Под атака: как хакерските избори заплашват междинните срокове

През март служители от 38 щата се събраха в конферентна зала в Кеймбридж, Масачузетс, за двудневно симулиране на избори, което се провеждаше като военна игра.

Повече от 120 държавни и местни изборни служители, директори по комуникации, ИТ мениджъри и държавни секретари проведоха учения, симулиращи катастрофи на сигурността, които биха могли да се случат в най-лошия изборен ден, който може да се представи.

Настолното упражнение започваше всяка симулация месеци преди междинните избори на 6 ноември, като ускоряваше срока, докато държавите противодействаха на атаките в реално време, докато избирателите отидоха на урните. Организирани от проекта Defending Digital Democracy (D3P) в Харвард, двупартийно усилие за защита на демократичните процеси от кибер и информационни атаки, тренировките принуждават участниците да реагират на един сценарий на кошмар след друг - хакове на машина за гласуване и база данни на избиратели, разпределен отказ от услуга (DDoS) атаки, свалящи уебсайтове, изтече дезинформация за кандидатите, фалшива информация за анкети, разпространявана за потискане на гласовете, и социални медийни кампании, координирани от нападатели от национална държава, за да сеят недоверие.

Както видяхме на последните избори по целия свят, често се случват множество атаки едновременно.

„Помислете за атака за отказ на услуга и нормалните тактики за фишинг и злонамерен софтуер биха използвали по време на избори“, каза Ерик Розенбах, директор и началник на D3P на D3P на министъра на отбраната на САЩ Аштън Картър от 2015 до 2017 г.

"Частта, от която бих се притеснила най-много при DDoS, е атака срещу уеб страница, обявяваща резултати, съчетана с висок клас. Вижте какво се случи в Украйна през 2014 г. Руснаците DDoSed уеб страницата, която Украйна използва, за да обяви изборни резултати, след това насочиха всички обратно към Русия Днес и поставиха неверни резултати. Украинците останаха объркани относно това кой всъщност беше избран за президент."

Разбирането на съвременната изборна сигурност означава да се сблъскате с плашещата реалност: особено в Съединените щати инфраструктурата е твърде фрагментирана, остаряла и уязвима, за да бъде напълно обезопасена. Освен това има твърде много различни видове атаки в ландшафта на заплахата, за да ги спрете.

PCMag разговаря с държавни служители, политически оперативни сътрудници, академици, технологични компании и изследователи по сигурността относно страхотните реалности на изборна сигурност през 2018 г. От двете страни на политическото пътека, на всяко ниво на управление и в цялата технологична индустрия, САЩ се бори с основните заплахи за киберсигурността за нашите избори. Ние също така планираме как да реагираме, когато нещата се объркат, както по време на тези решаващи междинни избори, така и на общите избори през 2020 г.

Защита на „Attack Surface“

В киберсигурността всички открити системи и устройства, които биха могли да бъдат атакувани, се наричат ​​"атакуваща повърхност". Нападателната повърхност на изборите в САЩ е огромна и може да бъде разделена на три ключови нива.

Първият е инфраструктура за гласуване; помислете за машини за гласуване, бази данни за регистрация на избиратели и всички държавни и местни уебсайтове, които казват на хората къде и как да гласуват.

Тогава има ниво на сигурност на кампанията. Както показа 2016 г., кампаниите са лесни мишени за хакерите. След това откраднатите данни за кампанията могат да бъдат използвани като мощно оръжие за третото, по-мъгляво ниво на атака: коварният свят на оръжейни кампании за дезинформация и социално влияние. На този фронт троловите армии от участници в националните държави продължават да действат в мрежата и нахлуват в платформите на социалните медии, които са се превърнали в поляризиращи бойни полета на възприятието на избирателите.

Опитът за решаване на безброй системни проблеми, поразили всяко от тези нива, често води до повече въпроси, отколкото отговори. Вместо това много от стратегиите за смекчаване на рисковете за сигурността на изборите се свеждат до здравия разум: гласуване на хартия и одит на гласовете; предоставяне на повече ресурси на държавата и на местните власти; и предоставяне на инструменти и обучение за сигурност на кампании и изборни служители

Няколко по-сложни и разделителни въпроса за изборните администратори и служителите на кампанията, както и за избирателите: Как подхождате към изборния процес в ерата на социалните медии, изпълнен с дезинформация онлайн? И когато се съмнявате в цялата цифрова информация, която попада на вашия екран, в какво да вярвате?

Какво научихме от 2016 г.

Всеки разговор за сигурността на изборите в САЩ през средносрочните 2018 г. и след това в крайна сметка намира своя път обратно към президентските избори през 2016 г. Преди тази надпревара видяхме кибератаки, насочени към кампании и избори от средата на 2000-те, но никога досега в такъв мащаб.

"По онова време никой не беше виждал нещо подобно. Шокиращо беше да мисля, че Русия ще бъде толкова нахална, че да се намеси в нашата демокрация и да я повлияе в полза на определен кандидат", каза Розенбах, който свидетелства пред Конгреса през март относно намесата на Русия в изборите през 2016 г. "Работя в националната сигурност вече 20 години и това беше най-сложният и труден проблем, с който някога съм се занимавал."

