Під атакою: як хакерство на виборах загрожує середньостроковій перспективі

У березні чиновники 38 штатів зібрались у конференц-зал у Кембриджі, штат Массачусетс, на дводенну симуляцію виборів, яка проходила як військова гра.

Понад 120 державних і місцевих виборів, керівників комунікацій, керівників інформаційних технологій та державних секретарів проводили навчання, що імітували катастрофи безпеки, які можуть статися у найгірший уявний день виборів.

Навчання на стільниці розпочалося кожне моделювання за місяці до проміжних виборів 6 листопада, прискорюючи графік, поки держави не протистояли атакам у режимі реального часу, коли виборці йшли на вибори. Організований проектом "Захист цифрової демократії" (D3P) у Гарварді, двопартійними зусиллями щодо захисту демократичних процесів від кібер-і інформаційних атак, навчання примушували учасників реагувати на один сценарій кошмарів за іншим - хакінг машин для голосування та бази даних виборців, розповсюдження відмови у службі. (DDoS) нападів, які знімають веб-сайти, просочується дезінформація щодо кандидатів, фальшива інформація про опитування, розповсюджувана для придушення голосів, та кампанії соціальних медіа, координовані зловмисниками національних держав, щоб посіяти недовіру.

Як ми бачили на останніх виборах по всьому світу, часто виникають багаторазові напади одночасно.

"Подумайте про відмову в сервісному нападі та про звичайну тактику фішингу та зловмисного програмного забезпечення, які використовуються під час виборів", - заявив Ерік Розенбах, директор D3P та начальник апарату міністру оборони США Ештон Картер з 2015 по 2017 рік.

"Частина, яку мене найбільше турбує DDoS, - це напад на веб-сторінку, яка оголошує результати в поєднанні з високим рівнем. Подивіться, що сталося в Україні в 2014 році. Росіяни DDoSed веб-сторінку, яку Україна використовувала для оголошення результатів виборів., а потім керували усіма поверненнями до «Російської сьогодні» та виставляли хибні результати. Українці залишалися розгубленими щодо того, хто насправді був обраний президентом ».

Розуміння сучасної безпеки виборів означає примикати до жахливої ​​реальності: особливо в США інфраструктура є надто роздробленою, застарілою та вразливою, щоб її повністю забезпечити. Існує також занадто багато різних типів нападів по ландшафту загроз, щоб коли-небудь зупинити їх усіх.

PCMag поспілкувався з державними чиновниками, політичними оперативними діячами, науковцями, технологічними компаніями та дослідниками безпеки про надзвичайні реалії виборчої безпеки у 2018 році. По обидва боки політичного проходу, на кожному рівні влади та в усіх галузях технологій, США бореться з основними загрозами кібербезпеки для наших виборів. Ми також плануємо, як реагувати, коли все піде не так, як під час цих вирішальних проміжних виборів, так і на загальних виборах 2020 року.

Захист "поверхні атаки"

В умовах кібербезпеки всі піддаються впливу системи та пристрої називаються "поверхнею атаки". Поверхня американських виборів величезна і може бути поділена на три ключові рівні.

Перший - це інфраструктура голосування; продумайте машини для голосування, бази даних про реєстрацію виборців та всі веб-сайти штатів та місцевих органів влади, які розповідають людям, де і як голосувати.

Потім є рівень безпеки кампанії. Як показало 2016 рік, кампанії - це легкі мішені для хакерів. Далі викрадені кампанії можуть бути використані як потужна зброя для третього, більш туманного рівня атаки: нечесного світу озброєних дезінформаційних та соціальних впливів. На цьому фронті армії тролів національних державних акторів продовжують діяти в Інтернеті та нападають на платформи соціальних медіа, які стали поляризуючими полями бою сприйняття виборців.

Спроба вирішити безліч системних питань, що стикаються з кожним із цих рівнів, часто призводить до більшої кількості питань, ніж відповідей. Натомість багато стратегій щодо зменшення ризиків виборчої безпеки зводиться до здорового глузду: бюлетень та аудит голосування; надання державним та місцевим органам влади більше ресурсів; та надання інструментів та тренінгів з безпеки для виборчих кампаній та виборчих службовців.

Кілька більш складних і розбіжних питань для адміністраторів виборів та працівників кампанії, а також виборців: Як ви підходите до виборчого процесу в епоху соціальних медіа, сповненого дезінформації в Інтернеті? І коли у вас виникають сумніви щодо всієї цифрової інформації, що надходить на ваш екран, у що ви повинні вірити?

Що ми дізналися з 2016 року

Будь-яка розмова про безпеку виборів у США у середньостроковій перспективі та після неї в кінцевому підсумку знаходить свій шлях до президентських виборів 2016 року. До цієї гонки ми бачили кібератаки, спрямовані на кампанії та вибори з середини 2000-х, але ніколи раніше в таких масштабах.

"У той час ще ніхто не бачив подібного раніше. Шокуюче було думати, що Росія буде настільки нахабною, щоб втручатися в нашу демократію і впливати на неї на користь певного кандидата", - сказав Розенбах, який свідчив перед Конгресом у березні щодо втручання Росії у вибори 2016 року. "Я працюю над національною безпекою вже 20 років, і це була найскладніша, найважча проблема, з якою я коли-небудь стикався".

