Под угрозой: как хакерство на выборах угрожает среднесрочной перспективе

В марте официальные лица из 38 штатов собрались в конференц-зале в Кембридже, штат Массачусетс, для двухдневного учения по моделированию выборов, которое проводилось как военная игра.

Более 120 государственных и местных чиновников по выборам, директоров по связям с общественностью, ИТ-менеджеров и государственных секретарей провели учения, имитирующие катастрофы безопасности, которые могут произойти в самый страшный день выборов.

Настольные учения начинались каждые месяцы моделирования до промежуточных выборов 6 ноября, ускоряя сроки, пока штаты противодействовали атакам в режиме реального времени, когда избиратели шли на избирательные участки. Организованный проектом «Защита цифровой демократии» (D3P) в Гарварде, двухпартийная попытка защитить демократические процессы от кибернетических и информационных атак, учения заставили участников реагировать на один кошмарный сценарий за другим - взлом машины голосования и базы данных избирателей, распределенный отказ в обслуживании. (DDoS) атаки, уничтожающие веб-сайты, просочившаяся дезинформация о кандидатах, ложная информация для голосования, распространяемая для подавления голосов, и кампании в социальных сетях, координируемые злоумышленниками из национальных государств, чтобы посеять недоверие.

Как мы видели на недавних выборах по всему миру, множественные атаки часто происходят одновременно.

«Подумайте об атаке типа« отказ в обслуживании »и о том, какую обычную тактику фишинга и вредоносного кода будет использовать во время выборов», - сказал Эрик Розенбах, директор и руководитель D3P министра обороны США Эштон Картер с 2015 по 2017 год.

«Больше всего меня беспокоит DDoS-атака - атака на веб-страницу с объявлением результатов в сочетании с высоким уровнем. Посмотрите, что произошло в Украине в 2014 году. Русские DDoSed - веб-страница, которую Украина использовала для объявления результатов выборов. затем направил всех обратно в Russia Today и представил поддельные результаты. Украинцы были озадачены тем, кто на самом деле был избран президентом ».

Понимание современной безопасности на выборах означает, что нужно справиться с пугающей реальностью: особенно в Соединенных Штатах, инфраструктура слишком фрагментирована, устарела и уязвима, чтобы быть полностью защищенной. Существует также слишком много различных типов атак в ландшафте угроз, чтобы остановить их всех.

PCMag поговорил с государственными чиновниками, политическими деятелями, учеными, технологическими компаниями и исследователями безопасности о суровых реалиях безопасности на выборах в 2018 году. По обе стороны политического прохода, на всех уровнях правительства и во всей технологической отрасли, Соединенные Штаты борется с фундаментальными угрозами кибербезопасности для наших выборов. Мы также планируем, как реагировать, когда что-то идет не так, как на этих важных промежуточных выборах, так и на всеобщих выборах 2020 года.

Защита «Поверхности атаки»

В кибербезопасности все уязвимые системы и устройства, которые могут быть атакованы, называются «поверхностью атаки». Поверхность атаки на выборах в США огромна и может быть разделена на три ключевых уровня.

Первый - это инфраструктура голосования; подумайте о машинах для голосования, базах данных регистрации избирателей и всех сайтах государственных и местных органов власти, которые сообщают людям, где и как голосовать.

Тогда есть уровень безопасности кампании. Как показал 2016 год, кампании являются легкой добычей для хакеров. Похищенные данные кампании могут быть использованы в качестве мощного оружия для третьего, более туманного уровня атаки: гнусного мира кампаний дезинформации и социального влияния. На этом фронте армии троллей действующих лиц национального государства продолжают действовать через Интернет и вторгаются в платформы социальных сетей, которые стали поляризационными полями битвы восприятия избирателей.

Попытка решить множество системных проблем, возникающих на каждом из этих уровней, часто приводит к большему количеству вопросов, чем ответов. Вместо этого многие из стратегий по снижению рисков для безопасности выборов сводятся к здравому смыслу: бумажное голосование и аудит голосования; предоставление государственным и местным органам власти большего объема ресурсов; и предоставление инструментов и обучения по вопросам безопасности для кампаний и сотрудников избирательных комиссий.

Пара более сложных и противоречивых вопросов для администраторов выборов и работников избирательных кампаний, а также избирателей: как вы подходите к избирательному процессу в эпоху социальных сетей, изобилующему дезинформацией в Интернете? И когда вы сомневаетесь во всей цифровой информации, которая появляется на вашем экране, во что вам следует верить?

Что мы узнали с 2016 года

Любой разговор о безопасности выборов в США в среднесрочной перспективе 2018 года и в последующий период в конечном итоге возвращается к президентским выборам 2016 года. До этой гонки мы видели кибератаки, направленные на кампании и выборы с середины 2000-х годов, но никогда в таком масштабе.

«В то время никто никогда не видел ничего подобного раньше. Было шокирующим думать, что Россия будет настолько наглой, что вмешается в нашу демократию и повлияет на нее в пользу определенного кандидата», - сказал Розенбах, который давал показания перед Конгрессом. в марте о вмешательстве России в выборы 2016 года. «Я работаю в сфере национальной безопасности уже 20 лет, и это была самая сложная проблема, с которой я когда-либо сталкивался».

