Under angrep: hvordan valg av hacking truer midtermene

I mars pakket embetsmenn fra 38 stater inn i et konferansesal i Cambridge, Massachusetts, for en to-dagers valgsimuleringsøvelse som ble kjørt som et krigsspill.

Mer enn 120 statlige og lokale valgfunksjonærer, kommunikasjonsdirektører, IT-ledere og statssekretærer kjørte øvelser som simulerte sikkerhetskatastrofer som kan skje på den verste valgdagen som kunne tenkes.

Øvelsen på bordplaten begynte hver simulering måneder før valget mellom 6. november, og akselererte tidslinjen til statene motarbeidet angrep i sanntid da velgerne gikk til valgurnene. Organisert av Defending Digital Democracy (D3P) -prosjektet i Harvard, et topartsforsøk for å beskytte demokratiske prosesser mot cyber- og informasjonsangrep, tvang boremaskinene deltakerne til å svare på det ene mareritt-scenariet etter det andre - stemmemaskin og valgdatabase hacks, distribuerte benektelse av tjenesten (DDoS) angrep på å ta ned nettsteder, lekke feilinformasjon om kandidater, falske meningsmåling informasjon spredt for å undertrykke stemmer, og kampanjer på sosiale medier koordinert av nasjonalstatens angripere for å så mistillit.

Som vi har sett ved de siste valgene rundt om i verden, forekommer ofte flere angrep samtidig.

"Tenk på et fornektelse av tjenesteangrepet og den normale taktikken for phishing og malware vil bruke under et valg, " sa Eric Rosenbach, D3P-direktør og stabssjef til USAs forsvarsminister Ashton Carter fra 2015 til 2017.

"Den delen jeg vil være mest opptatt av med et DDoS er et angrep mot en webside som kunngjør resultater kombinert med en high-end. Se på hva som skjedde i Ukraina i 2014. Russerne DDoSed websiden Ukraina brukte for å kunngjøre valgresultater, styrte så alle tilbake til Russia Today og ga falske resultater. Ukrainere ble forvirret over hvem som faktisk hadde blitt valgt til president."

Å forstå moderne valgsikkerhet betyr å ta tak i en skremmende virkelighet: spesielt i USA er infrastrukturen for fragmentert, utdatert og sårbar til å være fullstendig sikret. Det er også altfor mange forskjellige typer angrep over trussellandskapet til å noen gang stoppe dem alle.

PCMag snakket med statlige tjenestemenn, politiske operativer, akademikere, teknologiselskaper og sikkerhetsforskere om de sterke realitetene i valgsikkerhet i 2018. På begge sider av den politiske midtgangen, på alle regjeringsnivåer, og i hele teknologibransjen, USA kjemper med grunnleggende cybersecurity-trusler mot valget. Vi planlegger også hvordan vi skal reagere når ting går galt, både under dette avgjørende midtidsvalget og i stortingsvalget i 2020.

Beskytte "Attack Surface"

I cybersecurity kalles alle de utsatte systemene og enhetene som kan angripes "angrepsoverflaten." Angrepsoverflaten til et amerikansk valg er enormt og kan deles inn i tre nøkkelnivåer.

Den første er infrastruktur for stemmegivning; tenke stemmemaskiner, velgerregistreringsdatabaser og alle statlige og lokale myndigheter nettsteder som forteller folk hvor og hvordan de skal stemme.

Så er det kampanjenes sikkerhetsnivå. Som 2016 viste, er kampanjer enkle mål for hackere. Stjelde kampanjedata kan deretter brukes som et potent våpen for det tredje, mer nebuløse angrepsnivået: den skumle verdenen av våpnet feilinformasjon og sosiale innflytelseskampanjer. På denne fronten fortsetter trollhærene til nasjonalstatlige aktører å operere over hele nettet og invadere plattformer på sosiale medier, som har blitt polariserende slagmarker for velgeroppfatningen.

Å prøve å løse de utallige systemiske problemene som plager hvert av disse nivåene, fører ofte til flere spørsmål enn svar. I stedet kommer mange av strategiene for å dempe valgsikkerhetsrisikoen ned på sunn fornuft: papiravstemning og voteringsrevisjon; gi statlige og lokale myndigheter mer ressurser; og tilby verktøy og sikkerhetstrening for kampanjer og valgfunksjonærer.

Et par mer kompliserte og splittende spørsmål, for valgadministratorer og kampanjearbeidere så vel som velgere: Hvordan nærmer du deg valgprosessen i den sosiale medie-epoken, fylt med feilinformasjon på nettet? Og når du har tvil om all digital informasjon som kommer over skjermen din, hva skal du tro?

Hva vi lærte fra 2016

Enhver samtale om amerikansk valgsikkerhet i midtmermene i 2018 og utover finner etter hvert veien tilbake til presidentvalget i 2016. Før det løpet hadde vi sett cyberangrep rettet mot kampanjer og valg siden midten av 2000-tallet, men aldri før i den grad.

"På den tiden hadde ingen noen gang sett noe lignende før. Det var sjokkerende å tro at Russland ville være så modig at de blandet seg inn i demokratiet vårt og påvirker det til fordel for en viss kandidat, " sa Rosenbach, som vitnet før kongressen. i mars om russisk innblanding i valget i 2016. "Jeg har jobbet i nasjonal sikkerhet i 20 år nå, og dette var det mest kompliserte, vanskelige problemet jeg noen gang har taklet."

