SAN FRANCISO — Als buitenlandse inmenging bij de Amerikaanse presidentsverkiezingen van 2016 mensen overrompelt, werken de veiligheidsexperts op de RSA-conferentie eraan om ervoor te zorgen dat er in 2020 minder verrassingen zullen zijn.
In veel sessies en bijeenkomsten kwamen brede thema's naar voren over welke bedreigingen we mogen verwachten deze verkiezingscyclus, en wat er aan kan worden gedaan.
Stemmachines zijn niet het probleem (meer)
Toen ik ging zitten met Tod Beardsley, de onderzoeksdirecteur van Rapid7, waren de eerste woorden uit zijn mond: "Ik wil niet praten over stemmachines." Het aanvallen van stemmachines, zei hij, vereist een grote inspanning en waarschijnlijk een zekere mate van nabijheid tot de machines zelf.
Verkopers van stemmachines hebben de afgelopen jaren ook hun spel verbeterd.
'Ze zijn niet langer de slechterik, meer een onwillige bondgenoot,' zei Beardsley.
"Als dat de aanval was waar we ons zorgen over moesten maken, zouden we de wedstrijd zo ver voor zijn."
Kiezers staan ??op 26 april 2016 in Greenbelt, Maryland (Foto door Mark Gail / For The Washington Post via Getty Images) Beardsley was niet de enige.
De kwestie werd ook aan de orde gesteld tijdens het jaarlijkse Cryptographer's Panel.
Ron Rivest - de "R" in RSA en momenteel professor aan het MIT - zei dat de beveiliging van stemmachines is verbeterd.
"Een van de dingen die we hebben geleerd ...
is het belang van papieren stembiljetten", zei Rivest, die uitlegde dat 80 procent van de kiezers dit jaar een papieren stembiljet zal gebruiken.
Hoewel stemmen elektronisch kunnen worden geteld, betekent een papieren record dat de digitale resultaten kunnen worden geverifieerd en gecontroleerd, waarmee de geldigheid van de uitkomst wordt bevestigd.
"Een fundament van vertrouwen leggen op elektronische componenten die hackbaar zijn, is de verkeerde manier om te gaan", aldus Rivest.
Hoewel Rivest optimistisch is over de veiligheid van stemmen in 2020, is hij er niet van overtuigd dat nieuwe technologieën zoals blockchain een plaats hebben bij verkiezingen.
"Blockchain is de verkeerde beveiligingstechnologie om te stemmen", zei Rivest.
"Het is alsof je een cijferslot naar een keukenvuur brengt."
In haar toespraak herinnerden FireEye SVP en hoofd van Global Intelligence Sandra Joyce het publiek eraan dat stemmachines slechts deel uitmaken van een groter verkiezings-ecosysteem van individuen, systemen en organisaties.
“Het grootste aanvalsoppervlak in de natie zijn de kiezers.
Ons."
De manier om de kiezers aan te vallen, legde Joyce uit, is door middel van desinformatie.
Ze beschreef dit als pogingen om 'je mening te beïnvloeden of meningen die je al hebt op een niet-authentieke manier te versterken'.
Ze wees op een Iraanse campagne die erin slaagde brieven aan de redacteur gepubliceerd te krijgen in Amerikaanse kranten.
Het was gemakkelijk, zei ze, om te denken: "het is een bezorgde burger uit Modesto, maar het is een invloedsoperatie uit Iran."
Democratische Nationale Conventie 2016 (Foto door Michael Robinson Chavez / The Washington Post via Getty Images) De Amerikaanse presidentsverkiezingen van 2016 waren vol desinformatie.
Na de verkiezingen werd ontdekt dat Russische agenten tal van politieke en gemeenschapsgroepen op Facebook en accounts op Twitter hadden opgericht.
Amerikaanse functionarissen gaven Rusland ook de schuld van de diefstal van e-mails van het Democratic National Committee, die werden vrijgegeven door WikiLeaks.
"We zullen misinformatie en desinformatie zien rond de volgende", zei Sam Curry, CSO van Cybereason.
'We hebben het de afgelopen vier jaar bij elke verkiezing gezien.
Dit is een propagandaoorlog en de middelen die beschikbaar zijn voor propagandamensen zijn immens.
