Pod napadom: kako volilno krampanje ogroža vmesne roke

Marca so se uradniki iz 38 držav zbrali v konferenčni dvorani v Cambridgeu v Massachusettsu za dvodnevno simulacijo volitev, ki je potekala kot vojna igra.

Več kot 120 državnih in lokalnih volitev, direktorjev za komunikacije, vodje IT in državnih sekretarjev je vodilo vaje, ki so simulirale varnostne katastrofe, ki bi se lahko zgodile na najslabši volilni dan, ki ga je mogoče zamisliti.

Delo na namizju se je začelo vsako simulacijo mesecev pred vmesnimi volitvami 6. novembra, s čimer se je pospeševalo časovno obdobje, dokler se države niso sproti upirale napadom, ko so volivci šli na volišča. V organizaciji projekta Defending Digital Democracy (D3P) na Harvardu, dvostransko prizadevanje za zaščito demokratičnih procesov pred kibernetskimi in informacijskimi napadi, so vaje prisilile udeležence, da se odzovejo na scenarij nočne more po drugem - vdori v volilni stroj in baze podatkov volivcev, razdeljena zavrnitev storitve (DDoS) napadi, ki so uničevali spletna mesta, puščali napačne informacije o kandidatih, ponarejene informacije o voliščih, ki so bile razširjene za zatiranje glasov, in kampanje za družbene medije, ki so jih koordinirali napadalci nacionalnih držav, da bi sejali nezaupanje.

Kot smo videli na zadnjih volitvah po vsem svetu, se pogosto zgodi več napadov hkrati.

"Razmislite o napadu zaradi zavrnitve storitve in običajni taktiki lažnega predstavljanja in zlonamerne programske opreme, ki bi jo uporabili med volitvami, " je od leta 2015 do 2017 dejal Eric Rosenbach, direktor in vodja D3P ameriškega obrambnega sekretarja Ashton Carter.

"Del, ki bi me najbolj skrbel za DDoS, je napad na spletno stran, ki objavlja rezultate v kombinaciji z vrhunskim uspehom. Poglejte, kaj se je v Ukrajini zgodilo leta 2014. Rusi so DDoSed spletno stran, ki jo je Ukrajina uporabljala za objavo volilnih rezultatov, nato pa vse usmerili nazaj v Rusijo danes in pripravili lažne rezultate. Ukrajinci so bili zmedeni nad tem, kdo je bil dejansko izvoljen za predsednika."

Razumevanje sodobne varnosti volitev pomeni spopadanje z zastrašujočo resničnostjo: zlasti v ZDA je infrastruktura preveč razdrobljena, zastarela in ranljiva, da bi jo bilo mogoče popolnoma zavarovati. Obstaja tudi preveč različnih vrst napadov po krajini groženj, da bi jih kdaj vse zaustavili.

PCMag je z državnimi uradniki, političnimi operativci, akademiki, tehnološkimi podjetji in varnostnimi raziskovalci govoril o resničnih resničnostih volilne varnosti v letu 2018. Na obeh straneh političnega hodnika, na vseh ravneh vlade in v celotni tehnološki industriji, ZDA se spopada s temeljnimi grožnjami kibernetske varnosti za naše volitve. Načrtujemo tudi, kako se odzvati, ko bo šlo narobe, tako med ključnimi vmesnimi volitvami kot na splošnimi volitvami leta 2020.

Zaščita 'Attack Surface'

V kibernetski varnosti se vsi izpostavljeni sistemi in naprave, ki bi jih lahko napadli, imenujejo "napadna površina". Napadna površina ameriških volitev je ogromna in jo lahko razdelimo na tri ključne ravni.

Prva je infrastruktura za glasovanje; pomislite na stroje za glasovanje, baze podatkov o registraciji volivcev in na vsa spletna mesta države in lokalne uprave, ki ljudem povedo, kje in kako glasovati.

Nato je stopnja varnosti kampanje. Kot je pokazalo leto 2016, so akcije hekerji lahka tarča. Podatki ukradenih kampanj se lahko nato uporabijo kot močno orožje za tretjo, bolj nejasno raven napadov: zlog svet orožarskih dezinformacij in družbenih vplivnih kampanj. Na tej fronti trolske vojske akterjev nacionalnih držav še naprej delujejo po spletu in napadajo platforme družbenih medijev, ki so postale polarizirajoča bojišča zaznavanja volivcev.

Poskuša rešiti nešteto sistemskih vprašanj, ki se spopadajo z vsako od teh stopenj, pogosto vodi do več vprašanj kot odgovorov. Namesto tega se številne strategije za zmanjšanje tveganj zaradi volitev na volitvah skrijejo na zdravo pamet: glasovanje na papirju in revizija glasov; zagotavljanje več sredstev državnim in lokalnim oblastem; zagotavljanje orodij in varnostnega usposabljanja za kampanje in volilne uradnike.

Nekoliko bolj zapletena in ločena vprašanja za upravnike volitev in delavce kampanje ter volilce: Kako pristopite k volilnemu procesu v dobi družbenih medijev, ki je poln dezinformacij na spletu? In če pomislite na vse digitalne informacije, ki prihajajo na vaš zaslon, kaj bi morali verjeti?

Kaj smo se učili od leta 2016

Vsak pogovor o varnosti pred volitvami v ZDA v vmesnih rokih 2018 in naprej se na koncu znajde nazaj do predsedniških volitev 2016. Pred to dirko smo videli kibernetske napade, usmerjene v kampanje in volitve, od sredine 2000-ih, vendar še nikoli prej v takem obsegu.

"Takrat še nihče ni videl česa takega. Šokantno je bilo misliti, da bo Rusija tako drzna, da bi se vmešala v našo demokracijo in vplivala nanjo v prid določenemu kandidatu, " je dejal Rosenbach, ki je pričal pred kongresom marca o ruskem vmešavanju v volitve 2016. "Delam na področju nacionalne varnosti že 20 let in to je bila najbolj zapletena, težka težava, s katero sem se kdaj spopadla."