На данный момент факты достаточно ясны. Десятке россиян, предположительно работающих в ГРУ, российской военной разведке, были предъявлены обвинения в том, что они взламывали Национальный демократический комитет (DNC) и просачивали документы в организации, включая WikiLeaks, которая выпустила более 20 000 электронных писем.

Действуя под эгидой онлайн-персонажей, в том числе Guccifer 2.0, Fancy Bear и DCLeaks, обвиняемые хакеры также взломали базы данных регистрации избирателей в Иллинойсе и Аризоне в августе 2016 года и украли информацию у более чем 500 000 избирателей. Последующие отчеты ФБР и АНБ показали, что хакеры взломали программное обеспечение для голосования в 39 штатах во время президентских выборов 2016 года. Заместитель генерального прокурора США Род Розенштейн заявил в обвинительном заключении российских хакеров, что «целью заговора было оказать влияние на выборы».

Это были просто атаки, поразившие первые два уровня избирательной инфраструктуры. В социальных сетях Россия, Иран и другие выпустили ботов и фабрики троллей, в том числе поддерживаемое Россией Агентство интернет-исследований (IRA), которые распространяли фальшивые новости и покупали тысячи политических объявлений в Facebook и Twitter, чтобы влиять на мнения избирателей. Скандал с Cambridge Analytica в Facebook, хотя и связан с политическими партиями, а не с внешними хакерами, также сыграл роль в влиянии социальных сетей на выборы 2016 года.

«Мы не отреагировали быстро или достаточно сильно», - сказал Розенбах. Работая в Пентагоне, Розенбах также занимал должность заместителя помощника министра обороны по кибер-угрозам с 2011 по 2014 год и помощника министра обороны по глобальной безопасности, курировавшего кибербезопасность.

В настоящее время он является со-директором Бельфер-центра при Гарвардской школе Кеннеди и директором D3P. Он основал его в прошлом году вместе с Мэттом Роудсом, менеджером кампании Митта Ромни во время выборов 2012 года, и Робби Мук, менеджером кампании Хиллари Клинтон в 2016 году.

«С точки зрения безопасности важно понять, что сама кампания никогда не была взломана», - сказал Мук PCMag. «Личные учетные записи электронной почты были взломаны, а DNC - взломаны, но я думаю, что это важное предупреждение для всех, что мы действительно должны защищать всю экосистему. Противники собираются пойти куда угодно, чтобы использовать информацию против различных кандидатов».

Фишинговая атака, которая успешно взломала личный аккаунт Gmail председателя DNC Джона Подеста в 2016 году, заставила Мука осознать, что не было никаких механизмов реагирования на атаку такого масштаба. В 2017 году он связался с Роудсом, который имел дело с постоянными попытками взлома китайскими кибер-силами во время президентской кампании Ромни. Основная идея состояла в том, чтобы создать контрольный список действий, которые необходимо предпринять, чтобы предотвратить подобные эксплойты в будущих кампаниях, и предоставить место для кампаний, когда они будут взломаны.

Эти два соединились с Розенбахом и работали, чтобы издать Книгу Игры Кампании безопасности D3P. С тех пор они сотрудничали над двумя другими сборниками пьес: один для администраторов выборов штата и местных органов власти, а другой - руководство по связям с общественностью о том, как противостоять дезинформации в Интернете. Они также помогли организовать и запустить межгосударственные настольные симуляции.

Мук не хотел тратить слишком много времени на разговоры о 2016 году; важно не продолжать переживать последний бой, когда вы можете подготовиться к следующему, сказал он.

«Дело в том, что вы просто не знаете, почему или как кто-то пытается войти. Вы просто знаете, что кто-то будет», - сказал Мук. «Самое главное - подумать о том, что может быть дальше. Какие угрозы мы еще не рассматривали или не видели? Я думаю, что среднесрочные перспективы потенциально могут выявить некоторые новые уязвимости, но я думаю, что больше нужно рассматривать систему как целое и выяснение каждого возможного пути, которым кто-то мог войти."



Изменчивая угроза

Поскольку мы приближаемся к среднесрочному периоду 2018 года и столкнемся с долгой встречей на президентских выборах в США в 2020 году, сфера угроз становится в центре внимания.

Хотя президент Трамп преуменьшил степень российского вмешательства, США в марте применили к России новые санкции. «Мы по-прежнему видим широкую кампанию по обмену сообщениями со стороны России, чтобы попытаться ослабить и разделить Соединенные Штаты», - заявил на брифинге в августе директор Национальной разведки США Дэн Коутс.

Это произошло после того, как в июле Microsoft приостановила попытку взлома поддельных доменов, нацеленных на трех кандидатов, баллотирующихся на переизбрание. За несколько недель до публикации этой истории российскому гражданину было поручено наблюдать за попытками манипулировать избирателями через Facebook и Twitter, чтобы вмешаться в среднесрочные периоды. Елена Хусянова, гражданка России, указанная в обвинительном заключении, якобы управляла финансовыми и социальными операциями, связанными с ИРА, имея бюджет в размере более 35 миллионов долларов, который финансировал российский олигарх и союзник Путина Евгений Пригожин.