"
Beardsley was even bot in zijn beoordeling.
"Dat is gebeurd en zal opnieuw gebeuren." De bewijslast, zei hij, is op Facebook en andere sites die worden gebruikt als platforms voor desinformatiecampagnes om iets te doen.
Facebook en Twitter speelden een sleutelrol in de desinformatiecampagnes rond de Amerikaanse presidentsverkiezingen van 2016.
Vier jaar later zijn experts gefrustreerd over het gebrek aan vooruitgang van de kant van sociale-mediabedrijven om hun platforms beter te bewaken.
Curry was er zeker van dat Facebook-advertenties een rol zullen spelen bij toekomstige inmenging in de verkiezingen, en uitte zijn bezorgdheid dat het bedrijf zich niet had gecommitteerd aan politieke advertenties.
Curry uitte ook zijn bezorgdheid over 'cyberswarming', waarbij echte individuen hetzelfde effect hebben als een geautomatiseerde DDoS.
Het voorbeeld dat hij noemde, was dat 4chan het telefoonnummer vastlegde dat door kiezersdistricten in de caucus in Iowa werd gebruikt.
De "ideologische afstemming van een grote groep mensen kon worden gemobiliseerd om de Democratische Partij in verlegenheid te brengen" en ontwrichtende maatregelen te nemen, zei Curry.
(John J.Kim / Chicago Tribune / Tribune News Service via Getty Images) Socialmediabedrijven hebben bevestigd dat de dreiging van desinformatie niet is verdwenen en zich heeft ontwikkeld op sociale platforms.
"Sinds 2016 hebben we een evolutie gezien van de tactieken die door deze bedreigingsactoren zijn ingesteld", zei Yoel Roth, hoofd Site Integrity bij Twitter, tijdens een RSAC-panel.
In plaats van te vertrouwen op enorme aantallen neprekeningen, gebruiken desinformatieoperaties nu kleinere aantallen rekeningen met een hogere waarde.
Nathaniel Gleicher, hoofd cyberbeveiligingsbeleid bij Facebook, is het daarmee eens.
Socialmediabedrijven worden nu geconfronteerd met "operaties die erg duur zijn van de kant van de dreigingsactoren, waarbij je probeert om valse organisaties te creëren en ervoor te zorgen dat mensen ze jarenlang vertrouwen." Hoewel dit meer geavanceerde bedreigingen zijn, worden de groepen die zich tegen deze bedreigingen beschermen "sneller beter".
De slechteriken, zei Gleicher, geven meer uit om deze desinformatiecampagnes op te zetten en worden eerder betrapt.
Ondanks dat optimisme blijft het bestrijden van desinformatie online een moeilijke zaak.
Gleicher en Roth bespraken allebei een Catch-22-situatie waarin het onthullen van potentiële desinformatiebedreigingen zonder absoluut vertrouwen het werk van de slechteriken kan doen.
"We weten dat een expliciet onderdeel van het Russische doel is om ons te laten denken dat er Russen onder elke rots zitten", zei Gleicher.
Ransomwareaanvallen in de toekomst?
Een "Ransomware-evenement op de verkiezingsdag is waar ik het meest bang voor ben", zei Beardsley.
Hoewel de golven van ransomware die in 2019 op steden waren gericht wreed waren, zei Beardsley dat het beveiligingsprofessionals en steden een kans heeft gegeven om zich voor te bereiden op dit soort malware die tijdens een verkiezing.
In zijn bespreking op het podium zei Christopher Krebs, directeur van de Cybersecurity and Infrastructure Security Agency, dat hij zich het meest zorgen maakt over ransomware die "gebieden raakt waar informatie gecentraliseerd en sterk genetwerkt is - dat is waar een groot deel van het risico ligt."
Bij verkiezingen betekent dat databases voor kiezersregistratie.
Enquête-medewerkers hebben die gegevens nodig om verkiezingen te houden, waardoor de waarde ervan toeneemt, en door de centralisatie van de gegevens kan deze in zijn geheel worden gericht.
Gelukkig is er al een playbook voor bescherming tegen ransomware.
"Het is net als elke andere ransomwaregebeurtenis", zei Krebs.