Na tej točki so dejstva dokaj jasna. Desetine Rusov, ki domnevno delajo za rusko vojaško obveščevalno službo GRU, so bili obtoženi, da so vlomili Demokratični nacionalni odbor (DNC) in puščali dokumente organizacijam, vključno z WikiLeaksom, ki je objavila več kot 20.000 e-poštnih sporočil.

Obdolženi pod spletnimi osebnostmi, vključno z Guccifer 2.0, Fancy Bear in DCLeaks, so obtoženi hekerji avgusta 2016 kršili tudi baze podatkov o registraciji volivcev v Illinoisu in Arizoni ter ukradli podatke o več kot 500.000 volivcih. Poznejša poročila FBI in NSA so ugotovila, da so hekerji med predsedniškimi volitvami 2016 ogrozili programsko opremo za glasovanje v 39 državah. Namestnik ameriškega generalnega državnega tožilca Rod Rosenstein je v obtožnici ruskih hekerjev dejal, da je "cilj zarote vplival na volitve".

To so bili samo napadi, ki so prizadeli prvi dve ravni volilne infrastrukture. V družabnih medijih so Rusija, Iran in druge sproščale tovarne botov in tovorov - vključno z Rusko podprto agencijo za internetno raziskovanje (IRA) - ki so širile lažne novice in kupile na tisoče političnih oglasov na Facebooku in Twitterju, da bi vplivale na mnenje volivcev. Facebookov škandal Cambridge Analytica je bil sicer povezan s političnimi strankami in ne s hekerji, pomembno vlogo tudi pri vplivanju platform družbenih medijev na volitve 2016.

"Nismo reagirali hitro ali dovolj močno, " je dejal Rosenbach. Med delom v Pentagonu je Rosenbach med letoma 2011 in 2014 opravljal tudi funkcijo namestnika pomočnika obrambnega ministra za kibernetsko varnost in pomočnika obrambnega ministra za globalno varnost pri nadziranju kibernetske varnosti.

Zdaj je so-direktor centra Belfer na Harvard's Kennedy School in direktor D3P. Osnoval jo je lani skupaj z Mattom Rhoadesom, vodjo kampanj Mitta Romneyja med volitvami leta 2012, in Robbyjem Mookom, vodjo kampanj Hillary Clinton leta 2016.

"Pomembno je, da z vidika varnosti to razumete, da sama kampanja ni bila nikoli vložena, " je Mook povedal za PCMag. "Osebni e-poštni računi so bili zlomljeni, DNC pa je bil zlomljen. Mislim pa, da je to pomembno opozorilo vsem, da moramo resnično varovati celoten ekosistem. Nasprotniki bodo šli kamor koli, da bi orožili podatke proti različnim kandidatom."

Napad lažnega predstavljanja, ki je leta 2016 uspešno vdrl v osebni Gmail račun predsednika DNC Johna Podeste, je Mook spoznal, da ni vzpostavljenih nobenih mehanizmov, kako bi se odzval na napad tega obsega. Leta 2017 se je povezal z Rhoadesom, ki se je v času Romneyjevega predsedniškega mandata ukvarjal s stalnimi poskusi hekerskih napadov kitajskih kibernetskih sil. Osnovna ideja je bila oblikovanje kontrolnega seznama stvari, ki jih je treba storiti za preprečevanje takšnih izkoriščanj v prihodnjih kampanjah in zagotavljanje nekje za akcije, ki bi jih lahko izvedli, ko bi jih vlomili.

Sogovornika sta se povezala z Rosenbachom in sodelovala pri izdaji knjige o D3P Cybersecurity Campaign Playbook. Odtlej sodelujejo pri dveh drugih zvezkih: enega za državne in lokalne upravnike volitev in drugega, ki uradnike za komunikacije pripravlja za boj proti spletnim dezinformacijam. Pomagali so tudi pri organizaciji in izvajanju meddržavnih simulacij namiznih plošč.

Mook ni želel porabiti preveč časa za pogovor o letu 2016; Pomembno je, da ne boš še naprej podoživljal zadnje bitke, ko se boš lahko pripravil na naslednjo, je dejal.

"Dejstvo je, da preprosto ne veš, zakaj ali kako se nekdo trudi, da bi vstopil. Enostavno veš, da bo nekdo, " je rekel Mook. "Najpomembnejše je razmisliti o tem, kaj bi lahko bilo naslednje. Kakšne grožnje še nismo obravnavali ali videli? Mislim, da bodo vmesne možnosti morda prinesle nekatere nove ranljivosti, vendar mislim, da gre bolj za to, da na sistem gledamo kot na cela in razbrati vse možne načine, kako bi lahko kdo vstopil."



Pokrajina premika grožnje

Ko se približujemo vmesnim rokom 2018 in se soočamo z dolgim ​​sloganom do ameriških predsedniških volitev leta 2020, se grožnja grožnja prihaja v ospredje.

Čeprav je predsednik Trump zmanjšal obseg ruskega vmešavanja, so ZDA marca prizadele Rusijo z novimi sankcijami. "Še vedno opažamo prodorno kampanjo sporočanja, ki jo je Rusija poskušala oslabiti in razdeliti ZDA, " je med avgustovskim brifingom dejal ameriški direktor nacionalne obveščevalne službe Dan Coats.

To je prišlo potem, ko je Microsoft julija preprečil poskus hekra, v katerem so bili vpleteni domeni, usmerjeni v tri kandidate, ki kandidirajo za ponovno izbiro. Nekaj ​​tednov pred objavo te zgodbe je bil ruski državljan obtožen nadzorovanja prizadevanja za manipuliranje volivcev prek Facebooka in Twitterja, da bi posegel v vmesne roke. Elena Khusyaynova, ruska državljanka, navedena v obtožnici, naj bi upravljala finančne in socialne operacije, povezane z IRA, in imela proračun v višini več kot 35 milijonov ameriških dolarjev, ki sta jih upravljala ruski oligarh in Putinov zaveznik Jevgenij Prigožin.