På dette tidspunktet er fakta ganske klare. Et titalls russere som angivelig jobbet for GRU, Russlands militære etterretningstjeneste, ble tiltalt for å ha hacket den demokratiske nasjonale komiteen (DNC) og lekket dokumenter til organisasjoner inkludert WikiLeaks, som ga ut over 20.000 e-poster.

De beskyldte hackerne, som opererte under personaer på nettet inkludert Guccifer 2.0, Fancy Bear og DCLeaks, brøt også databaser med velgerregistrering i Illinois og Arizona i august 2016 og stjal informasjon om mer enn 500 000 velgere. Etterfølgende rapporter fra FBI og NSA fant at hackere kompromittert stemmeprogramvare i 39 stater under presidentvalget i 2016. Den amerikanske riksadvokaten Rod Rosenstein sa i tiltalen til russiske hackere at "målet med konspirasjonen var å ha innvirkning på valget."

Dette var bare angrepene som traff de to første nivåene av valginfrastruktur. På sosiale medier løsnet Russland, Iran og andre roboter og trollfabrikker - inkludert det russisk-støttede Internet Research Agency (IRA) - som spredte falske nyheter og kjøpte tusenvis av politiske annonser på Facebook og Twitter for å påvirke velgerens meninger. Mens den er knyttet til politiske partier snarere enn utenfor hackere, spilte Facebooks Cambridge Analytica-skandale også en rolle i hvordan sosiale medieplattformer påvirket valget i 2016.

"Vi reagerte ikke raskt eller sterkt nok, " sa Rosenbach. Mens han jobbet i Pentagon, fungerte Rosenbach også som assisterende assisterende forsvarssekretær for cyber fra 2011 til 2014, og assisterende forsvarsminister for global sikkerhet som hadde tilsyn med cybersikkerhet.

Han er nå meddirektør for Belfer Center ved Harvards Kennedy School og direktør for D3P. Han grunnla den i fjor sammen med Matt Rhoades, Mitt Romneys kampanjesjef under valget i 2012, og Robby Mook, Hillary Clintons kampanjesjef i 2016.

"En viktig ting å forstå fra et sikkerhetsmessig synspunkt er at selve kampanjen aldri ble hacket, " sa Mook til PCMag. "Personlige e-postkontoer ble hacket, og DNC ble hacket, men jeg tror det er en viktig advarsel for alle at vi virkelig trenger å sikre hele økosystemet. Motstandere kommer til å dra hvor som helst de kan for å våpne informasjon mot forskjellige kandidater."

Phishing-angrepet som med succes hacket DNC-styreleder John Podestas personlige Gmail-konto i 2016, forlot Mook med erkjennelsen av at det ikke var noen mekanismer på plass for hvordan man kunne reagere på et angrep i denne størrelsesorden. I 2017 koblet han seg sammen med Rhoades, som hadde taklet stadige hackingforsøk fra kinesiske cyberstyrker under Romneys presidentkjøring. Den grunnleggende ideen var å lage en sjekkliste over ting du kan gjøre for å forhindre utnyttelser som dette i fremtidige kampanjer og å skaffe et sted for kampanjer å gå når de ble hacket.

De to koblet seg sammen med Rosenbach og jobbet for å gi ut D3P Cybersecurity Campaign Playbook. De har siden samarbeidet om to andre spillbøker: en for statlige og lokale valgadministratorer, og en som beskriver kommunikasjonsfunksjonærer om hvordan de kan motvirke feilinformasjon på nettet. De var også med på å organisere og kjøre simuleringer av utdannelse på bordplaten.

Mook ønsket ikke å bruke for mye tid på å snakke om 2016; Det er viktig å ikke gjenoppleve den siste kampen når du kan forberede deg på den neste, sa han.

"Faktum er at du bare ikke vet hvorfor eller hvordan noen prøver å komme seg inn. Du vet bare at noen vil gjøre det, " sa Mook. "Det viktigste er å tenke på hva som kan være det neste. Hva er truslene vi ikke har vurdert eller sett enda? Jeg tror midtstasjonene potensielt vil komme til å overflate noen nye sårbarheter, men jeg tror det handler mer om å se på systemet som et hele og finne ut alle mulige måter noen kunne komme seg inn på."



Landskapet med skiftende trussel

Når vi nærmer oss midttermene i 2018 og møter den lange parolen til det amerikanske presidentvalget i 2020, kommer trusselandskapet i fokus.

Selv om president Trump har bagatellisert omfanget av russisk innblanding, slo USA Russland med nye sanksjoner i mars. "Vi fortsetter å se en gjennomgripende meldingskampanje fra Russland for å prøve å svekke og dele USA, " sa den amerikanske direktøren for nasjonal etterretning Dan Coats under en briefing i august.

Det kom etter at Microsoft i juli stymied et hackingforsøk som involverte falske domener rettet mot tre kandidater som kjører for gjenvalg. Bare noen uker før denne historien ble publisert, ble en russisk statsborger tiltalt for å ha hatt tilsyn med et forsøk på å manipulere velgere gjennom Facebook og Twitter for å blande seg inn i mellomliggerne. Elena Khusyaynova, en russisk statsborger som er navngitt i tiltalen, administrerte angivelig økonomiske og sosiale operasjoner tilknyttet IRA, og hadde et budsjett på mer enn $ 35 millioner bankrullert av den russiske oligarken og Putin-allierte Yevgeny Prigozhin.

