Sub atac: modul în care hackingul electoral amenință jumătatea

În martie, oficiali din 38 de state au intrat într-o sală de conferințe din Cambridge, Massachusetts, pentru un exercițiu de simulare electorală de două zile, care a fost condus ca un joc de război.

Peste 120 de oficiali de stat și de alegeri locale, directori de comunicații, manageri IT și secretari de stat au efectuat exerciții care simulează catastrofe de securitate care s-ar putea întâmpla în cea mai proastă Ziua alegerilor imaginabile.

Exercițiul de pe masă a început fiecare simulare cu câteva luni înainte de alegerile din 6 noiembrie, accelerând calendarul până când statele au combătut atacurile în timp real, în timp ce alegătorii mergeau la urne. Organizat prin proiectul Defending Digital Democracy (D3P) de la Harvard, un efort bipartid pentru protejarea proceselor democratice împotriva atacurilor informatice și informatice, exercițiile au obligat participanții să răspundă la un scenariu de coșmar după altul - mașina de vot și baza de date cu alegătorii, distribuirea refuzului distribuit Atacuri (DDoS), prin eliminarea site-urilor web, au scăpat dezinformări cu privire la candidați, informații false privind sondajele diseminate pentru a suprima voturile și campanii de social media coordonate de atacatorii statului național pentru a semăna neîncredere.

Așa cum am văzut la alegerile recente din întreaga lume, atacuri multiple se produc adesea simultan.

„Gândiți-vă la un atac de refuz al serviciilor și la tactici normale de tip phishing și malware, pe care le-ar folosi în timpul alegerilor”, a declarat Eric Rosenbach, directorul D3P și șeful de personal al secretarului apărării american Ashton Carter, din 2015 până în 2017.

"Partea de care m-ar preocupa cel mai mult un DDoS este un atac împotriva unei pagini web care anunță rezultate combinate cu un nivel înalt. Uitați-vă la ce s-a întâmplat în Ucraina în 2014. Rușii DDoSed pagina web Ucraina folosea pentru a anunța rezultatele alegerilor Apoi, i-a condus pe toți înapoi în Rusia Astăzi și a pus rezultate neplăcute. Ucrainenii au fost lăsați confuzați cu privire la cine fusese ales președinte."

Înțelegerea securității electorale moderne înseamnă să ajungi la o realitate descurajantă: în special în Statele Unite, infrastructura este prea fragmentată, depășită și vulnerabilă pentru a fi complet asigurată. Există, de asemenea, prea multe tipuri diferite de atacuri în peisajul amenințării pentru a le opri pe toate.

PCMag a vorbit cu oficiali de stat, operatori politici, academicieni, companii de tehnologie și cercetători de securitate despre realitățile clare ale securității electorale din 2018. De ambele părți ale culoarului politic, la toate nivelurile de guvernare și în întreaga industrie tehnologică, Statele Unite se confruntă cu amenințări fundamentale de securitate cibernetică la alegerile noastre. De asemenea, planificăm cum să reacționăm atunci când lucrurile nu merg bine, atât în ​​timpul alegerilor centrale la jumătatea perioadei, cât și în alegerile generale din 2020.

Protejarea „suprafeței de atac”

În securitate cibernetică, toate sistemele și dispozitivele expuse care ar putea fi atacate se numesc „suprafața de atac”. Suprafața de atac a alegerilor americane este enormă și poate fi împărțită în trei niveluri cheie.

Primul este infrastructura de vot; gândiți-vă mașinile de vot, bazele de date de înregistrare a alegătorilor și toate site-urile web ale statului și ale administrațiilor locale care le spun oamenilor unde și cum să voteze.

Apoi există nivelul de securitate al campaniei. După cum a arătat 2016, campaniile sunt ținte ușoare pentru hackeri. Datele campaniei furate pot fi apoi utilizate ca o armă puternică pentru cel de-al treilea nivel de atac, mai nebuloase: lumea nefastă a campaniilor de dezinformare și a influenței sociale armate. Pe acest front, armatele troll ale actorilor națiunilor naționale continuă să opereze pe internet și invadează platforme de socializare, care au devenit câmpuri de luptă polarizante ale percepției alegătorilor.

Încercarea de a rezolva numeroase probleme sistemice care afectează fiecare dintre aceste niveluri duce adesea la mai multe întrebări decât răspunsuri. În schimb, multe dintre strategiile de atenuare a riscurilor de securitate electorală se referă la bunul simț: votarea pe hârtie și auditul voturilor; oferirea de resurse de stat și locale mai multe resurse; și furnizarea de instrumente și instruire în domeniul securității pentru campaniile și oficialii electorali.

Câteva întrebări mai complicate și divizive, atât pentru administratorii alegerilor, cât și pentru lucrătorii de campanii, precum și pentru alegători: Cum abordați procesul electoral în era social media plină de dezinformare online? Și când vă adăugați îndoieli cu privire la toate informațiile digitale care vin pe ecranul dvs., ce ar trebui să credeți?

Ce am învățat din 2016

Orice conversație despre securitatea alegerilor americane în intervalul de timp 2018 și nu numai, în cele din urmă, își găsește drumul înapoi la alegerile prezidențiale din 2016. Înainte de această cursă, am văzut atacuri cibernetice îndreptate spre campanii și alegeri de la mijlocul anilor 2000, dar niciodată până la acea scară.

"La vremea respectivă, nimeni nu mai văzuse așa ceva până acum. A fost șocant să cred că Rusia va fi atât de desfrânată încât să intervină în democrația noastră și să o influențeze în favoarea unui anumit candidat", a declarat Rosenbach, care a depus mărturie înainte de Congres. în martie cu privire la interferența rusă în alegerile din 2016. „Lucrez în securitate națională de 20 de ani și aceasta a fost cea mai complicată, dificilă problemă cu care m-am ocupat vreodată”.