Direktorji nacionalne obveščevalne službe, ministrstvo za domovinsko varnost in FBI so objavili skupno izjavo, v skladu z obtožnico. Navaja, da medtem ko trenutno ni nobenih dokazov o ogroženi volilni infrastrukturi vmesnih rokov, "nekatere države in lokalne vlade poročajo o ublaženih poskusih dostopa do svojih omrežij", vključno z bazami podatkov o registraciji volivcev.

V zadnjih tednih pred vmesnimi volitvami ameriško spletno poveljstvo celo identificira ruske operativce, ki nadzorujejo račune trolov, in jih obvešča, da se ZDA zavedajo svojih dejavnosti v prizadevanju za odvračanje od vmešavanja volitev.

"Zaskrbljeni smo zaradi tekočih kampanj Rusije, Kitajske in drugih tujih akterjev, vključno z Iranom, s katerimi bi spodkopali zaupanje v demokratične institucije in vplivali na javno počutje in vladne politike, " je zapisano v izjavi. "Te dejavnosti lahko tudi vplivajo na zaznavanje volivcev in odločanje na volitvah v ZDA 2018 in 2020."

Iščete vzorce

Strokovnjaki pri spremljanju dejavnosti tujih nasprotnikov in drugih možnih kibernetskih sovražnikov iščejo vzorce. Toni Gidwani je dejal, da je to kot preučevanje radarskega sklopa vseh različnih zlonamernih entitet zunaj; iščete kazalnike zgodnjega opozarjanja, da ublažite tveganje in zagotovite najšibkejše povezave v obrambi.

Gidwani je direktor raziskovalnih operacij pri podjetju za kibernetsko varnost ThreatConnect. Zadnja tri leta je vodila raziskave ThreatConnect o kraji DNC in ruskem vplivu na ameriške predsedniške volitve leta 2016; njena ekipa je Gucciferja 2.0 povezala z Fancy Bear-om. Gidwani je prvo desetletje svoje kariere preživela pri ministrstvu za obrambo, kjer je v obrambno-obveščevalni agenciji gradila in vodila analitične ekipe.

"Morate potegniti strune na veliko različnih frontah, " je dejal Gidwani. "Fancy Bear je delal veliko različnih kanalov, da bi poskušal podatke DNC spraviti v javno dobo. Guccifer je bil ena od teh front, DCLeaks ena, WikiLeaks pa fronta z največjim udarcem."

Gidwani je zaustavil izkoriščanja nacionalnih držav, ki smo jih videli v nekaj različnih dejavnostih, ki skupaj tvorijo večstopenjsko kampanjo vmešavanja. Kršitve podatkov, osredotočene na kampanjo, so privedle do strateškega uhajanja podatkov v kritičnih trenutkih volilnega cikla.

"Zaskrbljeni smo zaradi lažnega lažnega predstavljanja in napadov človeka v sredini zagotovo. Te informacije so tako pomembne, ko se pojavijo v javni domeni, da morda ne potrebujete prefinjene zlonamerne programske opreme, saj so kampanje takšne aplikacije za zbiranje, z pritok prostovoljcev kot tarč, "je pojasnila. "Če ranitve z lažnim predstavljanjem ne delujejo, ne potrebujete nobenih dnevnih ranljivosti."

Napadajoči napadi na državne volilne odbore so še en namen, da prekinejo verigo preskrbe z glasovalnimi stroji in porušijo zaupanje v veljavnost volilnih rezultatov. Gidwani je dejal, da zastarela in razdrobljena volilna infrastruktura od državnih do državnih napadov, kot so injekcije SQL, "ki upamo, da ne bi smeli biti več del knjige o napadih", ne le možna, ampak tudi učinkovita.

Te operacije se v veliki meri razlikujejo od Facebook skupin in računov trolskih trolov, ki so jih izsiljevali IRA in drugi akterji nacionalnih držav, vključno s Kitajsko, Iranom in Severno Korejo. Navsezadnje te kampanje bolj spodbujajo čustvovanje in širijo volivce po političnem spektru ter povečujejo usklajeno uhajanje podatkov s političnimi poboji. Ko gre za napačne informacije, smo odkrili le vrh ledene gore.

"Ena od stvari, zaradi katerih so volitve tako zahtevne, je, da jih sestavljajo številni različni deli brez enega samega deležnika, " je dejal Gidwani. "Velik izziv, s katerim se spopadamo, je v bistvu politično vprašanje, ne tehnično. Platforme se trudijo, da bi legitimno vsebino lažje prepoznali s preverjanjem kandidatov. Toda s tem, kako se lahko tovrstna vsebina širi, je potrebno. nas zunaj sveta informacijske varnosti."



Vstavljanje novih lukenj v stari stroj

Na najpomembnejši ravni je ameriška volilna infrastruktura krpa - splet zastarelih in negotovih volilnih naprav, ranljivih podatkovnih zbirk volivcev ter državnih in lokalnih spletnih mest, ki včasih nimajo niti najosnovnejšega šifriranja in varnosti.

Na zaostali način lahko razdrobljena narava celotne infrastrukture za glasovanje postane manj privlačen cilj kot izkoriščanje s širšim vplivom. Zaradi zastarele in včasih analogne tehnologije v glasovalnih strojih in zaradi tega, kako se vsaka država močno razlikuje od naslednjega, bi hekerji morali v vsakem primeru vložiti veliko truda, da bi ogrozili vsak posamezen lokalizirani sistem. Do neke mere je to napačno prepričanje, saj lahko ta napad na državno ali lokalno glasovalno infrastrukturo v ključnem okrožju nihanja absolutno vpliva na izid volitev.