Direktørene for National Intelligence, Department of Homeland Security og FBI ga ut en felles uttalelse som var tidsinnstilt med tiltalen. Den opplyser at selv om det ikke er noen gjeldende bevis for kompromittert stemmesikkerhetsinfrastruktur i mellomstasjonene, har "noen statlige og lokale myndigheter rapportert formildede forsøk på å få tilgang til nettverkene sine, " inkludert databaser for velgerregistrering.

I de siste ukene før valget i mellomtiden er det angivelig at US Cyber ​​Command til og med identifiserer russiske operativer som kontrollerer trollkontoer og informerer dem om at USA er klar over deres aktiviteter i et forsøk på å avskrekke valgmedling.

"Vi er bekymret for pågående kampanjer fra Russland, Kina og andre utenlandske aktører, inkludert Iran, for å undergrave tilliten til demokratiske institusjoner og påvirke den offentlige stemningen og regjeringens politikk, " heter det i uttalelsen. "Disse aktivitetene kan også forsøke å påvirke velgerens oppfatninger og beslutninger i USAs valg 2018 og 2020."

Ser du etter mønstre

Når man overvåker aktivitet fra utenlandske motstandere og andre potensielle cyber fiender, leter eksperter etter mønstre. Toni Gidwani sa at det er som å studere en radarrekke med alle de forskjellige ondsinnede enhetene der ute; du søker etter indikatorer for tidlig varsling for å dempe risiko og sikre de svakeste leddene i forsvaret ditt.

Gidwani er direktør for forskningsoperasjoner hos nettvirksomheten ThreatConnect. Hun har brukt de siste tre årene på spissen for ThreatConnects forskning på DNC-hack og russisk innflytelsesoperasjoner på det amerikanske presidentvalget i 2016; teamet hennes koblet Guccifer 2.0 til Fancy Bear. Gidwani tilbrakte det første tiåret av sin karriere ved DoD, der hun bygde og ledet analyseteam på Forsvarsetaten.

"Du må trekke strengene på mange forskjellige fronter, " sa Gidwani. "Fancy Bear jobbet på mange forskjellige kanaler for å prøve å få DNC-dataene til det offentlige. Guccifer var en av disse frontene, DCLeaks var en, og WikiLeaks var den mest effektive fronten."

Gidwani brøt sammen nasjonalstatsutnyttelsene vi har sett på i noen få forskjellige aktiviteter som til sammen danner en flertrinns interferenskampanje. De kampanjefokuserte databruddene førte til strategiske datalekkasjer på kritiske øyeblikk i valgsyklusen.

"I vi er opptatt av spydfisking og angrep på midten av mennesker for sikker. Denne informasjonen er så påvirkelig når den kommer i det offentlige, at du kanskje ikke trenger sofistikert skadelig programvare, fordi kampanjer er slike pickup-operasjoner, med en tilstrømning av frivillige som mål, "forklarte hun. "Du trenger ikke nulldagers sårbarheter hvis spydfiskingen fungerer."

Gjennomtrengningsangrepene på statlige valgstyr er en annen tanke som er ment å forstyrre forsyningskjeden til stemmeautomaten og uthule tilliten til valgresultatene. Gidwani sa at den utdaterte og fragmenterte naturen til stemmeafrastruktur fra stat til stat gjorde angrep som SQL-injeksjoner, som "vi håper ikke en gang skulle være en del av angrepsspillboken lenger", ikke bare mulig, men også effektiv.

Disse operasjonene er i stor grad adskilt fra Facebook-gruppene og Twitter-trollkontoer som er utslettet av IRA og andre nasjonalstatsaktører, inkludert Kina, Iran og Nord-Korea. Til syvende og sist handler kampanjene mer om å vekke opp stemningen og svaie velgerne over det politiske spekteret, forsterke de koordinerte datalekkasjene med politiske skråblikk. Når det gjelder feilinformasjon, har vi bare avdekket toppen av isfjellet.

"En av tingene som gjør valg så utfordrende, er at de består av mange forskjellige brikker uten en eneste interessent, " sa Gidwani. "Den store utfordringen vi bryter med er i grunnen et politisk spørsmål, ikke et teknisk spørsmål. Plattformene gjør et forsøk på å gjøre legitimt innhold lettere identifiserbart ved å verifisere kandidater. Men med hvor viralt denne typen innhold kan spre seg, tar det oss utenfor informasjonssikkerhetens verden."



Plugging av nye hull i den gamle maskinen

På sitt mest grunnleggende nivå er amerikansk valginfrastruktur et lappeteppe - et virvar av utdaterte og usikre stemmemaskiner, sårbare velgerdatabaser og statlige og lokale nettsteder som noen ganger mangler selv den mest grunnleggende kryptering og sikkerhet.

På en bakovervendt måte kan den fragmenterte naturen til landsdekkende stemmeafrastruktur gjøre det til et mindre tiltalende mål enn en utnyttelse med mer utbredt innvirkning. På grunn av den utdaterte og noen ganger analoge teknologien i stemmemaskiner og hvor enormt hver stat skiller seg fra den neste, vil hackere måtte bruke betydelig innsats i hvert tilfelle for å kompromittere hvert enkelt lokalt system. Det er en misforståelse til en viss grad, fordi hacking av statlig eller lokal stemmeinfrastruktur i et sentralt svingdistrikt absolutt kan påvirke et valgresultat.

