Di bawah serangan: bagaimana penggodaman pilihan raya mengancam pertengahan peringkat

Pada bulan Mac, para pegawai dari 38 buah negeri memasuki sebuah dewan persidangan di Cambridge, Massachusetts, untuk latihan simulasi pilihan raya dua hari yang dijalankan seperti permainan perang.

Lebih daripada 120 pegawai pilihan raya negeri dan tempatan, pengarah komunikasi, pengurus IT, dan setiausaha negara berlatih mengetengahkan bencana keselamatan yang boleh berlaku pada Hari Pemilihan yang terburuk.

Senaman tablet bermula setiap bulan simulasi sebelum pilihan raya separuh akhir Nov. 6, mempercepatkan garis masa sehingga keadaan menentang serangan dalam masa sebenar ketika pengundi pergi ke pemilihan. Dianjurkan oleh projek Demokrasi Digital Membela (D3P) di Harvard, usaha kedua-dua pihak untuk melindungi proses demokrasi dari serangan siber dan maklumat, latihan memaksa para peserta untuk bertindak balas terhadap satu senario mimpi ngeri selepas mesin pengundian lain dan kerahsiaan pengundi database, penyebaran penyebaran perkhidmatan (DDoS) menyerang laman web, membocorkan maklumat palsu tentang calon, maklumat pengundian palsu yang disebarkan untuk menyekat undi, dan kempen media sosial yang diselaraskan oleh penyerang negara-negara untuk menyuarakan ketidakpercayaan.

Sebagaimana yang kita lihat dalam pemilihan baru-baru ini di seluruh dunia, pelbagai serangan sering berlaku serentak.

"Fikirkan tentang penyangkalan serangan perkhidmatan dan taktik jenis phishing dan malware yang biasa akan digunakan semasa pilihan raya, " kata Eric Rosenbach, pengarah D3P dan ketua kakitangan kepada Setiausaha Pertahanan AS Ashton Carter dari 2015 hingga 2017.

"Bahagian yang paling saya bimbang dengan DDoS adalah serangan ke atas laman web yang mengumumkan keputusan yang digabungkan dengan high-end. Lihatlah apa yang berlaku di Ukraine pada tahun 2014. Rusia DDoSed laman web Ukraine telah menggunakan untuk mengumumkan keputusan pilihan raya, kemudian mengarahkan semua orang kembali ke Rusia Today dan menimbulkan keputusan palsu. Orang Ukrain ditinggalkan keliru tentang siapa yang sebenarnya dipilih sebagai presiden."

Memahami keselamatan pilihan raya moden bermaksud mengatasi realiti yang menakutkan: terutamanya di Amerika Syarikat, infrastruktur terlalu berpecah, ketinggalan zaman, dan terdedah sepenuhnya. Terdapat juga banyak jenis serangan yang berlainan di lanskap ancaman untuk menghalang mereka semua.

PCMag bercakap dengan pegawai kerajaan, koperasi politik, ahli akademik, syarikat teknologi, dan penyelidik keselamatan mengenai realiti keselamatan pilihan raya pada tahun 2018. Di kedua-dua belah lorong politik, di setiap peringkat kerajaan, dan di seluruh industri teknologi, Amerika Syarikat sedang bergumul dengan ancaman keselamatan siber asas untuk pemilihan kita. Kami juga merancang bagaimana untuk bertindak apabila keadaan menjadi tidak baik, semasa pilihan raya midterm yang penting dan pada pilihan raya umum 2020.

Melindungi 'Permukaan Serangan'

Dalam keselamatan siber, semua sistem dan peranti yang terdedah yang boleh diserang disebut "permukaan serangan." Serangan permukaan pilihan raya AS sangat besar dan boleh dibahagikan kepada tiga tahap utama.

Yang pertama adalah infrastruktur mengundi; fikirkan mesin pengundi, pangkalan pendaftaran pendaftaran, dan semua laman web kerajaan negeri dan tempatan yang memberitahu orang di mana dan bagaimana untuk mengundi.

Kemudian ada tahap keselamatan kempen. Seperti yang ditunjukkan pada 2016, kempen adalah sasaran mudah untuk penggodam. Data kempen yang dicuri kemudiannya boleh digunakan sebagai senjata yang kuat untuk tahap serangan ketiga yang lebih keterlaluan: dunia jahat maklumat yang disalahgunakan dan kempen pengaruh sosial. Di hadapan ini, tentara troll pelaku negara bangsa terus beroperasi di seluruh web dan menyerang platform media sosial, yang telah menjadi polarisasi medan pertempuran persepsi pemilih.

Cuba untuk menyelesaikan pelbagai isu sistemik yang melanda setiap tahap ini sering membawa kepada lebih banyak soalan daripada jawapan. Sebaliknya, banyak strategi untuk mengurangkan risiko keselamatan pilihan raya datang ke akal sama: pengundian kertas dan pengauditan mengundi; memberikan kerajaan dan kerajaan tempatan lebih banyak sumber; dan menyediakan peralatan dan latihan keselamatan untuk kempen dan pegawai pilihan raya.

Beberapa soalan yang lebih rumit dan memecah belah, untuk pentadbir pilihan raya dan pekerja kempen serta pengundi: Bagaimana anda menghampiri proses pemilihan di era media sosial yang penuh dengan maklumat salah dalam talian? Dan apabila anda mempunyai keraguan tentang semua maklumat digital yang terdapat di skrin anda, apa yang harus anda percaya?

Apa yang Kita Belajar Daripada 2016

Sebarang perbualan tentang keselamatan pilihan raya AS pada pertengahan tahun 2018 dan akhirnya dapat kembali ke pilihan raya presiden 2016. Sebelum perlumbaan itu, kita telah melihat serangan siber yang diarahkan pada kempen dan pilihan raya sejak pertengahan 2000-an, tetapi tidak pernah sebelum itu pada skala itu.

"Pada masa itu, tiada siapa yang pernah melihat apa-apa seperti ini sebelum ini. Ini mengejutkan untuk berfikir bahawa Rusia akan menjadi kurang ajar untuk mengganggu demokrasi kita dan mempengaruhinya memihak kepada calon tertentu, " kata Rosenbach, yang bersaksi sebelum Kongres pada bulan Mac atas gangguan Rusia pada pilihan raya 2016. "Saya telah bekerja di keselamatan negara selama 20 tahun sekarang, dan ini adalah masalah yang paling rumit dan sukar yang pernah saya hadapi."

