Sota atac: la manera en què la pirateria electoral amenaça els intermedis

Al març, funcionaris de 38 estats van ingressar a una sala de conferències de Cambridge, Massachusetts, per a un exercici de simulació electoral de dos dies que es va fer com un joc de guerra.

Més de 120 funcionaris electorals estatals i locals, directors de comunicacions, directius de TI i secretaris d’estat van executar simulacres que simulaven catàstrofes de seguretat que podrien passar el pitjor dia de les eleccions imaginables.

L'exercici de la taula va començar cada simulació mesos abans de les eleccions del 6 de novembre, accelerant la línia de temps fins que els estats contestaven els atacs a temps real mentre els electors anaven a les urnes. Organitzat pel projecte Defending Digital Democracy (D3P) de Harvard, un esforç bipartidista per protegir els processos democràtics dels atacs cibernètics i d’informació, els exercicis van obligar els participants a respondre a un escenari de malson després d’un altre: màquina de votar i les bases de dades de votants, la denegació distribuïda del servei. (DDoS) atemptats contra els llocs web, van filtrar informació errònia sobre els candidats, informació falsa sobre el sondeig difosa per suprimir vots i campanyes de mitjans socials coordinades per atacants de l'estat nació per semblar desconfiança.

Com hem vist en les darreres eleccions a tot el món, sovint es produeixen múltiples atacs simultàniament.

"Penseu en un atac de denegació de servei i en les tàctiques normals de phishing i tipus de malware que haurien d'utilitzar durant unes eleccions", va dir Eric Rosenbach, director de D3P i cap de gabinet de la secretària de Defensa dels Estats Units, Ashton Carter, del 2015 al 2017.

"La part que més em preocuparia amb un DDoS és un atac contra una pàgina web que anuncia resultats combinats amb una gamma alta. Mireu què va passar a Ucraïna el 2014. La pàgina web russa DDoSed utilitzava Ucraïna per anunciar resultats electorals. A continuació, va dirigir tothom a Rússia i va aconseguir resultats falsos. Els ucraïnesos es van deixar confusos sobre qui havia estat elegit president ".

Comprendre la seguretat electoral moderna significa arribar a una realitat desagradable: sobretot als Estats Units, la infraestructura és massa fragmentada, obsoleta i vulnerable per ser completament segura. També hi ha massa tipus d’atacs diferents en el paisatge d’amenaça per frenar-los.

PCMag va parlar amb funcionaris estatals, operadors polítics, acadèmics, empreses de tecnologia i investigadors de seguretat sobre les realitats brutes de la seguretat electoral el 2018. A banda i banda de la passarel·la política, a tots els nivells del govern i a tota la indústria de la tecnologia dels Estats Units. està lluitant amb les amenaces fonamentals de ciberseguretat a les nostres eleccions. També estem planejant com reaccionar quan les coses vagin malament, tant durant aquestes eleccions crucials a mig termini com a les eleccions generals de 2020.

Protecció de la "superfície d'atac"

En la ciberseguretat, tots els sistemes i dispositius exposats que podrien ser atacats s'anomenen "superfície d'atac". La superfície d’atac de les eleccions nord-americanes és enorme i es pot dividir en tres nivells clau.

El primer és la infraestructura de vot; penseu en les màquines de votació, en les bases de dades d’inscripció de votants i en tots els llocs web de l’estat i del govern local que diuen a la gent on i com votar.

Després hi ha el nivell de seguretat de la campanya. Tal com va demostrar el 2016, les campanyes són objectius fàcils per als pirates informàtics. Les dades de campanya robades es poden utilitzar com a arma potent per al tercer nivell d'atac més nebulós: el nefast món de les desinformacions armades i les campanyes d'influència social. En aquest front, els exèrcits de troll d’actors de l’estat nació continuen funcionant a través de la xarxa i envaeixen les plataformes de mitjans de comunicació social, que s’han convertit en camps de batalla polaritzants de la percepció dels votants.

Tractar de resoldre un gran nombre de problemes sistèmics que afecten cadascun d’aquests nivells sol comportar més preguntes que respostes. En canvi, moltes de les estratègies per mitigar els riscos de seguretat electoral tenen un sentit comú: les votacions de paper i l’auditoria de vots; donar als governs estatals i locals més recursos; i proporcionar eines i formació en seguretat per a les campanyes i funcionaris electorals.

Un parell de preguntes més complicades i divisòries, tant per als administradors electorals com per als treballadors de la campanya, així com per als electors: com s’acosta el procés electoral en l’era de les xarxes socials plena de desinformació en línia? I quan emporteu dubtes sobre tota la informació digital que apareix a la pantalla, què heu de creure?

Què hem après a partir del 2016

Qualsevol conversa sobre la seguretat electoral dels Estats Units en els terminis intermedis del 2018 i després trobarà el seu camí de tornada a les eleccions presidencials del 2016. Abans d’aquella carrera, havíem vist ciberatacs dirigits a campanyes i eleccions des de mitjan anys 2000, però mai abans a aquesta escala.

"En aquell moment, ningú no havia vist mai una cosa així abans. Va ser impactant pensar que Rússia seria tan descarada com per interferir en la nostra democràcia i influir-la en favor d'un determinat candidat", va dir Rosenbach, que va testificar abans del Congrés. al març per la interferència russa a les eleccions de 2016. "Ja fa 20 anys que treballo en seguretat nacional i aquest va ser el problema més complicat i difícil que he tractat mai".

