Pod útokem: jak volební hackerství ohrožuje střednědobé období

V březnu se představitelé z 38 států zabalili do konferenčního sálu v Cambridge v Massachusettsu na dvoudenní simulační cvičení, které probíhalo jako válečná hra.

Více než 120 státních a místních volebních funkcionářů, ředitelé komunikace, IT manažeři a státní tajemníci provozovali cvičení simulující bezpečnostní katastrofy, které by se mohly stát v nejhorší volební den, jaký si lze představit.

Cvičení stolních stolů začalo každou simulační měsíce před půlměsíčními volbami 6. listopadu, čímž se časová osa urychlovala, až státy v reálném čase čelily útokům, když voliči šli k volbám. Organizovaný projektem Obrana digitální demokracie (D3P) na Harvardu, dvoustranné úsilí o ochranu demokratických procesů před kybernetickými a informačními útoky, cvičení přinutily účastníky reagovat na jeden scénář noční můry za druhým - hackování počítačů s hlasovacími stroji a voličů, distribuované odmítnutí služby (DDoS) útoky, které stahují webové stránky, unikly nesprávným informacím o kandidátech, falešné informace o průzkumu veřejného mínění šířené k potlačení hlasů a kampaně na sociálních médiích koordinované útočníky národních států, aby zaseli nedůvěru.

Jak jsme viděli v nedávných volbách po celém světě, často dochází k několika útokům současně.

„Přemýšlejte o odmítnutí služebního útoku a o normálních taktikách phishingu a malwaru, které by se během voleb použily, “ řekl Eric Rosenbach, ředitel a vedoucí štábu D3P americkému ministru obrany Ashton Carterové od roku 2015 do roku 2017.

„Část, o kterou bych se nejvíce zajímal s DDoS, je útok proti webové stránce oznamující výsledky kombinované s high-endem. Podívejte se, co se stalo na Ukrajině v roce 2014. Rusové DDoSed webovou stránku, kterou Ukrajina používala k oznámení výsledků voleb, pak všechny dnes nasměroval zpět do Ruska a předložil falešné výsledky. Ukrajinci zůstali zmatení ohledně toho, kdo byl skutečně zvolen prezidentem. ““

Porozumění moderní volební bezpečnosti znamená zvládnout skličující realitu: zejména ve Spojených státech je infrastruktura příliš roztříštěná, zastaralá a zranitelná, aby byla zcela zajištěna. Existuje také příliš mnoho různých typů útoků napříč hrozebnou krajinou, aby je všechny zastavily.

PCMag hovořil se státními funkcionáři, politickými činiteli, akademiky, technologickými společnostmi a bezpečnostními vědci o ostré realitě volební bezpečnosti v roce 2018. Na obou stranách politické uličky, na všech úrovních vlády a v celém technologickém průmyslu, ve Spojených státech. se potýká se zásadními hrozbami kybernetické bezpečnosti pro naše volby. Plánujeme také, jak reagovat, když se něco pokazí, a to jak během těchto zásadních voleb v polovině období, tak i ve všeobecných volbách do roku 2020.

Ochrana povrchu útoku

V kybernetické bezpečnosti se všechny exponované systémy a zařízení, která by mohla být napadena, nazývají „útočná plocha“. Útočná plocha amerických voleb je obrovská a lze ji rozdělit do tří klíčových úrovní.

Prvním je hlasovací infrastruktura; přemýšlejte o hlasovacích automatech, databázích registrace voličů a všech webových stránkách státní správy a samosprávy, které lidem říkají, kde a jak volit.

Pak je tu úroveň zabezpečení kampaně. Jak ukázal rok 2016, kampaně jsou pro hackery snadným cílem. Ukradená data kampaně pak mohou být použita jako silná zbraň pro třetí, mlhavější úroveň útoku: nebezpečný svět ozbrojených dezinformací a kampaní sociálního vlivu. Z tohoto hlediska armády trollů národních aktérů nadále působí na webu a napadají platformy sociálních médií, které se staly polarizačními bojišti vnímání voličů.

Pokus o vyřešení nesčetných systémových problémů, které trápí každou z těchto úrovní, často vede k více otázkám než odpovědím. Místo toho mnoho strategií ke zmírnění volebních bezpečnostních rizik upadá do zdravého rozumu: papírování a hlasování; poskytnutí více zdrojů státní a místní správě; a poskytování nástrojů a školení o bezpečnosti pro kampaně a volební funkcionáře.

Několik komplikovanějších a rozdělovějších otázek pro volební administrátory a pracovníky kampaní a voliče: Jak přistupujete k volebnímu procesu v éře sociálních médií, který je vyplněn online dezinformacemi? A když máte pochybnosti o všech digitálních informacích, které se objevují na obrazovce, co byste měli věřit?

Co jsme se naučili od roku 2016

Jakákoli konverzace o americké volební bezpečnosti v polovině roku 2018 a později nakonec najde cestu zpět k prezidentským volbám v roce 2016. Před touto rasou jsme byli svědky kybernetických útoků zaměřených na kampaně a volby od poloviny dvacátých let, ale nikdy předtím v tomto měřítku.

"V té době ještě nikdo takovýhle neviděl. Bylo to šokující, když jsem si myslel, že Rusko by bylo tak bezostyšné, že by zasahovalo do naší demokracie a ovlivňovalo to ve prospěch určitého kandidáta, " řekla Rosenbachová, která před kongresem svědčila. v březnu o rušení Ruska ve volbách v roce 2016. "Už dvacet let pracuji v oblasti národní bezpečnosti, a to byl nejsložitější a nejobtížnější problém, se kterým jsem se kdy setkal."