В този момент фактите са доста ясни. Дузина руснаци, за които се твърди, че работят за ГРУ, военната разузнавателна служба на Русия, бяха обвинени за хакерство на Демократичния национален комитет (DNC) и изтегляне на документи до организации, включително WikiLeaks, които пуснаха над 20 000 имейла.

Работейки под онлайн персони, включително Guccifer 2.0, Fancy Bear и DCLeaks, обвиняемите хакери също нарушиха базите данни за регистрация на избиратели в Илинойс и Аризона през август 2016 г. и откраднаха информация за повече от 500 000 избиратели. Последващи доклади на ФБР и НСА установяват, че хакерите са компрометирали софтуера за гласуване в 39 щата по време на президентските избори през 2016 г. Заместник генералният прокурор на САЩ Род Розенщайн заяви в обвинителния акт на руските хакери, че „целта на конспирацията е да окаже влияние върху изборите“.

Това бяха само атаките, засегнали първите две нива на изборната инфраструктура. В социалните медии Русия, Иран и други пускат фабрики за ботове и тролове - включително подкрепената от Русия агенция за интернет изследвания (IRA) - които разпространяват фалшиви новини и купуват хиляди политически реклами във Facebook и Twitter, за да повлияят на мнението на избирателите. Макар да е свързан с политически партии, а не с хакери, скандалът с Facebook в Cambridge Analytica също играе роля за това как платформите за социални медии влияят на изборите през 2016 г.

"Не реагирахме достатъчно бързо или силно", каза Розенбах. Докато работи в Пентагона, Розенбах също изпълнява функциите на заместник-помощник на министъра на отбраната за кибер от 2011 до 2014 г. и помощник-министър на отбраната по глобалната сигурност, наблюдаващ киберсигурността.

Сега той е съ-директор на Belfer Center в училището в Кенеди от Харвард и директор на D3P. Той го основа миналата година заедно с Мат Роудс, мениджър на кампанията на Мит Ромни по време на изборите през 2012 г., и Роби Мук, мениджър на кампанията на Хилари Клинтън през 2016 г.

„Важно нещо, което трябва да разберете от гледна точка на сигурността, е, че самата кампания никога не е била хакерска“, каза Mook пред PCMag. "Личните акаунти за електронна поща бяха хакнати и DNC беше хакнат, но мисля, че е важно предупреждение за всички, че всъщност трябва да защитим цялата екосистема. Противниците ще отидат навсякъде, където могат, за да въоръжат информацията срещу различни кандидати."

Фишинг атаката, която успешно хакна личния акаунт на Gmail на председателя на DNC Джон Подеста през 2016 г., остави Mook с осъзнаването, че няма механизми, които да реагират на атака с такъв мащаб. През 2017 г. той се свърза с Rhoades, който се справи с постоянни опити за хакерство от китайски кибер сили по време на президентския мандат на Ромни. Основната идея беше да се създаде контролен списък с неща, които да се правят, за да се предотвратят подобни експлоатации в бъдещи кампании, и да се предвиди някъде кампаниите да преминат, когато те бяха хакнати.

Двамата се свързаха с Розенбах и работиха за публикуването на D3P Cybersecurity Campaign Playbook. Оттогава те си сътрудничат по две други книги за книги - една за администраторите на държавни и местни избори и една, която подготвя служителите за комуникация за това как да се противопоставят на дезинформацията онлайн. Те също помогнаха за организирането и провеждането на междудържавните симулации на плота.

Мук не искаше да прекарва твърде много време в разговори за 2016 г.; важно е да не продължавате да преживявате последната битка, когато можете да се подготвите за следващата, каза той.

"Факт е, че просто не знаете защо или как някой се опитва да влезе. Просто знаете, че някой ще го направи", каза Мук. "Най-важното е да помислим какво може да бъде следващото. Какви са заплахите, които все още не сме обмисляли или виждали? Мисля, че средносрочните перспективи потенциално ще разкрият някои нови уязвимости, но мисля, че става въпрос повече за гледане на системата като на цяло и да измисля всеки възможен начин някой да влезе."



Пейзажът на изместващата заплаха

Когато наближаваме междинните срокове за 2018 г. и се сблъскваме с дългия девиз към президентските избори през 2020 г., пейзажът на заплахата влиза във фокус.

Въпреки че президентът Тръмп понижи степента на руска намеса, през март САЩ удариха Русия с нови санкции. "Продължаваме да наблюдаваме всеобхватна кампания за съобщения от Русия, за да се опитаме да отслабим и разделим Съединените щати", заяви американският директор на националното разузнаване Дан Коутс по време на брифинг през август.

Това стана, след като през юли Microsoft стигна до хакерски опит, включващ фалшиви домейни, насочени към трима кандидати, които се кандидатират за преизбиране. Само седмици преди публикуването на тази история, руски гражданин беше обвинен в надзора за усилия за манипулиране на избирателите чрез Facebook и Twitter, за да се намеси в междинните срокове. Елена Хусяйнова, руска гражданка, посочена в обвинителния акт, уж управляваше финансови и социални операции, свързани с ИРА, като разполагаше с бюджет от над 35 милиона долара, управляван от руски олигарх и съюзник на Путин Евгений Пригожин.