Директора Национальной разведки, Министерства внутренней безопасности и ФБР опубликовали совместное заявление, приуроченное к обвинительному акту. В нем говорится, что, хотя в среднесрочной перспективе в настоящее время нет свидетельств нарушения инфраструктуры голосования, «некоторые государственные и местные органы власти сообщили о смягченных попытках доступа к своим сетям», включая базы данных регистрации избирателей.

По сообщениям, в последние недели перед промежуточными выборами киберкомандование США даже идентифицировало российских оперативников, контролирующих счета троллей, и информировало их о том, что США знают о своей деятельности, пытаясь предотвратить вмешательство в выборы.

«Мы обеспокоены продолжающимися кампаниями России, Китая и других иностранных игроков, включая Иран, по подрыву доверия к демократическим институтам и влиянию на общественные настроения и политику правительства», - говорится в заявлении. «Эти действия также могут повлиять на восприятие избирателей и принятие решений на выборах США в 2018 и 2020 годах».

В поисках моделей

При мониторинге активности иностранных противников и других потенциальных кибер-противников эксперты ищут закономерности. Тони Гидвани сказал, что это все равно что изучать радиолокационные системы всех различных злонамеренных объектов; Вы ищите индикаторы раннего предупреждения, чтобы снизить риск и обезопасить самые слабые звенья в вашей защите.

Гидвани - директор по исследованиям в компании кибербезопасности ThreatConnect. Последние три года она возглавляла исследование ThreatConnect о взломе DNC и российском влиянии на президентские выборы 2016 года в США; ее команда связала Guccifer 2.0 с Fancy Bear. Гидвани провела первое десятилетие своей карьеры в Министерстве обороны, где она создала и возглавляла аналитические группы в Агентстве военной разведки.

«Вы должны тянуть за ниточки на разных фронтах», - сказал Гидвани. «Fancy Bear работал над множеством различных каналов, чтобы попытаться вывести данные DNC в открытый доступ. Guccifer был одним из таких фронтов, DCLeaks был одним, а WikiLeaks был самым мощным фронтом».

Gidwani сломал эксплойты национального государства, которые мы видели в нескольких отличных действиях, которые вместе формируют многоэтапную кампанию вмешательства. Направленные на кампанию нарушения данных привели к утечке стратегических данных в критические моменты избирательного цикла.

«Мы наверняка обеспокоены фишинг-атаками и атаками типа« злоумышленник в середине ». Эта информация настолько эффективна, когда попадает в общественное достояние, что вам может не потребоваться сложное вредоносное ПО, поскольку кампании - это такие операции захвата, с приток добровольцев в качестве мишеней ", объяснила она. «Вам не нужны уязвимости нулевого дня, если ваш фишинг работает».

Атаки на проникновение в государственные избирательные комиссии - еще один момент, призванный нарушить цепочку поставок машин для голосования и подорвать уверенность в достоверности результатов выборов. По словам Гидвани, устаревшая и фрагментированная природа инфраструктуры голосования от штата к штату сделала атаки, такие как инъекции SQL, которые «мы надеемся, что они больше не должны быть частью книги атак», не только возможны, но и эффективны.

Эти операции в значительной степени отличаются от групп Facebook и аккаунтов троллей в Твиттере, созданных IRA и другими субъектами национальных государств, включая Китай, Иран и Северную Корею. В конечном счете, эти кампании больше направлены на разжигание настроений и раскачивание избирателей по всему политическому спектру, усиливая скоординированные утечки данных с политическими отклонениями. Когда дело доходит до дезинформации, мы обнаружили только верхушку айсберга.

«Одна из вещей, которая делает выборы настолько сложными, состоит в том, что они состоят из множества разных частей без единой заинтересованной стороны», - сказал Гидвани. «Большая проблема, с которой мы сталкиваемся, является в основном политическим, а не техническим вопросом. Платформы прилагают усилия, чтобы сделать легитимный контент более легко идентифицируемым путем проверки кандидатов. Но с тем, насколько вирусно этот тип контента может распространяться, это требует нас за пределами мира информационной безопасности ".



Закрепление новых отверстий в старой машине

На самом фундаментальном уровне американская избирательная инфраструктура представляет собой лоскутное одеяло - кучу устаревших и небезопасных машин для голосования, уязвимых баз данных избирателей, а также государственных и местных веб-сайтов, в которых иногда отсутствует даже самое основное шифрование и безопасность.

В обратном направлении фрагментарная природа общенациональной инфраструктуры голосования может сделать ее менее привлекательной целью, чем эксплойт с более широким влиянием. Из-за устаревшей, а иногда и аналоговой технологии в машинах для голосования, и того, насколько сильно каждое государство отличается от следующего, хакерам потребуется прилагать значительные усилия в каждом случае для компрометации каждой отдельной локализованной системы. В некоторой степени это неправильное представление, потому что взлом государственной или местной избирательной инфраструктуры в ключевом избирательном округе может абсолютно повлиять на исход выборов.

Два избирательных цикла назад Джефф Уильямс консультировался с одним из основных поставщиков оборудования для голосования в США, которого он отказался назвать. Его компания провела ручную проверку кода и проверку безопасности машин для голосования, технологий управления выборами и систем подсчета голосов и обнаружила множество уязвимостей.