Pred dvema volilnima cikloma se je Jeff Williams posvetoval z glavnim prodajalcem ameriškega glasovalnega stroja, ki ga je odklonil. Njegovo podjetje je opravilo ročni pregled kode in varnostni test volilnih strojev, tehnologije upravljanja volitev in sistemov za štetje glasov ter ugotovil niz ranljivosti.

Williams je CTO in soustanovitelj podjetja Contrast Security ter eden od ustanoviteljev projekta Open Security Application (OWASP). Povedal je, da se zaradi arhaične programske opreme volilnih sistemov, ki jih v mnogih primerih vodijo lokalni okrožji, ki pogosto odločajo o nakupih, temeljijo bolj na proračunu kot na varnosti, tehnologija pa ni toliko spremenila.

"Ne gre samo za glasovalne stroje. Vse programsko opremo, ki jo uporabljate za pripravo volitev, upravljanje z njimi in zbiranje rezultatov, " je dejal Williams. "Stroji imajo precej dolgo življenjsko dobo, ker so dragi. Govorimo o milijonih vrstic kode in dolgoletnem delu, ki ga poskušate pregledati, z varnostjo, ki je zapletena za izvajanje in ni dobro dokumentirana. To je simptom veliko večje težave - nihče nima vpogleda v dogajanje v programski opremi, ki jo uporablja."

Williams je dejal, da tudi v proces testiranja in certificiranja nima veliko vere. Večina državnih in lokalnih vlad sestavlja majhne skupine, ki izvajajo penetracijsko testiranje, enako vrsto testiranja, ki je postavilo naslove na Black Hat. Williams meni, da je to napačen pristop v primerjavi z izčrpnim testiranjem kakovosti programske opreme. Hekerski natečaji, kot so tisti v Volling Village v DefCon-u, najdejo ranljivosti, vendar vam ne povedo vse o potencialnih podvigih, ki jih niste našli.

Bolj sistemsko vprašanje je, da se stroji za glasovanje in programska oprema za upravljanje volitev močno razlikujejo od države do države. Obstaja le nekaj večjih prodajalcev, ki zagotavljajo glasovalne stroje in certificirane glasovalne sisteme, ki so lahko glasovnice, elektronski glasovalni sistemi ali kombinacija obeh.

Po podatkih neprofitne organizacije Verified Voting 99 odstotkov ameriških glasov računalnik šteje v računalniški obliki, bodisi s skeniranjem različnih vrst papirja ali z neposrednim elektronskim vnosom. V poročilu za preverjeno glasovanje za leto 2018 je bilo ugotovljeno, da 36 držav še vedno uporablja opremo za glasovanje, za katero je dokazano, da ni varna, 31 držav pa bo vsaj del volivcev uporabljalo elektronske glasovne naprave za neposredno snemanje.

Najbolj zaskrbljujoče je, da pet zveznih držav - Delaware, Georgia, Louisiana, New Jersey in Južna Karolina - trenutno uporablja elektronske stroje za neposredno snemanje volilnih strojev, na katerih ni preverjene sledljivosti papirja. Torej, če se štetje glasov spremeni v elektronskem sistemu, bodisi s fizičnim ali oddaljenim krampom, države morda ne morejo preveriti veljavnih rezultatov v revizijskem postopku, kjer je pogosto potrebno le statistično vzorčenje glasov, ne pa celotnega štetja glasov..

"Ni škatle visečih trgov, ki bi jih lahko šteli, " je dejal Joel Wallenstrom, izvršni direktor šifrirane aplikacije za sporočila Wickr. "Če v vmesnih rokih obstajajo trditve, da rezultati niso resnični, ker so Rusi nekaj storili, kako se lotimo tega vprašanja dezinformacij? Ljudje berejo bombastične naslove, njihovo zaupanje v sistem pa je še bolj zgubljeno."

Posodabljanje infrastrukture za glasovanje med državami s sodobno tehnologijo in varnostjo se ne dogaja vmesnih rokov in verjetno ne pred letom 2020. Medtem ko države, vključno z Zahodno Virginijo, testirajo nastajajoče tehnologije, kot je blockchain za elektronsko beleženje in revizijo, večina raziskovalcev in varnostnih strokovnjakov pravijo, da je namesto boljšega sistema najvarnejša metoda preverjanja glasov papirnata sled.

"Revizijske sledi na papirju so že dolgo vzbujajoče krik za varnostno skupnost, vmesnih rokov in verjetno na predsedniških volitvah pa bodo uporabljali tono strojev, ki tega nimajo, " je dejal Williams. "Ni hiperbola, če bi rekli, da gre za eksistenčno grožnjo demokraciji."

Ena od držav s papirno revizijsko sledjo je New York. Deborah Snyder, glavna državna pooblaščenka za varnost informacij, je na nedavnem vrhu Nacionalne zveze za kibernetsko varnost (NCSA) dejala, da New York ni med 19 državami, katerih ocenjenih 35 milijonov zapisov volivcev je naprodaj na temnem spletu. Vendar pa naj bi bili javno dostopni zapisi volivcev zvezne države New York na voljo brezplačno na drugem forumu.

Država redno ocenjuje tveganje svojih glasovalnih strojev in infrastrukture. New York je od leta 2017 vložil milijone v lokalno odkrivanje vdorov, da bi izboljšal spremljanje in odzivanje na nesreče, tako v državi kot v sodelovanju s Centrom za izmenjavo informacij in analizo (ISAC), ki sodeluje z drugimi državami in zasebnim sektorjem.

"Ozaveščeni smo, ki vodijo do volitev in do njih, " je dejal Snyder. "Skupine imam na krovu od 6. ure zjutraj do polnoči na dan volitev. Vsi smo na palubi, od newyorškega državnega obveščevalnega centra do ISAC-a do lokalnega in državnega volilnega odbora ter mojega urada, ITS in oddelek za domovinsko varnost in reševalne službe."



