联合安全行动组:密西根州安特里姆县多米尼克系统取证报告

翻译: 康州盘古农场 – Liz 小鱼,烟波浩淼
校对: 康州盘古农场 – Antsee-GTV,Robensenna
审核: 康州盘古农场 – V

委托人:比尔·贝利
律师:马修·德佩诺

A. 我们是谁

1. 我叫小拉塞尔·詹姆斯·兰斯兰,我是德州达拉斯县的居民。我拥有哈佛大学的MBA和杜克大学的政治学学位。我曾在美国国家航空和航天局(NASA)和麻省理工学院(MIT)工作。在其他组织和世界各地开展业务,其中许多是属于技术性很强的工作。我曾在政府技术部门任职。

2. 我是联合安全运营集团有限责任公司管理团队的一员(ASOG)。ASOG是一个由来自全球的专业人员组成的团体。各个学科,包括国防部、特勤局,国土安全部和中央情报局。它提供一系列安保服务,但特别侧重的是:网络安全、开源调查和网络渗透测试。我们聘请了大量的网络和网络取证分析人员。我们在各种应用中拥有专利申请,从新颖的网络安全应用到正在申请的SCADA(监督控制和数据采集)保护和安全浏览暗网和深层网络的解决方案。在本报告中,我依赖了这些专家和资源。

B. 目的和初步结论。

1. 本次取证审计的目的是测试多米尼克投票系统在密歇根州安特里姆县2020年选举中的完整性方面的表现如何。

2. 我们得出结论,多米尼克投票系统是故意和有目的,设计上存在固有错误以造成系统性的欺诈和影响选举的结果。该系统故意产生大量的选票误差。然后将电子选票移交给裁判。故意错误导致批量选票裁定缺少监督,没有透明度,以及没有审计追踪。这将导致选举舞弊。根据我们的研究,我们的结论是 “多米尼克投票系统 “不应该在密歇根州使用。我们进一步得出结论,安特里姆的结果不应该被认证。

3. 以下是2020年选举的选票明细表。安特立姆县,显示的是同一选票制表下的不同日期数据。

日期注册的投票人数总投票数拜登川普第三党写入总统得票总数
11月3日22,08216,0477,7694,5091451412,423
11 月5 日22,08218,0597,2899,7832552017,327
11月25日22,08216,0445,9609,7482412315,949

4. 安特立姆县书记员和州务卿乔塞琳·本森(Jocelyn Benson)表示:大选之夜的错误(上面详述了从川普到拜登的选票 “翻转”是由于人为错误造成的,原因是在大选之夜,曼塞隆纳镇的制表机没有更新。我们不同意而且得出的结论是:投票翻转是由于投票机中内置的机器和设计用来制造错误的软件错误造成。

5. 州务卿乔塞琳·本森于2020年11月6日表示, “正确的结果总是并将持续续反映在制表机的合计磁带上…… ” 。本森说的不是事实。

6. 联邦选举委员会规定的准则中可容许的选举错误率为25万张选票中的1张(0.0008%)。我们观察到的错误率为68.05%. 这表明在安全性和选举完整性中存在重大、致命错误。

7. 安特立姆县2020年选举结果无法认证。这是由于机器和/或软件错误,而非人为错误。

8. 安特立姆县服务器取证的制表记录。自2020年12月6日起,包括15,676项单项活动,其中10,667项,即68.05%的事件为记录错误。这些错误导致整体列表错误或选票送审。这种高错误率证明多米尼克投票系统存在缺陷,不符合州或联邦选举法的要求。

9. 这些錯誤是在安特立姆县书记员在2020年11月6日为中湖镇辖区提供了一张重新配置的CF卡来使用上传软件后发生的。这意味着本森州务卿的声明是虚假的。多米尼克投票系统在更新前和更新后都产生了系统性错误和高错误率;这意味着更新(或不更新)不是错误的原因。

10. 中湖镇共有1491张选票被推翻投票结果, 否决率为81.96%。所有被推翻的选票将发送至选举工作人员作出决定的裁决。

11. 重要的是要明白多米尼克系统将选票分为两类类别,1)正常选票和2)裁定的选票。管理员可以修改发送到裁决的选票,裁决文件可以在不同的结果统计和报告(RTR)终端之间移动,没有审计追踪哪位管理员对该批选票进行了实际裁决。

