Onder vuur: hoe hacking bij verkiezingen de middellange termijn bedreigt

In maart pakten ambtenaren uit 38 staten een conferentiezaal in Cambridge, Massachusetts in, voor een tweedaagse verkiezingssimulatieoefening die werd uitgevoerd als een oorlogsspel.

Meer dan 120 staats- en lokale verkiezingsfunctionarissen, communicatieregisseurs, IT-managers en staatssecretarissen hebben oefeningen gehouden die beveiligingsrampen simuleren die kunnen gebeuren op de slechtst denkbare verkiezingsdag.

De oefening op het tafelblad begon elke simulatie maanden voor de tussentijdse verkiezingen van 6 november, waardoor de tijdlijn werd versneld totdat staten aanvallen in realtime tegengingen toen de kiezers naar de stembus gingen. Georganiseerd door het Defending Digital Democracy (D3P) -project in Harvard, een tweeledige poging om democratische processen te beschermen tegen cyber- en informatie-aanvallen, dwongen de oefeningen deelnemers om te reageren op het ene nachtmerriescenario na het andere: stemmachines en kiezersdatabase, gedistribueerde denial of service (DDoS) aanvallen op websites, gelekte verkeerde informatie over kandidaten, nep polling-informatie verspreid om stemmen te onderdrukken, en sociale media campagnes gecoördineerd door nationale aanvallers om wantrouwen te zaaien.

Zoals we hebben gezien bij recente verkiezingen over de hele wereld, komen meerdere aanvallen vaak tegelijkertijd voor.

"Denk aan een denial of service-aanval en de normale tactieken van phishing en malware die tijdens een verkiezing zouden worden gebruikt, " zei Eric Rosenbach, D3P-directeur en stafchef van de Amerikaanse minister van Defensie Ashton Carter van 2015 tot 2017.

"Het deel waar ik me het meest zorgen over zou maken met een DDoS is een aanval op een webpagina die resultaten aankondigt in combinatie met een high-end. Kijk naar wat er in 2014 in Oekraïne gebeurde. De Russen DDoSed de webpagina die Oekraïne gebruikte om verkiezingsresultaten aan te kondigen, stuurde toen iedereen terug naar Rusland en bracht valse resultaten. Oekraïners bleven in de war over wie er eigenlijk tot president was gekozen."

Inzicht in moderne verkiezingsbeveiliging betekent grip krijgen op een ontmoedigende realiteit: vooral in de Verenigde Staten is de infrastructuur te gefragmenteerd, verouderd en kwetsbaar om volledig te worden beveiligd. Er zijn ook veel te veel verschillende soorten aanvallen in het dreigingslandschap om ze allemaal te stoppen.

PCMag sprak met overheidsfunctionarissen, politici, academici, technologiebedrijven en veiligheidsonderzoekers over de grimmige realiteit van verkiezingsveiligheid in 2018. Aan beide zijden van het politieke gangpad, op elk overheidsniveau en in de hele technologische industrie, de Verenigde Staten worstelt met fundamentele cybersecurity-bedreigingen voor onze verkiezingen. We zijn ook van plan hoe te reageren wanneer er iets misgaat, zowel tijdens deze cruciale tussentijdse verkiezingen als tijdens de algemene verkiezingen van 2020.

Het 'aanvalsoppervlak' beschermen

In cybersecurity worden alle blootgestelde systemen en apparaten die kunnen worden aangevallen het 'aanvalsoppervlak' genoemd. Het aanvalsoppervlak van een Amerikaanse verkiezing is enorm en kan worden onderverdeeld in drie belangrijke niveaus.

De eerste is steminfrastructuur; denk aan stemmachines, kiezersregistratiedatabases en alle websites van de staat en de lokale overheid die mensen vertellen waar en hoe ze moeten stemmen.

Dan is er het beveiligingsniveau van de campagne. Zoals 2016 liet zien, zijn campagnes gemakkelijke doelen voor hackers. Gestolen campagnegegevens kunnen vervolgens worden gebruikt als een krachtig wapen voor het derde, meer vage aanvalsniveau: de snode wereld van bewapende verkeerde informatie en campagnes voor sociale beïnvloeding. Op dit front blijven de trollenlegers van actoren van natiestaten actief op het web en vallen sociale mediaplatformen binnen, die polariserende slagvelden van de perceptie van kiezers zijn geworden.

Het proberen om de talloze systemische problemen op te lossen die elk van deze niveaus teisteren, leidt vaak tot meer vragen dan antwoorden. In plaats daarvan komen veel van de strategieën om de veiligheidsrisico's van de verkiezingen te beperken, neer op gezond verstand: papieren stembiljetten en stemcontrole; staat en lokale overheden meer middelen geven; en het verstrekken van hulpmiddelen en veiligheidstraining voor campagnes en verkiezingsfunctionarissen.

Nog een paar gecompliceerde en verdeeldheidsvragen, zowel voor verkiezingsbeheerders en campagnewerkers als voor kiezers: hoe benader je het verkiezingsproces in het tijdperk van de sociale media vol met online verkeerde informatie? En als u twijfels koestert over alle digitale informatie die op uw scherm verschijnt, wat moet u dan geloven?

Wat we hebben geleerd van 2016

Elk gesprek over de Amerikaanse verkiezingsbeveiliging in de midterms van 2018 en daarna vindt uiteindelijk zijn weg terug naar de presidentsverkiezingen van 2016. Voorafgaand aan die race hadden we cyberaanvallen gezien die gericht waren op campagnes en verkiezingen sinds het midden van de jaren 2000, maar nooit eerder op die schaal.

