Pod útokom: ako volebné hackovanie ohrozuje strednodobé obdobia

V marci sa predstavitelia z 38 štátov zabalili do konferenčnej sály v Cambridge v štáte Massachusetts na dvojdňové simulačné cvičenie, ktoré prebiehalo ako vojnová hra.

Viac ako 120 štátnych a miestnych volebných funkcionárov, riaditeľov komunikácií, manažérov informačných technológií a štátnych tajomníkov viedlo cvičenia simulujúce bezpečnostné katastrofy, ktoré by sa mohli vyskytnúť v najhorší voliteľný deň, aký si možno predstaviť.

Cvičenie stolných počítačov sa začalo každú simuláciu mesiacov pred strednodobými voľbami, ktoré sa konali 6. novembra, čím sa urýchlilo časové obdobie, kým štáty v reálnom čase čelili útokom, keď voliči šli voliť. Organizované v rámci projektu Obrana digitálnej demokracie (D3P) na Harvarde, dvojstranného úsilia o ochranu demokratických procesov pred počítačovými a informačnými útokmi, vŕtačky nútili účastníkov reagovať na jeden scenár nočnej mory po druhom - hacky na stroji na hlasovanie a voliči, distribuované odmietnutie služby (DDoS) útoky, ktoré odstraňujú webové stránky, unikli nesprávne informácie o kandidátoch, falošné informácie o prieskume verejnej mienky šírené s cieľom potlačiť hlasy a kampane sociálnych médií koordinované útočníkmi z národných štátov, aby zasial nedôveru.

Ako sme videli v nedávnych voľbách po celom svete, často dochádza k viacerým útokom súčasne.

„Zamyslite sa nad odmietnutím služobného útoku a normálnymi taktikami phishingu a škodlivého softvéru, ktoré by sa použili počas volieb, “ povedal Eric Rosenbach, riaditeľ a vedúci štábu D3P americkému ministrovi obrany Ashton Carterovej v rokoch 2015 až 2017.

„Časť, ktorej by som sa najviac zaoberal DDoS, je útok proti webovej stránke oznamujúcej výsledky kombinovanej s high-endom. Pozrite sa, čo sa stalo na Ukrajine v roku 2014. Rusi DDoSed webovú stránku, ktorú Ukrajina používala na oznamovanie výsledkov volieb, potom všetkých nasmeroval späť do Ruska a predložil falošné výsledky. Ukrajinci zostali zmätení z toho, kto bol skutočne zvolený za prezidenta. ““

Pochopenie moderných bezpečnostných volieb znamená zvládnuť skľučujúcu realitu: najmä v Spojených štátoch je infraštruktúra príliš roztrieštená, zastaraná a zraniteľná na to, aby bola úplne zabezpečená. Existuje príliš veľa rôznych typov útokov naprieč hrozebnou krajinou, aby ich všetky mohli zastaviť.

PCMag hovoril s predstaviteľmi štátu, politickými činiteľmi, akademickými pracovníkmi, technickými spoločnosťami a výskumníkmi v oblasti bezpečnosti o ostrej realite volebnej bezpečnosti v roku 2018. Na oboch stranách politickej uličky, na všetkých úrovniach vlády av celom technologickom priemysle v Spojených štátoch. zápasí so zásadnými hrozbami v oblasti kybernetickej bezpečnosti pre naše voľby. Plánujeme tiež, ako reagovať, keď sa niečo pokazí, a to tak počas týchto zásadných strednodobých volieb, ako aj vo všeobecných voľbách do roku 2020.

Ochrana povrchu útoku

V kybernetickej bezpečnosti sa všetky exponované systémy a zariadenia, ktoré by mohli byť napadnuté, nazývajú „útočná plocha“. Útočný povrch amerických volieb je obrovský a dá sa rozdeliť do troch kľúčových úrovní.

Prvou je hlasovacia infraštruktúra; premýšľajte o hlasovacích automatoch, databázach na registráciu voličov a na všetkých webových stránkach štátnej správy a samosprávy, ktoré ľuďom hovoria, kde a ako majú voliť.

Potom je tu úroveň zabezpečenia kampane. Ako ukázal rok 2016, kampane sú pre hackerov ľahkým cieľom. Ukradnuté údaje o kampani možno potom použiť ako silnú zbraň pre tretiu, nejasnejšiu úroveň útoku: nebezpečný svet ozbrojených dezinformácií a kampane o sociálnom vplyve. Z tohto hľadiska armády trollov národných aktérov naďalej pôsobia na celom webe a napádajú platformy sociálnych médií, ktoré sa stali polarizovanými bojiskami vnímania voličov.

Pokus o vyriešenie nespočetných systémových problémov, ktoré trápia každú z týchto úrovní, často vedie k viac otázkam ako odpovediam. Namiesto toho sa mnohé zo stratégií na zmiernenie volebných bezpečnostných rizík zmierňujú: hlasovanie v papierovej forme a audit hlasovania; dávať štátnym a miestnym samosprávam viac zdrojov; a poskytovanie nástrojov a bezpečnostného školenia pre kampane a volebných úradníkov.

Niekoľko komplikovanejších a rozdrobenejších otázok pre volebných administrátorov a pracovníkov kampaní, ako aj pre voličov: Ako pristupujete k volebnému procesu v ére sociálnych médií, ktorý je plný dezinformácií online? A keď máte pochybnosti o všetkých digitálnych informáciách, ktoré sa objavujú na vašej obrazovke, čo by ste mali veriť?

Čo sme sa naučili od roku 2016

Akákoľvek konverzácia o americkej volebnej bezpečnosti v polovici roku 2018 a neskôr sa napokon dostane späť do prezidentských volieb v roku 2016. Pred touto rasou sme od polovice 20. rokov minulého storočia videli kybernetické útoky zamerané na kampane a voľby, ale nikdy predtým v tomto rozsahu.

