Sommario:
- Protezione della "superficie di attacco"
- Cosa abbiamo imparato dal 2016
- Il panorama delle minacce mutevoli
- Alla ricerca di modelli
- Collegamento di nuovi fori nella vecchia macchina
- I siti web elettorali locali sono anatre sedute
- Campagne: pezzi mobili e bersagli facili
- Ottenere campagne su app crittografate
- La guerra dell'informazione per gli elettori
- Getta tutto ciò che abbiamo in loro. Eseguilo di nuovo
Video: Иммунная система I - Бактериальная Инфекция (Novembre 2024)
A marzo, funzionari di 38 stati si sono riuniti in una sala conferenze a Cambridge, nel Massachusetts, per un esercizio di simulazione elettorale di due giorni condotto come un gioco di guerra.
Più di 120 funzionari elettorali statali e locali, direttori delle comunicazioni, responsabili IT e segretari di stato hanno svolto esercitazioni simulando catastrofi di sicurezza che potrebbero verificarsi nel peggior giorno delle elezioni che si possa immaginare.
L'esercizio da tavolo è iniziato ogni simulazione mesi prima delle elezioni di medio termine del 6 novembre, accelerando la sequenza temporale fino a quando gli Stati non hanno contrastato gli attacchi in tempo reale mentre gli elettori andavano alle urne. Organizzati dal progetto Defending Digital Democracy (D3P) ad Harvard, uno sforzo bipartisan per proteggere i processi democratici dagli attacchi informatici e informatici, le esercitazioni hanno costretto i partecipanti a rispondere a uno scenario da incubo dopo l'altro: hacking della macchina per il voto e del database degli elettori, distribuzione negata del servizio (DDoS): attacchi che rimuovono siti Web, trapelate informazioni errate sui candidati, informazioni false sui sondaggi diffuse per sopprimere i voti e campagne sui social media coordinate da aggressori degli Stati nazionali per seminare diffidenza.
Come abbiamo visto nelle recenti elezioni in tutto il mondo, spesso si verificano simultaneamente più attacchi.
"Pensa a un attacco denial of service e alle normali tattiche di phishing e malware che verrebbero utilizzate durante le elezioni", ha affermato Eric Rosenbach, direttore D3P e capo dello staff del segretario alla Difesa americano Ashton Carter dal 2015 al 2017.
"La parte di cui sarei più preoccupato con un DDoS è un attacco contro una pagina web che annuncia risultati combinati con una fascia alta. Guarda cosa è successo in Ucraina nel 2014. I russi DDoSed la pagina web che l'Ucraina stava usando per annunciare i risultati delle elezioni, poi ha riportato tutti in Russia oggi e ha prodotto risultati fasulli. Gli ucraini sono rimasti confusi su chi fosse stato effettivamente eletto presidente ".
Comprendere la moderna sicurezza elettorale significa fare i conti con una realtà scoraggiante: specialmente negli Stati Uniti, l'infrastruttura è troppo frammentata, obsoleta e vulnerabile per essere completamente protetta. Esistono anche troppi diversi tipi di attacchi nel panorama delle minacce per fermarli tutti.
PCMag ha parlato con funzionari statali, agenti politici, accademici, società tecnologiche e ricercatori di sicurezza sulle crude realtà della sicurezza elettorale nel 2018. Su entrambi i lati del corridoio politico, a tutti i livelli di governo e in tutto il settore tecnologico, gli Stati Uniti è alle prese con le minacce fondamentali alla sicurezza informatica alle nostre elezioni. Stiamo anche pianificando come reagire quando le cose vanno male, sia durante queste cruciali elezioni di medio termine che durante le elezioni generali del 2020.
Protezione della "superficie di attacco"
Nella sicurezza informatica, tutti i sistemi e i dispositivi esposti che potrebbero essere attaccati sono chiamati "superficie di attacco". La superficie di attacco di un'elezione americana è enorme e può essere divisa in tre livelli chiave.
Il primo è l'infrastruttura di voto; pensa alle macchine per il voto, ai database di registrazione degli elettori e a tutti i siti web dello stato e del governo locale che dicono alle persone dove e come votare.
Quindi c'è il livello di sicurezza della campagna. Come ha dimostrato il 2016, le campagne sono obiettivi facili per gli hacker. I dati della campagna rubata possono quindi essere usati come un'arma potente per il terzo, più nebuloso livello di attacco: il nefasto mondo della disinformazione armata e campagne di influenza sociale. Su questo fronte, gli eserciti di troll di attori dello stato-nazione continuano a operare attraverso il web e invadono le piattaforme dei social media, che sono diventate campi di battaglia polarizzanti della percezione degli elettori.
Cercare di risolvere la miriade di problemi sistemici che affliggono ciascuno di questi livelli porta spesso a più domande che a risposte. Al contrario, molte delle strategie per mitigare i rischi per la sicurezza elettorale si riducono al buon senso: scrutinio cartaceo e revisione dei voti; dare più risorse ai governi statali e locali; e fornire strumenti e formazione sulla sicurezza per campagne e funzionari elettorali.
Un paio di domande più complicate e di divisione, per gli amministratori elettorali e gli attivisti delle campagne nonché per gli elettori: come affronti il processo elettorale nell'era dei social media pieno di disinformazione online? E quando nutri dubbi su tutte le informazioni digitali che arrivano sullo schermo, cosa dovresti credere?
Cosa abbiamo imparato dal 2016
Qualsiasi conversazione sulla sicurezza elettorale degli Stati Uniti a metà mandato del 2018 e oltre, alla fine, risale alle elezioni presidenziali del 2016. Prima di quella gara, avevamo assistito a attacchi informatici diretti a campagne ed elezioni dalla metà degli anni 2000, ma mai prima su quella scala.