12. 数目惊人的选票需要裁决。这是一个2020年出现的问题,在以前的选举周期没有遇到过,(信息)仍然存储在服务器上。这是由系统中的故意错误。故意错误导致对投票没有监督,没有透明度或审计追踪。我们对服务器日志的检查表明,这种高错误率与往年的模式不一致。将这些问题归咎于人为错误的说法与取证评估不一致,取证评估更正确地指向系统性的机器和/或软件错误。系统性错误的目的是制造错误,以推动大量选票批量裁决。

13. 链接视频演示了如何在裁决时作弊:

https://mobile.twitter.com/kanekoatehegreat/status/1336888454538428418

14. 安特里姆县未能正确更新其系统。故意不提供系统软件和硬件的基本计算机安全更新,表明在提供联邦和州法律所要求的基本系统安全方面的无能、严重疏忽、不诚信和/或故意不遵守。根据现行法律,这个选举管理系统不可能通过测试,也不可能得到合法认证而用在密歇根州2020年的选举。根据全国州议会会议-密歇根州要求完全遵守联邦标准由联邦认可的投票系统实验室确定。

15. 值得注意的是,计算机系统能显示前几年的投票裁决日志;但2020年选举周期的所有裁决日志条目都不见了。这个裁决过程是人工操纵选票最简单的方式。缺乏的记录防止任何形式的审计问责,并且他们的明显缺少非常可疑,因为使用相同的软件,前些年的文件存在。删除这些文件违反了州法律并阻止有意义的审计,即使州务卿想进行审计都做不到。我们必须得出结论,2020年选举周期记录已被手动删除。

16. 同样,2020年11月4日晚上11:03之前的所有服务器安全日志失踪。这意味着选举后一天的所有安全日志, 选举日和选举日之前都不见了。安全日志非常重要在于审计跟踪、取证,以及用于检测高级持续威胁和外部攻击,尤其是对系统文件过期的系统。这些日志将包含域控制、认证失败、错误代码、用户登录和关闭的时间、文件访问之间的文件服务器的网络连接、互联网连接、时间和数据传输。2020年11月4日之前的其他服务器日志是存在的,因此,安全日志的缺失没有合理的解释。

17. 2020年11月21日,一个未经授权的用户试图将选举结果归零,但没有成功。这说明了对数据的额外篡改。

18. 选举活动设计器日志显示,多米尼克图像投射(Dominion ImageCast)区域卡在2020年10月23日使用新的选票程序进行了编程,然后在选举之后的2020年11月5日又进行了编程。这些系统变化会影响选票读取和制表的方式。我们的检查显示了一个显著的变化,在投票结果中使用两个不同的程序。根据《帮助美国投票法》,这违反了90天安全港期限,该期限禁止在没有经过重新认证的情况下改变选举系统、登记册、硬件/软件更新。根据《全国州议会会议》的规定,密歇根州要求完全遵守由联邦认可的投票系统实验室确定的联邦标准。

19.选举后更换软件的唯一原因就是混淆欺诈和/或纠正程序错误, 从而取消选举认证。我们的调查结果显示,中湖镇制表带总数通过使用两个不同的程序版本(2020年10月23日以及2020年11月5日),这两项都是选举期间的软件变更,违反了选举法,而且不仅仅是违反与多米尼克选举管理系统相关的人为失误,这是软件产生的选票移动的明显证据。州务卿办公室网站上的说法是错误的。

20. 多米尼克图像投射(Dominion ImageCast)专区(ICP)机器能够连接到互联网(见图11)。通过将网络扫描仪连接到ICP计算机上的以太网端口,并从我们检查的机器显示了连接到网络、应用程序的能力编程接口(API)(两个不同系统之间的数据交换)到选举管理系统服务器的调用和web(http)连接。最佳做法是禁用网络接口卡以避免连接到互联网。这表明了在安全和选举方面的一个重大和致命的错误。由于某些文件已被删除,我们还没有找到来源或目的地,但我们的研究仍在继续。

21. 因为故意高错误率产生大量选票由选举人员裁决,我们必须推断出有批量裁决发生。但是,由于文件和裁决日志丢失,我们不能确定批量裁决发生的地点或责任人。我们的研究还在继续。

