Baggrund
Læsetid: 6 min.

Det er nemmere at hacke det amerikanske valg, end man skulle tro

Den delvise genoptælling af stemmer i tre stater i USA har vist, at det er usandsynligt, at der blev svindlet ved præsidentvalget. Men det afslørede, at det er meget nemmere end hidtil antaget at svindle med fremtidige valg, og viste hvor vigtigt det er at gennemtænke processerne, inden man introducerer elektronisk stemmeafgivning
Lang kø til valgsted i USA – flere steder er der sidenhen blevet talt om.

Lang kø til valgsted i USA – flere steder er der sidenhen blevet talt om.

Damien Lafargue

Udland
6. januar 2017

Spekulationerne om manipulation med det amerikanske valg i november har været talrige. Russiske hackeres angreb på Det Demokratiske Parti. Usikre gamle elektroniske valgmaskiner, der på trods af talrige opfordringer ikke er blevet skiftet ud.

Og Donald Trump der til stor forargelse gentagne gange advarede mod, at valget ville blive manipuleret og endda i en tv-debat afviste at svare på, om han ville anerkende valgresultatet, hvis han tabte.

Trumps bekymring for manipulation med valget forsvandt dog det øjeblik, det gik op for ham, at han havde sejret. Derfor blev en meget omtalt kampagne for genoptælling af stemmerne i de tre nøglestater Michigan, Pennsylvania og Wisconsin også først og fremmest opfattet som udtryk for, at Demokraterne og De Grønne ikke ville anerkende, at valget var tabt.

Genoptællingen blev kun gennemført i Michigan og Wisconsin og viste, at valgresultatet var korrekt, mens genoptællingen blev blokeret juridisk i Pennsylvania, inden den var færdig.

Men kampagnen for genoptællinger handlede i virkeligheden om langt mere end spørgsmålet om Trump mod Hillary. Og den har afsløret et hullet amerikansk valgsystem, hvor særligt en utidssvarende valglovgivning blokerer for, at præsidentvalget kan foregå på en sikkerhedsmæssig forsvarlig måde.

»Det er endnu nemmere at hacke valget, end jeg havde troet,« sagde Alex Halderman, professor i datalogi på University of Michigan i en præsentation sammen med en af sine ph.d-studerende Matthew Bernard, på hackerkongressen 33C3, der blev holdt mellem jul og nytår i Hamborg.

Alex Halderman er en af verdens førende sikkerhedseksperter inden for elektroniske valg og var en af drivkrafterne bag kampagnen for genoptælling af stemmerne. Det er netop erfaringerne med genoptællingskampagnen, som har fået ham til at konkludere, at valgprocessen i endnu højere grad end hidtil antaget er åben for en angriber, der vil manipulere med resultatet.

Fokus på stemmemaskinerne

Hidtil har der fra Alex Halderman og andre sikkerhedsspecialister særligt været fokus på selve valgmaskinerne. Det er de lokale valgmyndigheder, der bestemmer stemmeproceduren, og derfor bruges der hele 52 forskellige valgmaskinemodeller i USA, som er af to forskellige typer.

Den ene er scanningsmaskiner, hvor man afgiver sin stemme på papir og derefter indsætter den i maskinen, der registrerer, hvilken kandidat der har fået stemmen.

Den anden model er en såkaldt DRE-maskine, hvor selve stemmeafgivelsen foregår på en valgmaskine, hvor man trykker på en knap. De fleste af DRE-maskinerne printer herefter en papirkvittering, som gør det muligt for både vælgeren og en eventuelt efterfølgende kontroloptælling at tjekke, om stemmen er registreret korrekt.

Nogle af maskinerne har ikke sådanne kvitteringer, og det er dem, der i løbet af de sidste 10 år er blevet mest kritiseret for at være usikre, fordi der ikke er noget, man kan gøre for at kontrollere, at maskinen ikke sætter stemmen et andet sted, end vælgeren ønsker.

Ifølge Halderman har alle de forskellige valgmaskiner, som har været testet af uafhængige sikkerhedseksperter, det til fælles, at det har været muligt at angribe maskinerne, så man kunne manipulere med stemmerne.

Elektronisk valg i Danmark?

Hvordan kan man hacke et valg?

Kampagnen for en genoptælling efter det netop afholdte præsidentvalg viste dog, at svaghederne ved valget rækker langt ud over de usikre stemmemaskiner. Valgprocessen i USA er decentral, og der findes hele 13.000 forskellige stemmelovgivninger, der gælder for de 187.000 valgsteder, som altså har 52 forskellige valgmaskinemodeller.

De mange forskellige – og gamle – stemmemaskiner er sikkerhedsmæssigt faktisk en fordel, fordi det betyder, at angriberen skal skrive virus til en masse forskellige stemmemaskiner for at kunne gøre en forskel. Men på den anden side betyder valgmandssystemet, at det ofte ikke er nødvendigt at ændre særligt mange stemmer i de enkelte vigtige svingstater, før man kan gøre en stor forskel. Og svingstaterne kender man allerede før valget på grund af de mange meningsmålinger.