Pada ketika ini, fakta-fakta yang jelas. Sejumlah Rusia yang dikatakan bekerja untuk GRU, perkhidmatan perisikan tentera Rusia, didakwa kerana menggodam Jawatankuasa Nasional Demokratik (DNC) dan membocorkan dokumen kepada organisasi termasuk WikiLeaks, yang melancarkan lebih dari 20, 000 e-mel.

Beroperasi di bawah talian dalam talian termasuk Guccifer 2.0, Fancy Bear, dan DCLeaks, penggodam yang didakwa juga melanggar pangkalan pendaftaran pendaftaran di Illinois dan Arizona pada bulan Ogos 2016 dan mencuri maklumat mengenai lebih 500, 000 pengundi. Laporan FBI dan NSA yang berikutnya mendapati bahawa penggodam menjejaskan perisian pengundian di 39 negeri semasa pilihan raya presiden 2016. Timbalan Peguam Negara AS Rod Rosenstein berkata dalam dakwaan penggodam Rusia bahawa "matlamat konspirasi itu akan memberi kesan kepada pilihan raya."

Mereka hanya serangan yang memukul dua peringkat pertama infrastruktur pilihan raya. Di media sosial, Rusia, Iran, dan lain-lain melepaskan bot dan kilang troll-termasuk Agensi Penyelidikan Internet (IRA) yang disokong oleh Rusia - yang menyebarkan berita palsu dan membeli ribuan iklan politik di Facebook dan Twitter untuk mempengaruhi pendapat pemilih. Semasa dikaitkan dengan parti-parti politik bukan penggodam luar, skandal Facebook dari Cambridge Analytica juga memainkan peranan dalam bagaimana platform media sosial mempengaruhi pilihan raya 2016.

"Kami tidak bertindak dengan pantas atau cukup kuat, " kata Rosenbach. Semasa bekerja di Pentagon, Rosenbach juga berkhidmat sebagai Timbalan Penolong Setiausaha Pertahanan untuk Cyber ​​dari 2011 hingga 2014, dan Penolong Setiausaha Pertahanan untuk Global Security menyelia keselamatan siber.

Dia kini pengarah bersama Pusat Belfer di Sekolah Kennedy Harvard dan pengarah D3P. Dia mengasaskannya tahun lalu bersama Matt Rhoades, pengurus kempen Mitt Romney semasa pemilihan 2012, dan pengurus kempen Hillary Clinton Robby Mook pada 2016.

"Satu perkara penting untuk difahami dari sudut keselamatan ialah kempen itu sendiri tidak pernah digodam, " kata Mook kepada PCMag. "Akaun e-mel peribadi telah digodam, dan DNC telah digodam, tetapi saya fikir ia merupakan amaran penting kepada semua orang yang kita benar-benar perlu untuk menjamin keseluruhan ekosistem itu. Para musuh akan pergi ke mana sahaja mereka dapat menangkap maklumat terhadap calon berlainan."

Serangan phishing yang berjaya menggodam akaun Pengerusi DNC John Podesta pada Gmail pada 2016 dengan meninggalkan Mook dengan kesedaran bahawa tidak ada mekanisme untuk bertindak balas terhadap serangan magnitud ini. Pada tahun 2017, beliau berhubung dengan Rhoades, yang telah melakukan percubaan penggodam secara berterusan oleh pasukan siber Cina semasa menjalankan presiden Romney. Idea asas adalah untuk membuat senarai semak perkara yang perlu dilakukan untuk mencegah eksploit seperti ini dalam kempen masa depan dan untuk menyediakan tempat untuk kempen untuk pergi apabila mereka digodam.

Kedua-dua dikaitkan dengan Rosenbach dan bekerja untuk menerbitkan Playbook Kempen Keselamatan Siber D3P. Mereka telah berkolaborasi pada dua buku kecil lain: satu untuk pentadbir pilihan raya negeri dan tempatan, dan seorang pegawai komunikasi yang prima mengenai bagaimana untuk mengatasi maklumat salah dalam talian. Mereka juga membantu mengatur dan menjalankan simulasi tablet antara negeri.

Mook tidak mahu menghabiskan banyak masa bercakap tentang 2016; adalah penting untuk tidak menghidupkan semula pertempuran terakhir apabila anda boleh bersiap sedia untuk yang akan datang, katanya.

"Hakikatnya, anda tidak tahu mengapa atau bagaimana seseorang cuba masuk. Anda hanya tahu bahawa seseorang akan, " kata Mook. "Perkara yang paling penting adalah untuk memikirkan apa yang boleh menjadi berikut. Apakah ancaman yang belum kita pertimbangkan atau dilihat? Saya fikir tengah-tengah akan berpotensi menimbulkan beberapa kelemahan baru, tetapi saya fikir ia lebih kepada melihat sistem sebagai keseluruhannya dan memikirkan setiap cara yang mungkin seseorang dapat masuk."



Lanskap Ancaman Peralihan

Ketika kita menghampiri pertengahan tahun 2018 dan menghadapi slog yang panjang hingga pilihan raya presiden AS 2020, landskap ancaman akan menjadi tumpuan.

Walaupun Presiden Trump telah menurunkan sejauh mana gangguan Rusia, AS melanda Rusia dengan sekatan baru pada bulan Mac. "Kami terus melihat kempen pemesejan yang meluas oleh Rusia untuk cuba melemahkan dan membahagikan Amerika Syarikat, " kata Pengarah Perisikan Negara Dan Coats AS semasa taklimat pada bulan Ogos.

Itu yang berlaku selepas Microsoft pada bulan Julai meniup percubaan penggodaman yang melibatkan domain palsu yang mensasarkan tiga calon yang dilantik untuk dipilih semula. Beberapa minggu sebelum kisah ini diterbitkan, seorang warga Rusia didakwa mengawasi usaha untuk memanipulasi pengundi melalui Facebook dan Twitter untuk mengganggu pertengahan. Elena Khusyaynova, seorang warganegara Rusia yang dinamakan dalam dakwaan itu, didakwa menguruskan operasi kewangan dan sosial yang bergabung dengan IRA, dengan menggunakan anggaran lebih daripada $ 35 juta yang dibiayai oligarki Rusia dan sekutu Putin Yevgeny Prigozhin.