V tomto okamžiku jsou fakta celkem jasná. Tucet Rusů údajně pracujících pro ruskou vojenskou zpravodajskou službu GRU bylo obviněno z hackování Demokratického národního výboru (DNC) a úniku dokumentů organizacím včetně WikiLeaks, které vydaly přes 20 000 e-mailů.

Obvinění hackeři, kteří operovali pod online osobnostmi včetně Guccifer 2.0, Fancy Bear a DCLeaks, porušili v srpnu 2016 také databáze registrace voličů v Illinois a Arizoně a ukradli informace více než 500 000 voličům. Další zprávy FBI a NSA zjistily, že hackeři během prezidentských voleb v roce 2016 narušili hlasovací software ve 39 státech. Zástupce generálního prokurátora USA Rod Rosenstein uvedl v obvinění ruských hackerů, že „cílem spiknutí bylo ovlivnit volby“.

Byly to jen útoky, které zasáhly první dvě úrovně volební infrastruktury. Na sociálních médiích, Rusku, Íránu a dalších rozpoutalo roboty a továrny na trolly - včetně Ruské federace pro internetový výzkum (IRA) - které šířily falešné zprávy a kupovaly tisíce politických reklam na Facebooku a Twitteru, aby ovlivnily názory voličů. Skandál Cambridge Analytica na Facebooku byl sice spojen spíše s politickými stranami než s hackery mimo jiné, ale také hrál roli v tom, jak platformy sociálních médií ovlivnily volby v roce 2016.

„Nereagovali jsme dostatečně rychle nebo silně, “ řekla Rosenbach. Během působení v Pentagonu působil Rosenbach také jako náměstek ministra obrany pro Cyber ​​od roku 2011 do roku 2014 a náměstek ministra obrany pro globální bezpečnost dohlížející na kybernetickou bezpečnost.

Nyní je spoluzakladatelem Belferova centra na Harvardově Kennedy School a ředitelem D3P. Minulý rok jej založil spolu s Mattem Rhoadesem, manažerem kampaní Mitta Romneye během voleb v roce 2012, a Robby Mookem, manažerem kampaně Hillary Clintonové v roce 2016.

"Z hlediska bezpečnosti je důležité pochopit, že samotná kampaň nebyla nikdy hacknuta, " řekl Mook pro PCMag. "Osobní e-mailové účty byly hacknuty a DNC byl napaden, ale myslím si, že je to důležité varování pro všechny, že opravdu musíme zabezpečit celý ekosystém. Protivníci jdou kamkoli mohou vyzbrojit informace proti různým kandidátům."

Phishingový útok, který v roce 2016 úspěšně napadl osobní účet Gmail předsedy DNC Johna Podestu, opustil Mook s vědomím, že neexistují žádné mechanismy, jak reagovat na útok této velikosti. V roce 2017 se spojil s Rhoadesem, který během Romneyho prezidentského běhu čelil neustálým hackerským pokusům čínských kybernetických sil. Základní myšlenkou bylo vytvořit kontrolní seznam věcí, které je třeba udělat, aby se předešlo takovým zneužíváním v budoucích kampaních, a poskytnout někde kampaně, které by mohly jít, když byly napadeny hackery.

Oba se spojili s Rosenbachem a pracovali na vydání knihy D3P Cybersecurity Campbook Playbook. Od té doby spolupracovali na dvou dalších knihách: jeden pro státní a místní volební administrátory a druhý, který připravuje komunikační úředníky o tom, jak čelit dezinformacím online. Pomohli také organizovat a spouštět simulace mezi stolními stolními počítači.

Mook nechtěl trávit příliš mnoho času mluvením o 2016; je důležité, abyste si neprožili poslední bitvu, když se můžete připravit na další bitvu, řekl.

„Faktem je, že prostě nevíte, proč a jak se někdo snaží dostat dovnitř. Prostě víte, že někdo bude, “ řekl Mook. „Nejdůležitější je přemýšlet o tom, co by mohlo být příště. Jaké jsou hrozby, které jsme dosud neuvažovali nebo neviděli? Myslím, že střednědobé plány potenciálně odhalí některá nová zranitelná místa, ale myslím, že jde spíše o to, že se na systém podíváme jako na celé a přijít na všechny možné způsoby, jak někdo mohl dostat dovnitř. “



Posunutá hrozebná krajina

Když se blížíme k polovině roku 2018 a čelíme dlouhému sloganu do prezidentských voleb v USA do roku 2020, začíná se soustředit na hrozebnou krajinu.

Přestože prezident Trump snížil rozsah ruských zásahů, USA zasáhly Rusko novými sankcemi v březnu. "Pokračujeme ve všudypřítomné kampani pro zasílání zpráv ze strany Ruska, abychom se pokusili oslabit a rozdělit Spojené státy, " řekl během srpnového briefingu americký ředitel National Intelligence Dan Coats.

To přišlo poté, co Microsoft v červenci provedl pokus o hackování zahrnující falešné domény zaměřené na tři kandidáty kandidující na reelection. Pouhých týdny před zveřejněním tohoto příběhu byl ruský státní příslušník obviněn z dohledu nad snahou manipulovat s voliči prostřednictvím Facebooku a Twitteru, aby zasahoval do poločasů. Elena Khusyaynova, ruská občanka pojmenovaná v obžalobě, údajně řídila finanční a sociální operace spojené s IRA a disponovala rozpočtem více než 35 milionů dolarů, které financovala ruský oligarcha a Putin spojenec Jevgenij Prigozhin.