Директорите на националното разузнаване, Министерството на вътрешната сигурност и ФБР пуснаха съвместно изявление, обвързано с обвинението. В него се посочва, че макар да няма актуални доказателства за компрометирана инфраструктура за гласуване в средносрочните срокове, „някои държавни и местни правителства съобщават за смекчени опити за достъп до своите мрежи“, включително базите данни за регистрация на избиратели.

В последните седмици преди междинните избори американското кибер командване дори идентифицира руски оперативни лица, които контролират троловите акаунти и ги информира, че САЩ са наясно с техните дейности в опит да възпрепятстват встъпването в избори.

"Загрижени сме за продължаващите кампании от Русия, Китай и други чуждестранни участници, включително Иран, за подкопаване на доверието в демократичните институции и за влияние върху обществените настроения и правителствени политики", се казва в изявлението. „Тези дейности също могат да се стремят да повлияят на възприемането на избирателите и вземането на решения при изборите през 2018 г. и 2020 г.“

Търсите шаблони

Когато наблюдават активността от чужди противници и други потенциални врагове в кибернетичното пространство, експертите търсят модели. Тони Гидвани каза, че е все едно да изучаваш радиолокационен масив на всички различни злонамерени същества; търсите индикатори за ранно предупреждение, за да смекчите риска и да осигурите най-слабите връзки във вашата защита.

Gidwani е директор на изследователските операции във фирма за киберсигурност ThreatConnect. Тя прекара последните три години, ръководейки проучванията на ThreatConnect за хак на DNC и руските влияния върху президентските избори през 2016 г.; нейният екип свърза Guccifer 2.0 с Fancy Bear. Gidwani прекара първото десетилетие от кариерата си в DoD, където създаде и ръководи аналитични екипи в отбранителната разузнавателна агенция.

„Трябва да издърпате струните на много различни фронтове“, каза Гидвани. "Fancy Bear работеше с много различни канали, за да се опита да вкара данните на DNC в обществено достояние. Guccifer беше един от тези фронтове, DCLeaks беше един, а WikiLeaks беше най-въздействащият фронт."

Gidwani разруши експлоатациите на националните държави, които видяхме в няколко различни дейности, които заедно образуват многоетапна намеса. Нарушените в кампанията нарушения на данните доведоха до изтичане на стратегически данни в критични моменти от изборния цикъл.

„Загрижени сме за фишинг на копие и атаки на човек в средата със сигурност. Тази информация е толкова въздействаща, когато попадне в публичното пространство, че може да не се нуждаете от усъвършенстван зловреден софтуер, тъй като кампаниите са такива пикап операции, с приток на доброволци като мишени “, обясни тя. „Не се нуждаете от уязвимости за нулев ден, ако фишингът на копие работи.“

Нападенията за проникване в държавните избори са още една стъпка, целяща да наруши веригата на доставки на машини за гласуване и да разруши увереността във валидността на изборните резултати. Gidwani каза, че остарелият и фрагментиран характер на инфраструктурата за гласуване от държавни до щатски атаки, като SQL инжекции, които „бихме се надявали вече дори да не са част от книгата за атаки“, не само възможно, но и ефективно.

Тези операции до голяма степен се различават от групите във Facebook и акаунти за тролове в Twitter, изкривени от IRA и други участници в националните държави, включително Китай, Иран и Северна Корея. В крайна сметка тези кампании са по-скоро за повишаване на настроението и люлеене на избирателите в целия политически спектър, засилване на координираните изтичания на данни с политически наклони. Що се отнася до дезинформация, ние разкрихме само върха на айсберга.

„Едно от нещата, които правят изборите толкова предизвикателни, е, че те са съставени от много различни парчета, без нито един от заинтересованите страни“, каза Гидвани. „Голямото предизвикателство, с което се борим, е основно политически въпрос, а не технически. Платформите полагат усилия да направят легитимно съдържание по-лесно разпознаваемо чрез проверка на кандидатите. Но с това колко вирусно може да се разпространи този тип съдържание, това отнема нас извън света на информационната сигурност."



Включване на нови дупки в старата машина

На най-фундаменталното си ниво американската изборна инфраструктура е печворк - куп от остарели и несигурни машини за гласуване, уязвими бази данни за избиратели и държавни и местни уебсайтове, на които понякога липсва дори най-основното криптиране и сигурност.

По обратния начин фрагментираният характер на националната инфраструктура за гласуване може да я направи по-малко привлекателна цел, отколкото експлоатация с по-широко въздействие. Поради остарялата и понякога аналогова технология в машините за гласуване и доколко всяка държава се различава от следващата, хакерите ще трябва да полагат значителни усилия във всеки случай, за да компрометират всяка отделна локализирана система. До известна степен това е погрешно схващане, тъй като хакерската държавна или местна инфраструктура за гласуване в ключов район за люлеене може абсолютно да повлияе на резултатите от изборите.

