Under angreb: hvordan valg af hacking truer midterms

I marts pakket embedsmænd fra 38 stater ind i et konferencesal i Cambridge, Massachusetts, til en to-dages valgsimuleringsøvelse, der blev kørt som et krigsspil.

Mere end 120 statslige og lokale valgembedsmænd, kommunikationsdirektører, it-ledere og statssekretærer kørte øvelser, der simulerer sikkerhedskatastrofer, der kunne ske på den værste valgdag, man kunne forestille sig.

Øvelsen på bordpladen begyndte hver simulering måneder før valget mellem den 6. november og accelererede tidslinjen, indtil stater modarbejder angreb i realtid, da vælgerne gik til valglokalet. Organiseret af projektet Defending Digital Democracy (D3P) i Harvard, en topartsbestræbelse på at beskytte demokratiske processer mod cyber- og informationsangreb, tvang borerne til at reagere på det ene mareridt-scenarie efter det andet - stemmemaskine og vælgerdatabase hacks, distribueret benægtelse af service (DDoS) angreb på websteder, lækket forkert information om kandidater, falske valgoplysninger spredt for at undertrykke stemmer og kampagner på sociale medier koordineret af nationalstatsangreb for at så mistillid.

Som vi har set ved de seneste valg verden over, forekommer der ofte flere angreb samtidig.

"Tænk på et angreb på nægtelse af service og den normale taktik for phishing og malware-type ville bruge under et valg, " sagde Eric Rosenbach, D3P-direktør og stabschef til den amerikanske forsvarsminister Ashton Carter fra 2015 til 2017.

"Den del, jeg ville være mest bekymret for med et DDoS, er et angreb mod en webside, der annoncerer resultater kombineret med en high-end. Se på hvad der skete i Ukraine i 2014. Russerne DDoSed websiden, Ukraine brugte til at annoncere valgresultater, styrede derefter alle tilbage til Russia Today og frembragte falske resultater. Ukrainerne blev forvirrede over, hvem der faktisk var blevet valgt til præsident."

At forstå moderne valgsikkerhed betyder at komme på en skræmmende virkelighed: især i USA er infrastrukturen for fragmenteret, forældet og sårbar til at være fuldstændig sikret. Der er også alt for mange forskellige typer angreb over trussellandskabet til nogensinde at stoppe dem alle.

PCMag talte med statens embedsmænd, politiske aktører, akademikere, tech-virksomheder og sikkerhedsforskere om de skarpe realiteter ved valg af sikkerhed i 2018. På begge sider af den politiske midtgang, på alle regeringsniveauer og i hele tech-industrien, De Forenede Stater kæmper med grundlæggende cybersecurity-trusler mod vores valg. Vi planlægger også, hvordan vi skal reagere, når ting går galt, både under dette afgørende midtvejsvalg og ved folketingsvalget i 2020.

Beskyttelse af "Attack Surface"

I cybersikkerhed kaldes alle de eksponerede systemer og enheder, der kunne angribes, "angrebsoverfladen." Angrebsoverfladen ved et amerikansk valg er enormt og kan opdeles i tre centrale niveauer.

Den første er afstemning infrastruktur; tænk afstemningsmaskiner, vælgerregistreringsdatabaser og alle statslige og lokale myndigheders websteder, der fortæller folk, hvor og hvordan de skal stemme.

Så er der kampagnens sikkerhedsniveau. Som 2016 viste, er kampagner lette mål for hackere. Stjulede kampagnedata kan derefter bruges som et potent våben til det tredje, mere nebuløse angrebsniveau: den afskedige verden af ​​våbnede fejlinformation og kampagner med social indflydelse. På denne front fortsætter trollhærerne fra nationalstatsaktører med at operere på nettet og invadere platforme på sociale medier, som er blevet polariserende slagmarker for vælgeropfattelse.

Forsøg på at løse de utallige systemiske problemer, der plager hvert af disse niveauer, fører ofte til flere spørgsmål end svar. I stedet for kommer mange af strategierne til at afbøde valgsikkerhedsrisici ned på sund fornuft: papirafstemning og revision af afstemninger; give statslige og lokale myndigheder flere ressourcer; og levering af værktøjer og sikkerhedstræning til kampagner og valgembedsmænd.

Et par mere komplicerede og splittende spørgsmål til valgadministratorer og kampagnearbejdere samt vælgere: Hvordan nærmer du dig valgprocessen i den sociale medie æra fyldt med online fejlinformation? Og når du er i tvivl om al den digitale information, der kommer på din skærm, hvad skal du da tro?

Hvad vi lærte fra 2016

Enhver samtale om valg af sikkerhed i USA i midttermerne i 2018 og videre finder efterhånden sin vej tilbage til præsidentvalget i 2016. Før dette løb havde vi set cyberangreb rettet mod kampagner og valg siden midten af ​​2000'erne, men aldrig før i den skala.

"På det tidspunkt havde ingen nogensinde set noget lignende før. Det var chokerende at tro, at Rusland ville være så modig at blande sig i vores demokrati og påvirke det til fordel for en bestemt kandidat, " sagde Rosenbach, der vidnede før kongressen i marts om russisk indblanding i valget i 2016. "Jeg har arbejdet inden for national sikkerhed i 20 år nu, og dette var det mest komplicerede, vanskelige problem, jeg nogensinde har løst."