"All'epoca nessuno aveva mai visto nulla di simile prima. Era scioccante pensare che la Russia sarebbe stata così sfacciata da interferire nella nostra democrazia e influenzarla a favore di un certo candidato", ha affermato Rosenbach, che ha testimoniato prima del Congresso a marzo sulle interferenze russe nelle elezioni del 2016. "Lavoro nella sicurezza nazionale da 20 anni e questo è stato il problema più complicato e difficile che abbia mai affrontato."
A questo punto, i fatti sono abbastanza chiari. Una dozzina di russi che presumibilmente lavoravano per il GRU, il servizio di intelligence militare russo, sono stati incriminati per aver violato il Comitato Nazionale Democratico (DNC) e aver fatto trapelare documenti a organizzazioni come WikiLeaks, che ha rilasciato oltre 20.000 e-mail.
Operando sotto personalità online tra cui Guccifer 2.0, Fancy Bear e DCLeaks, gli hacker accusati hanno anche violato i database di registrazione degli elettori in Illinois e Arizona nell'agosto 2016 e hanno rubato informazioni su oltre 500.000 elettori. I successivi rapporti dell'FBI e della NSA hanno scoperto che gli hacker hanno compromesso il software di voto in 39 stati durante le elezioni presidenziali del 2016. Il vice procuratore generale degli Stati Uniti Rod Rosenstein ha dichiarato nell'accusa di hacker russi che "l'obiettivo della cospirazione era di avere un impatto sulle elezioni".
Erano solo gli attacchi a colpire i primi due livelli di infrastruttura elettorale. Sui social media, la Russia, l'Iran e altri hanno scatenato robot e fabbriche di troll - tra cui la IRA (Internet Research Agency) sostenuta dalla Russia - che hanno diffuso notizie false e acquistato migliaia di annunci politici su Facebook e Twitter per influenzare le opinioni degli elettori. Sebbene legato a partiti politici piuttosto che a hacker esterni, lo scandalo Cambridge Analytica di Facebook ha anche avuto un ruolo nel modo in cui le piattaforme dei social media hanno influenzato le elezioni del 2016.
"Non abbiamo reagito in modo rapido o abbastanza forte", ha detto Rosenbach. Mentre lavorava al Pentagono, Rosenbach è stato anche Vice Assistente alla Segreteria della Difesa per il Cyber dal 2011 al 2014, e Assistente Segretario alla Difesa per la Sicurezza Globale supervisionando la sicurezza informatica.
Ora è condirettore del Belfer Center presso la Kennedy School di Harvard e direttore del D3P. L'ha fondato l'anno scorso insieme a Matt Rhoades, il responsabile della campagna di Mitt Romney durante le elezioni del 2012, e Robby Mook, il responsabile della campagna di Hillary Clinton nel 2016.
"Una cosa importante da capire dal punto di vista della sicurezza è che la campagna stessa non è mai stata violata", ha detto Mook a PCMag. "Gli account di posta elettronica personali sono stati violati e il DNC è stato violato, ma penso che sia un avvertimento importante per tutti che dobbiamo davvero proteggere l'intero ecosistema. Gli avversari andranno ovunque possibile per armare le informazioni contro diversi candidati."
L'attacco di phishing che ha hackerato con successo l'account Gmail personale del presidente della DNC John Podesta nel 2016 ha lasciato a Mook la consapevolezza che non esistevano meccanismi per reagire a un attacco di tale portata. Nel 2017, si è collegato a Rhoades, che aveva affrontato costanti tentativi di hacking da parte delle forze informatiche cinesi durante la corsa presidenziale di Romney. L'idea di base era quella di creare un elenco di controllo delle cose da fare per prevenire exploit come questo nelle campagne future e di fornire un posto dove andare quando sarebbero state hackerate.
I due si sono uniti a Rosenbach e hanno lavorato per pubblicare il Dbook della Cybersecurity Campbook Playbook. Da allora hanno collaborato ad altri due playbook: uno per gli amministratori delle elezioni statali e locali e uno che prepara i funzionari delle comunicazioni su come contrastare la disinformazione online. Hanno anche aiutato a organizzare ed eseguire le simulazioni da tavolo interstatali.
Mook non voleva passare troppo tempo a parlare del 2016; è importante non continuare a rivivere l'ultima battaglia quando puoi prepararti per la prossima, ha detto.
"Il fatto è che non sai perché o come qualcuno sta cercando di entrare. Sai solo che qualcuno lo farà", ha detto Mook. "La cosa più importante è pensare a ciò che potrebbe essere il prossimo. Quali sono le minacce che non abbiamo ancora considerato o visto? Penso che gli intermediari potrebbero potenzialmente far emergere alcune nuove vulnerabilità, ma penso che si tratti più di considerare il sistema come un intero e capire ogni possibile modo in cui qualcuno potrebbe entrare."
Il panorama delle minacce mutevoli
Mentre ci avviciniamo agli intermediari del 2018 e affrontiamo il lungo slogan delle elezioni presidenziali degli Stati Uniti del 2020, il panorama delle minacce si sta focalizzando.
Sebbene il presidente Trump abbia minimizzato l'entità delle interferenze russe, gli Stati Uniti hanno colpito la Russia con nuove sanzioni a marzo. "Continuiamo a vedere una pervasiva campagna di messaggistica da parte della Russia per cercare di indebolire e dividere gli Stati Uniti", ha detto il direttore dell'intelligence nazionale Dan Coats durante un briefing di agosto.