"V tom čase ešte nikto nič také nevidel. Bolo šokujúce myslieť si, že Rusko by bolo také šialené, že by zasahovalo do našej demokracie a ovplyvňovalo to v prospech určitého kandidáta, " uviedla Rosenbachová, ktorá svedčila pred kongresom. v marci o ruskom zasahovaní do volieb v roku 2016. „Už 20 rokov pracujem v oblasti národnej bezpečnosti a toto bol najzložitejší a najťažší problém, aký som kedy riešil.“

V tomto okamihu sú fakty dosť jasné. Tucet Rusov údajne pracujúcich pre ruskú vojenskú spravodajskú službu GRU bolo obvinených z hackovania Demokratického národného výboru (DNC) a úniku dokumentov organizáciám vrátane WikiLeaks, ktoré vydali viac ako 20 000 e-mailov.

Obvinení hackeri, ktorí pôsobili pod online personami vrátane Guccifer 2.0, Fancy Bear a DCLeaks, porušili v auguste 2016 aj databázy registrácie voličov v Illinois a Arizone a ukradli informácie o viac ako 500 000 voličoch. Nasledujúce správy FBI a NSA zistili, že hackeri počas prezidentských volieb v roku 2016 narušili hlasovací softvér v 39 štátoch. Zástupca generálneho prokurátora USA Rod Rosenstein v obvinení ruských hackerov uviedol, že „cieľom sprisahania bolo ovplyvniť voľby“.

Boli to len útoky zasiahnuté prvými dvoma úrovňami volebnej infraštruktúry. V sociálnych médiách, Rusku, Iráne a ďalších rozpútali roboti a továrne na výrobu trollov - vrátane Ruskej federácie pre internetový výskum (IRA) - ktoré šírili falošné správy a kupovali tisíce politických reklám na Facebooku a Twitteri, aby ovplyvnili názory voličov. Zatiaľ čo škandál Cambridge Analytica na Facebooku bol spojený s politickými stranami a nie s hackermi mimo iného, ​​zohral tiež úlohu v tom, ako platformy sociálnych médií ovplyvnili voľby v roku 2016.

„Nereagovali sme dostatočne rýchlo ani dôrazne, “ povedala Rosenbach. Počas pôsobenia v Pentagone pôsobil Rosenbach v rokoch 2011 až 2014 ako zástupca ministra obrany pre Cyber ​​a ako zástupca ministra obrany pre globálnu bezpečnosť dohliadajúci na kybernetickú bezpečnosť.

Teraz je spoluzakladateľom Belfer Center na Harvardskej Kennedy School a riaditeľom D3P. Minulý rok ho založil spolu s Mattom Rhoadesom, manažérom kampane Mitta Romneyho vo voľbách v roku 2012, a Robby Mookom, manažérom kampane Hillary Clintonovej v roku 2016.

„Z bezpečnostného hľadiska je dôležité pochopiť, že samotná kampaň nebola nikdy hacknutá, “ povedal Mook pre PCMag. „Osobné e-mailové účty boli napadnuté hackermi a DNC bolo napadnuté hackermi, myslím si však, že je to dôležité upozornenie pre všetkých, že skutočne musíme zaistiť celý ekosystém. Protivníci idú kamkoľvek môžu, aby zbili informácie proti rôznym kandidátom.“

Phishingový útok, ktorý v roku 2016 úspešne prenikol do osobného účtu Gmail predsedu Johna Podestu od Johna Podestu, umožnil Mookovi uvedomiť si, že neexistujú mechanizmy na to, ako reagovať na útok v takom rozsahu. V roku 2017 sa spojil s Rhoadesom, ktorý sa počas Romneyho prezidentského behu zaoberal neustálymi hackerskými pokusmi čínskych kybernetických síl. Základnou myšlienkou bolo vytvoriť kontrolný zoznam vecí, ktoré treba urobiť, aby sa predišlo takýmto zneužitiam v budúcich kampaniach, a poskytnúť niekde kampane, ktoré by mohli ísť, keď boli napadnuté hackermi.

Obaja sa spojili s Rosenbachom a pracovali na vydaní knihy kníh o kampani D3P pre kybernetickú bezpečnosť. Odvtedy spolupracovali na dvoch ďalších knihách: jeden pre štátnych a miestnych volebných administrátorov a druhý, ktorý pripravuje komunikačných funkcionárov o tom, ako čeliť dezinformáciám online. Pomohli tiež zorganizovať a spustiť simulácie medzi stolnými stolmi.

Mook nechcel tráviť príliš veľa času rozprávaním o roku 2016; Je dôležité, aby ste si nepretržite prežívali poslednú bitku, keď sa môžete pripraviť na ďalšiu.

„Faktom je, že jednoducho nevieš prečo alebo ako sa niekto snaží dostať dovnútra. Iba vieš, že niekto bude, “ povedal Mook. "Najdôležitejšie je premýšľať o tom, čo by mohlo byť ďalej. Aké sú hrozby, ktoré sme zatiaľ neuvažovali alebo nevideli? Myslím si, že strednodobé horizonty potenciálne odhalia niektoré nové zraniteľné miesta, ale myslím si, že je to skôr o pohľade na systém ako o celá a zisťuje všetky možné spôsoby, ako by sa niekto mohol dostať. “



Posunutá hrozebná krajina

Keď sa blížime k polovici roku 2018 a čelíme dlhotrvajúcemu sloganu do prezidentských volieb v USA do roku 2020, pozornosť sa sústreďuje na oblasť hrozieb.

Hoci prezident Trump znížil mieru ruského zasahovania, USA v marci zasiahli Rusko novými sankciami. „Stále sme svedkami všadeprítomnej kampane na zasielanie správ zo strany Ruska, aby sme sa pokúsili oslabiť a rozdeliť Spojené štáty, “ uviedol počas augustového brífingu riaditeľ amerického spravodajského spravodajstva Dan Coats.

To prišlo po tom, čo spoločnosť Microsoft v júli ukončila pokus o hackovanie, ktorý zahŕňal falošné domény zamerané na troch kandidátov, ktorí sa uchádzali o opätovný výber. Iba pár týždňov pred uverejnením tohto príbehu bol ruský štátny príslušník obvinený z dohľadu nad snahou manipulovať voličov prostredníctvom Facebooku a Twitteru, aby zasahovali do strednodobého hľadiska. Ruská občianka Elena Khusyaynová, ktorá bola obvinená z obžaloby, údajne riadila finančné a sociálne operácie spojené s IRA a mala k dispozícii rozpočet vo výške viac ako 35 miliónov dolárov, ktorý financovala ruský oligarcha a Putin spojenec Jevgenij Prigozhin.