Уильямс является техническим директором и соучредителем Contrast Security, а также одним из основателей проекта Open Web Application Security Project (OWASP). Он сказал, что из-за архаичной природы программного обеспечения для проведения выборов, которым во многих случаях управляют местные избирательные участки, которые часто принимают решения о закупках, основываясь скорее на бюджете, чем на безопасности, технология не сильно изменилась.

«Речь идет не только о машинах для голосования. Это все программное обеспечение, которое вы используете для организации выборов, управления ими и сбора результатов», - сказал Уильямс. «Машины имеют довольно долгий срок службы, потому что они дорогие. Мы говорим о миллионах строк кода и многолетней работе, пытаясь его пересмотреть, с безопасностью, которую сложно реализовать и которая недостаточно документирована. симптом гораздо более серьезной проблемы - никто не имеет представления о том, что происходит в программном обеспечении, которое они используют ".

Уильямс сказал, что он также не очень верит в процессы тестирования и сертификации. Большинство правительств штатов и местных органов власти собирают небольшие группы, которые проводят тестирование на проникновение, то же самое, что и заголовки в Black Hat. Вильямс считает, что это неправильный подход по сравнению с исчерпывающим тестированием обеспечения качества программного обеспечения. Хакерские конкурсы, подобные тем, которые проводятся в Деревне голосования на DefCon, обнаруживают уязвимости, но они не говорят вам все о потенциальных подвигах, которые вы не нашли.

Более системная проблема по всей стране состоит в том, что машины для голосования и программное обеспечение для управления выборами сильно различаются в разных штатах. Существует лишь несколько крупных поставщиков, зарегистрированных для предоставления аппаратов для голосования и сертифицированных систем голосования, которые могут быть системами для голосования на бумажных носителях, системами электронного голосования или их комбинацией.

По данным некоммерческой организации Verified Voting, 99 процентов голосов Америки подсчитываются с помощью компьютера в той или иной форме, либо путем сканирования различных типов бумажных бюллетеней, либо путем прямого электронного ввода. В отчете «Проверенное голосование» за 2018 год установлено, что 36 штатов все еще используют оборудование для голосования, которое оказалось небезопасным, а 31 штат будет использовать электронные машины для голосования с прямой записью, по крайней мере, для части избирателей.

Наиболее тревожно то, что пять штатов - Делавэр, Джорджия, Луизиана, Нью-Джерси и Южная Каролина - в настоящее время используют электронные машины для голосования с прямой записью без бумажного аудита, проверенного избирателем. Таким образом, если подсчет голосов изменяется в электронной системе, либо посредством физического, либо удаленного взлома, у штатов может не быть возможности проверить действительные результаты в процессе аудита, где часто требуется только статистическая выборка голосов, а не полный пересчет, «У нас нет коробки для подвешивания шейдов», - сказал Джоэл Валленстрем, генеральный директор приложения зашифрованных сообщений Wickr. «Если в среднесрочной перспективе есть заявления о том, что результаты нереальны, потому что русские что-то сделали, как мы справимся с этой дезинформацией? Люди читают напыщенные заголовки, и их доверие к системе еще больше подрывается».

Модернизация инфраструктуры для голосования по штатам с использованием современных технологий и безопасности не будет проводиться в среднесрочной перспективе и, вероятно, не раньше 2020 года. В то время как штаты, включая Западную Вирджинию, тестируют новые технологии, такие как блокчейн для электронной регистрации и аудита голосов, большинство исследователей и эксперты по безопасности скажем, что вместо более совершенной системы наиболее надежным методом проверки голосов является бумажный след.

«Бумажные аудиторские протоколы уже давно стали объединяющим криком для сообщества безопасности, и в среднесрочной перспективе и, возможно, на президентских выборах они будут использовать тонну машин, у которых этого нет», - сказал Уильямс. «Это не гипербола говорить, что это существенная угроза демократии».

Один из штатов с контрольным журналом - Нью-Йорк. Дебора Снайдер, директор по информационной безопасности штата, заявила PCMag на недавнем саммите Национального альянса по кибербезопасности (NCSA), что Нью-Йорк не входит в число 19 штатов, чьи приблизительно 35 миллионов записей избирателей выставлены на продажу в темной сети. Однако общедоступные записи избирателей штата Нью-Йорк якобы доступны бесплатно на другом форуме.

Государство регулярно проводит оценку рисков своих машин для голосования и инфраструктуры. С 2017 года Нью-Йорк также инвестировал миллионы в обнаружение локальных вторжений, чтобы улучшить мониторинг и реагирование на инциденты как внутри штата, так и в координации с Центром обмена информацией и анализа (ISAC), который сотрудничает с другими штатами и частным сектором.

«Мы находимся на повышенном уровне информированности, ведущей к выборам», - сказал Снайдер. «У меня есть команды на палубе с 6 утра за день до полуночи в день выборов. Мы все руки на палубе, от разведывательного центра штата Нью-Йорк до ISAC до местного и государственного совета по выборам и моего офиса, ITS и Отдел внутренней безопасности и экстренных служб ".