Arribats a aquest punt, els fets són força clars. Una desena de russos que presumptament treballaven per al GRU, el servei d’intel·ligència militar de Rússia, van ser acusats de piratejar el Comitè Nacional Democràtic (DNC) i haver filtrat documents a organitzacions incloses WikiLeaks, que va publicar més de 20.000 correus electrònics.

Funcionant sota gent en línia, inclosos Guccifer 2.0, Fancy Bear i DCLeaks, els hackers acusats també van incomplir les bases de dades de registre d’electors a Illinois i Arizona l’agost de 2016 i van robar informació a més de 500.000 electors. Els informes posteriors de l'FBI i de la NSA van trobar que els pirates informàtics van comprometre el programari de votació en 39 estats durant les eleccions presidencials de 2016. El procurador general adjunt dels Estats Units, Rod Rosenstein, va dir en l'acusació de pirates informàtics russos que "l'objectiu de la conspiració era tenir un impacte en les eleccions".

Aquests van ser només els atacs que van afectar els primers dos nivells de la infraestructura electoral. A les xarxes socials, Rússia, l'Iran i altres fàbriques de bots i fàbriques de trolls, inclosa l'Agència de Recerca d'Internet (IRA) amb el suport de Rússia, van difondre novetats falses i van comprar milers d'anuncis polítics a Facebook i Twitter per influir en les opinions dels votants. Mentre que està vinculat a partits polítics en lloc de fora de pirates informàtics, l'escàndol Cambridge Analytica de Facebook també va tenir un paper en la afectació de les plataformes de mitjans socials a les eleccions de 2016

"No vam reaccionar amb prou feines ni amb força", va dir Rosenbach. Mentre treballava al Pentàgon, Rosenbach també va exercir com a sotssecretària de Defensa de la Cibernètica del 2011 al 2014 i secretària adjunta de Defensa per a la seguretat global vigilant la ciberseguretat.

Ara és codirector del Centre Belfer a la Kennedy School de Harvard i director del D3P. La va fundar l'any passat al costat de Matt Rhoades, responsable de campanya de Mitt Romney durant les eleccions de 2012, i Robby Mook, responsable de campanya de Hillary Clinton el 2016.

"Una cosa important que cal entendre des del punt de vista de la seguretat és que la campanya mai no ha estat piratada", va dir Mook a PCMag. "Es van piratejar comptes de correu electrònic personals i es va piratejar el DNC, però crec que és un avís important per a tothom que realment hem de protegir tot l'ecosistema. Els adversaris aniran a qualsevol lloc on puguin armar informació contra diferents candidats."

L'atac de phishing que va piratear amb èxit el compte personal de Gmail del president de DNC, John Podesta, el 2016, va deixar a Mook el fet que no hi havia cap mecanisme per reaccionar davant d'un atac d'aquesta magnitud. El 2017 es va relacionar amb Rhoades, que havia tractat els intents de pirateria constant de les forces cibernètiques xineses durant la presidència de Romney. La idea bàsica era crear una llista de comprovació de coses que cal fer per evitar explotacions com aquestes en futures campanyes i proporcionar algun lloc en què hi hagi campanyes quan es piratejaven.

Els dos es van relacionar amb Rosenbach i van treballar per publicar el D3P Cybersecurity Campaign Playbook. Des d’aleshores, han col·laborat en dos altres llibres de jocs: un per a administradors electorals estatals i locals i un altre que genera funcionaris de comunicacions sobre com contrarestar la desinformació en línia. També van ajudar a organitzar i executar simulacions de taules interstatals.

Mook no volia passar massa temps parlant del 2016; És important no tornar a viure la darrera batalla quan puguis preparar-te per a la següent, va dir.

"El fet és que simplement no sabeu per què o com intenta entrar algú. Només sabeu que ho farà algú", va dir Mook. "El més important és pensar què podria ser el següent. Quines són les amenaces que encara no hem considerat ni vistes? Crec que els intermedis podran presentar algunes vulnerabilitats noves, però crec que es tracta més de mirar el sistema com a sencer i esbrinar totes les maneres possibles que algú pogués entrar ".



El paisatge canviant d’amenaça

A mesura que ens acostem als períodes intermediaris del 2018 i afrontem la llarga consigna de les eleccions presidencials dels Estats Units del 2020, el panorama de l'amenaça és cada cop més.

Tot i que el president Trump ha disminuït l’extensió de la ingerència russa, els Estats Units van assolir Rússia amb noves sancions al març. "Continuem veient una campanya de missatgeria per Rússia per intentar debilitar i dividir els Estats Units", va dir el director nord-americà d'Intel·ligència Nacional, Dan Coats, durant una sessió informativa d'agost.

Això va sorgir després que Microsoft, al juliol, va intimidar un intent de pirateria amb domini fals dirigit a tres candidats candidats a la reelecció. Fa unes setmanes abans que es publiqués aquesta notícia, un nacional rus es va encarregar de supervisar un esforç per manipular els votants a través de Facebook i Twitter per interferir en els períodes intermedis. Elena Khusyaynova, ciutadana russa nomenada en l’acusació particular, suposadament va gestionar operacions financeres i socials afiliades a l’IRA, amb un pressupost de més de 35 milions de dòlars controlat per l’oligarque rus i l’aliat Putin Yevgeny Prigozhin.

