Pod napadom: kako izborno hakiranje prijeti polugodištima

U ožujku su se dužnosnici iz 38 država spakirali u konferencijsku dvoranu u Cambridgeu, Massachusetts, na dvodnevnu vježbu simulacija izbora koja se vodila poput ratne igre.

Više od 120 državnih i lokalnih izbornih dužnosnika, direktora komunikacija, informatičkih menadžera i državnih tajnika vodili su vježbe simulirajući sigurnosne katastrofe koje bi se mogle dogoditi na najgori mogući dan izbora.

Vježba za stolove započela je svaku simulaciju nekoliko mjeseci prije polugodišnjih izbora 6. novembra, ubrzavajući vremensku traku sve dok države nisu suzbijale napade u stvarnom vremenu dok su glasači izašli na birališta. Organizirane projektom Defending Digital Democracy (D3P) na Harvardu, dvostranačkim naporima da se demokratski procesi zaštite od cyber i informativnih napada, vježbe su prisilile sudionike da reagiraju na jedan scenarij noćne more za drugim - hakiranje glasačkih strojeva i baze podataka birača, distribuirano odbijanje usluge (DDoS) napadi koji ruše web stranice, procurile su dezinformacije o kandidatima, lažne informacije o anketama koje se šire kako bi se suzbili glasovi i kampanje društvenih medija koje koordiniraju napadači nacionalnih država kako bi zasijali nepovjerenje.

Kao što smo vidjeli na nedavnim izborima širom svijeta, često se događaju višestruki napadi istovremeno.

"Razmislite o napadu uskraćivanja usluge i uobičajenim taktikama krađe identiteta i zlonamjernog softvera koristili bi se tijekom izbora", rekao je Eric Rosenbach, direktor i šef osoblja D3P-a američkog ministra obrane Ashton Carter od 2015. do 2017. godine.

"Dio koji bi me najviše zabrinuo kod DDoS-a je napad na web stranicu koja objavljuje rezultate u kombinaciji s vrhunskim modelom. Pogledajte što se dogodilo u Ukrajini 2014. godine. Rusi su DDoSed web stranicu Ukrajine koristili za objavljivanje rezultata izbora., zatim su sve usmjerili natrag u Russia Today i objavili lažne rezultate. Ukrajinci su bili zbunjeni oko toga tko je zapravo izabran za predsjednika."

Razumijevanje moderne sigurnosti izbora znači suočavanje sa zastrašujućom stvarnošću: posebno u Sjedinjenim Državama, infrastruktura je previše fragmentirana, zastarjela i ranjiva da bi se mogla u potpunosti osigurati. Također postoji i previše različitih napada preko krajolika prijetnji da bi ih sve zaustavilo.

PCMag je razgovarao s državnim dužnosnicima, političkim operativcima, akademicima, tehnološkim kompanijama i sigurnosnim istraživačima o ozbiljnim stvarnostima izborne sigurnosti u 2018. godini. Sa obje strane političkog prolaza, na svim razinama vlasti i širom tehnološke industrije, Sjedinjene Države suočava se s temeljnim prijetnjama od cyber sigurnosti našim izborima. Također planiramo kako reagirati kada stvari pođu po zlu, kako tijekom ovih presudnih izbora u sredini, tako i tijekom općih izbora 2020. godine.

Zaštita 'Attack Surface'

U kibernetičkoj sigurnosti svi izloženi sustavi i uređaji koji bi mogli biti napadnuti nazivaju se "napadnom površinom". Površina napada u američkim izborima je ogromna i može se podijeliti na tri ključne razine.

Prvi je infrastruktura za glasovanje; razmislite o strojevima za glasanje, bazama podataka o registraciji birača i svim web mjestima države i lokalne uprave koja ljudima govore gdje i kako glasati.

Zatim postoji razina sigurnosti kampanje. Kao što je pokazala 2016., kampanje su laki ciljevi hakera. Ukradeni podaci o kampanji tada se mogu upotrijebiti kao moćno oružje za treću, nejasniju razinu napada: grozan svijet oružanih dezinformacija i društvenih utjecajnih kampanja. Na ovom frontu, trolske armije aktera nacionalnih država nastavljaju djelovati preko interneta i napadaju platforme društvenih medija, koje su postale polarizirajuće bojište percepcije birača.

Pokušaj rješavanja nebrojenih sistemskih problema koji muče svaku od ovih razina često dovodi do više pitanja nego odgovora. Umjesto toga, mnoge strategije za ublažavanje rizika od izbora na izborima svode se na zdrav razum: glasačko listiće i revizija glasova; pružanje više sredstava državnim i lokalnim vlastima; i pružanje alata i sigurnosne obuke za predizborne kampanje i izborne dužnosnike.

Par složenijih i razdjelnijih pitanja, za administratore izbora i radnike kampanje, kao i birače: Kako pristupate izbornom procesu u eri društvenih medija prepunom dezinformacija na mreži? Kad sumnjate u sve digitalne podatke koji vam se prikazuju na ekranu, u što biste trebali vjerovati?

Što smo naučili od 2016. godine

Svaki razgovor o sigurnosti izbora u SAD-u u polugodištima i izvan njega, na kraju ponovno pronalazi put do predsjedničkih izbora 2016. godine. Prije te utrke vidjeli smo cyber napade usmjerene na kampanje i izbore od sredine 2000-ih, ali nikada prije u toj mjeri.

"Tada još nitko nije vidio takvo nešto. Šokantno je bilo pomisliti da će Rusija biti toliko hrabra da se miješa u našu demokraciju i utječe na nju u korist određenog kandidata", rekao je Rosenbach koji je svjedočio pred Kongresom u ožujku o ruskom uplitanju u izbore 2016. godine. "Već dvadeset godina radim na nacionalnoj sigurnosti i to je bio najkompliciraniji, najteži problem s kojim sam se ikada suočio."

