SAN FRANCISO — Om utländsk inblandning i USA: s presidentval 2016 fångade människor medvetet, arbetar säkerhetsexperterna vid RSA-konferensen för att se till att det blir färre överraskningar 2020.
I många sessioner och möten framkom breda teman om vilka hot vi kan förvänta oss denna valcykel, och vad kan man göra åt dem.
Röstmaskiner är inte problemet (mer)
När jag satte mig ner med Tod Beardsley, Rapid7: s forskningschef, var de första orden ur hans mun: "Jag vill inte prata om röstmaskiner." Att attackera röstmaskiner kräver, enligt honom, en stor insats och förmodligen en viss närhet till själva maskinerna.
Röstmaskinsleverantörer har också ökat sitt spel de senaste åren.
"De är inte längre skurken, mer av en motvillig allierad," sa Beardsley.
"Om det var attacken vi var tvungna att oroa oss för, skulle vi vara så långt före spelet."
Väljarna ställer upp den 26 april 2016 i Greenbelt, Md.
(Foto av Mark Gail / För The Washington Post via Getty Images) Beardsley var inte ensam.
Frågan togs också upp under den årliga Cryptographer's Panel.
Ron Rivest - ”R” i RSA och för närvarande professor vid MIT - sa att röstmaskinens säkerhet har förbättrats.
”En av de saker som vi har lärt oss ...
är vikten av pappersröstningar,” sade Rivest, som förklarade att 80 procent av väljarna kommer att använda en pappersröstning i år.
Medan röster kan räknas elektroniskt innebär en papperspost att de digitala resultaten kan verifieras och granskas, vilket bekräftar giltigheten av resultatet.
"Att lägga en grund för förtroende för elektroniska komponenter som är hackbara är fel väg att gå", säger Rivest.
Medan Rivest är optimistisk om röstsäkerheten 2020 är han inte övertygad om att ny teknik som blockchain har en plats i valet.
"Blockchain är fel säkerhetsteknik för att rösta", säger Rivest.
"Det är som att föra ett kombinationslås till en kökseld."
I sitt föredrag påminde FireEye SVP och chef för global intelligens Sandra Joyce publiken om att röstmaskiner bara är en del av ett större valekosystem av individer, system och organisationer.
”Den största attackytan i landet är väljarna.
Oss.
”
Vägen att attackera väljarna, förklarade Joyce, är genom desinformation.
Hon beskrev detta som ansträngningar för att "svänga dina åsikter eller förstärka åsikter du redan har på ett inaktivt sätt." Hon pekade på en iransk kampanj som lyckades få brev till redaktören publicerade i amerikanska tidningar.
Det var lätt, sade hon, att tänka, "det är en bekymrad medborgare från Modesto men det är en inflytandeoperation från Iran."
2016 Democratic National Convention (Foto av Michael Robinson Chavez / The Washington Post via Getty Images) 2016 års amerikanska presidentval fylldes med desinformation.
Efter valet upptäcktes att ryska agenter hade skapat många politiska och samhällsgrupper på Facebook och konton på Twitter.
Amerikanska tjänstemän skyllde också skyllde Ryssland för stöld av e-post från Demokratiska nationalkommittén, som släpptes av WikiLeaks.
"Vi kommer att se felinformation och desinformation kring nästa", säger Sam Curry, CSO för Cybereason.
”Vi har sett det i varje val under de senaste fyra åren.
Detta är ett propagandakrig och de verktyg som propagandamänniskor är tillgängliga är enorma.
”
Beardsley var lika trubbig i sin bedömning.
"Det har hänt och kommer att hända igen." Tanken, sade han, är på Facebook och andra webbplatser som används som plattformar för felinformationskampanjer för att göra något.
Facebook och Twitter spelade nyckelroller i desinformationskampanjerna kring USA: s presidentval 2016.
Fyra år senare är experter frustrerade över bristen på framsteg från sociala medieföretag för att bättre polisera sina plattformar.
Curry var säker på att Facebook-annonser kommer att spela en roll i framtida valinblandning och uttryckte oro över att företaget inte hade förbundit sig att polisera politiska annonser.