For to valgsykler siden konsulterte Jeff Williams en stor amerikansk leverandør av stemmeautomater, som han takket nei til å identifisere. Selskapet hans gjorde en manuell kodegjennomgang og sikkerhetstest av stemmemaskinene, valgstyringsteknologien og stemmetellingssystemene, og fant en rekke sårbarheter.

Williams er CTO og medgründer av Contrast Security, og en av grunnleggerne av Open Web Application Security Project (OWASP). Han sa at på grunn av den arkaiske karakteren til valgprogramvare, som i mange tilfeller administreres av lokale distrikter som ofte tar kjøpsbeslutninger basert mer på budsjett enn sikkerhet, har teknologien ikke endret så mye.

"Det handler ikke bare om stemmemaskinene. Det er all programvaren du bruker for å sette opp et valg, styre det og samle resultatene, " sa Williams. "Maskinene har en ganske lang levetid fordi de er dyre. Vi snakker om millioner av kodelinjer og mange års arbeid med å prøve å gjennomgå det, med sikkerhet som er komplisert å implementere og ikke er godt dokumentert. Det er en symptom på et mye større problem - ingen har noen innsikt i hva som skjer i programvaren de bruker."

Williams sa at han heller ikke har stor tro på test- og sertifiseringsprosessene. De fleste statlige og lokale myndigheter setter sammen små team som gjør penetrasjonstesting, den samme typen testing som fikk overskrifter på Black Hat. Williams mener at det er feil tilnærming, sammenlignet med uttømmende testing av programvarekvalitet. Hackekonkurranser som de i Voting Village på DefCon finner sårbarheter, men de forteller deg ikke alt om de potensielle utnyttelsene du ikke fant.

Det mer systemiske problemet landsdekkende er at stemmemaskiner og valgstyringsprogramvare skiller seg massivt fra stat til stat. Det er bare en håndfull større leverandører som er registrert for å tilby stemmemaskiner og sertifiserte stemmesystemer, som kan være stemmesedler, elektroniske stemmesystemer eller en kombinasjon av de to.

I følge den ideelle organisasjonen Verified Voting, blir 99 prosent av USAs stemmer talt med datamaskiner i en eller annen form, enten ved å skanne forskjellige typer papiravstemminger eller gjennom direkte elektronisk oppføring. Verified Voting's rapport fra 2018 fant at 36 stater fremdeles bruker stemmeapparat som er bevist å være usikkert, og 31 stater vil bruke elektroniske stemmemaskiner med direkte innspilling for minst en del av velgerne.

Det mest urovekkende bruker fem stater - Delaware, Georgia, Louisiana, New Jersey og South Carolina - for tiden elektroniske stemmemaskiner med direkte innspilling uten valg av bekreftet papirrevisjon. Så hvis stemmetelling blir endret i det elektroniske systemet, verken gjennom et fysisk eller eksternt hack, kan staten ikke ha noen måte å verifisere de gyldige resultatene i en revisjonsprosess der det ofte bare er nødvendig med en statistisk prøvetaking av stemmene, i stedet for en fullstendig omtale.

"Det er ikke en boks med hengende chads for oss å regne, " sa Joel Wallenstrom, administrerende direktør for den krypterte meldingsappen Wickr. "Hvis det er påstander i midten, at resultatene ikke er reelle fordi russerne gjorde noe, hvordan håndterer vi det feilinformasjonsspørsmålet? Folk leser bombastiske overskrifter, og deres tillit til systemet er erodert ytterligere."

Oppgradering av stemmesystemer for stemmeavstemning med moderne teknologi og sikkerhet skjer ikke for midtstoppene og sannsynligvis ikke før 2020. Mens stater inkludert West Virginia tester nye teknologier som blockchain for elektronisk avstemning og revisjon av avstemninger, stemmer de fleste forskere og sikkerhetseksperter si at i stedet for et bedre system, er den sikreste metoden for å verifisere stemmer en papirspor.

"Papirrevisjonsspor har vært et ropskrik for sikkerhetsfellesskapet i lang tid, og i midtpermene og sannsynligvis presidentvalget vil de bruke massevis av maskiner som ikke har det, " sa Williams. "Det er ikke hyperbole å si at dette er en eksistensiell trussel mot demokratiet."

En av delstatene med papirrevisjonsspor er New York. Deborah Snyder, statens administrasjonssjef for informasjonssikkerhet, sa til PCMag på et nylig toppmøte i National Cyber ​​Security Alliance (NCSA) at New York ikke var blant de 19 statene hvis estimerte 35 millioner velgerrekorder er til salgs på det mørke nettet. Imidlertid er offentlig tilgjengelige velgerstatistikker i New York angivelig tilgjengelige gratis på et annet forum.

Staten gjennomfører regelmessige risikovurderinger av sine stemmemaskiner og infrastruktur. New York har også investert millioner siden 2017 i lokal påvisning av inntrenging for å forbedre overvåkning og respons av hendelser, både i staten og i koordinering med informasjonsdelings- og analysesenteret (ISAC), som samarbeider med andre stater og privat sektor.