"In die tijd had nog nooit iemand zoiets eerder gezien. Het was schokkend om te denken dat Rusland zo brutaal zou zijn dat het zich zou bemoeien met onze democratie en het zou beïnvloeden ten gunste van een bepaalde kandidaat", zei Rosenbach, die voor het Congres getuigde in maart over Russische inmenging bij de verkiezingen van 2016. "Ik werk nu 20 jaar in de nationale veiligheid en dit was het meest gecompliceerde, moeilijkste probleem dat ik ooit heb behandeld."

Op dit moment zijn de feiten vrij duidelijk. Een tiental Russen die naar verluidt werken voor de GRU, de Russische militaire inlichtingendienst, werden aangeklaagd wegens het hacken van het Democratic National Committee (DNC) en het lekken van documenten aan organisaties zoals WikiLeaks, die meer dan 20.000 e-mails hebben vrijgegeven.

De beschuldigde hackers werkten onder online persona's, waaronder Guccifer 2.0, Fancy Bear en DCLeaks, in augustus 2016 ook in kiezersregistratiedatabases in Illinois en Arizona en stal informatie over meer dan 500.000 kiezers. Uit latere FBI- en NSA-rapporten bleek dat hackers tijdens de presidentsverkiezingen van 2016 stemsoftware in 39 staten hadden aangetast. Amerikaanse plaatsvervangend procureur-generaal Rod Rosenstein zei in de aanklacht tegen Russische hackers dat "het doel van de samenzwering was om een ​​impact te hebben op de verkiezingen."

Dat waren slechts de aanvallen op de eerste twee niveaus van verkiezingsinfrastructuur. Op sociale media hebben Rusland, Iran en anderen bots en trollenfabrieken ontketend - inclusief het door Rusland gesteunde Internet Research Agency (IRA) - dat nepnieuws verspreidde en duizenden politieke advertenties op Facebook en Twitter kocht om de meningen van kiezers te beïnvloeden. Hoewel het verbonden was met politieke partijen in plaats van met externe hackers, speelde het Cambridge Analytica-schandaal van Facebook ook een rol in de invloed van sociale media op de verkiezingen van 2016.

"We reageerden niet snel of krachtig genoeg", zei Rosenbach. Tijdens zijn werkzaamheden bij het Pentagon was Rosenbach ook van 2011 tot 2014 adjunct-adjunct-secretaris van defensie voor Cyber ​​en adjunct-secretaris van defensie voor wereldwijde veiligheid die toezicht hield op cybersecurity.

Hij is nu co-directeur van het Belfer Center op de Kennedy School van Harvard en directeur van de D3P. Hij richtte het vorig jaar op naast Matt Rhoades, campagneleider van Mitt Romney tijdens de verkiezingen van 2012, en Robby Mook, campagneleider van Hillary Clinton in 2016.

"Een belangrijk ding om te begrijpen vanuit een beveiligingsstandpunt is dat de campagne zelf nooit is gehackt, " vertelde Mook aan PCMag. "Persoonlijke e-mailaccounts werden gehackt en de DNC werd gehackt, maar ik denk dat het een belangrijke waarschuwing is voor iedereen dat we echt het hele ecosysteem moeten beveiligen. Tegenstanders zullen overal naartoe gaan om informatie tegen verschillende kandidaten te bewapenen."

De phishing-aanval die met succes de persoonlijke Gmail-account van DNC-voorzitter John Podesta in 2016 heeft gehackt, liet Mook het idee achter dat er geen mechanismen waren om te reageren op een aanval van deze omvang. In 2017 maakte hij contact met Rhoades, die tijdens de presidentiële run van Romney constante hackpogingen van Chinese cyberkrachten had gedaan. Het basisidee was om een ​​checklist te maken van dingen om te doen om dergelijke uitbuiting in toekomstige campagnes te voorkomen en om campagnes te bieden waar ze gehackt konden worden.

De twee verbonden zich met Rosenbach en werkten samen om het D3P Cybersecurity Campaign Playbook te publiceren. Sindsdien hebben ze samengewerkt aan twee andere playbooks: één voor staats- en lokale verkiezingsbeheerders, en één die communicatieofficieren voorbereidt op het tegengaan van online verkeerde informatie. Ze hielpen ook bij het organiseren en uitvoeren van simulaties op het tafelblad.

Mook wilde niet te veel tijd besteden aan het praten over 2016; het is belangrijk om het laatste gevecht niet te herleven wanneer je je kunt voorbereiden op het volgende gevecht, zei hij.

"Het feit is dat je gewoon niet weet waarom of hoe iemand probeert binnen te komen. Je weet gewoon dat iemand dat zal doen, " zei Mook. "Het belangrijkste is om na te denken over wat de volgende stap zou kunnen zijn. Wat zijn de bedreigingen die we nog niet hebben overwogen of gezien? Ik denk dat de midterms mogelijk enkele nieuwe kwetsbaarheden naar boven zullen brengen, maar ik denk dat het meer gaat over het bekijken van het systeem als een heel en op zoek naar alle mogelijke manieren waarop iemand binnen zou kunnen komen."



Het verschuivende dreigingslandschap

Terwijl we de midterms van 2018 naderen en geconfronteerd worden met de lange slag om de Amerikaanse presidentsverkiezingen van 2020, komt het dreigingslandschap in beeld.