På dette tidspunkt er kendsgerningerne ret klare. Et dusin russere, der angiveligt arbejdede for GRU, Russlands militære efterretningstjeneste, blev tiltalt for hacking af Den Demokratiske Nationale Komité (DNC) og lækker dokumenter til organisationer, herunder WikiLeaks, der frigav over 20.000 e-mails.

De beskyldte hackere opererede under onlinepersonligheter, herunder Guccifer 2.0, Fancy Bear og DCLeaks, og overtrådte også databaser for vælgerregistrering i Illinois og Arizona i august 2016 og stjal oplysninger om mere end 500.000 vælgere. Efterfølgende rapporter fra FBI og NSA fandt, at hackere kompromitterede afstemningssoftware i 39 stater under præsidentvalget i 2016. Den amerikanske viceadvokat, generalsekretær Rod Rosenstein, sagde i anklage fra russiske hackere, at "formålet med sammensværgelsen var at have indflydelse på valget."

Det var bare angrebene, der ramte de to første niveauer af valginfrastruktur. På sociale medier frigav Rusland, Iran og andre bots og troldfabrikker - inklusive det russisk-støttede Internet Research Agency (IRA) - der sprede falske nyheder og købte tusinder af politiske annoncer på Facebook og Twitter for at påvirke vælgerens mening. Mens den er knyttet til politiske partier snarere end uden for hackere, spillede Facebooks Cambridge Analytica-skandale også en rolle i, hvordan sociale medieplatforme påvirkede valget i 2016.

"Vi reagerede ikke hurtigt eller stærkt nok, " sagde Rosenbach. Mens han arbejdede i Pentagon, fungerede Rosenbach også som assisterende assisterende forsvarssekretær for cyber fra 2011 til 2014 og assisterende forsvarssekretær for global sikkerhed med tilsyn med cybersikkerhed.

Han er nu co-direktør for Belfer Center på Harvards Kennedy School og direktør for D3P. Han grundlagde det sidste år sammen med Matt Rhoades, Mitt Romneys kampagnechef under valget i 2012, og Robby Mook, Hillary Clintons kampagnechef i 2016.

"En vigtig ting at forstå fra et sikkerhedsmæssigt synspunkt er, at selve kampagnen aldrig blev hacket, " fortalte Mook til PCMag. "Personlige e-mail-konti blev hacket, og DNC blev hacket, men jeg tror, ​​det er en vigtig advarsel for alle, at vi virkelig har brug for at sikre hele økosystemet. Modstandere vil gå hvor som helst de kan for at våben information mod forskellige kandidater."

Phishing-angrebet, der med succes hackede DNC-formand John Podestas personlige Gmail-konto i 2016, forlod Mook med den erkendelse, at der ikke var nogen mekanismer på plads til, hvordan man reagerer på et angreb af denne størrelsesorden. I 2017 forbandt han sig med Rhoades, der havde behandlet konstante hackingforsøg fra kinesiske cyberstyrker under Romneys præsidentkørsel. Den grundlæggende idé var at oprette en tjekliste over ting, der skal gøres for at forhindre udnyttelse som denne i fremtidige kampagner, og at skaffe et sted for kampagner at gå, når de blev hacket.

De to sluttede sig sammen med Rosenbach og arbejdede med at udgive D3P Cybersecurity Campaign Playbook. De har siden samarbejdet om to andre playbøger: en til statslige og lokale valgadministratorer, og en, der beskriver kommunikationsmedarbejdere om, hvordan man imødegår online fejlinformation. De hjalp også med at organisere og køre interstate bordpladesimuleringer.

Mook ønskede ikke at bruge for meget tid på at tale om 2016; det er vigtigt ikke at fortsætte med at genopleve den sidste kamp, ​​når du kan forberede dig til den næste, sagde han.

"Faktum er, at du bare ikke ved hvorfor eller hvordan nogen prøver at komme ind. Du ved bare, at nogen vil, " sagde Mook. "Den vigtigste ting er at tænke over, hvad der kunne være næste. Hvad er de trusler, vi ikke har overvejet eller set endnu? Jeg tror, ​​at midttermerne potentielt vil overflade nogle nye sårbarheder, men jeg tror, ​​det handler mere om at se på systemet som et hele og finde ud af enhver mulig måde, nogen kunne komme ind på."



Det skiftende trusselandskab

Når vi nærmer os midtermerne i 2018 og står over for den lange slog til det amerikanske præsidentvalg i 2020, kommer trusselandskabet i fokus.

Selvom præsident Trump har bagatelliseret omfanget af russisk indblanding, ramte USA Rusland med nye sanktioner i marts. "Vi fortsætter med at se en gennemgribende meddelelseskampagne fra Rusland for at forsøge at svække og opdele De Forenede Stater, " sagde den amerikanske direktør for national efterretning Dan Coats under en briefing i august.

Det kom, efter at Microsoft i juli stymmet et hackingforsøg, der involverede falske domæner, der er målrettet mod tre kandidater, der kører til genvalg. Kun få uger før denne historie blev offentliggjort, blev en russisk statsborger tiltalt for at føre tilsyn med en indsats for at manipulere vælgerne via Facebook og Twitter for at blande sig midtermermerne. Elena Khusyaynova, en russisk statsborger, der er navngivet i tiltalen, administrerede angiveligt økonomiske og sociale operationer tilknyttet IRA, og havde et budget på mere end $ 35 millioner bankrulleret af den russiske oligark og Putin allierede Yevgeny Prigozhin.