Местные избирательные сайты сидят уток

Последний и наиболее часто пропускаемый аспект государственной и местной избирательной безопасности - правительственные веб-сайты, рассказывающие гражданам, где и как голосовать. В некоторых штатах существует поразительно небольшая согласованность между официальными сайтами, на многих из которых отсутствуют даже самые базовые сертификаты безопасности HTTPS, что подтверждает, что веб-страницы защищены с помощью шифрования SSL.

Компания по кибербезопасности McAfee недавно провела исследование безопасности сайтов окружных избирательных комиссий в 20 штатах и ​​обнаружила, что только 30, 7 процента сайтов имеют SSL для шифрования любой информации, которую избиратель делит с сайтом по умолчанию. В штатах, включая Монтану, Техас и Западную Вирджинию, 10 процентов сайтов или меньше имеют SSL-шифрование. Исследование McAfee показало, что только в Техасе 217 из 236 избирательных сайтов округов не используют SSL.

Вы можете узнать сайт, зашифрованный с помощью SSL, посмотрев HTTPS в URL сайта. Вы также можете увидеть значок замка или ключа в своем браузере, что означает, что вы безопасно общаетесь с сайтом, о котором они говорят. В июне Google Chrome начал помечать все незашифрованные HTTP-сайты как «небезопасные».

«Отсутствие SSL в 2018 году для подготовки к среднесрочным периодам означает, что эти веб-сайты округов гораздо более уязвимы для атак MiTM и взлома данных», - сказал технический директор McAfee Стив Гробман. «Это часто старый небезопасный вариант HTTP, который не перенаправляет вас на защищенные сайты, и во многих случаях сайты делятся сертификатами. На государственном уровне дела обстоят лучше, когда только около 11 процентов сайтов не зашифрованы, но они местные сайты округа совершенно небезопасны ".

Из штатов, включенных в исследование McAfee, только в штате Мэн было более 50 процентов сайтов выборов в графствах с базовым шифрованием. Нью-Йорк был только на 26, 7 процента, в то время как Калифорния и Флорида были около 37 процентов. Но отсутствие базовой безопасности - это только половина дела. Исследование McAfee также не выявило практически никакой последовательности в доменах окружных избирательных сайтов.

Шокирующе небольшой процент государственных избирательных участков используют проверенный правительством домен.gov, вместо этого выбирая общие домены верхнего уровня (TLD), такие как.com,.us,.org или.net. В Миннесоте 95, 4 процента избирательных участков используют негосударственные домены, далее следуют Техас (95 процентов) и Мичиган (91, 2 процента). Это несоответствие делает практически невозможным для обычного избирателя определить, какие избирательные участки являются законными.

В Техасе 74, 9% местных веб-сайтов регистрации избирателей используют домен.us, 7, 7% используют.com, 11, 1% используют.org и 1, 7% используют.net. Только 4, 7 процента сайтов используют домен.gov. Например, в округе Дентон, штат Техас, веб-сайт выборов округа находится по адресу https://www.votedenton.com/, но McAfee обнаружил, что соответствующие сайты, такие как www.vote-denton.com, доступны для покупки.

В таких случаях злоумышленникам даже не нужно взламывать местные сайты. Они могут просто купить аналогичный домен и отправить фишинговые электронные письма, которые заставляют людей зарегистрироваться для голосования через мошеннический сайт. Они могут даже предоставить ложную информацию о голосовании или неправильные местоположения избирательных участков.

«Что мы видим в кибербезопасности в целом, так это то, что злоумышленники будут использовать самый простой механизм, эффективный для достижения своих целей», - сказал Гробман. «Хотя может быть возможно взломать сами машины для голосования, есть много практических проблем с этим. Намного проще пойти за системами регистрации избирателей и базами данных или просто купить веб-сайт. В некоторых случаях мы обнаружили, что были похожие домены купленный другими сторонами. Это так же просто, как найти страницу продажи GoDaddy."



Кампании: движущиеся части и легкие цели

Как правило, хакерам требуется больше усилий, чтобы проникнуть в систему каждого округа или штата, чем идти за низко висящими плодами, такими как кампании, в которых тысячи временных сотрудников получают привлекательные оценки. Как мы видели в 2016 году, последствия утечки данных кампании и утечки информации могут быть катастрофическими.

Злоумышленники могут проникать в кампании разными способами, но самая сильная защита - просто убедиться, что основы заблокированы. «Кампания по кибербезопасности» в D3P не раскрывает революционную тактику безопасности. По сути, это контрольный список, который они могут использовать, чтобы убедиться, что каждый сотрудник кампании или волонтер проверен, и что любой, кто работает с данными кампании, использует механизмы защиты, такие как двухфакторная аутентификация (2FA) и службы зашифрованных сообщений, такие как Signal или Wickr. Они также должны быть обучены здравому смыслу информационной гигиены с осознанием того, как выявлять фишинговые схемы.

Робби Мук говорил о простых привычках: скажем, об автоматическом удалении электронных писем, которые, как вы знаете, вам не понадобятся, потому что всегда есть вероятность утечки данных, если они будут сидеть сложа руки.