22. 研究正在进行中。然而,根据初步结果,我们得出结论,这些错误是如此的严重以至于它们对完整性和安特里姆县2020年选举结果的合法性结果不应认证。因为相同的机器和软件在密歇根州其他48个县使用,这让人怀疑整个密歇根州的选举完整性。

23. 国家情报总监的职责:奥巴马总统于2017年1月6日签署了《国家关键基础设施行政命令》,在第一节中指出。联邦网络的网络安全,”行政部门代表美国人民运营其信息技术(IT)。总统将要求行政部门和机构的负责人对管理企业的网络安全风险负责。此外,由于由机构负责人做出的风险管理决策会影响整个行政部门和国家安全的风险,因此,作为行政部门企业管理网络安全风险也是美国的政策。奥巴马总统的行政总裁进一步表示,从即日起,每个机构负责人均应使用美国国家标准技术研究院制定的《改善关键基础设施网络安全框架》简称《框架》。支持风险最大的关键基础设施。国土安全部部长协调国防部长、总检察长、国家情报总监、FBI局长,和由总统政策指令定义的相关部门负责人,定义见2013年2月12日第21号总统政策指令(关键基础设施安全和恢复能力)(部门特定机构),以及国土安全部部长确定的所有其它适当机构的负责人应:

(i)确定机构授权并能支持由2013年2月12日第13636号行政命令(提升关键基础设施安全性)第9条所定义的对关键基础设施实体的网络安全影响,面临最大的攻击风险合理地对公共卫生造成灾难性的区域或国家影响,或安全、经济安全或国家安全(第9节实体);这是国家安全的当务之急。2018年7月,特朗普总统强化了奥巴马总统的行政命令,包括要求确保美国的选举制度、程序和人民被外国干涉操纵,通过电子或系统操纵、社交媒体或硬件的物理变化,软件或支持系统。2018年行政命令。因此,我 特此命令:

第一节. (a) 在美国大选结束后45天内。国家情报总监在与各部门负责人协商的情况下,将在选举前的一个星期内,将选举结果公布于众。任何其他适当的行政部门和机构(机关),应当 (a) 对表明外国政府的任何资料进行评估; (a) 或作为外国政府的代理人或代表外国政府行事的任何人员,有: 故意或以干扰该选举为目的的行为。评估 应在可确定的最大限度内确定任何外国的性质。干预和为实施干预而采用的任何方法、所涉人员,以及 (a) 授权、指挥、赞助或资助的外国政府或各国政府。国家情报总监应提供这一评估。并向总统、国务卿提供适当的证明资料。财政部长、国防部长、总检察长; 和国土安全部部长。我们建议成立一个独立的小组,以确定密歇根州各地的裁决错误程度。这是一个国家安全问题。

24. 密歇根州居民古斯塔沃·德尔菲诺,曾是委内瑞拉数学教授, 密歇根大学校友,提供了一份令人信服的宣誓书。[证据2] 认识到SmartMatic电子系统的固有弱点;投票机(该软件后来被纳入Dominion Voting)。在2004年委内瑞拉全民公决期间,委内瑞拉政府在全国范围内进行了一系列的调查(见附件)。经过4年的研究和3年深入的同行调研评审,Delfino教授的论文发表在备受尊敬的《统计科学》杂志2011年11月号(第26卷第4期),题目 为 “2004年委内瑞拉公投分析:官方结果与请愿书签名”。深入研究使用了多种数学方法来确定2004年委内瑞拉的全民公投结果。德尔菲诺和他的研究伙伴不仅发现了算法用来操纵选举结果,还可以精确定位在选举中机器程序的漏洞将提供这样的机会。根据Delfino教授的说法,这种差异的程度在委内瑞拉官方与真实结果之间的差距估计为1,370,000票。我们对安特立姆县的错误率和结果进行了调查。投票结果反映了同样的策略,这在其他国家也有报道。密歇根州其他县也有报道,表明这是国家安全问题。

C. 流程

2020年11月27日和2020年12月6日,我们先后两次到安特里姆县考察。2020年11月27日,我们走访了中湖镇、星光镇和。曼塞洛纳镇。我们检查了多米尼克投票系统的制表机和制表人角色。2020年12月6日,我们参观了安特里姆县书记员办公室, 检查并对以下内容进行了取证复制:

  1. 运行多米尼克的安特里姆县选举管理服务器民主套件5.5.3-002;
  2. 地方选区在其管辖范围内使用的小型闪存卡ImageCast专区;
  3. 多米尼克VAT(投票者辅助)使用的USB记忆棒终端;以及
  4. 用于投票簿使用的USB记忆棒。多米尼克投票系统是一家加拿大独资公司,在全球设有子公司。它的所有者是斯泰博街资本,后者又由瑞银证券(UBS Securities)持有,董事会7名成员中有3名是中国公民。这个多米尼克软件是由一家委内瑞拉公司Smartmatic授权以及控股的公司。多米尼克服务器位置已确定为在塞尔维亚、加拿大、美国、西班牙和德国。

D、 中湖镇

1. 2020年11月27日,我们的一部分取证小组访问了中湖镇是密歇根州的一个小镇,检查多米尼克的图像投射区域(Dominion ImageCast Precint)是否有可能硬件问题。代表密歇根州律师马修提起的当地诉讼德佩诺代表威廉贝利,在我们和中湖镇朱迪思·科斯洛斯基(Judith L.Kosloski)女士交流中,她向我们展示了 “两个单独的纸质总数带子”,来自于制表机ID2。

• 一份注明“投票于2020年11月3日06:38:48开始”(第1卷);
• 另一个日期为“投票开始时间:2020年11月6日09:21:58”(第2卷)。

2. 科洛斯基女士告诉我们,2020年11月5日,科洛斯基女士接到县书记员办公室的康妮·荣的通知,要求她把制表和选票送到县书记员办公室重新制表,他们运行并打印了“第2卷”。她注意到选票数的不同,并向工作人员提出,但他们仍然进行计票,她的反对意见未得到解决。

3. 我们的团队分析了这两个卷结果比较。第一卷共有1494张投票和第2轮有1491票(第2轮少3票,因为3票在过程中受损。

4. “安特里姆的投票声明” 显示只统计了1491张选票,3张受损的选票没有进入最终结果。

5. 科洛斯基女士说,她和她的助手用手工重新填写了三份选票表格来弥补,并通过计票系统运行了这三张选票–但最后的数字并没有反映出这3张损坏的选票。

6. 这是最初步的严重选举舞弊指标报告。在比较两份名单上的数字,我们估计有1,474张选票在两张选票上被更改,第一次和第二次之间的选票是完全相同的。 通过县委书记的计票机–这几乎是一个完整的系统。与总投票人数相同。- 742票加到了中湖镇的校董会成员。学校 (3)- 657票被从埃尔斯沃思的学校董事会成员中删除。学校 (2)- 国家提案20-1(1)的总票数增加了7票,其中其中有611票在 “同意 “和 “反对 “之间移动。

7. 整个卷子都有递增的变化,所审查的两份卷子之间有一些重大调整。这确凿地表明,在软件更新后的第二台机器计票期间,选票可以而且已经被更改。这原本应该是不可能的,特别是在投票总数中的百分比如此之高的情况下。

8. 中湖镇学校的董事会成员(3)[图片1]在那里总共有742票。因为有很多人当选,所以没有改变两位候选人当选的结果,但其中一位确实看到了谁的选票最多。如果是单人选举的话已经改变了结果,并最终证明投票可以在第二次机器计数时被更改。这原本应该是不可能的。[图1]:

图片1

9. 埃尔斯沃思学校董事会成员(2)[图片2]

•显示657张选票被取消。
•在这种情况下,只有3人有资格投票。因为每个选民有两张票可以投。
•重新计票正确显示6票。但在选举之夜,有一个主要的计算问题:

图片2

10. 在州提案20-1(1)中,[图3] 这一类别的投票有重大变化。

•选举期间有774票赞成,重新计票时为1 083票 ,变化了309票。
•州提案总数中增加了7票,20票对1票,其中611票在赞成票和反对票之间移动。

图片3

11. 州的提案20-1(1)是一项相当技术性和复杂的提案。对《密歇根州宪法》进行修正,以改变对该州的处置和允许的关于国有土地上开采石油和天然气的红利、租金和特许权使用费的未来收入用途做法。关于该提案的信息。:

https://crcmich.org/publications/statewide-ballot-提案-20-1-密歇根-自然资源-信托基金

12. 拟议中的一项条例,旨在授权在中湖镇内的一个大麻零售商。 [图片4]