На даний момент факти досить зрозумілі. Десяток росіян, які нібито працювали в ГРУ, військовій розвідувальній службі Росії, були звинувачені у злому Демократичного національного комітету (DNC) та передачі документів організаціям, включаючи WikiLeaks, за яких було випущено понад 20 000 електронних листів.

Діючи під онлайновими персоналами, включаючи Guccifer 2.0, Fancy Bear та DCLeaks, обвинувачені хакери також порушили бази даних про реєстрацію виборців в Іллінойсі та Арізоні в серпні 2016 року та вкрали інформацію про понад 500 000 виборців. Подальші звіти ФБР та АНБ встановили, що хакери порушили програмне забезпечення для голосування у 39 штатах під час президентських виборів 2016 року. Заступник генерального прокурора США Род Розенштейн заявив у обвинуваченні російських хакерів, що "метою змови було вплинути на вибори".

Це були лише напади, які вражали перші два рівні виборчої інфраструктури. У соціальних мережах Росія, Іран та інші розв’язали ботів і фабрики тролів - включаючи підтримуване Росією Агентство Інтернет-досліджень (IRA) - що поширювали фальшиві новини та купували тисячі політичних оголошень у Facebook та Twitter, щоб впливати на думку виборців. Скандал Cambridge Analytica у Facebook, також пов’язаний із політичними партіями, а не з хакерами, також зіграв роль у тому, як платформи соціальних медіа вплинули на вибори 2016 року.

"Ми не відреагували швидко або досить сильно", - сказав Розенбах. Працюючи в Пентагоні, Розенбах також займав посаду заступника помічника міністра оборони у справах кіберзахисту з 2011 по 2014 рік та помічника міністра оборони з питань глобальної безпеки, що здійснював нагляд за кібербезпекою.

Зараз він є спів-директором Центру Белфер у Гарвардській школі Кеннеді та директором D3P. Він заснував його в минулому році разом з Меттом Роудсом, керівником кампанії Мітт Ромні під час виборів 2012 року, та Робі Муком, менеджером кампанії Хілларі Клінтон у 2016 році.

"Важливе, що потрібно зрозуміти з точки зору безпеки, це те, що сама кампанія ніколи не була зламана", - сказав Мук для PCMag. "Особисті облікові записи електронної пошти були зламані, і DNC був зламаний, але я думаю, що це важливе попередження для всіх, що ми дійсно повинні захистити всю екосистему. Супротивники збираються куди завгодно, щоб озброїти інформацію проти різних кандидатів".

Фішинг-атака, яка успішно зламала особистий обліковий запис голови голови DNC Джона Подести у 2016 році, дозволила Mook усвідомити, що не існує механізмів, як реагувати на атаку такого масштабу. У 2017 році він зв’язався з Роудесом, який мав справу з постійними спробами хакерських дій з боку китайських кібер-сил під час президентського бала Ромні. Основна ідея полягала в тому, щоб створити контрольний список дій, щоб запобігти подібним подвигам у майбутніх кампаніях, а також передбачити десь кампанії, коли вони будуть взломані.

Ці двоє зв’язалися з Розенбахом і працювали над тим, щоб видати книгу «Кібербезпека D3P». З тих пір вони співпрацювали над двома іншими книжками: одна для адміністраторів державних і місцевих виборів, і одна, яка описує службовців комунікацій щодо того, як протистояти дезінформації в Інтернеті. Вони також допомогли організувати та запустити міждержавні симуляції настільних.

Мук не хотів витрачати занадто багато часу на розмови про 2016 рік; Важливо не продовжувати переживати останній бій, коли можна буде готуватися до наступного, сказав він.

"Справа в тому, що ви просто не знаєте, чому або як хтось намагається увійти. Ви просто знаєте, що хтось зробить", - сказав Мук. "Найголовніше - подумати про те, що може бути далі. Які загрози ми ще не розглядали чи не бачили? Я думаю, що середньострокові перспективи потенційно можуть спричинити деякі нові вразливості, але я думаю, що це більше стосується розгляду системи як цілий і вигадуючи всі можливі шляхи, щоб хтось міг потрапити ».



Ландшафт зсувної загрози

Коли ми наближаємось до середньострокових 2018 року та стикаємося з довгим гаслом до президентських виборів у США 2020 року, ландшафт загрози переходить у фокус.

Хоча президент Трамп зменшив масштаби російського втручання, США вдарили по Росії нові санкції в березні. "Ми продовжуємо спостерігати загальнозмітну кампанію обміну повідомленнями з боку Росії, щоб спробувати послабити і розділити Сполучені Штати", - заявив директор Національної розвідки США Ден Коутс під час серпневого брифінгу.

Це сталося після того, як Microsoft у липні стримувала спробу хакерства, пов’язану з підробленими доменами, націленими на трьох кандидатів, які беруть участь у переобранні. За кілька тижнів до опублікування цієї історії російському громадянину було доручено контролювати зусилля щодо маніпулювання виборцями через Facebook та Twitter, щоб втручатися у середньострокові терміни. Олена Хусяйнова, громадянка Росії, названа в обвинувальному акті, нібито керувала фінансовими та соціальними операціями, пов'язаними з ІРА, маючи бюджет на суму понад 35 мільйонів доларів, який контролював російський олігарх та соратник Путіна Євген Пригожин.