Riaditelia národnej spravodajskej služby, ministerstva vnútornej bezpečnosti a FBI vydali spoločné vyhlásenie načasované so žalobou. Uvádza sa v nej, že zatiaľ nie sú k dispozícii žiadne dôkazy o oslabení hlasovacej infraštruktúry v polovici obdobia, „niektoré štátne a miestne samosprávy oznámili zmiernené pokusy o prístup k svojim sieťam“, vrátane databáz registrácie voličov.

V posledných týždňoch pred strednodobými voľbami údajne americké kybernetické velenie údajne dokonca identifikuje ruských robotníkov, ktorí kontrolujú troll účty, a informuje ich, že USA sú si vedomé svojej činnosti v snahe odradiť volebné zasahovanie.

„Znepokojujú nás prebiehajúce kampane Ruska, Číny a ďalších zahraničných aktérov vrátane Iránu, ktoré podkopávajú dôveru v demokratické inštitúcie a ovplyvňujú verejné sentimenty a vládne politiky, “ uvádza sa v vyhlásení. „Tieto činnosti sa môžu tiež snažiť ovplyvniť vnímanie voličov a rozhodovanie vo voľbách v USA v rokoch 2018 a 2020.“

Hľadáte vzory

Pri monitorovaní činnosti zahraničných protivníkov a iných potenciálnych počítačových nepriateľov experti hľadajú vzory. Toni Gidwani povedala, že je to ako študovať radarové pole všetkých rôznych škodlivých entít tam vonku; hľadáte ukazovatele včasného varovania, ktoré zmierňujú riziko a zabezpečujú najslabšie články vašej obrany.

Gidwani je riaditeľom výskumných operácií v kybernetickej poisťovni ThreatConnect. Posledné tri roky strávila vedúcim výskumom ThreatConnect v oblasti hackerských aktivít DNC ​​a ruských vplyvov na prezidentské voľby v USA v roku 2016; jej tím prepojil Guccifera 2.0 s Fancy Bearom. Gidwani strávila prvú dekádu svojej kariéry v DoD, kde budovala a viedla analytické tímy v obrannej spravodajskej agentúre.

„Musíte vytiahnuť šnúry na veľa rôznych frontoch, “ povedal Gidwani. „Fancy Bear pracoval na rôznych kanáloch, aby sa pokúsil preniesť údaje DNC do verejnej sféry. Guccifer bol jedným z týchto frontov, DCLeaks bol jeden a WikiLeaks bol frontom s najväčším dopadom.“

Gidwani rozdelil vykorisťovanie národného štátu, ktoré sme videli, na niekoľko rôznych aktivít, ktoré spolu tvoria viacstupňovú interferenčnú kampaň. Porušenie údajov zameraných na kampaň viedlo k únikom strategických údajov v kritických okamihoch volebného cyklu.

„Znepokojujú nás útoky typu phishing a útok typu človek v strede. Tieto informácie sú také účinné, keď sa dostanú do verejnej domény, takže pravdepodobne nebudete potrebovať sofistikovaný malware, pretože kampane sú také operácie vyzdvihovania, príliv dobrovoľníkov ako cieľov, “vysvetlila. „Ak vaše phishingové kopie fungujú, nepotrebujete zraniteľnosť v nultý deň.“

Útoky na prienik do štátnych volebných rád sú ďalším bodom, ktorý mal narušiť dodávateľský reťazec hlasovacích strojov a narušiť dôveru v platnosť volebných výsledkov. Gidwani uviedol, že zastaraná a roztrieštená povaha hlasovacej infraštruktúry od štátu k útokom zo štátu, ako sú injekcie SQL, ktoré „dúfame, že už by nemali byť súčasťou útočnej knihy“, sú nielen možné, ale aj efektívne.

Tieto operácie sa do značnej miery líšia od skupín na Facebooku a troll účtov na Twitteri, ktoré vydávajú IRA a iní aktéri z národných štátov vrátane Číny, Iránu a Severnej Kórey. Tieto kampane sa v konečnom dôsledku viac týkajú vzbudenia sentimentu a kymácania voličov v celom politickom spektre, čím sa zosilňujú koordinované úniky údajov politickými šikmami. Pokiaľ ide o dezinformácie, odkryli sme iba špičku ľadovca.

„Jedna z vecí, ktorá robí voľby tak náročnými, je skutočnosť, že sa skladajú z množstva rôznych častí bez jedinej zainteresovanej strany, “ povedal Gidwani. „Veľkou výzvou, s ktorou zápasíme, je v zásade politická otázka, nie technická otázka. Platformy sa snažia uľahčiť identifikáciu legitímneho obsahu overením kandidátov. Ale s tým, ako sa tento druh obsahu môže šíriť, to trvá. nás mimo sveta informačnej bezpečnosti. ““



Pripojenie nových otvorov v starom stroji

Na svojej najzákladnejšej úrovni je americká volebná infraštruktúra šmrnc - kombináciou zastaralých a neistých hlasovacích zariadení, zraniteľných databáz voličov a štátnych a miestnych webových stránok, ktorým niekedy chýba aj najzákladnejšie šifrovanie a bezpečnosť.

V spätnom smere môže fragmentovaná povaha celonárodnej hlasovacej infraštruktúry z nej urobiť menej príťažlivý cieľ ako vykorisťovanie s rozsiahlejším dosahom. Z dôvodu zastaraných a niekedy aj analógových technológií v hlasovacích strojoch a toho, ako sa každý štát výrazne líši od budúceho, by hackeri museli v každom prípade vynaložiť značné úsilie na to, aby ohrozili každý jednotlivý lokalizovaný systém. To je do istej miery mylná predstava, pretože hackovanie štátu alebo infraštruktúra miestneho hlasovania v kľúčovom okrese s hojdačkami môžu mať absolútne vplyv na výsledok volieb.