•在选举之夜,投票结果是平局。
•然后,在重新投票时,3张选票被销毁,但只有一张选票修改总数以使提案通过。

当3张选票未被清点时,程序更改制表机已安装,提案通过,1票被删除反对票。

图片4

13. 2020年12月6日星期日,我们的取证小组访问了安特里姆县书记员。有两个USB记忆棒被使用,一个包含用于在2020年11月3日计算选举结果的软件包,另一个USB记忆棒在2020年11月6日进行了编程,使用不同的软件包编程产生了显著不同的投票结果。使用选举数据包多米尼民主套件(Dominion Democracy Suite)软件与选举管理系统将编程信息上载到小型闪存卡使“多米尼克图像投射区域” 软件(Dominion ImageCast Precinct)能够计算选票总数。

14. 如果按照美国选举法的要求获得准确的计票结果,则在整个选举期间,该软件程序应在所有投票机系统中都是标准的。软件编程中的这种故意差异是为更改选举结果而设计的功能。

15. 选举日的结果是于2020年11月3日用原始软件计算出来的。2020年11月5日镇书记员被要求重新进行中湖镇的计票,但并未给出对这个异常请求的解释。2020年11月6日安特里姆县店员,谢丽尔•盖伊发布了第二个版本的软件来重新计算同一批中湖镇投票并监督其过程。这导致了超过60%的投票结果改变,在不到1500名选民中莫名其妙地影响到每一次选举投票。这些误差远远超过根据联邦选举法法的要求,即选票标准误差率为25万张选票中的1张(0.0008%)。

•原始选举程序文件最新日期为2020年9月25日下午1:24
•更新的选举数据包文件的最新日期为2020年10月22日上午10:27。

16. 正如制表机磁带总数所证明的那样,有大量的选票被调换。从2020年11月3日的磁带换到2020年11月6日的磁带。这完全是基于使用不同软件版本的操作程序来计算选票,而不是计算投票。这一点可以通过使用同样的多米尼克系统来证明,即含有两个不同版本的软件程序,分别装在两个不同的 USB内存设备中。

17.《 帮助美国投票法》,安全港(条款)规定了在选举前90天,不能对选举系统进行更改。要作出改变将需要重新认证整个系统,以便在选举中使用。《多米尼克用户指南》规定了测试机器的正确程序,即用测试选票以比较结果来验证机器功能,从而确定 Dominion ImageCast Precinct 的编程是否正确。一旦软件更新至2020年10月22日,就会发现选票配置错误,应重新运行测试选票,以验证投票总数,确认机器配置正确。

18. 2020年11月6日,州务卿乔斯林•本森(Jocelyn Benson)办公室的说明指出:“正确的结果一直并将继续反映在制表机的总计磁带和选票上。即使报告的非官方结果中的错误没有很快被发现,它也会在县政府的调查中被发现。县级验票员委员会,是由2名民主党人和2名共和党人组成,审查了从2名民主党人和2名共和党人那里打印的总数磁带。在投票过程中,每个制表人都要核实所报票数是否正确。”

• 资料来源: https://www.michigan.gov/sos/0,4670,7-127-1640_9150-544676–,00.html

19. 州务卿乔斯林•本森的陈述是错误的。我们的调查结果表明:制表磁带的总数被使用两个不同的程序版本所显著地改变,而不仅仅是多米尼克选举管理系统。这与州务卿办公室在其网站上的说法正好相反。这些重大错误没有在选票测试中被发现,也没有被当地县书记员发现,这表明多米尼克选举管理系统存在着重大的固有的内置漏洞和流程缺陷,其他镇/辖区和整个选举都受到了影响。

20. 2020年12月6日星期日,我们的取证小组到安特里姆县书记员办公室对安特里姆县选举进行取证复制。管理服务器运行Dominion Democracy Suite 5.5.3-002(版本)。

21. (我们)检查了各地选区使用的 “多米尼克图像投射区域”软件(Dominion ImageCast Precinct)紧凑型闪存卡。对多米尼克VAT(选民辅助终端)和使用的USB记忆棒和投票簿使用的U盘进行了取证复制。