În acest moment, faptele sunt destul de clare. O duzină de ruși care ar fi lucrat pentru GRU, serviciul militar de informații din Rusia, au fost inculpați pentru hackingul Comitetului Național Democrat (DNC) și pentru că au scăpat documente către organizații, inclusiv WikiLeaks, care a lansat peste 20.000 de e-mailuri.

Operați în cadrul unor persoane online, inclusiv Guccifer 2.0, Fancy Bear și DCLeaks, hackerii inculpați au încălcat, de asemenea, bazele de date privind înregistrarea alegătorilor din Illinois și Arizona în august 2016 și au furat informații asupra a peste 500.000 de alegători. Rapoartele ulterioare ale FBI și NSA au constatat că hackerii au compromis software-ul de vot în 39 de state în timpul alegerilor prezidențiale din 2016. Procurorul general adjunct al SUA, Rod Rosenstein, a declarat în rechizitoriul hackerilor ruși că „scopul conspiratiei era de a avea un impact asupra alegerilor”.

Acestea au fost doar atacurile care au lovit primele două niveluri ale infrastructurii electorale. Pe rețelele de socializare, Rusia, Iran și altele au dezlănțuit fabrici de roboți și trolluri - inclusiv Agenția de Cercetare a Internetului (IRA) susținută de Rusia - care au răspândit știri false și au cumpărat mii de anunțuri politice pe Facebook și Twitter pentru a influența opiniile alegătorilor. Deși legat de partidele politice și nu de hackeri din afara, scandalul Cambridge Analytica de Facebook a jucat și el un rol în modul în care platformele de socializare au afectat alegerile din 2016.

„Nu am reacționat rapid sau suficient de puternic”, a spus Rosenbach. În timp ce lucra la Pentagon, Rosenbach a servit, de asemenea, subsecretar adjunct al Apărării pentru Cyber, în perioada 2011 - 2014, și secretar adjunct al Apărării pentru Securitatea Globală, supravegheând cibersecuritatea.

Acum este co-director al Centrului Belfer la Harvard's Kennedy School și director al D3P. El a fondat-o anul trecut alături de Matt Rhoades, managerul de campanie al lui Mitt Romney în timpul alegerilor din 2012, și Robby Mook, managerul de campanie al lui Hillary Clinton în 2016.

"Un lucru important de înțeles din punct de vedere al securității este faptul că campania în sine nu a fost niciodată piratată", a declarat Mook pentru PCMag. "Conturile de e-mail personale au fost hackate și DNC-ul a fost piratat, dar cred că este un avertisment important pentru toți că trebuie să protejăm întregul ecosistem. Adversarii vor merge oriunde pot, pentru a arma informațiile împotriva diferiților candidați."

Atacul de tip phishing care a hackat cu succes contul personal de Gmail al președintelui DNC, John Podesta, în 2016, l-a lăsat pe Mook să constate că nu existau mecanisme pentru a reacționa la un atac de această magnitudine. În 2017, s-a conectat cu Rhoades, care s-a ocupat de încercări constante de hacking ale forțelor cibernetice chineze în timpul președinției Romney. Ideea de bază a fost să creăm o listă de verificare a lucrurilor de făcut pentru a preveni exploatările de genul acesta în viitoarele campanii și pentru a oferi undeva campaniilor care să meargă atunci când au fost hacked.

Cei doi s-au legat de Rosenbach și au lucrat la publicarea Jurnalului de campanie pentru cibersecuritate D3P. De atunci, au colaborat la alte două cărți de joacă: unul pentru administratorii de alegeri de stat și locali și unul care promovează oficialii de comunicare cu privire la modul de combatere a dezinformării online. Ei au ajutat, de asemenea, la organizarea și rularea simulărilor interstatale de masă.

Mook nu a vrut să petreacă prea mult timp vorbind despre 2016; este important să nu retrăiți ultima bătălie când vă puteți pregăti pentru următoarea, a spus el.

"Cert este că nu știi de ce sau cum încearcă cineva să intre. Știi doar că o va face cineva", a spus Mook. "Cel mai important este să ne gândim la ceea ce ar putea fi ulterior. Care sunt amenințările pe care nu le-am luat în considerare sau nu le-am văzut încă? Cred că termenele intermediare vor putea să suprafețeze unele noi vulnerabilități, dar cred că este vorba mai mult despre privirea sistemului ca întreg și să-și dea seama de orice fel posibil de a intra cineva."



Peisajul schimbător de amenințări

Pe măsură ce ne apropiem de intervalul de durată din 2018 și ne confruntăm cu sloganul lung la alegerile prezidențiale ale SUA din 2020, peisajul amenințărilor vine în centrul atenției.

Deși președintele Trump a redus amploarea interferenței rusești, SUA a lovit Rusia cu noi sancțiuni în martie. "Continuăm să vedem o campanie perversivă de mesagerie din partea Rusiei pentru a încerca să slăbească și să împartă Statele Unite", a declarat directorul american al informațiilor naționale Dan Coats, în timpul unui briefing din august.

Acest lucru a apărut după ce Microsoft, în iulie, a stymied o tentativă de hacking care a implicat domenii false care vizează trei candidați care candidează la realegere. Cu câteva săptămâni înainte de publicarea acestei povești, o cetățeană rusă a fost însărcinată să supravegheze un efort de a manipula alegătorii prin Facebook și Twitter pentru a interfera cu termenii intermediari. Elena Khusyaynova, cetățean rus numit în rechizitoriu, a presupus că a gestionat operațiunile financiare și sociale afiliate la IRA, cu un buget de peste 35 de milioane de dolari, controlat de oligarhul rus și aliatul lui Putin, Yevgeny Prigozhin.

