח לאומי, כתובת ומספר רישיון נהיגה.
ואולם, גורמים רשמיים דחו את ממצאי הוועידה. "כל אחד יכול לפרוץ למשהו אם תשים אותו באמצע חדר ותיתן לו גישה וזמן בלתי-מוגבלים", אמרה לוול סטריט ג'ורנל מנהלת האיגוד הלאומי של מזכירי מדינה, לסלי ריינולדס.
יצרנית מערכות ההצבעה Election Systems & Software כתבה במכתב ללקוחות, שנשלח עוד לפני הוועידה: "אין ספק שהאקרים יצליחו לגשת לרכיבים פנימיים במערכות הצבעה, כי תהיה להם גישה מלאה ונטולת הפרעות ליחידה בלי שעובדי קלפי מיומנים, מנעולים, סיסמאות ואמצעי אבטחה אחרים שמשולבים במקרי הצבעה אמיתיים".