Hoewel president Trump de omvang van de Russische inmenging heeft gebagatelliseerd, sloeg de VS Rusland in maart met nieuwe sancties. "We blijven een doordringende berichtencampagne van Rusland zien om te proberen de Verenigde Staten te verzwakken en te verdelen, " zei de Amerikaanse directeur van National Intelligence Dan Coats tijdens een briefing van augustus.

Dat kwam nadat Microsoft in juli een hackpoging in de weg stond met nepdomeinen die gericht waren op drie kandidaten voor herverkiezing. Slechts enkele weken voordat dit verhaal werd gepubliceerd, werd een Russische onderdaan belast met het toezicht op een poging om kiezers via Facebook en Twitter te manipuleren om zich in de tussentijd te mengen. Elena Khusyaynova, een Russische burger genoemd in de aanklacht, beheerde naar verluidt de financiële en sociale operaties gelieerd aan de IRA, met een budget van meer dan $ 35 miljoen, geruild door de Russische oligarch en Poetin bondgenoot Yevgeny Prigozhin.

De directeuren van de nationale inlichtingendienst, het ministerie van Binnenlandse Veiligheid en de FBI hebben een gezamenlijke verklaring vrijgegeven met de aanklacht. Het stelt dat hoewel er op dit moment geen bewijs is van een gecompromitteerde steminfrastructuur op de middellange termijn, "sommige deelstaat- en lokale overheden hebben gematigde pogingen om toegang te krijgen tot hun netwerken gemeld", waaronder databanken voor kiezersregistratie.

In de laatste weken voor de tussentijdse verkiezingen identificeert US Cyber ​​Command naar verluidt zelfs Russische agenten die de troll-accounts beheren en informeert hen dat de VS op de hoogte zijn van hun activiteiten in een poging om bemoeienis met verkiezingen te voorkomen.

"We maken ons zorgen over de lopende campagnes van Rusland, China en andere buitenlandse actoren, waaronder Iran, om het vertrouwen in democratische instellingen te ondermijnen en het publieke sentiment en overheidsbeleid te beïnvloeden", luidt de verklaring. "Deze activiteiten kunnen ook proberen de percepties van de kiezers en de besluitvorming bij de Amerikaanse verkiezingen van 2018 en 2020 te beïnvloeden."

Op zoek naar patronen

Bij het monitoren van activiteiten van buitenlandse tegenstanders en andere potentiële cybervijanden, zoeken experts naar patronen. Toni Gidwani zei dat het is alsof je een radarreeks bestudeert van alle verschillende kwaadaardige entiteiten die er zijn; u zoekt naar vroege waarschuwingsindicatoren om risico's te beperken en de zwakste schakels in uw verdediging te beveiligen.

Gidwani is de directeur van Research Operations bij cybersecuritybedrijf ThreatConnect. Ze heeft de afgelopen drie jaar leiding gegeven aan ThreatConnect's onderzoek naar de DNC-hack en Russische invloedsactiviteiten bij de Amerikaanse presidentsverkiezingen van 2016; haar team koppelde Guccifer 2.0 aan Fancy Bear. Gidwani bracht het eerste decennium van haar carrière door bij de DoD, waar ze analyseteams bouwde en leidde bij het Defence Intelligence Agency.

"Je moet op veel verschillende fronten aan de touwtjes trekken", zei Gidwani. "Fancy Bear werkte veel verschillende kanalen om de DNC-gegevens in het publieke domein te krijgen. Guccifer was een van die fronten, DCLeaks was er één en WikiLeaks was de frontlinie met de grootste impact."

Gidwani brak de exploitaties van de natiestaat die we hebben gezien in een paar verschillende activiteiten die samen een multi-stage interferentiecampagne vormen. De campagnegerichte datalekken leidden tot strategische datalekken op kritieke momenten in de verkiezingscyclus.

"We maken ons zeker zorgen over spear-phishing en man-in-the-middle-aanvallen. Die informatie is zo impactvol als het in het publieke domein terechtkomt dat je misschien geen geavanceerde malware nodig hebt, omdat campagnes zulke ophaalacties zijn, met een toevloed van vrijwilligers als doelwitten, "legde ze uit. "U hebt geen zero-day kwetsbaarheden nodig als uw speerphishing werkt."

De penetratie-aanvallen op staatsbesturen van verkiezingen zijn een ander punt dat bedoeld is om de toeleveringsketen van de stemmachine te verstoren en het vertrouwen in de geldigheid van verkiezingsresultaten te ondermijnen. Gidwani zei dat het verouderde en gefragmenteerde karakter van de steminfrastructuur van staat tot staat, aanvallen zoals SQL-injecties, "waarvan we hopen dat het niet eens meer deel zou uitmaken van het speelboek", niet alleen mogelijk maar ook effectief is.

Die operaties zijn grotendeels verschillend van de Facebook-groepen en Twitter-troll-accounts die zijn opgezet door de IRA en andere actoren in de nationale staten, waaronder China, Iran en Noord-Korea. Uiteindelijk gaan die campagnes meer over het aanwakkeren van sentiment en het slingeren van kiezers over het politieke spectrum, waarbij de gecoördineerde datalekken worden versterkt met politieke inslagen. Als het gaat om verkeerde informatie, hebben we alleen het topje van de ijsberg blootgelegd.