"Vi har økt bevissthet frem til og gjennom valget, " sa Snyder. "Jeg har lag på dekk fra 06.00 dagen før til midnatt på valgdagen. Vi er alle hender på dekk, fra New York State Intelligence Center til ISAC til det lokale og statlige styret for valg og mitt kontor, ITS og avdelingen for hjemmetrygghet og nødetater."



Lokale valgnettsteder sitter ender

Det siste og ofte oversett aspektet ved statlig og lokal valgsikkerhet er myndighetene som forteller innbyggerne hvor og hvordan de skal stemme. I noen stater er det sjokkerende liten konsistens mellom offisielle nettsteder, hvorav mange mangler selv de mest grunnleggende HTTPS-sikkerhetssertifikater, som bekrefter at websider er beskyttet med SSL-kryptering.

Cybersecurity-selskapet McAfee undersøkte nylig sikkerheten på nettstedene til fylkesvalgstyret i 20 stater og fant ut at bare 30, 7 prosent av nettstedene har SSL for å kryptere all informasjon en velger deler med nettstedet som standard. I stater inkludert Montana, Texas og West Virginia er 10 prosent av nettstedene eller færre SSL-kryptert. McAfees forskning fant at i Texas alene, 217 av 236 fylkesvalgnettsteder ikke bruker SSL.

Du kan fortelle et SSL-kryptert nettsted ved å se etter HTTPS i nettadressen til nettstedet. Du kan også se et låse eller nøkkelikon i nettleseren din, noe som betyr at du kommuniserer sikkert med et nettsted som er den de sier de er. I juni startet Googles Chrome å flagge alle ukrypterte HTTP-nettsteder som "ikke sikre."

"Å ikke ha SSL i 2018 som forberedelse til mellomtonene betyr at disse fylkets nettsteder er langt mer sårbare for MiTM-angrep og tukling av data, " sa McAfee CTO Steve Grobman. "Det er ofte en gammel usikker HTTP-variant som ikke viderekobler deg til å sikre nettsteder, og i mange tilfeller vil nettstedene dele sertifikater. Ting ser bedre ut på statlig nivå, der bare rundt 11 prosent av nettstedene er ukryptert, men disse lokale fylkessteder er helt usikre."

Av delstatene som er inkludert i McAfees forskning, var det bare Maine som hadde over 50 prosent av fylkets valgnettsteder med grunnleggende kryptering. New York var bare på 26, 7 prosent, mens California og Florida var rundt 37 prosent. Men mangelen på grunnleggende sikkerhet er bare halve historien. McAfees forskning fant heller nesten ingen konsistens i domenene til fylkesvalgnettsteder.

En sjokkerende liten prosentandel av statlige valgnettsteder bruker det regjeringsverifiserte.gov-domenet, i stedet velger felles toppdomener (TLD-er) som.com,.us,.org eller.net. I Minnesota bruker 95, 4 prosent av valgstedene ikke-statlige domener, etterfulgt av Texas på 95 prosent og Michigan på 91, 2 prosent. Denne inkonsekvensen gjør det nesten umulig for en vanlig velger å skjelne hvilke valgsteder som er legitime.

I Texas bruker 74, 9 prosent av de lokale nettsteder for velgerregistrering.us-domenet, 7, 7 prosent bruker.com, 11, 1 prosent bruker.org og 1, 7 prosent bruker.net. Bare 4, 7 prosent av nettstedene bruker.gov-domenet. I Texas fylke Denton, for eksempel, er nettstedet for fylkesvalget https://www.votedenton.com/, men McAfee fant ut at relaterte nettsteder som www.vote-denton.com er tilgjengelige.

I scenarier som dette trenger ikke angripere engang å hacke lokale nettsteder. De kan ganske enkelt kjøpe et lignende domene og sende phishing-e-poster som ber folk om å registrere seg for å stemme gjennom det uredelige nettstedet. De kan til og med gi falsk informasjon om stemmegivning eller uriktige stedsplasser.

"Det vi ser innen cybersecurity generelt er at angripere vil bruke den enkleste mekanismen som er effektiv for å nå sine mål, " sa Grobman. "Selv om det kan være mulig å hacke stemmemaskinene selv, er det mange praktiske utfordringer for det. Det er mye lettere å gå etter velgerregistreringssystemer og databaser, eller bare kjøpe et nettsted. I noen tilfeller fant vi ut at det var lignende domener kjøpt av andre parter. Det er like enkelt som å finne en GoDaddy for salg-side."



Kampanjer: Flytting av brikker og enkle mål

Det krever generelt mer krefter for hackere å infiltrere hvert enkelt fylkeskommune eller statens system enn å gå etter lite hengende frukt, som kampanjer, der tusenvis av midlertidig ansatte sørger for tiltalende merker. Som vi så i 2016, kan virkningen av brudd på kampanjedata og informasjonslekkasjer være katastrofalt.

Angripere kan trenge gjennom kampanjer på en rekke forskjellige måter, men det sterkeste forsvaret er ganske enkelt å sørge for at det grunnleggende er låst. D3Ps kampanje Cybersecurity Playbook avslører ingen banebrytende sikkerhetstaktikker. Det er egentlig en sjekkliste de kan bruke for å sikre at hver kampanjeansatt eller frivillig blir kontrollert, og at alle som jobber med kampanjedata bruker beskyttelsesmekanismer som tofaktorautentisering (2FA) og krypterte meldingstjenester som Signal eller Wickr. De må også få opplæring i informasjonshygiene fra sunn fornuft med bevissthet om hvordan de kan oppdage phishing-ordninger.