Direktørerne for National Intelligence, Department of Homeland Security og FBI frigav en fælles erklæring, der var tidsplan med tiltalen. Det hedder, at selvom der ikke er noget aktuelt bevis for kompromitteret afstemningsinfrastruktur i midttermerne, "har nogle statslige og lokale myndigheder rapporteret afbødede forsøg på at få adgang til deres netværk, " herunder vælgerregistreringsdatabaser.

I de sidste uger før midtvejsvalget identificeres US Cyber ​​Command endda endda med at identificere russiske operative i kontrol med troldkonti og informere dem om, at USA er opmærksom på deres aktiviteter i et forsøg på at afskrække valgmægling.

"Vi er bekymrede over igangværende kampagner fra Rusland, Kina og andre udenlandske aktører, herunder Iran, for at undergrave tilliden til demokratiske institutioner og påvirke den offentlige stemning og regeringspolitikker, " lyder det i erklæringen. "Disse aktiviteter kan også søge at påvirke vælgerens opfattelse og beslutningstagning i det amerikanske valg i 2018 og 2020."

På udkig efter mønstre

Når man overvåger aktivitet fra udenlandske modstandere og andre potentielle cyberfjender, ser eksperter efter mønstre. Toni Gidwani sagde, at det er som at studere en radargruppe af alle de forskellige ondsindede enheder derude; du søger efter indikatorer for tidlig advarsel for at mindske risikoen og sikre de svageste links i dine forsvar.

Gidwani er direktør for forskningsoperationer hos cybersikkerhedsfirmaet ThreatConnect. Hun har brugt de sidste tre år på spidsen for ThreatConnects forskning i DNC-hack og russiske indflydelsesoperationer på det amerikanske præsidentvalg i 2016; hendes team linkede Guccifer 2.0 til Fancy Bear. Gidwani tilbragte det første årti af sin karriere på DoD, hvor hun byggede og ledede analyseteam på Defense Intelligence Agency.

"Du er nødt til at trække i strengene på mange forskellige fronter, " sagde Gidwani. "Fancy Bear arbejdede mange forskellige kanaler for at forsøge at få DNC-data til det offentlige domæne. Guccifer var en af ​​disse fronter, DCLeaks var en, og WikiLeaks var den front, der havde størst effekt."

Gidwani nedbragte de nationalstatsudnyttelser, vi har set til et par forskellige aktiviteter, der tilsammen danner en flertrins interferenskampagne. De kampagnefokuserede dataovertrædelser førte til strategiske lækager på kritiske tidspunkter i valgcyklussen.

"I er bekymret for spyd-phishing og angreb på midten af ​​mennesker med sikkerhed. Disse oplysninger er så indflydelsesrige, når de kommer i det offentlige domæne, at du muligvis ikke har brug for sofistikeret malware, fordi kampagner er sådanne afhentningsoperationer, med en tilstrømning af frivillige som mål, ”forklarede hun. "Du har ikke brug for nul-dages sårbarheder, hvis din spyd-phishing fungerer."

Penetrationsangrebene på statslige valgkomitéer er en anden form for at forstyrre forsyningskæden for stemmeautomaterne og udhule tilliden til valgresultaterne. Gidwani sagde, at den forældede og fragmenterede karakter af afstemningsinfrastrukturen fra stat til stat har foretaget angreb såsom SQL-injektioner, som "vi håber ikke skulle engang være en del af angrebsspilbogen", ikke kun muligt, men også effektivt.

Disse operationer adskiller sig stort set fra Facebook-grupperne og Twitter-troldkonti, der er udtømt af IRA og andre nationstatsaktører, herunder Kina, Iran og Nordkorea. I sidste ende handler disse kampagner mere om at vække stemningen og svæve vælgerne over det politiske spektrum og forstærke de koordinerede datalækager med politiske skråninger. Når det kommer til forkert information, har vi kun afsløret toppen af ​​isbjerget.

"En af de ting, der gør valget så udfordrende, er, at de består af en masse forskellige stykker uden en enkelt interessent, " sagde Gidwani. "Den store udfordring, vi kæmper med, er grundlæggende et politisk spørgsmål, ikke et teknisk. Platformerne gør en indsats for at gøre legitimt indhold lettere identificerbart ved at verificere kandidater. Men med hvor viralt denne type indhold kan sprede sig, tager det os uden for informationssikkerhedens verden."



Tilslutter nye huller i den gamle maskine

På sit mest grundlæggende niveau er amerikanske valginfrastrukturer et lappearbejde - et virvar af forældede og usikre stemmerier, sårbare vælgerdatabaser og statlige og lokale websteder, der til tider mangler den mest basale kryptering og sikkerhed.

På en bagudvendt måde kan den fragmenterede karakter af landsdækkende afstemningsinfrastruktur gøre det til et mindre tiltalende mål end en udnyttelse med mere udbredt virkning. På grund af den forældede og undertiden analoge teknik i stemmeautomater, og hvor meget hver stat adskiller sig fra den næste, ville hackere skulle bruge en betydelig indsats i hvert tilfælde for at gå på kompromis med hvert individuelt lokaliseret system. Det er en vis misforståelse til en vis grad, fordi hacking af statslige eller lokale afstemningsinfrastrukturer i et nøglesvingdistrikt absolut kan påvirke valgresultatet.