"Een van de dingen die verkiezingen zo uitdagend maken, is dat ze uit veel verschillende stukken bestaan ​​zonder één stakeholder, " zei Gidwani. "De grote uitdaging waarmee we worstelen, is in wezen een politieke kwestie, geen technische. De platforms spannen zich in om legitieme inhoud gemakkelijker identificeerbaar te maken door kandidaten te verifiëren. Maar met de virale verspreiding van dit soort inhoud, is ons buiten de wereld van informatiebeveiliging."



Nieuwe gaten in de oude machine stoppen

Op het meest fundamentele niveau is de Amerikaanse verkiezingsinfrastructuur een lappendeken - een allegaartje van verouderde en onveilige stemmachines, kwetsbare kiezersdatabases en nationale en lokale websites die soms zelfs de meest elementaire codering en beveiliging missen.

Op een achterwaartse manier kan de gefragmenteerde aard van de nationale steminfrastructuur een minder aantrekkelijk doelwit maken dan een exploit met een grotere impact. Vanwege de verouderde en soms analoge technologie in stemmachines en hoe enorm elke staat verschilt van de volgende, zouden hackers in elk geval aanzienlijke inspanningen moeten leveren om elk individueel gelokaliseerd systeem in gevaar te brengen. Dat is tot op zekere hoogte een misvatting, want het hacken van de staat of de lokale steminfrastructuur in een belangrijk swing district kan absoluut invloed hebben op een verkiezingsuitslag.

Twee verkiezingscycli geleden raadpleegde Jeff Williams voor een belangrijke Amerikaanse stemmachine-verkoper, die hij weigerde te identificeren. Zijn bedrijf heeft een handmatige codebeoordeling en beveiligingstest van de stemmachines, technologie voor verkiezingsbeheer en stelsels uitgevoerd en vond een hele reeks kwetsbaarheden.

Williams is de CTO en mede-oprichter van Contrast Security en een van de oprichters van het Open Web Application Security Project (OWASP). Hij zei dat vanwege de archaïsche aard van verkiezingssoftware, die in veel gevallen wordt beheerd door lokale districten die aankoopbeslissingen vaak nemen op basis van budget dan veiligheid, de technologie niet zoveel is veranderd.

"Het gaat niet alleen om de stemmachines. Het is alle software die je gebruikt om een ​​verkiezing op te zetten, te beheren en de resultaten te verzamelen, " zei Williams. "De machines hebben een vrij lange levensduur omdat ze duur zijn. We hebben het over miljoenen regels code en vele jaren werk om het te herzien, met beveiliging die moeilijk te implementeren en niet goed gedocumenteerd is. Het is een symptoom van een veel groter probleem - niemand heeft enig inzicht in wat er gaande is in de software die ze gebruiken."

Williams zei dat hij ook niet veel vertrouwen had in de test- en certificeringsprocessen. De meeste nationale en lokale overheden stellen kleine teams samen die penetratietests uitvoeren, hetzelfde soort tests dat de krantenkoppen haalt bij Black Hat. Williams gelooft dat dit de verkeerde aanpak is, vergeleken met uitgebreide testen van softwarekwaliteitsborging. Hacks zoals die in Voting Village op DefCon vinden kwetsbaarheden, maar ze vertellen je niet alles over de mogelijke exploits die je niet hebt gevonden.

Het meer systemische probleem landelijk is dat stemmachines en software voor verkiezingsbeheer enorm verschillen van staat tot staat. Er zijn slechts een handvol grote leveranciers geregistreerd om stemmachines en gecertificeerde stemsystemen aan te bieden, dit kunnen papieren stembiljetten, elektronische stemsystemen of een combinatie van beide zijn.

Volgens Verified Voting, een organisatie zonder winstoogmerk, wordt 99 procent van de Amerikaanse stemmen in een of andere vorm door de computer geteld, hetzij door verschillende soorten papieren stembiljetten te scannen, hetzij door middel van directe elektronische invoer. Uit het 2018-rapport van Verified Voting bleek dat 36 staten nog steeds gebruik maken van stemapparatuur die onveilig is gebleken, en 31 staten zullen direct opneembare elektronische stemmachines gebruiken voor ten minste een deel van de kiezers.

Het meest verontrustende is dat vijf staten - Delaware, Georgia, Louisiana, New Jersey en South Carolina - momenteel direct opgenomen elektronische stemmachines gebruiken zonder door de kiezer geverifieerde papieren audittrail. Dus als het aantal stemmen in het elektronische systeem wordt gewijzigd, hetzij door een fysieke of externe hack, hebben de staten mogelijk geen manier om de geldige resultaten te verifiëren in een auditproces waarbij vaak alleen een statistische steekproef van stemmen nodig is, in plaats van een volledige hertelling.

"Er is geen doos met hangende chads voor ons om te tellen, " zei Joel Wallenstrom, CEO van de gecodeerde berichten-app Wickr. "Als er halverwege beweringen zijn dat de resultaten niet echt zijn omdat de Russen iets hebben gedaan, hoe gaan we dan om met dat probleem met verkeerde informatie? Mensen lezen bombastische krantenkoppen en hun vertrouwen in het systeem wordt verder aangetast."

Het upgraden van de staatssteminfrastructuur met moderne technologie en beveiliging gebeurt niet voor de midterms en waarschijnlijk niet vóór 2020. Terwijl staten zoals West Virginia opkomende technologieën zoals blockchain testen voor elektronische stemregistratie en -audit, zijn de meeste onderzoekers en beveiligingsexperts zeggen dat in plaats van een beter systeem, de meest veilige methode om stemmen te verifiëren een papieren spoor is.