Директори національної розвідки, департамент внутрішньої безпеки та ФБР оприлюднили спільну заяву, приурочену до обвинувального акту. У ньому йдеться про те, що, хоча поточних доказів компрометованої інфраструктури виборців у середньостроковій перспективі немає, "деякі штати та органи місцевого самоврядування повідомили про пом’якшені спроби доступу до своїх мереж", включаючи бази даних про реєстрацію виборців.

За останніми тижнями перед проміжними виборами, Кіберкомандування США навіть ідентифікує російських оперативних працівників, які контролюють рахунки тролів, та інформує їх, що США знають про їхню діяльність, намагаючись стримувати втручання виборів.

"Ми стурбовані поточними кампаніями Росії, Китаю та інших іноземних суб'єктів, включаючи Іран, щоб підірвати довіру до демократичних інститутів та вплинути на громадські настрої та політику уряду", - йдеться у повідомленні. "Ці заходи також можуть прагнути вплинути на сприйняття виборців та прийняття рішень на виборах у США 2018 та 2020 рр."

Шукаю шаблони

Під час моніторингу активності з боку іноземних супротивників та інших потенційних ворогів, фахівці шукають шаблони. Тоні Гідвані сказав, що це як вивчення радіолокаційного ряду всіх різних шкідливих об'єктів; Ви шукаєте індикатори раннього попередження, щоб зменшити ризик та забезпечити найслабші ланки у захисті.

Gidwani - директор відділу дослідницьких операцій фірми з кібербезпеки ThreatConnect. Вона провела останні три роки, очолюючи дослідження ThreatConnect щодо взлому DNC та російських впливів на президентські вибори в США; її команда пов’язала Guccifer 2.0 з Fancy Bear. Першу декаду своєї кар'єри Гідвані провела в DoD, де вона створила та керувала аналітичними групами в Агентстві оборонної розвідки.

"Вам потрібно тягнути струни на безлічі різних фронтів", - сказав Гідвані. "Fancy Bear працював безліччю різних каналів, щоб спробувати передати дані DNC у загальнодоступне надбання. Guccifer був одним із таких фронтів, DCLeaks - один, а WikiLeaks - фронт з найбільшим впливом".

Gidwani зірвав подвиги національних держав, які ми спостерігали в кількох різних заходах, які разом утворюють багатоступеневу кампанію втручання. Порушення даних, орієнтованих на кампанію, призвело до витоків стратегічних даних у критичні моменти виборчого циклу.

"Ми впевнені, що напевне фішинг та напади" посереднього "напевно. Ця інформація настільки вражаюча, коли вона потрапляє у загальнодоступне надбання, що, можливо, вам не знадобиться складне зловмисне програмне забезпечення, оскільки кампанії - це такі операції збору, приплив добровольців як цілі ", - пояснила вона. "Вам не потрібні вразливі місця з нульовим днем, якщо ваш підводний фішинг працює."

Атаки на проникнення до державних комітетів виборів - ще одне завдання, яке має на меті порушити ланцюг поставок машин для голосування та знищити впевненість у достовірності результатів виборів. Гідвані зазначив, що застарілий і фрагментарний характер голосової інфраструктури від державних до державних атак, таких як ін'єкції SQL, які, "ми сподіваємось, більше не повинні бути частиною книги з атаками", не тільки можливі, але й ефективні.

Ці операції значною мірою відрізняються від груп у Facebook та акаунтів тролів у Twitter, підданих ІРУ та іншими учасниками національних держав, включаючи Китай, Іран та Північну Корею. Зрештою, ці кампанії скоріше стосуються розбудови настрою та коливання виборців у політичному спектрі, посилення скоординованих витоків даних із політичними косами. Що стосується дезінформації, ми виявили лише верхівку айсберга.

"Одне з речей, яке робить вибори настільки складними, це те, що вони складаються з безлічі різноманітних фігур без жодного заінтересованого учасника", - сказав Гідвані. "Велике завдання, з яким ми боремося, - це принципово політичний питання, а не технічний. Платформи докладають зусиль, щоб зробити легальний вміст легшим для ідентифікації шляхом перевірки кандидатів. Але наскільки вірус може розповсюджувати цей тип контенту, це потребує нас поза світом інформаційної безпеки ".



Вставте нові отвори в стару машину

На самому фундаментальному рівні американська виборча інфраструктура - це печворк - сукупність застарілих і небезпечних машин для голосування, вразливих баз даних виборців, а також державних і місцевих веб-сайтів, яким іноді не вистачає навіть найпростішого шифрування та безпеки.

У відсталому вигляді, роздроблений характер загальнодержавної інфраструктури для голосування може зробити її менш привабливою ціллю, ніж експлуатація з більш широким впливом. Через застарілі та іноді аналогові технології в машинах для голосування та наскільки сильно кожна держава відрізняється від наступної, хакерам потрібно буде докладати значних зусиль у кожному конкретному випадку для компрометації кожної окремої локалізованої системи. До певної міри це неправильне уявлення, тому що хакерство штатів чи місцевої інфраструктури для голосування в ключовому районі розгортання може абсолютно вплинути на результат виборів.

Два виборчі цикли тому Джефф Вільямс консультувався з великим постачальником американської машини для голосування, якого він відмовився ідентифікувати. Його компанія зробила огляд коду вручну та перевірку безпеки машин для голосування, технології управління виборами та системи підрахунку голосів, і виявила низку вразливих місць.

