Selv om det fragmenterte arten av Britiske kampanjer gjør dem tryggere, phishing er fortsatt en alvorlig trussel, sier OSS security expert

Hacking

Cyberattack på UK politisk parti “bare et spørsmål om tid’

Selv om det fragmenterte arten av Britiske kampanjer gjør dem tryggere, phishing er fortsatt en alvorlig trussel, sier OSS security expert

@alexhern

Tirsdag 30. Mai 2017 15.00 BST

Sist endret tirsdag 30. Mai 2017 15.30 norsk tid

En Britisk politisk parti vil være offer for en hack som ligner de led av Clinton og Macron presidentvalget kampanjer, en ledende sikkerhet forsker har advart.

James Norton, en tidligere tjenestemann i det AMERIKANSKE Department of Homeland Security og leder for sikkerhet rådgivning leke-Action Spiller Strategier, sa: “Det ville ikke overraske meg hvis det allerede er noen e-poster stjålet … det ville overraske meg om det ikke skjedde.”

Det var et spørsmål om når, ikke hvis, en hack som ville skje, sa han. “Kampanjer er en skattekiste, spesielt nyere kampanjer der du prøver å forstå dynamikken … jeg tror de ville være mål, hvis de ikke allerede, i form av å prøve å forstå hva deres politikk ville være. Selv Theresa May er i stor grad ukjent.”

EU ‘ s head of information security har tidligere anbefalt at risikoen for hacking angrep øker sterkt etter oppløsningen av parlamentet. Dr Udo Helmbrecht advarte kandidater som en av tusenvis av politiske kampanjer aktiv i løpet av valgperioden kan tjene som et skott fra å trenge dypere inn i partiet maskiner.

“Hvis du ser fra en politiker perspektiv eller fra en annens perspektiv, har du ulike områder av bekymring,” Helmbrecht fortalte the Guardian. “I Tyskland, Forbundsdagen ble hacket. Dette var ikke en svakhet i den klassiske infrastruktur – det var naiv behandling av parlamentarikere.”

Dick O ‘ Brien, en trussel forsker ved sikkerhetsselskapet Symantec, enige om at en hack som på Macron “kan godt skje igjen”. Selv et blunk valg venstre god tid for en interessert part til å ta handling, tilføyde han.

“Arten av valget betyr at politikere er moden for angrep. Regjeringer er godt sikret, politiske partier ikke så mye. Og så en kampanje utvides fra en sentral part i en mye mer ad hoc-organisasjoner. Det er der du ser folk som bruker ressurser, cloud-tjenester, med e-post, at de egentlig ikke ville brukt i en mer permanent organisasjon. Som virkelig åpner opp overflaten for et angrep.”

I motsetning til den franske eller AMERIKANSKE presidentvalget, Britiske valget er mye mer fragmentert, med mer lokal makt og mindre nasjonale tilsyn. Fra et sikkerhetsmessig ståsted, at fragmentering kan være en velsignelse og en forbannelse: det har compartmentalisation, noe som sikrer at lav-nivå brudd ikke kan lekke data for hele kampanjen, men fører også til en markert økning i antall potensielle mål for en ekstern angriper.

Ingen av de nasjonale kampanjer ville kommentere om sikkerhetsspørsmål, men alle er antatt å ta råd fra GCHQ på å beskytte sine nettverk. Sitter MPs er hjulpet av det Parlamentariske Digitale Tjenesten til parlamentet oppløses. Men for parlamentarisk kandidater som ikke var MPs før valget ble kalt, mengden av støtte varierer vilt.

Elaine Bagshawe, Liberal Demokrat kandidat for øst-London er Poplar og Limehouse, sa: “Det er bare nylig da ‘information security’ begynte å bli et begrep. Det var normalt “data protection’, eller bare snakke om bestemte typer angrep vi bør forvente.”

Bagshawe, som jobbet for Financial Conduct Authority før du kjører for kontor, sa hennes profesjonelle liv hadde trent mye til henne “om risikoen for phishing, hacking og identitetstyveri.” National party ‘ s trening, men var begrenset til “en rekke webinarer,” sa hun. “Jeg tror informasjonssikkerhet kommer til å være ett.”

Mange kandidater har tidligere vært lokale rådgivere, en annen rolle som kommer med en viss opplæring om personvern og informasjonssikkerhet saker. Emma Coad, arbeidstilsynets Kensington kandidat, sa: “Hvis du interface med alle slags data, kan du gå gjennom en last av trening. Deretter, når du blir en kandidat, du er gitt en last av dokumentasjon.”

Coad sa Arbeidskraft, som det Lib Dems, som tilbys informasjonssikkerhet webinarer for kandidater, “hvis du ønsker å få tak i dem”.

Slike råd kan være nyttige, men leke-Action Spiller er Norton hevdet at regelmessig, bevisst opplæring var nødvendig for å hindre et dyrt og skadelig hack. Både Clinton og Macron-kampanjer, for eksempel, var trengt inn gjennom phishing-angrep: hackere opprettet falske Google logg inn sider i et forsøk på å høste data.

Hvordan å beskytte deg mot phishing

Les mer

Teknologien kan hjelpe, så vel som trening, Norton sa. “Det går tilbake til investeringer. Har du selv vet at folk er på nettverket? Mange ganger folk ikke kjenner til måneder etter hendelsen.”

Men det er også lokale kampanjer synes å falle ned: Coad sa Arbeiderpartiet hadde aldri snakket med henne kampanje om to-faktor autentisering, en av måtene å begrense skade et phishing-angrep kan påføre, til tross for at hennes offisielle kampanje-postadressen er at av en webmail-tjeneste som tilbyr det.

Ryan Kalember, leder av cybersecurity strategi på Proofpoint, støttet Norton advarsel. “Kampanjer i valg rundt om i verden må sikre at de har implementert riktig forsvar rundt phishing, inkludert e-post sikkerhet og multi-faktor autentisering, ideelt via hardware nøkler,” sa han.

“Vår forskning har vist [at] angriperne vi arbeider kontinuerlig for å utnytte e-post kommunikasjon kanal uavhengig av deres nivå av raffinement, motivasjon, eller land. E-post er deres største mål fordi det gir den enkleste åpning til en organisasjon, en av de letteste rutene for eksport av konfidensiell informasjon, og for politiske formål, e-post-innhold i seg selv har en innside titt på strategier, motivasjon og personlighet.”

Fragmentering av valgkrets kampanjer tilbyr sikkerhet fordeler også, men. Kampanjer tilgang til data er begrenset til det som er relevant til sitt lokale område. Bagshawe, Lib Dems kandidat, sa: “Det er svært få felles systemer og de snakker ikke til hverandre: jeg kan ikke se noen data for nærliggende valgkretser i Hackney, for eksempel.”

På samme måte, det store utvalget av forskjellige tjenester som brukes av ulike kampanjer gjør det vanskeligere å bruke en one-size-fits-all angrep. En falsk logg på Gmail-siden, for eksempel, vil være mindre i stand til å lure en kampanje kjøres fra en Hotmail-e-post-adresse.