Auditing Elections Equipment in Maricopa County

Maricopa County Government
12 min readFeb 23, 2021

--

Election Day Tabulator

On January 27, 2021, the Maricopa County Board of Supervisors approved a multi-layered forensic audit of the tabulation equipment to add to steps already done to ensure the integrity of elections in Maricopa County.

The county hired two independent firms certified by both the National Institute for Standards and Technology, and the U.S. Elections Assistance Commission:

o Pro V&V audited the elections equipment February 2–5 and February 15, 2021.

o SLI Compliance audited the elections equipment February 8–12, 2021.

Results

Maricopa County’s election equipment and software passed all tests performed by Pro V&V and SLI Compliance.

Read the summary of the audit findings.

Read the Pro V&V audit report.

Read the SLI Compliance audit report.

Source Code Tests: Pro V&V (Left), SLI Compliance (Right)
  • Source Code Tests — NO ISSUESAll software and equipment inspected was using certified software and was not modified.
Malicious Software and Hardware Tests: Pro V&V (Left), SLI Compliance (Right)
  • Malicious Software and Hardware Tests — NO ISSUESNo instances found of malicious software or hardware installed on the tabulators or system.
Network and Internet Connectivity Tests: Pro V&V (Left), SLI Compliance (Right)
  • Network and Internet Connectivity Tests — NO ISSUESNo evidence found of internet connectivity.
Pro V&V Accuracy Tests
  • Accuracy Tests — NO ISSUESEquipment tabulated ballots accurately and no evidence of vote switching was found.

Audit Timeline

  • January 27, 2021: Maricopa County Board of Supervisors approve the extensive audit.
  • February 2, 2021: First audit begins (Pro V&V).
  • February 3, 2021: Auditors begin examining tabulation equipment software and hardware.
  • February 4, 2021: Auditors check to see if tabulation equipment and servers were ale to send or receive information from the internet.
  • February 5, 2021: Auditors analyze logic and accuracy tests and prepare for malware testing.
  • February 8, 2021: Second independent audit begins (SLI Compliance).
  • February 9, 2021: Auditors inspect tabulation equipment software.
  • February 10, 2021: Auditors check for software vulnerabilities and test the tabulators for internet connectivity.
  • February 11, 2021: Auditors inspect server logs for malicious software and test for internet connectivity.
  • February 12, 2021: SLI Compliance completes audit.
  • February 16, 2021: Pro V&V returns to complete audit.

Audit Myth Busters

Were the auditors certified?

Both Pro V&V and SLI Compliance are certified Voting System Test Laboratories and their certification is in good standing with the U.S. Elections Assistance Commission.

The county sought out the best, most qualified firms to perform this audit. A certified Voting System Test Laboratory is the only firm with the combined skill sets and knowledge to identify vulnerabilities and to verify the systems are configured according to federal certification standards.

Using a Voting System Test Laboratory is essential, as the county asked auditors to review and analyze at the tabulation source code to perform a true assessment and identify vulnerabilities. Since the Department of Homeland Security designated tabulation equipment as critical Election Infrastructure, if the source code is exposed and posted online, that could jeopardize the integrity of voting systems across the country.

With four jurisdictional elections in 2021, including one on March 9, the county must also ensure its tabulation equipment remains certified.

I’ve been hearing that this audit is not very thorough and would not find anything. Was this audit just surface level?

The test themselves were very thorough. In their hardware tests, auditors investigated the tabulation equipment by taking it apart piece-by-piece to the core components. They traced these core components back to the certified design build, ensuring there was no foreign hardware installed.

In their software tests, auditors took a bit-by-bit clone of the devices and every event log and audit log of the system.

They used five different antivirus and malware forensic examining tools to scan the bit-by-bit clone and search for any malicious software or viruses that would have made the system vulnerable.

These scans would have found if any devices connected to the internet or if an external USB drive was plugged into the election equipment. This testing was so thorough that when the Elections Department compiled the data and logs for the Senate’s subpoena, auditors were able to see exactly the steps taken.

If a malicious piece of hardware or software was installed, these tests would have found it.

How can you ensure the data from the November 2020 General Election was not changed or altered during the audits and while preparing for the Goodyear election?

All election specific data is stored on memory cards sealed in the vault or on our backup server. In addition, when the auditors performed their work, they made clones of our hard drives using write protection hardware or used brand new USB drives to gather the data. This would prevent any data corruption and maintained the air gapped integrity of the ballot tabulation center.

All the election equipment data from the General Election is stored in a separate file from the Goodyear election and cannot be overwritten.

Some people have said the auditors hired Dominion employees. Is that true?

The firms have attested they have not hired Dominion or any other former voting systems employees. Furthermore, the U.S. Election Assistance Commission provides hiring restrictions for certified Voting System Test Laboratories. If a firm were to hire a former voting system employee, that employee would be barred from development and testing of equipment of their former employer for at least three years.

Why is it important that the software and hardware match what federal certification standards? What security tests were performed when the equipment was originally certified?