Вільямс є співзасновником та співзасновником Contrast Security, а також одним із засновників Проекту безпеки відкритих веб-додатків (OWASP). Він сказав, що через архаїчний характер виборчого програмного забезпечення, яким у багатьох випадках керують місцеві дільниці, які часто приймають рішення про купівлю, базуючись більше на бюджеті, ніж на безпеці, технологія не змінила все настільки сильно.

"Справа не лише в машинах для голосування. Це все програмне забезпечення, яке ви використовуєте для встановлення виборів, керування ними та збору результатів", - сказав Вільямс. "Машини мають досить тривалий термін експлуатації, оскільки вони дорогі. Ми говоримо про мільйони рядків коду та багаторічну роботу, намагаючись переглянути його, з безпекою, складною для впровадження та недостатньо задокументованою. Це симптом набагато більшої проблеми - ніхто не має розуміння того, що відбувається в програмному забезпеченні, яке вони використовують ".

Вільямс сказав, що він також не дуже вірить у тестування та сертифікаційні процеси. Більшість державних і місцевих органів влади складають невеликі команди, які проводять тестування на проникнення, такий же вид тестування, який робив заголовки у Black Hat. Вільямс вважає, що це неправильний підхід, порівняно з вичерпним тестуванням якості програмного забезпечення. Зловмисні змагання, такі як у селі Голосування в DefCon, знаходять уразливості, але вони не розповідають вам про потенційні подвиги, які ви не знайшли.

Більш системною проблемою в цілому є те, що машини для голосування та програмне забезпечення для управління виборами сильно відрізняються від штату до штату. Є лише декілька великих постачальників, зареєстрованих для надання машин для голосування та сертифікованих систем голосування, які можуть бути паперовими виборчими бюлетенями, електронними системами голосування або їх комбінацією.

За даними неприбуткової організації «Перевірене голосування», 99 відсотків голосів Америки підраховуються комп'ютером у певній формі, або шляхом сканування різних типів паперових бюлетенів, або через прямий електронний запис. Підтверджений звіт про голосування за 2018 рік встановив, що 36 держав досі використовують обладнання для голосування, що виявилося незахищеним, а 31 штат використовуватиме електронні машини для прямого запису як мінімум для частини виборців.

Найбільш тривожно, п'ять штатів - штат Делавер, штат Джорджія, Луїзіана, Нью-Джерсі та Південна Кароліна - в даний час використовують електронні апарати прямого запису для голосування, не підтверджені аудитором. Отже, якщо в електронній системі змінюються підрахунки голосів, або через фізичну або віддалену хаку, у штатів може не бути можливості перевірити дійсні результати в процесі аудиту, де часто потрібна лише статистична вибірка голосів, а не повний перерахунок. .

"Немає коробки з підвішеними чадами для нас, щоб рахувати", - сказав Джоел Валленстром, генеральний директор програми зашифрованого повідомлення Wickr. "Якщо в середньостроковій перспективі є твердження, що результати не реальні, тому що росіяни щось зробили, як нам боротися з цим питанням дезінформації? Люди читають вибухові заголовки, і їхня довіра до системи ще більше розмивається".

Оновлення інфраструктури голосування за державою за допомогою сучасних технологій та безпеки не відбувається протягом середньострокових періодів і, швидше за все, не до 2020 року. Хоча штати, включаючи Західну Вірджинію, випробовують нові технології, такі як блокчейн для електронного запису голосів та аудиту, більшість дослідників та експерти з безпеки скажімо, що замість кращої системи найбільш безпечним методом перевірки голосів є паперовий слід.

"Дослідження паперового аудиту вже давно є загальнолюдським вигуком для спільноти безпеки, і в середньостроковій перспективі та, ймовірно, на президентських виборах вони будуть використовувати тонну машин, у яких цього немає", - сказав Вільямс. "Не гіперболою можна сказати, що це екзистенційна загроза демократії".

Один із штатів, який має паперовий аудиторський слід, - Нью-Йорк. Дебора Снайдер, головний державний директор з питань інформаційної безпеки, заявила PCMag на нещодавньому саміті Національного альянсу з кібербезпеки (NCSA), що Нью-Йорк не входить до числа 19 держав, за оцінками, 35 мільйонів записів виборців продаються в темній мережі. Однак загальнодоступні записи виборців штату Нью-Йорк нібито доступні безкоштовно на іншому форумі.

Держава регулярно проводить оцінку ризику своїх голосуючих машин та інфраструктури. Нью-Йорк також інвестував мільйони з 2017 року в місцеве виявлення вторгнень для покращення моніторингу та реагування на інциденти, як в межах штату, так і в координації з Центром обміну та аналізу інформації (ISAC), який співпрацює з іншими державами та приватним сектором.

"Ми перебуваємо на підвищеній обізнаності, яка веде до виборів", - сказав Снайдер. "У мене є команди на палубі з 6 ранку до дня до півночі в день виборів. Ми всі на палубі, від Нью-Йоркського центру розвідки до ISAC до місцевої та штатної виборчої комісії та мого офісу, ITS та відділ внутрішньої безпеки та надзвичайних ситуацій ".



Місцеві виборчі веб-сайти сидять качки

Останній і найчастіше не помічений аспект безпеки держави та місцевих виборів - це урядові веб-сайти, які розповідають громадянам, де і як голосувати. У деяких штатах існує надзвичайно мало узгодженості офіційних сайтів, у багатьох з яких відсутні навіть найосновніші сертифікати безпеки HTTPS, що підтверджує, що веб-сторінки захищені SSL-шифруванням.