Pred dvoma volebnými cyklami konzultoval Jeff Williams s hlavným predajcom hlasovacích zariadení v USA, ktorý odmietol identifikovať. Jeho spoločnosť vykonala manuálnu kontrolu kódu a bezpečnostný test hlasovacích zariadení, technológie správy volieb a systémov počítania hlasov a zistila zraniteľné miesta.

Williams je CTO a spoluzakladateľ spoločnosti Contrast Security a jeden zo zakladateľov projektu OWASP (Open Web Application Security Project). Povedal, že kvôli archaickej povahe volebného softvéru, ktorý je v mnohých prípadoch riadený miestnymi okrskami, ktoré často rozhodujú o nákupe viac na základe rozpočtu ako bezpečnosti, sa táto technológia príliš nezmenila.

„Nejde iba o hlasovacie zariadenia. Je to všetok softvér, ktorý používate na nastavenie volieb, ich správu a zhromažďovanie výsledkov, “ povedal Williams. „Stroje majú dosť dlhú životnosť, pretože sú drahé. Hovoríme o miliónoch riadkov kódu a práci, ktorá sa snaží mnoho rokov vynaložiť na to, aby sme ho preskúmali, so zabezpečením, ktoré je zložité implementovať a nie je dobre zdokumentované. príznak oveľa väčšieho problému - nikto nemá prehľad o tom, čo sa deje v softvéri, ktorý používajú. “

Williams povedal, že tiež veľa neverí testovacím a certifikačným procesom. Väčšina štátnych a miestnych samospráv zostavila malé tímy, ktoré vykonávajú penetračné testy, rovnaký druh testovania, ktorý robil titulky v Black Hat. Williams verí, že je to nesprávny prístup v porovnaní s dôkladným testovaním zabezpečenia kvality softvéru. Hackingové súťaže, ako sú tie vo Voting Village v DefCon, nájdu zraniteľné miesta, ale nehovoria vám všetko o potenciálnych výhodách, ktoré ste nenašli.

Systematickejšou otázkou na celoštátnej úrovni je to, že hlasovacie zariadenia a softvér na správu volieb sa medzi jednotlivými štátmi výrazne líšia. Existuje len hŕstka veľkých predajcov, ktorí poskytujú hlasovacie automaty a certifikované hlasovacie systémy, ktorými môžu byť hlasovacie lístky, elektronické hlasovacie systémy alebo ich kombinácia.

Podľa neziskovej organizácie Overené hlasovanie sa 99 percent amerických hlasov počíta počítačom nejakou formou, a to skenovaním rôznych druhov papierových lístkov alebo priamym elektronickým vstupom. V správe spoločnosti Overené hlasovanie za rok 2018 sa zistilo, že 36 štátov stále používa hlasovacie zariadenie, ktoré sa ukázalo byť neisté, a 31 štátov bude používať elektronické hlasovacie zariadenia s priamym záznamom aspoň pre časť voličov.

Najnebezpečnejšie je, že päť štátov - Delaware, Gruzínsko, Louisiana, New Jersey a Južná Karolína - v súčasnosti používajú elektronické hlasovacie zariadenia s priamym záznamom bez toho, aby si ich účastníci overili voličmi. Takže ak sa počet hlasov zmení v elektronickom systéme, či už prostredníctvom fyzického alebo vzdialeného hacku, štáty nemusia mať možnosť overiť platné výsledky v procese auditu, kde je často potrebný iba štatistický výber hlasov, a nie úplné prepočítanie., „Neexistuje žiadna krabica na zavesenie čad, ktorá by sa mala počítať, “ povedal Joel Wallenstrom, generálny riaditeľ šifrovanej aplikácie na posielanie správ Wickr. "Ak v polovici obdobia existujú tvrdenia, že výsledky nie sú skutočné, pretože Rusi niečo urobili, ako sa vysporiadame s touto dezinformačnou otázkou? Ľudia čítajú bombastické titulky a ich dôvera v systém sa ďalej zhoršuje."

Modernizácia volebnej infraštruktúry medzi jednotlivými štátmi pomocou moderných technológií a bezpečnosti sa nedeje v polovici obdobia a pravdepodobne až do roku 2020. Zatiaľ čo štáty vrátane Západnej Virgínie testujú nové technológie, ako je blockchain na elektronické zaznamenávanie a audit volieb, väčšina výskumníkov a odborníkov na bezpečnosť povedzme, že namiesto lepšieho systému je najbezpečnejšou metódou overovania hlasov papierová stopa.

„Papierové auditné trasy sú pre komunitu bezpečnosti už dlho výzvou a v polovici a pravdepodobne aj v prezidentských voľbách budú používať tonu strojov, ktoré to nemajú, “ povedal Williams. „Nie je prehnané tvrdiť, že ide o existenčnú hrozbu pre demokraciu.“

Jedným zo štátov, ktoré majú papierový audit, je New York. Deborah Snyder, štátna riaditeľka pre bezpečnosť informácií, informovala spoločnosť PCMag na nedávnom summite Národnej aliancie pre kybernetickú bezpečnosť (NCSA), že New York nepatrí medzi 19 štátov, ktorých odhadovaných 35 miliónov voličských záznamov sa predáva na tmavom webe. Verejne dostupné záznamy voličov v štáte New York sú však údajne k dispozícii zadarmo na inom fóre.

Štát pravidelne vyhodnocuje riziká svojich hlasovacích zariadení a infraštruktúry. New York investoval od roku 2017 milióny do detekcie lokálneho narušenia, aby zlepšil monitorovanie a reakciu na incidenty v rámci štátu aj v koordinácii s Centrom zdieľania a analýzy informácií (ISAC), ktoré spolupracuje s ostatnými štátmi a súkromným sektorom.