U ovom su trenutku činjenice prilično jasne. Desetak Rusa koji navodno rade za GRU, rusku vojnu obavještajnu službu, optuženo je za hakiranje Demokratskog nacionalnog odbora (DNC) i propuštanje dokumenata organizacijama, uključujući WikiLeaks, koje su objavile više od 20 000 poruka e-pošte.

Radeći pod internetskim osobama, uključujući Guccifer 2.0, Fancy Bear i DCLeaks, optuženi hakeri također su u kolovozu 2016. prekršili baze podataka o registraciji birača u Illinoisu i Arizoni te ukrali podatke o više od 500.000 birača. Naknadna izvješća FBI-a i NSA utvrdila su da su hakeri kompromitirali softver za glasanje u 39 država tijekom predsjedničkih izbora 2016. godine. Zamjenik državnog tužitelja SAD-a Rod Rosenstein rekao je u optužnici ruskih hakera da je "cilj zavjere imao utjecaj na izbore".

To su bili samo napadi koji su pogodili prve dvije razine izborne infrastrukture. Na društvenim medijima, Rusija, Iran i druge puštale su tvornice botova i trolova - uključujući rusku Internet Research Agency (IRA) - koji su širili lažne vijesti i kupili tisuće političkih oglasa na Facebooku i Twitteru kako bi utjecali na mišljenje birača. Dok je povezan s političkim strankama, a ne s hakerima, Facebookov skandal Cambridge Analytica također je igrao ulogu u tome kako su platforme društvenih medija utjecale na izbore 2016. godine.

"Nismo reagirali brzo ili dovoljno snažno", rekao je Rosenbach. Dok je radio u Pentagonu, Rosenbach je bio dužnost zamjenika pomoćnika ministra obrane za cyber od 2011. do 2014. i pomoćnika ministra obrane za globalnu sigurnost koji nadgleda cyber-sigurnost.

Sada je sureditelj centra Belfer u Harvard's Kennedy School i direktor D3P. Osnovao ga je prošle godine zajedno s Mattom Rhoadesom, voditeljem kampanje za Mitta Romneyja tijekom izbora 2012., i Robbyjem Mookom, menadžerom kampanje Hillary Clinton 2016. godine.

"Važno je shvatiti sa sigurnosnog stajališta da sama kampanja nikada nije bila hakirana", rekao je Mook za PCMag. "Osobni računi e-pošte bili su hakirani, a DNC hakiran, ali mislim da je važno upozorenje svima da uistinu moramo osigurati cijeli ekosustav. Protivnici će ići kamo god mogu kako bi oružali podatke protiv različitih kandidata."

Phishing napad koji je uspješno hakirao osobni Gmail račun predsjednika Podružnice John Podesta 2016. godine Mook je shvatio da ne postoje mehanizmi koji bi mogli reagirati na napad ove veličine. Godine 2017. povezao se s Rhoadesom, koji se bavio stalnim pokušajima hakiranja kineskih cyber snaga tijekom Romneyjeve predsjedničke kandidature. Osnovna ideja bila je stvaranje kontrolnog popisa stvari koje treba učiniti kako bi se spriječili ovakvi iskorištavanja u budućim kampanjama i osigurati negdje za kampanje koje bi mogle proći kada su hakirane.

Njih dvoje su se povezali s Rosenbachom i radili su na objavljivanju D3P knjige o cybersecurity kampanji. Od tada surađuju na dvije druge knjige: jednu za državne i lokalne izborne administratore i onu koja priprema dužnosnike za komunikacije o tome kako se boriti protiv dezinformacija na mreži. Oni su također pomogli organizirati i pokrenuti međudržavne simulacije stolnih računala.

Mook nije želio provoditi previše vremena razgovarajući o 2016; Važno je da se ne nastavite ponovno preživjeti posljednju bitku kada se možete pripremiti za sljedeću, rekao je.

"Činjenica je da jednostavno ne znate zašto ili kako netko pokušava ući. Jednostavno znate da će to netko učiniti", rekao je Mook. "Najvažnije je razmisliti o tome što bi moglo biti sljedeće. Koje su prijetnje još nismo razmotrili ili vidjeli? Mislim da bi srednji rokovi potencijalno mogli stvoriti neke nove ranjivosti, ali mislim da je to više stvar gledanja na sustav kao na čitav i smišljajući svaki mogući način na koji bi netko mogao ući."



Pejzaž prijetnje pomicanja

Kako se približavamo srednjoročnim rokovima 2018. godine i suočavamo se s dugom slogom na američkim predsjedničkim izborima 2020., krajolik prijetnji dolazi u fokus.

Iako je predsjednik Trump umanjio opseg ruskog uplitanja, SAD je u ožujku pogodio Rusiju novim sankcijama. "Nastavljamo s opakom kampanjom slanja poruka Rusije kako bi pokušala oslabiti i podijeliti Sjedinjene Države", rekao je američki direktor Nacionalne obavještajne službe Dan Coats tijekom kolovoznog brifinga.

Do toga je došlo nakon što je Microsoft u srpnju spriječio pokušaj hakiranja koji je uključivao lažne domene koje su ciljale tri kandidata koji se kandiduju za ponovni izbor. Nekoliko tjedana prije objave ove priče, ruski državljanin optužen je za nadzor pokušaja manipulacije biračima putem Facebooka i Twittera kako bi ometao srednjoročne termine. Elena Khusyaynova, ruska državljanka imenovana u optužnici, navodno je upravljala financijskim i socijalnim operacijama povezanima s IRA-om, posjedujući proračun veći od 35 milijuna dolara koji je upravljao ruskim oligarhom i Putinovim saveznikom Jevgenijem Prigožinom.