Преди два цикъла на изборите Джеф Уилямс се консултира с голям доставчик на машина за гласуване в САЩ, който той отказа да идентифицира. Неговата компания направи ръчен преглед на кода и тест за сигурност на машините за гласуване, технологията за управление на избори и системите за преброяване на гласовете, и откри множество уязвимости.

Уилямс е CTO и съосновател на Contrast Security и един от основателите на проекта за сигурност на отворените уеб приложения (OWASP). Той каза, че поради архаичния характер на изборен софтуер, който в много случаи се управлява от местни райони, които често взимат решения за покупки въз основа на бюджет, отколкото на сигурност, технологията не е променила всичко толкова много.

"Не става въпрос само за машините за гласуване. Целият софтуер, който използвате, за да настроите избори, да ги управлявате и да събирате резултатите", каза Уилямс. "Машините имат доста дълъг живот, защото са скъпи. Говорим за милиони редове код и много години работа, която се опитва да го прегледа, със сигурност, която е сложна за изпълнение и не е добре документирана. Това е симптом на много по-голям проблем - никой няма представа какво се случва в софтуера, който използва."

Уилямс каза, че също няма много вяра в процесите на тестване и сертифициране. Повечето държавни и местни власти съставят малки екипи, които правят тестове за проникване, един и същ вид тестове, които правят заглавия в Black Hat. Уилямс смята, че това е грешен подход в сравнение с изчерпателното тестване за осигуряване на качеството на софтуера. Хакерските конкурси като тези в селото за гласуване в DefCon намират уязвимости, но те не ви казват всичко за потенциалните подвизи, които не сте открили.

По-систематичният проблем в цялата страна е, че машините за гласуване и софтуерът за управление на избори се различават значително от държавата до държавата. Има само няколко големи доставчици, регистрирани за предоставяне на машини за гласуване и сертифицирани системи за гласуване, които могат да бъдат системи за гласуване на хартия, електронни системи за гласуване или комбинация от двете.

Според неправителствената организация Verified Voting 99 процента от гласовете на Америка се преброяват от компютър под някаква форма, било чрез сканиране на различни видове бюлетини или чрез директен електронен запис. Докладът за проверено гласуване за 2018 г. установи, че 36 щата все още използват оборудване за гласуване, доказано като несигурно, а 31 щата ще използват електронни машини за гласуване с директно записване поне за част от избирателите.

Най-тревожно е, че пет щата - Делауеър, Джорджия, Луизиана, Ню Джърси и Южна Каролина - в момента използват електронни машини за гласуване с директно записване без проверка на проверката на избирателите. Така че, ако броя на гласовете е променен в електронната система, или чрез физически или отдалечен хак, държавите може да нямат начин да проверяват валидните резултати в процеса на одит, където често е необходимо само статистическо вземане на извадки от гласовете, а не пълно преброяване, „Няма кутия с висящи чадове, за които да броим“, казва Джоел Валенстром, изпълнителен директор на приложението за криптирани съобщения Wickr. "Ако в средносрочните периоди има твърдения, че резултатите не са реални, защото руснаците са направили нещо, как да се справим с този проблем с дезинформацията? Хората четат бомбастични заглавия и доверието им в системата допълнително се ерозира."

Модернизирането на държавната инфраструктура за гласуване със съвременна технология и сигурност не се случва в средносрочните срокове и вероятно не преди 2020 г. Докато щатите, включително Западна Вирджиния, тестват нови технологии като блокчейн за електронно записване и одит на гласовете, повечето изследователи и експерти по сигурността кажете, че вместо по-добра система, най-сигурният метод за проверка на гласовете е хартия.

„Дълготрайните одитни пътеки отдавна са викащ вик за общността на сигурността. В средносрочните срокове и вероятно на президентските избори те ще използват един брой машини, които нямат това“, заяви Уилямс. "Не е хипербола да се каже, че това е екзистенциална заплаха за демокрацията."

Един от щатите с хартиен одит е Ню Йорк. Дебора Снайдер, главен държавен служител по сигурността на информацията, заяви пред PCMag на неотдавнашна среща на върха на Националния алианс за киберсигурност (NCSA), че Ню Йорк не е сред 19-те щата, чийто приблизително 35 милиона записи на избиратели се продават в тъмната мрежа. Въпреки това публично достъпните записи на избирателите на щата Ню Йорк се твърдят, че са достъпни безплатно на друг форум.

Държавата извършва редовни оценки на риска от своите машини и инфраструктура за гласуване. Ню Йорк също инвестира милиони от 2017 г. в локално откриване на проникване, за да подобри мониторинга и реакцията на инциденти, както в рамките на щата, така и в координация с Центъра за споделяне и анализ на информация (ISAC), който си партнира с други държави и частния сектор.

"Ние сме на повишена осведоменост, водеща до и през изборите", каза Снайдер. "Имам екипи на палубата от 6 часа сутринта в деня до полунощ в деня на изборите. Всички сме на палубата, от Нюйоркския център за разузнаване до ISAC до местния и държавния съвет на изборите и моя офис, ITS и Отделът за вътрешна сигурност и спешните служби."