"Je hebt een offline back-up, [you] een analoge back-up hebben, papieren kiezersrollen hebben.
Niet alleen op het niveau van de staat, maar ook op het niveau van het individuele district.
"
Kiezers in Missouri, 2016 (Cristina M.Fletes / St.
Louis Post-Dispatch / Tribune News Service via Getty Images) JJ Thompson, de Senior Director van Managed Threat Response bij Sophos, was het ermee eens dat stemmachines niet de belangrijkste zorg zijn, maar eerder poll-boeken en indieningssystemen die op stemsites worden gebruikt.
Poll-boeken bevatten lijsten met geregistreerde kiezers en zijn nodig om te bevestigen dat iemand in aanmerking komt om te stemmen.
Bij de verkiezingen van 2016 waren er aanwijzingen dat lijsten met geregistreerde kiezers het doelwit waren van Russische aanvallers.
Het richten van enquêteboeken en indieningssystemen zou "chaos veroorzaken in het hele systeem", zei Thompson.
Hij wees er voorzichtig op dat deze aanvallen de uitkomst van de verkiezingen misschien niet zouden veranderen, maar de resultaten in twijfel zouden kunnen trekken.
"Verstoring is belangrijk omdat de meeste staten de verkiezingsresultaten pas enkele dagen na de verkiezingen certificeren."
De uiteenlopende aard van de Amerikaanse verkiezingen heeft het vaak moeilijk gemaakt om de veiligheid te verbeteren.
Op verschillende plaatsen worden verschillende middelen gebruikt om stembiljetten uit te brengen, dus de beveiliging moet van geval tot geval worden verbeterd.
Die gebroken natuur kan echter soms een zegen zijn.
"De reden dat het enigszins veilig is, is omdat het zo ongelijk is dat je het systeem als geheel niet kunt aanvallen." Centralisatie van gegevens, zei Thompson, zou het ergste zijn voor de beveiliging.
Aanbevolen door onze redacteuren
In zijn toespraak bij RSAC concentreerde Aaron Wilson, Senior Director of Election Security bij het Center for Internet Security, zich op de apparatuur zonder stemrecht die bij verkiezingen wordt gebruikt.
Net als anderen identificeerde hij opiniepeilingenboeken als een mogelijk zwak punt, maar nam hij ook tools op voor het rapporteren van resultaten, kiezersregistratiesystemen en andere.
In tegenstelling tot stemmachines zei Wilson dat deze systemen "een groter aanvalsoppervlak hebben dan onze stemsystemen omdat ze op de een of andere manier met internet zijn verbonden."
Problemen met het indienen van enquêteresultaten zijn al opgedoken in deze verkiezingscyclus.
De app die bij de caucus in Iowa werd gebruikt om resultaten van individuele districten te rapporteren, was niet veilig en werkte niet, waardoor verwarring en langdurige vertragingen ontstonden bij het rapporteren van de resultaten.
Wilson zei dat de belangrijkste bedreigingen die hij als waarschijnlijk tegen deze systemen beschouwde, denial of service en ransomware waren, die vergelijkbaar zijn omdat ze beide de toegang tot kritieke informatie en infrastructuur verhinderen.
Deze zijn: "Ik vind het vooral verontrustend omdat je precies weet wanneer je de aanval moet plegen", zei hij.
Gelukkig had Wilson verschillende suggesties om zich tegen deze aanvallen te verdedigen.
Bedrijven en gemeenten moesten back-up communicatiesystemen opzetten, volledige systeemback-ups maken en vooruit plannen, zodat iedereen zijn rol in een crisis kent.
Specifiek voor ransomware raadde Wilson ook segmenteringsnetwerken aan om te voorkomen dat ransomware zich naar de meest gevoelige gebieden verspreidt.
Het contracteren van de diensten van een DDoS-preventiedienst is volgens Wilson ook een goed idee.
De beste verdediging
Een idee dat meerdere keren naar voren kwam, was dat stemmen de beste verdediging tegen inmenging bij verkiezingen was.
Tijdens een verkiezingsoorlogsspel zei Curry dat er niet één methode of tool was om het stemmen te verhelpen.
"Er is niets dat ...