Lokalna spletna mesta za volitve sedijo

Zadnji in najpogosteje spregledani vidik varnosti države in lokalnih volitev so vladne spletne strani, ki državljanom povedo, kje in kako glasovati. V nekaterih državah je na uradnih spletnih mestih šokantno malo doslednosti, od katerih jih veliko nima niti najosnovnejših varnostnih potrdil HTTPS, kar potrjuje, da so spletne strani zaščitene s šifriranjem SSL.

Podjetje za kibernetsko varnost McAfee je pred kratkim raziskalo varnost spletnih mest okrajnih volilnih odborov v 20 državah in ugotovilo, da ima le 30, 7 odstotka mest SSL, ki šifrirajo kakršne koli podatke, ki jih volivec privzeto deli s spletnim mestom. V državah, vključno z Montano, Teksasom in Zahodno Virginijo, je 10 odstotkov spletnih mest ali manj šifrirano s protokolom SSL. McAfeejeva raziskava je pokazala, da samo v Teksasu 217 od 236 spletnih mest za volitve ne uporablja SSL.

O spletnem mestu, šifriranem s protokolom SSL, lahko poveste tako, da v URL-ju spletnega mesta poiščete HTTPS. V brskalniku boste lahko videli tudi ikono ključavnice ali ključa, kar pomeni, da varno komunicirate s spletnim mestom, za katero pravijo, da je. Junija je Googlov Chrome začel označevati vsa nešifrirana spletna mesta HTTP kot "niso varna."

"Če leta 2018 ni bilo SSL za pripravo na vmesne termine, to pomeni, da so ta okrožna spletna mesta veliko bolj občutljiva za napade MiTM in nedovoljeno poseganje podatkov, " je dejal CTA McAfee Steve Grobman. "Pogosto je stara nezanesljiva različica HTTP, ki vas ne preusmeri na varna spletna mesta. V mnogih primerih bi spletna mesta delila potrdila. Na državni ravni so stvari videti bolje, kjer je le okoli 11 odstotkov spletnih mest nešifriranih, vendar so ti lokalna okrajna mesta so popolnoma negotova."

Od držav, ki so vključene v McAfeejevo raziskovanje, je le Maine imel več kot 50 odstotkov spletnih mest za volitve z osnovnim šifriranjem. New York je bil le 26, 7 odstotka, Kalifornija in Florida pa okrog 37 odstotkov. Toda pomanjkanje osnovne varnosti je le polovica zgodbe. McAfeejeva raziskava prav tako ni našla skoraj nobene doslednosti na domenah okrožnih spletnih mest za volitve.

Šokantno majhen odstotek mestnih volitev v državi uporablja domensko domeno.gov, namesto da bi se odločili za skupne domene najvišje ravni (TLD), kot so.com,.us,.org ali.net. V Minnesoti 95, 4 odstotka volilnih mest uporablja nevladne domene, sledita Teksas s 95 odstotki in Michigan s 91, 2 odstotka. Zaradi te neskladnosti redni volivec skorajda ne more razbrati, katera mesta so zakonita.

V Teksasu 74, 9 odstotka lokalnih spletnih mest za registracijo volivcev uporablja domeno.us, 7, 7 odstotka uporablja.com, 11, 1 odstotka uporablja.org in 1, 7 odstotka uporablja.net. Samo 4, 7 odstotka spletnih mest uporablja domeno.gov. Na primer v zvezni državi Teksas Denton je na primer spletno mesto okrajnih volitev https://www.votedenton.com/, vendar je McAfee ugotovil, da so za nakup na voljo povezana spletna mesta, kot je www.vote-denton.com.

V takšnih scenarijih napadalcem sploh ni treba vdreti v lokalna spletna mesta. Lahko preprosto kupijo podobno domeno in pošljejo phishing e-poštna sporočila, ki usmerjajo ljudi, da se registrirajo za glasovanje prek goljufive strani. Zagotovijo lahko celo napačne podatke o glasovanju ali napačne lokacije na voliščih.

"Na splošno vidimo v kibernetski varnosti, da bodo napadalci uporabili najpreprostejši mehanizem, ki je učinkovit za dosego svojih ciljev, " je dejal Grobman. "Čeprav je mogoče, da sami vohljajo glasovalne stroje, je pred tem veliko praktičnih izzivov. Veliko lažje je iti po sistemih za registracijo volivcev in zbirkah podatkov ali samo kupiti spletno mesto. V nekaterih primerih smo ugotovili, da obstajajo podobne domene kupili druge stranke. Tako enostavno je kot iskanje strani za prodajo GoDaddy."



Kampanje: premikanje kosov in enostavni cilji

Hekerji na splošno potrebujejo več truda, da bi se infiltrirali v sistem vsake okrožja ali države, kot pa da bi se lotili sadja z nizko obesi, kot so akcije, kjer tisoče začasnih zaposlenih poskrbi za privlačne znamke. Kot smo videli v letu 2016, so lahko učinki kršitev podatkov o kampanjah in uhajanje informacij katastrofalni.

Napadalci lahko prodrejo v kampanje na več različnih načinov, toda najmočnejša obramba preprosto poskrbi, da so osnove zaklenjene. D3P-ov kampanji o kibernetični varnosti kampanje D3P ne razkriva nobenih prelomnih varnostnih taktik. To je v bistvu kontrolni seznam, s katerim se lahko prepričajo, da je vsak zaposleni v kampanji ali prostovoljec preverjen in da vsak, ki dela s podatki o kampanji, uporablja mehanizme zaščite, kot je dvofaktorska avtentikacija (2FA) in šifrirane storitve sporočanja, kot sta Signal ali Wickr. Prav tako jih je treba usposobiti za zdravo razumno higieno informacij z ozaveščanjem o tem, kako prepoznati lažno predstavljanje.

Robby Mook je govoril o preprostih navadah: recimo, samodejno brisanje e-poštnih sporočil, za katere veste, da jih ne boste potrebovali, saj vedno obstaja verjetnost, da bodo podatki uhajali, če sedijo okoli.