Direktori nacionalne obavještajne službe, Odjel za domovinsku sigurnost i FBI objavili su zajedničku izjavu koja je uklopljena u optužnicu. U njemu se navodi da iako ne postoje tekući dokazi o ugroženoj glasačkoj infrastrukturi u međuvremenu, "neke države i lokalne vlasti izvijestile su o ublaženim pokušajima pristupa njihovim mrežama", uključujući baze podataka o registraciji birača.

U posljednjim tjednima prije sredozemnih izbora, američka kibernatska komanda navodno čak identificira ruske operativce koji imaju kontrolu nad računima trolova i obavještava ih da su SAD svjesne njihovih aktivnosti u nastojanju da spriječe miješanje izbora.

"Zabrinuti smo zbog tekućih kampanja Rusije, Kine i drugih stranih aktera, uključujući Iran, kako bi potkopali povjerenje u demokratske institucije i utjecali na javne osjećaje i vladine politike", navodi se u priopćenju. "Te aktivnosti također mogu nastojati utjecati na percepciju birača i odlučivanje na američkim izborima 2018. i 2020."

U potrazi za uzorcima

Kada prate aktivnosti stranih protivnika i ostalih potencijalnih cyber neprijatelja, stručnjaci traže obrasce. Toni Gidwani rekao je da je to poput proučavanja radarskog niza različitih različitih zlonamjernih entiteta; tražite pokazatelje ranog upozorenja kako biste ublažili rizik i osigurali najslabije veze u vašoj obrani.

Gidwani je direktor istraživačkih operacija tvrtke za cyber-sigurnost ThreatConnect. Protekle je tri godine provela u istraživanju ThreatConnect-a o DNK hacku i ruskim utjecajima na američke predsjedničke izbore 2016. godine; njezin je tim povezao Guccifer 2.0 sa Fancy Bear-om. Gidwani je prvo desetljeće karijere provela u DoD-u, gdje je gradila i vodila analitičke timove u obrambeno-obavještajnoj agenciji.

"Morate povući konce na puno različitih fronta", rekao je Gidwani. "Fancy Bear je radio mnogo različitih kanala kako bi pokušao DNC podatke uvesti u javno dobro. Guccifer je bio jedan od tih fronta, DCLeaks je jedan, a WikiLeaks prednja strana s najvećim učinkom."

Gidwani je srušio iskorištavanja nacionalnih država koje smo vidjeli u nekoliko različitih aktivnosti koje zajedno tvore višefaznu interferencijsku kampanju. Kršenja podataka usmjerena na kampanju dovela su do strateškog curenja podataka u kritičnim trenucima izbornog ciklusa.

"Zabrinuti smo za lažno predstavljanje i napade ljudi koji se nalaze u sredini. Te su informacije toliko dojmljive kada se pojave u javnoj domeni da vam možda neće trebati sofisticirani zlonamjerni softver, jer su kampanje takve operacije prikupljanja, sa priljev dobrovoljaca kao meta ", objasnila je. "Ne trebaju vam ranjivosti od jednog dana ako vaš lažno predstavljanje djeluje."

Napadaji prodora na državne odbore još su jedan pokušaj da poremete lanac opskrbe glasačkim strojem i uruše povjerenje u valjanost izbornih rezultata. Gidwani je rekao da zastarjela i fragmentirana priroda glasačke infrastrukture od države do države napada poput SQL ubrizgavanja, "za koji se nadamo da više ne bi smjeli biti niti dio knjige o napadima", ne samo moguća, već i učinkovita.

Te se operacije u velikoj mjeri razlikuju od Facebook grupa i Twitter trolskih računa koje su izmijenili IRA i drugi akteri nacionalnih država, uključujući Kinu, Iran i Sjevernu Koreju. Konačno, te kampanje više su za podizanje raspoloženja i provlačenje glasača širom političkog spektra, pojačavanje koordiniranog curenja podataka s političkim nagnućima. Kada su u pitanju dezinformacije, otkrili smo samo vrh ledenog brijega.

"Jedna od stvari zbog kojih su izbori tako izazovni jest da su sastavljeni od mnogo različitih djela bez ijednog dionika", rekao je Gidwani. "Veliki izazov s kojim se borimo u osnovi je političko pitanje, a ne tehničko. Platforme čine napore da se legitimni sadržaj lakše identificira provjerom kandidata. No, s obzirom na to kako se viralno ova vrsta sadržaja može širiti, potrebno je nas izvan svijeta informacijske sigurnosti."



Umetanje novih rupa u stari stroj

Na svojoj temeljnoj razini američka je izborna infrastruktura krpa - gomila zastarjelih i nesigurnih glasačkih strojeva, ranjive baze podataka o biračima i državne i lokalne web stranice kojima ponekad nedostaje čak i najosnovnije šifriranje i sigurnost.

Na zaostali način, fragmentirana priroda glasačke infrastrukture u cijeloj državi može je učiniti manje primamljivim ciljem od eksploatacije sa široko rasprostranjenim učinkom. Zbog zastarjele i ponekad analogne tehnologije u glasačkim strojevima i koliko se svaka država razlikuje od sljedeće, hakeri bi u svakom slučaju trebali uložiti značajne napore kako bi kompromitirali svaki pojedinačni lokalizirani sustav. To je u određenoj mjeri zabluda, jer hakiranje državne ili lokalne glasačke infrastrukture u ključnom okrugu može apsolutno utjecati na rezultat izbora.

