剑客
关注科技互联网

它需要确保选举

它需要确保选举

本迪克森紧缩网络参与者

本迪克森是一名软件工程师和 TechTalks 的创始人。

More posts by this contributor:

  • Blockchain 如何可以改变音乐业
  • 是什么让物联网勒索不同和更危险的威胁?

How to join the network

虽然几乎每个行业和领域日渐兴盛,被革命性的技术进步,有超过四分之三的美国公民将在纸上为他们的下一任总统投票选举投票这 11 月。

这主要原因是关注在网络安全威胁的选举制度和过程。在主要的违反,例如黑客入侵之后的民主党全国代表大会和选民登记数据库中至少两个国家的攻击,它现在恐怕比以往任何时候举行的总统选举可能会影响或者受到俄罗斯等民族。

有为什么任何形式的技术被用在选举中是普遍让人皱眉头,视为恶意行为者潜在的攻击媒介。但这是一种模式,有自我重复每四年吗?难道我们注定我称为黑暗时代主要的黑客攻击,以免使人联想到那一位专家在设置中选择我们的领导人或者是它可以看到未来的选举,而不用担心网络威胁利用最新科技的全部力量吗?

要回答这个问题,我们必须知道什么是易损部件的选举的威胁是什么和我们如何可以利用技术来保护那些威胁人类的最宝贵成就之一吗?

保护的票

为了保证选举进程的全面性和完整性,您需要保护两件事︰ 结果和过程。结果占技术直接影响到投票,计票和选举结果。

这是网络攻击,可以有的最具破坏性的影响,该地区,因为,如果可能的话,恰到好处的黑客可以提出质疑整个选举制度的完整性。电子投票机,以取代旧的刷卡系统后在 2000 年总统选举的计票溃败,都被冷落他们过时和易受攻击的技术。大部分都是十几岁和正在运行 Windows XP,不再支持由微软。他们都由国家对其安全问题被撤职。

最主要的考虑是,当然,投票被篡改。

“投票设备,制造商必须确保他们的代码和物理组件用来执行代码,”说爱德华罗伯斯,网络安全技术公司 Qondado 的首席执行官。”有人可以重新编程设备来改变选票票数,定向票,或根本无法在时间间隔等记录某些票。?不幸的是所有这一切都已被证明可能和研究人员有走了那么远,一个投票机侵入工作 Pac-man 街机游戏。

在另一个案例中,研究人员发现漏洞会允许任何人在半英里来修改每一张选票,而不被察觉的投票机。步骤,这样做需要没有技术专长。

和投票开关不是唯一电子投票设备可能导致出现的问题。

“在选举日,DDoS 是可能是最具破坏性的攻击情形中,因为它可以严重削弱投票过程由取下关键的配套服务和基础设施,”说 Igal 蔡夫曼,主任营销 Imperva Incapsula,指的将服务器和机器的干掉超载他们与远程请求的攻击的类型。”考虑会发生什么如果攻击用于取下投票制度本身或甚至地方选举机构之一。结果可能是灾难性的。还有的设备故障破坏投票进程的优先级。

你不需要全面的攻击,破坏选举的完整性。

为什么不是投票的技术和设备更新?它的一部分做投票系统管理在美国”还有没有奇异的监管机构,负责监督选举日发生”方式,罗伯斯说。投票过程被调控了在国家一级与 NIST 以及选举援助委员会的指导方针。结果是资金不足的过程依赖于旧的技术和在缺乏统一性不断增长的技术复杂性,因此,脆弱性的世界。

选管会是机构,验证和认证的完整性和安全性的投票机。其指导原则是自愿的而且各国决定他们想要坚持的标准。至少 28 个州使用从来没有被证实,选管会的系统。

肖恩 · 沙利文,F 安全安全顾问说,”因为选举使用状态规则,通过县级官员,那里几乎总是将要发生错误,”。作为一个例子,沙利文指 2014 年中期选举的问题。

然而,尽管周围的电子投票机,所有的预感所是的就是不为人知的证据或直接篡改投票设备或结果的历史。沙利文解释说,支离破碎的方式管理选举实际上使它几乎不可能进行选举系统攻击。这就是为什么共和党总统提名时他建议,可以操纵选举遭到嘲笑唐纳德特朗普。

