Ändra inspelade röster skulle vara svårt för dåliga aktörer. Men på Def Con i Las Vegas, barnen hade inga problem med att hitta en annan plats för inresa
@alexhern
Ons 22 Aug 2018 10.00 BST
Senast ändrad Ons 22 Aug 2018 11.53 BST
Medan enskilda rösta maskiner är inte (eller borde inte vara) som är ansluten till internet, Datorer som används för att programmera de individuella valen.
Foto: Timothy En Clary/AFP/Getty Images
På världens största hacka konferensen, det var goda nyheter och dåliga nyheter för fans av fria och rättvisa val.
Den goda nyheten är att hacka OSS midterms – faktiskt ändra det inspelade med röster för att stjäla valet för en viss kandidat – kan vara svårare än det verkar, och de flesta av de politiska aktörer som kan utgöra ett hot mot giltigheten av ett val är tveksam till att trappa upp sina attacker så långt.
Den dåliga nyheten är att det egentligen inte spelar någon roll. Medan den faktiska risken för att en hacker beslagta tusentals rösta maskiner och ändra sina uppgifter kan vara av fjärrkontrollen, risken för att en hacker jobbintervju giltigheten av ett val i fråga genom en av ett antal andra startpunkter är enorm, och den faktiska svårigheten i en sådan attack är en barnlek. Bokstavligt.
Ryska hackare riktar konservativa OSS thinktanks, säger Microsoft
Läs mer
“Den mest utsatta delen av rysslands infrastruktur är de webbplatser”, förklarade säkerhetsexpert Jake Braun. Braun, en före detta Vita Huset samverkan om it-säkerhet, är en av en liten grupp av frivilliga IT-proffs som har testat säkerhet – eller brist på dem – för OSS rösta infrastruktur varje år på Def Con hacka konferensen, där han grundade Rösta Byn, ett slags konferens-inom-en-konferens.
Till skillnad från en omröstningsapparat, Braun förklarar, webbplatser representerar en övertygande mål eftersom de är av sin natur är ansluten till internet 24/7. Och, om de används för registreringen av väljare, online kampanjer eller presenterar resultaten på utgången av valet, kan de användas för att så förödelse.
“Vi vet att Ryssland har gjort det här förut,” Braun säger. “De gjorde det i Ukraina, där de hackade ukrainska valresultatet på regeringens webbplats. Lyckligtvis, Ukrainare fångade den och stänga webbplatsen och ner. Men då Ryssarna meddelade att deras kandidat hade vunnit på RT, när han inte hade.” Oordning uppstod, och den ryska pressen hade ett fotfäste för dig som vill börja sprida påståendet att vinnaren i valet var inte legitima.
Det tog en 11-årig flicka 10 minuter att göra det
Security expert Jake Braun
Tyvärr för Braun, till skillnad från att rösta maskiner, det är inte mycket intresse av att testa säkerheten i de olika staternas val webbplatser. “Det är verkligen viktigt, det är ett stort säkerhetsproblem, men den vuxna nere i Byn skulle inte finner detta intressant, eftersom de kan göra det på två minuter.”
Istället Braun vände sig till Rootz, en annan Def Con stapelvara, där barn av deltagarna upplever att deras egen mini hacka konventionen. Beväpnad med faksimiler av de webbplatser 13 slagfält stater och en barnvänlig guide till grundläggande hacka tekniker, barnen var som släppts lös på kritisk infrastruktur – och fortsatte att riva sönder.
“Det tog en 11-årig flicka 10 minuter att göra det,” Braun säger, “och hon var den första.” Efter att konventionen cyklade till en ny stat: s webbplats varje 30 minuter, och ett annat barn skulle bryta det på mindre än en kvart, om och om igen. Vid den punkt jag kom till rummet, hemsidan för delstaten Colorado var som projiceras på väggen, där man intygar att kandidaten för “Comnnunism” Parti, Kim Jong-un, hade vunnit statens valet med en kvadriljon röster. (Runner-up, rapparen Lil Pump, tydligen stå för Demokratiska partiet, som hade knappt 46 röster.)
Som många brister som upptäcktes av Def Con deltagare, yngre och äldre, fästen, den AMERIKANSKA regeringen har vidtagit ett intresse. Detta år, Jeanette Manfra, biträdande sekreterare vid department of homeland security ‘ s office it-säkerhet och kommunikation dök upp för att försäkra deltagarna delvis.
DHS, sade hon, sätter sig själv i rollen som Usa: s motståndare. “Vad försöker de göra? De försöker att undergräva vårt demokratiska processen, och det förtroende som vi har i vår demokratiska process. Och det finns en hel del sätt att göra det utan att faktiskt hacka rösta.”
Ta till exempel registrering av data. Om databasen inte är säker, en angripare skulle kunna ta bort, säg, var 10: e inlägg. Den resulterande kaos, som miljontals människor försöker att säkra preliminära valsedlar, eller vänds bort vid vallokal, verkligen skulle undergräva förtroendet. “Det här handlar om mer än att bara rösta maskiner,” Manfra berättade för deltagarna.
Som om för att visa Manfra ord, bara några dagar efter att Def Con, en annan attack rapporterade om Amerikansk demokrati, genom kampanj dator av en Demokratisk kongress kandidat, California ‘ s David Min. De fyra personer kampanj laget, som först lärt sig av en eventuell attack i Mars, kunde inte ens har råd med det lägsta priset för att hyra en säkerhetsgrupp för att undersöka, enligt Reuters.