Els directors d’Intel·ligència Nacional, departament de seguretat interior i FBI van publicar una declaració conjunta cronometrada amb l’acusació particular. Afirma que, encara que no hi ha evidències actuals de la infraestructura de vot compromesa en els períodes intermediaris, "alguns governs estatals i locals han denunciat intents mitigats per accedir a les seves xarxes", incloses les bases de dades de registre de votants.

En les darreres setmanes anteriors a les eleccions de mig termini, segons el comitè cibernètic dels Estats Units, fins i tot, identifiquen els operatius russos en el control dels comptes de troll i els informa que els Estats Units tenen coneixement de les seves activitats en un esforç per dissuadir la llibertat electoral.

"Ens preocupa les campanyes en curs de Rússia, la Xina i altres actors estrangers, inclòs l'Iran, per minar la confiança en les institucions democràtiques i influir en el sentiment públic i les polítiques governamentals", es diu en la declaració. "Aquestes activitats també poden intentar influir en la percepció i la presa de decisions dels electors a les eleccions dels Estats Units del 2018 i del 2020".

Buscant patrons

Quan es supervisa l’activitat d’adversaris estrangers i d’altres enemics cibernètics potencials, els experts busquen patrons. Toni Gidwani va dir que és com estudiar un conjunt de radars de totes les diferents entitats malintencionades que hi ha; cerqueu indicadors d'alerta precoç per mitigar el risc i protegir els enllaços més febles de les vostres defenses.

Gidwani és el director d’operacions de recerca a la firma de ciberseguretat ThreatConnect. Va passar els últims tres anys dirigint la investigació de ThreatConnect sobre les operacions de pirateria DNC i influència russa a les eleccions presidencials dels Estats Units del 2016; el seu equip va relacionar Guccifer 2.0 amb Fancy Bear. Gidwani va passar la primera dècada de la seva carrera a la DoD, on va construir i va dirigir equips d’analítica de l’Agència d’Intel·ligència de Defensa.

"Cal tirar les cordes en molts fronts diferents", va dir Gidwani. "Fancy Bear treballava molts canals diferents per intentar introduir les dades de DNC al domini públic. Guccifer era un d'aquests fronts, DCLeaks un, i WikiLeaks era el front de major impacte."

Gidwani va desglossar les explotacions de l'estat nació que hem vist en algunes activitats diferents que formen conjuntament una campanya d'interferència en diverses etapes. Els incompliments de dades centrats en la campanya van provocar fuites estratègiques de dades en moments crítics del cicle electoral.

"Per segur que ens preocupa els atacs contra la llança de pesca i els atacs de mà al mig. Aquesta informació és tan impactant quan arriba al domini públic que és possible que no necessiteu programari maliciós sofisticat, perquè les campanyes són operacions de captació com ara. una afluència de voluntaris com a objectius ", va explicar. "No necessiteu vulnerabilitats del dia zero si el vostre phishing spear funciona".

Els atacs de penetració a les juntes estatals de les eleccions són un altre puntal amb l'objectiu de pertorbar la cadena de subministrament de màquines de vot i per evitar la confiança en la validesa dels resultats electorals. Gidwani va dir que la naturalesa obsoleta i fragmentada de la infraestructura de vot d’estat a estat va fer atacs com ara injeccions SQL, que “esperaríem que ni tan sols hagués de formar part del quadern de jocs d’atac”, no només possible sinó també eficaç.

Aquestes operacions es diferencien en gran mesura dels grups de Facebook i dels comptes de troll de Twitter desactivats per l’IRA i altres actors de l’estat nació, inclosos la Xina, l’Iran i Corea del Nord. En última instància, aquestes campanyes tracten sobretot de despertar el sentiment i de balancejar els electors a tot l’espectre polític, d’amplificar les filtracions de dades coordinades amb inclinacions polítiques. Quan es tracta de la desinformació, només hem descobert la punta de l’iceberg.

"Una de les coses que fa que les eleccions siguin tan difícils és que estan formades per moltes peces diferents sense un mateix interès", va dir Gidwani. "El gran repte amb què lluitem és fonamentalment una qüestió política, no una tècnica. Les plataformes estan fent un esforç per fer que el contingut legítim sigui més fàcilment identificable verificant els candidats. Però, amb la forma en què aquest tipus de contingut es pot difondre viralment, es necessita. nosaltres fora del món de la seguretat de la informació."



Connectar nous forats a la màquina antiga

En el seu nivell més fonamental, la infraestructura electoral nord-americana és un parcel·lari: un gran nombre de màquines de vot obsoletes i insegures, bases de dades de votants vulnerables i llocs web estatals i locals que, de vegades, tenen fins i tot el més bàsic xifratge i seguretat.

De manera endarrerida, la naturalesa fragmentada de la infraestructura de vot a nivell nacional pot convertir-la en un objectiu menys atractiu que una explotació amb un impacte més estès. A causa de la tecnologia obsoleta i de vegades analògica de les màquines de votació i la diferència que cada estat difereix de la següent, els pirates informàtics haurien de dedicar esforços importants en cada cas per comprometre cada sistema localitzat. Aquesta és una idea errònia fins a cert punt, perquè la pirateria de la infraestructura de vot local o estatal en un districte de swing clau pot afectar absolutament els resultats de les eleccions.