但它可能听起来可笑,特朗普的推定不是完全没有好处。碰巧的是,你不需要全面的攻击,破坏选举的完整性。

“‘ 黑客 ‘ 美国总统选举,所有你需要做是明显篡改一个县的系统,然后篡改发生的泄漏”沙利文说。”很多人会急于假设,所有其他出现的典型问题也可能是黑客的结果 — — 和因此,到头来你会合法性的所有结果。”结果,沙利文进一步解释说,将”损坏的获胜者将在国际政治舞台上破坏”。

这可能成为主要的摇摆州,在那里获胜者由几个几百票决定的争论点。不具有无可争议的方法来验证票,混乱局面可能接踵而至如果要求重新计票。

作为从来没有可以保证 100%安全,唯一的方法来对付威胁参与投票是包括审计机制可以消除怀疑。最基本、 最冲动的反应是踪迹的还原为纸质选票或涉及某种形式的文件可以用于交叉试验结果。

绝对安全的系统之前移动到在线或电子投票的等待将是一厢情愿。

“关于选举的一起网络攻击与缺乏资金的威胁有基本上保持投票技术限于脱机系统与备份文件保管链和物理安全至关重要的”罗伯斯说。”看来我们的智能手机和平板电脑是更为复杂和比投票技术在使用安全。我们应该考虑如何利用流行的技术与强大的身份验证启用安全方便地部署民主选举进程”。

然而,有障碍引入和实施将从字面上会影响到整个群体的技术。网络安全专家杰弗里 · 卡尔说:”任何技术解决方案必须考虑到,有相当比例的选民不是技术能识字的人,”。”事情喜欢双因素身份验证、 加密密钥和甚至使用移动设备可能太远为长者或非熟练工的桥梁”。

这就是为什么专家相信选举可以利用智能卡技术 — — aka 芯片和销在美国 — — 这被审判和测试在金融行业中,域的用户群和威胁在哪里在很多方面类似于选举。

“智能卡技术在几个欧洲国家的在线身份认证,”沙利文说。”他们还没有广泛使用。如果像美国这样的国家认真考虑推出这种技术,它将改变游戏规则。

像爱沙尼亚国家已采用智能卡的方法,确保他们的电子投票系统的完整性。

“每个人都知道如何使用借记卡或信用卡,和随着芯片和密码的身份验证,这可能是最好的方法引入一个更安全的电子投票系统,”卡尔同意。”之一,其功能类似的方式作为购物与所有相同欺诈预防机制在银行使用的地方”。

配套的基础设施需要改造,以及。在最近的黑客攻击之后,安全和反恐专家敦促政府给予投票过程和结果类似于在关键的基础设施,如银行,正在采用哪些保护。沙利文强调需要确保服务器和后端网络,支持投票制度。”网络监测正迅速成为一项要求,”他说,并强调新兴等人工智能技术可以发挥的作用。

沙利文的坚定、 F 安全,重点建设将监视网络活动与机器学习以及报告的人会被过滤掉噪音的专家服务。人与机器的结合将帮助网络管理员侦查和制止违反之前他们成为破坏。

“这是那种银行等许多组织正在采取的服务,”沙利文说。”在我看来,政府无法承担落后”。

在发展电子表决系统是可审核和篡改,作出的重大努力已使用的 blockchain,权力比特币 cryptocurrency 不变的、 分布式的分类帐。一般的想法将发给每个选民,他们会给他们的候选人的投票选择的钱包钱包和数字硬币。投票将不可逆转地存储在 blockchain 上,选民可以验证已计其投票。创业型公司 FollowMyVote 和 V 倡议在这方面,带头努力和技术已在挪威、 丹麦、 欧洲的海盗党和西班牙国会选举中使用。

绝对安全的系统之前移动到在线或电子投票的等待将是一厢情愿。不过,一个更现实的办法将可靠地测试技术以及规定混合使用,以确保审计辗转反侧地发生故障或疑问。

保护运动

因为他们短的寿命,运动是在保护他们免受网络攻击数据中的大多数非常薄弱。焦点很少在网络安全、 很少或没有联邦和地方安全监督做法、 办公室工作人员都在避免攻击他们自己和他们的数据没有经过训练和没有适当的安全人员和基础设施,以保护网络和服务器的数据被破坏。

同时,运动,所存储的信息,其中包括捐助者信息、 内部电子邮件、 反对研究和脆弱性研究,相当敏感,并使得他们有吸引力的目标强大方民族国家、 情报机构、 黑客小组、 黑市黑客,所有感兴趣在他们忙中摇曳的选举或铺设手上有价值的信息等。