SAN FRANCISO — Als buitenlandse inmenging bij de Amerikaanse presidentsverkiezingen van 2016 mensen overrompelt, werken de veiligheidsexperts op de RSA-conferentie eraan om ervoor te zorgen dat er in 2020 minder verrassingen zullen zijn.
In veel sessies en bijeenkomsten kwamen brede thema's naar voren over welke bedreigingen we mogen verwachten deze verkiezingscyclus, en wat er aan kan worden gedaan.
Stemmachines zijn niet het probleem (meer)
Toen ik ging zitten met Tod Beardsley, de onderzoeksdirecteur van Rapid7, waren de eerste woorden uit zijn mond: "Ik wil niet praten over stemmachines." Het aanvallen van stemmachines, zei hij, vereist een grote inspanning en waarschijnlijk een zekere mate van nabijheid tot de machines zelf.
Verkopers van stemmachines hebben de afgelopen jaren ook hun spel verbeterd.
'Ze zijn niet langer de slechterik, meer een onwillige bondgenoot,' zei Beardsley.
"Als dat de aanval was waar we ons zorgen over moesten maken, zouden we de wedstrijd zo ver voor zijn."
Kiezers staan ??op 26 april 2016 in Greenbelt, Maryland (Foto door Mark Gail / For The Washington Post via Getty Images) Beardsley was niet de enige.
De kwestie werd ook aan de orde gesteld tijdens het jaarlijkse Cryptographer's Panel.
Ron Rivest - de "R" in RSA en momenteel professor aan het MIT - zei dat de beveiliging van stemmachines is verbeterd.
"Een van de dingen die we hebben geleerd ...
is het belang van papieren stembiljetten", zei Rivest, die uitlegde dat 80 procent van de kiezers dit jaar een papieren stembiljet zal gebruiken.
Hoewel stemmen elektronisch kunnen worden geteld, betekent een papieren record dat de digitale resultaten kunnen worden geverifieerd en gecontroleerd, waarmee de geldigheid van de uitkomst wordt bevestigd.
"Een fundament van vertrouwen leggen op elektronische componenten die hackbaar zijn, is de verkeerde manier om te gaan", aldus Rivest.
Hoewel Rivest optimistisch is over de veiligheid van stemmen in 2020, is hij er niet van overtuigd dat nieuwe technologieën zoals blockchain een plaats hebben bij verkiezingen.
"Blockchain is de verkeerde beveiligingstechnologie om te stemmen", zei Rivest.
"Het is alsof je een cijferslot naar een keukenvuur brengt."
In haar toespraak herinnerden FireEye SVP en hoofd van Global Intelligence Sandra Joyce het publiek eraan dat stemmachines slechts deel uitmaken van een groter verkiezings-ecosysteem van individuen, systemen en organisaties.
“Het grootste aanvalsoppervlak in de natie zijn de kiezers.
Ons."
De manier om de kiezers aan te vallen, legde Joyce uit, is door middel van desinformatie.
Ze beschreef dit als pogingen om 'je mening te beïnvloeden of meningen die je al hebt op een niet-authentieke manier te versterken'.
Ze wees op een Iraanse campagne die erin slaagde brieven aan de redacteur gepubliceerd te krijgen in Amerikaanse kranten.
Het was gemakkelijk, zei ze, om te denken: "het is een bezorgde burger uit Modesto, maar het is een invloedsoperatie uit Iran."
Democratische Nationale Conventie 2016 (Foto door Michael Robinson Chavez / The Washington Post via Getty Images) De Amerikaanse presidentsverkiezingen van 2016 waren vol desinformatie.
Na de verkiezingen werd ontdekt dat Russische agenten tal van politieke en gemeenschapsgroepen op Facebook en accounts op Twitter hadden opgericht.
Amerikaanse functionarissen gaven Rusland ook de schuld van de diefstal van e-mails van het Democratic National Committee, die werden vrijgegeven door WikiLeaks.
"We zullen misinformatie en desinformatie zien rond de volgende", zei Sam Curry, CSO van Cybereason.
'We hebben het de afgelopen vier jaar bij elke verkiezing gezien.
Dit is een propagandaoorlog en de middelen die beschikbaar zijn voor propagandamensen zijn immens.