Ciò è avvenuto dopo che Microsoft a luglio ha ostacolato un tentativo di hacking che coinvolge domini falsi destinati a tre candidati in cerca di rielezione. Poche settimane prima della pubblicazione di questa storia, un cittadino russo è stato accusato di sovrintendere allo sforzo di manipolare gli elettori attraverso Facebook e Twitter per interferire con gli intermedi. Elena Khusyaynova, cittadina russa nominata nell'accusa, presumibilmente gestiva operazioni finanziarie e sociali affiliate all'IRA, gestendo un budget di oltre $ 35 milioni finanziato dall'oligarca russo e dall'alleato di Putin Yevgeny Prigozhin.
I direttori dell'intelligence nazionale, del dipartimento della sicurezza nazionale e dell'FBI hanno rilasciato una dichiarazione congiunta a tempo con l'accusa. Afferma che mentre non ci sono prove attuali di infrastrutture di voto compromesse nel medio termine, "alcuni governi statali e locali hanno segnalato tentativi attenuati di accesso alle loro reti", compresi i database di registrazione degli elettori.
Nelle ultime settimane prima delle elezioni di medio termine, secondo quanto riferito, il Cyber Command statunitense sta persino identificando agenti russi che controllano i conti dei troll e li informa che gli Stati Uniti sono a conoscenza delle loro attività nel tentativo di scoraggiare le ingerenze elettorali.
"Siamo preoccupati per le campagne in corso da parte di Russia, Cina e altri attori stranieri, incluso l'Iran, per minare la fiducia nelle istituzioni democratiche e influenzare il sentimento pubblico e le politiche del governo", si legge nella nota. "Queste attività potrebbero anche cercare di influenzare le percezioni degli elettori e il processo decisionale nelle elezioni statunitensi del 2018 e del 2020".
Alla ricerca di modelli
Nel monitorare l'attività di avversari stranieri e altri potenziali cyber nemici, gli esperti cercano schemi. Toni Gidwani ha detto che è come studiare una schiera radar di tutte le diverse entità maligne là fuori; cerchi indicatori di allerta precoce per mitigare il rischio e proteggere i collegamenti più deboli nelle tue difese.
Gidwani è il direttore delle operazioni di ricerca presso la società di sicurezza informatica ThreatConnect. Ha trascorso gli ultimi tre anni a guidare le ricerche di ThreatConnect sull'hacking DNC e le operazioni di influenza russa sulle elezioni presidenziali statunitensi del 2016; il suo team ha collegato Guccifer 2.0 a Fancy Bear. Gidwani ha trascorso il primo decennio della sua carriera al DoD, dove ha creato e guidato team di analisi presso la Defense Intelligence Agency.
"Devi tirare le corde su molti fronti diversi", ha detto Gidwani. "Fancy Bear stava lavorando a molti canali diversi per cercare di rendere pubblici i dati DNC. Guccifer era uno di quei fronti, DCLeaks era uno e WikiLeaks era il fronte di maggiore impatto".
Gidwani ha spezzato gli exploit dello stato-nazione che abbiamo visto in alcune distinte attività che insieme formano una campagna di interferenza a più livelli. Le violazioni dei dati incentrate sulla campagna hanno portato a perdite di dati strategici nei momenti critici del ciclo elettorale.
"Siamo preoccupati per lo spear-phishing e gli attacchi man-in-the-middle di sicuro. Quelle informazioni sono così impattanti quando diventano di dominio pubblico che potresti non aver bisogno di malware sofisticati, perché le campagne sono tali operazioni di raccolta, con un afflusso di volontari come obiettivi ", ha spiegato. "Non hai bisogno di vulnerabilità zero-day se il tuo spear-phishing funziona".
Gli attacchi di penetrazione nei consigli elettorali statali sono un altro polo destinato a interrompere la catena di approvvigionamento della macchina per il voto e ad erodere la fiducia nella validità dei risultati elettorali. Gidwani ha affermato che la natura obsoleta e frammentata delle infrastrutture di voto da stato a stato ha fatto attacchi come iniezioni di SQL, che "speriamo non debbano più far parte del playbook di attacco", non solo possibili ma anche efficaci.
Tali operazioni sono in gran parte distinte dai gruppi di Facebook e dagli account di troll di Twitter sfornati dall'IRA e da altri attori dello stato-nazione, tra cui Cina, Iran e Corea del Nord. In definitiva, quelle campagne riguardano più il risveglio del sentimento e l'ondeggiamento degli elettori in tutto lo spettro politico, amplificando le fughe di dati coordinate con inclinazioni politiche. Quando si tratta di disinformazione, abbiamo scoperto solo la punta dell'iceberg.
"Una delle cose che rende le elezioni così impegnative è che sono costituite da molti pezzi diversi senza un singolo stakeholder", ha dichiarato Gidwani. "La grande sfida con cui stiamo lottando è fondamentalmente una questione politica, non tecnica. Le piattaforme stanno facendo uno sforzo per rendere più facilmente identificabili i contenuti legittimi verificando i candidati. Ma con quanto viralmente questo tipo di contenuto può diffondersi, ci vuole fuori dal mondo della sicurezza delle informazioni ".
Collegamento di nuovi fori nella vecchia macchina
Al suo livello più fondamentale, l'infrastruttura elettorale americana è un mosaico: un miscuglio di macchine per il voto obsolete e insicure, database di elettori vulnerabili e siti Web statali e locali che a volte mancano anche della crittografia e della sicurezza più elementari.
In una sorta di arretramento, la natura frammentata delle infrastrutture di voto a livello nazionale può renderlo un obiettivo meno allettante di un exploit con un impatto più diffuso. A causa della tecnologia obsoleta e talvolta analogica delle macchine per il voto e di quanto ampiamente ogni stato differisca da quello successivo, gli hacker dovrebbero impegnarsi in ogni caso per compromettere ogni singolo sistema localizzato. Questo è un malinteso in una certa misura, perché hackerare l'infrastruttura di voto statale o locale in un distretto chiave può influenzare assolutamente un risultato elettorale.