Para Pengarah Perisikan Negara, Jabatan Keselamatan Dalam Negeri, dan FBI mengeluarkan kenyataan bersama dengan dakwaan tersebut. Ia menyatakan bahawa walaupun tidak ada bukti terkini mengenai infrastruktur pengundian yang dicemari di pertengahan, "sesetengah kerajaan negeri dan tempatan telah melaporkan usaha untuk mengurangkan akses rangkaian mereka, " termasuk pangkalan pendaftaran pemilih.

Pada minggu-minggu akhir sebelum pilihan raya pertengahan, Komando Cyber ​​AS dilaporkan juga mengenal pasti pengendali Rusia dalam mengawal akaun troll dan memaklumkan kepada mereka bahawa AS menyedari aktiviti mereka dalam usaha untuk mencegah campur tangan pilihan raya.

"Kami prihatin terhadap kempen yang sedang berlangsung oleh Rusia, China, dan pelaku asing yang lain, termasuk Iran, untuk melemahkan keyakinan terhadap institusi demokrasi dan mempengaruhi sentimen awam dan dasar kerajaan, " kata kenyataan itu. "Kegiatan ini juga boleh mempengaruhi pengaruh pemilih dan pengambilan keputusan dalam pemilihan tahun 2018 dan 2020 AS."

Mencari Corak

Apabila memantau aktiviti daripada musuh-musuh asing dan musuh-musuh siber berpotensi lain, para pakar mencari corak. Toni Gidwani berkata ia seperti mengkaji pelbagai radar semua entiti berniat jahat yang berbeza di luar sana; anda mencari petunjuk amaran awal untuk mengurangkan risiko dan menjamin hubungan paling lemah dalam pertahanan anda.

Gidwani adalah Pengarah Operasi Penyelidikan di firma keselamatan siber ThreatConnect. Dia telah menghabiskan tiga tahun lepas menerajui penyelidikan ThreatConnect ke dalam hack DNC dan operasi pengaruh Rusia pada pilihan raya presiden AS 2016; pasukannya mengaitkan Guccifer 2.0 ke Fancy Bear. Gidwani menghabiskan dekad pertama kerjayanya di DoD, di mana dia membina dan mengetuai pasukan analisis di Agensi Perisikan Pertahanan.

"Anda perlu menarik rentetan pada pelbagai bidang yang berbeza, " kata Gidwani. "Fancy Bear bekerja banyak saluran yang berbeza untuk cuba mendapatkan data DNC ke dalam domain awam. Guccifer adalah salah satu daripada bahagian depan, DCLeaks adalah satu, dan WikiLeaks adalah front-impact yang paling tinggi."

Gidwani memecah eksploitasi negara-negara kita telah melihat ke dalam beberapa aktiviti yang berbeza yang bersama-sama membentuk kempen gangguan pelbagai peringkat. Pelanggaran data yang berfokus pada kempen membawa kepada kebocoran data strategik pada saat-saat kritikal dalam kitaran pilihan raya.

"Pada kami khawatir tentang serangan tombak-phishing dan serangan man-in-the-middle pasti.Itu maklumat sangat memberi kesan apabila mendapat dalam domain awam yang anda mungkin tidak memerlukan malware canggih, kerana kempen adalah operasi pickup seperti itu, dengan kemasukan sukarelawan sebagai sasaran, "jelasnya. "Anda tidak memerlukan kelemahan sifar hari jika serangan phishing anda berfungsi."

Serangan penembakan pada papan pemilihan negara adalah cabang lain yang dimaksudkan untuk mengganggu rantai suplai mesin pengundian dan mengikis keyakinan terhadap kesahihan hasil pemilihan. Gidwani berkata sifat yang ketinggalan dan berpecah daripada infrastruktur mengundi dari negeri ke negeri membuat serangan seperti suntikan SQL, yang "kami berharap tidak boleh menjadi sebahagian daripada buku mainan serangan lagi, " bukan sahaja mungkin tetapi juga berkesan.

Operasi tersebut sebahagian besarnya berbeza dari kumpulan Facebook dan akaun troll Twitter yang dipancarkan oleh IRA dan pelakon negara-negara lain, termasuk China, Iran, dan Korea Utara. Pada akhirnya, kempen-kempen tersebut lebih banyak mengenai menggerakkan sentimen dan menggerakkan pengundi merentasi spektrum politik, menguatkan kebocoran data yang diselaraskan dengan slant politik. Apabila ia datang kepada maklumat yang salah, kami hanya melihat hujung gunung batu itu.

"Salah satu perkara yang membuat pilihan raya sangat mencabar adalah mereka terdiri daripada banyak bahagian yang berbeza dengan tiada pemegang kepentingan tunggal, " kata Gidwani. "Cabaran besar yang kami bergumul adalah pada dasarnya satu soalan politik, bukan teknikal. Platform adalah usaha untuk menjadikan kandungan yang sah lebih mudah dikenalpasti dengan mengesahkan calon. Tetapi dengan cara ini jenis ini dapat menyebar, kami di luar dunia keselamatan maklumat."



Memasang Lubang Baru di Mesin Lama

Di peringkat paling asasnya, infrastruktur pilihan raya Amerika adalah patchwork - mesin pengundian yang lama dan tidak selamat, pangkalan data pemilih yang terdedah, dan laman web negeri dan tempatan yang kadang-kadang kekurangan enkripsi dan keselamatan yang paling asas.

Dalam cara yang mundur, sifat pemisahan infrastruktur mengundi seluruh negara dapat menjadikan sasaran yang kurang menarik daripada eksploitasi dengan kesan yang lebih meluas. Kerana teknologi lama yang sudah lama dan analog dalam mesin mengundi dan betapa jauhnya keadaan masing-masing berbeza dari yang berikutnya, penggodam perlu membelanjakan usaha yang ketara dalam setiap kes untuk mengompromi setiap sistem setempat individu. Itulah salah tanggapan kepada beberapa tahap, kerana penggodaman negeri atau infrastruktur pengundian tempatan di daerah ayunan utama boleh memberi kesan kepada keputusan pilihan raya.