Curry uttryckte också oro över "cyberswarming", där verkliga individer har samma effekt som en automatiserad DDoS.
Exemplet han citerade var 4chan som binder upp telefonnumret som användes av väljarens distrikt i Iowa-valet.
Den "ideologiska inriktningen för en stor grupp människor kunde mobiliseras för att skämma Demokratiska partiet" och vidta störande åtgärder, sade Curry.
(John J.
Kim / Chicago Tribune / Tribune News Service via Getty Images) Sociala medieföretag har bekräftat att hotet om desinformation inte har försvunnit, och det har utvecklats på sociala plattformar.
"Sedan 2016 har vi sett en utveckling av taktik som fastställts av dessa hotaktörer", säger Yoel Roth, chef för webbplatsintegritet på Twitter, under en RSAC-panel.
Istället för att förlita sig på ett stort antal falska konton använder desinformationsåtgärder nu mindre antal konton med högre värde.
Nathaniel Gleicher, chef för cybersäkerhetspolicy på Facebook, instämmer.
Sociala medieföretag står nu inför ”operationer som är mycket dyra från hotaktörernas sida, där du försöker skapa falska organisationer och få folk att lita på dem över år.” Även om detta är mer sofistikerade hot, blir de grupper som skyddar mot dessa hot bättre snabbare.
De onda, sade Gleicher, spenderar mer på att bygga dessa desinformationskampanjer och fångas tidigare.
Trots den optimismen är det fortfarande svårt att bekämpa desinformation online.
Gleicher och Roth diskuterade båda en Catch-22-situation där avslöjande av potentiella desinformationshot utan absolut förtroende faktiskt kan göra skurkarnas arbete.
”Vi vet att en uttrycklig del av Rysslands mål är att få oss att tro att det finns ryssar under varje sten,” sa Gleicher.
Ransomware-attacker i framtiden?
En ”valdagens ransomware-händelse är vad jag är mest rädd för,” sa Beardsley.
Medan vågorna av ransomware riktade mot städer under 2019 var brutala, sa Beardsley att det har gett säkerhetspersonal och städer en chans att förbereda sig för denna typ av skadlig programvara som slår under ett val.
I sin scendiskussion sa Christopher Krebs, direktör för Cybersecurity and Infrastructure Security Agency, att han är mest bekymrad över att ransomware slår "områden där information är centraliserat och starkt nätverkat - det är där en stor risk är."
I val betyder det väljarregistreringsdatabaser.
Avstemningsarbetare behöver den informationen för att köra val, höja dess värde och centraliseringen av uppgifterna gör att de kan riktas in i sin helhet.
Lyckligtvis finns det redan en spelbok för ransomwareförsvar.
"Det är precis som alla händelser i ransomware", säger Krebs.
”Du har en offline-säkerhetskopia, [you] har en analog säkerhetskopia, har pappersvalsrullar.
Inte bara på statsnivå utan på individnivå.
”
Missouri-väljare, 2016 (Cristina M.
Fletes / St.
Louis Post-Dispatch / Tribune News Service via Getty Images) JJ Thompson, Senior Director of Managed Threat Response på Sophos, var överens om att röstmaskiner inte är det största problemet, utan snarare omröstningsböcker och inlämningssystem som används på omröstningsställen.
Omröstningsböcker innehåller listor över registrerade väljare och behövs för att bekräfta att någon har rösträtt.
I valet 2016 fanns det några bevis för att listor över registrerade väljare riktades till ryska angripare.
Inriktning på omröstningsböcker och inlämningssystem skulle ”orsaka kaos i hela systemet”, säger Thompson.
Han var noga med att påpeka att dessa attacker kanske inte förändrade valresultatet utan kunde tvivla på resultaten.
"Avbrott är viktigt eftersom de flesta stater inte intygar valresultat förrän dagar efter valet."
De olika valen i USA har ofta gjort det svårt att förbättra säkerheten.
Olika platser använder olika sätt för att rösta, så att förbättra säkerheten måste göras och från fall till fall.
Den brutna naturen kan emellertid ibland vara en välsignelse.