Robby Mook snakket om enkle vaner: si, automatisk å slette e-postmeldinger du vet at du ikke trenger, fordi det alltid er en sjanse for at data lekker hvis de sitter rundt.

"Kampanjen er et interessant eksempel, fordi vi hadde den andre faktoren på kampanjekontoer og forretningsregler for å holde data og informasjon innenfor vårt domene, " forklarte Mook. "Skurkene, lærte vi i ettertid, fikk mange ansatte til å klikke gjennom phishing-koblinger, men disse forsøkene var ikke vellykkede, fordi vi hadde beskyttelsestiltak på plass. Når de ikke kunne komme på den måten, gikk de rundt til folks personlige kontoer."

Kampanjesikkerhet er vanskelig: Det er tusenvis av bevegelige deler, og ofte er det ikke noe budsjett eller ekspertise for å bygge nyskapende informasjonssikkerhetsbeskyttelse fra bunnen av. Teknologibransjen har trappet opp på denne fronten, og har samlet en rekke gratis verktøy for kampanjer frem til midtstoppene.

Alphabet's Jigsaw gir kampanjer DDoS-beskyttelse gjennom Project Shield, og Google har utvidet sitt avanserte kontosikkerhetsprogram for å beskytte politiske kampanjer. Microsoft tilbyr politiske partier gratis gjenkjenning av AccountGuard-trusler i Office 365, og i sommer arrangerte selskapet nettverksworkshops med både DNC og RNC. McAfee gir bort et McAfee Cloud for sikrede valg gratis i et år til valgkontorer i alle 50 stater.

Andre skyteknologi- og sikkerhetsselskaper - inkludert Symantec, Cloudflare, Centrify og Akamai - tilbyr lignende gratis eller rabatterte verktøy. Det hele er en del av teknologibransjens kollektive PR-kampanje slags, og gjør en mer samordnet innsats for å forbedre valgsikkerheten enn Silicon Valley har gjort tidligere.

Få kampanjer på krypterte apper

Wickr, for eksempel, gir (mer eller mindre) kampanjer tilgang til tjenesten gratis, og jobber direkte med kampanjer og DNC for å trene kampanjearbeidere og bygge ut sikre kommunikasjonsnettverk.

Antall kampanjer som bruker Wickr har tredoblet seg siden april, og mer enn halvparten av senatkampanjer og over 70 politiske konsulentteam brukte plattformen fra i sommer, ifølge selskapet. Audra Grassia, Wickrs politiske og regjeringsleder, har ledet sin innsats med politiske komiteer og kampanjer i Washington, DC det siste året.

"Jeg tror folk utenfor politikken har vanskelig for å forstå hvor vanskelig det er å distribuere løsninger på tvers av flere kampanjer, på alle nivåer, " sa Grassia. "Hver kampanje er en egen liten virksomhet med ansatte som roterer ut annethvert år."

Individuelle kampanjer har ofte ikke finansiering for nett sikkerhet, men de store politiske komiteene gjør det. I kjølvannet av 2016 har spesielt DNC ​​investert mye i nett-sikkerhet og denne typen relasjonsbygging med Silicon Valley. Komiteen har nå et teknisk team på 35 personer ledet av nye CTO Raffi Krikorian, tidligere fra Twitter og Uber. DNCs nye Chief Security Officer, Bob Lord, var tidligere en sikkerhetsadministrator hos Yahoo som er intimt kjent med å håndtere katastrofale hacks.

Grassias team har jobbet direkte med DNC, hjulpet med å få Wickrs teknologi distribuert og tilby kampanjer forskjellige nivåer av opplæring. Wickr er en av teknologileverandørene som er omtalt i DNCs teknologimarked for kandidater. "De bevegelige brikkene i en kampanje er virkelig svimlende, " sa Wickr-administrerende direktør Joel Wallenstrom.

Han forklarte at kampanjer ikke har teknisk kunnskap eller ressurser til å investere i enterprise-grade informasjonssikkerhet eller å betale Silicon Valley priser for talent. Krypterte apper tilbyr i hovedsak innebygd infrastruktur for å flytte all kampanjens data og interne kommunikasjoner til sikre miljøer uten å ansette et dyrt konsulentteam for å konfigurere det hele. Det er ikke en altomfattende løsning, men i det minste kan krypterte apper få viktige forhold for en kampanje relativt raskt.

I midtmermer og fremtidig valg, sa Robby Mook, er det noen få kampanjeangrepsvektorer han er mest opptatt av. Det ene er DDoS-angrep på kampanjenettsteder i kritiske øyeblikk, for eksempel under en konferansetale eller en primærkonkurranse når kandidater banker på nettbaserte donasjoner. Han er også bekymret for falske nettsteder som et slag for å stjele penger.

"Vi har sett litt på dette, men jeg tror en ting å se på er falske innsamlingssteder som kan skape forvirring og tvil i donasjonsprosessen, " sa Mook. "Jeg tror det kan bli mye verre med sosialteknikk å prøve å lure kampanjeansatte til å koble til penger eller omdirigere gaver til tyver. Faren for dette er spesielt stor fordi en motstander ikke bare er lukrativ, men det distraherer kampanjer fra det virkelige problemer og holder dem fokusert på intriger."