Due cicli elettorali fa, Jeff Williams ha consultato un importante venditore di macchine per il voto negli Stati Uniti, che ha rifiutato di identificare. La sua azienda ha effettuato una revisione manuale del codice e un test di sicurezza delle macchine per il voto, della tecnologia di gestione delle elezioni e dei sistemi di conteggio dei voti, e ha scoperto una serie di vulnerabilità.
Williams è CTO e co-fondatore di Contrast Security e uno dei fondatori di Open Web Application Security Project (OWASP). Ha affermato che a causa della natura arcaica del software elettorale, che in molti casi è gestito da aree locali che spesso prendono decisioni di acquisto basate più sul budget che sulla sicurezza, la tecnologia non è cambiata molto.
"Non si tratta solo delle macchine per il voto. È tutto il software che usi per organizzare un'elezione, gestirla e raccogliere i risultati", ha affermato Williams. "Le macchine hanno una durata piuttosto lunga perché sono costose. Stiamo parlando di milioni di righe di codice e di molti anni di lavoro nel tentativo di esaminarlo, con una sicurezza complicata da implementare e non ben documentata. È un sintomo di un problema molto più grande: nessuno ha idea di cosa stia succedendo nel software che usano."
Williams ha affermato di non avere molta fiducia nei processi di test e certificazione. La maggior parte dei governi statali e locali riunisce piccoli team che eseguono test di penetrazione, lo stesso tipo di test che ha fatto notizia a Black Hat. Williams ritiene che sia l'approccio sbagliato, rispetto ai test esaustivi sulla garanzia della qualità del software. Concorsi di hacking come quelli del Voting Village di DefCon trovano vulnerabilità, ma non ti dicono tutto sui potenziali exploit che non hai trovato.
Il problema più sistemico a livello nazionale è che le macchine per il voto e il software di gestione delle elezioni differiscono enormemente da uno stato all'altro. Esistono solo pochi dei principali fornitori registrati per fornire macchine per il voto e sistemi di voto certificati, che possono essere sistemi di votazione cartacea, sistemi di voto elettronici o una combinazione dei due.
Secondo l'organizzazione senza scopo di lucro Verified Voting, il 99 percento dei voti degli Stati Uniti sono calcolati dal computer in una qualche forma, attraverso la scansione di vari tipi di schede cartacee o attraverso l'ingresso elettronico diretto. Il rapporto di Votazioni verificate del 2018 ha rilevato che 36 stati continuano a utilizzare apparecchiature di voto non sicure e 31 Stati utilizzeranno macchine per il voto elettronico a registrazione diretta per almeno una parte degli elettori.
Più allarmante, cinque stati - Delaware, Georgia, Louisiana, New Jersey e Carolina del Sud - attualmente utilizzano macchine per il voto elettronico a registrazione diretta senza alcuna traccia di verifica cartacea verificata dagli elettori. Quindi, se il conteggio dei voti viene modificato nel sistema elettronico, attraverso un hack fisico o remoto, gli stati potrebbero non avere modo di verificare i risultati validi in un processo di audit in cui spesso è necessario solo un campionamento statistico dei voti, piuttosto che un conteggio completo.
"Non c'è una scatola di inseguitori sospetti che possiamo contare", ha dichiarato Joel Wallenstrom, CEO dell'app di messaggistica crittografata Wickr. "Se nel mezzo ci sono affermazioni secondo cui i risultati non sono reali perché i russi hanno fatto qualcosa, come possiamo affrontare questo problema di disinformazione? Le persone leggono i titoli bombastici e la loro fiducia nel sistema viene ulteriormente erosa."
L'aggiornamento delle infrastrutture di voto stato per stato con tecnologia e sicurezza moderne non sta avvenendo a medio termine e probabilmente non prima del 2020. Mentre gli stati tra cui la Virginia dell'Ovest stanno testando tecnologie emergenti come la blockchain per la registrazione e l'auditing dei voti elettronici, la maggior parte dei ricercatori e degli esperti di sicurezza dire che al posto di un sistema migliore, il metodo più sicuro per verificare i voti è una traccia cartacea.
"Le piste di controllo cartaceo sono state per molto tempo un grido di richiamo per la comunità della sicurezza, e nel medio periodo e probabilmente nelle elezioni presidenziali useranno un sacco di macchine che non ne hanno", ha affermato Williams. "Non è iperbole dire che si tratta di una minaccia esistenziale alla democrazia".
Uno degli stati con una pista di controllo cartacea è New York. Deborah Snyder, Chief Information Security Officer dello stato, ha dichiarato a PCMag in un recente vertice della National Cyber Security Alliance (NCSA) che New York non era tra i 19 stati i cui circa 35 milioni di record degli elettori sono in vendita sul web oscuro. Tuttavia, i registri degli elettori dello Stato di New York disponibili pubblicamente sono presumibilmente disponibili gratuitamente su un altro forum.
Lo stato conduce regolarmente valutazioni del rischio delle sue macchine e infrastrutture di voto. New York ha inoltre investito milioni dal 2017 nel rilevamento delle intrusioni locali per migliorare il monitoraggio e la risposta agli incidenti, sia all'interno dello stato che in coordinamento con il Centro di condivisione delle informazioni e analisi (ISAC), che collabora con altri Stati e il settore privato.
"Siamo a conoscenza intensificata che porta fino e attraverso le elezioni", ha detto Snyder. "Ho squadre sul ponte dalle 6 del mattino fino a mezzanotte del giorno delle elezioni. Siamo tutti sul ponte, dal New York State Intelligence Center all'ISAC al Board of Elections locale e statale e al mio ufficio, ITS e la divisione della sicurezza nazionale e dei servizi di emergenza ".