Ředitelé národní zpravodajské služby, ministerstva vnitřní bezpečnosti a FBI vydali společné prohlášení načasované obžalobou. Uvádí se v ní, že ačkoli v současné době neexistuje žádný důkaz o ohrožení hlasovací infrastruktury, „některé státní a místní vlády oznámily zmírněné pokusy o přístup k jejich sítím“, včetně databází registrace voličů.

V posledních týdnech před volbami v polovině období americké kybernetické velení údajně dokonce identifikuje ruské dělníky, kteří kontrolují troll účty, a informuje je o tom, že USA si jsou vědomy své činnosti ve snaze zabránit volebnímu zasahování.

"Jsme znepokojeni probíhajícími kampaněmi Ruska, Číny a dalších zahraničních aktérů, včetně Íránu, které podkopávají důvěru v demokratické instituce a ovlivňují veřejné sentimenty a vládní politiku, " píše se v prohlášení. „Tyto činnosti se mohou také snažit ovlivnit vnímání voličů a rozhodování ve amerických volbách v letech 2018 a 2020.“

Hledáte vzory

Při sledování činnosti zahraničních protivníků a jiných potenciálních počítačových nepřátel hledají experti vzory. Toni Gidwani řekla, že je to jako studovat radarové pole všech různých škodlivých entit venku; hledáte ukazatele včasného varování, abyste zmírnili riziko a zabezpečili nejslabší články vaší obrany.

Gidwani je ředitelem výzkumných operací v kybernetické pojišťovně ThreatConnect. Poslední tři roky strávila v čele výzkumu amerického hackerství ThreatConnect, který se zabýval hackerskými a ruskými vlivy na americké prezidentské volby v roce 2016; její tým propojil Guccifera 2.0 s Fancy Bearem. Gidwani strávila první desetiletí své kariéry v DoD, kde budovala a vedla analytické týmy v obranné zpravodajské agentuře.

„Musíte struny strhnout na spoustu různých front, “ řekl Gidwani. „Fancy Bear pracovala na mnoha různých kanálech, aby se pokusila dostat data DNC do veřejné sféry. Guccifer byl jednou z těchto front, DCLeaks byl jeden a WikiLeaks byl nejvíce zasažený front.“

Gidwani rozdělil vykořisťování národního státu, které jsme viděli, na několik různých činností, které společně vytvářejí vícestupňovou interferenční kampaň. Porušení dat zaměřených na kampaň vedlo ke kritickým únikům strategických dat v kritických okamžicích volebního cyklu.

„Jsme si jistí, že útoky typu phishing a man-in-the-middle jsou jisté. Tyto informace jsou tak účinné, když se dostanou do veřejné domény, že nemusíte potřebovat sofistikovaný malware, protože kampaně jsou takové operace vyzvednutí, příliv dobrovolníků jako cílů, “vysvětlila. "Pokud vaše spear-phishing funguje, nepotřebujete zranitelnost v nultý den."

Útoky na proniknutí na státní volební rady jsou dalším bodem, který měl narušit dodavatelský řetězec hlasovacích strojů a narušit důvěru v platnost volebních výsledků. Gidwani prohlásil, že zastaralá a roztříštěná infrastruktura hlasování od státu ke státům prováděným útokům, jako jsou injekce SQL, které „doufáme, že by už neměly být součástí útočné knihy“, jsou nejen možné, ale také účinné.

Tyto operace se do značné míry liší od skupin na Facebooku a účtů trollů na Twitteru, které vydává IRA a další aktéři z národních států, včetně Číny, Íránu a Severní Koreje. Tyto kampaně se v konečném důsledku týkají spíše vyvolávání sentimentu a kymácejícího se voliče napříč politickým spektrem a zesílení koordinovaných úniků dat pomocí politických šikmých stran. Pokud jde o dezinformace, odkryli jsme pouze špičku ledovce.

"Jedna z věcí, která činí volby tak náročnými, je, že jsou složeny z mnoha různých kusů bez jediné zúčastněné strany, " řekl Gidwani. „Velkou výzvou, se kterou se potýkáme, je v zásadě politická otázka, nikoli technická. Platformy usilují o to, aby legitimní obsah byl snadněji identifikovatelný ověřením uchazečů. nás mimo svět informační bezpečnosti. “



Zapojení nových děr do starého stroje

Na své nejzákladnější úrovni je americká volební infrastruktura spletitou směsicí - spousta zastaralých a nejistých hlasovacích strojů, zranitelných databází voličů a státních a místních webů, kterým někdy chybí i ty nejzákladnější šifrování a bezpečnost.

Dozadu může fragmentovaná povaha celonárodní hlasovací infrastruktury z ní učinit méně přitažlivý cíl než vykořisťování s rozšířenějším dopadem. Kvůli zastaralým a někdy analogovým technologiím v hlasovacích strojích a tomu, jak se každý stát výrazně liší od příštího, by hackeři museli vynaložit značné úsilí v každém případě na kompromitaci každého jednotlivého lokalizovaného systému. To je do jisté míry mylná představa, protože hackování státu nebo místní hlasovací infrastruktura v klíčové houpačce může absolutně ovlivnit výsledek voleb.

Před dvěma volebními cykly konzultoval Jeff Williams významného amerického výrobce hlasovacích strojů, který odmítl identifikovat. Jeho společnost provedla ruční revizi kódu a bezpečnostní test hlasovacích strojů, technologie správy voleb a systémů počítání hlasů a zjistila zranitelnost.