Informasjonskrigen for velgerne

De vanskeligste aspektene ved moderne valgsikkerhet å forstå, enn si for å beskytte mot, er feilinformasjon og sosiale innflytelseskampanjer. Det er saken som har spilt mest offentlig ut på nettet, i kongressen, og på de sosiale plattformene i hjertet av conundrum som truer demokratiet.

Falske nyheter og feilinformasjon spredt for å påvirke velgerne kan komme i mange forskjellige former. I 2016 kom det fra mikromålrettede politiske annonser på sosiale medier, fra grupper og falske kontoer som distribuerte falsk informasjon om kandidater, og fra lekke kampanjedata strategisk spredt for informasjonskrigføring.

Mark Zuckerberg sa berømt dager etter valget at falske nyheter på Facebook som påvirker valget var en "ganske sprø ide." Det tok et katastrofalt år med dataskandaler og inntektstreff for Facebook for å komme dit den er nå: masseskylling av politiske spam-kontoer, bekrefte politiske annonser og sette opp et "krigsrom" for midlertidig valg som del av en omfattende strategi for å bekjempe valg innblanding.

Twitter har tatt lignende skritt, verifisert politiske kandidater og slått ned på roboter og troll, men feilinformasjon vedvarer. Selskapene har vært ærlige om at de er i et våpenløp med cyber-fiender for å finne og slette falske kontoer og for å hindre falske nyheter. Facebook la ned en Iran-knyttet propagandakampanje bestående av 82 sider, grupper og kontoer bare forrige uke.

Men maskinlæringsalgoritmer og menneskelige moderatorer kan bare gå så langt. Spredningen av feilinformasjon via WhatsApp i Brasils presidentvalg er bare ett eksempel på hvor mye mer arbeid sosiale medieselskaper trenger å gjøre.

Facebook, Twitter og tech-giganter som Apple har gått fra stilltiende å erkjenne rollen plattformene deres spiller i valg til å ta ansvar og prøve å fikse de veldig kompliserte problemene de hjalp til med å skape. Men er det nok?

"Påvirkning i valg har alltid vært der, men det vi ser er et nytt nivå av raffinement, " sa Travis Breaux, førsteamanuensis i informatikk ved Carnegie Mellon, hvis forskning angår personvern og sikkerhet.

Breaux sa at de typer feilinformasjonskampanjer vi ser fra Russland, Iran og andre nasjonalstatlige aktører, ikke er så forskjellige fra spillbøker som spionagenter har brukt i flere tiår. Han pekte på en bok fra 1983 kalt The KGB og Soviet Disinformation , skrevet av en ex-etterretningsoffiser, som snakket om statsstøttede informasjonskampanjer i den kalde krigen som var utformet for å villede, forvirre eller bety utenlandske meninger. Russlands hackere og trollgårder gjør det samme i dag, bare deres innsats forstørres eksponentielt av kraften til digitale verktøy og rekkevidden de gir. Twitter kan sprenge en melding til hele verden på et øyeblikk.

"Det er en kombinasjon av eksisterende teknikker, som falske kontoer, som vi nå ser å bli operasjonalisert, " sa Breaux. "Vi må komme oss i gang og forstå hvordan ekte, pålitelig informasjon ser ut."

McAfee CTO Steve Grobman mener regjeringen bør kjøre offentlige tjenestekampanjer for å bevisstgjøre om falsk eller manipulert informasjon. Han sa at en av de største problemene i 2016 var den flagrante antakelsen om at brudd på data hadde integritet.

I de sene stadier av en valgsyklus, når det ikke er tid til uavhengig å verifisere gyldigheten av informasjon, kan informasjonskrigføring være spesielt kraftig.

"Da John Podestas e-postmeldinger ble publisert på WikiLeaks, antok pressen at de alle egentlig var Podestas e-poster, " sa Grobman. PCMag har ikke foretatt en direkte undersøkelse av ektheten av de lekke e-postene, men noen Podesta-e-postmeldinger som ble verifisert som falske, sirkulerte fortsatt så sent som i høst, ifølge FactCheck.org, et prosjekt som ble kjørt ut av Annenberg Public Policy Center ved universitetet. av Pennsylvania.

"En av tingene vi trenger for å utdanne publikum om, er at all informasjon som kommer ut av et brudd, kan inneholde fabrikerte data sammenvevd med legitime data for å mate hva som helst narrative motstandere som leder deg mot. Folk kan tro at noe er produsert som påvirker deres stemme."

Dette kan utvide seg til ikke bare det du ser på nettet og i sosiale medier, men også til logistiske detaljer om stemmegivning i ditt område. Gitt inkonsekvensen i noe så grunnleggende som nettstedsdomener fra en lokal kommune til den neste, trenger velgere et offisielt middel til å skille hva som er reelt.

"Tenk deg at hackere prøver å vende et valg mot en kandidat i et gitt landlig eller urbant område, " sa Grobman. "Du sender en phishing-e-post til alle velgerne som sier at på grunn av vær, har valget blitt utsatt i 24 timer, eller gi dem en falsk oppdatert valglokale."

Til syvende og sist er det opp til velgerne å filtrere ut feilinformasjon. New York State Chief Information Security Officer Deborah Snyder sa: "Ikke få nyhetene dine fra Facebook, stem på tankegangen din, " og sørg for at fakta kommer fra bekreftede kilder. Wickrs Joel Wallenstrom mener velgerne trenger å stå for at det vil være forferdelig mye FUD (frykt, usikkerhet og tvil). Han synes også du bare burde slå av Twitter.