Directorii de informații naționale, Departamentul Securității Interne și FBI au dat publicității o declarație comună cronologizată cu rechizitoriul. Aceasta afirmă că, deși nu există dovezi actuale privind infrastructura de vot compromisă la jumătatea perioadei, „unele state și guvernele locale au raportat încercări atenuate de acces la rețelele lor”, inclusiv bazele de date de înregistrare a alegătorilor.

În ultimele săptămâni anterioare alegerilor de la jumătatea perioadei, se presupune că, de asemenea, comandamentul cibernetic al SUA identifică chiar operatorii ruși în controlul conturilor de troll și îi informează că SUA sunt conștienți de activitățile lor în efortul de a descuraja imediata alegere.

"Suntem preocupați de campaniile în curs de desfășurare din Rusia, China și alți actori străini, inclusiv Iranul, pentru a submina încrederea în instituțiile democratice și a influența sentimentele publice și politicile guvernamentale", se arată în declarație. "De asemenea, aceste activități pot căuta să influențeze percepțiile și deciziile alegătorilor în alegerile americane din 2018 și 2020".

În căutarea modelelor

Atunci când monitorizează activitatea de la adversarii străini și alți potențiali inamici cibernetici, experții caută modele. Toni Gidwani a spus că este ca și cum ai studia o serie de radar cu toate diferitele entități dăunătoare de acolo; căutați indicatori de avertizare timpurie pentru a atenua riscul și a asigura cele mai slabe legături din apărarea dvs.

Gidwani este directorul operațiunilor de cercetare la firma ThreatConnect de securitate cibernetică. Ea a petrecut ultimii trei ani în frunte cu cercetările ThreatConnect privind operațiunile de hacking DNC și influența rusă în alegerile prezidențiale din 2016 ale SUA; echipa ei a legat Guccifer 2.0 de Fancy Bear. Gidwani a petrecut primul deceniu al carierei sale la DoD, unde a construit și a condus echipe de analiză la Agenția de Informații pentru Apărare.

„Trebuie să trageți șirurile pe o mulțime de fronturi diferite”, a spus Gidwani. "Fancy Bear lucra multe canale diferite pentru a încerca să introducă datele DNC în domeniul public. Guccifer a fost unul dintre acele fronturi, DCLeaks a fost unul, iar WikiLeaks a fost cel mai mare impact".

Gidwani a descompus exploatările statului național pe care le-am văzut în câteva activități distincte care formează împreună o campanie de interferență în mai multe etape. Încălcările de date axate pe campanie au dus la scurgeri strategice de date în momentele critice ale ciclului electoral.

"În mod sigur, suntem preocupați de spear-phishing și atacuri de tipul omului în mijloc. Această informație este atât de importantă atunci când ajunge în domeniul public încât este posibil să nu aveți nevoie de malware sofisticat, deoarece campaniile sunt astfel de operațiuni de ridicare, cu un aflux de voluntari ca ținte ”, a explicat ea. "Nu aveți nevoie de vulnerabilități pentru o zi zero dacă funcționează phishingul de lance."

Atacurile de penetrare asupra comisiilor de stat ale alegerilor reprezintă o altă prongă menită să perturbe lanțul de aprovizionare cu aparatul de vot și să erodeze încrederea în validitatea rezultatelor alegerilor. Gidwani a declarat că natura învechită și fragmentată a infrastructurii de vot de la stat la stat a făcut atacuri precum injecțiile SQL, care „am spera că nici măcar nu ar mai face parte din jurnalul de atac”, nu numai posibil, ci și eficient.

Aceste operațiuni sunt în mare parte distincte de grupurile Facebook și conturile de trolluri Twitter, anulate de IRA și de alți actori ai statului național, inclusiv China, Iran și Coreea de Nord. În cele din urmă, acele campanii vizează mai degrabă stimularea sentimentelor și influențarea alegătorilor în întregul spectru politic, amplificarea scurgerilor de date coordonate cu inclinații politice. Când vine vorba de dezinformare, am descoperit doar vârful aisbergului.

"Unul dintre lucrurile care fac alegerile atât de provocatoare este că sunt alcătuite dintr-o mulțime de piese diferite, fără un singur factor interesat", a spus Gidwani. "Marea provocare cu care ne luptăm este fundamental o întrebare politică, nu una tehnică. Platformele depun eforturi pentru ca conținutul legitim să fie mai ușor identificabil prin verificarea candidaților. Dar cu cât de viral acest tip de conținut se poate răspândi, este nevoie de noi în afara lumii securității informațiilor."



Conectarea găurilor noi la mașina veche

La nivelul său cel mai fundamental, infrastructura electorală americană este un patchwork - o mulțime de mașini de vot depășite și nesigure, baze de date cu votanți vulnerabili și site-uri web de stat și locale, care uneori nu au chiar cea mai de bază criptare și securitate.

Într-un fel de întoarcere, natura fragmentată a infrastructurii de vot la nivel național poate face din ea o țintă mai puțin atrăgătoare decât o exploatare cu un impact mai răspândit. Datorită tehnologiei învechite și, uneori, analogică a mașinilor de vot și cât de mult diferă fiecare stat față de următorul, hackerii ar trebui să depună eforturi semnificative în fiecare caz pentru a compromite fiecare sistem localizat. Aceasta este o concepție greșită într-o oarecare măsură, deoarece hackingul de infrastructură de stat sau de vot local într-un district cheie swing poate avea un impact absolut asupra rezultatelor alegerilor.