Dua pusingan pilihan raya yang lalu, Jeff Williams merujuk kepada vendor mesin pengundi AS utama, yang beliau enggan dikenali. Syarikatnya melakukan semakan kod manual dan ujian keselamatan mesin pengundian, teknologi pengurusan pilihan raya, dan sistem pengiraan undi, dan mendapati kelemahan kerentanan.

Williams adalah CTO dan pengasas bersama Keselamatan Kontras, dan salah satu pengasas Projek Keselamatan Aplikasi Terbuka Web (OWASP). Beliau berkata kerana sifat perisian pemilihan yang kuno, yang diuruskan dalam banyak kes oleh daerah setempat yang sering membuat keputusan pembelian lebih berdasarkan belanjawan daripada keselamatan, teknologi itu tidak berubah begitu banyak.

"Ia bukan hanya mengenai mesin pengundi. Ini semua perisian yang anda gunakan untuk menubuhkan pilihan raya, menguruskannya, dan mengumpul hasil, " kata Williams. "Mesin-mesin ini mempunyai jangka hayat yang cukup lama kerana mereka mahal. Kami bercakap tentang berjuta-juta baris kod dan kerja bertahun-tahun yang cuba mengkaji semula, dengan keselamatan yang rumit untuk dilaksanakan dan tidak didokumentasikan dengan baik. gejala masalah yang jauh lebih besar-tiada siapa yang mengetahui apa yang sedang berlaku dalam perisian yang mereka gunakan."

Williams berkata beliau tidak mempunyai banyak kepercayaan dalam proses ujian dan pensijilan sama ada. Kebanyakan kerajaan negeri dan tempatan menyusun pasukan kecil yang melakukan ujian penembusan, jenis ujian yang sama yang menjadi tajuk utama di Black Hat. Williams percaya pendekatan itu salah, berbanding ujian jaminan kualiti perisian yang lengkap. Mengawal peraduan seperti yang terdapat di Village Voting di DefCon mencari kelemahan, tetapi mereka tidak memberitahu anda semua mengenai potensi eksploitasi yang anda tidak dapati.

Isu yang lebih sistematik di seluruh negara ialah mesin pengundian dan perisian pengurusan pilihan raya secara besar-besaran dari negeri ke negara. Terdapat hanya segelintir vendor utama yang didaftarkan untuk menyediakan mesin pengundi dan sistem pengundian yang disahkan, yang boleh menjadi sistem undi kertas, sistem pengundian elektronik, atau gabungan kedua-dua.

Mengikut undi organisasi Undian Disahkan, 99 peratus undi Amerika dikira oleh komputer dalam bentuk tertentu, sama ada dengan mengimbas pelbagai jenis kertas kertas atau melalui entri elektronik secara langsung. Laporan Undian Pengesahan yang disahkan oleh 2018 mendapati bahawa 36 buah negara masih menggunakan peralatan mengundi yang terbukti tidak selamat, dan 31 buah negara akan menggunakan mesin pengundian elektronik rakaman secara langsung untuk sekurang-kurangnya sebahagian pengundi.

Yang paling membimbangkan, lima negeri-Delaware, Georgia, Louisiana, New Jersey, dan South Carolina-kini menggunakan mesin pengundian elektronik rakaman terus tanpa jejak audit kertas yang disahkan pengundi. Jadi jika undi undi diubah dalam sistem elektronik, sama ada melalui hack fizikal atau jauh, negara-negara mungkin tidak dapat mengesahkan hasil yang sah dalam proses audit yang sering kali hanya mengambil sampel persampelan statistik, dan bukannya menceritakan sepenuhnya.

"Tidak ada satu kotak gantung gantung yang boleh dikira, " kata Joel Wallenstrom, Ketua Pegawai Eksekutif aplikasi pesanan Wickr yang disulitkan. "Sekiranya terdapat tuntutan di peringkat pertengahan bahawa hasilnya tidak benar kerana Rusia melakukan sesuatu, bagaimana kita menangani masalah maklumat yang salah? Orang membaca tajuk utama, dan kepercayaan mereka terhadap sistem semakin teruk."

Meningkatkan infrastruktur pengundian mengikut negeri dengan teknologi dan keselamatan moden tidak berlaku untuk pertengahan dan mungkin tidak sebelum tahun 2020. Walaupun negara-negara termasuk West Virginia sedang menguji teknologi baru seperti blockchain untuk rakaman suara elektronik dan pengauditan, kebanyakan penyelidik dan pakar keselamatan mengatakan bahawa sebagai ganti sistem yang lebih baik, kaedah pengesahan yang paling selamat adalah jejak kertas.

"Laluan audit kertas telah menjadi jeritan perhimpunan bagi komuniti keselamatan untuk jangka masa yang panjang, dan pada pertengahan dan mungkin pilihan raya presiden mereka akan menggunakan satu tan mesin yang tidak mempunyai itu, " kata Williams. "Bukan hyperbole untuk mengatakan ini adalah ancaman eksperimen kepada demokrasi."

Salah satu negeri yang mempunyai jejak audit kertas adalah New York. Deborah Snyder, ketua Pegawai Keselamatan Maklumat negeri memberitahu PCMag pada sidang kemuncak Perikatan Keselamatan Siber Nasional (NCSA) baru-baru ini bahawa New York bukanlah antara 19 negeri yang dianggarkan 35 juta rekod pemilih akan dijual di laman web gelap. Walau bagaimanapun, rekod pengundi Negeri New York boleh didapati secara percuma di forum lain.

Negeri menjalankan penilaian risiko secara berkala terhadap mesin dan infrastruktur mengundi. New York juga telah melabur berjuta-juta sejak 2017 dalam pengesanan pencerobohan tempatan untuk meningkatkan pemantauan dan tindak balas kejadian, baik di dalam negeri dan dalam penyelarasan dengan Pusat Perkongsian dan Analisis Maklumat (ISAC), yang bermitra dengan negara-negara lain dan sektor swasta.

"Kami sedang meningkatkan kesedaran yang membawa kepada dan melalui pilihan raya, " kata Snyder. "Saya mempunyai pasukan di geladak dari pukul 6 pagi sehari hingga tengah malam pada Hari Pemilihan. Kita semua berada di atas dek, dari Pusat Perisikan Negeri New York ke ISAC ke Dewan Pemilihan dan tempatan, pejabat saya, ITS dan Bahagian Keselamatan Dalam Negeri dan Perkhidmatan Kecemasan."