Prije dva izborna ciklusa, Jeff Williams savjetovao se s glavnim američkim prodavateljem glasačkih strojeva, što je on odbio identificirati. Njegova je tvrtka izvršila ručni pregled koda i sigurnosni test glasačkih strojeva, tehnologije upravljanja izborima i sustava za brojanje glasova te otkrila niz ranjivosti.

Williams je CTO i suosnivač tvrtke Contrast Security te jedan od osnivača Projekta sigurnosti web aplikacija (OWASP). Kazao je da zbog arhaične prirode izbornog softvera kojim u mnogim slučajevima upravljaju lokalna područja koja često donose odluke o kupnji na temelju proračuna nego na sigurnosti, tehnologija se nije toliko promijenila.

"Ne radi se samo o glasačkim strojevima. Sav softver koji upotrebljavate za postavljanje izbora, upravljanje njima i prikupljanje rezultata", rekao je Williams. "Mašine imaju prilično dug životni vijek jer su skupe. Govorimo o milijunima linija koda i dugogodišnjem radu na pokušaju pregledavanja, uz sigurnost koja je složena za implementaciju i nije dobro dokumentirana. To je simptom je puno većeg problema - nitko nema uvid u ono što se događa u softveru koji koristi."

Williams je rekao da ni on nema puno vjerovanja u procese testiranja i certificiranja. Većina državnih i lokalnih uprava sastavila je male timove koji provode penetracijsko testiranje, istu vrstu testiranja koja su napravila naslove u Black Hat-u. Williams vjeruje da je to pogrešan pristup, u usporedbi s iscrpnim testiranjem osiguranja kvalitete softvera. Hakiranje natjecanja poput onih u selu za glasovanje na DefCon-u pronalaze ranjivosti, ali ne govore vam sve o potencijalnim podvizima koje niste pronašli.

Sustavniji problem diljem zemlje jest taj što se strojevi za glasanje i softver za upravljanje izborima znatno razlikuju od države do države. Registrirano je samo nekoliko glavnih dobavljača koji pružaju glasačke strojeve i certificirane sustave za glasanje, a to mogu biti glasački glasački sustavi, elektronički sustavi glasovanja ili kombinacija ova dva.

Prema neprofitnoj organizaciji Verified Voting, 99 posto američkih glasova računa se računalom u bilo kojem obliku, bilo skeniranjem različitih vrsta listića ili izravnim elektronskim unosom. Provjerenim izvješćem za glasanje za 2018. godinu utvrđeno je da 36 država i dalje koristi opremu za glasanje za koju je dokazano da nije sigurna, a 31 država će koristiti elektronički uređaj za izravno snimanje za barem dio birača.

Najslarmantnije, pet država - Delaware, Georgia, Louisiana, New Jersey i Južna Karolina - trenutno koriste elektroničke strojeve za glasanje s direktnim snimanjem, bez traga revizije na papiru. Dakle, ako se mijenjanje glasova izmijeni u elektroničkom sustavu, bilo fizičkim ili udaljenim krađama, države možda neće imati mogućnost provjere valjanih rezultata u postupku revizije gdje je često potrebno samo statističko uzorkovanje glasova, umjesto potpunog prebrojavanja, "Ne postoji kutija visećih čašica da bismo mogli računati", rekao je Joel Wallenstrom, izvršni direktor Wickr aplikacije šifrirane poruke za razmjenu poruka. "Ako u polaganju postoje tvrdnje da rezultati nisu stvarni, jer su Rusi nešto napravili, kako se nosimo s tim dezinformacijama? Ljudi čitaju bombastične naslove, a povjerenje u sustav ih dodatno uništava."

Nadogradnja infrastrukture za glasanje države po državi sa suvremenom tehnologijom i sigurnošću ne događa se sredinom razdoblja i vjerojatno ne prije 2020. Dok države, uključujući Zapadnu Virginiju, testiraju nove tehnologije kao što su blockchain za elektroničko snimanje i reviziju glasova, većina istraživača i sigurnosnih stručnjaka kažu da je umjesto boljeg sustava najsigurnija metoda provjere glasova papirnati trag.

"Tragovi revizije papira već su dugo vremena važan znak sigurnosti zajednice, a sredinom termina i vjerojatno na predsjedničkim izborima oni će se služiti tonom strojeva koji to nemaju", rekao je Williams. "Nije hiperbola reći da je to egzistencijalna prijetnja demokraciji."

Jedna od država s papirom za reviziju je New York. Deborah Snyder, glavna državna dužnosnica za informacijsku sigurnost, rekla je PCMagu na nedavnom samitu Nacionalnog saveza za cyber sigurnost (NCSA) da New York nije među 19 država čiji je procjena za 35 milijuna biračkih podataka prodano na mračnom webu. Međutim, javno dostupni zapisi birača u državi New York navodno su besplatno dostupni na drugom forumu.

Država redovito provodi procjene rizika svojih glasačkih strojeva i infrastrukture. New York je također uložio milijune od 2017. u lokalno otkrivanje upada kako bi poboljšao nadzor i reakciju na događaje, kako unutar države, tako i u koordinaciji s Centrom za razmjenu i analizu informacija (ISAC), koji je partner s drugim državama i privatnim sektorom.

"Mi smo u povišenom stupnju svijesti koje vodi do i kroz izbore", rekao je Snyder. "Imam momčadi na palubi od 6 sati ujutro, dan prije ponoći na dan izbora. Svi smo na palubi, od njujorškog Državnog obavještajnog centra do ISAC-a do lokalnog i državnog odbora za izbore i mog ureda, ITS-a i Odjel za domovinsku sigurnost i hitne službe."