În urmă cu două cicluri electorale, Jeff Williams a consultat pentru un important furnizor de mașini de vot din SUA, pe care a refuzat să îl identifice. Compania sa a făcut o revizuire manuală a codului și un test de securitate al mașinilor de vot, tehnologie de gestionare a alegerilor și sisteme de numărare a voturilor și a descoperit o serie de vulnerabilități.

Williams este CTO și co-fondator al Contrast Security și unul dintre fondatorii Proiectului Open Web Security Security (OWASP). El a spus că datorită naturii arhaice a software-ului electoral, care este gestionat în multe cazuri de centre locale care deseori iau decizii de cumpărare bazate mai mult pe buget decât pe securitate, tehnologia nu a schimbat atât de mult.

"Nu este vorba doar de aparatele de vot. Este tot software-ul pe care îl utilizați pentru a stabili o alegere, a gestiona și a colecta rezultatele", a spus Williams. "Mașinile au o viață destul de lungă pentru că sunt scumpe. Vorbim despre milioane de linii de cod și de mulți ani de muncă care încearcă să-l revizuiască, cu o securitate care este complicată de implementat și nu este bine documentată. Este un simptom al unei probleme mult mai mari - nimeni nu are nicio informație despre ce se întâmplă în software-ul pe care îl folosește."

Williams a spus că nu are prea multă încredere în procesele de testare și certificare. Majoritatea guvernelor de stat și locale reunesc echipe mici care fac teste de penetrare, același tip de testare care a făcut titluri la Black Hat. Williams consideră că este o abordare greșită, în comparație cu testarea exhaustivă de asigurare a calității software-ului. Concursuri de hacking precum cele din Satul de vot de la DefCon găsesc vulnerabilități, dar nu vă spun totul despre potențialele exploatări pe care nu le-ați găsit.

Problema mai sistemică la nivel național este că mașinile de vot și software-ul de gestionare a alegerilor diferă masiv de la stat la stat. Există doar o mână de vânzători majori înregistrați pentru a furniza aparate de vot și sisteme de vot certificate, care pot fi sisteme de vot pe hârtie, sisteme de vot electronic sau o combinație a celor doi.

Potrivit organizației non-profit, voturile verificate, 99 la sută din voturile Americii sunt luate în calcul computerizat într-o anumită formă, fie prin scanarea diferitelor tipuri de buletine de hârtie, fie prin înregistrare electronică directă. Raportul votului verificat din 2018 a constatat că 36 de state utilizează în continuare echipamente de vot dovedite a fi nesigure, iar 31 de state vor folosi aparate de votare electronică cu înregistrare directă pentru cel puțin o porțiune de alegători.

Cel mai alarmant, cinci state - Delaware, Georgia, Louisiana, New Jersey și Carolina de Sud - folosesc în prezent mașini de votare electronică cu înregistrare directă, fără urmări de audit pe hârtie verificate de alegători. Așadar, dacă numărul de voturi este modificat în sistemul electronic, fie printr-un hack fizic sau la distanță, statele pot să nu aibă nicio modalitate de verificare a rezultatelor valabile într-un proces de audit, unde de multe ori este nevoie doar de o eșantionare statistică a voturilor, decât de o numărare completă.

„Nu există o cutie cu colinde agățate pe care să le socotim”, a spus Joel Wallenstrom, CEO al aplicației de mesagerie criptată Wickr. "Dacă la termen sunt afirmații că rezultatele nu sunt reale pentru că rușii au făcut ceva, cum avem de-a face cu această problemă de dezinformare? Oamenii citesc titluri bombastice și încrederea lor în sistem este în continuare erodată."

Modernizarea infrastructurii de vot de la stat cu tehnologie și securitate modernă nu se întâmplă pentru termenul intermediar și probabil nu înainte de 2020. În timp ce statele, inclusiv Virginia de Vest, testează tehnologii emergente, cum ar fi blockchain pentru înregistrarea și auditarea electronică a voturilor, majoritatea cercetătorilor și experților în securitate spune că, în locul unui sistem mai bun, cea mai sigură metodă de verificare a voturilor este o urmă de hârtie.

„Căile de audit pe hârtie au fost un strigăt de raliu pentru comunitatea de securitate de mult timp, iar la jumătatea perioadei și, probabil, la alegerile prezidențiale, vor folosi o tonă de mașini care nu au asta”, a spus Williams. „Nu este hiperbole să spunem că este o amenințare existențială pentru democrație”.

Unul dintre statele cu un traseu de audit pe hârtie este New York. Deborah Snyder, ofițerul principal al securității informațiilor al statului, a declarat pentru PCMag, la recentul summit național al Cyber ​​Security Alliance (NCSA), că New York nu a fost printre cele 19 state ale căror înregistrări estimate de 35 de milioane de alegători sunt de vânzare pe web-ul întunecat. Cu toate acestea, înregistrările alegătorilor publici din statul New York sunt disponibile public pe un alt forum.

Statul efectuează evaluări periodice de risc ale mașinilor sale de vot și a infrastructurii. De asemenea, New York a investit milioane din 2017 în detectarea locală a intruziunilor pentru a îmbunătăți monitorizarea și răspunsul incidentelor, atât în ​​cadrul statului, cât și în coordonare cu Centrul de Analiză și Schimb de Informații (ISAC), care este partener cu alte state și cu sectorul privat.

"Suntem pe o conștientizare sporită care duce până la alegeri și până încoace", a spus Snyder. "Am echipe pe punte, de la 6 dimineața, cu o zi înainte până la miezul nopții, în Ziua alegerilor. Suntem cu toții cu mâna pe punte, de la Centrul de Informații de Stat din New York, până la ISAC, până la Consiliul Electoral local și de stat și biroul meu, ITS și Divizia serviciilor de securitate internă și servicii de urgență ".