"Kampanja je zanimiv primer, saj smo imeli ta drugi dejavnik v naših računih oglaševalskih akcij in poslovnih pravilih glede ohranjanja podatkov in informacij v naši domeni, " je pojasnil Mook. "Slabi fantje, ki smo jih izvedeli v retrospektivi, imajo veliko osebja, da je kliknilo po phishing povezavah, vendar ti poskusi niso bili uspešni, saj smo imeli zaščitne ukrepe. Ko na tak način niso mogli priti, so šli naokoli osebni računi ljudi."

Varnost oglaševalske akcije je zapletena: na tisoče se gibljejo deli in pogosto ni nobenega proračuna ali strokovnega znanja, da bi se vgradili v najsodobnejše zaščite informacij o varnosti iz nič. Na tem področju je napredovala tehnološka industrija, ki je skupaj zagotovila številna brezplačna orodja za kampanje, ki vodijo do vmesnih rokov.

Abeceda sestavljanka oglaševalskim akcijam zagotavlja zaščito DDoS prek Project Shield, Google pa je razširil svoj napredni program za zaščito računov za zaščito političnih kampanj. Microsoft političnim strankam ponuja brezplačno odkrivanje groženj AccountGuard v Office 365, to poletje pa je podjetje gostilo delavnice kibernetske varnosti z DNC in RNC. McAfee brezplačno oddaja oblak McAfee za zagotovljene volitve eno leto volilnim pisarnam v vseh 50 državah.

Druga oblačna tehnološka in varnostna podjetja - vključno s Symantec, Cloudflare, Centrify in Akamai - ponujajo podobna brezplačna ali znižana orodja. Vse to je del skupne PR kampanje te tehnološke industrije, ki si bolj prizadeva za izboljšanje varnosti na volitvah, kot jo je imela Silicijska dolina v preteklosti.

Pridobivanje oglaševalskih akcij v šifriranih aplikacijah

Wickr, na primer, (bolj ali manj) oglaševalskim akcijam omogoča brezplačen dostop do svojih storitev in neposredno sodeluje s kampanjami in DNC, da usposablja usposobljene delavce in gradijo varna komunikacijska omrežja.

Število kampanj, ki uporabljajo Wickr, se je od aprila potrojilo, od tega poletja pa je platformo uporabljalo več kot polovica senatskih kampanj in več kot 70 skupin za politično svetovanje. Audra Grassia, Wickrjevo politično in vladno vodstvo, si zadnje leto prizadeva za politične odbore in kampanje v Washingtonu, DC.

"Mislim, da ljudje zunaj politike težko razumejo, kako težko je razporejati rešitve v več kampanjah na vseh ravneh, " je dejala Grassia. "Vsaka kampanja je svoje ločeno majhno podjetje z osebjem, ki se vrti na vsaki dve leti."

Posamezne kampanje pogosto nimajo sredstev za kibernetsko varnost, vendar veliki politični odbori vseeno. Po letu 2016 je DNC zlasti veliko vlagal v kibernetsko varnost in tovrstno vzpostavljanje odnosov s Silicijevo dolino. Odbor ima 35 oseb, ki jih je vodil novi CTO Raffi Krikorian, prej Twitter in Uber. Novi glavni varnostni direktor DNC Bob Lord je bil prej varnostni strokovnjak pri Yahooju, ki je dobro seznanjen z obravnavo katastrofalnih hekerjev.

Grassijeva ekipa neposredno sodeluje z DNC, pomaga pri uvajanju Wickr-jeve tehnologije in oglaševalskim akcijam ponuja različne stopnje usposabljanja. Wickr je eden izmed ponudnikov tehnologij, ki je na trgih DNC-ja za kandidate. "Ganljivi deli v kampanji so res osupljivi, " je dejal izvršni direktor Wickr Joel Wallenstrom.

Pojasnil je, da kampanje nimajo tehničnega znanja ali virov, s katerimi bi lahko vlagale v informacijsko varnost podjetja ali plačevale cene Silicijeve doline za nadarjene. Šifrirane aplikacije v bistvu ponujajo vgrajeno infrastrukturo za prenos vseh podatkov kampanje in notranje komunikacije v varna okolja, ne da bi za njihovo konfiguriranje najeli drago svetovalno skupino. Ne gre za vseobsegajočo rešitev, toda vsaj šifrirane aplikacije se lahko bistveno v kampanji razmeroma hitro zaklenejo.

Robby Mook je dejal, da je med vmesnimi in prihodnjimi volitvami nekaj vektorjev napadov, ki jih najbolj skrbi. Eno so napadi DDoS na spletna mesta kampanje v kritičnih trenutkih, na primer med konvencijskim govorom ali primarnim natečajem, ko kandidati plačujejo spletne donacije. Skrbi ga tudi za ponarejena spletna mesta kot dva do dva, da bi ukradel denar.

"Nekaj ​​tega smo že videli, vendar menim, da je ena stvar, ki jo je treba gledati, ponarejena spletna mesta za zbiranje sredstev, ki lahko ustvarijo zmedo in dvom v postopku darovanja, " je dejal Mook. "Mislim, da bi se lahko še poslabšalo s socialnim inženiringom, ki bi skušal prevarati zaposlene v kampanji, da bi nakazovali denar ali preusmerili donacije tatovom. Nevarnost tega je še posebej velika, ker za nasprotnika ne le, da je donosen, ampak kampanje odvrne od resničnih izdaja in jih osredotoča na spletke."



Informacijska vojna volivcev

Najtežji vidiki sodobne volilne varnosti, kaj šele za zaščito pred njimi, so dezinformacije in kampanje družbenega vpliva. To je vprašanje, ki se je najbolj javno pojavilo na spletu, v kongresu in na družbenih platformah, ki so v središču glasu, ki grozi demokraciji.