Williams je CTO a spoluzakladatel Contrast Security a jeden ze zakladatelů projektu Open Web Application Security Project (OWASP). Řekl, že kvůli archaické povaze volebního softwaru, který je v mnoha případech řízen místními okrsky, které často rozhodují o nákupu na základě rozpočtu než zabezpečení, se technologie tolik nezměnila.

„Nejde jen o hlasovací automaty. Je to veškerý software, který používáte pro nastavení voleb, správu a shromažďování výsledků, “ řekl Williams. „Stroje mají dlouhou životnost, protože jsou drahé. Mluvíme o milionech řádků kódu a práci, která se snaží mnoho let vyhodnotit, se snahou o jeho revizi, se zabezpečením, které je složité implementovat a není dobře zdokumentováno. příznak mnohem většího problému - nikdo nemá přehled o tom, co se děje v softwaru, který používají. “

Williams uvedl, že ani příliš nevěří v testovací a certifikační procesy. Většina státních a místních vlád sestavila malé týmy, které provádějí penetrační testování, stejný druh testování, který udělal titulky u Black Hat. Williams věří, že je to nesprávný přístup ve srovnání s vyčerpávajícím testováním kvality softwaru. Hackingové soutěže jako ty ve Voting Village na DefCon najdou zranitelnosti, ale neříká vám vše o potenciálních exploatacích, které jste nenašli.

Systematičtější otázkou na celostátní úrovni je to, že hlasovací stroje a software pro správu voleb se v jednotlivých státech výrazně liší. Existuje pouze hrstka hlavních prodejců, kteří poskytují hlasovací automaty a certifikované hlasovací systémy, což mohou být papírové hlasovací systémy, elektronické hlasovací systémy nebo jejich kombinace.

Podle neziskové organizace Ověřené hlasování se 99 procent amerických hlasů počítá počítačem v nějaké formě, buď skenováním různých typů papírových hlasovacích lístků, nebo přímým elektronickým vstupem. Zpráva Ověřené hlasování za rok 2018 zjistila, že 36 států stále používá hlasovací zařízení, u kterého se ukázalo, že je nejistý, a 31 států bude používat elektronické záznamové stroje s přímým záznamem alespoň pro část voličů.

Nejvíce znepokojující je, že pět států - Delaware, Gruzie, Louisiana, New Jersey a Jižní Karolína - v současné době používají elektronické hlasovací automaty s přímým záznamem bez hlasovacího ověřeného papírového auditu. Pokud se tedy počet elektronických hlasů změní v elektronickém systému, ať už fyzickým nebo vzdáleným hackem, státy nemusí mít možnost ověřit platné výsledky v procesu auditu, kdy je často zapotřebí pouze statistický výběr hlasů, a nikoli úplné přepočítání..

„Nemůžeme počítat s krabicí zavěšených čád, “ řekl Joel Wallenstrom, generální ředitel šifrované aplikace pro zasílání zpráv Wickr. „Pokud se v polovině období objeví tvrzení, že výsledky nejsou skutečné, protože Rusové něco udělali, jak se vypořádáme s touto dezinformací? Lidé čtou bombastické titulky a jejich důvěra v systém je dále narušena.“

Modernizace hlasovací infrastruktury pro jednotlivé státy pomocí moderních technologií a bezpečnosti se neděje v polovině období a pravděpodobně ne před rokem 2020. Zatímco státy včetně Západní Virginie testují nové technologie, jako je blockchain pro elektronický záznam a audit hlasování, většina výzkumných pracovníků a odborníků na bezpečnost říci, že namísto lepšího systému je nejbezpečnější metodou ověřování hlasů papírová stezka.

"Papírové auditní stezky jsou pro bezpečnostní komunitu po dlouhou dobu výzvou k vyzvednutí a ve středu a pravděpodobně v prezidentských volbách budou používat tunu strojů, které to nemají, " řekl Williams. "Není nadsázka tvrdit, že jde o existenciální hrozbu pro demokracii."

Jedním ze států se stezkou pro audit papíru je New York. Deborah Snyder, státní ředitelka pro bezpečnost informací, řekla společnosti PCMag na nedávném summitu National Cyber ​​Security Alliance (NCSA), že New York nepatří mezi 19 států, jejichž odhadovaných 35 milionů záznamů o voličích je na temném webu k prodeji. Veřejně dostupné záznamy voličů z New Yorku jsou však údajně k dispozici zdarma na jiném fóru.

Stát pravidelně vyhodnocuje rizika svých hlasovacích strojů a infrastruktury. New York od roku 2017 investoval také miliony do detekce lokálního narušení, aby zlepšil monitorování a reakci na incidenty, a to jak ve státě, tak v koordinaci s Centrem pro sdílení a analýzu informací (ISAC), které spolupracuje s dalšími státy a soukromým sektorem.

"Jsme ve zvýšeném povědomí vedoucímu k volbám a skrze volby, " řekl Snyder. "Mám na palubě týmy od 6 hodin den před do půlnoci v den voleb. Všichni jsme na palubě, od Státního zpravodajského centra v New Yorku po ISAC po místní a státní volební výbor a moji kancelář, ITS a divize vnitřní bezpečnosti a pohotovostních služeb. “



Místní volební webové stránky sedí kachny

Posledním a nejčastěji přehlíženým aspektem bezpečnosti státu a místních voleb jsou vládní webové stránky, které občanům říkají, kde a jak volit. V některých státech je šokující malá konzistence mezi oficiálními weby, z nichž mnohé postrádají i ty nejzákladnější bezpečnostní certifikáty HTTPS, což ověřuje, že webové stránky jsou chráněny šifrováním SSL.