Site-urile electorale locale sunt rați ședinți

Ultimul aspect și cel mai adesea trecut cu vederea securității alegerilor de stat și locale sunt site-urile guvernamentale care spun cetățenilor unde și cum să voteze. În unele state, există o coerență șocant de mică între site-urile oficiale, multe dintre ele lipsind chiar și cele mai de bază certificate de securitate HTTPS, care verifică că paginile web sunt protejate cu criptarea SSL.

Compania de cibersecuritate McAfee a studiat recent securitatea site-urilor comitetului electoral din 20 de state și a constatat că doar 30, 7% dintre site-uri au SSL pentru a cripta în mod implicit orice informație pe care o are un alegător cu site-ul. În state care includ Montana, Texas și Virginia de Vest, 10% dintre site-uri sau mai puține sunt criptate SSL. Cercetările McAfee au constatat că doar în Texas, 217 din 236 site-uri web ale alegerilor județene nu folosesc SSL.

Puteți spune un site criptat SSL căutând HTTPS în URL-ul site-ului. De asemenea, este posibil să vedeți o pictogramă sau o pictogramă cheie în browserul dvs., ceea ce înseamnă că comunicați în siguranță cu un site despre care spun ei. În iunie, Google Chrome a început să semnalizeze toate site-urile HTTP necriptate drept „nesigur”.

„Faptul că nu are SSL în 2018 pentru pregătirea termenului intermediar înseamnă că aceste site-uri web ale județului sunt mult mai vulnerabile la atacurile MiTM și la modificarea datelor”, a declarat Steve Grobman, CTO McAfee. "Este adesea o variantă veche HTTP nesigură care nu vă redirecționează către site-uri securizate și, în multe cazuri, site-urile ar partaja certificate. Lucrurile arată mai bine la nivel de stat, unde doar aproximativ 11% dintre site-uri sunt necriptate, dar acestea sunt site-urile județene locale sunt complet nesigure ".

Dintre statele incluse în cercetarea McAfee, numai Maine avea peste 50 la sută din site-urile electorale județene cu criptare de bază. New York a fost doar la 26, 7 la sută, în timp ce California și Florida au fost în jur de 37 la sută. Însă lipsa securității de bază este doar jumătate din poveste. Cercetările McAfee nu au găsit aproape deloc coerență în domeniile site-urilor web ale alegerilor județene.

Un procent șocant de mic de site-urile electorale utilizează domeniul.gov verificat de guvern, în schimb optează pentru domenii comune de nivel superior (TLD), cum ar fi.com,.us,.org sau.net. În Minnesota, 95, 4 la sută dintre site-urile electorale folosesc domenii neguvernamentale, urmate de Texas la 95% și Michigan la 91, 2 la sută. Această inconsecvență face aproape imposibil pentru un alegător obișnuit să discerne care sunt site-urile electorale.

În Texas, 74, 9 la sută dintre site-urile web de înregistrare a alegătorilor utilizează domeniul.us, 7, 7 la sută folosesc.com, 11, 1 la sută folosesc.org și 1, 7 la sută folosesc.net. Doar 4, 7 la sută dintre site-uri folosesc domeniul.gov. În județul Denton din Texas, de exemplu, site-ul web al alegerilor județene este https://www.votedenton.com/, însă McAfee a descoperit că site-urile conexe, cum ar fi www.vote-denton.com, sunt disponibile pentru cumpărare.

În scenarii de acest gen, atacatorii nu au nici măcar nevoie să pirateze site-urile locale. Acestea pot achiziționa pur și simplu un domeniu similar și pot trimite e-mailuri de tip phishing care îi direcționează pe oameni să se înregistreze pentru a vota prin site-ul fraudulos. Aceștia pot furniza chiar informații false de vot sau locații incorecte ale locurilor de votare.

"Ceea ce vedem în securitate cibernetică în general este că atacatorii vor folosi cel mai simplu mecanism care este eficient pentru a-și atinge obiectivele", a spus Grobman. "În timp ce poate fi posibil să piratezi singure mașinile de vot, există multe provocări practice în acest sens. Este mult mai ușor să mergi după sistemele și bazele de date de înregistrare ale alegătorilor sau doar să cumperi un site web. În unele cazuri, am descoperit că există domenii similare. achiziționate de alte părți. Este la fel de ușor ca să găsești o pagină de vânzare GoDaddy de vânzare."



Campanii: piese în mișcare și ținte ușoare

În general este nevoie de mai mult efort pentru hackeri să se infiltreze în fiecare sistem al județului sau al statului, decât să meargă după fructele cu pârghie scăzută, cum ar fi campaniile, unde mii de angajați temporari fac mărci atrăgătoare. Așa cum am văzut în 2016, impactul încălcărilor de date ale campaniei și scurgerilor de informații poate fi catastrofal.

Atacatorii pot penetra campaniile într-o serie de moduri diferite, dar cea mai puternică apărare este pur și simplu să te asiguri că elementele de bază sunt blocate. Jurnalul de campanie pentru securitate cibernetică al D3P nu dezvăluie nicio tactică de siguranță. Este esențial o listă de verificare pe care o pot folosi pentru a se asigura că fiecare angajat sau voluntar al campaniei este verificat și că oricine lucrează cu datele campaniei folosește mecanisme de protecție precum autentificarea cu doi factori (2FA) și servicii de mesagerie criptate, cum ar fi Semnal sau Wickr. De asemenea, aceștia trebuie să fie instruiți în igiena informațiilor de bun-simț, cu conștientizarea modului de a detecta schemele de phishing.