我们倾向于谈论安全问题,在运行运动时,忘了他们后,选举做。

“关于竞选策略,坦诚沟通不适合公共消费和有关候选人和那些支持他们的私人数据都可以运动,产生重大影响的信息泄漏”说罗伯斯。

最突出的例子可能是,DNC 黑客,这泄露反对研究、 画民主党分裂的图像和导致 DNC 主席黛比沃瑟曼舒尔茨的辞职。但这是只什么别的黑客库存中有选举,很多人已经警告过,包括国家情报总监詹姆斯 · 克拉珀的前奏。

黑客违反 DNC 运动虽然充足,可能由一个民族国家,攻击可以已经最有可能被避免,如果这场战役已经开始更好的安全做法到位。伊利诺伊州议会选举网站最近黑客通过 SQL 注入漏洞和工具,可以很容易获得在线进行。

影响远远超出美国边境可以移动。”篡改和泄漏的文件无疑向欧洲领导人发送一个非常明确的信息 — — 其中一些人有重要选举明年,”沙利文说。

除了数据泄露和数据泄漏,运动应该警惕的其他类型的攻击。Incapsula 的蔡夫曼说:”不认为攻击可以严重破坏选民的信任”。”不过,有网络罪犯在能够影响民意投票方案中的一些例子。蔡夫曼警告说,僵尸网络的威胁和注册 80,000 最近 bot 攻击指向假票,并破坏了寻求第二个邮政 Brexit 欧盟公投在英国,获得了共 360 万签名在线请愿。

相关的文章

Hacking the election
Tech really wants to fix this election
The state of election technology is… improving
FBI says state election boards targeted by hackers
FBI director warns that hackers have been ‘poking around’ voter registration systems

竞选者都不愿意花钱购买设备和软件,以确保将最后几个月的运动他们有限的预算有很大贡献。另一个就是使用基于云计算的安全性,自上次选举以来一直稳步增加一个部门。基于云计算的安全性,比如 web 应用防火墙 (WAF) 和 DDoS 保护服务不需要任何前期的投资和对需求的模型,这使得它们特别有利的竞选活动可以支付。

“这些解决方案使用交通检查,筛选出恶意的机器人,通过识别访客根据他们的行为,原籍国和 HTTP/S 签名,点”蔡夫曼说,他的公司提供一套基于云计算的安全解决方案。”这是足以确保谁访问系统,至少,人权和不攻击软件的一部分。

基于云计算的安全的另一个特点是能力基于客户不断变化的需求的规模。作为一个例子,蔡夫曼解释说,Incapsula 结合交通分析对需求的可扩展性通过共享网络容量与任何服务器或网站,都下 DDoS 攻击和突然是处理更多的流量比它可以处理其 2 说明。这可以成为关键如果运动获取国有 APTs 这样的反对者的攻击。

蔡夫曼说,”这将确保没有网站对我们的服务将不断走下到 DDoS 攻击,”。

受损的用户帐户也可以处理严重损害人的运动。数以亿计的电子邮件和社交媒体账户被受到每年,包括一些属于知名人物。位于的帐户妥协可以重伤运动,很大程度上依赖于社交媒体网络和在线服务,传播新闻和信息的支持者。再次,本部门的安全做法留下了很多不足之处。

罗伯斯最近一个例子是指前国务卿科林 · 鲍威尔的泄露的电子邮件。”鲍威尔的意见事项向很多人和释放的这一信息可以说是会影响这次选举中,”他说。”为公众人物,很多他们的个人信息是已知的或容易找到,它可能容易地重置密码为基础的基本安全问题。这突出表明需要强大、 易于使用的身份验证技术”。

罗伯斯认为身份验证方法需要进化为了防止帐户被黑客入侵。他自己的公司被专注于提供可靠和易于使用的身份验证基于移动计算技术。

未来的选举

总统选举每四年发生一次。我们倾向于谈论安全问题,在运行运动时,忘了他们后,选举做。但威胁将继续,并会再次困扰我们再次与复仇下一个周期开始时。

希望,通过利用组恰当的技术、 政策和做法,我们将能够看到未来的选举发生在一个安全的环境,而不用担心受到恶意的缔约方,无论是国外还是国内。

Featured Image: Blend Images – Hill Street Studios/Getty Images

[剑客-翻译]

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址