Společnost Cybersecurity McAfee nedávno zkoumala zabezpečení webových stránek krajských volebních rad ve 20 státech a zjistila, že pouze 30, 7 procent webů má protokol SSL, který ve výchozím nastavení šifruje veškeré informace, které volič s webem sdílí. Ve státech včetně Montany, Texasu a Západní Virginie je 10 procent webů nebo méně šifrováno pomocí SSL. Výzkum společnosti McAfee zjistil, že pouze v Texasu 217 z 236 webových stránek okresních voleb nepoužívá SSL.

Webu s šifrováním SSL můžete zjistit hledáním HTTPS v adrese URL webu. V prohlížeči se také může zobrazit ikona zámku nebo klíče, což znamená, že bezpečně komunikujete s webem, o kterém tvrdí, že jsou. V červnu začal Google Chrome označovat všechny nešifrované weby HTTP jako „nezabezpečené“.

„Pokud v roce 2018 nebudeme mít SSL v přípravě na střednědobé období, znamená to, že tyto krajské weby jsou mnohem zranitelnější vůči útokům MiTM a manipulaci s údaji, “ řekl Ceve Steve Grobman z McAfee. „Je to často stará nezabezpečená varianta HTTP, která vás nepřesměrovává na zabezpečené weby, a v mnoha případech by tyto weby sdílely certifikáty. Věci vypadají lépe na úrovni státu, kde pouze asi 11 procent webů není šifrovaných, ale tyto stránky místních krajů jsou zcela nejisté. ““

Ze států zahrnutých do výzkumu McAfeeho, jen Maine měla nad 50 procent webových stránek volebních obvodů se základním šifrováním. New York byl jen na 26, 7 procenta, zatímco v Kalifornii a na Floridě bylo kolem 37 procent. Ale nedostatek základní bezpečnosti je jen polovina příběhu. Výzkum McAfee také nenašel téměř žádnou konzistenci v doménách webových stránek krajských voleb.

Šokovaně malé procento státních volebních serverů používá vládou ověřenou doménu.gov, místo toho se rozhodlo pro společné domény nejvyšší úrovně (TLD), jako jsou.com,.us,.org nebo.net. V Minnesotě používá nevládní domény 95, 4% volebních míst, následuje 95% Texasu a 91, 2% Michigan. Tato nekonzistence způsobuje, že běžný volič téměř zjišťuje, které volební stránky jsou legitimní.

V Texasu používá 74, 9% webových stránek pro registraci voličů doménu.us, 7, 7 procenta.com, 11, 1 procenta.org a 1, 7 procenta.net. Doménu.gov používá pouze 4, 7 procent webů. Například v texaském okrese Denton je webová stránka voleb kraje https://www.votedenton.com/, ale společnost McAfee zjistila, že související webové stránky, jako je www.vote-denton.com, lze zakoupit.

V takových scénářích útočníci ani nemusí hacknout místní webové stránky. Mohou si jednoduše koupit podobnou doménu a odeslat phishingové e-maily, které lidi přimějí, aby se zaregistrovali, aby hlasovali prostřednictvím podvodného webu. Mohou dokonce poskytnout nepravdivé hlasovací informace nebo nesprávná místa volebních místností.

„V kybernetické bezpečnosti obecně vidíme, že útočníci budou používat nejjednodušší mechanismus, který je efektivní k dosažení jejich cílů, “ řekl Grobman. „I když je možné hacknout samotné hlasovací stroje, je s tím mnoho praktických výzev. Je mnohem snazší jít po systémech a databázích voličů nebo si jen koupit web. V některých případech jsme zjistili, že existují podobné domény zakoupené jinými stranami. Je stejně snadné jako najít stránku pro prodej GoDaddy. “



Kampaně: Pohyblivé kusy a snadné cíle

Hackerům obvykle trvá víc, než infiltrují systém každého okresu nebo státu, než jít po nízko visících plodech, jako jsou kampaně, kde tisíce dočasných zaměstnanců dělají přitažlivé známky. Jak jsme viděli v roce 2016, dopad narušení dat kampaně a úniku informací může být katastrofický.

Útočníci mohou proniknout kampaně mnoha různými způsoby, ale nejsilnější obranou je jednoduše zajistit, aby byly základní zásady uzamčeny. D3P's Campaign Cybersecurity Playbook neodhaluje žádné průlomové bezpečnostní taktiky. V zásadě jde o kontrolní seznam, který mohou použít k ověření, zda je prověřen každý zaměstnanec nebo dobrovolník kampaně a že každý, kdo pracuje s daty kampaně, používá ochranné mechanismy, jako je dvoufaktorové ověřování (2FA), a šifrované služby zasílání zpráv, jako je Signal nebo Wickr. Musí být také vyškoleni v oblasti zdravé hygieny informací se znalostí toho, jak si všimnout programů phishingu.

Robby Mook hovořil o jednoduchých návycích: řekněme, automatické smazání e-mailů, o kterých víte, že nebudete potřebovat, protože vždy existuje šance, že data budou unikat, pokud budou sedět.

