Endre innspilte stemmer ville være vanskelig for dårlige skuespillere. Men på Def Con i Las Vegas, barn hadde ingen problemer med å finne en annen point of entry
@alexhern
Ons 22 Aug 2018 10.00 BST
Sist endret på Ons 22 Aug 2018 16.38 BST
Mens individuelle stemme maskiner som ikke er (eller burde ikke være) som er koblet til internett, Pc-ene som brukes til å programmere de enkelte valgene.
Foto: Timothy En Clary/AFP/Getty Images
På verdens største hacking konferanse, var det gode nyheter og dårlige nyheter for fans av frie og rettferdige valg.
Den gode nyheten er at hacking OSS mellomvalgene – faktisk endre det innspilte stemmer for å stjele valg for en bestemt kandidaten – kan være vanskeligere enn det ser ut, og de fleste politiske aktører som kan utgjøre en trussel mot gyldigheten av et valg er nølende til å eskalere sine angrep så langt.
Den dårlige nyheten er at det spiller egentlig ingen rolle. Mens den faktiske risikoen for en hacker å gripe tusenvis av stemmeberettigede maskiner og endre sine poster kan være eksterne, risikoen for en hacker støping gyldigheten av et valg til spørsmålet gjennom en av en rekke andre startpunkter er stor, og den faktiske problemer av et slikt angrep er barns lek. Bokstavelig talt.
Russiske hackere målretting konservative OSS thinktanks, Microsoft sier
Les mer
“Den mest sårbare delen av valget infrastruktur er den nettsteder,” forklarte security expert Jake Braun. Braun, en tidligere White House bindeledd på cybersecurity er en av en liten gruppe av frivillige IT-teknikere som har blitt testet for sikkerhet – eller mangel på sådan – av OSS å stemme infrastruktur hvert år på Def Con hacking konferanse, hvor han grunnla de Stemmeberettigede Village, en slags konferanse-i-en-konferanse.
I motsetning til en stemme maskinen, Braun forklarer, nettsteder representerer en overbevisende mål fordi de er av natur som er koblet til internett 24/7. Og, enten de er brukt for velgerregistrering, online kampanjer eller annonsere resultater på slutten av valget, de kan brukes til å skape kaos.
“Vi vet at Russland ikke har gjort dette før,” Braun sier. “De gjorde det i Ukraina, hvor de hacket ukrainske valgresultater på regjeringens nettside. Heldigvis Ukrainerne tatt det og slå nettsted ned. Men da det ble annonsert at deres kandidat hadde vunnet på RT, når han ikke hadde gjort det.” Forvirring oppstod, og den russiske trykk hatt et fotfeste som til å begynne å spre påstanden om at vinneren av valget var ikke legitim.
Det tok en 11-år gammel jente 10 minutter å gjøre det
Sikkerhet ekspert Jake Braun
Dessverre for Braun, i motsetning til å stemme maskiner, det er ikke mye av interesse i å teste sikkerheten på de ulike landenes valg nettsteder. “Det er veldig viktig, det er et stort sikkerhetsproblem, men de voksne ned i Landsbyen ville ikke finne dette interessant, fordi de kan gjøre det i to minutter.”
I stedet, Braun slått til Rootz, en annen Def Con stift, hvor barn av deltakerne opplever sin egen mini-hacking-konvensjonen. Bevæpnet med telefakser av nettsteder av 13 battleground states og barn-vennlig guide til grunnleggende hacking teknikker, barna ble satt løs på kritisk infrastruktur – og fortsatte å rive det fra hverandre.
“Det var en 11-år gammel jente 10 minutter å gjøre det på,” Braun sier, “og hun var den første.” Etter at konvensjonen syklet til en ny tilstand hjemmeside hver 30 minutter, og et annet barn ville bryte det i mindre enn et kvartal-time, over og over. På det punktet jeg kom på rommet, nettstedet for delstaten Colorado ble projisert på veggen, erklære at den kandidat til “Comnnunism” parti, Kim Jong-un, hadde vunnet statens valgkampen med en kvadrillioner stemmer. (Runner-up, rapperen Lil Pumpe, tilsynelatende står for det Demokratiske partiet, hadde i underkant av 46m stemmer.)