"Papieren controlesporen zijn al lange tijd een roep voor de beveiligingsgemeenschap, en in de tussentijd en waarschijnlijk de presidentsverkiezingen zullen ze een heleboel machines gebruiken die dat niet hebben, " zei Williams. "Het is geen overdrijving om te zeggen dat dit een existentiële bedreiging voor de democratie is."

Een van de staten met een papieren audit trail is New York. Deborah Snyder, de Chief Information Security Officer van de staat, vertelde PCMag tijdens een recente top van de National Cyber ​​Security Alliance (NCSA) dat New York niet tot de 19 staten behoorde waarvan naar schatting 35 miljoen kiezersrecords te koop zijn op het dark web. Openbaar beschikbare kiezersrecords van de staat New York zijn echter naar verluidt gratis beschikbaar op een ander forum.

De staat voert regelmatig risicobeoordelingen uit van zijn stemmachines en infrastructuur. New York heeft sinds 2017 ook miljoenen geïnvesteerd in lokale inbraakdetectie om incidentmonitoring en -respons te verbeteren, zowel binnen de staat als in coördinatie met het Information Sharing and Analysis Center (ISAC), dat samenwerkt met andere staten en de particuliere sector.

"We hebben een verhoogd bewustzijn in de aanloop naar en tijdens de verkiezingen", zei Snyder. "Ik heb teams aan boord van het dek van 6 uur 's ochtends tot middernacht op de dag van de verkiezingen. We zitten allemaal aan dek, van het New York State Intelligence Center tot de ISAC tot de lokale en nationale Board of Elections en mijn kantoor, ITS en de afdeling Binnenlandse Veiligheids- en Hulpdiensten."



Lokale verkiezingswebsites zitten eenden

Het laatste en meest over het hoofd geziene aspect van staats- en lokale verkiezingsbeveiliging zijn de websites van de overheid die burgers vertellen waar en hoe te stemmen. In sommige staten is er schokkend weinig consistentie tussen officiële sites, waarvan vele zelfs de meest elementaire HTTPS-beveiligingscertificaten missen, waarmee wordt gecontroleerd dat webpagina's worden beveiligd met SSL-codering.

Cybersecuritybedrijf McAfee heeft onlangs de beveiliging van websites van provinciale verkiezingsborden in 20 staten onderzocht en vastgesteld dat slechts 30, 7 procent van de sites SSL heeft om alle informatie die een kiezer standaard met de website deelt, te coderen. In staten zoals Montana, Texas en West Virginia is 10 procent van de sites of minder SSL-gecodeerd. Uit het onderzoek van McAfee bleek dat 217 van de 236 provinciale verkiezingswebsites alleen in Texas geen SSL gebruiken.

U kunt een SSL-gecodeerde site vertellen door naar HTTPS te zoeken in de website-URL. Mogelijk ziet u ook een slot- of sleutelpictogram in uw browser, wat betekent dat u veilig communiceert met een site die is wie ze zeggen dat ze zijn. In juni begon Google's Chrome alle niet-gecodeerde HTTP-sites te markeren als 'niet veilig'.

"Als SSL niet beschikbaar is in 2018 ter voorbereiding op de midterms, zijn deze provinciale websites veel kwetsbaarder voor MiTM-aanvallen en gegevensvervalsing", aldus McAfee CTO Steve Grobman. "Het is vaak een oude onveilige HTTP-variant die je niet omleidt naar beveiligde sites, en in veel gevallen delen de sites certificaten. Dingen zien er beter uit op het niveau van de staat, waar slechts ongeveer 11 procent van de sites niet-gecodeerd is, maar deze lokale provinciesites zijn volledig onzeker."

Van de staten die deel uitmaken van het onderzoek van McAfee, had alleen Maine meer dan 50 procent van de provinciale verkiezingswebsites met basiscodering. New York was slechts 26, 7 procent, terwijl Californië en Florida ongeveer 37 procent waren. Maar het gebrek aan basisbeveiliging is slechts de helft van het verhaal. McAfee's onderzoek vond ook bijna geen consistentie in de domeinen van verkiezingswebsites.

Een schokkend klein percentage staatsselectiesites gebruikt het door de overheid geverifieerde.gov-domein, in plaats daarvan kiest hij voor gemeenschappelijke topleveldomeinen (TLD's) zoals.com,.us,.org of.net. In Minnesota gebruikt 95, 4 procent van de verkiezingssites niet-gouvernementele domeinen, gevolgd door Texas met 95 procent en Michigan met 91, 2 procent. Deze inconsistentie maakt het voor een gewone kiezer bijna onmogelijk om te achterhalen welke verkiezingssites legitiem zijn.

In Texas gebruikt 74, 9 procent van de websites voor de registratie van kiezers het.us-domein, 7, 7 procent gebruikt.com, 11, 1 procent gebruikt.org en 1, 7 procent gebruikt.net. Slechts 4, 7 procent van de sites gebruikt het.gov-domein. In het graafschap Denton in Texas is de website voor de verkiezingen bijvoorbeeld https://www.votedenton.com/, maar McAfee ontdekte dat gerelateerde websites zoals www.vote-denton.com te koop zijn.

In scenario's als deze hoeven aanvallers niet eens lokale websites te hacken. Ze kunnen eenvoudig een soortgelijk domein kopen en phishing-e-mails verzenden die mensen vragen zich te registreren om via de frauduleuze site te stemmen. Ze kunnen zelfs valse steminformatie of onjuiste stembureau-locaties bieden.