”Anledningen till att det är något säkert är att det är så olikt att du inte kan attackera systemet som helhet.” Centralisering av data, säger Thompson, skulle vara det värsta för säkerheten.
Rekommenderas av våra redaktörer
I sitt samtal på RSAC fokuserade Aaron Wilson, Senior Director of Election Security vid Center for Internet Security, på den icke-rösträtt som används vid val.
Liksom andra identifierade han omröstningsböcker som en potentiell svag punkt, men inkluderade också verktyg för att rapportera resultat, väljarregistreringssystem och andra.
Till skillnad från röstningsmaskiner sa Wilson att dessa system har "en större attackyta än våra röstningssystem eftersom de är internetanslutna på ett eller annat sätt."
Frågor med att skicka undersökningsresultat har redan dykt upp i denna valcykel.
Appen som användes i Iowa-konferensen för att rapportera resultat från enskilda områden var inte säker och fungerade inte, vilket orsakade förvirring och långa förseningar i rapporteringen av resultaten.
Wilson sa att de hot som han såg sannolikt mot dessa system var förnekelse av service och ransomware, som liknar varandra eftersom de båda förhindrar tillgång till kritisk information och infrastruktur.
Dessa är, "Särskilt angående mig eftersom du vet exakt när du ska utföra attacken," sa han.
Lyckligtvis hade Wilson flera förslag för att försvara sig mot dessa attacker.
Företag och kommuner behövde installera reservkommunikationssystem, skapa fullständiga systembackups och planera framåt så att alla känner till deras roll i en kris.
För ransomware specifikt rekommenderade Wilson också att segmentera nätverk, vilket förhindrar att ransomware sprids till de mest känsliga områdena.
Det är också en bra idé att anlita tjänster från DDoS-förebyggande tjänster, enligt Wilson.
Det bästa försvaret
En idé som kom upp flera gånger var att det bästa försvaret mot valinblandning var att rösta.
Under ett valkrigsspel sa Curry att det inte fanns någon metod eller ett verktyg som skulle fixa omröstningen.
”Det finns inget som ...
SAN FRANCISO — Om utländsk inblandning i USA: s presidentval 2016 fångade människor medvetet, arbetar säkerhetsexperterna vid RSA-konferensen för att se till att det blir färre överraskningar 2020.
I många sessioner och möten framkom breda teman om vilka hot vi kan förvänta oss denna valcykel, och vad kan man göra åt dem.
Röstmaskiner är inte problemet (mer)
När jag satte mig ner med Tod Beardsley, Rapid7: s forskningschef, var de första orden ur hans mun: "Jag vill inte prata om röstmaskiner." Att attackera röstmaskiner kräver, enligt honom, en stor insats och förmodligen en viss närhet till själva maskinerna.
Röstmaskinsleverantörer har också ökat sitt spel de senaste åren.
"De är inte längre skurken, mer av en motvillig allierad," sa Beardsley.
"Om det var attacken vi var tvungna att oroa oss för, skulle vi vara så långt före spelet."
Väljarna ställer upp den 26 april 2016 i Greenbelt, Md.
(Foto av Mark Gail / För The Washington Post via Getty Images) Beardsley var inte ensam.
Frågan togs också upp under den årliga Cryptographer's Panel.
Ron Rivest - ”R” i RSA och för närvarande professor vid MIT - sa att röstmaskinens säkerhet har förbättrats.
”En av de saker som vi har lärt oss ...
är vikten av pappersröstningar,” sade Rivest, som förklarade att 80 procent av väljarna kommer att använda en pappersröstning i år.
Medan röster kan räknas elektroniskt innebär en papperspost att de digitala resultaten kan verifieras och granskas, vilket bekräftar giltigheten av resultatet.
"Att lägga en grund för förtroende för elektroniska komponenter som är hackbara är fel väg att gå", säger Rivest.
Medan Rivest är optimistisk om röstsäkerheten 2020 är han inte övertygad om att ny teknik som blockchain har en plats i valet.
"Blockchain är fel säkerhetsteknik för att rösta", säger Rivest.
"Det är som att föra ett kombinationslås till en kökseld."