Fa dos cicles electorals, Jeff Williams va consultar un important venedor de màquines de vot dels Estats Units, que va negar a identificar. La seva empresa va fer una revisió manual del codi i una prova de seguretat de les màquines de votació, la tecnologia de gestió de les eleccions i els sistemes de recompte de vots i va trobar una gran quantitat de vulnerabilitats.

Williams és el CTO i cofundador de Contrast Security i un dels fundadors del Projecte Obert de Seguretat d’aplicacions web (OWASP). Va dir que, a causa de la naturalesa arcaica del programari electoral, gestionat en molts casos per recintes locals que sovint prenen decisions de compra basades més en pressupost que en seguretat, la tecnologia no ha canviat tant.

"No es tracta només de les màquines de votació. És tot el programari que utilitzeu per configurar unes eleccions, gestionar-les i recollir els resultats", va dir Williams. "Les màquines tenen una vida prou llarga perquè són cares. Estem parlant de milions de línies de codi i molts anys de treball que intenten revisar, amb una seguretat que és complicada d'aplicar i no està ben documentada. És una símptoma d’un problema molt més gran: ningú no té informació sobre el que passa al programari que utilitza ".

Williams va dir que tampoc té molta fe en els processos de prova i certificació. La majoria dels governs estatals i locals agrupen equips petits que fan proves de penetració, el mateix tipus de proves que van fer titulars a Black Hat. Williams creu que aquest és el plantejament equivocat, en comparació amb les proves exhaustives d’assegurament de la qualitat del programari. Els concursos de pirateria com els del Voting Village de DefCon troben vulnerabilitats, però no t’expliquen tot sobre les possibles explotacions que no has trobat.

El problema més sistèmic a tot el país és que les màquines de vot i el programari de gestió de les eleccions difereixen massivament d’un estat a un altre. Només hi ha un bon nombre de venedors importants registrats per proporcionar màquines de vot i sistemes de vot certificats, que poden ser sistemes de votació en paper, sistemes de votació electrònica o una combinació dels dos.

Segons la votació verificada de l’organització sense ànim de lucre, el 99 per cent dels vots d’Amèrica es comptabilitzen per ordinador d’alguna forma, ja sigui mitjançant l’escaneig de diversos tipus d’emissions de paper o mitjançant entrada electrònica directa. L’informe del vot verificat del 2018 va comprovar que 36 estats encara utilitzen equips de vot que no són segurs i que 31 estats utilitzaran màquines de votació electrònica de gravació directa per a almenys una part dels electors.

De manera més alarmant, cinc estats -Delaware, Geòrgia, Louisiana, Nova Jersey i Carolina del Sud- utilitzen actualment màquines de votació electrònica de gravació directa sense cap rastre d’auditoria verificada en paper. De manera que si els recomptes de vots es canvien en el sistema electrònic, ja sigui a través d’un hack físic o remot, els estats poden tenir cap manera de verificar els resultats vàlids en un procés d’auditoria on sovint només cal un mostreig estadístic de vots, en lloc d’un recompte complet..

"No hi ha cap caixa de taules penjades perquè puguem comptar", va dir Joel Wallenstrom, CEO de l'aplicació de missatgeria xifrada Wickr. "Si hi ha afirmacions a mig termini que els resultats no són reals perquè els russos van fer alguna cosa, com tractem aquest problema de desinformació? La gent llegeix títols bombàstics i la seva confiança en el sistema es va deteriorar."

L'actualització de la infraestructura de votació estat per estat amb tecnologia i seguretat modernes no passa pels terminis intermedis i probablement no abans del 2020. Mentre que estats inclosos Virgínia de l'Oest estan provant tecnologies emergents com la blockchain per a la gravació i audició electrònica de vots, la majoria dels investigadors i experts en seguretat. dir que, en lloc d’un sistema millor, el mètode més segur de verificar vots és un rastre de paper.

"Les vies d'auditoria en paper han estat un crit de gran incidència per a la comunitat de seguretat durant molt de temps, i a mig termini i probablement a les eleccions presidencials faran servir un munt de màquines que no tenen això", va dir Williams. "No és una hipèrbole dir que això és una amenaça existencial per a la democràcia".

Un dels estats amb un rastre d’auditoria en paper és Nova York. Deborah Snyder, la responsable de seguretat de la informació de l'estat, va dir a PCMag en una cimera recent de l'Aliança de la Cyber ​​Security Alliance (NCSA) que Nova York no es trobava entre els 19 estats amb 35 milions de registres de votants que es venen a la web fosca. Tanmateix, presumptament, els registres de votants de l'Estat de Nova York disponibles públicament estan disponibles de manera gratuïta en un altre fòrum.

L’estat realitza avaluacions periòdiques de risc de les seves màquines de vot i la seva infraestructura. Nova York també ha invertit milions des del 2017 en detecció d’intrusions locals per millorar el seguiment i la resposta d’incidents, tant dins de l’estat com en coordinació amb el Centre d’anàlisi i anàlisi de la informació (ISAC), que s’associa amb altres estats i el sector privat.

"Estem en una consciència més gran que condueix fins a les eleccions" i va dir ", va dir Snyder. "Tinc equips a la coberta des de les 6 del matí el dia abans fins a la mitjanit del dia de les eleccions. Tots estem a la maqueta, des del centre d'intel·ligència de l'estat de Nova York fins a l'ISAC fins a la junta de les eleccions local i estatal i la meva oficina, ITS i la divisió de serveis de seguretat domèstica i d’emergència."