Laman Web Pilihan Raya Tempatan Adakah Itik Duduk

Aspek terakhir dan paling sering diabaikan mengenai keselamatan pilihan raya negeri dan tempatan adalah laman web kerajaan memberitahu rakyat di mana dan bagaimana untuk mengundi. Di sesetengah negeri, ada sedikit konsistensi yang teruk di antara laman web rasmi, yang kebanyakannya tidak mempunyai sijil keselamatan HTTPS yang paling asas, yang mengesahkan bahawa laman web dilindungi dengan penyulitan SSL.

Syarikat keselamatan siber McAfee baru-baru ini meninjau keselamatan laman web lembaga pemilihan daerah di 20 negeri dan mendapati bahawa hanya 30.7 peratus laman web yang mempunyai SSL untuk menyulitkan maklumat apa-apa saham pengundi dengan laman web secara lalai. Di negeri-negeri termasuk Montana, Texas, dan West Virginia, 10 peratus daripada tapak atau yang lebih sedikit adalah yang disulitkan SSL. Penyelidikan McAfee mendapati bahawa di Texas sahaja, 217 daripada 236 laman web pemilihan daerah tidak menggunakan SSL.

Anda boleh memberitahu tapak yang disulitkan SSL dengan mencari HTTPS di URL laman web. Anda juga boleh melihat kunci atau ikon utama dalam penyemak imbas anda, yang bermaksud anda berkomunikasi dengan selamat dengan tapak yang mereka katakan mereka. Pada bulan Jun, Google Chrome memulakan penandaan semua laman HTTP yang tidak disenarai sebagai "tidak terjamin."

"Tidak mempunyai SSL pada tahun 2018 sebagai persediaan untuk pertengahan tahun ini bermakna laman-laman web daerah ini jauh lebih terdedah kepada serangan MiTM dan data yang merosakkan" kata McAfee CTO Steve Grobman. "Ini selalunya varian HTTP yang tidak selamat lama yang tidak mengalihkan anda ke laman web selamat, dan dalam banyak kes, laman web akan berkongsi sijil. Perkara yang kelihatan lebih baik di peringkat negeri, di mana hanya sekitar 11 peratus tapak tidak terenkripsi, tetapi ini laman web tempatan setempat tidak semestinya selamat."

Daripada negeri-negeri yang termasuk dalam penyelidikan McAfee, hanya Maine mempunyai lebih daripada 50 peratus laman web pemilihan daerah dengan penyulitan asas. New York hanya 26.7 peratus manakala California dan Florida adalah sekitar 37 peratus. Tetapi kekurangan keselamatan asas hanya setengah cerita. Penyelidikan McAfee juga mendapati hampir tidak konsisten dalam domain laman web pemilihan daerah.

Peratusan tapak pemilihan negeri yang mengejutkan kecil menggunakan domain.gov yang disahkan kerajaan, sebaliknya memilih domain peringkat teratas yang sama (TLDs) seperti.com,.us,.org, atau.net. Di Minnesota, 95.4 peratus tapak pemilihan menggunakan domain bukan kerajaan, diikuti oleh Texas pada 95 peratus dan Michigan pada 91.2 peratus. Ketidakkonsistenan ini menjadikannya hampir mustahil bagi seorang pengundi biasa untuk melihat mana laman pilihan raya adalah sah.

Di Texas, 74.9 peratus laman web pengundi tempatan menggunakan domain.us, 7.7 peratus menggunakan.com, 11.1 peratus menggunakan.org, dan 1.7 peratus menggunakan.net. Hanya 4.7 peratus daripada laman web menggunakan domain.gov. Di daerah Denton Texas, sebagai contoh, laman web pilihan raya daerah adalah https://www.votedenton.com/, tetapi McAfee mendapati bahawa laman web yang berkaitan seperti www.vote-denton.com boleh dibeli.

Dalam senario seperti ini, penyerang tidak perlu mencuba laman web tempatan. Mereka hanya boleh membeli domain yang serupa dan menghantar e-mel phishing yang mengarahkan orang untuk mendaftar untuk mengundi melalui laman penipuan. Mereka juga boleh memberikan maklumat pengundian palsu atau lokasi pengundian yang salah.

"Apa yang kita lihat dalam keselamatan siber secara amnya ialah penyerang akan menggunakan mekanisme mudah yang berkesan untuk mencapai matlamat mereka, " kata Grobman. "Walaupun mungkin untuk menggodam mesin pengundi itu sendiri, terdapat banyak cabaran praktikal untuk itu.Ia lebih mudah untuk pergi selepas sistem pendaftaran dan pangkalan pendaftaran atau hanya membeli laman web.Dalam beberapa kes, kami mendapati ada domain yang sama dibeli oleh pihak lain, semudah mencari halaman jualan GoDaddy."



Kempen: Memindahkan Pieces dan Sasaran Mudah

Ia biasanya memerlukan lebih banyak usaha untuk penggodam untuk menyusup ke setiap daerah atau sistem negara daripada untuk mengejar buah yang menggantung rendah seperti kempen, di mana beribu-ribu pekerja sementara membuat markah menarik. Seperti yang kita lihat pada tahun 2016, kesan pelanggaran data kempen dan kebocoran maklumat boleh menjadi bencana.

Penyerang boleh menembusi kempen dalam beberapa cara yang berbeza, tetapi pertahanan terkuat hanya memastikan dasar-dasar terkunci. Playbook Cybersecurity Campaign The D3P tidak mendedahkan sebarang taktik keselamatan terobosan. Ia semestinya senarai semak yang boleh digunakan untuk memastikan setiap pekerja kempen atau sukarelawan diselidiki, dan sesiapa yang bekerja dengan data kempen menggunakan mekanisme perlindungan seperti pengesahan dua faktor (2FA) dan perkhidmatan mesej yang disulitkan seperti Isyarat atau Wickr. Mereka juga perlu dilatih dalam kebersihan maklumat akal umum dengan kesedaran bagaimana untuk melihat skim pancingan data.

Robby Mook bercakap tentang tabiat mudah: katakan, secara automatik memotong e-mel yang anda tahu anda tidak perlu, kerana selalu ada kemungkinan data akan bocor jika ia duduk di sekeliling.