«Кампания является интересным примером, потому что у нас был второй фактор в наших учетных записях кампании и бизнес-правилах по хранению данных и информации в нашем домене», - пояснил Мук. «Плохие парни, как мы узнали в ретроспективе, заставили множество сотрудников переходить по фишинговым ссылкам, но эти попытки не увенчались успехом, потому что у нас были защитные меры. Когда они не могли таким образом попасть, они обошли личные счета людей."

Безопасность кампании сложна: существуют тысячи движущихся частей, и зачастую нет бюджета или опыта для создания передовых средств защиты информации с нуля. Техническая индустрия вышла на этот фронт, предоставив целый ряд бесплатных инструментов для кампаний, ведущих на среднесрочный период.

Jigsaw от Alphabet обеспечивает защиту кампаний от DDoS через Project Shield, а Google расширил свою передовую программу защиты учетных записей для защиты политических кампаний. Microsoft предлагает политическим партиям бесплатное обнаружение угроз AccountGuard в Office 365, и этим летом компания провела семинары по кибербезопасности с DNC и RNC. McAfee бесплатно раздает McAfee Cloud для защищенных выборов в течение года в избирательные бюро во всех 50 штатах.

Другие компании, занимающиеся облачными технологиями и безопасностью, включая Symantec, Cloudflare, Centrify и Akamai, предоставляют аналогичные бесплатные или дисконтные инструменты. Это все часть коллективной пиар-кампании в индустрии высоких технологий, которая прилагает более согласованные усилия для повышения безопасности выборов, чем Силиконовая долина в прошлом.

Получение кампаний в зашифрованных приложениях

Например, Wickr (более или менее) предоставляет кампаниям бесплатный доступ к своим услугам и напрямую работает с кампаниями и DNC для обучения работников кампании и создания безопасных сетей связи.

По данным компании, с апреля число кампаний с использованием Wickr утроилось, и более половины кампаний в Сенате и более 70 политических консалтинговых групп использовали эту платформу этим летом. Аудра Грассия, политический и правительственный лидер Wickr, в течение прошлого года возглавляла свои усилия с политическими комитетами и кампаниями в Вашингтоне, округ Колумбия.

«Я думаю, что людям, не относящимся к политике, трудно понять, как сложно развертывать решения в нескольких кампаниях на каждом уровне», - сказала Грассия. «Каждая кампания - это отдельный отдельный малый бизнес, в котором сотрудники меняются каждые два года».

Отдельные кампании часто не имеют финансирования для кибербезопасности, но крупные политические комитеты имеют. После 2016 года DNC, в частности, вложил значительные средства в кибербезопасность и построение таких отношений с Силиконовой долиной. В настоящее время в комитете работает техническая команда из 35 человек во главе с новым техническим директором Раффи Крикоряном, ранее работавшим в Twitter и Uber. Новый директор по безопасности DNC, Боб Лорд, ранее был специалистом по безопасности в Yahoo, который хорошо знаком с проблемой катастрофических взломов.

Команда Grassia работала напрямую с DNC, помогая развернуть технологию Wickr и предлагая кампании различного уровня обучения. Wickr является одним из поставщиков технологий, представленных на технологическом рынке DNC для кандидатов. «Движущиеся части кампании действительно ошеломляют», - сказал генеральный директор Wickr Джоэл Валленстрем.

Он объяснил, что у кампаний нет технических знаний или ресурсов для инвестирования в информационную безопасность корпоративного уровня или для оплаты цен в Силиконовой долине за таланты. Зашифрованные приложения, по сути, предлагают встроенную инфраструктуру для перемещения всех данных кампании и внутренних коммуникаций в безопасные среды без привлечения дорогой консалтинговой команды для ее настройки. Это не всеобъемлющее решение, но, по крайней мере, зашифрованные приложения могут относительно быстро заблокировать основные элементы кампании.

Роберт Мук сказал, что на промежуточных и будущих выборах есть несколько направлений кампании, которые его больше всего волнуют. Один из них - DDoS-атаки на веб-сайты кампании в критические моменты, например, во время выступления на конвенции или первичного конкурса, когда кандидаты делают ставку на пожертвования в Интернете. Он также беспокоится о фальшивых сайтах как об одном-двух ударах, чтобы украсть деньги.

«Мы видели немного этого, но я думаю, что стоит обратить внимание на поддельные сайты по сбору средств, которые могут создать путаницу и сомнения в процессе пожертвования», - сказал Мук. «Я думаю, что это может стать еще хуже, если социальная инженерия попытается обмануть сотрудников кампании, чтобы они перевели деньги или перенаправили пожертвования ворам. Опасность этого особенно высока, потому что для противника это не только выгодно, но и отвлекает кампании от реальных проблемы и держит их сосредоточены на интригу ".



Информационная война для сознания избирателей

Наиболее сложными аспектами современной безопасности выборов, которые необходимо понять, не говоря уже о защите от них, являются кампании дезинформации и социального влияния. Эта проблема наиболее широко обсуждалась в Интернете, в Конгрессе и на социальных платформах, лежащих в основе загадки, угрожающей демократии.