Els llocs web sobre eleccions locals són els ànecs

L’últim aspecte i la majoria de vegades oblidat de la seguretat de les eleccions estatals i locals són els llocs web del govern que diuen als ciutadans on i com votar. En alguns estats, hi ha una coherència escassa entre els llocs oficials, molts dels quals manquen fins i tot dels certificats de seguretat HTTPS més bàsics, que verifica que les pàgines web estiguin protegides amb xifratge SSL.

La companyia de ciberseguretat McAfee va enquestar recentment la seguretat dels llocs web del comitè electoral de 20 estats i va comprovar que només el 30, 7 per cent dels llocs tenen SSL per xifrar de manera predeterminada qualsevol informació que un votant comparteix amb el lloc web. En estats com Montana, Texas i Virgínia de l'Oest, el 10 per cent dels llocs o menys està xifrat per SSL. La investigació de McAfee va trobar que només a Texas, 217 dels 236 llocs web electorals del comtat no utilitzen SSL.

Podeu indicar un lloc xifrat per SSL buscant HTTPS a l’URL del lloc web. També podeu veure un blocatge o una icona de clau al vostre navegador, cosa que vol dir que esteu comunicant de forma segura amb un lloc de qui diuen. Al juny, Google Chrome va començar a marcar tots els llocs HTTP no xifrats com a "no segurs".

"No tenir SSL el 2018 per preparar-se a les mitges, significa que aquests llocs web del comtat són molt més vulnerables als atacs de MiTM i a la manipulació de dades", va dir Steve Grobman, del CTO de McAfee. "Sovint és una antiga variant HTTP no segura que no us redirigeix ​​cap a llocs segurs i, en molts casos, els llocs comparteixen certificats. Les coses es veuen millor a nivell estatal, on només un 11% dels llocs no estan xifrats, però aquests els llocs comarcals locals són completament insegurs."

Dels estats inclosos en la investigació de McAfee, només Maine tenia per sobre del 50 per cent dels llocs web de les eleccions del comtat amb xifrat bàsic. Nova York només es trobava al 26, 7 per cent, mentre que Califòrnia i la Florida eren al voltant del 37 per cent. Però la manca de seguretat bàsica és només la meitat de la història. La investigació de McAfee tampoc va trobar gairebé cap coherència en els dominis dels llocs web electorals del comtat.

Un percentatge increïblement reduït de llocs electorals de l'estat utilitzen el domini.gov verificat pel govern, en lloc d'optar per dominis comuns de primer nivell (TLD) com.com,.us,.org o.net. A Minnesota, el 95, 4 per cent dels llocs electorals utilitzen dominis no governamentals, seguit de Texas al 95 per cent i Michigan al 91, 2 per cent. Aquesta incoherència fa gairebé impossible que un votant habitual pugui distingir quins llocs electorals són legítims.

A Texas, el 74, 9% dels llocs web de registre d’electors locals utilitzen el domini.us, el 7, 7 per cent utilitzen.com, l’11, 1 per cent utilitzen.org i l’1, 7 per cent utilitzen.net. Només el 4, 7 per cent dels llocs utilitzen el domini.gov. Al comtat de Texas a Denton, per exemple, el lloc web de les eleccions del comtat és https://www.votedenton.com/, però McAfee va trobar que els llocs web relacionats, com ara www.vote-denton.com, estan disponibles per a la compra.

En escenaris com aquest, els atacants ni tan sols han de piratejar llocs web locals. Simplement poden comprar un domini similar i enviar correus electrònics de phishing que dirigeixen les persones que es registrin per votar a través del lloc fraudulent. Fins i tot poden proporcionar informació falsa sobre vot o ubicacions incorrectes del local electoral.

"El que veiem en ciberseguretat en general és que els atacants utilitzaran el mecanisme més simple que sigui eficaç per assolir els seus objectius", va dir Grobman. "Tot i que pot ser possible piratejar les màquines de votació per si mateixes, hi ha molts reptes pràctics. És molt més fàcil anar després dels sistemes de registre i bases de dades dels votants o només comprar un lloc web. En alguns casos, hem trobat que hi havia dominis similars. comprat per altres parts. És tan fàcil com trobar una pàgina de venda GoDaddy ".



Campanyes: peces en moviment i orientacions fàcils

Generalment es requereix més esforç perquè els pirates informàtics s’infiltrin en el sistema de cada comtat o estat que no pas després de fruites amb poca col·locació com ara campanyes, on milers d’empleats temporals fan marques atractives. Com vam veure el 2016, l’impacte de les incompliments de dades de la campanya i les filtracions d’informació pot ser catastròfic.

Els atacants poden penetrar en campanyes de diverses maneres, però la defensa més contenta és simplement assegurar-se que els fonaments bàsics estan bloquejats. El Llibre de campanya de ciberseguretat del D3P no revela cap tàctica innovadora de seguretat. Es tracta essencialment d’una llista de comprovació que poden utilitzar per assegurar-se que es revisa cada empleat o voluntari de la campanya i que qualsevol persona que treballi amb dades de la campanya utilitzi mecanismes de protecció com l’autenticació de dos factors (2FA) i serveis de missatgeria xifrats com Signal o Wickr. També cal formar-los en higiene d'informació de sentit comú amb consciència de com es poden detectar esquemes de pesca.

