Mối quan hệ công ty kiểm tra' máy ở Georgiavới Dominion

Ngoại trưởng bang Georgia thuê công ty Pro V&V - vốn có “mối quan hệ lâu dài” với Dominion - tiến hành "kiểm tra" kỹ thuật Hệ thống máy bỏ phiếu Dominion - được sử dụng trong cuộc bầu cử năm 2020. Kết luận thử nghiệm kỹ thuật của công ty Pro V&V - được một chuyên gia trích dẫn trong các tài liệu của tòa án - là “hời hợt” và “sơ sài”.

Khi công bố kết quả kiểm tra vào ngày 17/11/2020, Ngoại trưởng bang Georgia, Ben Raffensperger đã không tiết lộ rằng, công ty Pro V&V đã có mối quan hệ lâu dài từ nhiều năm trước với Dominion.

Ông Raffensperger cũng không tiết lộ rằng Dominion đã sử dụng kết luận kỹ thuật từ công ty Pro V&V trong một vụ kiện diễn ra trước cuộc bầu cử ở Georgia. Điều này đã đặt câu hỏi về độ tin cậy đối với hệ thống máy Dominion trong quá trình sửa đổi phần mềm - diễn ra vào phút cuối trước cuộc bầu cử ngày 3/11. Kết luận thử nghiệm kỹ thuật của công ty Pro V&V - được một chuyên gia trích dẫn trong các tài liệu của tòa án - là “hời hợt” và “sơ sài”.

Tuyên bố ‘ngược đời’ của Ngoại trưởng bang Georgia về ‘không có dấu hiệu gian lận’
Trong tuyên bố được trích dẫn rộng rãi, Ngoại trưởng bang Raffensperger nói rằng đã hoàn tất việc kiểm tra các máy Dominion, “không có dấu hiệu gian lận” và “không có bằng chứng vi phạm của công ty Pro V&V” về việc can thiệp vào hệ thống máy:

“Chúng tôi vui mừng nhưng không ngạc nhiên về việc kiểm tra các máy bỏ phiếu của tiểu bang - là một thành công trên mọi phương diện. An ninh bầu cử đã được ưu tiên hàng đầu kể từ ngày đầu tiên tôi nắm quyền. Chúng tôi đã hợp tác với Bộ An ninh nội địa, Trung tâm Không gian mạng Georgia, các chuyên gia bảo mật Công nghệ Georgia và nhiều chuyên gia an ninh bầu cử khác trên khắp tiểu bang và quốc gia - để cử tri Georgia có thể tin tưởng rằng lá phiếu của họ là an toàn và bảo mật”, ngoại trưởng Raffensperger tuyên bố.

Raffensperger còn mô tả một cách ấn tượng trong tuyên bố của mình về công ty Pro V&V, nhưng ông không hề tiết lộ mối quan hệ giữa công ty Dominion và Pro V&V, không đề cập đến thực tế rằng Pro V&V dường như là một công ty tư nhân nhỏ, hoạt động từ một trụ sở văn phòng duy nhất.

“Pro V&V có trụ sở tại Huntsville, Alabama là Phòng thí nghiệm Kiểm tra Hệ thống Bỏ phiếu (VSTL) được Ủy ban Hỗ trợ Bầu cử Hoa Kỳ chứng nhận. Điều này có nghĩa là phòng thí nghiệm Alabama “đủ điều kiện để kiểm tra các hệ thống bỏ phiếu theo tiêu chuẩn Liên bang”. Chứng nhận VSTL được cung cấp theo Đạo Luật Giúp Người Mỹ Bỏ Phiếu năm 2002. Pro V&V được công nhận bởi Trung tâm hỗ trợ xuất khẩu Hoa Kỳ (USEAC), là khuyến nghị của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) - phòng thí nghiệm khoa học vật lý của chính phủ Hoa Kỳ chuyên tạo ra các tiêu chuẩn và đơn vị đo lường giúp Hoa Kỳ trở thành nước đổi mới khoa học hàng đầu trên thế giới”.

Theo trang web của Ủy ban Hỗ trợ Bầu cử (EAC), Ủy ban liên bang hiện chỉ có hai phòng thử nghiệm được công nhận trên toàn nước Mỹ là: Pro V&V và SLI Compliance. Trên trang EAC, có bảy phòng thí nghiệm kiểm tra hệ thống bỏ phiếu (VSTL) được liệt kê, nhưng năm trong số các công ty này có dấu hiệu cho thấy chứng nhận của họ đã hết hạn.