For to valgcykler siden konsulterede Jeff Williams en stor amerikansk leverandør af valgmaskiner, som han afviste at identificere. Hans firma foretog en manuel kodevurdering og sikkerhedstest af afstemningsmaskiner, valgstyringsteknologi og afstemningstællingssystemer og fandt en række sårbarheder.

Williams er CTO og medstifter af Contrast Security og en af ​​grundlæggerne af Open Web Application Security Project (OWASP). Han sagde, at på grund af den arkaiske karakter af valgsoftware, der i mange tilfælde styres af lokale distrikter, der ofte tager købsbeslutninger baseret mere på budgettet end sikkerhed, har teknologien ikke ændret så meget.

"Det handler ikke kun om afstemningsmaskinerne. Det er al den software, du bruger til at oprette et valg, styre det og indsamle resultaterne, " sagde Williams. "Maskinerne har en temmelig lang levetid, fordi de er dyre. Vi taler om millioner af kodelinjer og mange års værdi af arbejde med at prøve at gennemgå det, med sikkerhed, der er kompliceret at implementere og ikke godt dokumenteret. Det er en symptom på et meget større problem - ingen har nogen indsigt i, hvad der foregår i den software, de bruger."

Williams sagde, at han heller ikke har meget tro på test- og certificeringsprocesserne. De fleste statslige og lokale myndigheder sammensætter små hold, der udfører penetrationstest, den samme type testning, der kom overskrifter på Black Hat. Williams mener, at det er den forkerte tilgang sammenlignet med udtømmende test af softwarekvalitetssikring. Hackekonkurrencer som dem i Voting Village hos DefCon finder sårbarheder, men de fortæller ikke alt om de potentielle udnyttelser, du ikke fandt.

Det mere systemiske spørgsmål landsdækkende er, at stemmeautomater og valgstyringssoftware er meget forskellige fra stat til stat. Der er kun en håndfuld større sælgere, der er registreret til at levere stemmeautomater og certificerede afstemningssystemer, der kan være papirafstemningssystemer, elektroniske afstemningssystemer eller en kombination af de to.

Ifølge den nonprofitorganisation Verified Voting, tælles 99 procent af Amerikas stemmer af computeren i en eller anden form, enten ved at scanne forskellige typer papirstemmer eller gennem direkte elektronisk indrejse. Verified Voting's rapport fra 2018 fandt, at 36 stater stadig bruger afstemningsudstyr, der har vist sig at være usikre, og 31 stater vil bruge direkte optagelse af elektroniske afstemningsmaskiner for mindst en del af vælgerne.

Mest alarmerende bruger fem stater - Delaware, Georgien, Louisiana, New Jersey og South Carolina - i øjeblikket elektroniske afstemningsmaskiner med direkte optagelse uden valg af bekræftet papirrevision. Så hvis afstemning tælles ændres i det elektroniske system, enten gennem et fysisk eller fjerntliggende hack, kan staterne måske ikke have nogen måde at verificere de gyldige resultater i en revisionsproces, hvor ofte kun en statistisk stikprøveudtagning er nødvendig, snarere end en fuldfortælling.

"Der er ikke en kasse med hængende chads, som vi kan tælle, " sagde Joel Wallenstrom, administrerende direktør for den krypterede messaging-app Wickr. "Hvis der er påstande i midttermerne om, at resultaterne ikke er reelle, fordi russerne gjorde noget, hvordan skal vi tackle det forkerte informationsspørgsmål? Folk læser bombastiske overskrifter, og deres tillid til systemet eroderet yderligere."

Opgradering af afstemning fra stat til stat med moderne teknik og sikkerhed sker ikke for midtermerne og sandsynligvis ikke før i 2020. Mens stater, herunder West Virginia, tester nye teknologier som blockchain til elektronisk afstemning og revision af afstemninger, er de fleste forskere og sikkerhedseksperter siger, at i stedet for et bedre system er den mest sikre metode til at verificere stemmer et papirspor.

"Papirrevisionsspor har været et ropende råb for sikkerhedssamfundet i lang tid, og i midttermerne og sandsynligvis præsidentvalget bruger de et væld af maskiner, der ikke har det, " sagde Williams. "Det er ikke hyperbole at sige, at dette er en eksistentiel trussel mod demokratiet."

En af staterne med en papirrevisionsspor er New York. Deborah Snyder, statens Chief Information Security Officer, fortalte PCMag på et nyligt National Cyber ​​Security Alliance (NCSA) topmøde, at New York ikke var blandt de 19 stater, hvis anslåede 35 millioner vælgerrekorder er til salg på det mørke web. Imidlertid er angiveligt tilgængelige New York State-vælgerrekorder gratis tilgængelige på et andet forum.

Staten foretager regelmæssige risikovurderinger af sine stemmeautomater og infrastruktur. New York har også investeret millioner siden 2017 i lokal påvisning af indtrængen for at forbedre overvågning og respons af hændelser, både i staten og i koordinering med informationsdelings- og analysecentret (ISAC), som samarbejder med andre stater og den private sektor.

"Vi er ved en øget opmærksomhed, der fører op til og gennem valget, " sagde Snyder. "Jeg har hold på dækket fra kl. 6 dagen før til midnat på valgdagen. Vi er alle hænder på dækket, fra New York State Intelligence Center til ISAC til det lokale og statslige valgbestyrelse og mit kontor, ITS og Afdelingen for sikkerhed i hjemlandet og nødhjælp."