„Sme vo zvýšenom povedomí, ktoré vedie pred voľbami a počas nich, “ povedal Snyder. „Na palube mám tímy od 6.00 do dňa pred polnocou v deň volieb. Všetci sme na palube, od štátneho spravodajského centra v New Yorku po ISAC po miestnu a štátnu volebnú radu a moju kanceláriu, ITS a divízia vnútornej bezpečnosti a pohotovostných služieb. ““



Miestne volebné webové stránky sedia kačice

Posledným a najčastejšie prehliadaným aspektom bezpečnosti štátu a miestnych volieb sú vládne webové stránky, ktoré občanom hovoria o tom, kde a ako voliť. V niektorých štátoch je šokujúco nízka konzistencia medzi oficiálnymi webmi, na mnohých z nich chýbajú aj najzákladnejšie bezpečnostné certifikáty HTTPS, čo potvrdzuje, že webové stránky sú chránené šifrovaním SSL.

Spoločnosť Cybersecurity McAfee nedávno preskúmala bezpečnosť webových stránok okresných volebných rád v 20 štátoch a zistila, že iba 30, 7 percent webov má protokol SSL na šifrovanie všetkých informácií, ktoré volič štandardne zdieľa s webovou stránkou. V štátoch, vrátane Montany, Texasu a Západnej Virgínie, je 10 percent stránok alebo menej šifrovaných pomocou SSL. Výskum spoločnosti McAfee zistil, že iba v Texase 217 z 236 webových stránok okresných volieb SSL nepoužíva.

Stránky šifrované pomocou protokolu SSL môžete zistiť vyhľadaním protokolu HTTPS v adrese URL webových stránok. V prehliadači sa tiež môže zobraziť ikona zámku alebo kľúča, čo znamená, že bezpečne komunikujete so stránkou, o ktorej hovoria, že sú. V júni začal prehliadač Google Chrome označovať všetky nešifrované stránky HTTP ako „nezabezpečené“.

„Bez prípravy SSL v roku 2018 v príprave na strednodobé výsledky znamenajú, že tieto webové stránky okresov sú oveľa zraniteľnejšie voči útokom MiTM a narušeniu údajov, “ uviedol Ceve Steve Grobman z McAfee. „Je to často starý nezabezpečený variant HTTP, ktorý vás nepresmeruje na zabezpečené stránky. V mnohých prípadoch by tieto weby zdieľali certifikáty. Veci vyzerajú lepšie na úrovni štátu, kde iba asi 11 percent stránok je nezašifrovaných, ale tieto miestne stránky okresov sú úplne neisté. ““

Zo štátov zahrnutých do výskumu spoločnosti McAfee mala iba Maine nad 50 percent webových stránok okresných volieb so základným šifrovaním. New York bol iba na 26, 7 percenta, zatiaľ čo v Kalifornii a na Floride bolo okolo 37 percent. Nedostatok základnej bezpečnosti je však iba polovicou príbehu. Výskum spoločnosti McAfee tiež nenašiel takmer žiadnu konzistentnosť v doménach webových stránok okresných volieb.

Šokujúce malé percento stránok s voľbami štátu používa vládou overenú doménu.gov, namiesto toho sa rozhodlo pre spoločné domény najvyššej úrovne (TLD), ako sú napríklad.com,.us,.org alebo.net. V Minnesote používa 95, 4% volebných miest mimovládne domény, za nimi nasleduje Texas s 95 percentami a Michigan s 91, 2 percentami. Táto nejednotnosť znemožňuje pravidelnému voličovi zistiť, ktoré volebné stránky sú legitímne.

V Texase používa 74, 9% miestnych registračných webov pre voličov doménu.us, 7, 7 percenta.com, 11, 1 percenta.org a 1, 7 percenta.net. Doménu.gov používa iba 4, 7 percenta stránok. Napríklad v okrese Denton v Texase je webová stránka volebných obvodov na adrese https://www.votedenton.com/, ale spoločnosť McAfee zistila, že súvisiace webové stránky, ako napríklad www.vote-denton.com, je možné zakúpiť.

V takýchto scenároch útočníci ani nemusia hackovať miestne webové stránky. Jednoducho si môžu kúpiť podobnú doménu a odoslať phishingové e-maily, ktoré ľudí nasmerujú k tomu, aby sa zaregistrovali a hlasovali prostredníctvom podvodného webu. Môžu dokonca poskytnúť nepravdivé informácie o hlasovaní alebo nesprávne umiestnenia miest na hlasovanie.

„Vo všeobecnosti vidíme v kybernetickej bezpečnosti to, že útočníci použijú najjednoduchší mechanizmus, ktorý je efektívny na dosiahnutie ich cieľov, “ uviedol Grobman. „Aj keď je možné hackovať samotné hlasovacie zariadenia, je v tom veľa praktických výziev. Je oveľa jednoduchšie ísť po systémoch a databázach na registráciu voličov alebo si jednoducho kúpiť webovú stránku. V niektorých prípadoch sme zistili, že existujú podobné domény. kúpené inými stranami. Je to také ľahké ako nájsť stránku na predaj GoDaddy. ““



Kampane: Pohyblivé kusy a ľahké ciele

Hackerom vo všeobecnosti vyžaduje viac úsilia na to, aby prenikli do každého okresu alebo systému štátu, ako ísť po plodoch s nízkou visutosťou, ako sú kampane, kde tisíce dočasných zamestnancov robia príťažlivé známky. Ako sme videli v roku 2016, vplyv porušenia údajov o kampaniach a úniku informácií môže byť katastrofický.

Útočníci môžu preniknúť kampaňami rôznymi spôsobmi, ale najsilnejšou obranou je jednoducho uistiť sa, že sú základy zablokované. Príručka kampane D3P o kybernetickej bezpečnosti neodhaľuje žiadnu prelomovú bezpečnostnú taktiku. Je to v podstate kontrolný zoznam, ktorý môžu použiť na zabezpečenie toho, aby bol skontrolovaný každý zamestnanec kampane alebo dobrovoľník a či niekto, kto pracuje s údajmi kampane, používa ochranné mechanizmy, ako je dvojfaktorové overenie (2FA) a šifrované služby zasielania správ, ako napríklad Signal alebo Wickr. Musia byť tiež vyškolení v oblasti zdravej informačnej hygieny so znalosťou toho, ako si všimnúť schémy neoprávneného získavania údajov.

Robby Mook hovoril o jednoduchých návykoch: povedzme, automaticky vymažete e-maily, o ktorých viete, že ich nepotrebujete, pretože vždy existuje šanca, že údaje budú unikať, ak budú sedieť.