"Wat we in cybersecurity in het algemeen zien, is dat aanvallers het eenvoudigste mechanisme gebruiken dat effectief is om hun doelen te bereiken, " zei Grobman. "Hoewel het misschien mogelijk is om de stemmachines zelf te hacken, zijn daar veel praktische uitdagingen aan. Het is een stuk eenvoudiger om achter kiezersregistratiesystemen en databases aan te gaan of gewoon een website te kopen. In sommige gevallen ontdekten we dat er vergelijkbare domeinen waren gekocht door andere partijen. Het is net zo eenvoudig als het vinden van een GoDaddy-pagina voor verkoop."



Campagnes: bewegende stukken en eenvoudige doelen

Het kost over het algemeen meer moeite voor hackers om in het systeem van elke provincie of staat te infiltreren dan achter laaghangend fruit aan te gaan, zoals campagnes, waarbij duizenden tijdelijke werknemers aantrekkelijke cijfers behalen. Zoals we in 2016 hebben gezien, kan de impact van campagnegegevens en informatielekken catastrofaal zijn.

Aanvallers kunnen op verschillende manieren in campagnes doordringen, maar de sterkste verdediging is simpelweg ervoor zorgen dat de basis wordt vergrendeld. Het Campaign Cybersecurity Playbook van de D3P onthult geen baanbrekende beveiligingstactieken. Het is in wezen een checklist die ze kunnen gebruiken om ervoor te zorgen dat elke campagnemedewerker of vrijwilliger wordt doorgelicht en dat iedereen die met campagnegegevens werkt, beveiligingsmechanismen gebruikt zoals two-factor authentication (2FA) en gecodeerde berichtenservices zoals Signal of Wickr. Ze moeten ook worden getraind in gezond verstandige informatiehygiëne en zich bewust zijn van hoe phishing-schema's te herkennen.

Robby Mook sprak over eenvoudige gewoonten: zeg, automatisch e-mails verwijderen waarvan je weet dat je ze niet nodig hebt, omdat er altijd een kans is dat gegevens lekken als ze blijven hangen.

"De campagne is een interessant voorbeeld, omdat we die tweede factor hadden in onze campagneaccounts en bedrijfsregels om gegevens en informatie binnen ons domein te houden", legt Mook uit. "De slechteriken, die we achteraf hebben geleerd, hebben veel personeel door phishing-links laten klikken, maar die pogingen waren niet succesvol, omdat we veiligheidsmaatregelen hadden getroffen. Toen ze niet op die manier konden komen, gingen ze rond persoonlijke accounts van mensen."

Campagnebeveiliging is lastig: er zijn duizenden bewegende onderdelen, en vaak is er geen budget of expertise om helemaal opnieuw geavanceerde informatiebeveiliging in te bouwen. De tech-industrie is hierin een stap verder gegaan en heeft gezamenlijk een aantal gratis tools beschikbaar gesteld voor campagnes tot aan de midterms.

Alphabet's Jigsaw biedt campagnes DDoS-bescherming via Project Shield en Google heeft zijn geavanceerde accountbeveiligingsprogramma uitgebreid om politieke campagnes te beschermen. Microsoft biedt politieke partijen gratis AccountGuard-detectie van bedreigingen in Office 365, en deze zomer organiseerde het bedrijf cybersecurity-workshops met zowel de DNC als de RNC. McAfee geeft McAfee Cloud voor beveiligde verkiezingen een jaar lang gratis weg aan verkiezingsbureaus in alle 50 staten.

Andere cloudtech- en beveiligingsbedrijven - waaronder Symantec, Cloudflare, Centrify en Akamai - bieden vergelijkbare gratis of scherp geprijsde tools. Het maakt allemaal deel uit van de collectieve PR-campagne van de tech-industrie en levert meer gezamenlijke inspanningen om de verkiezingsbeveiliging te verbeteren dan Silicon Valley in het verleden heeft gedaan.

Campagnes verkrijgen voor gecodeerde apps

Wickr bijvoorbeeld geeft (min of meer) campagnes gratis toegang tot zijn service en werkt rechtstreeks samen met campagnes en de DNC om campagnemedewerkers op te leiden en veilige communicatienetwerken op te bouwen.

Het aantal campagnes waarbij Wickr wordt gebruikt, is sinds april verdrievoudigd en volgens het bedrijf gebruikte meer dan de helft van de senaatscampagnes en meer dan 70 politieke consultatieteams het platform vanaf deze zomer. Audra Grassia, de politieke en regeringsleider van Wickr, voert zijn inspanningen het afgelopen jaar op met politieke commissies en campagnes in Washington, DC.

"Ik denk dat mensen buiten de politiek moeite hebben om te begrijpen hoe moeilijk het is om oplossingen in meerdere campagnes op elk niveau te implementeren", aldus Grassia. "Elke campagne is zijn eigen afzonderlijke kleine onderneming met personeel dat om de twee jaar wisselt."

Individuele campagnes hebben vaak niet de financiering voor cybersecurity, maar de grote politieke commissies wel. Na 2016 heeft met name DNC zwaar geïnvesteerd in cybersecurity en dit soort relaties met Silicon Valley. De commissie heeft nu een technisch team van 35 mensen onder leiding van de nieuwe CTO Raffi Krikorian, voorheen van Twitter en Uber. De nieuwe Chief Security Officer van de DNC, Bob Lord, was voorheen een beveiligingsfunctionaris bij Yahoo die goed bekend is met het omgaan met catastrofale hacks.