Mặc dù trong danh sách EAC công nhận có Pro V&V, nhưng đường dẫn liên kết đến chứng nhận cấp phép của Pro V&V lại cảnh báo “không thể tìm thấy trang”. Chỉ có chứng nhận cấp phép cũ trước đó được tìm thấy trên trang giới thiệu tổng quan, ngày phát hành là 24/2/2015 và có hiệu lực đến hết ngày 24/2/2017. Chưa rõ liệu giấy chứng nhận cấp phép của Pro V&V đã hết hạn hay lỗi nằm ở trang web EAC.



Pro V&V luôn là phòng thí nghiệm thử nghiệm duy nhất cho Dominion
Cách mô tả của ngoại trưởng Raffensperger về Pro V&V khiến người ta dễ dàng tin rằng không có mối quan hệ liên kết hay mối quan hệ lâu dài nào giữa Dominion và Pro V&V. Thật tiếc, niềm tin đó là không chính xác.

Website của EAC liệt kê danh sách các Hệ thống bỏ phiếu được công nhận cấp phép, trong đó Dominion có 14 phiên bản hệ thống bỏ phiếu chi tiết. Ngày 8/2/2017, Dominion đã giới thiệu phiên bản Democracy Suite 5.0, và Pro V&V trở thành phòng thí nghiệm thử nghiệm chính cho các hệ thống bỏ phiếu mới của Dominion. Một ngoại lệ quan trọng - một sửa đổi (5.5-A) được SLI kiểm tra để thích ứng với phiên bản Democracy Suite 5.5 của Dominion cho bang Pennsylvania (cùng phiên bản mà sau đó được sử dụng cho bang Georgia) - Pro V&V luôn là phòng thí nghiệm thử nghiệm duy nhất cho Hệ thống Bỏ phiếu Dominion cho đến nay.

Vào tháng 7/2019, Georgia đã mua một hệ thống bầu cử trị giá 106 triệu USD từ Dominion. Trong một vụ kiện bắt nguồn từ năm 2017, các nhà phê bình cho rằng hệ thống Dominion mới có nhiều lỗ hổng bảo mật tương tự như hệ thống đã được thay thế. Raffensperger được đưa vào danh sách bị cáo trong vụ án, các luật sư của tiểu bang và quận đã có mặt tại các phiên điều trần khác nhau.

Sau khi bang Georgia mua hệ thống Dominion, hai nhân viên từ Pro V&V là Michael Walker và Wendy Williams, đã duyệt kết quả thử nghiệm Hệ thống bầu cử Dominion Democracy Suite 5.5-A cho bang Georgia vào ngày 26/11/2019. Hơn nữa, chính hai nhân viên này đã thực hiện việc kiểm tra vào ngày 13/4/2020 và ngày 16/6/2020 cho chương trình Democracy Suite 5.5-C của Dominion. Trong đó, Williams đóng vai trò xử lý những vấn đề để cấp giấy chứng nhận vào phút cuối cho Dominion.

Nhưng đã có một vấn đề - điều mà sau đó được tòa án lưu ý:

“Bản khai có tuyên thệ đầu tiên của ông Cobb tiết lộ rằng bản thân Pro V&V không tiến hành bất kỳ hình thức thâm nhập hoặc kiểm tra bảo mật nào đối với phiên bản phần mềm 5.5-A đặc biệt được sử dụng ở Georgia (Dominion được chứng nhận vào tháng 8/2019) mà dựa vào kiểm tra bảo mật của một công ty khác đối với các phiên bản trước của phần mềm Dominion Democracy Suite”.

Thay vào đó, Pro V&V đã dựa vào thử nghiệm ban đầu của phiên bản Dominion Suite 5.5. Và như tòa án đã lưu ý: “Ông [Eric] Coomer đã làm chứng rằng có sự khác biệt giữa phiên bản 5.5 và 5.5-A Dominion Democracy Suite - một thay đổi đối với phần mềm ICX không được xem là không đáng kể”.

Hệ thống bỏ phiếu quốc gia có hàng loạt vấn đề
Trong một tuyên thệ vào ngày 24/8, Harri Hursti, một chuyên gia về bảo mật bỏ phiếu điện tử, đã mô tả trực tiếp các vấn đề mà ông quan sát thấy ở hệ thống bỏ phiếu mới của Georgia - trong cuộc bầu cử sơ bộ trên toàn tiểu bang vào ngày 9/6, và cuộc bầu cử bỏ phiếu lần hai vào ngày 11/8.