I siti web elettorali locali sono anatre sedute
L'ultimo e più spesso trascurato aspetto della sicurezza delle elezioni statali e locali sono i siti web del governo che dicono ai cittadini dove e come votare. In alcuni stati, c'è una coerenza sorprendentemente scarsa tra i siti ufficiali, molti dei quali mancano anche dei più elementari certificati di sicurezza HTTPS, il che verifica che le pagine Web siano protette con la crittografia SSL.
La società di sicurezza informatica McAfee ha recentemente esaminato la sicurezza dei siti Web del consiglio elettorale della contea in 20 stati e ha scoperto che solo il 30, 7% dei siti ha SSL per crittografare qualsiasi informazione condivisa da un elettore con il sito Web per impostazione predefinita. In stati come Montana, Texas e West Virginia, il 10 percento dei siti o meno sono crittografati con SSL. La ricerca di McAfee ha scoperto che nel solo Texas, 217 su 236 siti Web elettorali della contea non usano SSL.
Puoi dire a un sito crittografato SSL cercando HTTPS nell'URL del sito web. Potresti anche vedere un'icona a forma di lucchetto o chiave nel tuo browser, il che significa che stai comunicando in modo sicuro con un sito che è quello che dicono di essere. A giugno, Google Chrome ha iniziato a contrassegnare tutti i siti HTTP non crittografati come "non sicuri".
"Non avere SSL nel 2018 in preparazione per gli intermedi significa che questi siti Web della contea sono molto più vulnerabili agli attacchi MiTM e alla manomissione dei dati", ha dichiarato Steve Grobman del CTO di McAfee. "È spesso una vecchia variante HTTP non sicura che non ti reindirizza a siti sicuri e, in molti casi, i siti condividono i certificati. Le cose sembrano migliori a livello statale, dove solo circa l'11 percento dei siti non è crittografato, ma questi i siti delle contee locali sono completamente insicuri ".
Degli stati inclusi nella ricerca di McAfee, solo il Maine aveva oltre il 50 percento dei siti Web elettorali della contea con crittografia di base. New York era solo al 26, 7 percento, mentre la California e la Florida erano circa il 37 percento. Ma la mancanza di sicurezza di base è solo metà della storia. La ricerca di McAfee inoltre non ha trovato quasi alcuna coerenza nei domini dei siti Web elettorali della contea.
Una percentuale sorprendentemente ridotta di siti elettorali di stato utilizza il dominio.gov verificato dal governo, optando invece per domini di primo livello (TLD) comuni come.com,.us,.org o.net. Nel Minnesota, il 95, 4 percento dei siti elettorali utilizza domini non governativi, seguito dal Texas al 95 percento e dal Michigan al 91, 2 percento. Questa incoerenza rende quasi impossibile per un elettore regolare discernere quali siti elettorali sono legittimi.
In Texas, il 74, 9 percento dei siti Web di registrazione degli elettori locali utilizza il dominio.us, il 7, 7 percento usa.com, l'11, 1 percento usa.org e l'1, 7 percento usa.net. Solo il 4, 7% dei siti utilizza il dominio.gov. Nella contea del Texas di Denton, ad esempio, il sito Web delle elezioni della contea è https://www.votedenton.com/, ma McAfee ha riscontrato che i siti Web correlati come www.vote-denton.com sono disponibili per l'acquisto.
In scenari come questo, gli aggressori non devono nemmeno hackerare i siti Web locali. Possono semplicemente acquistare un dominio simile e inviare e-mail di phishing che indirizzano le persone a registrarsi per votare attraverso il sito fraudolento. Possono persino fornire informazioni di voto falso o posizioni errate dei luoghi di votazione.
"Quello che vediamo nella sicurezza informatica in generale è che gli aggressori useranno il meccanismo più semplice che è efficace per raggiungere i loro obiettivi", ha affermato Grobman. "Sebbene possa essere possibile hackerare le macchine per il voto stesse, ci sono molte sfide pratiche a questo. È molto più facile andare dopo sistemi e database di registrazione degli elettori o semplicemente acquistare un sito Web. In alcuni casi abbiamo scoperto che c'erano domini simili acquistato da altre parti. È facile come trovare una pagina di vendita GoDaddy."
Campagne: pezzi mobili e bersagli facili
In genere ci vuole più sforzo per gli hacker di infiltrarsi in ogni contea o sistema statale piuttosto che cercare frutti a basso impatto come le campagne, in cui migliaia di dipendenti temporanei ottengono marchi interessanti. Come abbiamo visto nel 2016, l'impatto delle violazioni dei dati della campagna e delle perdite di informazioni può essere catastrofico.
Gli aggressori possono penetrare nelle campagne in diversi modi, ma la difesa più efficace è semplicemente assicurarsi che le basi siano bloccate. Il Playbook sulla sicurezza informatica della campagna D3P non rivela alcuna tattica di sicurezza rivoluzionaria. È essenzialmente una lista di controllo che possono utilizzare per assicurarsi che ogni dipendente o volontario della campagna sia controllato e che chiunque lavori con i dati della campagna utilizzi meccanismi di protezione come l'autenticazione a due fattori (2FA) e servizi di messaggistica crittografati come Signal o Wickr. Devono inoltre essere addestrati all'igiene dell'informazione di buon senso con la consapevolezza di come individuare gli schemi di phishing.
Robby Mook ha parlato di semplici abitudini: diciamo, eliminando automaticamente le e-mail che sai di non aver bisogno, perché c'è sempre la possibilità che i dati trapelino se sono in giro.