Web stranice za lokalne izbore sjede patke

Posljednji i najčešće zanemareni aspekt sigurnosti države i lokalnih izbora su web stranice vlade koje građanima govore gdje i kako glasati. U nekim državama postoji šokantno mala dosljednost između službenih stranica, od kojih mnoge nemaju čak i najosnovnije HTTPS sigurnosne certifikate, što potvrđuje da su web stranice zaštićene SSL enkripcijom.

Tvrtka za cyber-sigurnost McAfee nedavno je istražila sigurnost web stranica županijskog izbornog odbora u 20 država i otkrila da samo 30, 7 posto web mjesta imaju SSL za šifriranje bilo kakvih podataka koje birači zadano dijele s web stranicom. U državama uključujući Montanu, Teksas i Zapadnu Virdžiniju 10 posto web lokacija ili manje su šifrirane s SSL-om. McAfeeovo istraživanje pokazalo je da samo u Teksasu 217 od 236 web stranica okruga za izbore ne koristi SSL.

Možete obavijestiti SSL šifriranu web lokaciju tražeći HTTPS u URL-u web stranice. U pregledniku ćete također vidjeti ikonu zaključavanja ili ključa, što znači da sigurno komunicirate s web mjesta za koje kažu da jesu. U lipnju je Googleov Chrome počeo označavati sve nešifrirane HTTP web lokacije kao "nisu sigurne".

"Nema SSL-a za 2018. godinu za pripremu za poluvremene znači da su te županijske web stranice daleko osjetljivije na napade MiTM-a i neovlašteno diranje podataka", rekao je Steve Grobman, McAfee CTO. "Često je to stara nesigurna varijanta HTTP-a koja vas ne preusmjerava na sigurne web-lokacije. U mnogim slučajevima web-lokacije bi dijelile certifikate. Stvari izgledaju bolje na državnoj razini, gdje je samo oko 11 posto web-lokacija nekodirano, ali ove lokalna županijska mjesta potpuno su nesigurna."

Od država uključenih u McAfeejevo istraživanje, samo Maine imao je više od 50 posto web stranica županijskih izbora s osnovnom enkripcijom. New York je bio samo na 26, 7 posto, a Kalifornija i Florida na oko 37 posto. No, nedostatak osnovne sigurnosti samo je pola priče. McAfeeovo istraživanje također nije pronašlo gotovo nikakvu dosljednost u domenama web stranica županijskih izbora.

Šokantno mali postotak stranica za državne izbore koristi domenu.gov koju je potvrdila vlada, umjesto da se odluče za uobičajene domene najviše razine (TLD) poput.com,.us,.org ili.net. U Minnesoti 95, 4 posto izbornih mjesta koristi nevladine domene, slijede Teksas s 95 posto i Michigan sa 91, 2 posto. Ta nedosljednost onemogućuje redovnom biraču da utvrdi koja su izborna mjesta legitimna.

U Teksasu 74, 9 posto lokalnih web stranica za registraciju birača koristi.us domenu, 7, 7 posto koristi.com, 11, 1 posto koristi.org, a 1, 7 posto koristi.net. Samo 4, 7 posto web-mjesta koristi.gov domenu. Na primjer, u teksaškoj županiji Denton, web stranica za županijske izbore je https://www.votedenton.com/, ali McAfee je otkrio da su povezane web stranice poput www.vote-denton.com dostupne za kupnju.

U scenarijima poput ovog, napadači ne moraju čak ni hakirati lokalne web stranice. Oni jednostavno mogu kupiti sličnu domenu i poslati phishing e-poruke koje ljude usmjeravaju da se registriraju za glasovanje putem lažne web lokacije. Oni čak mogu pružiti lažne podatke o glasanju ili pogrešne lokacije za biračko mjesto.

"Ono što vidimo u kibernetičkoj sigurnosti općenito je da će napadači koristiti najjednostavniji mehanizam koji je učinkovit za postizanje svojih ciljeva", rekao je Grobman. "Iako je moguće sami hakirati glasačke strojeve, postoji puno praktičnih izazova. Mnogo je lakše proći nakon registracije glasačkih sustava i baza podataka ili samo kupiti web mjesto. U nekim smo slučajevima otkrili da postoje slične domene koju su kupile druge stranke. Jednostavno je kao pronalaženje stranice za prodaju GoDaddy."



Kampanje: pokretni dijelovi i jednostavne ciljeve

Hakeri obično zahtijevaju više napora da se infiltriraju u sustav svake županije ili države, nego da se okrenu plodovima poput visećih plodova poput kampanja, gdje tisuće privremenih zaposlenika zarađuju za privlačne ocjene. Kao što smo vidjeli u 2016., utjecaj kršenja podataka u kampanjama i curenja informacija može biti katastrofalan.

Napadači mogu prodrijeti u kampanje na više različitih načina, ali najjača obrana jednostavno osigurava zaključavanje osnova. D3P-ova kampanja za cybersecurity sigurnost kampanje ne otkriva nikakve revolucionarne sigurnosne taktike. To je u suštini popis za provjeru koji se može provjeriti da li je svaki zaposlenik kampanje ili volonter provjeren te da li tko radi s podacima kampanje koristi mehanizme zaštite poput dvofaktorske provjere identiteta (2FA) i šifrirane usluge razmjene poruka, kao što su Signal ili Wickr. Također ih treba osposobiti za zdravu razumnu higijenu informacija uz svijest o tome kako uočiti sheme krađe identiteta.

Robby Mook govorio je o jednostavnim navikama: recimo, automatski brisanje e-poruka za koje znate da vam neće trebati, jer uvijek postoji vjerojatnost da će podaci procuriti ako sjede.