Hursti nói với tòa án một loạt các vấn đề, bao gồm cả việc “cài đặt máy quét và phần mềm lập bảng đang được sử dụng - để xác định những phiếu bầu được đánh dấu bằng tay cần kiểm đếm, có thể khiến những phiếu bầu không được tính”.

Sau đó, trong quá trình thử nghiệm trước bầu cử đối với hệ thống bỏ phiếu của Dominion vào cuối tháng 9/2020, các quan chức bang Georgia đã phát hiện ra một vấn đề liên quan đến màn hình hiển thị của “cuộc đua” vào Thượng viện Hoa Kỳ, nhận thấy rằng trong một số trường hợp nhất định, không phải tất cả tên của các ứng cử viên đều xuất hiện trên một màn hình hiển thị.

Để giải quyết vấn đề này, Dominion đã bắt tay vào sửa đổi phần mềm, yêu cầu Pro V&V kiểm tra xác nhận vì phần mềm hiện đã được thay đổi trên các hệ thống Dominion. Có một số bất đồng về phạm vi các sửa đổi trên phần mềm đã thực hiện và cần chứng nhận lại hệ thống do những sửa đổi đó. Vậy nên, tòa án đã tổ chức một cuộc họp trên ứng dụng Zoom vào ngày 1/10 để làm rõ sự việc này.

Lỗi không đáng kể?
Một trong những người tham gia cuộc họp này là Ryan Germany, cố vấn trưởng cho văn phòng ngoại trưởng bang Georgia.

Trong suốt quá trình xúc tiến vụ kiện tại tòa, các luật sư của Dominion đã trình bày vấn đề và kết luận là phần mềm đã được khắc phục, lỗi đó được xem như “không đáng kể”, không làm mất hiệu lực chứng nhận của EAC đã cấp trước đó. Còn các luật sư của “các nhà hoạt động vì sự liêm chính trong bỏ phiếu”, đã tham gia vào các vụ kiện về hệ thống Dominion mới của bang Georgia, bày tỏ lo ngại về “mức độ nghiêm trọng của vấn đề và tính bảo mật của bản sửa lỗi vào phút cuối”.

Tòa án đã phản ánh một số lo ngại, trong đó lưu ý rằng, do việc thực hiện sửa đổi phần mềm trên toàn tiểu bang, có thể có "những tác động lớn hơn". Và theo như giải thích của Tiến sĩ J. Alex Halderman, một chuyên gia bảo mật có mặt tại phiên điều trần, ông cho rằng, vấn đề là không hề nhỏ:

“Tôi muốn nhắc lại bản chất những mối lo ngại về an ninh mà tôi nhận thấy. Chúng ta cần phải làm rõ sự việc dù Dominion có cho rằng việc hay đổi mã nguồn là một thay đổi không đáng kể. Quá trình cập nhật phần mềm này yêu cầu thay thế hoàn toàn lõi của phần mềm Dominion trên mọi BMD”.

Dominion đã gửi bản sửa lỗi phần mềm cho Pro V&V để đánh giá. Đáng chú ý, Pro V&V gần đây đã cung cấp thử nghiệm chứng nhận cho chương trình Democracy Suite 5.5-C của Dominion vào ngày 20/4/2020 và ngày 16/6/2020, dẫn đến việc cấp Chứng nhận EAC vào ngày 9/7/2020, nhưng lại không phát hiện ra sự cố phần mềm vào thời điểm đó.



Các nhân viên bầu cử của Hạt Gwinnett xử lý các lá phiếu trong quá trình kiểm phiếu lại cho cuộc bầu cử tổng thống Mỹ năm 2020 tại Tòa nhà Đăng ký và Bầu cử Cử tri Beauty P. Baldwin ở Lawrenceville, Georgia, vào ngày 16/11/2020. (Megan Varner / Getty Images)
Trong cuộc họp qua Zoom vào ngày 1/10/2020, Tiến sĩ Eric Coomer, Giám đốc Chiến lược Sản phẩm và Bảo mật của Hệ thống Bỏ phiếu Dominion, nói với tòa án ông tin rằng sự thay đổi phần mềm "là không đáng kể", nhưng tuyên bố rằng Dominion không đưa ra quyết định đó - mà thay vào đó - “gửi phiên bản mới đến phòng thí nghiệm uy tín, trong trường hợp này là Pro V&V. Họ phân tích sự thay đổi. Họ nhìn vào mã. Và họ xác định xem đây có phải là tỷ lệ thay đổi không đáng kể hay không”.