Местните изборни сайтове са седнали патици

Последният и най-често пренебрегван аспект на сигурността на държавните и местните избори са правителствените уебсайтове, в които се казва на гражданите къде и как да гласуват. В някои щати има шокиращо малко съгласуваност между официалните сайтове, много от които нямат дори най-основните HTTPS сертификати за сигурност, което потвърждава, че уеб страниците са защитени с SSL криптиране.

Компанията за киберсигурност McAfee наскоро проучи сигурността на уебсайтовете на окръжните избори в 20 щата и установи, че само 30, 7 процента от сайтовете имат SSL за криптиране на всяка информация, която избирателят споделя по подразбиране. В щати, включително Монтана, Тексас и Западна Вирджиния, 10 процента от сайтовете или по-малко са SSL-криптирани. Изследването на McAfee установи, че само в Тексас 217 от 236 уебсайтове за изборите в окръг не използват SSL.

Можете да кажете криптиран за SSL сайт, като потърсите HTTPS в URL адреса на уебсайта. Можете също така да видите икона на ключалка или ключ в браузъра си, което означава, че общувате сигурно със сайт, за когото казват, че са. През юни Chrome на Google започна да маркира всички незашифровани HTTP сайтове като „не защитени“.

"Това, че не разполагате с SSL през 2018 г. за подготовка за междинните срокове, означава, че тези уебсайтове в графствата са далеч по-уязвими от атаки на MiTM и подправяне на данни", заяви СТО Гробман на McAfee. „Често това е стар несигурен вариант на HTTP, който не ви пренасочва към сигурни сайтове и в много случаи сайтовете ще споделят сертификати. Нещата изглеждат по-добре на държавно ниво, където само около 11 процента от сайтовете са нешифровани, но тези местните окръжни сайтове са напълно несигурни."

От щатите, включени в изследванията на McAfee, само Мейн има над 50 процента от уебсайтове за окръжни избори с основно криптиране. Ню Йорк е едва 26, 7%, а Калифорния и Флорида са около 37%. Но липсата на основна сигурност е само половината от историята. Изследванията на McAfee също не откриват почти никаква съгласуваност в областите на уебсайтове за изборите в графство.

Шокиращо малък процент от сайтовете за държавни избори използват проверения от правителството домейн.gov, вместо да изберат общи домейни от най-високо ниво (TLD) като.com,.us,.org или.net. В Минесота 95, 4 процента от изборните сайтове използват неправителствени домейни, следвани от Тексас с 95 процента и Мичиган с 91, 2 процента. Това несъответствие прави почти невъзможно редовният избирател да разбере кои избирателни сайтове са легитимни.

В Тексас 74, 9 процента от местните уебсайтове за регистрация на избиратели използват домейна.us, 7, 7 процента използват.com, 11, 1 процента използват.org и 1, 7 процента използват.net. Само 4, 7 процента от сайтовете използват домейна.gov. В тексаския окръг Дентън например уебсайтът за изборите в окръг е https://www.votedenton.com/, но McAfee откри, че свързани уебсайтове като www.vote-denton.com са достъпни за покупка.

В сценарии като този, нападателите дори не се нуждаят от хакване на локални уебсайтове. Те могат просто да закупят подобен домейн и да изпращат фишинг имейли, които насочват хората да се регистрират, за да гласуват чрез измамния сайт. Те могат дори да предоставят невярна информация за гласуване или неправилни местоположения на избирателните места.

„Това, което виждаме в киберсигурността като цяло, е, че нападателите ще използват най-простия механизъм, който е ефективен за постигане на целите си“, каза Гробман. "Въпреки че може да е възможно сами да хакнете машините за гласуване, има много практически предизвикателства за това. Много по-лесно е да отидете след системи за регистрация на избиратели и бази данни или просто да купите уебсайт. В някои случаи установихме, че има подобни домейни закупен от други страни. Това е толкова лесно, колкото намирането на страница за продажба на GoDaddy."



Кампании: движещи се части и лесни цели

Обикновено са нужни повече усилия на хакерите да проникнат в системата на всяка област или държава, отколкото да следват плодове с ниско окачване, като кампании, където хиляди временни служители правят за привлекателни марки. Както видяхме през 2016 г., влиянието на нарушенията на данните от кампанията и изтичането на информация може да бъде катастрофално.

Нападателите могат да проникнат в кампании по много различни начини, но най-силната защита е просто да се уверите, че основите са заключени. Книгата за киберсигурност на D3P Campaign не разкрива новаторски тактики за сигурност. Това е по същество контролен списък, който могат да използват, за да се уверят, че всеки служител или доброволец на кампанията е проверен и всеки, който работи с данни от кампанията, използва механизми за защита като двуфакторна автентификация (2FA) и криптирани услуги за съобщения като Signal или Wickr. Те също трябва да бъдат обучени в хигиена на информацията за здрав разум и да знаят как да открият фишинг схеми.