Det andet problem for en angriber er, at maskinerne ikke er forbundet til internettet. Her henviser sikkerhedseksperterne til, at der hvert år sker opdateringer af maskinerne, så de kan håndtere de aktuelle kandidater og stemmesedler, og at det sker fra computere, der er forbundet til internettet.

Et hack af maskiner på regionsniveau vil altså være nok – og for at gøre ondt værre outsources administrationen af maskinerne ofte til små lokale virksomheder, hvor sikkerhed ikke nødvendigvis er en topprioritet.

Den sidste forhindring for en eventuel angriber er papirsporet. At der findes papirstemmesedler, som man efterfølgende kan holde op mod et elektronisk resultat, er svært at manipulere sig ud af, og derfor har det også været det, som kritikere af e-valg har arbejdet hårdt på at sikre altid var til stede.

Men problemet er, at kampagnen for genoptælling viste, at det er stort set umuligt i mange stater at få dem til at tjekke papirsporet op mod de elektronisk afgivne stemmer:

»De fleste stater kigger aldrig på papiret. Du har den her glimrende måde at tjekke for snyd på, men du bruger den bare aldrig,« sagde Matt Bernard i sit oplæg.

»Så kort og godt. At hacke et valg er meget, meget nemmere, end man skulle tro.«

Lovgivning blokerer for valgkontrol

Selv om man altså havde en situation med historisk stor spekulation i valgmanipulation både før og efter valget, viste det sig at være overordentligt svært at få staterne til at tjekke papirstemmerne. Politisk er det svært, fordi en vinder – ligesom Trump – sandsynligvis altid vil modsætte sig. En kampagne for genoptælling af alle stemmerne i en stat er både dyr, og kan også bruges til at skabe politisk ustabilitet. Så selv om det er det rigtige at gøre sikkerhedsmæssigt, kan politiske hensyn blokere for, at det bliver gjort.

Endnu værre var det dog, at mange af staternes valglovgivning direkte blokerede for en genoptælling. Nogle steder skal der være mindre end én procents forskel mellem de to kandidater, før det overhovedet er lovligt at foretage en genoptællin, og i de fleste andre stater er procedurerne slet ikke til stede.

Udover de stater hvor det lykkedes for genoptællingskampagnen at finansiere udgifterne til en genoptælling, var der altså ikke en eneste stat, der verificerede resultatet af den elektroniske registrering af stemmer.

»Problemet er at, de ikke har haft lovgrundlaget på plads. Det gør det svært at lave en genoptælling,« siger Carsten Schürmann, der er lektor på IT-Universitetet og har forsket i e-valg. Han var selv i USA under valgkampen for at studere brugen af valgmaskiner.

»Hvis du ikke kigger på papirsporet, og der sker et angreb, har du ikke mulighed for at se, om det er det rigtige resultat,« siger han.  

Carsten Schürmann mener stadig, at det i praksis er ret svært at ændre udfaldet af et præsidentvalg, fordi der er så mange forskellige led, der skal have dårlige sikkerhedsproceducerer, før man kommer igennem til nok maskiner.

»Det er nemt nok at skrive en virus, der kan inficere en maskine, men der er så mange valgsteder i USA, så hvis du vil gøre en forskel med dit angreb, skal du angribe mange steder. Der er en del ting, der skal gå galt på én gang,« siger han. 

»Genoptællingerne i Wisconsin og Michigan har vist, at det ikke skete i de to stater. Min vurdering er, at det er usandsynligt at det skete andre steder, men det ville være rart at være sikker.«

Vejen fremad både for USA og andre lande, der overvejer elektroniske valg, er dog ret simpel: Sørg for at lovgivningen er på plads, så man kan foretage de nødvendige risk-limiting stikprøvekontroller efterfølgende, der kan tjekke om resultatet er korrekt.

Det behøver nemlig slet ikke at være en fuldstændig genoptælling af alle stemmer, men kan klares med stikprøver ud fra matematiske formler, som Carsten Schürmann blandt andet brugte til at tjekke resultatet af folkeafstemningen om retsforbeholdet i Danmark forrige år.

»Jeg er ikke sikker på, at Danmark i den nærmeste fremtid vil købe elektroniske valgmaskiner, men hvis man vil, så er det vigtigt, at kontrolsystemet er på plads,« siger Carsten Schürmann.

Følg disse emner på mail

Vores abonnenter kalder os kritisk,
seriøs og troværdig.

Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

"Trumps bekymring for manipulation med valget forsvandt dog det øjeblik, det gik op for ham, at han havde sejret."

Det er nu ikke helt rigtigt, for han mente jo stadig, at der må være blevet snydt, siden Hillary Clinton kunne få 2 millioner flere stemmer end ham.

Niels Duus Nielsen og Torben K L Jensen anbefalede denne kommentar