Việc đánh giá “thay đổi không đáng kể” sẽ rất quan trọng, vì nó liên quan đến nhu cầu tái chứng nhận EAC hoàn chỉnh đối với các Hệ thống Dominion - điều đó có thể đòi hỏi nhiều thời gian hơn so với thời gian còn lại diễn ra trước cuộc bầu cử tổng thống vào ngày 3/11/2020.

Nếu việc thay đổi phần mềm được coi là không đáng kể, kết quả đó sẽ được gửi tới EAC dưới dạng lệnh thay đổi kỹ thuật “ECO”. Như Coomer đã làm chứng, “vì vậy, không có chứng nhận EAC mới. Chỉ đơn giản là cập nhật chứng nhận hiện tại cho lệnh thay đổi kỹ thuật này”.

Kiểm tra sơ sài
Vị trí của Pro V&V chính thức bị nghi ngờ trong một tuyên bố vào ngày 3/10/10 từ Halderman, người đã tuyên bố rằng “báo cáo chỉ rõ Pro V&V chỉ thực hiện thử nghiệm sơ lược phần mềm mới này. Công ty đã không nỗ lực xác minh độc lập về nguyên nhân của sự cố hiển thị phiếu bầu, cũng như không xác minh đầy đủ rằng liệu những thay đổi có phải là giải pháp hiệu quả hay không. Pro V&V cũng không chịu kiểm tra xem các thay đổi đó có tạo ra các vấn đề mới ảnh hưởng đến độ tin cậy, độ chính xác hoặc bảo mật của hệ thống BMD hay không”.

Ngày 11/10, Thẩm phán Amy Totenberg trong vụ án đã đưa ra phán quyết rằng: “Bất chấp các vấn đề sâu sắc mà Nguyên đơn nêu ra, Tòa án không thể vượt qua ranh giới pháp lý và gây ra sự gián đoạn lớn trong quy trình chính đã được thiết lập hợp pháp của tiểu bang”.

Ngày 3/12, trong cuộc họp của Ủy ban Giám sát Chính phủ Thượng viện Georgia về gian lận bầu cử, Ryan Germany, cố vấn cho văn phòng ngoại trưởng Georgia, một lần nữa đề cập đến vấn đề kiểm tra thiết bị Dominion, ông lưu ý:

“Đó là điều chúng tôi đã làm. Chúng tôi đã có một phòng thí nghiệm kiểm tra hệ thống bỏ phiếu độc lập sau cuộc bầu cử và đã kiểm tra các bộ phận chính của thiết bị máy móc… Những gì họ thấy là máy móc hoạt động chính xác. Phần mềm trên máy chính xác là thứ cần có trên đó”.

Nhưng một lần nữa, ông Germany không tiết lộ mối liên quan nào giữa sự liên kết của Pro V&V với Dominion, cũng như không có những lời chỉ trích về công việc của Pro V&V, mặc dù ông đã từng tham gia cá nhân vào các vụ kiện xung quanh hệ thống Dominion; và nhận thức được vai trò của Pro V&V trong việc đưa ra quyết định quan trọng về “thay đổi không đáng kể”.

Giám đốc của Pro V&V không am hiểu chuyên môn
Thẩm phán Totenberg nhận xét Jack Cobb, giám đốc của Pro V&V, cho rằng anh ta “thực sự không chứng minh được rằng mình có nền tảng và kiến thức chuyên môn về kỹ thuật an ninh mạng, và bản thân cũng không thực hiện bất kỳ phân tích rủi ro bảo mật nào về hệ thống BMD [Thiết bị đánh dấu phiếu bầu]”.

Bà Totenberg quan sát thấy “Jack Cobb không am hiểu phần mềm độc hại - có thể đánh bại hoặc vô hiệu hóa các giá trị hàm băm - mối lo ngại được đề cập bởi tất cả các chuyên gia an ninh mạng của Nguyên đơn, những người đã cung cấp các bản khai hoặc lời khai trong trường vụ kiện này”.

Cuối cùng, thẩm phán Totenberg chỉ ra rằng “các bị cáo của tiểu bang đã không giới thiệu bất kỳ chuyên gia an ninh mạng độc lập nào - để giải quyết trực tiếp các vấn đề an ninh mạng và lỗ hổng rủi ro - của hệ thống bỏ phiếu mã QR của Dominions do nguyên đơn nêu ra”.

Thay vào đó, “các bị cáo của tiểu bang dựa vào lời khai của Tiến sĩ Coomer, dựa trên kinh nghiệm chuyên môn của ông ta để giải quyết một số vấn đề quan trọng về an ninh mạng mà nguyên đơn nêu ra”.

May May