"Kampanja je zanimljiv primjer, jer smo imali taj drugi faktor na računima naše kampanje i poslovnim pravilima o čuvanju podataka i informacija unutar naše domene", objasnio je Mook. "Loši momci, saznali smo retrospektivno, dobili su puno osoblja koje je moglo kliknuti na phishing veze, ali ti pokušaji nisu bili uspješni, jer smo imali zaštitne mjere. Kad nisu uspjeli na taj način, otišli su okolo osobni računi ljudi."

Sigurnost kampanje je škakljiva: postoje tisuće pokretnih dijelova i često se nema novca i stručnosti za izgradnju najsuvremenijih zaštita od informacijske sigurnosti od nule. Tehnološka industrija pojačala se na tom frontu, pružajući kolektivni broj besplatnih alata za kampanje koje vode do srednjoročnih razdoblja.

Alphabet's Jigsaw osigurava DDoS zaštitu kampanja putem Project Shielda, a Google je proširio napredni program sigurnosti računa kako bi zaštitio političke kampanje. Microsoft nudi političkim strankama besplatno otkrivanje prijetnji na AccountGuardu u Office 365, a ovog ljeta tvrtka je bila domaćin radionicama o cyber-sigurnosti s DNC-om i RNC-om. McAfee daruje McAfee Cloud za osigurane izbore na godinu dana izbornim uredima u svih 50 država.

Druge cloud tehnologije i zaštitarske tvrtke - uključujući Symantec, Cloudflare, Centrify i Akamai - pružaju slične besplatne alate s popustom. Sve je to dio zajedničke PR kampanje kampanja tehnološke industrije, čineći više zajedničke napore na poboljšanju sigurnosti izbora od Silicijske doline u prošlosti.

Dobivanje kampanja na šifriranim aplikacijama

Wickr, na primjer, (više ili manje) omogućava kampanjama pristup svojoj usluzi besplatno, te izravno radi s kampanjama i DNC-om na obuci djelatnika kampanje i izgradnji sigurnih komunikacijskih mreža.

Broj kampanja koje koriste Wickr utrostručio se od travnja, a više od polovice kampanja Senata i preko 70 timova za političko savjetovanje koristilo je platformu od ovog ljeta, navodi tvrtka. Posljednja godina Audra Grassia, Wickrovo političko i vladino vodstvo, usmjeravala je napore s političkim odborima i kampanjama u Washington, DC.

"Mislim da ljudi izvan politike teško razumiju koliko je teško implementirati rješenja u više kampanja na svim razinama", rekla je Grassia. "Svaka kampanja je svoj zasebni mali posao s osobljem koje se rotira svake dvije godine."

Pojedine kampanje često nemaju sredstva za cyber-sigurnost, ali veliki politički odbori to čine. U jeku 2016. DNC je posebno uložio velika sredstva u cyber-sigurnost i ovakav način izgradnje odnosa sa Silicijskom dolinom. Odbor danas ima tehnološki tim od 35 ljudi koji vodi novi CTO Raffi Krikorian, nekada Twitter i Uber. Novi šef sigurnosne službe DNC-a Bob Lord ranije je bio sigurnosni izvršitelj u Yahoo-u koji je usko upoznat s rješavanjem katastrofalnih hakova.

Grassijev tim izravno surađuje s DNC-om, pomažući implementaciju Wickrove tehnologije i kampanjama nude različite razine obuke. Wickr je jedan od tehnoloških pružatelja usluga na tržištu DNC-a za kandidate. "Pomični dijelovi unutar kampanje zaista su zapanjujući", rekao je izvršni direktor Wickra Joel Wallenstrom.

Objasnio je da kampanje nemaju tehnično znanje ili resurse za ulaganje u sigurnost informacijskog sustava ili za plaćanje cijena u Silicijskoj dolini. Šifrirane aplikacije u osnovi nude ugrađenu infrastrukturu za premještanje svih podataka kampanje i interne komunikacije u sigurna okruženja bez angažiranja skupog konzultantskog tima koji će sve to konfigurirati. To nije sveobuhvatno rješenje, ali u najmanju ruku šifrirane aplikacije mogu se relativno brzo zaključati osnove kampanje.

U poluvremenu i na budućim izborima, rekao je Robby Mook, postoji nekoliko vektora kampanjskih napada koji ga najviše zanimaju. Jedan od njih su DDoS napadi na web stranice kampanje u kritičnim trenucima, kao što je to tijekom govora konferencije ili primarnog natjecanja kada kandidati bankaruju o donacijama na mreži. On je također zabrinut zbog lažnih web mjesta kao udarca dva do dva za krađu novca.

"Malo smo toga vidjeli, ali mislim da je jedna stvar koju treba paziti na lažne stranice za prikupljanje sredstava koje mogu stvoriti zbunjenost i sumnje u procesu donacije", rekao je Mook. "Mislim da bi moglo biti puno gore ako socijalni inženjering pokuša prevariti zaposlenike kampanje u oživljavanju novca ili preusmjeravanju donacija lopovima. Opasnost od toga je posebno velika, jer za protivnika ne samo da je unosna, već odvlači kampanje od stvarnih izdaje i drži ih usredotočenima na spletke."



Informativni rat za razum birača

Najteži aspekti moderne izborne sigurnosti za shvatiti, a kamoli zaštititi ih su dezinformacije i kampanje društvenog utjecaja. To je pitanje koje se najviše javno odigralo na mreži, u Kongresu i na društvenim platformama u srcu zagonetke koja prijeti demokraciji.