Lažne novice in napačne informacije, ki se širijo, da vplivajo na volivce, se lahko pojavljajo v različnih oblikah. Leta 2016 je prišlo iz mikro usmerjenih političnih oglasov na družbenih medijih, iz skupin in lažnih računov, ki krožijo lažne podatke o kandidatih, in iz puščajočih podatkov o kampanji, strateško razširjenih za informacijsko vojskovanje.

Mark Zuckerberg je dni po volitvah slavno dejal, da so lažne novice na Facebooku, ki vplivajo na volitve, "precej nora ideja." Potrebno je bilo katastrofalno leto podatkovnih škandalov in dosežkov prihodkov, da je Facebook prišel tam, kjer je zdaj: množično čiščenje političnih neželenih računov, preverjanje političnih oglasov in postavitev vmesne volilne "vojne sobe" kot del celovite strategije za boj proti volitvam vmešavanje.

Twitter je naredil podobne korake, preveril politične kandidate in napadal na bote in trol, vendar napačne informacije še vedno obstajajo. Podjetja so bila poštena glede dejstva, da so v tekmi orožja s spletnimi sovražniki, da bi našli in izbrisali ponarejene račune ter da bi lažno posredovali novice. Facebook je samo prejšnji teden zaustavil iransko propagandno kampanjo, ki obsega 82 strani, skupine in račune.

Toda algoritmi strojnega učenja in človeški moderatorji lahko gredo samo tako daleč. Širjenje dezinformacij s pomočjo WhatsApp-a na predsedniških volitvah v Braziliji je le en primer, koliko dela morajo družbena omrežja opraviti.

Facebook, Twitter in tehnološki velikani, kot je Apple, so od tiho priznali vlogo svojih platform na volitvah do sprejemanja odgovornosti in poskušali odpraviti zelo zapletene težave, ki so jim pomagali ustvariti. A je dovolj?

"Vpliv na volitve je že od nekdaj, toda to, kar vidimo, je nova raven prefinjenosti, " je dejal Travis Breaux, izredni profesor računalništva pri Carnegie Mellon, katerega raziskave zadevajo zasebnost in varnost.

Breaux je dejal, da se vrste dezinformacijskih kampanj, ki jih srečujemo od Rusije, Irana in drugih akterjev nacionalnih držav, vse premalo razlikujejo od igralcev špijunaže, ki jih igrajo v predvajalniku. Opozoril je na knjigo iz leta 1983 z naslovom KGB in sovjetska dezinformacija , ki jo je napisal nekdanji obveščevalec, ki je govorila o državnih kampanjah o hladno-vojni informativni kampanji, katerih namen je zavajanje, zmede ali razžarjanje tujih mnenj. Ruski hekerji in farme trolov danes počnejo isto stvar, le njihova prizadevanja se povečujejo eksponentno z močjo digitalnih orodij in dosegom, ki ga zagotavljajo. Twitter lahko v hipu pošlje sporočilo celotnemu svetu.

"Obstaja kombinacija obstoječih tehnik, kot so ponarejeni računi, ki se zdaj operirajo, " je dejal Breaux. "Moramo hitro in razumeti, kako izgledajo resnične, zaupanja vredne informacije."

McAfee CTO Steve Grobman meni, da bi morala vlada voditi kampanje javnih služb za ozaveščanje o napačnih ali manipuliranih informacijah. Povedal je, da je eno največjih vprašanj v letu 2016 očitna domneva, da so kršeni podatki celoviti.

V poznih fazah volilnega cikla, ko ni časa za neodvisno preverjanje veljavnosti informacij, so informacijske vojne lahko še posebej močne.

"Ko so bila e-poštna sporočila Johna Podesta objavljena na WikiLeaksu, je tisk predpostavljal, da so vsi v resnici Podestajeva e-poštna sporočila, " je dejal Grobman. PCMag ni izvedel neposredne preiskave verodostojnosti izpuščenih e-poštnih sporočil, vendar so nekatera e-poštna sporočila Podesta, preverjena kot lažna, še vedno krožila pred kratkim jeseni, po poročanju FactCheck.org pa je iz Annenberškega centra za javno politiko na univerzi iztekel projekt Pensilvanije.

"Ena izmed stvari, o kateri moramo izobraževati javnost, je ta, da lahko vsaka informacija, ki izhaja iz kršitve, vsebuje izmišljene podatke, prepletene z legitimnimi podatki, da bi nahranili vse, kar vas vodijo pripovedni nasprotniki. Ljudje morda verjamejo v nekaj izmišljenega, kar vpliva na njihov glas."

To se lahko razširi ne le na tisto, kar vidite na spletu in v družbenih medijih, ampak tudi na logistične podrobnosti o glasovanju na vašem območju. Glede na nedoslednost v nečem tako temeljnem, kot so domene spletnih mest od ene lokalne do druge občine, volivci potrebujejo uradna sredstva, da ugotovijo, kaj je resnično.

"Predstavljajte si, da hekerji poskušajo usmeriti volitve na kandidata na določenem podeželskem ali mestnem območju, " je dejal Grobman. "Vsem volivcem pošljete lažno elektronsko sporočilo, v katerem piše, da so bile volitve prestavljene za 24 ur ali pa jim pošljete lažno posodobljeno lokacijo volilnega mesta."

Navsezadnje bodo volivci odstranili dezinformacije. Deborah Snyder, vodja informacijske varnosti zvezne države New York, je dejala: "Ne dobivajte novic iz Facebooka, glasujte o svoji miselnosti", in poskrbite, da bodo vaša dejstva prišla iz preverjenih virov. Wickrjev Joel Wallenstrom verjame, da se morajo volivci obrušiti na dejstvo, da bo resnično veliko FUD-a (strah, negotovost in dvom). Prav tako meni, da bi morali izključiti Twitter.

Robby Mook je dejal, da je ne glede na to, ali se ukvarjate s kibernetsko kriminaliteto ali operacijami podatkovnega bojevanja, ne pozabite, da so informacije, ki jih vidite, zasnovane tako, da razmišljate in ravnate na določen način. Ne.