22. 我们被告知,多米尼克号的选票设计和配置由ElectionSource.com提供,该网站是该公司由密歇根州大急流城的MC&E公司拥有。

E.曼塞洛纳镇

1. 在曼塞洛纳镇(Mancelona),软件版本问题的出现也是众所周知的。曼塞洛纳选举官员了解到,发布的选票其处理不准确,并在11月4日使用了第二版软件来处理选票,这又是一次选举取消认证事件,因为在选举前90天内,如果不重新认证,法律不允许更改选举系统。

2. 一旦在 “多米尼克图像投射区域”(Dominion ImageCast Precinct)上进行了10/22/2020软件更新,就应该运行测试投票程序,以验证编程。没有迹象表明这一程序已被执行。

F. 安特兰县(Antrim County)书记员办公室

1. 根据法院的命令检查,我们于2020年12月6日参加了安特里姆县书记员办公室的现场征收工作【图片5】。

图片5

在取证收集的其他物品中,安特里姆县选举管理服务器(EMS)与民主套件被取证。

图片6,7

EMS(选举管理服务器)是:

戴尔Precision Tower 3420 
服务标签:6NB0KH2

EMS在RAID-1配置中包含2个硬盘驱动器。这是2个驱动器备份存储了相同的信息,如果两个硬盘驱动器中的任何一个出现故障,服务器可以继续运行。EMS是通过Linux启动U盘, 两个硬盘都进行了取证成像。在收集过程开始时,我们观察到初始程序拇指驱动器没有通过CF卡和其他拇指驱动器保存在保限库中。 我们看着县的雇员,包括书记员雪莉•盖伊(Sheryl Guy)在整个办公室里搜寻丢失的拇指驱动器。 最终,他们在不安全未上锁的桌子抽屉中发现了丢失的拇指驱动器,以及多个其他随机的拇指驱动器。这证明了重大而致命的安全和选举完整性方面的错误。

G、 证据收集

我们使用了一个专用的Linux启动USB记忆棒,以有法律依据的模式来启动EMS。然后我们使用Ewfacquire对2个独立的内部硬盘进行取证成像。EWAcquire创建了一个E01文件格式的具有内置完整性的取证图像,并通过MD5哈希(hash)进行内置完整性验证。我们使用Ewfverify来验证所获取的取证图像是原始磁盘的真实和准确的副本。这两张取证照片都是这样做的。

H、 分析工具

X-Ways取证:我们使用X-Ways取证,它是一台商业计算机鉴证工具,用于验证图像是否可用以及是否存在完整磁盘加密。我们特别确认了比特锁(Bit locker)没有在EMS上使用。我们使用的其他工具是:PassMark-OSForensics、Truxton-Forensics、Cellebrite-Blacklight Blacklight软件ManagementStudio、Virtual Box和其他各种工具和脚本。

I、 服务器概述和摘要

1. 我们对运行民主套件软件的计算机进行的初步审计显示, 它没有采用标准的计算机安全最佳做法。这些最低安全标准概述了2002年HAVA和FEC的投票标准–它甚至没有达到政府台式电脑要求的最低标准。

2. 选举数据软件包USB驱动器(2020年11月选举,以及2020年11月选举更新)通过bit locker加密软件进行保护,但他们没有安全地存放在现场。在取证检查的时候,选举数据包文件已被移到不安全的台式计算机并驻留在一个未加密的硬盘上。这证明了安全和选举完整性方面的重大和致命错误。关于台式机和服务器配置:有多个Microsoft安全性更新以及Microsoft SQL Server更新但没有证据表明这些安全补丁被安装过。如下文所述,许多软件包已过时容易受到各种方法的攻击。

a) 计算机初始配置于2018年3月10日13:08:11:911
b) 2019年4月10日计算机最终配置服务器软件
c) 硬盘驱动器静止时未加密
d) Microsoft SQL Server数据库没有密码保护。
e) Democracy Suite管理员密码可重复使用并共享密码。
f) 防毒软件已经过时4.5年了
g) Windows更新已过期3.86年。
h) 当计算机上次配置于2019年10月4日时,Windows更新的时间已逾期2.11年。
i)计算机用户使用超级用户帐户。

3. 硬盘在静止状态下没有加密–这意味着如果硬盘被移除或最初从外部用U盘启动,文件很容易被直接操纵。攻击者能够装载硬盘,因为硬盘没有加密,以允许对系统中的任何文件进行操作和替换。