Lažne vijesti i dezinformacije koje se šire kako bi utjecale na birače mogu se pojaviti u mnogo različitih oblika. U 2016. godini proizašli su iz mikro ciljanih političkih oglasa na društvenim medijima, iz skupina i lažnih računa u kojima su kružile lažne informacije o kandidatima i iz procurjelih podataka iz kampanje strateški distribuiranih za informacijsko ratovanje.

Mark Zuckerberg danima nakon izbora slavno je rekao da su lažne vijesti na Facebooku koje utječu na izbore "prilično luda ideja". Bila je potrebna katastrofalna godina skandala s podacima i prihoda od Facebooka da bi se pronašao tamo gdje je sada: masovna čišćenja računa od neželjene pošte, provjera političkih oglasa i postavljanje srednjoročne izborne „ratne sobe“, kao dio sveobuhvatne strategije za borbu protiv izbora uplitanje.

Twitter je poduzeo slične korake, provjeravajući političke kandidate i vršeći racije protiv botova i trolova, ali dezinformacije i dalje postoje. Tvrtke su bile iskrene u vezi s činjenicom da su u utrci u naoružanju s cyber neprijateljima radi pronalaženja i brisanja lažnih računa i otkrivanja lažnih vijesti. Facebook je prošlog tjedna zatvorio propagandnu kampanju povezanu s Iranom koja je sadržavala 82 stranice, grupe i račune.

Ali algoritmi strojnog učenja i ljudski moderatori mogu ići samo tako daleko. Širenje dezinformacija putem WhatsAppa na predsjedničkim izborima u Brazilu samo je jedan primjer koliko posla društvenih medija trebaju obaviti.

Facebook, Twitter i tehnološki divovi poput Applea prešli su od prećutno priznavanja uloge koju njihove platforme igraju na izborima do prihvaćanja odgovornosti i pokušavanja da isprave vrlo složene probleme koji su im pomogli stvoriti. Ali je li to dovoljno?

"Utjecaj na izbore oduvijek je bio, ali ono što vidimo je nova razina sofisticiranosti", rekao je Travis Breaux, izvanredni profesor računalnih znanosti u Carnegie Mellon, čije se istraživanje odnosi na privatnost i sigurnost.

Breaux je rekao da se vrste dezinformacijskih kampanja koje viđamo iz Rusije, Irana i drugih aktera nacionalnih država nisu baš toliko različite od agenata špijunaže koji se koriste desetljećima. Ukazao je na knjigu iz 1983. pod nazivom KGB i sovjetske dezinformacije , koju je napisao bivši obavještajni časnik, a koja je govorila o državnim informacijskim kampanjama hladnog rata koje je sponzorirala država, a čiji je cilj bio zavaravanje, zbunjivanje ili podmetanje stranog mišljenja. Ruski hakeri i farme trolova rade isto danas, samo što su njihovi napori eksponencijalno uvećani snagom digitalnih alata i dosegom koji pružaju. Twitter u trenu može raznijeti čitav svijet.

"Postoji kombinacija postojećih tehnika, poput lažnih računa, koje smo sada operacionalizirali", rekao je Breaux. "Moramo se ubrzati i shvatiti kako izgledaju istinske, pouzdane informacije."

CTA McAfee-a Steve Grobman smatra da bi vlada trebala provoditi kampanje javnih službi kako bi podigla svijest o lažnim ili manipuliranim informacijama. Kazao je da je jedno od najvećih problema u 2016. godini bila jaka pretpostavka da narušeni podaci imaju integritet.

U kasnim fazama izbornog ciklusa, kada nema vremena za neovisnu provjeru valjanosti informacija, informacijsko ratovanje može biti posebno snažno.

"Kad su e-mailovi Johna Podesta objavljeni na WikiLeaksu, u tisku se postavilo pretpostavka da su svi oni zapravo Podestaovi e-poštom", rekao je Grobman. PCMag nije proveo izravnu istragu autentičnosti procurjele e-pošte, ali neke e-mailove s Podeste verificirane kao neistinite još uvijek kruže tek ove jeseni, prema FactCheck.org, projektu koji je istekao iz Centra za javnu politiku u Annenbergu na Sveučilištu Pennsylvanije.

"Jedna od stvari o kojoj trebamo educirati javnost jest da svaka informacija koja proizlazi iz kršenja može sadržavati izmišljene podatke isprepletene s legitimnim podacima kako bi se nahranili bilo koji narativni protivnici koji vas vode. Ljudi mogu vjerovati da je nešto izmišljeno što utječe na njihov glas."

To se može proširiti ne samo na ono što vidite na mreži i na društvenim mrežama, već i na logističke detalje o glasanju u vašem području. S obzirom na nedosljednost u nečem tako temeljnom, kao što su domene web stranica od jedne lokalne do druge općine, biračima je potrebno službeno sredstvo za otkrivanje stvarnog.

"Zamislite hakeri koji pokušavaju izboriti izbore prema kandidatu u određenom ruralnom ili urbanom području", rekao je Grobman. "Šaljete phishing e-poštu svim biračima koji kažu da su izbori zbog vremena odloženi za 24 sata ili im dajete lažno ažurirano mjesto za biranje."

Konačno, birači će filtrirati dezinformacije. Deborah Snyder, glavna direktorica informacijske sigurnosti države New York, rekla je: "Nemojte primati vijesti s Facebooka, glasajte o svom razmišljanju", i pobrinite se da vaše činjenice dolaze iz provjerenih izvora. Wickrov Joel Wallenstrom vjeruje da se birači moraju čeličiti da bi došlo do straha, nesigurnosti i sumnje. Također misli da biste trebali isključiti Twitter.