Robby Mook a vorbit despre obiceiuri simple: spuneți că ștergeți automat e-mailurile pe care știți că nu le veți avea nevoie, deoarece există întotdeauna șansa ca datele să se scurgă dacă stau pe loc.

"Campania este un exemplu interesant, deoarece am avut acel al doilea factor în conturile campaniei noastre și regulile de afaceri despre păstrarea datelor și informațiilor în domeniul nostru", a explicat Mook. "Băieții răi, am învățat retrospectiv, au avut foarte mult personal să facă clic pe link-urile de phishing, dar acele încercări nu au avut succes, pentru că am avut garanții la locul lor. Când nu au putut intra în acest mod, au mers în jurul conturile personale ale oamenilor."

Securitatea campaniei este complicată: Există mii de piese în mișcare și, de multe ori, nu există buget sau expertiză pentru a proteja de la zero protecțiile de securitate a informațiilor. Industria tehnologiei a avansat pe acest front, oferind în mod colectiv o serie de instrumente gratuite pentru campaniile care duc până la termen.

Jurnalul Alphabet oferă campanii de protecție DDoS prin Project Shield și Google și-a extins programul avansat de securitate a contului pentru a proteja campaniile politice. Microsoft oferă partidelor politice detectarea gratuită a amenințărilor AccountGuard în Office 365, iar în această vară, compania a găzduit ateliere de securitate cibernetică atât cu DNC, cât și cu RNC. McAfee acordă gratuit McAfee Cloud pentru Secur Elections un an birourilor electorale din toate cele 50 de state.

Alte companii de tehnologie și securitate cloud - inclusiv Symantec, Cloudflare, Centrify și Akamai - furnizează instrumente similare gratuite sau cu discount. Totul face parte din campaniile colective de PR ale industriei tehnologice, făcând un efort mai concertat pentru îmbunătățirea securității electorale decât Silicon Valley a avut în trecut.

Obținerea campaniilor în aplicațiile criptate

Wickr, de exemplu, (mai mult sau mai puțin) oferă campaniilor accesul gratuit la serviciile sale și lucrează direct cu campaniile și DNC pentru a instrui lucrătorii de campanii și a construi rețele de comunicații sigure.

Numărul campaniilor care folosesc Wickr s-a triplat începând cu luna aprilie, iar mai mult de jumătate din campaniile Senatului și peste 70 de echipe de consultanță politică foloseau platforma începând din această vară, potrivit companiei. Audra Grassia, liderul politic și guvernamental al lui Wickr, și-a îndreptat eforturile cu comitetele și campaniile politice din Washington, DC, în ultimul an.

„Cred că oamenii din afara politicii le este greu să înțeleagă cât de dificil este implementarea de soluții în mai multe campanii, la toate nivelurile”, a spus Grassia. "Fiecare campanie este propria sa afacere mică, cu personal care se întoarce la fiecare doi ani."

De cele mai multe ori, campaniile individuale nu au finanțare pentru securitate cibernetică, dar marile comitete politice le fac. În urma anului 2016, DNC, în special, a investit foarte mult în cibersecuritate și în acest tip de consolidare a relațiilor cu Silicon Valley. Comitetul are acum o echipă tehnică formată din 35 de persoane condusă de noul CTO Raffi Krikorian, fostul Twitter și Uber. Noul director general de securitate al DNC, Bob Lord, a fost anterior un executiv de securitate la Yahoo, care este în cunoștință de cauză de a face față cu haste catastrofale.

Echipa Grassia colaborează direct cu DNC, ajutând la implementarea tehnologiei Wickr și oferind campanii diferite niveluri de pregătire. Wickr este unul dintre furnizorii de tehnologie prezentați pe piața tehnologică DNC pentru candidați. "Piesele în mișcare din cadrul unei campanii sunt cu adevărat uluitoare", a declarat Joel Wallenstrom, CEO-ul Wickr.

El a explicat că campaniile nu au cunoștințe tehnice sau resurse pentru a investi în securitatea informațiilor la nivel de întreprindere sau pentru a plăti prețurile pentru talentul Silicon Valley. Aplicațiile criptate oferă, în esență, infrastructură încorporată pentru a muta toate datele unei campanii și comunicațiile interne în medii sigure, fără a angaja o echipă de consultanță scumpă pentru a configura totul. Nu este o soluție atotcuprinzătoare, dar aplicațiile cel puțin criptate pot obține blocarea elementelor esențiale ale unei campanii relativ rapid.

În timpul perioadelor intermediare și al alegerilor viitoare, a spus Robby Mook, există câțiva vectori de atac în campanie de care este cel mai preocupat. Unul este atacurile DDoS asupra site-urilor web ale campaniei în momente critice, cum ar fi în timpul unui discurs de convenție sau a unui concurs primar, când candidații sunt bancare pentru donații online. De asemenea, este îngrijorat de site-uri false, ca un pumn de doi pentru a fura bani.

"Am văzut un pic din acest lucru, dar cred că un lucru de urmărit este site-urile false de strângere de fonduri care pot crea confuzie și îndoieli în procesul de donare", a spus Mook. "Cred că s-ar putea înrăutăți cu inginerie socială încercând să păcălească personalul campaniei pentru a câștiga bani sau a recruta donații către hoți. Pericolul este deosebit de mare deoarece pentru un adversar, nu numai că este lucrativ, dar distrage campaniile de la real problemele și le menține concentrate pe intrigă ”.



Războiul informațional pentru mințile alegătorilor

Cele mai dificile aspecte ale securității electorale moderne de înțeles, cu atât mai puțin să le protejăm, sunt campaniile de dezinformare și de influență socială. Este problema care a fost cea mai publică online, în Congres și pe platformele sociale din centrul democrației care amenință conundrul.

