Ændring af indspillede stemmer ville være vanskeligt for dårlig aktører. Men på Def Con i Las Vegas, børn havde ingen problemer med at finde en anden indgang
@alexhern
Wed, 22 Aug 2018 10.00 BST
Mens de enkelte stemmer maskiner, der ikke (eller bør ikke være), der er sluttet til internet, Pc ‘ er, som bruges til at programmere de enkelte valg.
Foto: Timothy En Clary/AFP/Getty Images
På verdens største hacking-konferencen, der var gode og dårlige nyheder for fans af frie og retfærdige valg.
Den gode nyhed er, at hacking OS midterms – rent faktisk at ændre den optagne stemmer til at stjæle valget for en bestemt kandidat, kan være sværere end det ser ud, og de fleste af de politiske aktører, der kan udgøre en trussel mod gyldigheden af et valg, er tilbageholdende med at eskalere deres angreb så langt.
Den dårlige nyhed er, at det ikke rigtig noget. Mens den faktiske risiko for en hacker at beslaglægge tusindvis af stemmer maskiner og ændre deres registreringer, kan fjernbetjeningen, risikoen for en hacker støbning gyldigheden af et valg i spørgsmålet gennem en af en række andre indgange er enorm, og den faktiske vanskeligheder af sådan et angreb er child ‘ s play. Bogstaveligt talt.
Russiske hackere målrettet konservative OS thinktanks, siger Microsoft
Læs mere
“De mest sårbare del af valget infrastruktur er de hjemmesider,” forklarede sikkerhed ekspert Jake Braun. Braun, en tidligere Hvide Hus samarbejde om internetsikkerhed, er en af en lille gruppe af frivillige IT-professionelle, der har været at teste sikkerheden – eller mangel på samme – af OS stemmer infrastruktur hvert år på den Def Con hacking-konferencen, hvor han medstifter af Stemmer Landsby, en form for konference-i-konferencen.
I modsætning til en stemme-maskine, Braun forklarer, hjemmesider repræsenterer en overbevisende mål, fordi de er af deres art, som er forbundet til internet 24/7. Og, uanset om de er vant til registrering af vælgere, online kampagner eller annoncerer resultaterne ved udgangen af valget, og at de kan bruges til at sprede kaos.
“Vi ved, at Rusland har gjort det før,” Braun siger. “De gjorde det i Ukraine, hvor de hackede ukrainske valgresultatet på regeringens hjemmeside. Heldigvis, de Ukrainere, der er fanget i det og lukke hjemmesiden ned. Men Russerne annonceret, at deres kandidat havde vundet på RT, da han ikke havde.” Uorden opstod, og den russiske presse havde et fodfæste, hvorfra man kan begynde at sprede påstand om, at vinderen af valget var ikke legitim.
Det tog en 11-årig pige, 10 minutter til at gøre det
Sikkerheds-ekspert Jake Braun
Desværre for Braun, i modsætning til afstemnings-maskiner, der ikke er en masse af interesse i at teste sikkerheden i de forskellige stater ” valget hjemmesider. “Det er virkelig vigtigt, det er en stor svaghed, men den voksne ned i Landsbyen ikke ville finde dette interessant, fordi de kunne gøre det på to minutter.”
I stedet, Braun henvendte sig til Rootz, en anden Def Con korte, hvor børn af deltagerne oplever deres egen mini-hacking-konventionen. Bevæbnet med faksimiler af hjemmesider af 13 slagmark-lande, og en børnevenlig guide til grundlæggende hacking-teknikker, børnene blev sluppet løs på kritisk infrastruktur – og fortsatte med at rive det fra hinanden.
“Det tog en 11-årig pige, 10 minutter til at gøre det,” Braun siger, “og hun var den første.” Efter at konventionen skiftes til en ny stat ‘ s hjemmeside hver 30 minutter, og et andet barn ville du bryde det op i mindre end en fjerdedel time, igen og igen. På det punkt er jeg ankom i rummet, hjemmesiden for staten Colorado blev projiceret op på væggen, erklære, at den kandidat til “Comnnunism” Party, Kim Jong-un, havde vundet statens valg med en quadrillion stemmer. (Runner-up, rapperen Lil Pumpe, som tilsyneladende står for det Demokratiske parti, havde lige under 46m stemmer.)