Het team van Grassia werkt rechtstreeks samen met de DNC, helpt de technologie van Wickr in te zetten en biedt campagnes op verschillende trainingsniveaus. Wickr is een van de technische leveranciers op de technische marktplaats van de DNC voor kandidaten. "De bewegende delen binnen een campagne zijn echt verbluffend", zegt Jick Wallenstrom, CEO van Wickr.

Hij legde uit dat campagnes niet de technische kennis of middelen hebben om te investeren in enterprise-grade informatiebeveiliging of om Silicon Valley-prijzen te betalen voor talent. Gecodeerde apps bieden in wezen een ingebouwde infrastructuur om alle gegevens en interne communicatie van een campagne naar veilige omgevingen te verplaatsen zonder een duur adviesteam in te huren om alles te configureren. Het is geen allesomvattende oplossing, maar op zijn minst gecodeerde apps kunnen de essentie van een campagne relatief snel op slot krijgen.

Tijdens de tussentijdse en toekomstige verkiezingen, zei Robby Mook, zijn er een paar campagneaanvalsvectoren waar hij zich het meest zorgen over maakt. Een daarvan is DDoS-aanvallen op campagnewebsites op kritieke momenten, zoals tijdens een conventie speech of een primaire wedstrijd wanneer kandidaten bankieren op online donaties. Hij maakt zich ook zorgen over nep-sites als een een-twee-klap om geld te stelen.

"We hebben hier een klein beetje van gezien, maar ik denk dat een ding om naar te kijken nep-fondsenwervende sites zijn die verwarring en twijfel kunnen veroorzaken in het donatieproces", aldus Mook. "Ik denk dat het veel erger kan worden met social engineering die campagnepersoneel probeert te misleiden om geld in te zetten of donaties naar dieven om te leiden. Het gevaar hiervan is bijzonder groot, want voor een tegenstander is het niet alleen lucratief, maar het leidt campagnes af van de echte problemen en houdt ze gefocust op intriges."



De informatieoorlog voor stemmers

De moeilijkste aspecten van moderne verkiezingsbeveiliging om te begrijpen, laat staan ​​om tegen te beschermen, zijn verkeerde informatie en campagnes voor sociale beïnvloeding. Het is de kwestie die zich het meest publiekelijk online, in het Congres en op de sociale platformen in het midden van het raadsel dat de democratie bedreigt, heeft gespeeld.

Nepnieuws en verkeerde informatie die wordt verspreid om de kiezers te beïnvloeden, kunnen in veel verschillende vormen voorkomen. In 2016 kwam het van micro-gerichte politieke advertenties op sociale media, van groepen en nepaccounts die valse informatie over kandidaten verspreidden, en van gelekte campagnegegevens die strategisch werden verspreid voor informatieoorlogvoering.

Mark Zuckerberg zei beroemd dagen na de verkiezingen dat nepnieuws op Facebook dat de verkiezingen beïnvloedde een "behoorlijk gek idee" was. Het heeft een rampzalig jaar van gegevensschandalen en inkomstenhits voor Facebook gekost om te komen waar het nu is: massale zuiveringen van politieke spamaccounts, het verifiëren van politieke advertenties en het opzetten van een "oorlogsruimte" tijdens de tussentijdse verkiezingsstrategie bemoeizucht.

Twitter heeft vergelijkbare stappen gezet, politieke kandidaten geverifieerd en bots en trollen onderdrukt, maar desinformatie blijft bestaan. De bedrijven zijn eerlijk geweest over het feit dat ze in een wapenwedloop met cybervijanden zijn om nepaccounts te vinden en te verwijderen en nepnieuws te stelen. Facebook sloot vorige week een aan Iran gekoppelde propagandacampagne met 82 pagina's, groepen en accounts.

Maar machine learning-algoritmen en menselijke moderators kunnen alleen zo ver gaan. De verspreiding van verkeerde informatie via WhatsApp in de presidentsverkiezingen in Brazilië is slechts een voorbeeld van hoeveel meer werk sociale media-bedrijven moeten doen.

Facebook, Twitter en technische reuzen zoals Apple zijn stilzwijgend de rol van hun platformen gaan erkennen in het accepteren van verantwoordelijkheid en proberen de zeer gecompliceerde problemen op te lossen die ze hebben helpen creëren. Maar is het genoeg?

"Invloed op verkiezingen is er altijd geweest, maar we zien een nieuw niveau van verfijning", zegt Travis Breaux, universitair hoofddocent informatica aan Carnegie Mellon, wiens onderzoek betrekking heeft op privacy en veiligheid.

Breaux zei dat de soorten desinformatiecampagnes die we zien uit Rusland, Iran en andere nationale actoren niet zo veel verschillen van de playbook-spionage-agenten die al tientallen jaren gebruiken. Hij wees op een boek uit 1983 genaamd The KGB and Soviet Desinformatie , geschreven door een ex-inlichtingenofficier, die sprak over door de staat gesponsorde voorlichtingscampagnes uit de Koude Oorlog die bedoeld waren om de buitenlandse opinie te misleiden, in verwarring te brengen of te ontsteken. Ruslands hackers en trollenboerderijen doen vandaag hetzelfde, alleen worden hun inspanningen exponentieel vergroot door de kracht van digitale tools en het bereik dat ze bieden. Twitter kan in een oogwenk een bericht naar de hele wereld sturen.