Роби Мук говори за прости навици: да кажем, автоматично изтриване на имейли, за които знаеш, че няма да ти трябват, защото винаги има вероятност данните да изтекат, ако седиш наоколо.

„Кампанията е интересен пример, тъй като имахме този втори фактор в нашите сметки и бизнес правила за запазване на данни и информация в нашия домейн“, обясни Mook. „Лошите момчета, научихме с ретроспекция, имаха много персонал, който да натиска фишинг връзки, но тези опити не бяха успешни, защото имахме предпазни мерки. Когато не можаха да се намерят по този начин, те обиколиха лични сметки на хората."

Сигурността на кампанията е сложна: има хиляди движещи се части и често няма бюджет или експертен опит, който да се изгради в най-модерните защити за информационна сигурност от нулата. Технологичната индустрия се активизира на този фронт, като предоставя колективно множество безплатни инструменти за кампании, водещи до средносрочните срокове.

Jigsaw на Alphabet осигурява на DDoS защита на кампаниите чрез Project Shield, а Google разшири своята разширена програма за защита на акаунти за защита на политическите кампании. Microsoft предлага на политическите партии безплатно откриване на заплахи на AccountGuard в Office 365, а това лято компанията беше домакин на семинари за киберсигурност както с DNC, така и с RNC. McAfee предоставя безвъзмезден McAfee Cloud за гарантирани избори за една година на изборните бюра във всички 50 щата.

Други облачни технологии и компании за сигурност - включително Symantec, Cloudflare, Centrify и Akamai - предоставят подобни безплатни или отстъпки инструменти. Всичко това е част от колективната PR кампания на технологичната индустрия, полагайки по-съгласувани усилия за подобряване на сигурността на изборите, отколкото Силиконовата долина в миналото.

Получаване на кампании в криптирани приложения

Wickr, например, (повече или по-малко) предоставя на кампаниите достъп до услугите си безплатно и работи директно с кампании и DNC, за да обучава служителите на кампанията и да изгражда сигурни комуникационни мрежи.

Броят на кампаниите, използващи Wickr, се е утроил след април и повече от половината кампании в Сената и над 70 политически консултантски екипа са използвали платформата от това лято, според компанията. Одра Грасиа, политическа и правителствена лидер на Уикър, ръководи усилията си с политически комитети и кампании във Вашингтон, окръг Колумбия, през последната година.

„Мисля, че хората извън политиката трудно разбират колко е трудно да разгърнат решения в множество кампании на всяко ниво“, заяви Грасия. "Всяка кампания е свой собствен отделен малък бизнес с персонал, който се върти на всеки две години."

Отделните кампании често нямат финансиране за киберсигурност, но големите политически комитети го правят. След 2016 г. DNC по-специално инвестира много в киберсигурността и този вид изграждане на взаимоотношения със Силиконовата долина. Сега комитетът има технологичен екип от 35 души, ръководен от новия технически директор Рафи Крикорян, бивш от Twitter и Uber. Новият главен служител по сигурността на DNC, Боб Лорд, преди беше експерт по сигурността в Yahoo, който е запознат с работата с катастрофални хакове.

Екипът на Grassia работи директно с DNC, като помага за внедряването на технологията на Wickr и предлага на кампании различни нива на обучение. Wickr е един от доставчиците на технологии, представени на пазара за технологии на DNC за кандидати. „Движещите се парчета в рамките на кампания са наистина потресаващи“, заяви изпълнителният директор на Wickr Джоел Валенстром.

Той обясни, че кампаниите нямат техническите познания или ресурсите да инвестират в сигурността на информацията за предприятията или да плащат цените на Силиконовата долина за таланти. Шифрованите приложения по същество предлагат вградена инфраструктура за преместване на всички данни на кампанията и вътрешни комуникации в сигурна среда, без да наемат скъп консултантски екип, който да конфигурира всичко това. Това не е всеобхватно решение, но най-малкото криптирани приложения могат да извлекат основни неща от кампанията сравнително бързо.

В средата и на бъдещите избори, каза Роби Мук, има няколко вектора за атака на кампанията, от които той е най-загрижен. Единият е DDoS атаките към уебсайтове на кампаниите в критични моменти, като например по време на реч за конвенция или първичен конкурс, когато кандидатите се занимават с онлайн дарения. Той се притеснява и от фалшивите сайтове като удар-два за кражба на пари.

"Ние видяхме малко от това, но мисля, че едно нещо, което трябва да се гледа, е фалшиви сайтове за набиране на средства, които могат да създадат объркване и съмнение в процеса на дарение", каза Мук. "Мисля, че би могло да стане много по-лошо, ако социалният инженеринг се опита да измами персонала на кампанията в окабеляване на пари или пренасочване на дарения на крадци. Опасността от това е особено голяма, защото за противник не само е доходоносна, но и разсейва кампаниите от реалните издава и ги държи фокусирани върху интриги."



Информационната война за умовете на избирателите

Най-трудните аспекти на съвременната изборна сигурност, които да се разберат, камо ли да се защитят, са кампании за дезинформация и социално влияние. Това е проблемът, който се разигра най-публично онлайн, в Конгреса и в социалните платформи в основата на главоблъсканица, заплашващ демокрацията.