Lokale valgwebsteder sidder ænder

Det sidste og ofte overset aspekt af statens og lokale valgsikkerhed er regeringens websteder, der fortæller borgerne, hvor og hvordan de skal stemme. I nogle stater er der chokerende lidt konsistens mellem officielle websteder, hvoraf mange mangler selv de mest basale HTTPS-sikkerhedscertifikater, som verificerer, at websider er beskyttet med SSL-kryptering.

Cybersecurity-selskabet McAfee undersøgte for nylig sikkerheden på websteder for amtsvalgbestyrelser i 20 stater og fandt, at kun 30, 7 procent af webstederne har SSL til at kryptere al information, som en vælger deler med webstedet som standard. I stater, herunder Montana, Texas og West Virginia, er 10 procent af websteder eller færre SSL-krypteret. McAfees forskning fandt, at i Texas alene bruger 217 ud af 236 amtsvalgwebsteder ikke SSL.

Du kan fortælle et SSL-krypteret sted ved at lede efter HTTPS i webadressen til websitet. Du kan også se et lås eller nøgleikon i din browser, hvilket betyder, at du kommunikerer sikkert med et websted, der er den, de siger, de er. I juni begyndte Googles Chrome at markere alle ikke-krypterede HTTP-websteder som "ikke sikre."

"At ikke have SSL i 2018 som forberedelse til midtermerne betyder, at disse amtswebsteder er langt mere sårbare over for MiTM-angreb og manipulation af data, " sagde McAfee CTO Steve Grobman. "Det er ofte en gammel usikker HTTP-variant, der ikke omdirigerer dig til at sikre websteder, og i mange tilfælde vil siderne dele certifikater. Tingene ser bedre ud på statsniveau, hvor kun omkring 11 procent af siderne er ukrypterede, men disse lokale amtssteder er helt usikre."

Af de stater, der var inkluderet i McAfees forskning, var det kun Maine, der havde over 50 procent af webstederne med amtsvalg med grundlæggende kryptering. New York var kun på 26, 7 procent, mens Californien og Florida var omkring 37 procent. Men manglen på grundlæggende sikkerhed er kun halvdelen af ​​historien. McAfees forskning fandt heller næsten ingen konsistens inden for domænerne på amtsvalgwebsteder.

En chokerende lille procentdel af statslige valgsteder bruger det regeringsverificerede.gov-domæne og vælger i stedet for fælles topdomæner (TLD'er) som.com,.us,.org eller.net. I Minnesota bruger 95, 4 procent af valgstederne ikke-statslige domæner, efterfulgt af Texas på 95 procent og Michigan på 91, 2 procent. Denne inkonsekvens gør det næsten umuligt for en almindelig vælger at skelne mellem, hvilke valgsteder der er legitime.

I Texas bruger 74, 9 procent af de lokale vælgerregistreringswebsteder.us-domænet, 7, 7 procent bruger.com, 11, 1 procent bruger.org og 1, 7 procent bruger.net. Kun 4, 7 procent af siderne bruger.gov-domænet. I Texas amt Denton er fx valgwebstedet https://www.votedenton.com/, men McAfee fandt, at relaterede websteder som www.vote-denton.com kan købes.

I scenarier som dette behøver angribere ikke engang at hacke lokale websteder. De kan blot købe et lignende domæne og sende phishing-e-mails, der henviser til, at folk skal registrere sig for at stemme gennem det falske websted. De kan endda give falske oplysninger om stemmeafgivelse eller forkerte placeringer på valgstedet.

"Hvad vi ser inden for cybersikkerhed generelt er, at angribere vil bruge den enkleste mekanisme, der er effektiv til at nå deres mål, " sagde Grobman. "Selvom det muligvis er muligt at hacke stemmerne, er der en masse praktiske udfordringer til det. Det er meget lettere at gå efter vælgerregistreringssystemer og databaser eller bare købe et websted. I nogle tilfælde fandt vi, at der var lignende domæner købt af andre parter. Det er lige så let som at finde en GoDaddy-side til salg."



Kampagner: Flytning af stykker og lette mål

Det kræver generelt mere kræfter for hackere at infiltrere hvert amts eller stats system end at gå efter lavt hængende frugt, såsom kampagner, hvor tusinder af midlertidigt ansatte sørger for appellerende mærker. Som vi så i 2016, kan virkningen af ​​brud på kampagnedata og informationslækager være katastrofale.

Angribere kan trænge igennem kampagner på en række forskellige måder, men det stærkeste forsvar er simpelthen at sikre, at det grundlæggende er låst. D3P's kampagne Cybersecurity Playbook afslører ikke nogen banebrydende sikkerhedstaktik. Det er i det væsentlige en tjekliste, de kan bruge til at sikre, at enhver kampagnemedarbejder eller frivillig er overvåget, og at alle, der arbejder med kampagnedata, bruger beskyttelsesmekanismer som tofaktorautentisering (2FA) og krypterede messaging-tjenester såsom Signal eller Wickr. De skal også trænes i informationshygiejne med sund fornuft med opmærksomhed på, hvordan man finder phishing-ordninger.

Robby Mook talte om enkle vaner: sig, automatisk sletning af e-mails, du ved, at du ikke har brug for, fordi der altid er en chance for, at data lækker, hvis de sidder rundt.