„Kampaň je zaujímavým príkladom, pretože sme mali druhý faktor na účtoch kampaní a obchodných pravidlách týkajúcich sa uchovávania údajov a informácií v našej doméne, “ vysvetlil Mook. „Zlí chlapci, ktorých sme sa dozvedeli retrospektívne, dostali veľa zamestnancov, aby klikli na phishingové odkazy, ale tieto pokusy neboli úspešné, pretože sme mali zabezpečené opatrenia. Keď sa týmto spôsobom nemohli dostať, šli okolo osobné účty ľudí. ““

Zabezpečenie kampane je zložité: Existujú tisíce pohyblivých častí a často nie je k dispozícii žiadny rozpočet ani odborné znalosti na to, aby bolo možné zabudovať do najmodernejších bezpečnostných bezpečnostných opatrení proti poškriabaniu. V tejto oblasti sa zintenzívnil technický priemysel a kolektívne poskytoval množstvo bezplatných nástrojov pre kampane vedúce do polovice obdobia.

Jigsaw spoločnosti Alphabet poskytuje kampaniam ochranu DDoS prostredníctvom programu Project Shield a spoločnosť Google rozšírila svoj pokročilý program zabezpečenia účtu na ochranu politických kampaní. Spoločnosť Microsoft ponúka politické strany bezplatnú detekciu hrozieb AccountGuard v kancelárii 365 a tento rok v lete spoločnosť zorganizovala workshopy o kybernetickom zabezpečení s DNC aj RNC. McAfee rozdáva cloud McAfee Cloud pre zabezpečené voľby na jeden rok volebným kanceláriám vo všetkých 50 štátoch.

Ďalšie cloudové a bezpečnostné spoločnosti - vrátane spoločností Symantec, Cloudflare, Centrify a Akamai - poskytujú podobné bezplatné alebo zľavnené nástroje. Je to všetko súčasť kolektívnej kampane PR zameranej na technický priemysel, ktorá vyvíja viac úsilia o zlepšenie volebnej bezpečnosti ako Silicon Valley v minulosti.

Získavanie kampaní v šifrovaných aplikáciách

Napríklad spoločnosť Wickr (viac-menej) poskytuje kampaniam prístup k svojim službám zadarmo a spolupracuje priamo s kampaňami a DNC s cieľom vyškoliť pracovníkov kampaní a vybudovať bezpečné komunikačné siete.

Počet kampaní využívajúcich Wickr sa od apríla strojnásobil a viac ako polovica kampaní Senátu a viac ako 70 politických poradenských tímov využívalo platformu od leta podľa spoločnosti. Audra Grassia, politická a vládna predstaviteľka spoločnosti Wickr, viedla svoje úsilie s politickými výbormi a kampaňami vo Washingtone, DC za posledný rok.

„Myslím si, že ľudia mimo politiky majú ťažké pochopenie toho, aké je ťažké nasadiť riešenia vo viacerých kampaniach na všetkých úrovniach, “ uviedla Grassia. „Každá kampaň je samostatným malým podnikom, ktorého zamestnanci sa striedajú každé dva roky.“

Jednotlivé kampane často nemajú financovanie kybernetickej bezpečnosti, ale veľké politické výbory áno. Najmä po roku 2016 DNC investovala značné prostriedky do kybernetickej bezpečnosti a do tohto druhu budovania vzťahov so Silicon Valley. Výbor má teraz technický tím s 35 ľuďmi, ktorý vedie nový technický riaditeľ Raffi Krikorian, predtým Twitter a Uber. Nový hlavný dôstojník pre bezpečnosť DNC, Bob Lord, bol predtým bezpečnostným popravcom v spoločnosti Yahoo, ktorý je dôverne oboznámený s riešením katastrofických hackov.

Tím spoločnosti Grassia pracuje priamo s DNC, pomáha nasadzovať technológie Wickra a ponúka kampane na rôznych úrovniach školenia. Wickr je jedným z technologických poskytovateľov kandidátov na technologickom trhu DNC. „Pohyblivé kúsky v kampani sú skutočne ohromujúce, “ uviedol generálny riaditeľ Wickr Joel Wallenstrom.

Vysvetlil, že kampane nemajú technické znalosti ani zdroje na investovanie do podnikovej informačnej bezpečnosti alebo na zaplatenie talentov v Silicon Valley. Šifrované aplikácie v podstate ponúkajú vstavanú infraštruktúru na presun všetkých údajov kampane a internej komunikácie do zabezpečeného prostredia bez toho, aby na to všetko nakonfigurovali nákladný konzultačný tím. Nejde o komplexné riešenie, ale šifrované aplikácie môžu prinajmenšom rýchlo získať základné informácie o kampani.

V strednodobých a budúcich voľbách Robby Mook povedal, že existuje niekoľko vektorov útokov na kampaň, o ktoré sa najviac zaujíma. Jedným z nich sú útoky DDoS na webové stránky kampaní v kritických chvíľach, napríklad počas konvencie alebo počas primárnej súťaže, keď kandidáti bankovníctvo venujú online dary. Bojí sa tiež o falošné stránky ako úder dvoch a dvoch, ktorý ukradol peniaze.

„Videli sme to trochu, ale myslím si, že jedna vec, ktorú treba sledovať, sú falošné weby zamerané na získavanie finančných prostriedkov, ktoré môžu v procese darovania spôsobiť zmätok a pochybnosti, “ uviedol Mook. „Myslím si, že by to mohlo byť ešte horšie, keby sa sociálne inžinierstvo pokúšalo oklamať zamestnancov kampane, aby dali zlodejom peniaze na peniaze alebo presmerovali dary. Nebezpečenstvo je obzvlášť vysoké, pretože pre protivníka je to nielen lukratívne, ale tiež odvádza pozornosť kampaní od skutočných problémy a udržuje ich zameranie na intríg. “



Informačná vojna pre mysle voličov

Najťažšími aspektmi modernej volebnej bezpečnosti, ktoré treba pochopiť, nehovoriac o ich ochrane, sú dezinformačné kampane a kampane o sociálnom vplyve. Je to problém, ktorý sa odohral najviac verejne online, na kongrese a na sociálnych platformách v centre hádanky, ktorá ohrozuje demokraciu.