Фалшивите новини и дезинформация, разпространени с цел да повлияят на избирателите, могат да бъдат под различни форми. През 2016 г. тя идва от микро-насочени политически реклами в социалните медии, от групи и фалшиви акаунти, разпространяващи невярна информация за кандидати, и от изтекли данни от кампанията, стратегически разпространени за информационна война.

Марк Зукърбърг каза, че дни след изборите фалшивите новини във Facebook, които влияят на изборите, са "доста луда идея". Отне една катастрофална година от скандали с данни и хитове на приходи за Facebook, за да стигне там, където е сега: масови чистки на политически акаунти за спам, проверка на политически реклами и създаване на междинна изборна „военна зала“ като част от цялостна стратегия за борба с изборите меси.

Twitter предприе подобни стъпки, проверявайки политическите кандидати и разправи по ботове и тролове, но дезинформацията продължава. Компаниите бяха честни за факта, че участват в надпревара с оръжия с кибер врагове за намиране и изтриване на фалшиви акаунти и разкриване на фалшиви новини. Фейсбук прекрати свързана с Иран пропагандна кампания, състояща се от 82 страници, групи и сметки само миналата седмица.

Но алгоритмите за машинно обучение и човешките модератори могат да стигнат само дотук. Разпространението на дезинформация чрез WhatsApp в президентските избори в Бразилия е само един пример за това колко повече работа трябва да правят социалните медии.

Facebook, Twitter и технологични гиганти като Apple преминаха от мълчаливо признаване на ролята, която платформите им играят на изборите, до приемане на отговорност и опит за отстраняване на много сложните проблеми, които помогнаха да създадат. Но достатъчно ли е?

"Влияние в изборите винаги е имало, но това, което виждаме, е ново ниво на усъвършенстване", казва Травис Бро, доцент по компютърни науки в Карнеги Мелън, чиито изследвания се отнасят до личния живот и сигурността.

Breaux каза, че типовете кампании за дезинформация, които наблюдаваме от Русия, Иран и други участници в националните държави, не са толкова различни от агентите за шпионаж, използвани от десетки години. Той посочи книга от 1983 г., наречена КГБ и съветската дезинформация , написана от бивш разузнавач, в която се говори за спонсорирани от държавата информационни кампании за студената война, предназначени да подведат, объркат или разпалят чуждото мнение. Руските хакери и ферми за тролове правят същото нещо и днес, само усилията им се увеличават експоненциално чрез силата на цифровите инструменти и обхвата, който предоставят. Twitter може да взриви съобщение до целия свят за миг.

"Има комбинация от съществуващи техники, като фалшиви акаунти, които сега виждаме да станат оперативни", каза Бро. „Трябва да се качим на скорост и да разберем как изглежда истинска, надеждна информация.“

Официален представител на McAfee Стив Гробман смята, че правителството трябва да провежда кампании за обществени услуги, за да повиши осведомеността за невярна или манипулирана информация. Той каза, че един от най-големите проблеми през 2016 г. е грубото предположение, че нарушените данни имат цялост.

В късните етапи на изборния цикъл, когато няма време за независима проверка на валидността на информацията, информационната война може да бъде особено силна.

"Когато имейлите на Джон Подеста бяха публикувани в WikiLeaks, пресата прави предположението, че всички те са наистина имейлите на Podesta", казва Гробман. PCMag не е провел пряко разследване на автентичността на изтеклите имейли, но някои имейли на Podesta, проверени като невярни, все още циркулират наскоро тази есен, според FactCheck.org, проект, изчерпан от Центъра за публична политика в Аненберг в университета на Пенсилвания.

„Едно от нещата, за които трябва да обучаваме обществеността, е, че всяка информация, която излиза от нарушение, може да съдържа изфабрикувани данни, преплетени с законни данни, за да изхранва всички противници на разказа, които ви водят към това.

Това може да се разшири не само до това, което виждате онлайн и в социалните медии, но и до логистични подробности относно гласуването във вашия район. Като се има предвид несъответствието в нещо толкова фундаментално като домейни на уебсайтове от една местна община до друга, избирателите се нуждаят от официално средство за установяване на реалното.

"Представете си хакери, които се опитват да проведат избори към кандидат в даден селски или градски район", каза Гробман. „Изпращате фишинг имейл до всички избиратели, казвайки, че поради времето изборите са отложени за 24 часа или им предоставяте невярно актуализирано място за избор на място.“

В крайна сметка зависи от избирателите да филтрират дезинформация. Главният служител по сигурността на информацията в щата Ню Йорк Дебора Снайдер каза: „Не приемайте своите новини от Facebook, гласувайте мнението си“ и се уверете, че вашите факти идват от проверени източници. Джоел Валенстром на Уикър смята, че избирателите трябва да се стоманират пред факта, че ще има страшно много FUD (страх, несигурност и съмнение). Той също така смята, че трябва просто да изключите Twitter.