"
Beardsley was even bot in zijn beoordeling.
"Dat is gebeurd en zal opnieuw gebeuren." De bewijslast, zei hij, is op Facebook en andere sites die worden gebruikt als platforms voor desinformatiecampagnes om iets te doen.
Facebook en Twitter speelden een sleutelrol in de desinformatiecampagnes rond de Amerikaanse presidentsverkiezingen van 2016.
Vier jaar later zijn experts gefrustreerd over het gebrek aan vooruitgang van de kant van sociale-mediabedrijven om hun platforms beter te bewaken.
Curry was er zeker van dat Facebook-advertenties een rol zullen spelen bij toekomstige inmenging in de verkiezingen, en uitte zijn bezorgdheid dat het bedrijf zich niet had gecommitteerd aan politieke advertenties.
Curry uitte ook zijn bezorgdheid over 'cyberswarming', waarbij echte individuen hetzelfde effect hebben als een geautomatiseerde DDoS.
Het voorbeeld dat hij noemde, was dat 4chan het telefoonnummer vastlegde dat door kiezersdistricten in de caucus in Iowa werd gebruikt.
De "ideologische afstemming van een grote groep mensen kon worden gemobiliseerd om de Democratische Partij in verlegenheid te brengen" en ontwrichtende maatregelen te nemen, zei Curry.
(John J.Kim / Chicago Tribune / Tribune News Service via Getty Images) Socialmediabedrijven hebben bevestigd dat de dreiging van desinformatie niet is verdwenen en zich heeft ontwikkeld op sociale platforms.
"Sinds 2016 hebben we een evolutie gezien van de tactieken die door deze bedreigingsactoren zijn ingesteld", zei Yoel Roth, hoofd Site Integrity bij Twitter, tijdens een RSAC-panel.
In plaats van te vertrouwen op enorme aantallen neprekeningen, gebruiken desinformatieoperaties nu kleinere aantallen rekeningen met een hogere waarde.
Nathaniel Gleicher, hoofd cyberbeveiligingsbeleid bij Facebook, is het daarmee eens.
Socialmediabedrijven worden nu geconfronteerd met "operaties die erg duur zijn van de kant van de dreigingsactoren, waarbij je probeert om valse organisaties te creëren en ervoor te zorgen dat mensen ze jarenlang vertrouwen." Hoewel dit meer geavanceerde bedreigingen zijn, worden de groepen die zich tegen deze bedreigingen beschermen "sneller beter".
De slechteriken, zei Gleicher, geven meer uit om deze desinformatiecampagnes op te zetten en worden eerder betrapt.
Ondanks dat optimisme blijft het bestrijden van desinformatie online een moeilijke zaak.
Gleicher en Roth bespraken allebei een Catch-22-situatie waarin het onthullen van potentiële desinformatiebedreigingen zonder absoluut vertrouwen het werk van de slechteriken kan doen.
"We weten dat een expliciet onderdeel van het Russische doel is om ons te laten denken dat er Russen onder elke rots zitten", zei Gleicher.
Ransomwareaanvallen in de toekomst?
Een "Ransomware-evenement op de verkiezingsdag is waar ik het meest bang voor ben", zei Beardsley.
Hoewel de golven van ransomware die in 2019 op steden waren gericht wreed waren, zei Beardsley dat het beveiligingsprofessionals en steden een kans heeft gegeven om zich voor te bereiden op dit soort malware die tijdens een verkiezing.
In zijn bespreking op het podium zei Christopher Krebs, directeur van de Cybersecurity and Infrastructure Security Agency, dat hij zich het meest zorgen maakt over ransomware die "gebieden raakt waar informatie gecentraliseerd en sterk genetwerkt is - dat is waar een groot deel van het risico ligt."
Bij verkiezingen betekent dat databases voor kiezersregistratie.
Enquête-medewerkers hebben die gegevens nodig om verkiezingen te houden, waardoor de waarde ervan toeneemt, en door de centralisatie van de gegevens kan deze in zijn geheel worden gericht.
Gelukkig is er al een playbook voor bescherming tegen ransomware.
"Het is net als elke andere ransomwaregebeurtenis", zei Krebs.