Falošné správy a dezinformácie šírené s cieľom ovplyvniť voličov môžu mať mnoho rôznych foriem. V roku 2016 pochádzali z mikrocieľových politických reklám na sociálnych médiách, zo skupín a falošných účtov obiehajúcich nepravdivé informácie o kandidátoch az únikov údajov o kampaniach strategicky šírených na informačné účely.

Mark Zuckerberg slávne povedal niekoľko dní po voľbách, že falošné správy na Facebooku ovplyvňujúce voľby boli „dosť šialeným nápadom“. Trvalo katastrofálny rok dátových škandálov a hitov na Facebooku, aby sa dostali tam, kde je teraz: hromadné čistenie politických spamových účtov, overovanie politických reklám a zriadenie „vojnovej miestnosti“ v rámci komplexnej stratégie boja proti voľbám. zasahovania.

Twitter urobil podobné kroky, overil politických kandidátov a zákroky proti robotom a trollom, ale dezinformácie pretrvávajú. Spoločnosti boli úprimné v tom, že sú v pretekoch v zbrojení s počítačovými nepriateľmi, aby našli a odstránili falošné účty a zastavili falošné správy. Facebook minulý týždeň vypol propagandistickú kampaň spojenú s Iránom, ktorá obsahovala 82 stránok, skupín a účtov.

Algoritmy strojového učenia a ľudské moderátory však môžu ísť len tak ďaleko. Šírenie dezinformácií prostredníctvom WhatsApp v brazílskych prezidentských voľbách je len jedným z príkladov toho, koľko práce sociálnych spoločností musí urobiť.

Facebook, Twitter a technologickí giganti ako Apple prešli od tichého uznania úlohy, ktorú zohrávajú ich platformy vo voľbách, k prijatiu zodpovednosti a snahe vyriešiť veľmi komplikované problémy, ktoré pomohli vytvoriť. Je to však dosť?

"Vplyv vo voľbách bol vždy, ale vidíme novú úroveň sofistikovanosti, " uviedol Travis Breaux, docent počítačovej vedy v Carnegie Mellon, ktorého výskum sa týka súkromia a bezpečnosti.

Breaux povedal, že typy dezinformačných kampaní, ktoré vidíme v Rusku, Iráne a ďalších národných štátoch, nie sú také odlišné od tých, ktoré špionážni agenti používajú už desaťročia. Poukázal na knihu z roku 1983 s názvom KGB a sovietska dezinformácia , ktorú napísal bývalý spravodajský dôstojník a ktorý hovoril o informačných kampaniach o studenej vojne sponzorovaných štátom, ktorých cieľom bolo zavádzať, zavádzať alebo podnecovať zahraničné mienky. Ruskí hackeri a trollové farmy dnes robia to isté, iba ich úsilie exponenciálne umocňuje sila digitálnych nástrojov a dosah, ktorý poskytujú. Twitter dokáže okamžite vypáliť správu do celého sveta.

„Existuje kombinácia existujúcich techník, ako sú falošné účty, ktoré teraz vidíme, ako sa stali funkčnými, “ povedal Breaux. „Musíme sa prispôsobiť a pochopiť, ako vyzerajú originálne a dôveryhodné informácie.“

McAfee CTO Steve Grobman si myslí, že vláda by mala viesť verejné služby, aby zvýšila informovanosť o nepravdivých alebo manipulovaných informáciách. Jedným z najväčších problémov v roku 2016 je podľa neho zjavný predpoklad, že porušené údaje majú integritu.

V neskorých fázach volebného cyklu, keď nie je čas samostatne overovať platnosť informácií, môže byť informačná vojna obzvlášť silná.

„Keď boli e-maily Johna Podestu uverejňované na WikiLeaks, tlač predpokladala, že to boli všetky e-maily Podesty, “ uviedol Grobman. Spoločnosť PCMag nevykonala priame vyšetrovanie pravosti uniknutých e-mailov, ale niektoré e-maily spoločnosti Podesta, ktoré boli overené ako falošné, ešte stále obiehali až do jesene. Podľa FactCheck.org je projekt ukončený v Centre verejnej politiky v Annenbergu na univerzite. z Pensylvánie.

„Jednou z vecí, o ktorých musíme vzdelávať verejnosť, je to, že akékoľvek informácie, ktoré vychádzajú z porušenia, môžu obsahovať vymyslené údaje, ktoré sa prelínajú s legitímnymi údajmi, aby nasýtili čokoľvek, čo vás vypraví k protivníkom.

Toto sa môže rozšíriť nielen na to, čo vidíte online a na sociálnych sieťach, ale aj na logistické podrobnosti o hlasovaní vo vašej oblasti. Vzhľadom na nekonzistentnosť v niečom zásadnom, ako sú domény webových stránok od jednej miestnej samosprávy k druhej, voliči potrebujú oficiálne prostriedky na zistenie toho, čo je skutočné.

„Predstavte si, že hackeri sa snažia ovplyvniť voľby smerom k kandidátovi v danej vidieckej alebo mestskej oblasti, “ uviedol Grobman. „Všetkým voličom pošlete e-mail s neoprávneným získavaním údajov, v ktorom sa uvádza, že v dôsledku počasia boli voľby odložené o 24 hodín, alebo im poskytnete nepravdivé aktualizované miesto na hlasovanie.“

Nakoniec je na voličoch, aby odfiltrovali dezinformácie. Hlavný úradník pre bezpečnosť informácií v New Yorku Deborah Snyder povedal: „Nechcem dostávať svoje správy z Facebooku, hlasujte podľa svojich predstáv“ a uistite sa, že vaše fakty pochádzajú z overených zdrojov. Wickr Joel Wallenstrom verí, že voliči sa musia presvedčiť, že bude existovať strašne veľa FUD (strach, neistota a pochybnosti). Tiež si myslí, že by ste mali Twitter iba vypnúť.