Robby Mook va parlar d’hàbits senzills: digueu que esborreu automàticament els missatges de correu electrònic que sabeu que no necessitareu, perquè sempre hi ha la possibilitat que les dades es filtrin si esteu asseguts.

"La campanya és un exemple interessant, perquè vam tenir aquest segon factor en els nostres comptes de la campanya i en les regles empresarials sobre el manteniment de dades i informació al nostre domini", va explicar Mook. "Els dolents, que vam aprendre en una perspectiva retrospectiva, van aconseguir que molta personal hagi de fer clic a través dels enllaços de pesca, però aquests intents no van tenir èxit, perquè teníem garanties al seu lloc. Quan no van poder aconseguir-ho, van recórrer. els comptes personals de la gent."

La seguretat de la campanya és complicada: hi ha milers de parts mòbils i, sovint, no hi ha cap pressupost ni una experiència per generar des de zero les proteccions de seguretat de la informació. La indústria de la tecnologia ha avançat en aquest front, proporcionant col·lectivament diverses eines gratuïtes per a les campanyes fins als intermedis.

Alphabet's Jigsaw proporciona campanyes de protecció DDoS mitjançant Project Shield i Google ha ampliat el seu avançat programa de seguretat de comptes per protegir les campanyes polítiques. Microsoft ofereix als partits polítics detecció gratuïta d’amenaces AccountGuard a Office 365 i, aquest estiu, l’empresa va organitzar tallers de ciberseguretat tant amb el DNC com amb RNC. McAfee lliura McAfee Cloud per a eleccions assegurades gratuïtament durant un any a les oficines electorals dels 50 estats.

Altres empreses de seguretat i tecnologia del núvol (incloses Symantec, Cloudflare, Centrify i Akamai) ofereixen eines similars gratuïtes o amb descompte. Tot forma part de la mena de campanyes de PR de la indústria tecnològica, que fa un esforç més concertat per millorar la seguretat electoral que en el passat Silicon Valley.

Obtenir campanyes en aplicacions xifrades

Wickr, per exemple, està donant (més o menys) accés a les campanyes de forma gratuïta al seu servei i treballa directament amb campanyes i el DNC per formar treballadors de la campanya i crear xarxes de comunicacions segures.

El nombre de campanyes que utilitzen Wickr s’ha triplicat des del mes d’abril, i més de la meitat de les campanyes del Senat i més de 70 equips de consultoria política estaven utilitzant la plataforma a partir d’aquest estiu, segons la companyia. Audra Grassia, responsable polític i governamental de Wickr, ha dirigit els seus esforços amb comitès i campanyes polítiques a Washington, DC, durant l’últim any.

"Crec que la gent fora de la política els costa molt entendre el difícil que és desplegar solucions a diverses campanyes a tots els nivells", va dir Grassia. "Cada campanya és la seva petita petita empresa separada, amb personal que es desenvolupa cada dos anys."

Les campanyes individuals sovint no tenen finançament per a la ciberseguretat, però els grans comitès polítics sí. Arran del 2016, el DNC ha invertit especialment en ciberseguretat i aquest tipus de relació amb Silicon Valley. El comitè compta ara amb un equip de 35 persones dirigit pel nou CTO Raffi Krikorian, anteriorment de Twitter i Uber. El nou director general de seguretat del DNC, Bob Lord, era un executiu de seguretat de Yahoo que coneixen íntimament el fet de tractar-se de casos catastròfics.

L’equip de Grassia ha estat treballant directament amb el DNC, ajudant a desplegar la tecnologia de Wickr i oferint campanyes a diversos nivells de formació. Wickr és un dels proveïdors de tecnologia presentats al mercat tecnològic de candidats de DNC. "Les peces que es mouen dins d'una campanya són realment impressionants", va dir Joel Wallenstrom, director general de Wickr.

Va explicar que les campanyes no disposen del coneixement tecnològic ni dels recursos per invertir en seguretat d'informació de qualitat empresarial ni per pagar preus de talent de Silicon Valley. Les aplicacions xifrades ofereixen fonamentalment una infraestructura integrada per traslladar totes les dades i les comunicacions internes d’una campanya a entorns segurs sense contractar un costós equip de consultoria per configurar-ho tot. No és una solució que abasta tothom, però les aplicacions xifrades, com a mínim, poden aconseguir bloquejar els fonaments bàsics d'una campanya relativament ràpidament.

Robby Mook, en els períodes intermedis i futurs, ha indicat que hi ha alguns vectors d'atacs de campanya que més li preocupa. Un dels atacs de DDoS als llocs web de la campanya en moments crítics, com ara durant un discurs de convenció o un concurs primari quan els candidats participen en donacions en línia. També està preocupat pels llocs falsos com un cop de puny per robar diners.

"Hem vist una mica d'això, però crec que una cosa a veure són els falsos llocs de recaptació de fons que poden generar confusió i dubtes en el procés de donació", va dir Mook. "Crec que podria empitjorar molt amb l'enginyeria social intentant enganyar el personal de la campanya a la necessitat de cablejar diners o revertir donacions als lladres. El perill d'això és especialment elevat perquè, per a un adversari, no només és lucratiu, sinó que distreu les campanyes d'allò real. qüestions i els manté centrats en la intriga ".