Нещодавно компанія з кібербезпеки McAfee дослідила безпеку веб-сайтів окружних виборчих комісій у 20 штатах і виявила, що лише 30, 7 відсотків сайтів мають SSL для шифрування будь-якої інформації, яку виборця ділиться із веб-сайтом за замовчуванням. У штатах, включаючи Монтану, Техас та Західну Вірджинію, 10 відсотків сайтів чи менше є зашифрованими SSL. Дослідження Макфі встановило, що лише в Техасі 217 з 236 веб-сайтів виборів округу не використовують SSL.

Ви можете повідомити про зашифрований SSL сайт, шукаючи HTTPS в URL-адресі веб-сайту. Ви також можете побачити піктограму замка або ключа у своєму веб-переглядачі, а це означає, що ви безпечно спілкуєтесь із сайтом, за яким вони говорять. У червні Chrome від Google почав позначати всі незашифровані HTTP-сайти як "не захищені".

"Якщо у 2018 році не було SSL для підготовки до середніх термінів, це означає, що ці веб-сайти графств набагато більш вразливі до атак MiTM та фальсифікації даних", - сказав Стів Гробман. "Це часто старий незахищений варіант HTTP, який не перенаправляє вас на захищені сайти, і в багатьох випадках сайти надають сертифікати. Речі виглядають краще на рівні держави, де лише близько 11 відсотків сайтів незашифровані, але ці місцеві повітові майданчики абсолютно незахищені ».

Серед штатів, включених у дослідження МакАфі, лише в штаті Мен було понад 50 відсотків веб-сайтів для виборів округу з базовим шифруванням. У Нью-Йорку було лише 26, 7%, тоді як Каліфорнія та Флорида - близько 37%. Але відсутність базової безпеки - це лише половина історії. Дослідження Макфі також виявили майже відсутність послідовності в областях веб-сайтів виборів округу.

Шокуюче невеликий відсоток державних виборчих сайтів використовують перевірений урядом домен .gov, замість цього вибираючи загальні домени верхнього рівня (TLD), такі як .com, .us, .org або .net. У штаті Міннесота 95, 4 відсотка виборчих сайтів використовують недержавні домени, далі йдуть Техас на 95 відсотків та Мічиган з 91, 2 відсотка. Ця суперечливість майже не дозволяє черговому виборцеві визначити, які виборчі місця є легітимними.

У Техасі 74, 9 відсотка місцевих веб-сайтів з реєстрацією виборців використовують домен .us, 7, 7 відсотка використовують .com, 11, 1 відсотка використовують .org та 1, 7 відсотка використовують .net. Лише 4, 7 відсотка сайтів використовують домен .gov. Наприклад, у техаському окрузі Дентон, наприклад, веб-сайт виборів округу https://www.votedenton.com/, але McAfee виявив, що пов'язані веб-сайти, такі як www.vote-denton.com, доступні для придбання.

У подібних сценаріях зловмисникам навіть не потрібно зламати локальні веб-сайти. Вони можуть просто придбати подібний домен і надсилати фішинг-листи, які спрямовують людей зареєструватися для голосування через шахрайський сайт. Вони навіть можуть надати неправдиву інформацію про голосування або неправильні місця для голосування.

"Те, що ми бачимо в кібербезпеці загалом, - це те, що зловмисники будуть використовувати найпростіший механізм, ефективний для досягнення своїх цілей", - сказав Гробман. "Незважаючи на те, що можливо зламати машини для голосування, є багато практичних викликів для цього. Набагато простіше перейти до систем реєстрації виборців і баз даних або просто придбати веб-сайт. В деяких випадках ми виявили, що були подібні домени придбаний іншими сторонами. Це так просто, як знайти сторінку GoDaddy для продажу. "



Кампанії: переміщення фігур та легких цілей

Зазвичай хакерам потрібно більше зусиль, щоб проникнути в систему кожної округи чи штату, ніж піти за низько висячими фруктами, такими як кампанії, де тисячі тимчасових службовців заробляють для привабливих знаків. Як ми бачили у 2016 році, вплив порушень даних кампанії та витоків інформації може бути катастрофічним.

Зловмисники можуть проникати в кампанії різними способами, але найсильніша оборона - це просто переконатися, що основи заблоковані. Книга про кібербезпеку D3P Campaign не виявляє жодних новаторських тактик безпеки. По суті, це контрольний список, який вони можуть використовувати, щоб переконатися, що кожен працівник кампанії або волонтер перевіряється, і що кожен, хто працює з даними кампанії, використовує механізми захисту, такі як двофакторна автентифікація (2FA) та зашифровані сервіси обміну повідомленнями, такі як Signal або Wickr. Вони також повинні пройти навчання гігієні інформації для здорового глузду з усвідомленням способів визначення фішинг-схем.

Роббі Мук розповів про прості звички: скажімо, автоматично видаляючи електронні листи, які ви знаєте, що вам не знадобляться, адже завжди є ймовірність, що дані просочуться, якщо вони сидять навколо.