„Kampaň je zajímavým příkladem, protože jsme měli druhý faktor na účtech kampaně a obchodních pravidlech o uchovávání dat a informací v naší doméně, “ vysvětlil Mook. "Špatní chlapi, co jsme se dozvěděli retrospektivně, dostali mnoho zaměstnanců, aby klikali na phishingové odkazy, ale tyto pokusy nebyly úspěšné, protože jsme měli zavedená ochranná opatření. Když se nemohli tímto způsobem dostat, šli kolem osobní účty lidí. “

Zabezpečení kampaně je složité: Existují tisíce pohyblivých součástí a často neexistuje žádný rozpočet ani odbornost, které by bylo možné zabudovat do špičkové ochrany informací před poškrábáním. Technologický průmysl se v této oblasti zintenzivnil a společně poskytoval řadu bezplatných nástrojů pro kampaně vedoucí až do poloviny období.

Jigsaw společnosti Alphabet poskytuje kampaně ochranu DDoS prostřednictvím Project Shield a Google rozšířil svůj pokročilý program zabezpečení účtu na ochranu politických kampaní. Společnost Microsoft nabízí politické strany bezplatnou detekci hrozeb AccountGuard v Office 365 a letos v létě společnost pořádala semináře o kybernetické bezpečnosti s DNC i RNC. McAfee rozdává McAfee Cloud pro zabezpečené volby na jeden rok volební kanceláře ve všech 50 státech.

Další cloudové a bezpečnostní společnosti - včetně společností Symantec, Cloudflare, Centrify a Akamai - poskytují podobné bezplatné nebo zlevněné nástroje. Je to vše jako součást kolektivní PR kampaně technického průmyslu, která vyvíjí více úsilí o zlepšení bezpečnosti voleb, než tomu bylo v minulosti v Silicon Valley.

Získávání kampaní v šifrovaných aplikacích

Wickr například (více či méně) poskytuje kampaním přístup ke své službě zdarma a spolupracuje přímo s kampaněmi a DNC, aby školil pracovníky kampaní a budoval bezpečné komunikační sítě.

Počet kampaní využívajících Wickr se od dubna ztrojnásobil a více než polovina kampaní Senátu a více než 70 politických poradenských týmů využívalo platformu od letošního léta, podle společnosti. Audra Grassia, politická a vládní představitelka společnosti Wickr, směřuje své úsilí k politickým výborům a kampaním ve Washingtonu, DC za poslední rok.

"Myslím, že lidé mimo politiku mají těžko pochopit, jak obtížné je nasazení řešení ve více kampaních na všech úrovních, " řekla Grassia. "Každá kampaň je vlastní samostatnou malou firmou, jejíž zaměstnanci se střídají každé dva roky."

Jednotlivé kampaně často nemají financování kybernetické bezpečnosti, ale velké politické výbory ano. Zejména v roce 2016 DNC investovala značné prostředky do kybernetické bezpečnosti a do tohoto druhu budování vztahů se Silicon Valley. Výbor má nyní technický tým 35 lidí vedený novým technickým ředitelem Raffim Krikorianem, dříve společností Twitter a Uber. Nový hlavní důstojník pro bezpečnost DNC, Bob Lord, byl dříve bezpečnostním vykonavatelem v Yahoo, který je důvěrně seznámen s řešením katastrofických hacků.

Tým Grassia pracuje přímo s DNC, pomáhá nasazovat technologii Wickru a nabízí kampaně na různých úrovních školení. Wickr je jedním z poskytovatelů technologií vystupujících na technologickém trhu DNC pro kandidáty. „Pohyblivé kousky v rámci kampaně jsou opravdu ohromující, “ řekl generální ředitel Wickr Joel Wallenstrom.

Vysvětlil, že kampaně nemají technické znalosti ani zdroje, aby mohly investovat do podnikové informační bezpečnosti nebo platit ceny Silicon Valley za talent. Šifrované aplikace v zásadě nabízejí vestavěnou infrastrukturu pro přesun veškerých dat kampaně a interní komunikace do zabezpečeného prostředí, aniž by si najaly drahý poradenský tým, který vše nakonfiguruje. Nejedná se o komplexní řešení, ale šifrované aplikace mohou přinejmenším rychle získat základy kampaně.

Ve středu a budoucích volbách řekl Robby Mook, že existuje několik vektorů kampaně, o které se nejvíce zajímá. Jedním z nich jsou útoky DDoS na webové stránky kampaně v kritických okamžicích, například během konvenčního projevu nebo v primární soutěži, kdy kandidáti financují online dary. Také se bojí falešných stránek jako jeden-dva údery, aby ukradl peníze.

"Viděli jsme to trochu, ale myslím si, že jedna věc, kterou je třeba sledovat, jsou falešné weby s fundraisingem, které mohou v procesu dárcovství způsobit zmatek a pochybnosti, " řekl Mook. "Myslím, že by to mohlo být ještě horší, když by se sociální inženýrství snažilo přimět zaměstnance kampaně, aby zapojili peníze nebo přesměrovávali dary zlodějům. Nebezpečí je obzvláště vysoké, protože pro protivníka je to nejen lukrativní, ale také to odvádí pozornost od skutečných problémy a udržuje je zaměřený na intriky. “



Informační válka pro mysli voličů

Nejobtížnější aspekty moderní volební bezpečnosti, které je třeba pochopit, natož aby byly chráněny, jsou dezinformační a sociální vlivové kampaně. Je to problém, který se odehrál nejvíce veřejně online, v Kongresu a na sociálních platformách v srdci hádanky ohrožující demokracii.