La guerra de la informació per a les ments dels votants

Els aspectes més difícils d’entendre per a la seguretat electoral, i molt menys protegir-los, són les campanyes de desinformació i d’influència social. És el tema que més ha publicat a Internet, al Congrés i a les plataformes socials al cor del conundrum que amenaça la democràcia.

Les falses notícies i la desinformació difosa per influir en els votants poden tenir diverses formes. El 2016, provenia d’anuncis polítics micro-orientats a les xarxes socials, de grups i comptes falsos que circulaven informació falsa sobre els candidats i de dades de campanyes filtrades estratègicament difoses per a la guerra d’informació.

Mark Zuckerberg va dir famosament dies després de les eleccions que les notícies falses a Facebook que van influir en les eleccions eren una "idea bastant boja". Va necessitar un any desastrós d’escàndols de dades i resultats d’ingressos per Facebook per arribar a on es troba ara: purgues massives de comptes d’espam polítics, verificació d’anuncis polítics i creació d’una “sala de guerra” electoral a mig termini com a part d’una estratègia global de lluita contra les eleccions entrebancar

Twitter ha fet passos similars, verificant els candidats polítics i disminuint els bots i trolls, però la desinformació persisteix. Les empreses han estat sinceres sobre el fet que estiguin en una cursa d’armes amb cibernètics enemics per trobar i eliminar els comptes falsos i provocar notícies falses. Facebook va tancar la campanya de propaganda vinculada a l'Iran amb 82 pàgines, grups i comptes la setmana passada.

Però els algorismes d’aprenentatge automàtic i els moderadors humans només poden arribar tan lluny. La difusió de la desinformació a través de WhatsApp a les eleccions presidencials del Brasil és només un exemple de la quantitat de feina que han de fer les empreses de mitjans de comunicació social.

Facebook, Twitter i gegants tecnològics com Apple han passat a reconèixer tàcitament el paper que juguen les seves plataformes a les eleccions a acceptar la responsabilitat i intentar arreglar els problemes molt complicats que van ajudar a crear. Però n’hi ha prou?

"La influència a les eleccions sempre hi ha estat, però el que estem veient és un nou nivell de sofisticació", va dir Travis Breaux, professor associat d’informàtica a Carnegie Mellon, la investigació de la qual es refereix a la privadesa i la seguretat.

Breaux va dir que els tipus de campanyes de desinformació que veiem des de Rússia, l'Iran i altres actors de l'estat nació no són tan diferents dels agents d'espionatge del playbook des de fa dècades. Va assenyalar un llibre de 1983 anomenat The KGB and Soviet Desinformation , escrit per un oficial d’intel·ligència, que parlava de campanyes d’informació de la Guerra Freda, patrocinades per l’estat, dissenyades per confondre, confondre o provocar l’opinió estrangera. Els pirates informàtics i les granges trolls de Rússia fan el mateix avui en dia, només els seus esforços es veuen magnificats de manera exponencial pel poder de les eines digitals i l'abast que proporcionen. Twitter pot explotar un missatge a tot el món en un instant.

"Hi ha una combinació de tècniques existents, com els comptes falsos, que ara estem operatius", va dir Breaux. "Hem de posar-nos al dia i entendre com és la informació genuïna i de confiança."

CTO de McAfee, Steve Grobman, pensa que el govern hauria de realitzar campanyes de serveis públics per sensibilitzar sobre informació falsa o manipulada. Va dir que un dels principals problemes del 2016 va ser la suposició flagrant que les dades incomplides tinguessin integritat.

En les etapes finals d’un cicle electoral, quan no hi ha temps per verificar de forma independent la validesa de la informació, la guerra d’informació pot ser especialment potent.

"Quan els correus electrònics de John Podesta es van publicar a WikiLeaks, la premsa donava la suposició que tots eren realment els correus electrònics de Podesta", va dir Grobman. PCMag no ha realitzat cap investigació directa sobre l’autenticitat dels correus electrònics filtrats, però alguns correus electrònics de Podesta verificats com a falsos encara circulaven tan recentment aquesta tardor, segons FactCheck.org, un projecte executat al Centre de polítiques públiques d’Annenberg de la Universitat. de Pennsilvània.

"Una de les coses que necessitem per educar el públic és que qualsevol informació que surti d'una violació pot contenir dades fabricades entrellaçades amb dades legítimes per alimentar els adversaris narratius que us dirigeixen. La gent pot creure alguna cosa fabricada que influeixi en el seu vot."

Això no només es pot estendre a allò que es veu en línia com a les xarxes socials, sinó també a detalls logístics sobre el vot a la vostra zona. Tenint en compte la incoherència en alguna cosa tan fonamental com els dominis de llocs web d’un municipi local a un altre, els electors necessiten un mitjà oficial per distingir el que és real.

"Imagineu els pirates informatius que intenten dirigir unes eleccions cap a un candidat en una àrea rural o urbana determinada", va dir Grobman. "Heu enviat un correu electrònic de phishing a tots els electors dient que, a causa del clima, les eleccions s'han ajornat durant 24 hores o bé els heu donat una falsa ubicació actualitzada del local electoral."

En última instància, correspon als electors filtrar la desinformació. La responsable de Seguretat de la Informació de l'Estat de Nova York, Deborah Snyder, va dir: "No envieu les notícies de Facebook, voteu la vostra mentalitat" i assegureu-vos que els vostres fets provenen de fonts verificades. Joel Wallenstrom de la víctima creu que els electors necessiten acostar-se al fet que hi haurà una gran quantitat de FUD (por, incertesa i dubte). També pensa que només cal apagar Twitter.