"Kempen ini merupakan contoh yang menarik, kerana kami mempunyai faktor kedua pada akaun kempen dan peraturan perniagaan kami mengenai penyimpanan data dan maklumat dalam domain kami, " jelas Mook. "Orang-orang jahat, kami belajar dengan teliti, mendapat banyak kakitangan untuk mengklik pautan phishing, tetapi percubaan-percubaan itu tidak berjaya, kerana kami mempunyai perlindungan di tempat. Apabila mereka tidak dapat melakukannya, mereka pergi ke akaun peribadi orang."

Keselamatan kempen adalah rumit: Terdapat beribu-ribu bahagian bergerak, dan sering tidak ada anggaran atau kepakaran untuk membina perlindungan keselamatan maklumat canggih dari awal. Industri teknologi telah melangkah ke hadapan ini, secara kolektif menyediakan beberapa alat percuma untuk kempen yang membawa kepada pertengahan.

Jigsaw Alphabet memberikan kempen perlindungan DDoS melalui Project Shield, dan Google telah memperluaskan program keselamatan akaun lanjutan untuk melindungi kempen politik. Microsoft menawarkan pengesanan ancaman AkaunGuard parti politik percuma di Office 365, dan pada musim panas ini, syarikat itu menjadi tuan rumah bengkel keselamatan siber dengan kedua-dua DNC dan RNC. McAfee memberikan McAfee Cloud untuk Pilihan Raya Aman untuk satu tahun ke pejabat pilihan raya di semua 50 negeri.

Syarikat teknologi tinggi dan keselamatan awan-termasuk Symantec, Cloudflare, Centrify, dan Akamai-menyediakan alat percuma atau diskaun yang serupa. Ini semua adalah sebahagian daripada kempen PR secara kolektif industri teknologi tinggi, membuat usaha yang lebih bersepadu untuk meningkatkan keselamatan pilihan raya daripada Lembah Silikon pada masa lalu.

Mendapatkan Kempen pada Aplikasi yang Disulitkan

Contohnya, Wickr adalah (kurang lebih) memberikan akses kepada perkhidmatan secara percuma, dan bekerja secara langsung dengan kempen dan DNC untuk melatih pekerja kempen dan membina rangkaian komunikasi yang selamat.

Bilangan kempen yang menggunakan Wickr telah meningkat tiga kali ganda sejak April, dan lebih daripada separuh kempen Senat dan lebih daripada 70 pasukan perundingan politik menggunakan platform pada musim panas ini, menurut syarikat itu. Audra Grassia, ketua politik dan kerajaan Wickr, telah berusaha dengan jawatankuasa politik dan kempen di Washington, DC untuk tahun lalu.

"Saya fikir orang di luar politik mempunyai kesulitan memahami betapa sukarnya untuk menggunakan penyelesaian di pelbagai kempen, di setiap peringkat, " kata Grassia. "Setiap kempen adalah perniagaan kecil tersendiri dengan kakitangan berputar setiap dua tahun."

Kempen individu sering tidak mempunyai pembiayaan untuk keselamatan siber, tetapi jawatankuasa politik besar. Menjelang tahun 2016, DNC khususnya telah melabur secara besar-besaran dalam keselamatan siber dan bangunan hubungan seperti ini dengan Silicon Valley. Jawatankuasa ini kini mempunyai pasukan berteknologi seramai 35 orang yang diketuai oleh CTO baru Raffi Krikorian, dahulu dari Twitter dan Uber. Ketua Pegawai Keselamatan baru DNC, Bob Lord, dahulunya merupakan pelaksana keamanan di Yahoo yang sangat mengenali dengan berurusan dengan bencana bencana.

Pasukan Grassia telah bekerja secara langsung dengan DNC, membantu mendapatkan teknologi Wickr yang dikerahkan dan menawarkan kempen pelbagai peringkat latihan. Wickr adalah salah satu pembekal teknologi yang terdapat dalam pasaran teknologi DNC untuk calon. "Potongan bergerak dalam kempen sangat mengejutkan, " kata Ketua Pegawai Eksekutif Wickr, Joel Wallenstrom.

Beliau menjelaskan bahawa kempen tidak mempunyai pengetahuan teknologi atau sumber untuk melabur dalam keselamatan maklumat gred perusahaan atau untuk membayar harga Silicon Valley untuk bakat. Apl yang disulitkan pada dasarnya menawarkan infrastruktur terbina dalam untuk memindahkan semua data kempen dan komunikasi dalaman ke dalam persekitaran yang selamat tanpa mengupah pasukan perundingan mahal untuk mengkonfigurasinya. Ia bukan satu penyelesaian yang menyeluruh, tetapi pada aplikasi paling tidak disulitkan boleh mendapatkan keperluan kempen dikunci dengan agak cepat.

Pada pertengahan dan pilihan raya yang akan datang, Robby Mook berkata, ada beberapa vektor serangan kempen yang paling beliau bimbang. Salah satu adalah serangan DDoS di laman web kempen pada saat-saat kritikal, seperti semasa ucapan konvensyen atau pertandingan utama ketika calon perbankan dalam derma online. Dia juga bimbang tentang laman-laman palsu sebagai satu punch untuk mencuri wang.

"Kami melihat sedikit ini, tetapi saya fikir satu perkara yang perlu ditonton ialah tapak penggilaian palsu yang boleh menimbulkan kekeliruan dan keraguan dalam proses derma, " kata Mook. "Saya fikir ia akan menjadi lebih buruk dengan kejuruteraan sosial yang cuba untuk menipu kakitangan kempen ke dalam wang pendawaian atau sumbangan balik kepada pencuri. Bahaya ini sangat tinggi kerana untuk musuh, bukan sahaja ia menguntungkan, tetapi ia mengalihkan kempen dari real isu dan memberi mereka tumpuan terhadap tipu muslihat."



Peperangan Maklumat untuk Pandangan Pemilih

Aspek yang paling sukar bagi keselamatan pilihan raya moden untuk dipahami, apalagi untuk melindungi terhadap, adalah maklumat salah dan kempen pengaruh sosial. Ini adalah isu yang telah dimainkan secara terbuka secara online, di Kongres, dan di platform sosial di tengah-tengah konvoi yang mengancam demokrasi.