I sitt föredrag påminde FireEye SVP och chef för global intelligens Sandra Joyce publiken om att röstmaskiner bara är en del av ett större valekosystem av individer, system och organisationer.
”Den största attackytan i landet är väljarna.
Oss.
”
Vägen att attackera väljarna, förklarade Joyce, är genom desinformation.
Hon beskrev detta som ansträngningar för att "svänga dina åsikter eller förstärka åsikter du redan har på ett inaktivt sätt." Hon pekade på en iransk kampanj som lyckades få brev till redaktören publicerade i amerikanska tidningar.
Det var lätt, sade hon, att tänka, "det är en bekymrad medborgare från Modesto men det är en inflytandeoperation från Iran."
2016 Democratic National Convention (Foto av Michael Robinson Chavez / The Washington Post via Getty Images) 2016 års amerikanska presidentval fylldes med desinformation.
Efter valet upptäcktes att ryska agenter hade skapat många politiska och samhällsgrupper på Facebook och konton på Twitter.
Amerikanska tjänstemän skyllde också skyllde Ryssland för stöld av e-post från Demokratiska nationalkommittén, som släpptes av WikiLeaks.
"Vi kommer att se felinformation och desinformation kring nästa", säger Sam Curry, CSO för Cybereason.
”Vi har sett det i varje val under de senaste fyra åren.
Detta är ett propagandakrig och de verktyg som propagandamänniskor är tillgängliga är enorma.
”
Beardsley var lika trubbig i sin bedömning.
"Det har hänt och kommer att hända igen." Tanken, sade han, är på Facebook och andra webbplatser som används som plattformar för felinformationskampanjer för att göra något.
Facebook och Twitter spelade nyckelroller i desinformationskampanjerna kring USA: s presidentval 2016.
Fyra år senare är experter frustrerade över bristen på framsteg från sociala medieföretag för att bättre polisera sina plattformar.
Curry var säker på att Facebook-annonser kommer att spela en roll i framtida valinblandning och uttryckte oro över att företaget inte hade förbundit sig att polisera politiska annonser.
Curry uttryckte också oro över "cyberswarming", där verkliga individer har samma effekt som en automatiserad DDoS.
Exemplet han citerade var 4chan som binder upp telefonnumret som användes av väljarens distrikt i Iowa-valet.
Den "ideologiska inriktningen för en stor grupp människor kunde mobiliseras för att skämma Demokratiska partiet" och vidta störande åtgärder, sade Curry.
(John J.
Kim / Chicago Tribune / Tribune News Service via Getty Images) Sociala medieföretag har bekräftat att hotet om desinformation inte har försvunnit, och det har utvecklats på sociala plattformar.
"Sedan 2016 har vi sett en utveckling av taktik som fastställts av dessa hotaktörer", säger Yoel Roth, chef för webbplatsintegritet på Twitter, under en RSAC-panel.
Istället för att förlita sig på ett stort antal falska konton använder desinformationsåtgärder nu mindre antal konton med högre värde.
Nathaniel Gleicher, chef för cybersäkerhetspolicy på Facebook, instämmer.
Sociala medieföretag står nu inför ”operationer som är mycket dyra från hotaktörernas sida, där du försöker skapa falska organisationer och få folk att lita på dem över år.” Även om detta är mer sofistikerade hot, blir de grupper som skyddar mot dessa hot bättre snabbare.
De onda, sade Gleicher, spenderar mer på att bygga dessa desinformationskampanjer och fångas tidigare.
Trots den optimismen är det fortfarande svårt att bekämpa desinformation online.
Gleicher och Roth diskuterade båda en Catch-22-situation där avslöjande av potentiella desinformationshot utan absolut förtroende faktiskt kan göra skurkarnas arbete.
”Vi vet att en uttrycklig del av Rysslands mål är att få oss att tro att det finns ryssar under varje sten,” sa Gleicher.
Ransomware-attacker i framtiden?
En ”valdagens ransomware-händelse är vad jag är mest rädd för,” sa Beardsley.