Robby Mook rekao je da, bilo da se bavite kibernetičkim kriminalom ili operacijama ratovanja podataka, važno je zapamtiti da su podaci koje vidite dizajnirani da razmišljaju i djeluju na određeni način. Ne.

"Birači moraju napraviti korak unatrag i zapitati se što im je važno, a ne ono što im se kaže", rekao je Mook. "Usredotočite se na suštinu kandidata, odluke koje će donijeti javni službenici i kako će te odluke utjecati na njihov život."



Baci sve što imamo kod njih. Pokrenite ga opet

Simulacijska vježba za zaštitu izbora za zaštitu digitalne demokracije započela je u 8 sati ujutro u Cambridgeu, Massachusetts. Kao što je i započelo, s sudionicima koji su radili u izmišljenim državama šest ili osam mjeseci prije dana održavanja izbora, 10 minuta vježbe činilo je 20 dana. Na kraju se svaka minuta odvijala u stvarnom vremenu dok su svi odbrojavali vrijeme biranja.

Rosenbach je rekao da su on, Mook i Rhoades ušli s 70 stranica scenarija u kojima je opisano kako će se odigrati katastrofa na izborima, a oni će baciti jednu za drugom na državne dužnosnike da vide kako reagiraju.

"Rekli bismo, evo kakve je situacije. Upravo smo dobili vijest o ruskoj info opciji koja se provodi kroz Twitter botove", rekao je Rosenbach. "Također, s ovog biračkog mjesta dolaze rezultati koji se prikazuju zatvorenima, ali samo za afroameričke birače. Tada bi na to trebali reagirati, dok istovremeno pada 10 drugih stvari - podaci o registraciji su hakirani, infrastruktura za glasanje je ugrožena, nešto je procurilo, i dalje i dalje."

Projekt Odbrana digitalne demokracije istraživao je u 28 država demografiju i različite vrste biračke opreme kako bi skicirao simulacije i svima je dodijeljena uloga. Administratori izbora na niskim razinama trebali su igrati vrhunske dužnosnike izmišljene države, i obrnuto. Rosenbach je rekao da je državni tajnik Zapadne Virdžinije Mac Warner želio glumiti anketnog radnika.

Cilj je bio da službenici iz svih 38 država ostave simulaciju s planom odgovora u svojim mislima i postave prava pitanja kad je to zaista važno. Jesmo li kriptirali ovu vezu? Je li baza podataka birača sigurna? Jesmo li zaključili tko ima fizički pristup biračkim strojevima prije dana izbora?

Vjerojatno važniji nusproizvod stolne vježbe bilo je stvaranje mreže izbornih službenika širom zemlje za razmjenu informacija i razmjenu najboljih praksi. Rosenbach je to nazvao svojevrsnim "neformalnim ISAC-om" koji je i dalje vrlo aktivan što dovodi do srednjeg razdoblja kako bi države mogle dijeliti vrste napada i ranjivosti koje vide.

Države također takvu obuku provode samostalno. New York je započeo niz regionalnih stolnih vježbi u svibnju u partnerstvu s Ministarstvom za unutarnju sigurnost usredotočenim na spremnost na cyber-sigurnost i odgovor na prijetnje.

NYS CISO Snyder rekao je da je Državni odbor za izbore osigurao obuku specifičnu za izbore za županijske odbore. Pored toga, besplatna edukacija o kibernetičkoj svijesti koja je osigurana za svih 140.000 državnih službenika također je dostupna lokalnim općinama, što im je omogućilo obuku specifičnu za izbore i opću obuku za osvještavanje cyber sigurnosti. Snyder je također rekla da je kontaktirala druge države koje su pretrpjele kršenje podataka o biračima kako bi otkrile što se dogodilo i zašto.

"Partnerstva su ono što utječe na cyber-sigurnost. Zbog nedostatka razmjene obavještajnih podataka ne uspijeva", rekao je Snyder. "Države shvaćaju da se cyber ne može učiniti u silosu, a prednost te zajedničke situacijske svijesti daleko nadmašuje neugodnost pričanja priče o tome kako ste se uhvatili."

D3P šalje timove diljem zemlje tijekom poluvremena da promatraju izbore u desetak država i izvijeste da poboljšaju udžbenike i treninge projekta prije 2020. Jedno mišljenje kako brojni izvori dijele je da cyber protivnici možda neće tako teško pogoditi SAD. u poluvremenu. Amerika je uhvaćena u potpunoj oprezi tijekom izbora 2016., a 2018. će pokazati hakerima nacionalnih država ono što imamo i od tada nismo naučili.

Kibernetsko ratovanje ne odnosi se samo na napade punih frontala. Kampanje za hakiranje i dezinformacije više su prikrivene i oslanjaju se na to da će vas udariti upravo onim što ne očekujete. Što se tiče Rusije, Irana, Kine, Sjeverne Koreje i drugih, mnogi se stručnjaci za sigurnost i vanjsku politiku boje da će u ciklusu predsjedničke kampanje 2020. godine doći do mnogo razornijih napada na američke izbore.

"Rusi su još uvijek aktivni, ali bio bih iznenađen ako Sjeverni Korejci, Kinezi i Iranci nisu pažljivo promatrali da vidimo što radimo u polaganju i polažu tajne temelje, baš kao i svaka obavještajna operacija", rekao je Rosenbach.

Kibernetički napadi koje vidimo tijekom polugodišta i 2020. godine mogu se javiti iz potpuno novih vektora koji nisu bili ni u jednoj od simulacija; nova generacija podviga i tehnika s kojima se nitko nije očekivao niti se morao suočiti. Ali barem ćemo znati da dolaze.