"Kampagnen er et interessant eksempel, fordi vi havde den anden faktor på vores kampagnekonti og forretningsregler for at holde data og information inden for vores domæne, " forklarede Mook. "De onde fyre, vi lærte i eftertid, fik en masse medarbejdere til at klikke gennem phishing-links, men disse forsøg lykkedes ikke, fordi vi havde sikkerhedsforanstaltninger på plads. Da de ikke kunne komme på den måde, gik de rundt til folks personlige konti."

Kampagnesikkerhed er vanskelig: Der er tusinder af bevægelige dele, og ofte er der ikke noget budget eller ekspertise til at indbygge avanceret beskyttelse af informationssikkerhed fra bunden af. Teknologibranchen er trådt op på denne front og samlet leveret et antal gratis værktøjer til kampagner, der fører op til midtermerne.

Alphabet's Jigsaw giver kampagner DDoS-beskyttelse gennem Project Shield, og Google har udvidet sit avancerede kontosikkerhedsprogram for at beskytte politiske kampagner. Microsoft tilbyder politiske partier gratis AccountGuard-trusledetektering i Office 365, og i sommer var firmaet vært for cybersecurity-workshops med både DNC og RNC. McAfee udsætter McAfee Cloud til sikrede valg gratis i et år til valgkontorer i alle 50 stater.

Andre skyteknologiske og sikkerhedsfirmaer - inklusive Symantec, Cloudflare, Centrify og Akamai - leverer lignende gratis eller nedsatte værktøjer. Det hele er en del af tech-industriens kollektive PR-kampagne slags, der gør en mere samordnet indsats for at forbedre valgsikkerheden end Silicon Valley har gjort i fortiden.

Få kampagner på krypterede apps

Wickr for eksempel giver (mere eller mindre) kampagner adgang til dets gratis service og arbejder direkte med kampagner og DNC for at uddanne kampagnearbejdere og opbygge sikre kommunikationsnetværk.

Antallet af kampagner, der bruger Wickr, er tredoblet siden april, og mere end halvdelen af ​​senatkampagnerne og over 70 politiske konsulentteam brugte platformen fra denne sommer, ifølge virksomheden. Audra Grassia, Wickrs politiske ledelse og regeringsleder, har ledet sin indsats med politiske udvalg og kampagner i Washington, DC i det forløbne år.

”Jeg tror, ​​at folk uden for politik har svært ved at forstå, hvor svært det er at implementere løsninger på tværs af flere kampagner på alle niveauer, ” sagde Grassia. "Hver kampagne er sin egen separate lille virksomhed med personale, der roterer ud hvert andet år."

Individuelle kampagner har ofte ikke finansieringen til cybersikkerhed, men det gør de store politiske udvalg. I kølvandet på 2016 har især DNC investeret meget i cybersikkerhed og denne form for relationsopbygning med Silicon Valley. Udvalget har nu et tech-team på 35 personer ledet af den nye CTO Raffi Krikorian, tidligere Twitter og Uber. DNCs nye Chief Security Officer, Bob Lord, var tidligere en sikkerhedsadministrator hos Yahoo, som er tæt bekendt med at håndtere katastrofale hacks.

Grassias team har arbejdet direkte med DNC, hjulpet med at få Wickrs teknologi implementeret og tilbyder kampagner forskellige træningsniveauer. Wickr er en af ​​de teknologileverandører, der findes på DNCs tech-markedsplads for kandidater. "De bevægelige stykker inden for en kampagne er virkelig svimlende, " sagde Wickr's CEO Joel Wallenstrom.

Han forklarede, at kampagner ikke har teknisk viden eller ressourcer til at investere i enterprise-grade informationssikkerhed eller til at betale Silicon Valley priser for talent. Krypterede apps tilbyder i det væsentlige indbygget infrastruktur til at flytte alle kampagnens data og interne kommunikationer til sikre miljøer uden at ansætte et dyrt konsulentteam til at konfigurere det hele. Det er ikke en altomfattende løsning, men i det mindste kan krypterede apps få en kampagnes væsentlige forholdsvis hurtigt låst.

I midttermerne og det kommende valg, sagde Robby Mook, er der et par kampagneangrebsvektorer, som han er mest bekymret for. Den ene er DDoS-angreb på kampagnewebsteder i kritiske øjeblikke, f.eks. Under en konventionstale eller en primær konkurrence, når kandidater banker online-donationer. Han er også bekymret for falske websteder som en en-to-punch for at stjæle penge.

"Vi har set lidt af dette, men jeg tror, ​​at en ting at se er falske fundraising-websteder, der kan skabe forvirring og tvivl i donationsprocessen, " sagde Mook. "Jeg tror, ​​det kunne blive meget værre med socialteknologi at forsøge at narre kampagnepersonalet til at kable penge eller omdirigere donationer til tyve. Faren for dette er særlig stor, fordi det ikke kun er lukrativt for en modstander, men det distraherer kampagner fra det virkelige spørgsmål og holder dem fokuseret på intriger."



Informationskrigen for vælgeres tanker

De mest vanskelige aspekter ved moderne valgsikkerhed at forstå, for ikke at beskytte imod dem, er fejlinformation og social påvirkningskampagner. Det er det emne, der har spillet mest offentligt online, i Kongressen og på de sociale platforme i hjertet af det conundrum, der truer demokratiet.