Medan vågorna av ransomware riktade mot städer under 2019 var brutala, sa Beardsley att det har gett säkerhetspersonal och städer en chans att förbereda sig för denna typ av skadlig programvara som slår under ett val.
I sin scendiskussion sa Christopher Krebs, direktör för Cybersecurity and Infrastructure Security Agency, att han är mest bekymrad över att ransomware slår "områden där information är centraliserat och starkt nätverkat - det är där en stor risk är."
I val betyder det väljarregistreringsdatabaser.
Avstemningsarbetare behöver den informationen för att köra val, höja dess värde och centraliseringen av uppgifterna gör att de kan riktas in i sin helhet.
Lyckligtvis finns det redan en spelbok för ransomwareförsvar.
"Det är precis som alla händelser i ransomware", säger Krebs.
”Du har en offline-säkerhetskopia, [you] har en analog säkerhetskopia, har pappersvalsrullar.
Inte bara på statsnivå utan på individnivå.
”
Missouri-väljare, 2016 (Cristina M.
Fletes / St.
Louis Post-Dispatch / Tribune News Service via Getty Images) JJ Thompson, Senior Director of Managed Threat Response på Sophos, var överens om att röstmaskiner inte är det största problemet, utan snarare omröstningsböcker och inlämningssystem som används på omröstningsställen.
Omröstningsböcker innehåller listor över registrerade väljare och behövs för att bekräfta att någon har rösträtt.
I valet 2016 fanns det några bevis för att listor över registrerade väljare riktades till ryska angripare.
Inriktning på omröstningsböcker och inlämningssystem skulle ”orsaka kaos i hela systemet”, säger Thompson.
Han var noga med att påpeka att dessa attacker kanske inte förändrade valresultatet utan kunde tvivla på resultaten.
"Avbrott är viktigt eftersom de flesta stater inte intygar valresultat förrän dagar efter valet."
De olika valen i USA har ofta gjort det svårt att förbättra säkerheten.
Olika platser använder olika sätt för att rösta, så att förbättra säkerheten måste göras och från fall till fall.
Den brutna naturen kan emellertid ibland vara en välsignelse.
”Anledningen till att det är något säkert är att det är så olikt att du inte kan attackera systemet som helhet.” Centralisering av data, säger Thompson, skulle vara det värsta för säkerheten.
Rekommenderas av våra redaktörer
I sitt samtal på RSAC fokuserade Aaron Wilson, Senior Director of Election Security vid Center for Internet Security, på den icke-rösträtt som används vid val.
Liksom andra identifierade han omröstningsböcker som en potentiell svag punkt, men inkluderade också verktyg för att rapportera resultat, väljarregistreringssystem och andra.
Till skillnad från röstningsmaskiner sa Wilson att dessa system har "en större attackyta än våra röstningssystem eftersom de är internetanslutna på ett eller annat sätt."
Frågor med att skicka undersökningsresultat har redan dykt upp i denna valcykel.
Appen som användes i Iowa-konferensen för att rapportera resultat från enskilda områden var inte säker och fungerade inte, vilket orsakade förvirring och långa förseningar i rapporteringen av resultaten.
Wilson sa att de hot som han såg sannolikt mot dessa system var förnekelse av service och ransomware, som liknar varandra eftersom de båda förhindrar tillgång till kritisk information och infrastruktur.
Dessa är, "Särskilt angående mig eftersom du vet exakt när du ska utföra attacken," sa han.
Lyckligtvis hade Wilson flera förslag för att försvara sig mot dessa attacker.
Företag och kommuner behövde installera reservkommunikationssystem, skapa fullständiga systembackups och planera framåt så att alla känner till deras roll i en kris.
För ransomware specifikt rekommenderade Wilson också att segmentera nätverk, vilket förhindrar att ransomware sprids till de mest känsliga områdena.
Det är också en bra idé att anlita tjänster från DDoS-förebyggande tjänster, enligt Wilson.
Det bästa försvaret
En idé som kom upp flera gånger var att det bästa försvaret mot valinblandning var att rösta.
Under ett valkrigsspel sa Curry att det inte fanns någon metod eller ett verktyg som skulle fixa omröstningen.
”Det finns inget som ...