"La campagna è un esempio interessante, perché abbiamo avuto quel secondo fattore sui nostri account della campagna e sulle regole aziendali sulla conservazione dei dati e delle informazioni all'interno del nostro dominio", ha spiegato Mook. "I cattivi, abbiamo imparato in retrospettiva, hanno avuto un sacco di personale per fare clic sui collegamenti di phishing, ma quei tentativi non hanno avuto successo, perché avevamo delle misure di sicurezza in atto. Quando non sono riusciti a entrare in quel modo, sono andati in giro per conti personali delle persone ".
La sicurezza della campagna è complicata: ci sono migliaia di parti mobili e spesso non c'è budget o competenza per costruire da zero protezioni all'avanguardia per la sicurezza delle informazioni. L'industria della tecnologia ha intensificato questo aspetto, fornendo collettivamente una serie di strumenti gratuiti per le campagne che conducono al medio termine.
Alphabet's Jigsaw sta offrendo alle campagne protezione DDoS attraverso Project Shield e Google ha ampliato il suo programma avanzato di sicurezza degli account per proteggere le campagne politiche. Microsoft offre ai partiti politici il rilevamento gratuito delle minacce AccountGuard in Office 365 e questa estate la società ha ospitato seminari sulla sicurezza informatica sia con DNC che con RNC. McAfee offre McAfee Cloud for Secured Elections gratuitamente per un anno agli uffici elettorali in tutti i 50 stati.
Altre società di tecnologia cloud e sicurezza, tra cui Symantec, Cloudflare, Centrify e Akamai, forniscono strumenti simili gratuiti o scontati. Fa tutto parte della sorta di campagna collettiva di PR del settore tecnologico, facendo uno sforzo più concertato per migliorare la sicurezza elettorale di quanto non abbia fatto in passato la Silicon Valley.
Ottenere campagne su app crittografate
Wickr, ad esempio, sta (più o meno) dando alle campagne l'accesso gratuito al suo servizio e sta lavorando direttamente con le campagne e il DNC per formare i lavoratori delle campagne e costruire reti di comunicazioni sicure.
Il numero di campagne che utilizzano Wickr è triplicato da aprile e oltre la metà delle campagne del Senato e oltre 70 team di consulenza politica hanno utilizzato la piattaforma a partire da questa estate, secondo la società. Audra Grassia, la guida politica e governativa di Wickr, ha diretto i suoi sforzi con i comitati e le campagne politiche a Washington, DC, l'anno scorso.
"Penso che le persone al di fuori della politica abbiano difficoltà a comprendere quanto sia difficile implementare soluzioni su più campagne, ad ogni livello", ha affermato Grassia. "Ogni campagna è una piccola impresa separata con personale che ruota ogni due anni".
Le singole campagne spesso non hanno i fondi per la sicurezza informatica, ma i grandi comitati politici lo fanno. Sulla scia del 2016, il DNC in particolare ha investito molto nella sicurezza informatica e in questo tipo di costruzione di relazioni con la Silicon Valley. Il comitato ha ora un team tecnico di 35 persone guidato dal nuovo CTO Raffi Krikorian, ex Twitter e Uber. Il nuovo Chief Security Officer del DNC, Bob Lord, era in precedenza un dirigente della sicurezza di Yahoo che aveva familiarità con la gestione di attacchi catastrofici.
Il team di Grassia ha lavorato direttamente con il DNC, aiutando a implementare la tecnologia di Wickr e offrendo campagne di vari livelli di formazione. Wickr è uno dei fornitori di tecnologia presenti nel mercato tecnologico di DNC per i candidati. "I pezzi mobili all'interno di una campagna sono davvero sbalorditivi", ha dichiarato Joel Wallenstrom, CEO di Wickr.
Ha spiegato che le campagne non hanno le conoscenze tecniche o le risorse per investire nella sicurezza delle informazioni di livello aziendale o per pagare i prezzi della Silicon Valley per i talenti. Le app crittografate offrono essenzialmente un'infrastruttura integrata per spostare tutti i dati di una campagna e le comunicazioni interne in ambienti sicuri senza assumere un costoso team di consulenza per configurare tutto. Non è una soluzione onnicomprensiva, ma almeno le app crittografate possono bloccare gli elementi essenziali di una campagna in modo relativamente rapido.
A metà corso e alle elezioni future, ha detto Robby Mook, ci sono alcuni vettori di attacchi di campagna di cui è più preoccupato. Uno è rappresentato dagli attacchi DDoS ai siti Web delle campagne in momenti critici, ad esempio durante un discorso alla convention o un concorso principale quando i candidati scommettono su donazioni online. È anche preoccupato per i siti falsi come un pugno di due per rubare soldi.
"Ne abbiamo visto un po ', ma penso che una cosa da guardare siano i siti di raccolta fondi falsi che possono creare confusione e dubbi nel processo di donazione", ha affermato Mook. "Penso che potrebbe andare molto peggio con l'ingegneria sociale che cerca di ingannare il personale della campagna per cablare denaro o reindirizzare le donazioni ai ladri. Il pericolo di ciò è particolarmente alto perché per un avversario, non solo è redditizio, ma distrae le campagne dal reale problemi e li mantiene concentrati sugli intrighi ".
La guerra dell'informazione per gli elettori
Gli aspetti più difficili della moderna sicurezza elettorale da comprendere, per non parlare della protezione, sono le campagne di disinformazione e influenza sociale. È il problema che si è manifestato maggiormente pubblicamente online, al Congresso e sulle piattaforme sociali nel cuore dell'enigma che minaccia la democrazia.