Știrile false și dezinformarea diseminată pentru a influența alegătorii pot apărea sub diferite forme. În 2016, a provenit din reclame politice micro-direcționate pe social media, din grupuri și conturi false care circulau informații false despre candidați și din datele de campanie scurse diseminate strategic pentru războiul informațional.

Mark Zuckerberg a spus celebrul zile după alegeri că știrile false pe Facebook care influențau alegerile sunt o „idee destul de nebună”. A fost nevoie de un an dezastruos de scandaluri de date și rezultate de venituri pentru Facebook pentru a ajunge acolo unde este acum: curățarea în masă a conturilor de spam-uri politice, verificarea anunțurilor politice și crearea unei „camere de război” a alegerilor la jumătatea perioadei, ca parte a unei strategii cuprinzătoare de combatere a alegerilor amesteci.

Twitter a făcut pași similari, verificând candidații politici și s-a prăbușit de roboți și troli, dar dezinformarea persistă. Companiile s-au sincer în legătură cu faptul că sunt într-o cursă de armament cu dușmani cibernetici pentru a găsi și șterge conturi false și pentru a provoca știri false. Facebook a închis o campanie de propagandă legată de Iran care cuprinde 82 de pagini, grupuri și conturi doar săptămâna trecută.

Dar algoritmii de învățare automată și moderatorii umani pot merge doar atât de departe. Răspândirea dezinformării prin WhatsApp la alegerile prezidențiale din Brazilia este doar un exemplu de cât mai multă muncă trebuie să facă companiile de social media.

Facebook, Twitter și gigantii tehnologici precum Apple au plecat de la recunoașterea tacită a rolului pe care îl joacă platformele lor la alegeri, la acceptarea responsabilității și încercarea de a remedia problemele foarte complicate pe care le-au ajutat să creeze. Dar este suficient?

"Influența la alegeri a fost întotdeauna acolo, dar ceea ce vedem este un nou nivel de sofisticare", a spus Travis Breaux, profesor asociat de informatică la Carnegie Mellon, a cărui cercetare se referă la confidențialitate și securitate.

Breaux a spus că tipurile de campanii de dezinformare pe care le vedem din Rusia, Iran și alți actori ai statului național nu sunt atât de diferite de agenții de spionaj din playbook care au folosit de zeci de ani. El a arătat către o carte din 1983 numită KGB și dezinformarea sovietică , scrisă de un fost ofițer de informații, care vorbea despre campanii de informații ale Războiului Rece, sponsorizate de stat, concepute pentru a induce în eroare, a confunda sau a răsufla opinia străină. Hackerii și fermele de troll din Rusia fac astăzi același lucru, doar eforturile lor sunt mărită exponențial prin puterea uneltelor digitale și acoperirea pe care o oferă. Twitter poate arunca un mesaj către întreaga lume într-o clipă.

„Există o combinație de tehnici existente, cum ar fi conturile false, pe care acum le vedem operaționalizate”, a spus Breaux. „Trebuie să ne ridicăm la viteză și să înțelegem cum arată informațiile originale, de încredere.”

CTO McAfee Steve Grobman consideră că guvernul ar trebui să deruleze campanii de servicii publice pentru a sensibiliza informațiile false sau manipulate. El a spus că una dintre cele mai mari probleme din 2016 a fost presupunerea flagrantă că datele încălcate au integritate.

În etapele târzii ale unui ciclu electoral, când nu există timp pentru a verifica în mod independent validitatea informațiilor, războiul informațional poate fi deosebit de puternic.

"Atunci când e-mailurile lui John Podesta au fost publicate pe WikiLeaks, presa făcea presupunerea că toate erau e-mailuri cu adevărat ale Podesta", a spus Grobman. PCMag nu a efectuat o investigație directă cu privire la autenticitatea e-mailurilor scurse, dar unele e-mailuri Podesta verificate ca false circulau încă de curând în această toamnă, potrivit FactCheck.org, un proiect derulat din Centrul de politici publice Annenberg de la Universitate. din Pennsylvania.

"Unul dintre lucrurile de care avem nevoie pentru a educa publicul este că orice informație ieșită dintr-o încălcare poate conține date fabricate împletite cu date legitime pentru a alimenta orice adversar narativ te conduce. Oamenii pot crede ceva fabricat care le influențează votul."

Acest lucru se poate extinde nu doar la ceea ce vedeți online și în social media, ci și la detalii logistice despre votarea în zona dvs. Având în vedere inconsistența în ceva atât de fundamental precum domeniile site-urilor de la o municipalitate locală la alta, alegătorii au nevoie de un mijloc oficial de a discerne ce este real.

„Imaginează-ți hackerii care încearcă să îndrepte alegerile către un candidat într-o anumită zonă rurală sau urbană”, a spus Grobman. "Trimiteți un e-mail de tip phishing către toți alegătorii, spunând că, din cauza vremii, alegerile au fost amânate pentru 24 de ore sau le dați o locație falsă actualizată la locul de votare."

În cele din urmă, depinde de alegători să filtreze dezinformarea. Ofițerul șef de securitate a informațiilor din statul New York, Deborah Snyder, a spus: „Nu primiți știrile dvs. de pe Facebook, votați-vă mentalitatea” și asigurați-vă că faptele dvs. provin din surse verificate. Joel Wallenstrom de la Wickr consideră că alegătorii trebuie să se acționeze la faptul că vor exista o mulțime de FUD (frică, incertitudine și îndoieli). De asemenea, crede că ar trebui să dezactivați doar Twitter.