"Кампанія є цікавим прикладом, тому що у нас був той другий фактор у наших облікових записах та ділових правилах щодо зберігання даних та інформації в нашому домені", - пояснив Мук. "У поганих хлопців, як ми дізналися заднім числом, було багато співробітників, щоб переходити по фішинг-посиланнях, але ці спроби не були успішними, оскільки у нас були гарантії. Коли вони не змогли вступити таким чином, вони пішли навколо особисті рахунки людей ".

Захист кампанії складний: Є тисячі рухомих частин, і часто немає необхідного бюджету та досвіду для створення сучасних засобів захисту інформації з нуля. Технологічна галузь активізувалася на цьому фронті, колективно надаючи ряд безкоштовних інструментів для кампаній, що ведуть до середньострокових завдань.

Головоломка Alphabet забезпечує захист DDoS кампанії за допомогою Project Shield, а Google розширив свою розширену програму захисту облікових записів для захисту політичних кампаній. Microsoft пропонує політичним партіям безкоштовно виявити загрозу AccountGuard в Office 365, і цього літа компанія проводила семінари з кібербезпеки як з DNC, так і з RNC. McAfee дарує безкоштовному хмару McAfee для забезпечених виборів на рік перед виборчими посадами у всіх 50 штатах.

Інші хмаротехнологічні та охоронні компанії, зокрема Symantec, Cloudflare, Centrify та Akamai, надають подібні безкоштовні та знижені інструменти. Це все є частиною свого роду колективної PR-кампанії в галузі промисловості, докладаючи більш узгоджених зусиль для підвищення безпеки виборів, ніж Силіконова долина раніше.

Отримання кампаній на зашифрованих програмах

Наприклад, Віклер (більш-менш) надає кампаніям доступ до своєї послуги безкоштовно, а також працює безпосередньо з кампаніями та ДНК, щоб навчати працівників кампанії та будувати безпечні комунікаційні мережі.

Кількість кампаній, які використовують Wickr, втричі збільшилася з квітня, і більше половини кампаній Сенату та понад 70 політичних консалтингових команд використовували цю платформу станом на літо цього року, повідомляє компанія. Одра Грассія, політичне та урядове керівництво Віккара, впродовж останнього року проводило зусилля з політичними комітетами та кампаніями у Вашингтоні, округ Колумбія.

"Я думаю, що людям поза політикою важко зрозуміти, наскільки важко розгорнути рішення в декількох кампаніях на кожному рівні", - сказала Грассія. "Кожна кампанія - це власний окремий малий бізнес, котрий змінюється на два роки."

Окремі кампанії часто не мають фінансування для забезпечення кібербезпеки, але це роблять великі політичні комітети. Напередодні 2016 року, зокрема, DNC вклала значні кошти в кібербезпеку та подібний розвиток відносин із Силіконовою долиною. Зараз в комітеті є команда з технологій, що складається з 35 осіб, яку очолює новий офіційний директор Раффі Крикоріан, раніше Twitter і Uber. Новий головний керівник служби безпеки DNC, Боб Лорд, раніше був співробітником служби безпеки в Yahoo, який добре знайомий з боротьбою з катастрофічними хаками.

Команда Grassia безпосередньо співпрацює з DNC, допомагаючи розгорнути технологію Wickr та запропонувавши кампанії різного рівня підготовки. Wickr - один з провайдерів технологій, представлений на ринку технічних послуг DNC для кандидатів. "Рухомі частини в рамках кампанії дійсно приголомшливі", - сказав генеральний директор Wickr Джоел Валленстром.

Він пояснив, що кампанії не мають ні технічних знань, ні ресурсів, щоб інвестувати в корпоративну інформаційну безпеку або платити ціни в Силіконовій долині за таланти. Зашифровані програми, по суті, пропонують вбудовану інфраструктуру для переміщення всіх даних кампанії та внутрішніх комунікацій у безпечне середовище, не наймаючи дорогу консультаційну команду для їх налаштування. Це не всеохоплююче рішення, але, принаймні, зашифровані додатки можуть відновити основні вимоги кампанії відносно швидко.

У середньостроковій перспективі та на майбутніх виборах, за словами Робі Мука, ​​є кілька векторів атак, які його найбільше хвилюють. Один - DDoS-атаки на веб-сайти кампанії в критичні моменти, наприклад, під час виступу конвенції або первинного конкурсу, коли кандидати пропонують Інтернет-пожертви. Він також стурбований фальшивими сайтами, як один-два удари для крадіжки грошей.

"Ми мало бачили цього, але я думаю, що одне, що слід спостерігати, - це підроблені сайти для збору коштів, які можуть створити розгубленість і сумніви в процесі пожертвування", - сказав Мук. "Я думаю, що це може погіршитися, якщо соціальна інженерія намагається обманути працівників кампанії в проводці грошей або перерахуванні пожертв злодіям. Небезпека цього особливо велика, оскільки для супротивника це не тільки прибутково, але й відволікає кампанії від реальних. питання і тримає їх зосередженими на інтригах ".



Інформаційна війна для розуму виборців

Найскладнішими аспектами сучасної виборчої безпеки, яку не можна зрозуміти, не кажучи вже про захист, є кампанії дезінформації та соціального впливу. Це питання, яке розігрується найбільш публічно в Інтернеті, в Конгресі та на соціальних платформах, що лежать в основі головоломки, що загрожує демократії.