"Volivci morajo storiti korak nazaj in se vprašati, kaj jim je pomembno, in ne, kaj jim govorijo, " je dejal Mook. "Osredotočite se na vsebino kandidatov, odločitve teh javnih uslužbencev in kako bodo te odločitve vplivale na njihovo življenje."



Vrzi vse, kar smo jih imeli. Zaženi znova

Simulacijsko vajo za zaščito pred volitvami pri projektu Defending Digital Democracy se je začelo ob 8. uri v Cambridgeu, Massachuset. Ko se je začelo, udeleženci v izmišljenih stanjih šest ali osem mesecev pred volilnim dnem so imeli 10 minut vaje 20 dni. Do konca se je vsaka minuta dogajala v realnem času, saj so vsi šteli za čas volišča.

Rosenbach je dejal, da sta skupaj z Mookom in Rhoadesom sodelovala s 70 stranmi scenarijev, v katerih je opisano, kako se bodo igrale katastrofe na volilni varnosti, in jih bodo drug za drugim vrgli na državne uradnike, da bi videli, kako se odzivajo.

"Rekli bi, evo, kakšna je situacija. Pravkar smo dobili novico o ruski informacijski ponudbi, ki se je izvajala prek Twitter-botov, " je dejal Rosenbach. "Poleg tega na to volišče prihajajo rezultati, ki kažejo kot zaprto, vendar le za afroameriške volivce. Potem bi morali na to reagirati, hkrati pa propadajo še 10 drugih stvari - podatki o registraciji so bili vdrti, volilna infrastruktura je ogrožena, nekaj je puščalo in naprej in naprej."

Projekt Defending Digital Democracy je v 28 državah raziskal demografsko opremo in različne vrste opreme za volišče, da bi lahko simuliral simulacije, in vsem je bila dodeljena vloga. Administratorji volitev na visoki ravni morajo igrati najvišje uradnike izmišljene države in obratno. Rosenbach je dejal, da je državni sekretar Zahodne Virginije Mac Warner hotel igrati anketnega delavca.

Cilj je bil, da uradniki iz vseh 38 držav zapustijo simulacijo z načrtom odzivanja in si zastavijo prava vprašanja, ko je to resnično pomembno. Ali smo to povezavo šifrirali? Ali je baza podatkov volivcev varna? Ali smo pred volilnim dnem zaklenili, kdo ima fizični dostop do volilnih aparatov?

Precej pomembnejši učinek naloge je bila vzpostavitev mreže volilnih uradnikov po vsej državi za izmenjavo informacij in izmenjavo najboljših praks. Rosenbach je to označil za nekakšen "neuradni ISAC", ki ostaja zelo aktiven, kar vodi do vmesnih rokov, da države lahko delijo vrste napadov in ranljivosti, ki jih vidijo.

Tudi države tovrstno usposabljanje izvajajo same. New York je maja v sodelovanju z ministrstvom za domovinsko varnost začel vrsto regionalnih namiznih vaj s poudarkom na pripravljenosti na kibernetsko varnost in odziv na grožnje.

NYS CISO Snyder je dejal, da je Državni volilni odbor organiziral usposabljanje za volilne odbore. Poleg tega je bilo lokalnim občinam na razpolago tudi brezplačno usposabljanje o kibernetski ozaveščenosti, ki je bilo zagotovljeno vsem 140.000 državnim delavcem, in jim omogočilo usposabljanje, povezano z volitvami, in splošno usposabljanje o ozaveščanju o kibernetski varnosti. Snyder je še dejala, da je stopila v stik z drugimi državami, ki so trpele kršitve podatkov volivcev, da bi ugotovila, kaj se je zgodilo in zakaj.

"Partnerstva so tisto, zaradi česar kibernetska varnost deluje. Zaradi pomanjkanja izmenjave obveščevalnih podatkov to ne uspe, " je dejal Snyder. "Države spoznavajo, da kibernetske povezave ni mogoče storiti v silosih. Prednost tega skupnega situacijskega zavedanja pa daleč odtehta neprijetno pripovedovanje zgodbe o tem, kako ste se prijeli."

D3P vmesnih ur pošilja ekipe po vsej državi, da opazujejo volitve v več desetih zveznih državah in poročajo o izboljšanju zvezkov in treningov projekta pred letom 2020. Eno mnenje, ki ga delijo številni viri, je, da kibernetski nasprotniki morda ne bodo tako močno prizadeli ZDA. v vmesnih rokih. Amerika je bila med volitvami 2016 ujeta povsem brez strahu in leto 2018 bo hekerjem nacionalnih držav pokazalo, česa vse se še nismo naučili in od takrat se nismo naučili.

Kibernetska vojna ne govori samo o napadih s prednjim delom. Kampanje za hekerje in napačne informacije so bolj prikrite in se zanašajo na to, da vas bodo prizadele točno tisto, kar ne pričakujete. Kar zadeva Rusijo, Iran, Kitajsko, Severno Korejo in druge, se mnogi varnostni in zunanjepolitični strokovnjaki bojijo, da bodo v ciklusu predsedniške kampanje leta 2020 prišli veliko bolj uničujoči napadi na ameriške volitve.

"Rusi so še vedno aktivni, vendar bi bil presenečen, če Severnokorejci, kitajci in iranci ne bi zelo pozorno gledali, kaj počnemo vmesnih rokov in postavljali tajne temelje, tako kot vsako obveščevalno operacijo, " je dejal Rosenbach.

Kibernetski napadi, ki jih opazimo med vmesnimi roki in leta 2020, morda izvirajo iz povsem novih prenašalcev, ki jih ni bilo v nobeni od simulacij; nova generacija podvigov in tehnik, s katerimi se nihče ni pričakoval ali pripravljen soočiti. Vendar bomo vsaj vedeli, da prihajajo.