"Je hebt een offline back-up, [you] een analoge back-up hebben, papieren kiezersrollen hebben.
Niet alleen op het niveau van de staat, maar ook op het niveau van het individuele district.
"
Kiezers in Missouri, 2016 (Cristina M.Fletes / St.
Louis Post-Dispatch / Tribune News Service via Getty Images) JJ Thompson, de Senior Director van Managed Threat Response bij Sophos, was het ermee eens dat stemmachines niet de belangrijkste zorg zijn, maar eerder poll-boeken en indieningssystemen die op stemsites worden gebruikt.
Poll-boeken bevatten lijsten met geregistreerde kiezers en zijn nodig om te bevestigen dat iemand in aanmerking komt om te stemmen.
Bij de verkiezingen van 2016 waren er aanwijzingen dat lijsten met geregistreerde kiezers het doelwit waren van Russische aanvallers.
Het richten van enquêteboeken en indieningssystemen zou "chaos veroorzaken in het hele systeem", zei Thompson.
Hij wees er voorzichtig op dat deze aanvallen de uitkomst van de verkiezingen misschien niet zouden veranderen, maar de resultaten in twijfel zouden kunnen trekken.
"Verstoring is belangrijk omdat de meeste staten de verkiezingsresultaten pas enkele dagen na de verkiezingen certificeren."
De uiteenlopende aard van de Amerikaanse verkiezingen heeft het vaak moeilijk gemaakt om de veiligheid te verbeteren.
Op verschillende plaatsen worden verschillende middelen gebruikt om stembiljetten uit te brengen, dus de beveiliging moet van geval tot geval worden verbeterd.
Die gebroken natuur kan echter soms een zegen zijn.
"De reden dat het enigszins veilig is, is omdat het zo ongelijk is dat je het systeem als geheel niet kunt aanvallen." Centralisatie van gegevens, zei Thompson, zou het ergste zijn voor de beveiliging.
Aanbevolen door onze redacteuren
In zijn toespraak bij RSAC concentreerde Aaron Wilson, Senior Director of Election Security bij het Center for Internet Security, zich op de apparatuur zonder stemrecht die bij verkiezingen wordt gebruikt.
Net als anderen identificeerde hij opiniepeilingenboeken als een mogelijk zwak punt, maar nam hij ook tools op voor het rapporteren van resultaten, kiezersregistratiesystemen en andere.
In tegenstelling tot stemmachines zei Wilson dat deze systemen "een groter aanvalsoppervlak hebben dan onze stemsystemen omdat ze op de een of andere manier met internet zijn verbonden."
Problemen met het indienen van enquêteresultaten zijn al opgedoken in deze verkiezingscyclus.
De app die bij de caucus in Iowa werd gebruikt om resultaten van individuele districten te rapporteren, was niet veilig en werkte niet, waardoor verwarring en langdurige vertragingen ontstonden bij het rapporteren van de resultaten.
Wilson zei dat de belangrijkste bedreigingen die hij als waarschijnlijk tegen deze systemen beschouwde, denial of service en ransomware waren, die vergelijkbaar zijn omdat ze beide de toegang tot kritieke informatie en infrastructuur verhinderen.
Deze zijn: "Ik vind het vooral verontrustend omdat je precies weet wanneer je de aanval moet plegen", zei hij.
Gelukkig had Wilson verschillende suggesties om zich tegen deze aanvallen te verdedigen.
Bedrijven en gemeenten moesten back-up communicatiesystemen opzetten, volledige systeemback-ups maken en vooruit plannen, zodat iedereen zijn rol in een crisis kent.
Specifiek voor ransomware raadde Wilson ook segmenteringsnetwerken aan om te voorkomen dat ransomware zich naar de meest gevoelige gebieden verspreidt.
Het contracteren van de diensten van een DDoS-preventiedienst is volgens Wilson ook een goed idee.
De beste verdediging
Een idee dat meerdere keren naar voren kwam, was dat stemmen de beste verdediging tegen inmenging bij verkiezingen was.
Tijdens een verkiezingsoorlogsspel zei Curry dat er niet één methode of tool was om het stemmen te verhelpen.
"Er is niets dat ...