Falešné zprávy a dezinformace šířené s cílem ovlivnit voliče mohou mít mnoho různých podob. V roce 2016 pocházelo z mikrocílených politických reklam na sociálních médiích, ze skupin a falešných účtů, které obíhaly nepravdivé informace o kandidátech, a z úniků dat kampaně strategicky šířených pro informační válčení.

Mark Zuckerberg skvěle řekl dny po volbách, že falešné zprávy o Facebooku ovlivňující volby byly „docela šíleným nápadem“. Trvalo katastrofální rok datových skandálů a příjmů pro Facebook, aby se dostal tam, kde je nyní: hromadné očištění politických spamových účtů, ověřování politických reklam a zřízení „válečné místnosti“ v polovině období jako součást komplexní strategie boje proti volbám vměšovat se.

Twitter podnikl podobné kroky, ověřoval politické kandidáty a zakazuje roboty a trolly, ale dezinformace přetrvávají. Společnosti byly upřímné o tom, že jsou v závodě ve zbrojení s kybernetickými nepřáteli, aby našli a smazali falešné účty a zastavili falešné zprávy. Facebook minulý týden ukončil propagandistickou kampaň spojenou s Íránem zahrnující 82 stránek, skupin a účtů.

Algoritmy strojového učení a lidské moderátory však mohou jít jen tak daleko. Šíření dezinformací prostřednictvím WhatsApp v brazilských prezidentských volbách je jen jedním z příkladů toho, kolik práce sociálních společností musí ještě udělat.

Facebook, Twitter a technologičtí giganti, jako je Apple, se od tichého uznání role svých platforem ve volbách chýlí k přijetí odpovědnosti a pokusu o vyřešení velmi složitých problémů, které pomohli vytvořit. Ale to stačí?

"Vliv voleb byl vždy, ale vidíme novou úroveň sofistikovanosti, " řekl Travis Breaux, docent počítačové vědy v Carnegie Mellon, jehož výzkum se týká soukromí a bezpečnosti.

Breaux řekl, že typy dezinformačních kampaní, které vidíme z Ruska, Íránu a dalších aktérů národního státu, se neliší od agentů špionážních agentů po celá desetiletí. Poukázal na knihu z roku 1983 s názvem KGB a sovětská dezinformace , kterou napsal bývalý zpravodajský důstojník a který hovořil o informačních kampaních o studené válce sponzorovaných státem, jejichž cílem bylo uvést v omyl, zmást nebo rozněcovat cizí názor. Rusští hackeři a trollové farmy dnes dělají totéž, pouze jejich úsilí je exponenciálně zvětšeno silou digitálních nástrojů a dosahem, který poskytují. Twitter může okamžitě vystřelit zprávu do celého světa.

"Existuje kombinace existujících technik, jako jsou falešné účty, které nyní vidíme, že jsou zprovozněny, " řekl Breaux. "Musíme se přizpůsobit a pochopit, jak vypadají skutečné a důvěryhodné informace."

McAfee CTO Steve Grobman si myslí, že vláda by měla vést veřejné služby, aby zvýšila informovanost o nepravdivých nebo manipulovaných informacích. Řekl, že jedním z největších problémů v roce 2016 byl zřejmý předpoklad, že porušená data mají integritu.

V pozdních fázích volebního cyklu, kdy není čas samostatně ověřovat platnost informací, může být informační válka obzvláště silná.

„Když byly e-maily Johna Podesty publikovány na WikiLeaks, tisk předpokládal, že to byly všechny e-maily Podesta, “ řekl Grobman. Společnost PCMag neprováděla přímé vyšetřování pravosti uniklých e-mailů, ale některé e-maily Podesta ověřené jako falešné stále existovaly teprve nedávno na podzim, podle FactCheck.org je projekt vyčerpán z Annenbergova centra veřejné politiky na univerzitě z Pensylvánie.

„Jednou z věcí, které potřebujeme vzdělávat veřejnost, je to, že jakékoli informace vycházející z narušení mohou obsahovat smyšlená data propojená s legitimními daty, která živí vše, co vás vypravěči protivníci vedou. Lidé mohou uvěřit něčemu vymyslenému, který ovlivňuje jejich hlas.“

To se může vztahovat nejen na to, co vidíte online a na sociálních médiích, ale také na logistické podrobnosti o hlasování ve vaší oblasti. Vzhledem k nekonzistentnosti v něčem tak zásadním, jako jsou domény webových stránek z jedné místní obce do druhé, voliči potřebují oficiální prostředky k rozpoznání toho, co je skutečné.

„Představte si hackeře, kteří se snaží ovlivnit volby vůči kandidátovi v dané venkovské nebo městské oblasti, “ řekl Grobman. "Všem voličům pošlete e-mail s phishingem, v němž se říká, že kvůli počasí byly volby odloženy o 24 hodin, nebo jim dáte falešně aktualizovanou polohu volebního místa."

Nakonec je na voličích, aby odfiltrovali dezinformace. Ředitelka pro bezpečnost informací v New Yorku Deborah Snyderová uvedla: „Nezískávejte novinky z Facebooku, hlasujte podle svého názoru, “ a ujistěte se, že vaše fakta pocházejí z ověřených zdrojů. Wickrův Joel Wallenstrom věří, že voliči se musí přesvědčit o tom, že bude strašně mnoho FUD (strach, nejistota a pochybnosti). Také si myslí, že byste měli jen vypnout Twitter.