Berita palsu dan maklumat palsu yang disebarkan untuk mempengaruhi pengundi boleh datang dalam pelbagai bentuk. Pada 2016, ia datang dari iklan politik mikro yang disasarkan pada media sosial, dari kumpulan dan akaun palsu yang menerbitkan maklumat palsu tentang calon, dan dari data kempen yang bocor disebarkan secara strategik untuk peperangan maklumat.

Mark Zuckerberg terkenal berkata hari selepas pilihan raya bahawa berita palsu di Facebook mempengaruhi pemilihan itu adalah "idea yang cukup gila." Ia mengambil tahun skandal data dan hits pendapatan untuk Facebook untuk mendapatkan di mana ia sekarang: pembersihan besar-besaran akaun spam politik, mengesahkan iklan politik, dan menubuhkan pilihan raya "bilik perang" sebagai sebahagian daripada strategi komprehensif untuk melawan pilihan raya campur tangan.

Twitter telah mengambil langkah yang sama, mengesahkan calon politik dan memecahkan bot dan trolls, tetapi maklumat yang salah berlaku. Syarikat-syarikat telah jujur ​​tentang hakikat bahawa mereka dalam perlumbaan senjata dengan musuh siber untuk mencari dan memadam akaun palsu dan untuk membongkar berita palsu. Facebook menutup kempen propaganda berkaitan Iran yang terdiri daripada 82 halaman, kumpulan, dan akaun minggu lalu.

Tetapi algoritma mesin pembelajaran dan penyederhana manusia hanya boleh pergi sejauh ini. Penyebaran maklumat yang salah melalui WhatsApp dalam pilihan raya presiden Brazil hanyalah satu contoh betapa lebih banyak kerja syarikat media sosial perlu dilakukan.

Gergasi Facebook, Twitter, dan teknologi seperti Apple telah secara tidak sengaja mengakui peranan platform mereka dalam pemilihan untuk menerima tanggungjawab dan berusaha menyelesaikan masalah yang sangat rumit yang mereka bantu untuk mencipta. Tetapi sudah cukup?

"Pengaruh dalam pemilihan selalu berada di sana, tetapi apa yang kita lihat adalah tahap kecanggihan baru, " kata Travis Breaux, Profesor Madya Sains Komputer di Carnegie Mellon, yang penyelidikannya menyangkut privasi dan keselamatan.

Breaux berkata jenis maklumat yang salah maklumat yang kita lihat dari Rusia, Iran, dan pelakon negara-negara lain tidak semua yang berbeza daripada ejen spionase playbook yang telah digunakan selama beberapa dekad. Beliau menunjuk pada buku 1983 yang dipanggil The KGB dan Disinformation Soviet , yang ditulis oleh seorang pegawai ex-perisik, yang bercakap tentang kempen maklumat Perang Dingin yang ditaja negara yang direka untuk menyesatkan, mengelirukan, atau menimbulkan pendapat asing. Peretas dan tentera troll Rusia melakukan perkara yang sama pada hari ini, hanya usaha mereka diperbesarkan secara eksponen dengan kuasa alat digital dan jangkauan yang mereka berikan. Twitter boleh melancarkan mesej ke seluruh dunia dalam sekelip mata.

"Terdapat gabungan teknik yang sedia ada, seperti akaun palsu, yang sekarang kita lihat menjadi operasional, " kata Breaux. "Kami perlu bangun untuk mempercepat dan memahami apa maklumat yang tulen, dipercayai."

McAfee CTO Steve Grobman berfikir kerajaan harus menjalankan kempen perkhidmatan awam untuk meningkatkan kesedaran tentang maklumat palsu atau dimanipulasi. Beliau berkata, salah satu isu terbesar pada 2016 adalah andaian yang melampau yang melanggar data mempunyai integriti.

Di peringkat akhir kitaran pilihan raya, apabila tidak ada masa untuk mengesahkan kesahihan maklumat secara bebas, peperangan maklumat boleh menjadi sangat kuat.

"Apabila e-mel John Podesta diterbitkan di WikiLeaks, akhbar membuat anggapan bahawa mereka semua e-mel yang benar-benar Podesta, " kata Grobman. PCMag belum menjalankan siasatan langsung ke atas kesahihan e-mel yang bocor, tetapi ada beberapa e-mel Podesta yang disahkan sebagai palsu yang masih beredar sejak kebelakangan ini, menurut FactCheck.org, sebuah projek yang habis dikeluarkan dari Pusat Dasar Awam Annenberg di Universiti daripada Pennsylvania.

"Salah satu perkara yang kita perlu untuk mendidik orang ramai adalah bahawa apa-apa maklumat yang keluar dari pelanggaran boleh mengandungi data yang dibuat dengan data sah yang sah untuk memberi makan kepada mana-mana musuh yang membawa anda ke arah. Orang mungkin percaya sesuatu yang difikirkan mempengaruhi suara mereka."

Ini boleh memanjang bukan hanya dengan apa yang anda lihat dalam talian dan media sosial, tetapi juga kepada butiran logistik mengenai pengundian di kawasan anda. Memandangkan ketidakkonsistenan dalam sesuatu yang asas sebagai domain laman web dari satu perbandaran tempatan ke depan, pengundi memerlukan cara rasmi untuk memahami apa yang sebenar.

"Bayangkan penggodam cuba untuk memunculkan pilihan raya ke arah calon di kawasan luar bandar atau bandar, " kata Grobman. "Anda menghantar e-mel phishing kepada semua pengundi yang mengatakan bahawa disebabkan cuaca, pilihan raya telah ditangguhkan selama 24 jam, atau memberi mereka tempat pengundian palsu dikemaskini."

Akhirnya, terserah pengundi untuk menyaring maklumat salah. Pegawai Keselamatan Maklumat Negeri New York Deborah Snyder berkata, "Jangan dapatkan berita anda dari Facebook, mengundi minda anda, " dan pastikan fakta anda datang dari sumber yang disahkan. Wickr, Joel Wallenstrom percaya pengundi perlu membina diri mereka dengan fakta bahawa akan ada banyak FUD (ketakutan, ketidakpastian, dan keraguan). Dia juga fikir anda harus mematikan Twitter.