Falske nyheder og forkert information spredt for at påvirke vælgerne kan komme i mange forskellige former. I 2016 kom det fra mikromålrettede politiske annoncer på sociale medier, fra grupper og falske konti, der cirkulerer falske oplysninger om kandidater, og fra lækkede kampagnedata strategisk spredt til informationskrig.

Mark Zuckerberg sagde berømte dage efter valget, at falske nyheder på Facebook, der havde indflydelse på valget, var en "temmelig skør idé." Det tog et katastrofalt år med dataskandaler og indtægtshits for Facebook for at komme, hvor det er nu: masseudrensning af politiske spam-konti, verificering af politiske annoncer og oprettelse af et "krigsrum" til midtvejsvalget som en del af en omfattende strategi til bekæmpelse af valg indblanding.

Twitter har taget lignende skridt ved at kontrollere politiske kandidater og slå ned på bots og trold, men forkert information fortsætter. Virksomhederne har været ærlige over, at de er i et våbenløb med cyberfjender for at finde og slette falske konti og for at dæmme op for falske nyheder. Facebook lukker en Iran-bundet propagandakampagne bestående af 82 sider, grupper og konti lige i sidste uge.

Men maskinlæringsalgoritmer og menneskelige moderatorer kan kun gå så langt. Spredningen af ​​forkert information via WhatsApp i Brasils præsidentvalg er kun et eksempel på, hvor meget mere arbejde sociale mediefirmaer har brug for.

Facebook, Twitter og tech-giganter som Apple er gået fra stiltiende anerkendelse af den rolle, deres platforme spiller ved valg til at acceptere ansvar og forsøge at løse de meget komplicerede problemer, de hjalp med at skabe. Men er det nok?

"Indflydelse på valg har altid været der, men hvad vi ser er et nyt niveau af raffinement, " sagde Travis Breaux, lektor i datalogi ved Carnegie Mellon, hvis forskning vedrører privatlivets fred og sikkerhed.

Breaux sagde, at de typer af fejlinformationskampagner, vi ser fra Rusland, Iran og andre nationalstatsaktører, ikke er så forskellige fra playbook-spionagenterne har brugt i årtier. Han pegede på en bog fra 1983 kaldet The KGB og Soviet Disinformation , skrevet af en ex-efterretningsofficer, der talte om statsstøttede informationskampagter i den kolde krig, der var designet til at vildlede, forvirre eller forblive udenrigsopinionen. Russlands hackere og troldfarme gør det samme i dag, kun deres indsats forstørres eksponentielt af kraften i digitale værktøjer og rækkevidden, de leverer. Twitter kan sprænge en meddelelse til hele verden på et øjeblik.

"Der er en kombination af eksisterende teknikker, som falske konti, som vi nu ser bliver operationelle, " sagde Breaux. "Vi er nødt til at komme hurtigt og forstå, hvordan ægte, pålidelige oplysninger ser ud."

McAfee CTO Steve Grobman mener, at regeringen bør køre public service-kampagner for at øge opmærksomheden omkring falske eller manipulerede oplysninger. Han sagde, at et af de største problemer i 2016 var den åbenlyse antagelse om, at brudte data havde integritet.

I de sene stadier af en valgcyklus, hvor der ikke er tid til uafhængigt at verificere gyldigheden af ​​oplysninger, kan informationskrigføring være særlig kraftig.

"Da John Podestas e-mails blev offentliggjort på WikiLeaks, antog pressen, at de alle virkelig var Podestas e-mails, " sagde Grobman. PCMag har ikke foretaget en direkte undersøgelse af ægtheden af ​​de lækkede e-mails, men nogle Podesta-e-mails, der er verificeret som falske, cirkulerede stadig så sent som i efterår, ifølge FactCheck.org, et projekt, der blev kørt ud af Annenberg Public Policy Center på universitetet af Pennsylvania.

"En af de ting, vi har brug for for at uddanne offentligheden om, er, at enhver information, der kommer ud af en overtrædelse, kan indeholde fabrikerede data sammenflettet med legitime data for at fodre uanset hvilke narrative modstandere der fører dig mod. Folk tror måske på noget fremstillet, der påvirker deres stemme."

Dette kan udvide ikke kun til det, du ser online og i sociale medier, men også logistiske detaljer om afstemning i dit område. I betragtning af inkonsekvensen i noget så grundlæggende som websteddomæner fra en lokal kommune til den næste, har vælgerne brug for et officielt middel til at skelne, hvad der er reelt.

"Forestil dig hackere, der prøver at svinge et valg mod en kandidat i et givet landdistrikt eller byområde, " sagde Grobman. "Du sender en phishing-e-mail til alle vælgere, der siger, at valget er udsat i 24 timer på grund af vejret, eller giver dem et forkert opdateret valgsted for valgstedet."

I sidste ende er det op til vælgerne at filtrere forkert information. New York State Chief Information Security Officer Deborah Snyder sagde: "Få ikke dine nyheder fra Facebook, stem på din tankegang, " og sørg for, at dine fakta kommer fra bekræftede kilder. Wickrs Joel Wallenstrom mener, at vælgerne er nødt til at stå i stå for, at der vil være en frygtelig masse FUD (frygt, usikkerhed og tvivl). Han synes også, du bare skal slukke for Twitter.