Da antallet af fejl opdaget af Def Con deltagere, unge og ældre, mounts, den AMERIKANSKE regering har taget en interesse. Dette år, Jeanette Manfra, assisterende sekretær ved department of homeland security ‘ s kontor for cybersikkerhed og kommunikation mødte op for at berolige deltagerne – til dels.
DHS, sagde hun, og satte sig selv i skoene af Usa ‘ s fjender. “Hvad er det, de forsøger at gøre? De forsøger at underminere vores demokratiske proces, og den tillid, som vi har i vores demokratiske proces. Og der er masser af måder at gøre det på, uden egentlig hacking afstemningen.”
Tag for eksempel registrering af data. Hvis databasen ikke er sikker, kan en hacker sletter, siger, hvert 10 indlæg. Den deraf følgende kaos, som millioner af mennesker forsøger at sikre foreløbige stemmer, eller er vendt væk på det valgsted, ville helt sikkert undergrave tilliden. “Det handler om mere end blot at stemme maskiner,” Manfra fortalte deltagere.
Som for at demonstrere Manfra ord, blot få dage efter, Def Con, et andet angreb blev rapporteret på Amerikanske demokrati, gennem kampagnen computer af et kongressens Demokratiske kandidat, California ‘ s David Min. Den fire-personers kampagne team, som først har lært af et potentielt angreb i Marts, kunne ikke selv har råd til den mindste pris for at leje en sikkerhed team til at undersøge, ifølge Reuters.
Men Manfra havde nogle gode nyheder. “Vi fandt ud af, at det faktisk er virkelig, virkelig svært at manipulere den faktiske stemme tæller i sig selv. Der er en masse grunde til, at: stemmemaskiner er fysisk sikkert, vi har fået tusindvis af jurisdiktioner over hele landet, der alle bruger forskellige ting. Og så mens du kan være i stand til at komme ind i et par stemmer maskiner, du virkelig kan ikke påvirke, at der på skala uden registrering, og det ville være virkelig svært.”
Hackere forsøger at få adgang til og ændre vælgernes data på den Def Con-konventionen sidste år. Foto: Steve Marcus/Reuters
Ikke alle er enige. “Det er lort,” Braun siger, når jeg sætter Manfra ord til ham. “Nej 1 ting vi fandt sidste år, var ikke et hack på alle, det var, at vi åbnede op på bagsiden af maskinen, og selvfølgelig, er ikke nogen overraskelse, at alle dele er lavet i hele verden, og især fra Kina.
“Det er ikke formodninger, det er ikke min dystopisk fantasi verden, det er noget, vi ved, at de gør … Den fragmentering argument er absolut lort, fordi når du er i chips, du kan hack hele klasser af maskiner, landsdækkende, fra de fucking Kreml.”
University of Michigan ‘ s J Alex Halderman er en af verdens eksperter på de svagheder, der er af stemmemaskiner. Han er ikke parat til at afvise risikoen for en direkte trussel mod integriteten af et amerikansk valg. I løbet af en 30-minutters tale i Afstemningen Landsby, han viser to direkte angreb på en populær klasse af afstemningsanlæg, at stjæle en mock valg foran et publikum på 50.
Han er enig med Manfra, at den mangfoldighed af AMERIKANSKE valgkamp teknologi er en udfordring for en angriber, men siger, at “der hjælper på nogle måder, og gør ondt på nogle måder”. En reel trussel, og han påpeger, behøver ikke at stjæle hver afstemning i hvert amt i hver stat i landet. Den dårlige skuespiller bare nødt til at stjæle stemmer nok i et par amter i Usa ‘ s battleground stater – lige nok til at svinge et tæt valg. “Så i stedet for mangfoldighed beskytte os, vi har en mangfoldighed af styrke og svaghed, og det er en svaghed for alle.”