Ettersom antall feil oppdaget av Def Con deltakere, unge og eldre, monterer, den AMERIKANSKE regjeringen har tatt en interesse. Dette året, Jeanette Manfra, assisterende sekretær ved Department of Homeland Security office of cybersecurity og kommunikasjon slått opp for å forsikre deltakere – delvis.
DHS, sa hun, sette seg selv i skoene til usas fiender. “Hva er det de prøver å gjøre? De prøver å undergrave vår demokratiske prosess, og den tillit som vi har i vår demokratiske prosessen. Og det er mange måter å gjøre det, uten egentlig å hacke stemme.”
Ta for eksempel registrering av data. Hvis databasen ikke er sikker, kan en angriper slett si, hvert 10. oppføring. Den resulterende kaos, som millioner av mennesker forsøk på å sikre foreløpig stemmesedler, eller er slått unna på valglokale, som sikkert ville undergrave tillit. “Dette handler om mer enn bare å stemme maskiner,” Manfra fortalte deltakere.
Som om å demonstrere Manfra ord, bare noen dager etter Def Con, et annet angrep ble rapportert på Amerikansk demokrati, gjennom kampanjen datamaskinen av et Demokratisk congressional kandidat, California David Min. De fire-person-kampanje team, som først lærte av et mulig angrep i Mars, kunne ikke engang råd til minsteprisen for å ansette en security team for å undersøke, ifølge Reuters.
Men Manfra har noen gode nyheter. “Vi fant ut at det er egentlig veldig, veldig vanskelig å manipulere den faktiske stemme telle selv. Det er mange grunner til dette: stemmegivning maskiner er fysisk sikker, vi har fått tusenvis av jurisdiksjoner over hele landet som alle bruker forskjellige ting. Og så mens du kan være i stand til å få inn et par stemme-maskiner, kan du egentlig ikke påvirker det i stor skala uten gjenkjenning, og det ville være veldig vanskelig.”
Hackere prøver å få tilgang til og endre velgernes data på Def Con-konvensjonen siste året. Foto: Steve Marcus/Reuters
Ikke alle er enig i. “Det er tull,” Braun sier når jeg setter Manfra ord til ham. “The No 1 ting vi fant i fjor ikke var et hack i det hele tatt, det var det faktum at vi åpnet opp baksiden av maskinen, og selvfølgelig, ingen overraskelse, alle deler er laget på tvers av verden, særlig i Kina.
“Dette er ikke gjetning, dette er ikke min dystopiske fantasy-verden, dette er noe vi vet de gjør … fragmentering argumentet er absolutt horseshit, fordi når du er i sjetonger, kan du hacke hele klasser av maskiner, landsdekkende, fra den jævla Kreml.”
University of Michigan ‘ s J Alex Halderman er en av verdens eksperter på svakheter stemme maskiner. Også han er ikke forberedt på å avvise risikoen for en direkte trussel mot integriteten av en AMERIKANSK valgkamp. I løpet av en 30-minutters snakke i Avstemningen Landsbyen, han viser to direkte angrep på en populær klasse av stemme maskinen, å stjele en mock valget foran et publikum på 50.
Han er enig med Manfra at mangfoldet av OSS valget teknologi utgjør en utfordring for en angriper, men sier at “det hjelper på noen måter og gjør vondt på noen måter”. En reell trussel, påpeker han, trenger ikke å stjele hver stemme i hvert fylke i hver stat i landet. Dårlig skuespiller trenger bare å stjele nok stemmer i noen fylker i Amerika er battleground states – akkurat nok til å svinge en nær valg. “Så i stedet for mangfold beskytte oss, vi har et mangfold av styrke og svakhet, og det er en svakhet for alle.”