4. Microsoft SQL Server数据库文件未正确保护,从而允许修改数据库文件。

5. Democracy Suite软件的用户帐户登录名和密码存储在不安全的数据库表和多重选举系统管理员帐户里,并共享相同的密码,这意味着对投票更改、删除、空白投票或批量更改投票或裁决没有审核记录。

6. 防病毒软件在2020年11月12距离安装它已经有1666天之久。安特里姆县使用USB驱动器更新系统。USB驱动器是最常见的注入载体, 用于注入恶意软件进入计算机系统。未能正确更新防病毒软件,大大地增加了来自其他计算机的恶意软件被传输到投票系统的危害。

7. Windows 服务器的更新服务(WSUS)离线更新用于启用更新计算机–通常从互联网上下载的文件包,但是编译成一个程序,放在一个U盘上手动操作更新服务器系统。

8. 未能正确更新投票系统表明了一个重大而致命的安全问题和选举完整性方面的错误。

9. 服务器上应该安装15个附加的更新来遵循Microsoft标准修复已知漏洞。2019年4月10日

安装(的系统),更新文件的最新版本应该是2019年3月13日的11.6.1,比10.9.1更新了15个。

这意味着,当时安装的最新的更新已经延迟了2年1个月13天。这包括安全更新和修复。这表明在安全性和选举完整性方面存在重大致命错误。

•2019年10月4日星期三10:34:33.14-信息:启动WSUS离线更新(v。10.9.1条)
•2019年10月4日星期三10:34:33.14-信息:已用路径EMSSERVER上的“D:\WSUSOFFLINE1091_2012R2_W10\cmd\”(用户:埃姆萨德明)
•2019年10月4日星期三10:34:35.55-信息:中建日期:2019年10月3日
• 在c:\\windows\wsusofflineupdate.txt上找到的。
• *WSUS离线更新(v.10.9.1)于2017年1月29日创建。

*WSUS的资料见https://download.wsusoffline.net/

10. 超级用户管理员账户是用来操作多米尼克选举管理系统的主要账户。这是一个重大的安全隐患。该登录的用户有能力对系统进行重大修改,并在系统中安装软件,这意味着没有任何监督来确保适当的管理控制。–即,任何拥有共享管理员用户名和密码的人,都可以对整个投票系统进行重大修改。共享用户名和密码意味着这些更改可以以匿名的方式进行,没有追踪或归属。

J、 错误率

1我们全面审查了2020年11月6日的制表日志。选举日志安特里姆县共有15676条或事件。

•在15676个中,共有10667个有严重错误/警告, 错误率68.05%。
•大多数错误都与配置错误有关。可能会导致整体制表错误或裁定。 那些2020年11月6日的列表总数被用作官方结果。

2. 例如,在1491张选票中,有1222张选票被逆转,因此,从而导致81.96%的拒绝率。其中一些由于 “选票尺寸超过了预期的最大选票尺寸”。

•根据《全国州立法机构会议》(NCSL),密歇根州要求由联邦认可的实验室对投票系统进行测试。在《自愿投票系统指南》(VVSG)第4.1.1节的准确性要求中,a. 所有系统的报告总错误率应不超过125,000分之一。
• https://www.eac.gov/sites/default/files/eac_assets/1/28/VVSG.1.1.V OL.1.FINAL1.pdf  
•在第4.1.3.2节VVSG的存储器稳定性中,说明存用于保存选举管理数据的储器设备应具有

22个月的无错误数据保留。

•在《自愿投票系统指南》第4.1.6.1节纸质系统处理要求a.分节中,它指出:”在需要的时候,系统能够接产生和收来自扫描选票的电子信号,进行逻辑运算,并重现这些数据的内容。应当没有错误以使能满足第4.1.1小节所述的系统级精度要求。”
•这些不是人为错误;这肯定与软件和软件配置有关,从而导致错误率远远超过指南中列出的阈值。

3. 选举软件的高“错误率”(在本例中为68.05%)反映了使用的算法将一个候选人的权重大于另一个候选人(例如,以2/3:1/3的比例对特定候选人进行加权)。在日志中我们确定RCV或排名选择投票算法已启用(请参阅下图来自《多米尼克手册》。这允许用户应用对候选值进行加权并更改整体结果。宣布获胜者可以根据分数而不是选票来决定。[图8]:

选择投票结果以地区为单位进行评估,每个地区有一定的分数(100分)。淘汰和宣布优胜者是根据分数而不是票数进行的。

11-3: RCV  配置文件画面

4. 多米尼克软件配置日志中的 “转移选项”,显示所有写录入选票均被标记为自动转入裁决。 这就是说,所有录入的投票都是由投票站工作人员或选举官员 “裁决”的,选举官员根据选民的 “意图 “来处理选票。 裁决文件 允许计算机操作员决定向谁授予这些投票(或将其丢弃)。

5. 在日志中,这些机器上启用了除两个之外的所有替代选项,因此,任何操作员都可以更改这些投票。 [图片9]

6. 在日志中,除了两个覆盖替换原有设置的选项外,这些机器上的所有替换原有设置的选项都已启用。从而允许任何操作者改变这些投票。这样,系统就让操作人员全权处理选票,在这种情况下,没有审计线索或监督的选票占总投票数的81.96%。[图10]

7. 在2020年8月12日,微软发布了58个10+产品的安全补丁,其中一些用于选举软件机器、服务器和程序。58个安全修复补丁中的22个,是针对远程代码执行(RCE)漏洞修复的补丁。[图11]。

图11

8. 我们审查了从2020年9月19日到2020年11月21日的整个选举管理系统日志(EmsLogger):安特里姆县2020年11月。在整个设置、选举和结果制表过程中都存在配置错误。中湖镇1选区的最后一次错误发生在2020年11月21日14:35:11System.Xml.Xml异常:名称中不能包含“”字符(十六进制值0x20)。一句话,这是拒绝这个投票的校验。(见下图)[图12]:

值得注意的是,42分钟前的2020年11月21日13:53:09,有用户试图将选举结果归零。Id:3168 EmsLogger – 没有权限{0}。- 项目:用户: 线程: 189. 这是企图篡改证据的直接证据。

9.选举活动设计器日志显示,多米尼克图像投射(Dominion ImageCast)区域卡已在2020年10月23日使用更新后的新编程进行重新编程,在选举后于11/05/2020进行了编程。 如前所述,这违反了HAVA安全庇护期。 来源:C:\ Program Files \ Dominion投票系统\ Election Event 设计器\ Log \ Info.txt 

•于2020年9月25日编程的多米尼克图像投射(Dominion Imagecast)区域卡又在2020 年9月29 日,2020 年9月23日和2020 年10月12 日进行了编程。
•使用新选票编程程序编程的多米尼克图像投射(Dominion Imagecast)区域卡的日期在2020年10月23日和大选以后是的2020年11月5 日被记为2020年10月22日。

除了在2020年11月5日显示“程序存储卡”命令以外。

10. 分析正在进行中,更新的调查结果将尽快提交。

收集到的信息摘要如下:

10|12/07/20 18:52:30|索引在2020 年12月7日 18:52:30 2020完成
12|12/07/20 18:52:30| 索引概要
12|12/07/20 18:52:30|文件索引: 159312
12|12/07/20 18:52:30| 跳过的文件: 64799
12|12/07/20 18:52:30| 已过滤的文件:0
12|12/07/20 18:52:30| 电子邮件索引:0
12|12/07/20 18:52:30| 找到的唯一字数: 5325413
12|12/07/20 18:52:30|找到了变体字。3597634
12|12/07/20 18:52:30| 总字数:239446085
12|12/07/20 18:52:30| 平均每页唯一字数。33.43
12|12/07/20 18:52:30| 平均每页字数:1503
12|12/07/20 18:52:30|使用的物理内存峰值:2949 MB
12|12/07/20 18:52:30|使用的虚拟内存峰值:8784 MB
12|12/07/20 18:52:30|错误:10149
12|12/07/20 18:52:30| 扫描/下载的总字节数:1919289906

日期:2020 年12 月13 日

                                                                                             签字:   罗素•拉姆斯兰(Russell Ramsland)

译者注:罗素·拉姆斯兰是一位网络安全分析师, 前共和党国会候选人

原文链接:

https://www.depernolaw.com/uploads/2/7/0/2/27029178/antrim_michigan_forensics_report_[121320]_v2_[redacted].pdf

+1
0 评论
Inline Feedbacks
View all comments