During the federal certification process, Maricopa County’s election equipment’s software and hardware went through a robust set of security tests designed to ensure the equipment did not allow for vote manipulation, external or backdoor access or any other hackable workaround.

A Voting System Test Laboratory would not recommend a voting system with security weaknesses. Federal security standards include:

· Protection of the critical elements of the voting system

· Establishing and maintaining controls to minimize errors

· Protection from intentional manipulation, fraud and malicious mischief; fraudulent or erroneous changes to the voting system

· Protecting the secrecy in the voting process

A match of the software and hardware confirms that the system went through rigorous security testing.

Why did the county not audit the ballots?

The ballots are currently sealed. There is no provision under Arizona law that allows for the county to “recount” or “audit” of the election results after they were certified. The county cannot access the ballots without a court order, this includes digital copies of the ballots.

Why does the county provide a public wireless network? Does that expose risks to the tabulation equipment?

The County provides a public wireless network so customers, including candidates and voters, can access the internet while doing county business. It is not unique to the Elections Department. The tabulation equipment is an air-gapped system, meaning it does not have access to any wireless network, including the public network. The two Voting System Test Laboratories confirmed that the tabulation systems was a secure closed network.

Auditoría del Equipo Electoral en el Condado Maricopa

Equipo de Tabulación del Día de la Elección

El 27 de enero de 2021, la Junta de Supervisores del Condado Maricopa aprobó una auditoría forense de varios niveles del equipo de tabulación para complementar las medidas ya adoptadas para garantizar la integridad de las elecciones en el Condado Maricopa.

El condado contrató a dos firmas independientes certificadas por el Instituto Nacional de Estándares y Tecnología, y la Comisión de Asistencia Electoral de EE.UU. :

o Pro V&V auditó el equipo electoral del 2 al 5 de febrero y el 15 de febrero de 2021.

o SLI Compliance auditó el equipo electoral del 8 al 12 de febrero de 2021.

Resultados

El equipo y el software electoral del Condado Maricopa pasaron todas las pruebas realizadas por Pro V&V y SLI Compliance.

Lea el resumen con las conclusiones de la auditoría (en inglés).
Lea el informe de auditoría de Pro V&V (en inglés).
Lea el informe de auditoría de SLI Compliance (en inglés).

Pruebas de Código Fuente: Pro V&V (Izquierda), SLI Compliance (Derecha)
  • Pruebas de Código Fuente — SIN PROBLEMAS — Todo el software y equipo inspeccionado estaba usando software certificado y no fue modificado.
Pruebas de Software y Hardware Malicioso: Pro V&V (Izquierda), SLI Compliance (Derecha)
  • Pruebas de Software y Hardware Malicioso — SIN PROBLEMAS — No se encontraron casos de software o hardware malicioso instalado en los tabuladores o sistema.
Pruebas de Conectividad de Redes e Internet: Pro V&V (Izquierda), SLI Compliance (Derecha)
  • Pruebas de Conectividad de Redes e Internet — SIN PROBLEMAS — No se encontraron pruebas de conectividad a Internet.
Pro V&V Pruebas de Precisión
  • Pruebas de Precisión — SIN PROBLEMAS — El equipo tabuló las boletas con precisión y no se encontró evidencia de cambio de votos.

Calendario de Auditoría

  • 27 de enero de 2021: La Junta de Supervisores del Condado Maricopa aprueba auditoría exhaustiva.
  • 2 de febrero de 2021: Comienza la primera auditoría (Pro V&V).
  • 3 de febrero de 2021: Los auditores comienzan a examinar el software y el hardware del equipo de tabulación.
  • 4 de febrero de 2021: Los auditores verifican si los equipos y servidores de tabulación eran capaces de enviar o recibir información de Internet.
  • 5 de febrero de 2021: Los auditores analizan las pruebas de lógica y exactitud y se preparan para las pruebas de malware.
  • 8 de febrero de 2021: Comienza la segunda auditoría independiente (SLI Compliance).
  • 9 de febrero de 2021: Los auditores inspeccionan el software de equipos de tabulación.
  • 10 de febrero de 2021: Los auditores verifican las vulnerabilidades del software y prueban los tabuladores para la conectividad a Internet.
  • 11 de febrero de 2021: Los auditores inspeccionan los registros del servidor en busca de software malicioso y prueban la conectividad a Internet.
  • 12 de febrero de 2021: SLI Compliance termina la auditoría.
  • 16 de febrero de 2021: Pro V & V regresa para completar la auditoría.

Cazadores de Mitos de la Auditoría del Equipo Electoral

¿Los auditores fueron certificados?

Tanto Pro V&V como SLI Compliance son Laboratorios de Pruebas de Sistemas de Votación certificados y su certificación está en buen estado con la Comisión de Asistencia Electoral de EE.UU.

El condado buscó las mejores y más calificadas firmas para realizar esta auditoría. Un Laboratorio de Pruebas de Sistemas de Votación certificado es la única empresa con el conjunto de habilidades y conocimientos combinados para identificar vulnerabilidades y verificar que los sistemas están configurados de acuerdo con los estándares de certificación federales.