Robby Mook a spus că, indiferent dacă aveți de-a face cu operațiuni de infracțiuni informatice sau de război de date, este important să vă amintiți că informațiile pe care le vedeți sunt concepute pentru a vă face să gândiți și să acționați într-un anumit mod. Nu te.

"Alegătorii trebuie să facă un pas înapoi și să se întrebe ce contează pentru ei, nu ce li se spune", a spus Mook. „Concentrați-vă pe substanța candidaților, pe deciziile pe care acești oficiali publici le vor lua și pe modul în care aceste decizii vor avea impact asupra vieții lor.”



Aruncă tot ce avem la Em. Rulați-l din nou

Procesul de simulare al securității electorale a proiectului Defending Digital Democracy a început la 8 dimineața la Cambridge, Mass. În timp ce a început, participanții care lucrează în state fictive cu șase sau opt luni înainte de Ziua alegerilor, 10 minute ale exercițiului au reprezentat 20 de zile. Până la sfârșit, fiecare minut se întâmpla în timp real, deoarece toată lumea număra până la timpul de votare.

Rosenbach a spus că el, Mook și Rhoades au intrat cu 70 de pagini de scenarii care scriau modul în care se vor juca catastrofele de securitate electorală și arunca unul după altul la oficialii statului pentru a vedea cum răspund.

„Am spune, iată situația, am primit doar un raport de știri despre o informație rusă realizată prin intermediul roboților de pe Twitter”, a spus Rosenbach. "De asemenea, rezultatele din acest loc de votare arată că sunt închise, dar numai pentru alegătorii afro-americani. Atunci ar trebui să reacționeze la asta, în timp ce alte 10 lucruri se scad - datele de înregistrare au fost hackate, infrastructura de vot este compromisă, ceva s-a scurs și continuu ”.

Proiectul Defender Digital Democracy a făcut cercetări în 28 de state cu privire la demografie și diferite tipuri de echipamente de votare pentru a scrie scenariul în simulări, iar toată lumea a primit un rol. Administratorii electorali de nivel scăzut au ajuns să joace oficiali de top ai unui stat fictiv și invers. Rosenbach a declarat că Mac Warner, secretarul de stat din Virginia de Vest, dorește să joace un lucrător de sondaj.

Scopul a fost ca oficialii din toate cele 38 de state să lase simularea cu un plan de răspuns în mintea lor și să pună întrebările corecte atunci când aceasta contează cu adevărat. Am criptat acest link? Baza de date a alegătorilor este sigură? Am închis cine are acces fizic la secțiile de votare înainte de ziua alegerilor?

Un produs secundar, probabil, mai important al exercițiului pe masă a fost crearea unei rețele de oficiali electorali din toată țara pentru a împărtăși informații și a schimba cele mai bune practici. Rosenbach l-a numit un fel de „ISAC informal” care a rămas foarte activ ducând până la jumătatea perioadei pentru ca statele să împărtășească tipurile de atacuri și vulnerabilitățile pe care le văd.

Statele fac, de asemenea, acest tip de pregătire pe cont propriu. New York a dat startul unei serii de exerciții regionale de masă în parteneriat cu Departamentul Securității Interne, axat pe pregătirea cibersecurității și răspunsul la amenințări.

NYS CISO Snyder a declarat că Consiliul de Stat al alegerilor a furnizat instruire specifice alegerilor pentru comisiile județene ale alegerilor. În plus, formarea gratuită de informare cibernetică oferită tuturor celor 140.000 de lucrători ai statului a fost pusă la dispoziția municipalităților locale, oferindu-le atât o instruire specifică alegerilor, cât și o formare generală de sensibilizare în domeniul cibersecurității. Snyder a mai spus că a adresat altor state care au suferit încălcări ale datelor alegătorilor pentru a afla ce s-a întâmplat și de ce.

"Parteneriatele sunt ceea ce face ca securitatea cibernetică să funcționeze. Lipsa de partajare a informațiilor este motivul pentru care nu reușește", a spus Snyder. "Statele realizează că cyberul nu poate fi făcut în silozuri, iar avantajul acestei conștientizări situaționale partajate depășește cu mult jena de a spune povestea despre cum ați fost hacked."

D3P trimite echipe din toată țara în timpul perioadei de termen pentru a observa alegerile în zeci de state și a raporta înapoi pentru a îmbunătăți cărțile de joc și instruirile proiectului înainte de 2020. Un sentiment al câtorva surse împărtășite este că adversarii cibernetici ar putea să nu lovească în SUA la fel de tare la mijloc. America a fost prinsă complet fără gardă în timpul alegerilor din 2016, iar 2018 va arăta hackerilor din statele naționale ce avem și nu am aflat de atunci.

Războiul cibernetic nu se referă doar la atacuri frontale complete. Campaniile de hacking și dezinformare sunt mai ascunse și se bazează pe lovirea ta cu ceea ce nu aștepți. În ceea ce privește Rusia, Iranul, China, Coreea de Nord și alții, mulți experți în securitate și politică externă se tem că atacurile mult mai devastatoare la alegerile americane vor veni în ciclul campaniei prezidențiale din 2020.

"Rușii sunt încă activi, dar aș fi surprins dacă nord-coreenii, chinezii și iranienii nu au urmărit foarte atent pentru a vedea ce facem noi la jumătatea timpului și a pune bazele clandestine, la fel ca orice operațiune cibernetică intel", a spus Rosenbach.

Atacurile cibernetice pe care le vedem pe parcursul perioadei de ieșire și în 2020 pot proveni foarte bine de la vectori cu totul noi care nu au fost în niciuna dintre simulări; o nouă generație de exploatări și tehnici pe care nimeni nu se aștepta sau pregătit să le înfrunte. Dar cel puțin vom ști că vor veni.