Robby Mook va dir que, si es tracta d’operacions de cibercriminalitat o de guerra de dades, és important recordar que la informació que veieu està dissenyada per fer-vos pensar i actuar d’una manera determinada. No ho facis.

"Els electors han de fer un pas enrere i preguntar-se què els importa, no el que se'ls ha dit", va dir Mook. "Centra’t en la substància dels candidats, les decisions que hauran de prendre aquests funcionaris públics i com aquestes decisions afectaran la seva vida".



Llança tot el que tenim a Em. Torna a executar-ho

L'exercici de simulació en seguretat del projecte Defending Digital Democracy va començar a les 8 del matí a Cambridge, Mass. Com que va començar, els participants que treballaven en estats de ficció sis o vuit mesos abans del dia de les eleccions, 10 minuts de l'exercici van representar 20 dies. Al final, cada minut passava en temps real, ja que tothom comptava al temps de votació.

Rosenbach va dir que, Mook i Rhoades van entrar amb 70 pàgines d'escenaris que escrivien com es reproduirien les catàstrofes de seguretat electoral i que es llançarien una a l'altra als funcionaris de l'estat per veure com responen.

"Diríem que aquí hi ha la situació; només hem rebut un reportatge sobre una informació russa feta a través de robots de Twitter", va dir Rosenbach. "A més, arriben resultats des d'aquest local electoral que es mostra tan tancat però només per als votants afroamericans. Aleshores haurien de reaccionar davant d'això, mentre que al mateix temps 10 coses més baixen: les dades de registre es piratejaven, la infraestructura de votació està compromesa, alguna cosa filtrada i seguida."

El Projecte Defensor de la Democràcia Digital va investigar a 28 estats sobre demografia i diferents tipus d’equips de votació per escriure les simulacions i tothom tenia assignat un paper. Els administradors electorals de baix nivell van arribar a exercir els màxims funcionaris d'un estat de ficció i viceversa. Rosenbach, va dir que el secretari d'Estat Mac Warner, de Virgínia de l'Oest, volia exercir un col·laborador.

L’objectiu era que els oficials dels 38 estats deixessin la simulació amb un pla de resposta a la seva ment i fessin les preguntes correctes quan realment importés. Hem xifrat aquest enllaç? La base de dades d’electors és segura? Hem tancat qui té accés físic als col·legis electorals abans del dia de les eleccions?

Un subproducte, possiblement més important, de l'exercici de tauleta va ser la creació d'una xarxa de funcionaris electorals a tot el país per compartir informació i intercanviar bones pràctiques. Rosenbach la va anomenar una mena de "ISAC informal" que s'ha mantingut molt activa fins als intermedis dels Estats per compartir els tipus d'atacs i vulnerabilitats que estan veient.

Els Estats també estan fent aquest tipus de formació pel seu compte. Nova York va iniciar al maig una sèrie d'exercicis regionals sobre tauleta en col·laboració amb el Departament de Seguretat Nacional centrada en la preparació de la ciberseguretat i la resposta a les amenaces.

NYS CISO Snyder va dir que el Consell Electoral de l'Estat va proporcionar formació específica a les juntes electorals del comtat. A més, es va posar a disposició dels municipis locals la formació gratuïta de cibersegència que es va oferir a tots els 140.000 treballadors estatals, oferint-los tant formació específica per a eleccions com formació general de sensibilització sobre ciberseguretat. Snyder també va dir que ha contactat amb altres estats que han patit incompliments de dades de votants per saber què va passar i per què.

"Les col·laboracions són el que fa funcionar la ciberseguretat. La falta de compartir informació per això falla", va dir Snyder. "Els Estats s'adonen que el ciber no es pot fer en sitges i l'avantatge d'aquesta consciència situacional compartida supera la vergonya d'explicar la història de com et van fer piratejat".

El D3P envia equips a tot el país durant els períodes intermedis per observar les eleccions en desenes d’estats i informar per millorar els quaderns i els entrenaments del projecte abans del 2020. Un sentiment que diverses fonts comparteixen és que els ciber adversaris no poden arribar als Estats Units tan forts. a mitjanit Amèrica va quedar totalment fora de seguretat durant les eleccions de 2016, i el 2018 mostrarà als pirates informatius de l'estat nació allò que tenim i no hem après des de llavors.

La guerra cibernètica no només tracta d'assalts frontals. Les campanyes de pirateria i desinformació són més encobertes i es basen en colpejar-te amb el que no espereu. Pel que fa a Rússia, l’Iran, la Xina, Corea del Nord i altres, molts experts en seguretat i en política exterior temen que els atacs molt més devastadors a les eleccions dels Estats Units arribin al cicle de la campanya presidencial del 2020.

"Els russos continuen actius, però m'estranyaria que els nord-coreans, xinesos i iranians no veiessin molt detingudament per veure què fem a mitges i posant bases clandestines, igual que qualsevol operació intel·lectual de ciber", va dir Rosenbach.

Els ciberatacs que veiem durant les mitjanes i el 2020 poden provenir de vectors completament nous que no es trobaven en cap de les simulacions; una nova generació d’explotacions i tècniques que ningú s’esperava ni preparava per afrontar. Però almenys sabrem que vindran.