Robby Mook sagde, at uanset om du beskæftiger dig med internetkriminalitet eller datakrigsførelse, er det vigtigt at huske, at de oplysninger, du ser, er designet til at få dig til at tænke og handle på en bestemt måde. Gør ikke.

”Vælgerne skal tage et skridt tilbage og spørge sig selv, hvad der betyder noget for dem, ikke hvad der siges til dem, ” sagde Mook. "Fokuser på indholdet af kandidaterne, de beslutninger, disse offentlige embedsmænd skal træffe, og hvordan disse beslutninger vil påvirke deres liv."



Kast alt hvad vi har på dem. Kør det igen

Defending Digital Democracy-projektets simuleringsøvelse til valg af sikkerhed startede kl. 8 i Cambridge, messen. Da det begyndte, med deltagere, der arbejdede i fiktive stater seks eller otte måneder før valgdagen, udgjorde 10 minutter af øvelsen 20 dage. Ved udgangen skete hvert minut i realtid, da alle tællede ned til valgtid.

Rosenbach sagde, at han, Mook og Rhoades gik ind med 70 sider med scenarier, der skrev, hvordan valg af sikkerhedskatastrofer ville spille ud, og de ville kaste den ene efter den anden på statens embedsmænd for at se, hvordan de reagerer.

"Vi vil sige, her er situationen, vi har lige fået en nyhedsrapport om en russisk info op gennem Twitter-bots, " sagde Rosenbach. "Der kommer også resultater fra dette valgsted, som det vises som lukket, men kun for afroamerikanske vælgere. Derefter skulle de reagere på det, mens 10 andre ting på samme tid går ned - registreringsdata blev hacket, er infrastruktur til afstemning kompromitteret, noget lækket og til og med."

Projektet Defending Digital Democracy forskede i 28 stater om demografi og forskellige typer af pollingsudstyr for at skrive til simuleringerne, og alle fik en rolle. Valgadministratorer på lavt niveau fik spillet topembedsmænd i en fiktiv stat, og vice versa. Rosenbach sagde, at West Virginias udenrigsminister Mac Warner ville spille en meningsmålsarbejder.

Målet var, at embedsmænd fra alle 38 stater skulle forlade simuleringen med en svarplan i deres sind og stille de rigtige spørgsmål, når det virkelig betyder noget. Har vi krypteret dette link? Er vælgerdatabasen sikker? Har vi låst, hvem der har fysisk adgang til valglokalet før valgdagen?

Et væsentligt vigtigere biprodukt af bordpladsøvelsen var oprettelsen af ​​et netværk af valgembedsmænd over hele landet til at dele information og udveksle bedste praksis. Rosenbach kaldte det for en slags "uformel ISAC", der har været meget aktiv, hvilket fører op til mellemlandene for stater til at dele de typer angreb og sårbarheder, de ser.

Stater udøver også denne form for træning på egen hånd. New York startede en række regionale bordpladsøvelser i maj i samarbejde med Department of Homeland Security med fokus på cybersikkerhedsberedskab og trusselrespons.

NYS CISO Snyder sagde, at statens valgbestyrelse leverede valgspecifik uddannelse til amtsbestyrelserne for valg. Derudover blev den gratis cyber Awareness-uddannelse, der blev leveret til alle 140.000 statsansatte, også stillet til rådighed for lokale kommuner, hvilket gav dem både valgspecifik uddannelse og generel uddannelse inden for cybersikkerhed. Snyder sagde også, at hun har nået ud til andre stater, der har lidt overtrædelser af vælgerdata for at finde ud af, hvad der skete, og hvorfor.

"Partnerskaber er det, der får cybersikkerhed til at fungere. Manglende deling af intelligens er grunden til, at det mislykkes, " sagde Snyder. "Stater er klar over, at cyber ikke kan gøres i siloer, og fordelen ved den delte situationelle bevidsthed opvejer langt forlegenheden ved at fortælle historien om, hvordan du blev hacket."

D3P sender hold over hele landet i midttermerne for at observere valget i snesevis af stater og rapportere tilbage for at forbedre projektets playbooks og træninger inden 2020. Et sentiment, som en række kilder delte, er, at cyber-modstandere måske ikke rammer USA så hårdt i midterms. Amerika blev helt fanget under valget i 2016, og 2018 vil vise nationalstats-hackere, hvad vi har og ikke har lært siden da.

Cyber-krigsførelse handler ikke kun om fuld frontal overgreb. Hacking og forkert informationskampagner er mere skjult, og de er afhængige af, at du rammer dig præcis, hvad du ikke forventer. Hvad angår Rusland, Iran, Kina, Nordkorea og andre, frygter mange sikkerheds- og udenrigspolitiske eksperter, at der kommer langt mere ødelæggende angreb på det amerikanske valg i 2020-præsidentkampagnecyklussen.

"Russerne er stadig aktive, men jeg vil blive overrasket, hvis nordkoreanerne, kineserne og iranerne ikke nøje fulgte øje med at se, hvad vi gør i midttermerne og lægger skjult grundlæggende arbejde, ligesom enhver intel cyber-operation, " sagde Rosenbach.

Cyberangrebene, vi ser under mellemrummet og i 2020, kan godt komme fra helt nye vektorer, der ikke var i nogen af ​​simuleringerne; en ny generation af udnyttelse og teknikker, som ingen forventede eller var rede til at møde. Men i det mindste ved vi, at de kommer.