El equipo de Ben Cotton está auditando las prácticas y políticas relacionadas con la TI en las elecciones de 2020 en el condado de Maricopa. Compartió algunos temas importantes durante su presentación la semana pasada que cualquier buen auditor de TI encontraría.
Señalamos anteriormente que la Junta de Supervisores del Condado de Maricopa contrató a dos empresas electorales porque sabían que estas empresas les darían una declaración de salud limpia.
Pero Ben Cotton y su equipo fueron seleccionados por los Cyber Ninjas para abordar el trabajo de TI relacionado con los resultados del condado de Maricopa en las elecciones de 2020. El investigador Cotton de CyFIR realizó un trabajo que los auditores anteriores deberían haber cubierto.
Es una tarea difícil para estos auditores porque el condado de Maricopa no ha cooperado por completo, incluso con preguntas básicas, remitiendo a los auditores a abogados. Todo esto proporciona más apoyo que los sujetos bajo auditoría, los auditados, son culpables y hacen todo lo posible para posponer la elección.
Dominion tiene dos empleados a tiempo completo en el lugar que dan servicio al sistema electoral del condado de Maricopa. El software Dominion actual se instaló en agosto de 2019. Desde esa fecha, no ha habido actualizaciones antivirus, actualizaciones del sistema operativo ni parches de seguridad. También se crearon cuentas de administrador en esa fecha, cada una con exactamente la misma contraseña. Estas son acciones de un Departamento de TI «peor en su clase» y es un subterfugio deliberado de un sistema electoral. La práctica común es actualizar los parches de forma mucho más regular.
A continuación se muestra una lista de temas abordados por Cotton durante su presentación al Senado de Arizona el jueves pasado.
- Los auditores han recopilado más de 2.000 terabytes de datos, la gran mayoría son imágenes de vídeo.
- Lo que el condado de Maricopa ha dicho al público a menudo es drásticamente diferente de su respuesta a la citación legal.
- Maricopa no utilizó un proceso forensemente seguro para clonar unidades. Las fechas y horas fueron alteradas por su proceso de clonación.
- El 11 de marzo de 2021 alguien con acceso de administrador al sistema de gestión electoral (EMS) ejecutó un script que produjo 37.646 consultas en busca de contraseñas en blanco. El sistema tiene solo 8 cuentas de usuario. (ver abajo)
- Faltan los registros de eventos de seguridad de Windows antes del 5 de febrero de 2021.
- Cada cuenta de administrador electoral, sin importar el usuario, todas tienen la misma contraseña.
- Cuando se instaló el software Dominion en agosto de 2019, se crearon contraseñas administrativas y no se han cambiado desde entonces.
- Las vulnerabilidades que existen en los sistemas electorales de Maricopa tardarían un niño promedio en obtener acceso a estos sistemas.
- El sistema electoral de Maricopa utiliza llaveros ibutton como segundo paso en los inicios de sesión. Maricopa y Dominion se han negado a proporcionar estos fobs a los auditores (ver más abajo).
- Se ha hecho evidente que hay graves problemas de ciberseguridad con la forma en que se mantuvo el sistema y la red de gestión electoral.
- Estamos viendo inicios de sesión anónimos a nivel del sistema que no siguen ese patrón de comportamiento normal de Windows.
- Después de que ambas partes acordaran una solución, el condado de Maricopa se negó a liberar los datos de ese router.
- Maricopa no puede comprobar la configuración de su propio sistema electoral sin depender de los empleados del Dominion.
- Las dos auditorías de la EAC contratadas por Maricopa a principios de año parecen no haber abordado aspectos de ciberseguridad, ni siquiera contraseñas compartidas.
- No se cambió ni un solo bit de datos en ningún dispositivo en posesión del auditor. El uso de un dispositivo de «bloque de escritura» impidió esto. Las imágenes se hicieron poco a poco, luego se aplicó un valor hash MD5. No hay necesidad de comprar nuevas máquinas.
- No ha habido actualizaciones antivirus, actualizaciones del sistema operativo o parches de seguridad aplicados al sistema electoral desde agosto de 2019, fecha en que se instaló el software Dominion.
Maricopa dijo repetidamente al público que el sistema electoral no tocaba Internet, pero esto no era cierto. Si es así, el sistema no podría haber llegado con los datos de otros departamentos del condado de Maricopa. Para evitar la divulgación de información del router, la Junta de Supervisores y el Sheriff dijeron entonces que los datos del router electoral se mezclaron con información crítica de otros departamentos del condado. Mediante el uso de auditores de EAC, Maricopa dijo que las máquinas de elecciones públicas estaban seguras. Ahora dicen que no se puede contratar a esos mismos auditores para probar las mismas máquinas. Esta semana aprobaron la compra de nuevas máquinas Dominion por 3 millones de dólares.
El uso de ibuttons es inusual para los inicios de sesión en PC, y es una tecnología muy antigua. Estos ibuttons se utilizan normalmente para verificar una ubicación o para el control de acceso. Por ejemplo, un guardia de seguridad toca su botón en varias puertas para verificar que caminó con su patrulla. En el condado de Maricopa, después de iniciar sesión como administrador electoral, también debe usar un botón ipreprogramado para obtener acceso al sistema electoral Dominio. El condado de Maricopa declaró que solo el personal del Dominio tiene los botones Admin y ambas organizaciones se han negado a ayudar a los auditores a obtenerlos.
En general, las observaciones relacionadas con la TI de las prácticas de control hasta la fecha son horribles. En algunos casos, el condado está utilizando tecnología antigua. En otros casos, los procesos están rotos o incluso no existen. Con tal desastre, ¿cómo los auditores electorales de TI contratados por el condado no se dieron cuenta de ellos?
QAnons España 