Le notizie false e la disinformazione diffuse per influenzare gli elettori possono presentarsi in molte forme diverse. Nel 2016, proveniva da annunci politici micro-mirati sui social media, da gruppi e account falsi che diffondevano false informazioni sui candidati e da dati di campagne trapelate strategicamente diffuse per la guerra delle informazioni.
Mark Zuckerberg ha detto notoriamente giorni dopo le elezioni che false notizie su Facebook che influenzano le elezioni sono state "un'idea piuttosto folle". Facebook ha impiegato un anno disastroso di scandali di dati e riscontri delle entrate per arrivare a dove si trova ora: eliminazioni di massa di account di spam politico, verifica di annunci politici e creazione di una "sala di guerra" elettorale a medio termine come parte di una strategia globale per combattere le elezioni ingerenza.
Twitter ha fatto passi simili, verificando i candidati politici e reprimendo robot e troll, ma la disinformazione persiste. Le aziende sono state oneste sul fatto che sono in una corsa agli armamenti con i cyber nemici per trovare ed eliminare account falsi e arginare notizie false. Facebook ha chiuso una campagna di propaganda collegata all'Iran composta da 82 pagine, gruppi e account proprio la scorsa settimana.
Ma gli algoritmi di apprendimento automatico e i moderatori umani possono andare solo così lontano. La diffusione della disinformazione tramite WhatsApp alle elezioni presidenziali in Brasile è solo un esempio di quanto più lavoro devono fare le società di social media.
Facebook, Twitter e giganti della tecnologia come Apple sono passati dal riconoscere tacitamente il ruolo che le loro piattaforme svolgono nelle elezioni per accettare la responsabilità e cercare di risolvere i problemi molto complicati che hanno contribuito a creare. Ma è abbastanza?
"L'influenza alle elezioni è sempre stata lì, ma quello che stiamo vedendo è un nuovo livello di raffinatezza", ha dichiarato Travis Breaux, professore associato di Informatica presso Carnegie Mellon, la cui ricerca riguarda privacy e sicurezza.
Breaux ha affermato che i tipi di campagne di disinformazione che stiamo assistendo alla Russia, all'Iran e ad altri attori dello stato-nazione non sono poi così diversi dai giochi di spionaggio che usano da decenni. Ha indicato un libro del 1983 intitolato The KGB and Soviet Disinformation , scritto da un ex ufficiale dell'intelligence, che parlava di campagne di informazione sponsorizzate dallo Stato sulla Guerra Fredda progettate per fuorviare, confondere o infiammare l'opinione straniera. Gli hacker e le fattorie di troll della Russia stanno facendo la stessa cosa oggi, solo i loro sforzi sono amplificati in modo esponenziale dal potere degli strumenti digitali e dalla portata che forniscono. Twitter può mandare un messaggio al mondo intero in un istante.
"Esiste una combinazione di tecniche esistenti, come account falsi, che ora stiamo vedendo diventare operativi", ha dichiarato Breaux. "Dobbiamo metterci al passo e capire come sono le informazioni autentiche e affidabili".
Il CTO di McAfee Steve Grobman pensa che il governo dovrebbe organizzare campagne di servizio pubblico per sensibilizzare l'opinione pubblica su informazioni false o manipolate. Ha affermato che uno dei maggiori problemi nel 2016 è stato il presupposto flagrante che i dati violati fossero integri.
Nelle ultime fasi di un ciclo elettorale, quando non c'è tempo per verificare in modo indipendente la validità delle informazioni, la guerra delle informazioni può essere particolarmente potente.
"Quando le e-mail di John Podesta sono state pubblicate su WikiLeaks, la stampa ha ipotizzato che fossero davvero tutte le e-mail di Podesta", ha affermato Grobman. PCMag non ha condotto un'indagine diretta sull'autenticità delle e-mail trapelate, ma alcune e-mail di Podesta verificate come false erano ancora circolanti di recente in autunno, secondo FactCheck.org, un progetto concluso dal centro di politica pubblica di Annenberg all'università della Pennsylvania.
"Una delle cose di cui abbiamo bisogno per educare il pubblico è che qualsiasi informazione che esce da una violazione può contenere dati fabbricati intrecciati con dati legittimi per alimentare qualunque cosa gli avversari narrativi ti stiano portando verso. Le persone possono credere a qualcosa di fabbricato che influenza il loro voto."
Questo può estendersi non solo a ciò che vedi online e sui social media, ma anche ai dettagli logistici sul voto nella tua zona. Data l'incoerenza in qualcosa di così fondamentale come i domini di siti Web da un comune locale a quello successivo, gli elettori hanno bisogno di un mezzo ufficiale per discernere ciò che è reale.
"Immagina che gli hacker provino a influenzare le elezioni verso un candidato in una determinata area rurale o urbana", ha affermato Grobman. "Mandi un'email di phishing a tutti gli elettori dicendo che a causa del tempo, le elezioni sono state posticipate di 24 ore, oppure dai loro una posizione del seggio elettorale falsamente aggiornata."
Alla fine, spetta agli elettori filtrare la disinformazione. Il responsabile della sicurezza delle informazioni dello Stato di New York, Deborah Snyder, ha dichiarato: "Non ricevere notizie da Facebook, vota la tua mentalità" e assicurati che i tuoi fatti provengano da fonti verificate. Joel Wallenstrom di Wickr crede che gli elettori debbano incoraggiarsi al fatto che ci sarà un sacco di FUD (paura, incertezza e dubbio). Pensa anche che dovresti semplicemente disattivare Twitter.
Robby Mook ha affermato che, sia che si tratti di crimini informatici o operazioni di guerra dei dati, è importante ricordare che le informazioni che vedi sono progettate per farti pensare e agire in un certo modo. Non farlo.