Robby Mook berkata sama ada anda berhadapan dengan operasi jenayah siber atau data peperangan, penting untuk diingat bahawa maklumat yang anda lihat direka untuk membuat anda berfikir dan bertindak dengan cara tertentu. Jangan.

"Pengundi perlu mengambil langkah dan bertanya kepada diri sendiri apa yang penting kepada mereka, bukan apa yang dikatakan kepada mereka, " kata Mook. "Fokus pada bahan kandidat, keputusan yang akan dibuat pegawai-pegawai awam, dan bagaimana keputusan-keputusan itu akan memberi kesan kepada kehidupan mereka."



Throw Everything We Got at 'Em. Jalankan Ia Lagi

Simulasi keselamatan pemilihan projek Demokrasi Digital akan bermula pada pukul 8 pagi di Cambridge, Mass. Seperti yang bermula, dengan peserta yang bekerja di negara fiksyen enam atau lapan bulan sebelum Hari Pemilihan, 10 minit latihan menyumbang 20 hari. Akhirnya, setiap minit berlaku dalam masa sebenar kerana semua orang dikira pada masa pengundian.

Rosenbach berkata beliau, Mook, dan Rhoades menyertai 70 halaman senario skrip bagaimana pemilihan malapetaka keselamatan akan dimainkan, dan mereka akan membaling satu demi satu di pejabat kerajaan untuk melihat bagaimana mereka bertindak balas.

"Kami berkata, di situlah keadaannya, kami hanya mendapat laporan berita mengenai maklumat Rusia yang dijalankan melalui bot Twitter, " kata Rosenbach. "Selain itu, keputusan akan datang dari tempat pengundian ini yang ditunjukkan sebagai tertutup tetapi hanya untuk pemilih Afrika-Amerika. Kemudian mereka perlu bertindak balas terhadapnya, sementara pada masa yang sama 10 perkara lain akan turun-data pendaftaran digodam, infrastruktur mengundi dikompromi, sesuatu yang bocor, dan seterusnya dan seterusnya."

Projek Demokrasi Digital Membela melakukan penyelidikan di 28 buah negeri mengenai demografi dan pelbagai jenis peralatan mengundi untuk skrip ke dalam simulasi, dan setiap orang telah diberikan peranan. Pentadbir pilihan raya peringkat rendah telah memainkan peranan utama pegawai negeri yang fiksyen, dan sebaliknya. Rosenbach berkata Setiausaha Negara West Virginia Mac Warner mahu memainkan pekerja pengundian.

Matlamatnya adalah untuk pegawai dari semua 38 buah negara untuk meninggalkan simulasi dengan pelan tindak balas dalam fikiran mereka dan untuk bertanya soalan yang betul ketika ia benar-benar penting. Sudahkah kita menyulitkan pautan ini? Adakah pangkalan data pemilih selamat? Adakah kita terkunci yang mempunyai akses fizikal ke mesin pengundian sebelum hari pilihan raya?

Satu produk sampingan yang lebih penting daripada latihan meja adalah penciptaan rangkaian pegawai pilihan raya di seluruh negara untuk berkongsi maklumat dan bertukar amalan terbaik. Rosenbach menyebutnya sejenis "ISAC tidak rasmi" yang masih sangat aktif yang membawa kepada pertengahan untuk negara untuk berkongsi jenis serangan dan kelemahan yang mereka lihat.

Negara juga melakukan latihan seperti ini sendiri. New York memulakan siri latihan tablet serantau pada bulan Mei dengan kerjasama Jabatan Keselamatan Dalam Negeri dengan memberi tumpuan kepada kesiapsiagaan keselamatan dan tindak balas ancaman.

NYS CISO Snyder berkata Lembaga Pemilihan Negeri menyediakan latihan khusus pilihan raya kepada Dewan Pemilihan Daerah. Di samping itu, latihan kesedaran siber percuma yang diberikan kepada semua 140, 000 pekerja negeri juga disediakan untuk majlis perbandaran tempatan, memberi mereka latihan khusus kesedaran dan latihan kesedaran umum cybersecurity. Snyder juga berkata beliau telah menjangkau ke negeri-negeri lain yang telah mengalami pelanggaran data pemilih untuk mengetahui apa yang berlaku dan mengapa.

"Perkongsian adalah usaha keselamatan siber. Kekurangan perkongsian perisikan adalah mengapa ia gagal, " kata Snyder. "Negara-negara yang menyedari siber tidak dapat dilakukan dalam silo, dan kelebihan kesedaran situasi yang dikongsi itu jauh lebih besar daripada rasa malu untuk menceritakan kisah bagaimana anda diretas."

D3P sedang menghantar pasukan di seluruh negara semasa pertengahan untuk melihat pemilihan di puluhan negeri dan melaporkan semula untuk meningkatkan buku dan latihan buku projek sebelum 2020. Satu sentimen beberapa sumber yang dikongsi adalah bahawa musuh siber mungkin tidak memukul AS sebagai keras dalam pertengahan. Amerika terperangkap sepenuhnya semasa pilihan raya 2016, dan 2018 akan mempamerkan penggodam negara-negara apa yang kita ada dan tidak pernah belajar sejak itu.

Peperangan siber tidak hanya mengenai serangan frontal penuh. Kempen mengejar dan maklumat yang salah adalah lebih rahsia, dan mereka bergantung pada memukul anda dengan tepat apa yang tidak anda harapkan. Bagi Rusia, Iran, China, Korea Utara dan lain-lain, banyak pakar keselamatan dan pakar luar negara takut serangan yang lebih dahsyat terhadap pilihan raya AS akan datang dalam kitaran kempen 2020 presiden.

"Rusia masih aktif, tetapi saya akan terkejut jika orang Korea Utara, Cina dan Iran tidak menonton dengan teliti untuk melihat apa yang kita lakukan di tengah-tengah dan meletakkan asas rahsia, seperti mana-mana operasi cyber intel, " Rosenbach.

Serangan siber yang kita lihat semasa pertengahan dan pada tahun 2020 mungkin datang dari vektor-vektor baru yang sama sekali tidak ada dalam simulasi; generasi baru eksploitasi dan teknik tidak ada yang dijangka atau bersedia menghadapi. Tetapi sekurang-kurangnya kita akan tahu mereka akan datang.