Usa, Dubbi pre-elettorali sui sistemi di voto per il software nella causa in Georgia

(AGENPARL) – Roma, 13 novembre 2020 – In una dichiarazione giurata, un esperto di sicurezza informatica ha espresso preoccupazioni sull’integrità del sistema, comprese le vulnerabilità esterne

Il software e le attrezzature di Dominion Voting Systems, utilizzati nelle elezioni presidenziali di questo mese, sono stati fonte di controversie attualmente in corso anche alla luce di una dichiarazione legale fatta da un osservatore del sondaggio delle primarie statali della Georgia all’inizio di quest’anno che ha evidenziato molteplici problemi.

Il segretario di stato della Georgia Brad Raffensperger ha annunciato l’acquisto da parte dello stato di un sistema elettorale da 106 milioni di dollari da Dominion Voting Systems nel luglio 2019. In una causa, iniziata nel 2017, i critici sostengono che il nuovo sistema era soggetto a molte delle stesse vulnerabilità di sicurezza che stava sostituendo.

In un ordine dell’11 ottobre, poche settimane prima delle elezioni presidenziali, il giudice distrettuale degli Stati Uniti Amy Totenberg ha concordato con le preoccupazioni associate al nuovo sistema di voto del Dominio, scrivendo che il caso presentava «una grave vulnerabilità della sicurezza del sistema e problemi operativi che potrebbero porre querelanti e altri elettori a rischio di privazione del loro diritto fondamentale di esprimere un voto effettivo che viene accuratamente conteggiato».

«L’ordinanza della Corte ha approfondito i veri rischi posti dal nuovo sistema di voto BMD e dalle sue modalità di attuazione. Questi rischi non sono né ipotetici né remoti nelle circostanze attuali», ha scritto il giudice Totenberg nel suo ordine.

Nonostante i dubbi della corte, Totenberg si è pronunciato contro la sostituzione del sistema Dominion subito prima delle elezioni presidenziali, osservando che «l’attuazione di un cambiamento sistemico così improvviso in queste circostanze non può che causare confusione negli elettori e qualche misura reale di interruzione elettorale».

Ci sono quindi forti preoccupazioni sui sistemi elettorali

In una dichiarazione del 24 agosto di Harri Hursti, un esperto riconosciuto sulla sicurezza del voto elettronico, ha fornito una descrizione di prima mano dei problemi che ha osservato durante le elezioni primarie in tutto lo stato del 9 giugno in Georgia e le elezioni di ballottaggio dell’11 agosto.

Hursti era stato «autorizzato come esperto in base alla richiesta di ispezione della regola 34 della Coalition for Good Governance in alcuni seggi elettorali e nel Centro di preparazione elettorale della contea di Fulton».

Hursti ha riassunto le sue scoperte come segue:

«Le impostazioni dello scanner e del software di tabulazione utilizzate per determinare quali voti contare sulle schede cartacee contrassegnate a mano probabilmente causano il mancato conteggio dei voti chiaramente intenzionati».

«Il sistema di voto viene gestito nella contea di Fulton in un modo che aumenta il rischio per la sicurezza a un livello estremo».

«Gli elettori non stanno esaminando le loro schede stampate BMD (Ballot Marking Devices), il che rende i risultati generati da BMD non verificabili a causa della pista di controllo inaffidabile».

Durante l’osservazione presso la Peachtree Christian Church di Atlanta, in Georgia, Hursti ha osservato che «lo scanner variava per il tempo necessario per accettare o rifiutare una scheda elettorale».

Hursti ha affermato che un sistema dedicato non dovrebbe subire ritardi variabili e ha osservato che «siamo sempre sospettosi di eventuali ritardi variabili imprevisti, poiché questi sono segni rivelatori comuni di molti problemi, inclusa la possibilità che venga eseguito codice non autorizzato».

Hursti ha osservato tempi di elaborazione variabili in luoghi diversi, sollevando ulteriormente preoccupazioni poiché dispositivi fisici identici «non dovrebbero comportarsi in modo diverso durante l’esecuzione dell’identico compito di scansione di una scheda elettorale».

Hursti ha dichiarato nella sua dichiarazione giurata che la sua presenza era stata richiesta da due osservatori del sondaggio presso il seggio elettorale di Fanplex che stavano osservando alcune anomalie inspiegabili.

All’arrivo, Hursti ha osservato che per «ragioni sconosciute, su più macchine, mentre gli elettori stavano tentando di votare, i dispositivi di voto a volte stampavano schede di” prova “.”

Come ha osservato Hursti, «durante il giorno delle elezioni, il dispositivo di voto non deve elaborare o stampare schede diverse da quella che l’elettore sta votando». Hursti ha affermato che questo era indicativo di una «configurazione errata» data al dispositivo di voto.