Robby Mook povedal, že či už sa zaoberáte operáciami počítačovej kriminality alebo dátovými vojnami, je dôležité pamätať na to, že informácie, ktoré vidíte, sú navrhnuté tak, aby vás prinútili rozmýšľať a konať určitým spôsobom. Nie.

„Voliči musia urobiť krok späť a pýtať sa sami seba, na čom im záleží, nie na tom, čo sa im hovorí, “ povedal Mook. „Zamerajte sa na podstatu kandidátov, rozhodnutia, ktoré títo verejní činitelia urobia, a na to, ako tieto rozhodnutia ovplyvnia ich životy.“



Vyhodiť všetko, čo máme, na Em. Spustite to znova

Simulačné cvičenie na zabezpečenie bezpečnostnej digitálnej demokracie v rámci projektu Obrana digitálnej demokracie sa začalo o 8.00 h v Cambridge v štáte Massachusetts. Ako sa začalo, s účastníkmi pracujúcimi v fiktívnych štátoch šesť alebo osem mesiacov pred dňom volieb predstavovalo 20 minút cvičenie. Nakoniec sa každá minúta odohrávala v reálnom čase, keď každý odpočítaval čas volieb.

Rosenbach povedal, že, Mook a Rhoades vošli so 70 stranami scenárov, ktoré napísali, ako sa budú hrať katastrofické situácie v súvislosti s volebnou bezpečnosťou, a hodili jeden po druhom na štátnych úradníkov, aby videli, ako reagujú.

„Povedali by sme, že tu je situácia, práve sme dostali správu o ruskom informačnom opise, ktorý sa uskutočnil prostredníctvom Twitterov, “ povedal Rosenbach. „Z tohto volebného miesta tiež prichádzajú výsledky, ktoré sa ukazujú ako zatvorené, ale iba pre afroamerických voličov. Potom by na to museli reagovať, zatiaľ čo súčasne klesá ďalších 10 vecí - registračné údaje boli napadnuté hackermi, hlasovacia infraštruktúra je ohrozená, niečo uniklo a ďalej a ďalej. “

Projekt Obrana digitálnej demokracie uskutočnil výskum v 28 štátoch o demografii a rôznych typoch volebných zariadení, aby mohol napísať simulácie, a každému bola pridelená určitá úloha. Správcovia volieb na nízkej úrovni museli hrať špičkových funkcionárov fiktívneho štátu a naopak. Rosenbach povedal, že minister zahraničných vecí Západnej Virgínie Mac Warner chce hrať volebného pracovníka.

Cieľom bolo, aby úradníci zo všetkých 38 štátov nechali simuláciu s plánom reakcie a položili správne otázky, keď na tom skutočne záleží. Šifrovali sme tento odkaz? Je databáza voličov bezpečná? Uzamkli sme, kto má fyzický prístup k volebným prístrojom pred dňom volieb?

Oveľa dôležitejším vedľajším produktom cvičenia v stolových tabuľkách bolo vytvorenie siete volebných úradníkov v celej krajine na zdieľanie informácií a výmenu osvedčených postupov. Rosenbach to nazval akýmsi „neformálnym ISAC“, ktorý zostáva veľmi aktívny a vedie štáty až do polovice obdobia, keď si môžu navzájom vymieňať typy útokov a zraniteľností, ktoré vidia.

Štáty tiež robia tento druh odbornej prípravy sami. New York v máji v spolupráci s Ministerstvom vnútornej bezpečnosti začal sériu regionálnych cvičení zameraných na pripravenosť na kybernetickú bezpečnosť a reakciu na hrozby.

NYS CISO Snyder uviedol, že Štátna volebná rada poskytla krajským volebným komisiám školenie špecifické pre voľby. Miestnym samosprávam sa sprístupnili bezplatné školenia zamerané na zvyšovanie povedomia o kybernetickom prostredí, ktoré sa poskytli všetkým 140 000 štátnym zamestnancom. Snyder tiež povedala, že oslovila ďalšie štáty, ktoré utrpeli porušenie údajov o voličoch, aby zistili, čo sa stalo a prečo.

„Partnerstvá sú tým, čo robia kybernetickú bezpečnosť fungovaním. Nedostatok zdieľania spravodajských informácií je dôvodom zlyhania, “ povedal Snyder. „Štáty si uvedomujú, že kybernetika sa nedá urobiť v silách a výhoda tohto zdieľaného situačného povedomia ďaleko prevyšuje rozpaky rozprávania príbehov o tom, ako ste sa dostali do hacku.“

D3P vysiela v polovici obdobia tímy po celej krajine, aby pozorovali voľby v desiatkach štátov a podávali správy, aby zlepšili príručky a školenia projektu do roku 2020. Jedným z sentimentov je niekoľko zdieľaných zdrojov, že kybernetickí protivníci nemusia zasiahnuť USA tak tvrdo. v polovici obdobia. Počas volieb v roku 2016 bola Amerika chytená úplne mimo dohľadu a rok 2018 ukáže hackerom v štáte to, čo sme sa odvtedy naučili.

Kybernetická vojna nie je len o úplných útokoch na frontách. Hackerské a dezinformačné kampane sú tajnejšie a spoliehajú sa, že vás zasiahnu presne tým, čo neočakávate. Čo sa týka Ruska, Iránu, Číny, Severnej Kórey a ďalších, mnohí odborníci v oblasti bezpečnosti a zahraničnej politiky sa obávajú, že v priebehu cyklu prezidentských kampaní do roku 2020 dôjde k oveľa ničivejším útokom na voľby v USA.

"Rusi sú stále aktívni, ale bol by som prekvapený, keby Severokórejčania, Číňania a Iránčania nepozorovali veľmi pozorne, aby videli, čo robíme v strednodobom horizonte a pokládali tajné základy, rovnako ako akékoľvek inteligentné počítačové operácie, " uviedol. Rosenbach.

Kybernetické útoky, ktoré vidíme v polovici obdobia a v roku 2020, môžu pochádzať z úplne nových vektorov, ktoré sa nenachádzajú v žiadnej simulácii; nová generácia exploitov a techník, ktoré nikto neočakával ani nebol pripravený čeliť. Ale aspoň budeme vedieť, že prichádzajú.