Підроблені новини та дезінформація, що поширюються з метою впливу на виборців, можуть мати різноманітні форми. У 2016 році він з’явився з мікронацілених політичних оголошень у соціальних мережах, з груп та фальшивих облікових записів, що поширювали неправдиві відомості про кандидатів, а також про витікаючі дані кампанії, стратегічно поширювані для інформаційної війни.

Марк Цукерберг, як відомо, через кілька днів після виборів фальшиві новини у Facebook, що впливають на вибори, були "досить божевільною ідеєю". Минув згубний рік скандалів з даними та прибутків, щоб Facebook потрапив туди, де він є зараз: масові очищення політичних спам-акаунтів, перевірка політичної реклами та встановлення проміжного виборчого «приміщення війни» як частини всебічної стратегії боротьби з виборами заплутатися

Twitter вжив подібних кроків, перевіряючи політичних кандидатів і розбираючи ботів і тролів, але дезінформація зберігається. Компанії чесно ставляться до того, що вони беруть участь у гонці озброєнь з кібер-ворогами з пошуку та видалення підроблених рахунків та висвітлення фальшивих новин. Щойно минулого тижня Facebook закрив іранську пропагандистську кампанію, що складається з 82 сторінок, груп та облікових записів.

Але алгоритми машинного навчання та модератори людини можуть зайти лише далеко. Поширення дезінформації через WhatsApp на президентських виборах у Бразилії - лише один із приклад того, наскільки потрібно зробити ще багато соціальних мереж.

Facebook, Twitter та технічні гіганти, такі як Apple, перейшли від мовчазного визнання ролі, яку вони відіграють на виборах, до прийняття відповідальності та намагаються виправити дуже складні проблеми, які вони допомогли створити. Але чи достатньо?

"Вплив виборів завжди був, але те, що ми спостерігаємо, - це новий рівень витонченості", - сказав Травіс Бро, доцент кафедри комп'ютерних наук Карнегі Меллон, дослідження якого стосується конфіденційності та безпеки.

Breaux сказав, що типи дезінформаційних кампаній, які ми спостерігаємо з боку Росії, Ірану та інших акторів національних держав, не так вже й відрізняються від репрезентаторів шпигунської книги, які використовуються десятиліттями. Він вказав на книгу 1983 року під назвою "КДБ і радянська дезінформація", написану екс-розвідником, яка розповідала про фінансові державні інформаційні кампанії "холодної війни", розроблені з метою введення в оману, заплутування чи розпалення іноземної думки. Російські хакери та ферми тролів роблять те саме, що сьогодні їх зусилля збільшуються експоненціально завдяки цифровим інструментам та доступності, яку вони надають. Twitter може миттю винести повідомлення на весь світ.

"Існує комбінація існуючих методів, як-от фальшиві акаунти, які зараз ми бачимо, як вони стають функціоналізованими", - сказав Бро. "Ми повинні швидко і зрозуміти, як виглядає справжня, довірена інформація".

Офіційний директор McAfee Стів Гробман вважає, що уряд повинен проводити кампанії з публічного обслуговування для підвищення обізнаності про неправдиву чи маніпуляційну інформацію. Він сказав, що одним з найбільших проблем у 2016 році було відверте припущення, що порушення даних має цілісність.

На пізніх етапах виборчого циклу, коли немає часу для незалежної перевірки достовірності інформації, інформаційна війна може бути особливо потужною.

"Коли електронні листи Джона Подести були опубліковані на WikiLeaks, преса робила припущення, що всі вони справді є повідомленнями Podesta", - сказав Гробман. PCMag не провів прямого розслідування справжності витікаючих електронних листів, проте деякі електронні листи від Podesta, підтверджені як неправдиві, все ще розповсюджувались недавно цієї осені, повідомляє FactCheck.org, проект, який закінчився Центром публічної політики в Анненберзі в університеті Пенсільванії.

"Однією з речей, про яку ми повинні просвітити громадськість, є те, що будь-яка інформація, яка виходить із порушення, може містити сфабриковані дані, переплетені з законними даними, щоб подавати будь-які розповіді противників, які ведуть вас до себе. Люди можуть вірити у щось сфабриковане, що впливає на їхній голос".

Це може поширюватися не лише на те, що ви бачите в Інтернеті та в соціальних мережах, але і на логістичні деталі щодо голосування у вашому районі. З огляду на суперечливість у чомусь такому принциповому, як домени веб-сайтів від однієї місцевої громади до другої, виборцям потрібен офіційний спосіб визначити, що реально.

"Уявіть, що хакери намагаються провести вибори до кандидата в певній сільській чи міській місцевості", - сказав Гробман. "Ви надсилаєте фішинг електронному листу всім виборцям, вказуючи, що через погоду вибори перенесли на 24 години або надаєте їм помилкове оновлене місце для виборчого дільниці".

Зрештою, виборці повинні відфільтрувати дезінформацію. Головний директор з питань інформаційної безпеки штату Нью-Йорк Дебора Снайдер сказала: "Не отримуйте своїх новин з Facebook, голосуйте про свій розум", і переконайтеся, що ваші факти надходять із перевірених джерел. Джокер Валленстром Віклер вважає, що виборцям потрібно зациклюватися на тому, що FUD буде дуже багато (страх, невпевненість та сумніви). Він також вважає, що вам слід просто вимкнути Twitter.