Поддельные новости и дезинформация, распространяемая с целью повлиять на избирателей, могут иметь различные формы. В 2016 году они были получены из микро-целевых политических объявлений в социальных сетях, из групп и фальшивых аккаунтов, распространяющих ложную информацию о кандидатах, и из просочившихся данных кампании, стратегически распространенных для информационной войны.

Марк Цукерберг сказал, что через несколько дней после выборов поддельные новости в Facebook, влияющие на выборы, были «довольно сумасшедшей идеей». Facebook потребовался ужасный год для скандалов с данными и получения доходов, чтобы достичь того, где он сейчас находится: массовая очистка учетных записей политического спама, проверка политической рекламы и создание промежуточной избирательной «комнаты военных действий» в рамках всеобъемлющей стратегии борьбы с выборами. вмешиваются.

Twitter предпринял аналогичные шаги, проверяя политических кандидатов и расправляясь с ботами и троллями, но дезинформация сохраняется. Компании были честны по поводу того, что они участвуют в гонке вооружений с кибер-противниками, чтобы найти и удалить фальшивые аккаунты и предотвратить ложные новости. Facebook прекратил связанную с Ираном пропагандистскую кампанию, включающую 82 страницы, группы и аккаунты, только на прошлой неделе.

Но алгоритмы машинного обучения и люди-модераторы могут зайти так далеко. Распространение дезинформации через WhatsApp на президентских выборах в Бразилии является лишь одним из примеров того, как много работы социальных сетей необходимо проделать.

Facebook, Twitter и такие технологические гиганты, как Apple, перешли от молчаливого признания роли, которую играют их платформы в выборах, к принятию ответственности и попыткам решить очень сложные проблемы, которые они помогли создать. Но достаточно ли этого?

«Влияние на выборы всегда было там, но мы видим новый уровень сложности», - сказал Трэвис Бро, доцент кафедры компьютерных наук в Carnegie Mellon, чьи исследования касаются конфиденциальности и безопасности.

По словам Бро, типы дезинформационных кампаний, которые мы наблюдаем в России, Иране и других субъектах национального государства, ничем не отличаются от тех, которые агенты шпионских сборников использовали в течение десятилетий. Он указал на книгу 1983 года под названием «КГБ и дезинформация Советского Союза» , написанную бывшим сотрудником разведки, в которой рассказывалось о спонсируемых государством информационных кампаниях времен «холодной войны», направленных на то, чтобы ввести в заблуждение, запутать или разжечь чужое мнение. Российские хакеры и троллейные фермы делают сегодня то же самое, только их усилия экспоненциально увеличиваются мощью цифровых инструментов и предоставляемым ими охватом. Твиттер может мгновенно передать сообщение всему миру.

«Существует комбинация существующих методов, таких как фальшивые аккаунты, которые, как мы видим, сейчас начинают функционировать», - сказал Бро. «Мы должны ускориться и понять, как выглядит подлинная, доверенная информация».

Технический директор McAfee Стив Гробман считает, что правительство должно проводить кампании по оказанию общественных услуг для повышения осведомленности о ложной или манипулируемой информации. Он сказал, что одной из самых больших проблем в 2016 году было вопиющее предположение о целостности нарушенных данных.

На поздних этапах избирательного цикла, когда нет времени для независимой проверки достоверности информации, информационная война может быть особенно мощной.

«Когда электронные письма Джона Подеста были опубликованы на WikiLeaks, пресса исходила из того, что все они действительно были электронными письмами Подесты», - сказал Гробман. PCMag не проводил прямого расследования подлинности просочившихся электронных писем, но некоторые электронные письма Podesta, подтвержденные как ложные, все еще распространялись этой осенью, согласно FactCheck.org, проекту, запущенному Центром общественной политики Annenberg в университете Пенсильвании

«Одной из вещей, о которых нам необходимо информировать общественность, является то, что любая информация, полученная в результате взлома, может содержать сфабрикованные данные, переплетенные с законными данными, для того, чтобы направлять то, к чему ведут вас противники, рассказывающие повествование. Люди могут верить в то, что они сфабрикованы, что влияет на их голос».

Это может распространяться не только на то, что вы видите в Интернете и в социальных сетях, но также и на логистическую информацию о голосовании в вашем регионе. Учитывая несоответствие в чем-то столь фундаментальном, как домены веб-сайтов от одного местного муниципалитета к другому, избирателям нужны официальные средства определения того, что реально.

«Представьте, что хакеры пытаются повлиять на выборы кандидата в той или иной сельской или городской местности», - сказал Гробман. «Вы отправляете фишинговое электронное письмо всем избирателям, в котором говорится, что из-за погоды выборы были отложены на 24 часа, или вы предоставляете им ложное обновленное местоположение избирательного участка».

В конечном счете, избиратели должны отсеять дезинформацию. Начальник службы информационной безопасности штата Нью-Йорк Дебора Снайдер сказала: «Не получайте ваши новости из Facebook, проголосуйте за свое мышление» и убедитесь, что ваши факты поступают из проверенных источников. Джоэл Валленстром из Wickr полагает, что избиратели должны быть готовы к тому, что FUD будет очень много (страх, неуверенность и сомнение). Он также думает, что вы должны просто отключить Twitter.