Robby Mook sa at uansett om du arbeider med nettkriminalitet eller datakrigføring, er det viktig å huske at informasjonen du ser er designet for å få deg til å tenke og handle på en bestemt måte. Ikke.

"Velgerne må ta et skritt tilbake og spørre seg selv hva som betyr noe for dem, ikke hva som blir sagt til dem, " sa Mook. "Fokuser på stoffet til kandidatene, beslutningene disse offentlige tjenestemenn skal ta, og hvordan disse beslutningene vil påvirke deres liv."



Kast alt vi har på dem. Kjør det igjen

Prosjektets forsvarssimuleringsøvelse til Defending Digital Democracy-prosjektet startet klokken 8 i Cambridge, Mass. Da det begynte, med deltakere som arbeidet i fiktive stater seks eller åtte måneder før valgdagen, sto 10 minutter av øvelsen i 20 dager. Mot slutten skjedde hvert minutt i sanntid da alle regnet ned til valglokalet.

Rosenbach sa at han, Mook og Rhoades gikk inn med 70 sider med scenarier som skrev hvordan valgsikkerhetskatastrofer ville utspille seg, og de ville kaste den ene etter den andre på statens embetsmenn for å se hvordan de reagerer.

"Vi vil si, her er situasjonen, vi har nettopp fått en nyhetsrapport om en russisk info som ble utført gjennom Twitter-roboter, " sa Rosenbach. "Også resultater kommer inn fra dette valglokalet som det vises som lukket, men bare for afroamerikanske velgere. Da måtte de reagere på det, mens 10 andre ting samtidig skal gå ned - registreringsdata ble hacket, stemmer infrastruktur er kompromittert, noe lekket og videre og videre."

The Defending Digital Democracy Project undersøkte i 28 stater om demografi og forskjellige typer avstemmingsutstyr for å skrive inn i simuleringene, og alle fikk en rolle. Valgadministratorer på lavt nivå fikk spille toppfunksjonærer i en fiktiv stat, og omvendt. Rosenbach sa at West Virginia utenriksminister Mac Warner ønsket å spille en meningsmålsarbeider.

Målet var at tjenestemenn fra alle 38 stater skulle forlate simuleringen med en svarplan i hodet og stille de riktige spørsmålene når det virkelig betyr noe. Har vi kryptert denne lenken? Er velgerdatabasen sikker? Har vi sperret inne hvem som har fysisk tilgang til valglokalene før valgdagen?

Et uten tvil viktigere biprodukt av øvelsen på bordplaten var etableringen av et nettverk av valgfunksjonærer over hele landet for å dele informasjon og utveksle beste praksis. Rosenbach kalte det en slags "uformell ISAC" som har holdt seg veldig aktiv frem til midtstatene for statene for å dele angrepene og sårbarhetene de ser.

Statene gjennomfører også denne typen trening på egen hånd. New York sparket i gang en serie regionale bordplaterøvelser i mai i samarbeid med Department of Homeland Security med fokus på cybersecurity beredskap og trusselrespons.

NYS CISO Snyder sa at State Board of Elections ga valgspesifikk opplæring til County Boards of Elections. I tillegg ble den gratis nettbaserte opplæringen som ble gitt til alle 140.000 statlige arbeidere også gjort tilgjengelig for lokale kommuner, noe som ga dem både valgspesifikk opplæring og generell opplæring i cybersikkerhet. Snyder sa også at hun har nådd ut til andre stater som har lidd brudd på velgerdata for å finne ut hva som skjedde og hvorfor.

"Partnerskap er det som får cybersecurity til å fungere. Mangel på deling av etterretning er grunnen til at det mislykkes, " sa Snyder. "Statene er klar over at cyber ikke kan gjøres i siloer, og fordelen med den delte situasjonsbevisstheten oppveier langt flauheten over å fortelle historien om hvordan du ble hacket."

D3P sender lag over hele landet under midterstemmene for å observere valget i dusinvis av stater og rapportere tilbake for å forbedre prosjektets spillbøker og treninger før 2020. Et sentiment som en del kilder delte er at cyber-motstandere kanskje ikke treffer USA like hardt i midterms. Amerika ble fanget helt av vakt under valget i 2016, og 2018 vil vise nasjonalstatshacker hva vi har og ikke har lært siden den gang.

Cyber-krigføring handler ikke bare om full frontal overgrep. Kampanje for hacking og feilinformasjon er mer skjult, og de er avhengige av å treffe deg med akkurat det du ikke forventer. Når det gjelder Russland, Iran, Kina, Nord-Korea og andre, frykter mange sikkerhets- og utenrikspolitiske eksperter at langt mer ødeleggende angrep på USAs valg vil komme i presidentkampanjens syklus i 2020.

"Russerne er fremdeles aktive, men jeg vil bli overrasket om nordkoreanere, kinesere og iranere ikke så veldig nøye på å se hva vi gjør i midttermene og la et hemmelig grunnarbeid, akkurat som enhver Intel-cyber-operasjon, " sa Rosenbach.

Cyberangrepene vi ser under mellomrom og i 2020, kan godt komme fra helt nye vektorer som ikke var med i noen av simuleringene; en ny generasjon utnyttelser og teknikker ingen forventet eller forberedt på å møte. Men i det minste skal vi vite at de kommer.