El uso de un Laboratorio de Pruebas del Sistema de Votación es esencial, ya que el condado pidió a los auditores que revisaran y analizaran el código fuente de tabulación para realizar una verdadera evaluación e identificar vulnerabilidades. Dado que el Departamento de Seguridad Nacional designó equipos de tabulación como infraestructura electoral crítica, si el código fuente se expone y se publica en línea, eso podría poner en peligro la integridad de los sistemas de votación en todo el país.

Con cuatro elecciones jurisdiccionales en 2021, incluyendo una el 9 de marzo, el condado también debe asegurar que su equipo de tabulación permanezca certificado.

He estado escuchando que esta auditoría no es muy exhaustiva y no encontraría nada. ¿Fue esta auditoría sólo a nivel superficial?

La prueba en sí misma fue muy minuciosa. En sus pruebas de hardware, los auditores investigaron el equipo de tabulación separándolo pieza por pieza a los componentes principales. Rastrearon estos componentes principales hasta la construcción de diseño certificada, garantizando que no había hardware extranjero instalado.

En sus pruebas de software, los auditores tomaron un clon poco a poco de los dispositivos y cada registro de eventos y registro de auditoría del sistema.

Usaron cinco diferentes herramientas de análisis forense de antivirus y malware para escanear el clon poco a poco y buscar cualquier software malicioso o virus que hubieran hecho vulnerable al sistema.

Estos escaneos habrían encontrado si algún dispositivo conectado a Internet o si una unidad USB externa estaba conectada al equipo de elección. Esta prueba fue tan exhaustiva que cuando el Departamento de Elecciones recopiló los datos y registros para el citatorio del Senado, los auditores pudieron ver exactamente los pasos dados.

Si se hubiera instalado una pieza maliciosa de hardware o software, estas pruebas lo habrían encontrado.

¿Cómo puede garantizarse de que los datos de la Elección General de noviembre de 2020 no fueron cambiados o alterados durante las auditorías y mientras se preparaba la elección de Goodyear?

Todos los datos específicos de la elección se almacenan en tarjetas de memoria selladas en la bóveda o en nuestro servidor de respaldo. Además, cuando los auditores realizaron su trabajo, hicieron clones de nuestros discos duros utilizando hardware de protección contra escritura o utilizaron unidades USB nuevas para recopilar los datos. Esto evitaría cualquier corrupción de datos y mantendría la integridad del centro de tabulación de boletas.

Todos los datos del equipo electoral de la Elección General se almacenan en un archivo separado de la elección de Goodyear y no se pueden sobrescribir.

Algunas personas han dicho que los auditores contrataron empleados de Dominio. ¿Es eso cierto?

Las firmas han atestiguado que no han contratado a Dominion ni a ningún otro ex empleado de sistemas de votación. Además, la Comisión de Asistencia Electoral de los EE.UU. ofrece restricciones de contratación para los Laboratorios de Pruebas del Sistema de Votación certificados. Si una empresa contratara a un ex empleado del sistema de votación, ese empleado no podría desarrollar ni probar el equipo de su antiguo empleador durante al menos tres años.

¿Por qué es importante que el software y el hardware coincidan con los estándares de certificación federales? ¿Qué pruebas de seguridad se realizaron cuando el equipo fue certificado originalmente?

Durante el proceso de certificación federal, el software y el hardware del equipo electoral del Condado Maricopa pasaron por un sólido conjunto de pruebas de seguridad diseñadas para garantizar que el equipo no permitiera la manipulación del voto, acceso externo o de manera ilegítima o cualquier otra solución de seguridad que pudiera hackearse.

Un Laboratorio de Pruebas del Sistema de Votación no recomendaría un sistema de votación con debilidades de seguridad. Los estándares federales de seguridad incluyen:

• Protección de los elementos críticos del sistema de votación
• Establecer y mantener controles para minimizar errores
• Protección contra la manipulación intencional, el fraude y la maldad; cambios fraudulentos o erróneos en el sistema de votación
• Proteger el secreto en el proceso de votación

Una coincidencia de software y hardware confirma que el sistema pasó por rigurosas pruebas de seguridad.

¿Por qué el Condado no auditó las boletas?

Las boletas están selladas. No hay ninguna disposición bajo la ley de Arizona que permita a el condado un “recuento” o “auditoría” de los resultados electorales después de haber sido certificados. El condado no puede acceder a las boletas de votación sin una orden judicial, lo que incluye copias digitales de las boletas de votación.

¿Por qué el Condado proporciona una red inalámbrica pública? ¿Eso expone riesgos al equipo de tabulación?

El Condado proporciona una red inalámbrica pública para que los clientes, incluyendo los candidatos y los votantes, puedan acceder a Internet mientras hacen negocios en el condado. No es exclusivo del Departamento de Elecciones. El equipo de tabulación es un sistema aislado, lo que significa que no tiene acceso a ninguna red inalámbrica, incluida la red pública. Los dos Laboratorios de Pruebas del Sistema de Votación confirmaron que los sistemas de tabulación eran una red cerrada segura.

--

--