Robby Mook uvedl, že ať už se zabýváte operacemi počítačové kriminality nebo datovými válkami, je důležité si uvědomit, že informace, které vidíte, jsou navrženy tak, aby vás přiměly myslet a jednat určitým způsobem. Ne.

„Voliči musí udělat krok zpět a zeptat se sami sebe, na čem jim záleží, ne na to, co jim bylo řečeno, “ řekl Mook. "Zaměřte se na podstatu kandidátů, rozhodnutí, která tito veřejní činitelé učiní, a na to, jak tato rozhodnutí ovlivní jejich životy."



Házet všechno, co máme, na 'Em. Spusťte to znovu

Simulační cvičení pro volební bezpečnost v rámci projektu Obrana digitální demokracie začalo v 8 hodin ráno v Massachusetts v Cambridge v Massachusetts. Když začalo s účastníky pracujícími ve smyšlených státech šest nebo osm měsíců před volebním dnem, 10 minut cvičení představovalo 20 dní. Nakonec se každá minuta odehrávala v reálném čase, když všichni odpočítávali čas do voleb.

Rosenbach řekl, že, Mook a Rhoades šli se 70 stránkami scénářů, které psaly, jak by se mohly vyskytnout katastrofy při volební bezpečnosti, a hodily jeden po druhém na státní úředníky, aby viděli, jak reagují.

"Řekli bychom, tady je situace, právě jsme dostali zprávu o ruské informační operaci provedené prostřednictvím Twitter robotů, " řekl Rosenbach. "Z tohoto volebního místa přicházejí také výsledky, které se ukazují jako uzavřené, ale pouze pro afroamerické voliče. Potom by na to museli reagovat, zatímco 10 dalších věcí klesá - registrační data byla napadena, hlasovací infrastruktura je ohrožena, něco uniklo a dále a dále. “

Projekt Obrana digitální demokracie provedl výzkum ve 28 státech týkající se demografie a různých typů volebních zařízení, aby mohl skriptovat simulace, a každému byla přidělena role. Volební administrátoři na nízké úrovni museli hrát špičkové funkcionáře fikčního státu a naopak. Rosenbach uvedl, že ministr zahraničí Západní Virginie Mac Warner chtěl hrát průzkumného pracovníka.

Cílem bylo, aby úředníci ze všech 38 států nechali simulaci s plánem reakce ve svých myslích a položili správné otázky, když na tom opravdu záleží. Šifrovali jsme tento odkaz? Je databáze voličů bezpečná? Uzamkli jsme, kdo má fyzický přístup k hlasovacím strojům před volebním dnem?

Očividně důležitějším vedlejším produktem stolního cvičení bylo vytvoření sítě volebních funkcionářů po celé zemi pro sdílení informací a výměnu osvědčených postupů. Rosenbach to nazval jakýmsi „neformálním ISAC“, který zůstal velmi aktivní a vedl až do poloviny, kdy státy sdílejí typy útoků a zranitelností, které vidí.

Státy také dělají tento druh školení sami. New York odstartoval v květnu sérii regionálních stolních cvičení ve spolupráci s Ministerstvem vnitřní bezpečnosti se zaměřením na připravenost kybernetické bezpečnosti a reakci na hrozby.

NYS CISO Snyder uvedl, že Státní volební rada poskytla krajským volební komisi školení zaměřené na volby. Kromě toho byly místním obcím zpřístupněny bezplatné školení o kybernetickém povědomí poskytované všem 140 000 státním pracovníkům, které jim poskytly jak volební školení, tak všeobecné školení o kybernetické bezpečnosti. Snyder také řekla, že oslovila další státy, které utrpěly porušení voličských dat, aby zjistily, co se stalo a proč.

"Partnerství jsou důvodem, proč kybernetická bezpečnost funguje. Nedostatek sdílení informací je důvodem, proč selže, " řekl Snyder. "Státy si uvědomují, že kybernetika nelze udělat v silech, a výhoda tohoto sdíleného situačního povědomí zdaleka převáží rozpaky, jak vyprávět příběh o tom, jak jste byli hacknuti."

D3P vysílá v polovině období týmy po celé zemi, aby pozorovaly volby v desítkách států a podaly zprávu o zlepšení herních knížek a školení projektu před rokem 2020. Jedním sentimentem je několik sdílených zdrojů, že kybernetičtí protivníci nemusí zasáhnout USA tak tvrdě ve středu. Amerika byla během voleb v roce 2016 zcela chycena a 2018 ukáže hackerům z národních států to, co jsme se od té doby nenaučili.

Kybernetická válka není jen o úplných frontových útocích. Hackerské a dezinformační kampaně jsou tajnější a spoléhají na to, že vás zasáhnou přesně tím, co neočekáváte. Pokud jde o Rusko, Írán, Čínu, Severní Koreu a další, mnoho odborníků v oblasti bezpečnosti a zahraniční politiky se obává, že v cyklu prezidentských kampaní do roku 2020 přijdou mnohem ničivější útoky na americké volby.

"Rusové jsou stále aktivní, ale byl bych překvapen, kdyby se Severokorejci, Číňané a Íránci nedívali příliš pozorně, aby viděli, co děláme ve střednědobých termínech a pokládali tajné základy, stejně jako jakákoli operace intel kybernetiky, " řekl Rosenbach.

Kybernetické útoky, které vidíme v polovině období a v roce 2020, mohou dobře pocházet ze zcela nových vektorů, které nebyly v žádné ze simulací; nová generace exploitů a technik, které nikdo neočekával ani nebyl připraven čelit. Ale alespoň budeme vědět, že přicházejí.