Hva er mer, Halderman notater, systemet ikke er like desentralisert som det ser ut. Mens individuelle stemme maskiner som ikke er (eller burde ikke være) som er koblet til internett, Pc-ene som brukes til å programmere de enkelte valgene. “En stor leverandør koder system for 2000 jurisdiksjoner over 31 stater,” Halderman sier. “Mange andre steder, som Michigan, bruk små bedrifter” – noen med bare seks eller syv ansatte. Hack de bedrifter, og en angriper kan teoretisk sett omprogrammere tusenvis av valg maskiner på en gang.
For nå, i henhold til retningslinjer for sikkerhet ekspert Mara Tam, kanskje den sterkeste forsvar som AMERIKANSKE valget har er rett og slett at faktisk intervenere i dem er ikke noe de fleste angripere ønsker å gjøre.
“Under internasjonal lov, inngrep og forstyrrelser har en spesifikk betydning – de innebærer bruk av tvang og de innebærer en fornektelse av suverenitet ved force,” Tam fortalte deltakerne på Black Hat, et annet sikkerhet-konferansen i Las Vegas denne måneden. “Fordi Usa har fortsatt selvbestemmelse, og fordi dette” –Russlands innblanding – “ble innflytelse, ikke intervensjon, det er ikke ulovlig i henhold til internasjonal lov. Faktisk, internasjonal lov ikke røre det.
Hvorfor AMERIKANSKE valget forbli ‘farlig sårbare” for å cyber-angrep
Les mer
“Hvis du er Russland, har du faktisk ikke ønsker å bli fanget brudd på internasjonal lov. Du ønsker å være legitime. Og du kan se operative røde linjer ikke blir krysset … med Mindre det er en krig som foregår, i hvilket tilfelle er alle spill av.”
Selvfølgelig, det er kaldt komfort forsvarere. Fordi det er en annen trussel som er like farlig, og som internasjonal lov har ikke noe forsvar for å i det hele tatt, notater Carsten Schürmann, en annen stemme hacking ekspert. “Dette er trusselen om en påstått cyber-angrep, der folk hevder at det var en cyber-angrep, men det faktisk var ikke en.”
Som faktor, notater Tod Beardsley, forskningsleder ved sikkerhetsselskapet Rapid7, er én ting som skiller valget forsvar fra mange andre områder. “Det er i angriperne’ beste interesse å være opplagt, være utenlandske, være støyende. Hvis målet ditt er om frykt og tvil, du trenger ikke engang å kaste valg.”
Et valg feilaktig oppfattet som illegitime er like skadelig for demokratiet som en riktig oppfattes slik. Det er derfor Halderman anrop for en svært enkel løsning for å i hvert fall denne delen av valget forsvar: utstedelse og telle papir stemmesedler. De fleste, men ikke alle, OSS å stemme machines gjøre for å opprettholde en egen rekord på papir som en stemmeseddel ble kastet for. Men mens den rekorden, minst, er unhackable, det er også sjelden vurdert. I 2016, Halderman ledet et forsøk på å oppmuntre staten Michigan for å utføre en statistisk gyldig sjekk av papir stemmesedler – som ville ha involvert telle bare et par hundre av stemmesedlene for å sikre en høy grad av sikkerhet slå fast at inngrep ikke hadde oppstått.
Arbeidet mislyktes, men Halderman er ikke å gi opp. “Dette er en av de billigste cyber forsvar tenkelig, og vil koste mindre enn $25 millioner i året” for å gi et sterkt forsvar over OSS. At han notater, er en brøkdel av $380m at den AMERIKANSKE regjeringen har allerede øremerket for å forbedre valget sikkerhet, men uten standarder eller streng veiledning om hvordan statene skal bruke det – noe som betyr at noen av disse pengene kan være nypløyd rett til å kjøpe den samme usikre stemme maskiner som førte til problemer i første omgang.
“Jeg har bare en konklusjon,” sa Schürmann: “Bruk papir og gjøre din revisjoner.”