Робби Мук сказал, что независимо от того, имеете ли вы дело с киберпреступностью или операциями по сбору данных, важно помнить, что информация, которую вы видите, предназначена для того, чтобы заставить вас думать и действовать определенным образом. Не.

«Избирателям нужно сделать шаг назад и спросить себя, что для них важно, а не то, что им говорят», - сказал Мук. «Сосредоточьтесь на сути кандидатов, решениях, которые эти государственные должностные лица будут принимать, и как эти решения повлияют на их жизнь».



Брось все, что у нас есть. Запустите это снова

Тренинг по моделированию безопасности выборов в рамках проекта «Защита цифровой демократии» начался в 8 часов утра в Кембридже, штат Массачусетс. С началом, когда участники работали в вымышленных штатах за шесть или восемь месяцев до дня выборов, 10 минут упражнения составляли 20 дней. К концу каждая минута происходила в режиме реального времени, так как все отсчитывали время опроса.

Розенбах сказал, что он, Мук и Роудс описали 70 страниц сценариев сценариев того, как разыгрываются катастрофы на выборах, и они бросали одну за другой государственных чиновников, чтобы посмотреть, как они отреагируют.

«Мы бы сказали, что вот ситуация, мы только что получили новостной репортаж о российской информационной операции, выполненной через ботов в Твиттере», - сказал Розенбах. «Кроме того, результаты поступают из этого избирательного участка, который он показывает как закрытый, но только для афроамериканских избирателей. Тогда они должны будут реагировать на это, в то время как в то же время происходит 10 других вещей - регистрационные данные были взломаны Инфраструктура голосования нарушена, что-то просочилось и так далее."

Проект «Защищающаяся цифровая демократия» провел исследование в 28 штатах по демографии и различным типам оборудования для голосования, чтобы внести свой вклад в моделирование, и каждому была назначена роль. Низкоуровневые администраторы выборов должны играть в высших чиновников вымышленного государства, и наоборот. Розенбах сказал, что госсекретарь Западной Вирджинии Мак Уорнер хотел сыграть в опрос.

Цель состояла в том, чтобы официальные лица из всех 38 штатов оставили в уме симуляцию с планом реагирования и задавали правильные вопросы, когда это действительно важно. Мы зашифровали эту ссылку? Безопасна ли база данных избирателей? Мы заперли, кто имеет физический доступ к избирательным участкам до дня выборов?

Возможно, более важным побочным продуктом настольного учения было создание сети должностных лиц по выборам по всей стране для обмена информацией и передовым опытом. Розенбах назвал это своего рода «неформальным ISAC», который оставался очень активным, приводя к среднесрочным последствиям для государств, чтобы разделить типы атак и уязвимостей, которые они видят.

Государства также проводят подобные тренинги самостоятельно. В мае в Нью-Йорке в сотрудничестве с Департаментом внутренней безопасности США была проведена серия региональных настольных учений, направленных на обеспечение готовности к кибербезопасности и реагирование на угрозы.

NYS CISO Snyder сказал, что Государственная комиссия по выборам провела обучение по выборам для окружных комиссий по выборам. Кроме того, для местных муниципалитетов были предоставлены бесплатные тренинги по кибербезопасности, которые были организованы для всех 140 000 государственных служащих, что обеспечило им как подготовку к конкретным выборам, так и общую подготовку по вопросам кибербезопасности. Снайдер также сказала, что обратилась в другие штаты, которые пострадали от нарушений данных избирателей, чтобы выяснить, что произошло и почему.

«Партнерство - это то, что заставляет работать кибербезопасность. Отсутствие обмена разведданными - вот почему это не удается», - сказал Снайдер. «Государства понимают, что кибер нельзя делать в бункерах, и преимущество этой общей ситуационной осведомленности намного превышает смущение рассказа о том, как вас взломали».

D3P отправляет команды по всей стране в среднесрочные периоды, чтобы наблюдать за выборами в десятках штатов и отчитываться, чтобы улучшить учебники и тренинги проекта до 2020 года. Одно мнение, которое разделяют многие источники, заключается в том, что кибер-противники могут не так сильно ударить по США. в среднесрочной перспективе. Америка была застигнута врасплох во время выборов 2016 года, и 2018 год покажет хакерам национального государства то, что мы имеем и с тех пор не узнали.

Кибервойна - это не только лобовые атаки. Кампании по взлому и дезинформации являются более скрытными, и они полагаются на то, что вас ударили именно тем, чего вы не ожидаете. Что касается России, Ирана, Китая, Северной Кореи и других, многие эксперты в области безопасности и внешней политики опасаются, что гораздо более разрушительные атаки на выборы в США произойдут в цикле президентской кампании 2020 года.

«Русские по-прежнему активны, но я был бы удивлен, если бы северокорейцы, китайцы и иранцы не очень внимательно следили за тем, что мы делаем в среднесрочной перспективе, и закладываем подпольные основы, как любая интеллектуальная кибер операция», - сказал он. Rosenbach.

Кибератаки, которые мы наблюдаем в среднесрочной перспективе и в 2020 году, вполне могут исходить из совершенно новых векторов, которых не было ни в одном из симуляций; новое поколение подвигов и техник, которые никто не ожидал и не готов встретить. Но, по крайней мере, мы будем знать, что они идут.