Робі Мук сказав, що чи маєте ви справу з кіберзлочинністю чи операціями воєнних даних, важливо пам’ятати, що інформація, яку ви бачите, створена для того, щоб ви думали та діяли певним чином. Не варто.

"Виборцям потрібно зробити крок назад і запитати себе, що для них важливо, а не те, що їм сказано", - сказав Мук. "Зосередьтеся на сутності кандидатів, на рішеннях цих державних чиновників та на тому, як ці рішення вплинуть на їхнє життя".



Киньте все, що ми отримали у 'Em. Виконайте це знову

Моделювання симуляції виборчої безпеки проекту "Захист цифрової демократії" розпочалося о 8 годині ранку в Кембриджі, штат Массачусетс. Як це було розпочато, учасники, які працювали у вигаданих штатах за шість-вісім місяців до дня виборів, на 10 хвилин заняття припадали на 20 днів. Зрештою, кожна хвилина відбувалася в режимі реального часу, коли всі відраховували час голосування.

Розенбах заявив, що він, Мук, і Роудс увійшли з 70 сторінками сценаріїв, у яких описується, як розіграються катастрофи на виборах, і вони кидають одна за одною державних чиновників, щоб подивитися, як вони реагують.

"Ми б сказали, ось ситуація. Ми щойно отримали новинну інформацію про російську інфопрограму, що здійснюється через боти Twitter", - сказав Розенбах. "Крім того, з цього виборчого місця надходять результати, що він відображається як закритий, але лише для афро-американських виборців. Тоді їм доведеться реагувати на це, в той же час 10 інших речей знижуються - дані реєстрації були зламані, інфраструктура голосування порушена, щось просочилося, і далі, і далі ".

Проект "Захист цифрової демократії" проводив дослідження в 28 штатах щодо демографії та різних типів обладнання для опитування, щоб скласти сценарій моделювання, і всім було відведено роль. Адміністратори виборів низького рівня повинні грати вищих посадових осіб вигаданої держави, і навпаки. Розенбах заявив, що державний секретар Західної Вірджинії Мак Уорнер хотів грати в опитувальника.

Ціль полягала в тому, щоб чиновники з усіх 38 держав залишали моделювання з планом відповідей у ​​своїх думках і задавали правильні питання, коли це дійсно має значення. Ми зашифрували це посилання? Чи безпечна база даних виборців? Ми заблокували, хто має фізичний доступ до дільниць перед день виборів?

Можливо, більш важливим побічним продуктом настільних вправ стало створення мережі виборчих службовців по всій країні для обміну інформацією та обміну найкращими практиками. Розенбах назвав це своєрідним "неофіційним ISAC", який залишається дуже активним, ведучи до середньострокових термінів, коли держави можуть ділитися типом атак та вразливості, які вони бачать.

Держави також проводять подібний вид навчання самостійно. У травні Нью-Йорк розпочав серію регіональних навчальних настанов у партнерстві з Міністерством внутрішньої безпеки, зосередивши увагу на готовності до кібербезпеки та реагуванні на загрозу.

NYS CISO Снайдер заявив, що Державна комісія з виборів проводила підготовку до виборів окружних комісій з питань виборів. Крім того, безкоштовні тренінги з питань кіберінформації, які надаються всім 140 000 державним працівникам, були також доступні для місцевих муніципалітетів, надаючи їм як спеціальні тренінги щодо виборів, так і загальні тренінги з питань кібербезпеки. Снайдер також сказала, що звернулася до інших держав, які зазнали порушень даних про виборців, щоб з’ясувати, що сталося і чому.

"Партнерство - це те, що змушує працювати в роботі з кібербезпекою. Відсутність обміну розвідувальною інформацією є тим, чому вона не працює", - сказав Снайдер. "Держави усвідомлюють, що кібер не може бути здійснено за допомогою силосів, і перевага цієї спільної інформаційної ситуації набагато перевершує збентеження розповіді про те, як вас зламали".

D3P надсилає команди по всій країні в середньостроковій перспективі спостерігати за виборами в десятках штатів і звітувати про покращення ігрових книжок та тренінгів проекту до 2020 року. Одне з думок багатьох джерел поділяється на те, що кібер-противники можуть не так сильно вдарити по США. в середньостроковій перспективі. Америка була спіймана повністю поза охороною під час виборів 2016 року, а 2018 рік покаже хакерам національних держав те, що ми маємо і чого не навчилися відтоді.

Кібервійна стосується не лише повних фронтальних нападів. Кампанії злому та дезінформації є більш прихованими, і вони покладаються на те, що вдарять вас саме тим, чого ви не очікуєте. Що стосується Росії, Ірану, Китаю, Північної Кореї та інших, то багато експертів з питань безпеки та зовнішньої політики побоюються, що в циклі президентської кампанії 2020 року відбудуться набагато більш руйнівні напади на вибори в США.

"Росіяни все ще активні, але я був би здивований, якби північні корейці, китайці та іранці не уважно стежили за тим, щоб побачити, що ми робимо в середньостроковій перспективі та заклали підпільну основу, як і будь-яка операція з кібер-розвідки", - сказав Розенбах.

Кібер-атаки, які ми бачимо в середньостроковій перспективі та в 2020 році, цілком можуть виходити з абсолютно нових векторів, яких не було в жодному з симуляцій; нове покоління подвигів і прийомів, з якими ніхто не очікував і не готовий зіткнутися. Але принаймні ми будемо знати, що вони приходять.