La questione ha sollevato anche altre domande nella sua mente:

«Perché il dispositivo non stampava solo schede di prova?».

«Come può il dispositivo cambiare il suo comportamento nel bel mezzo del giorno delle elezioni?»

«La configurazione errata proviene dal sistema elettronico del libro dei sondaggi?»

«Quali sono le implicazioni per l’affidabilità della scheda stampata e del conteggio del codice QR?»

Inoltre, durante le elezioni di ballottaggio, la notte dell’11 agosto 2020, Hursti era presente al Centro di preparazione elettorale della contea di Fulton per osservare il «caricamento dei dispositivi di memoria in arrivo dal distretto al server del Dominion Election Management System [EMS]».

Durante questa osservazione, Hursti ha notato che «i problemi di sistema erano ricorrenti e i tecnici di Dominion che gestivano il sistema stavano lottando con il processo di caricamento».

Hursti ha anche notato che sembrava che il personale del Dominion fosse l’unico con conoscenza e accesso al server Dominion. Come Hursti ha dichiarato nella sua dichiarazione, «Nelle mie conversazioni con Derrick Gilstrap e altro personale EPC del dipartimento delle elezioni della contea di Fulton, hanno dichiarato di avere una conoscenza limitata o un controllo limitato sul server EMS e sulle sue operazioni».

Hursti ha osservato che questa esternalizzazione all’ingrosso delle operazioni delle apparecchiature di voto al personale del venditore era “estremamente insolita nella mia esperienza e motivo di grave preoccupazione dal punto di vista della sicurezza e del conflitto di interessi».

Hursti ha definito le operazioni e l’accesso in loco di Dominion come «un fattore di rischio elevato».

Hursti ha anche osservato che i computer Dell che eseguono il server Dominion non sembrano essere stati ‘rafforzati’, ovvero il processo di «protezione di un sistema riducendo la sua superficie di vulnerabilità».

Hursti ha affermato di aver trovato «inaccettabile che un server EMS non sia stato rafforzato prima dell’installazione».

Oltre ai problemi di rafforzamento, Hursti ha osservato che i computer utilizzati nel sistema della Georgia per l’elaborazione del voto sembravano avere «pacchetti software complementari per la casa / piccole imprese». Ciò ha sollevato aree di significativa preoccupazione per Hursti come ha osservato:

«Una delle prime procedure di rafforzamento è la rimozione di tutto il software indesiderato, e la rimozione di quelle icone di gioco e dei giochi e programmi di installazione associati insieme a tutti gli altri software che non sono assolutamente necessari nel computer per scopi di elaborazione delle elezioni sarebbe una delle prime e più elementari fasi del processo di indurimento. Secondo la mia opinione professionale, un’indagine indipendente dovrebbe essere effettuata tempestivamente in tutte le 159 contee per determinare se i sistemi del Dominio in tutto lo stato condividono questa grave carenza».

Oltre ai pacchetti software di cui sopra, Hursti ha scoperto che uno dei computer aveva un’icona per un gioco per computer del 2017 chiamato “Homescapes”, che Hursti ha notato ha messo in dubbio se «tutti i computer del sistema Georgia Dominion hanno la stessa versione del sistema operativo, o come il gioco è diventato una presenza nel sistema di voto Dominion di Fulton».

Hursti ha anche trovato una miscela preoccupante di apparecchiature vecchie e nuove che comportavano ulteriori rischi per la sicurezza a causa della mancanza di aggiornamenti delle patch: «Sebbene questo sistema di voto Dominion sia nuovo per la Georgia, il sistema operativo Windows 10 almeno del computer ‘principale’ nel rack non è stato aggiornato per 4 anni e presenta una vasta gamma di vulnerabilità note e divulgate pubblicamente».

Hursti ha osservato che la mancanza di “hardening” creava rischi per la sicurezza anche per i computer che non erano connessi a Internet. Ha osservato che quando le unità flash erano collegate al server, il «supporto veniva montato automaticamente dal sistema operativo. Quando il sistema operativo monta automaticamente un supporto di memorizzazione, il sistema operativo inizia automaticamente a interagire con il dispositivo».

Hursti ha osservato che la gestione del server EMS della contea di Fulton sembrava essere «un’operazione ad hoc senza processo formalizzato». Ciò sembrava particolarmente evidente in relazione al processo di archiviazione dei supporti in arrivo da vari distretti durante la notte: «Questo tipo di operazione è naturalmente soggetto a errori umani. Ho osservato il personale che chiamava in sala chiedendo se tutti i voti che trasportavano schede flash compatte fossero stati consegnati dalle prime macchine per il voto per l’elaborazione, seguito dal trovare successivamente schede aggiuntive che erano state trascurate in apparente errore umano. Più tardi, ho sentito di nuovo un tecnico intervenuto chiedendo se fossero stati consegnati tutti i voti muniti di compact flash. Ciò dimostra chiaramente la mancanza di gestione dell’inventario che dovrebbe essere in atto per garantire, tra le altre cose, che nessun dispositivo di archiviazione non autorizzato venga inserito nel computer. In risposta, sono state consegnate a mano altre 3 schede Compact Flash. Meno di 5 minuti dopo, ho sentito uno dei lavoratori della contea dire che è stata trovata una carta aggiuntiva che è stata consegnata per l’elaborazione.