Роби Мук каза, че независимо дали се занимавате с киберпрестъпления или операции с война на данни, важно е да запомните, че информацията, която виждате, е създадена да ви накара да мислите и действате по определен начин. не го правят.

„Избирателите трябва да направят крачка назад и да се запитат какво им е важно, а не какво им се казва“, каза Мук. "Съсредоточете се върху същността на кандидатите, решенията, които тези държавни служители ще вземат, и как тези решения ще се отразят на живота им."



Хвърлете всичко, което имаме в 'Em. Пусни го отново

Симулационната тренировка за защита на изборите на проекта за защита на цифровите демокрации започна в 8 часа сутринта в Кеймбридж, Масачузетс. Както започна, участниците, работещи в измислени държави, шест или осем месеца преди деня на изборите, 10 минути от ученията съставляваха 20 дни. В края на краищата всяка минута се случваше в реално време, докато всички отброиха времето за гласуване.

Розенбах каза, че той, Мук и Роудс влизат със 70 страници сценарии, в които се описва как ще се разиграят катастрофи при изборна сигурност и те ще хвърлят една след друга държавни служители, за да видят как реагират.

"Бихме казали, ето ситуацията. Току-що получихме новинарски репортаж за руска информация за информация, извършена чрез ботове в Twitter", каза Розенбах. "Освен това от това избирателно място идват резултати, които се показват като затворени, но само за афро-американските избиратели. Тогава те ще трябва да реагират на това, докато в същото време 10 други неща намаляват - данните за регистрация бяха хакнати, инфраструктурата за гласуване е компрометирана, нещо изтече и отново и отново."

Проектът „Защитаваща дигитална демокрация“ направи проучване в 28 държави относно демографията и различните видове оборудване за анкетиране, за да скриптира симулациите, и на всички бе възложена роля. Администраторите на изборите на ниско ниво трябва да играят висши служители на измислена държава и обратно. Розенбах каза, че държавният секретар на Западна Вирджиния Мак Уорнър иска да играе работник по анкета.

Целта беше служителите от всички 38 щата да оставят симулацията с план за отговор в мислите си и да зададат правилните въпроси, когато това наистина има значение. Криптирахме ли тази връзка? Безопасна ли е базата данни с избиратели? Заключихме ли кой има физически достъп до избирателните машини преди изборния ден?

Вероятно по-важен страничен продукт от настолното упражнение беше създаването на мрежа от изборни служители в цялата страна за обмен на информация и обмен на най-добри практики. Розенбах го нарече нещо като "неформален ISAC", който остава много активен, водещ до средносрочните условия, за да могат държавите да споделят видовете атаки и уязвимости, които виждат.

Държавите също правят този вид обучение самостоятелно. През май Ню Йорк започна серия от регионални настолни учения в партньорство с Министерството на вътрешната сигурност, съсредоточени върху готовността за киберсигурност и отговор на заплахите.

NYS CISO Snyder заяви, че Държавният съвет по изборите осигурява специфично за изборите обучение на окръжните избори. В допълнение, безплатното обучение за осведоменост в кибернетичното пространство, предоставено на всички 140 000 държавни служители, също беше предоставено на местните общини, като им предостави както обучения, свързани с изборите, така и общо обучение по осведоменост относно киберсигурността. Снайдер каза също, че е посегнала към други държави, които са претърпели нарушения на данните за избирателите, за да разберат какво се е случило и защо.

"Партньорствата са това, което кара киберсигурността да работи. Липсата на споделяне на разузнавателна информация е причината да се провали", каза Снайдер. "Държавите осъзнават, че кибер не може да се направи в силози, а предимството на това споделено ситуационно осъзнаване далеч надвишава смущението от разказването на приказката за това как сте се хакнали."

D3P изпраща екипи от цялата страна по време на междинните срокове да наблюдават изборите в десетки щати и да докладват за подобряване на учебниците и обученията на проекта преди 2020 г. Едно мнение в редица източници е, че кибер противниците може да не ударят САЩ толкова силно по средата. Америка беше уловена изцяло извън охраната по време на изборите през 2016 г. и 2018 г. ще покаже на хакерите на националните държави какво имаме и не сме научили оттогава.

Кибервойна не се отнася само за нападения от фронтален план. Кампаниите за хакване и дезинформация са по-скрити и разчитат, че ще ви ударят с точно това, което не очаквате. Що се отнася до Русия, Иран, Китай, Северна Корея и други, много експерти по сигурността и външната политика се опасяват, че в цикъла на президентската кампания през 2020 г. ще дойдат далеч по-опустошителни атаки срещу изборите в САЩ.

"Руснаците са все още активни, но бих се изненадал, ако севернокорейците, китайците и иранците не внимаваха много внимателно, за да видят какво правим в средата на срока и да поставяме тайни основи, както всяка операция за кибер разузнаване", каза Rosenbach.

Кибер атаките, които наблюдаваме по време на междинните срокове и през 2020 г., може да дойдат от изцяло нови вектори, които не бяха в нито една от симулациите; ново поколение подвизи и техники, които никой не е очаквал или е готов да се сблъска. Но поне ще знаем, че идват.