"Gli elettori devono fare un passo indietro e chiedersi cosa conta per loro, non cosa viene loro detto", ha detto Mook. "Concentrati sulla sostanza dei candidati, sulle decisioni che questi funzionari pubblici prenderanno e su come tali decisioni avranno un impatto sulla loro vita".
Getta tutto ciò che abbiamo in loro. Eseguilo di nuovo
L'esercitazione sulla simulazione della sicurezza elettorale del progetto Defending Digital Democracy è iniziata alle 8 del mattino a Cambridge, in Massachusetts. All'inizio, con i partecipanti che lavoravano negli stati immaginari sei o otto mesi prima del giorno delle elezioni, 10 minuti dell'esercizio rappresentavano 20 giorni. Alla fine, ogni minuto stava accadendo in tempo reale mentre tutti contavano fino al tempo delle votazioni.
Rosenbach ha detto che lui, Mook e Rhoades sono entrati con 70 pagine di scenari che spiegavano come sarebbero andate le catastrofi della sicurezza elettorale e si sarebbero lanciate una dopo l'altra contro i funzionari statali per vedere come rispondevano.
"Diciamo, ecco la situazione, abbiamo appena ricevuto un rapporto di notizie su un'informazione russa condotta attraverso i robot di Twitter", ha detto Rosenbach. "Inoltre, stanno arrivando risultati da questo seggio elettorale che sta mostrando come chiuso, ma solo per gli elettori afroamericani. Quindi dovrebbero reagire a questo, mentre allo stesso tempo altre 10 cose stanno andando giù: i dati di registrazione sono stati hackerati, l'infrastruttura di voto è compromessa, è trapelato qualcosa e così via."
Il Defending Digital Democracy Project ha condotto ricerche in 28 stati su dati demografici e diversi tipi di apparecchiature di polling per scrivere le simulazioni e a tutti è stato assegnato un ruolo. Gli amministratori elettorali di basso livello hanno avuto la funzione di alti funzionari di uno stato fittizio e viceversa. Rosenbach ha dichiarato che il segretario di Stato della Virginia Occidentale, Mac Warner, voleva interpretare un lavoratore del sondaggio.
L'obiettivo era che i funzionari di tutti i 38 stati lasciassero la simulazione con un piano di risposta in mente e facessero le domande giuste quando è veramente importante. Abbiamo crittografato questo link? Il database degli elettori è sicuro? Abbiamo bloccato chi ha accesso fisico ai seggi elettorali prima del giorno delle elezioni?
Un sottoprodotto probabilmente più importante dell'esercizio da tavolo è stata la creazione di una rete di funzionari elettorali in tutto il paese per condividere informazioni e scambiare le migliori pratiche. Rosenbach l'ha definita una sorta di "ISAC informale" che è rimasto molto attivo, portando gli intermediari a condividere i tipi di attacchi e vulnerabilità che stanno vedendo.
Anche gli Stati stanno facendo questo tipo di addestramento da soli. New York ha dato il via a una serie di esercizi da tavolo regionali a maggio in collaborazione con il Dipartimento della sicurezza nazionale, concentrandosi sulla preparazione alla sicurezza informatica e sulla risposta alle minacce.
Il CISO di New York Snyder ha dichiarato che il Board of Elections dello Stato ha fornito una formazione specifica per le elezioni ai Board of Elections della Contea. Inoltre, la formazione gratuita sulla consapevolezza informatica fornita a tutti i 140.000 lavoratori statali è stata messa a disposizione dei comuni locali, offrendo loro sia una formazione specifica per le elezioni sia una formazione generale sulla consapevolezza della cibersicurezza. Snyder ha anche affermato di aver contattato altri Stati che hanno subito violazioni dei dati degli elettori per scoprire cosa è successo e perché.
"Le partnership sono ciò che fa funzionare la sicurezza informatica. La mancanza di condivisione dell'intelligence è il motivo per cui fallisce", ha affermato Snyder. "Gli stati stanno realizzando che il cyber non può essere fatto nei silos e il vantaggio di quella consapevolezza situazionale condivisa supera di gran lunga l'imbarazzo di raccontare la storia di come sei stato violato".
Il D3P sta inviando squadre in tutto il paese durante gli intermediari per osservare le elezioni in dozzine di stati e riferire per migliorare i libri di gioco e gli allenamenti del progetto prima del 2020. Un sentimento che molte fonti condivise è che i cyber avversari potrebbero non colpire gli Stati Uniti con la forza a metà. L'America è stata colta alla sprovvista durante le elezioni del 2016 e il 2018 mostrerà agli hacker dello stato-nazione ciò che abbiamo e non abbiamo imparato da allora.
La guerra cibernetica non riguarda solo gli assalti frontali. Le campagne di hacking e disinformazione sono più nascoste e si basano sul colpire con te esattamente quello che non ti aspetti. Per quanto riguarda la Russia, l'Iran, la Cina, la Corea del Nord e altri, molti esperti di sicurezza e di politica estera temono che attacchi molto più devastanti alle elezioni statunitensi arriveranno nel ciclo della campagna presidenziale del 2020.
"I russi sono ancora attivi, ma sarei sorpreso se i nordcoreani, i cinesi e gli iraniani non stessero guardando molto attentamente per vedere cosa facciamo a metà strada e gettando le basi clandestine, proprio come qualsiasi altra operazione informatica", ha detto. Rosenbach.
Gli attacchi informatici che vediamo durante gli intermedi e nel 2020 potrebbero provenire da vettori completamente nuovi che non erano presenti in nessuna delle simulazioni; una nuova generazione di exploit e tecniche che nessuno si aspettava o si preparava ad affrontare. Ma almeno sapremo che stanno arrivando.