Hursti ha anche osservato che «le operazioni venivano eseguite ripetutamente direttamente sul sistema operativo». Il software di elezione non ha visibilità sulle operazioni del sistema operativo, il che crea ulteriori problemi di controllo e, come ha osservato Hursti, «a meno che il sistema non sia configurato correttamente per raccogliere i dati di controllo del file system non è completo. Poiché il sistema sembra non essere rafforzato, è improbabile che il sistema operativo sia stato configurato per raccogliere i dati di controllo».

A sollevare preoccupazioni ancora maggiori era l’apparente “accesso completo” che il personale di Dominion sembrava avere nel sistema informatico. Hursti ha osservato i tecnici di Dominion che risolvono i messaggi di errore con un approccio “prova ed errore” che includeva l’accesso all’applicazione “Gestione computer”, indicando l’accesso completo secondo Hursti.

Come ha affermato nella sua dichiarazione, «Ciò significa che non esistono separazioni di accesso significative, privilegi e controlli dei ruoli che proteggono i server delle elezioni primarie della contea. Ciò amplifica notevolmente anche il rischio di errori umani catastrofici e l’esecuzione di programmi dannosi».

Durante questi tentativi di risolvere i vari problemi che si stavano verificando in tempo reale, Hursti ha notato che sembrava che il personale di Dominion fosse passato dai tentativi di riparazione in loco alla risoluzione dei problemi fuori sede:

«Il membro dello staff di Dominion è passato dietro il rack del server e ha effettuato manipolazioni manuali che non potevano essere osservate dal mio punto di vista. Successivamente si sono trasferiti con i loro laptop personali a un tavolo fisicamente più lontano dal sistema elettorale e hanno smesso di provare diversi modi per aggirare il problema davanti al server e non hanno più parlato continuamente con il loro aiuto remoto al telefono.

Nelle chiamate di follow-up li ho sentiti chiedere alle persone dall’altra parte della chiamata di controllare cose diverse, e sono andate solo su un computer e sembravano testare qualcosa e successivamente scattare una foto dello schermo del computer con un telefono cellulare e apparentemente inviarlo a una posizione remota».

Hursti ha affermato che questo «ha creato una forte impressione mentale che lo sforzo di risoluzione dei problemi fosse stato svolto in remoto tramite l’accesso remoto a parti chiave del sistema».

Hursti ha anche notato che un «nuovo punto di accesso wireless con un nome del punto di accesso SSID nascosto è apparso nell’elenco delle stazioni Wi-Fi attive» che stava monitorando.

Tutto ciò ha sollevato allarmi materiali per Hursti, che ha osservato che «Se in effetti l’accesso remoto è stato organizzato e concesso al server, ciò ha gravi implicazioni per la sicurezza del nuovo sistema Dominion. L’accesso remoto, indipendentemente da come sia protetto e organizzato, è sempre un rischio per la sicurezza, ma in più è trasferimento del controllo al di fuori dei perimetri fisici e nega ogni possibilità di osservare le attività».

L’11 novembre 2020, il Segretario di Stato georgiano Brad Raffensperger ha annunciato che ci sarà un riconteggio completo e un controllo di tutte le schede elettorali espresse nelle elezioni presidenziali.

«Con il margine così vicino, sarà necessario un conteggio completo e manuale in ogni contea. Ciò contribuirà a creare fiducia. Sarà una verifica, un riconteggio e una ricognizione tutto in una volta », ha detto Raffensperger.

Dominion Voting Systems non ha risposto a una richiesta di commento.

———————

Dato che sono stati presentati molteplici esposti legali in risposta alle elezioni del 2020, con ulteriori sfide attese ed entrambi i candidati hanno rivendicato la vittoria in alcuni stati, ma sembra sempre più probabile che queste elezioni verranno risolte in tribunale.

Per questo motivo, AGENPARL non dichiarerà un vincitore delle elezioni presidenziali né Biden né Trump fino a quando tutti i risultati non saranno certificati e le eventuali controversie legali non saranno risolte.

Nonostante diverse testate giornalistiche abbiano proclamato vincitore Biden sabato.

Solo il Collegio Elettorale e gli Stati sono gli organi che certificano un’elezione presidenziale.