Hvad mere er, Halderman bemærker, at systemet ikke er så decentraliseret, som det ser ud. Mens de enkelte stemmer maskiner, der ikke (eller bør ikke være), der er sluttet til internet, Pc ‘ er, som bruges til at programmere de enkelte valg. “En stor leverandør-koder system til 2.000 jurisdiktioner i 31 stater,” Halderman siger. “Mange andre steder, som Michigan, bruge små virksomheder” – nogle med kun seks eller syv medarbejdere. Hack disse virksomheder, og en hacker kunne teoretisk omprogrammere tusindvis af valget maskiner på én gang.
For nu, i henhold til den sikkerhedspolitiske ekspert Mara Tam, måske det stærkeste forsvar, at AMERIKANSKE valg har, er simpelthen, at der faktisk er at gribe ind i dem, er det ikke noget de fleste angribere ønsker at gøre.
“I henhold til international lov, indgreb og forstyrrelser har en specifik betydning – de indebærer tvang og de indebærer nægtelse af suverænitet af kraft,” Tam fortalte deltagerne om Black Hat, en anden konference i Las Vegas i denne måned. “Fordi Usa stadig har selvbestemmelse, og fordi denne” –Ruslands indblanding – “indflydelse, ikke-intervention, er det ikke ulovligt i henhold til international lov. I virkeligheden, international lov ikke selv røre ved den.
Hvorfor AMERIKANSKE valg forblive ‘faretruende sårbare”, at cyber-angreb
Læs mere
“Hvis du er Rusland, du egentlig ikke ønsker at blive fanget i at overtræde international lov. Du ønsker at være legitime. Og du kan se den operationelle røde linjer ikke bliver krydset … Medmindre der er en shooting krig, i hvilket tilfælde alle indsatser er slået fra.”
Selvfølgelig, det er koldt trøst til de forsvarere. Fordi der er en anden trussel, som er lige så farligt, og som international ret giver ingen forsvar ved alle, bemærker Carsten Schürmann, en anden stemme hacking ekspert. “Dette er truslen af en påstået cyber-angreb, hvor mennesker hævder, at der var et cyber-angreb, men der var faktisk ikke en eneste.”
Denne faktor, noter Tod Beardsley, en forskningsleder på den sikkerhed, virksomheden Rapid7, er en ting, der adskiller valg forsvar fra mange andre områder. “Det er i den angribere’ bedste interesse at være indlysende, at være fremmed, være støjende. Hvis dit mål er om frygt og tvivl, er du ikke selv behøver at kaste valg.”
Et valg fejlagtigt opfattes som illegitim, er lige så skadelig for demokratiet som en korrekt opfattes som sådan. Det er derfor Halderman opfordrer til en meget enkel løsning til mindst denne del af valget forsvar: afgivelse og optælling af papirstemmesedler. De fleste, men ikke alle, OS stemmemaskiner kan opretholde en særskilt post på papir som en afstemning, blev kastet til. Men samtidig med at optage, i det mindste, er unhackable, det er også sjældent i betragtning. I 2016, Halderman stået i spidsen for et forsøg på at fremme staten Michigan for at udføre en statistisk gyldig check af papirstemmesedler – der ville have involveret tælle bare et par hundrede af stemmesedlerne til at sikre en høj grad af sikkerhed for, at indgreb ikke havde fundet sted.
Denne indsats mislykkedes, men Halderman er ikke at give op. “Dette er en af de billigste cyber forsvar, man kan forestille sig, og ville koste mindre end $25m et år” for at give et stærkt forsvar på tværs af USA. Som han bemærker, er en brøkdel af $380m, at den AMERIKANSKE regering allerede er øremærket til at forbedre valget sikkerhed, men uden og standarder eller streng vejledning om, hvordan medlemsstaterne skal bruge det – hvilket betyder, at nogle af disse penge kan føres direkte ind i det at købe de samme usikre stemme maskiner, der førte til problemer i første omgang.
“Jeg har kun én konklusion,” sagde Schürmann: “Brug af papir og gøre din revision.”