Men Manfra hade några goda nyheter. “Vi fann att det faktiskt är riktigt, riktigt svårt att manipulera själva rösträkningen själv. Det finns många skäl till att rösta maskiner är fysiskt säker, vi har fått tusentals jurisdiktioner i hela landet som alla använder olika saker. Och så medan du kanske kan få in ett par rösta maskiner, du kan egentligen inte påverka att i stor skala utan upptäckt, och det skulle vara riktigt svårt.”
Hackare som försöker komma åt och ändra väljare data på Def Con convention förra året. Foto: Steve Marcus/Tt-Reuters
Inte alla håller med om. “Det är skitsnack,” Braun säger när jag satte Manfra ord till honom. “The No 1 sak som vi hittade förra året var inte ett hack alls, det var det faktum att vi öppnade upp baksidan av maskinen, och naturligtvis, ingen överraskning, alla delar är tillverkade i hela världen, särskilt Kina.
“Det är inte gissningar, detta är inte min dystopiska fantasivärld, detta är något som vi vet att de gör … De fragmentering argument är absolut hästskit, eftersom när du är i marker, kan du hacka hela klasser av maskiner, över hela landet, från den jävla Kreml.”
University of Michigan J Alex Halderman är en av världens experter på svagheterna i omröstningen maskiner. Också han är inte beredd att avfärda risken för ett direkt hot mot integriteten av valet i USA. Under en 30-minuters prat i Omröstningen Byn, han visar på två direkta angrepp på en populär klass av omröstningsapparat, stjäla en mock valet framför en publik bestående av 50.
Han håller med Manfra att mångfalden av valet i USA-teknik innebär en utmaning för en angripare, men säger att “som hjälper till att på vissa sätt och gör ont på vissa sätt”. Ett verkligt hot, påpekar han, behöver inte stjäla varje omröstning i varje län i varje stat i landet. Dåliga skådespelare bara för att stjäla tillräckligt många röster i några län i Usa: s slagfält stater – bara tillräckligt för att svänga en nära valet. “Så i stället för mångfald att skydda oss, vi har en mångfald av styrka och svaghet, och det är en svaghet för alla.”
Vad är mer, Halderman anteckningar, systemet är inte lika decentraliserad som det ser ut. Medan enskilda rösta maskiner är inte (eller borde inte vara) som är ansluten till internet, Datorer som används för att programmera de individuella valen. “En stor leverantör koder systemet för 2 000 jurisdiktion över 31 stater,” Halderman säger. “Många andra platser, som Michigan, använder små företag” med bara sex eller sju anställda. Hacka dem som företag, och en angripare skulle teoretiskt sett kunna programmera tusentals val maskiner på en gång.
För nu, enligt den säkerhetspolitiska expert Mara Tam, kanske den starkaste försvar som AMERIKANSKA valet har är helt enkelt att faktiskt ingripa i dem är inte något som de flesta angripare vill göra.
“Enligt internationell lag, ingripande och störningar har en specifik mening – de innebär tvång och de innebär förnekande av suveränitet med kraft,” Tam berättade för deltagarna i Svart Hatt, en annan security conference i Las Vegas denna månad. “Eftersom Usa har fortfarande självbestämmande, och eftersom detta” –Rysslands inblandning – “var inflytande, inte ingripa, det är inte olagligt enligt internationell lag. Faktum är att internationell rätt inte ens röra vid det.
Varför AMERIKANSKA valet vara “farligt utsatta” för att it-attacker
Läs mer
“Om du är Ryssland, som du verkligen inte vill bli påkommen som bryter mot internationell lag. Du vill vara legitima. Och du kan se operativa röda linjer inte korsas … Om det inte finns en skytte krig, i vilket fall alla satsningar är avstängd.”
Naturligtvis, det är kallt komfort till försvarare. Eftersom det är ett annat hot som är lika farliga, och som folkrätten ger inga försvar alls, konstaterar Carsten Schürmann, en annan röst hacka expert. “Detta är hotet om en påstådd cyber-attack, där folk hävdar att det var en cyber-attack, men det var faktiskt inte en enda.”
Som faktor, konstaterar Tod Beardsley, forskningschef på säkerhetsföretaget Rapid7, är en sak som skiljer valet försvar från många andra områden. “Det är i attacker” bästa intresse att vara uppenbart, att vara utländsk, vara högljudd. Om ditt mål är om rädsla och tvekan, och du behöver inte ens kasta val.”
Ett val felaktigt uppfattas som illegitim är precis lika skadligt för demokratin som en korrekt uppfattas som sådana. Det är därför Halderman kräver en mycket enkel lösning för att åtminstone denna del av valet försvar: utfärdande och räkna valsedlar. De flesta, men inte alla, OSS rösta maskiner göra underhålla en separat post på papper varav en omröstning var gjuten för. Men även att spela in, åtminstone, är unhackable, det är också sällan beaktas. I och med 2016, Halderman spetsen ett försök att uppmuntra till staten Michigan för att utföra en statistiskt giltig in av valsedlar – vilket skulle ha inneburit att räkna bara ett par hundra röstsedlar för att säkerställa en hög grad av säkerhet att manipulation inte hade inträffat.
Detta försök misslyckades, men Halderman inte ge upp. “Detta är en av de billigaste cyber försvar kan tänka sig, och skulle kosta mindre än $25 för ett år” för att ge ett starkt försvar över OSS. Som han påpekar är en bråkdel av $380 som den AMERIKANSKA regeringen har redan öronmärkt för att förbättra val säkerhet, men utan normer eller strikta vägledning om hur medlemsstaterna ska använda den – vilket innebär att en del av dessa pengar kan gå direkt till att köpa samma osäkra rösta maskiner som ledde till problem i första hand.
“Jag har bara en slutsats,” sade Schürmann: “Använd papper och gör era revisioner.”