"Er is een combinatie van bestaande technieken, zoals nepaccounts, die we nu operationeel zien worden", zegt Breaux. "We moeten aan de slag gaan en begrijpen hoe echte, vertrouwde informatie eruit ziet."

McAfee CTO Steve Grobman vindt dat de overheid openbare campagnes moet voeren om het bewustzijn over valse of gemanipuleerde informatie te vergroten. Hij zei dat een van de grootste problemen in 2016 de flagrante veronderstelling was dat geschonden gegevens integriteit hadden.

In de late stadia van een verkiezingscyclus, wanneer er geen tijd is om de geldigheid van informatie onafhankelijk te verifiëren, kan informatieoorlogvoering bijzonder krachtig zijn.

"Toen de e-mails van John Podesta op WikiLeaks werden gepubliceerd, ging de pers ervan uit dat het allemaal e-mails van Podesta waren, " zei Grobman. PCMag heeft geen direct onderzoek uitgevoerd naar de authenticiteit van de gelekte e-mails, maar sommige Podesta-e-mails die als vals zijn geverifieerd, circuleerden nog steeds zo recent als dit najaar, volgens FactCheck.org, een project dat is verlopen uit het Annenberg Public Policy Center aan de universiteit van Pennsylvania.

"Een van de dingen waar we het publiek over moeten informeren, is dat alle informatie die uit een inbreuk komt gefabriceerde gegevens kan bevatten, verweven met legitieme gegevens om te voorzien in welke narratieve tegenstanders je ook naartoe leiden. Mensen kunnen geloven dat iets verzonnen is dat hun stem beïnvloedt."

Dit kan niet alleen betrekking hebben op wat u online en op sociale media ziet, maar ook op logistieke details over stemmen in uw regio. Gezien de inconsistentie in zoiets fundamenteels als websitedomeinen van de ene lokale gemeente naar de andere, hebben kiezers een officieel middel nodig om te achterhalen wat echt is.

"Stel je voor dat hackers proberen een verkiezing naar een kandidaat in een bepaald landelijk of stedelijk gebied te laten plaatsvinden, " zei Grobman. "U stuurt een phishing-e-mail naar alle kiezers die zeggen dat de verkiezingen vanwege het weer 24 uur zijn uitgesteld, of geeft ze een valse bijgewerkte stemlokaallocatie."

Uiteindelijk is het aan de kiezer om verkeerde informatie weg te filteren. Deborah Snyder, Chief Information Security Officer van de staat New York, zei: "Ontvang uw nieuws niet van Facebook, stem op uw manier van denken" en zorg ervoor dat uw feiten afkomstig zijn van geverifieerde bronnen. Jick Wallenstrom van Wickr is van mening dat kiezers zich moeten concentreren op het feit dat er ontzettend veel FUD zal zijn (angst, onzekerheid en twijfel). Hij vindt ook dat je Twitter gewoon moet uitschakelen.

Robby Mook zei dat het belangrijk is om te onthouden dat de informatie die u ziet, is ontworpen om u aan het denken te zetten en op een bepaalde manier te handelen. Niet doen.

"Kiezers moeten een stapje terug doen en zich afvragen wat voor hen belangrijk is, niet wat er tegen hen wordt gezegd, " zei Mook. "Focus op de kern van de kandidaten, de beslissingen die deze ambtenaren gaan nemen en hoe die beslissingen hun leven zullen beïnvloeden."



Gooi alles wat we hebben naar ze toe. Voer het opnieuw uit

De verkiezingsbeveiligingssimulatieoefening van het Defending Digital Democracy-project begon om 8 uur 's ochtends in Cambridge, Massachusetts. Toen het begon, met deelnemers die in fictieve staten werkten zes of acht maanden vóór de verkiezingsdag, was 10 minuten van de oefening goed voor 20 dagen. Aan het einde gebeurde elke minuut in realtime terwijl iedereen aftelde naar de polling-tijd.

Rosenbach zei dat hij, Mook en Rhoades binnenkwamen met 70 pagina's scenario's waarin werd beschreven hoe catastrofes van de verkiezingsbeveiliging zouden uitlopen, en ze zouden de een na de ander naar staatsfunctionarissen gooien om te zien hoe ze reageren.

"We zouden zeggen, hier is de situatie, we hebben zojuist een nieuwsbericht ontvangen van een Russische info-op uitgevoerd via Twitter-bots, " zei Rosenbach. "Ook komen er resultaten uit deze stembureau die als gesloten worden weergegeven, maar alleen voor Afro-Amerikaanse kiezers. Dan zouden ze daarop moeten reageren, terwijl tegelijkertijd 10 andere dingen naar beneden gaan - registratiegegevens zijn gehackt, steminfrastructuur is aangetast, er is iets gelekt en zo verder."

Het Defending Digital Democracy Project deed in 28 staten onderzoek naar demografie en verschillende soorten polling-apparatuur om in de simulaties te schrijven, en iedereen kreeg een rol toegewezen. Verkiezingsbeheerders op laag niveau mochten topfunctionarissen van een fictieve staat spelen, en vice versa. Rosenbach zei dat West Virginia minister van Buitenlandse Zaken Mac Warner een poll-medewerker wilde spelen.

Het doel was dat ambtenaren uit alle 38 staten de simulatie verlaten met een responsplan in hun hoofd en de juiste vragen stellen als het er echt toe doet. Hebben we deze link gecodeerd? Is de kiezersdatabase veilig? Hebben we afgesloten wie voor de verkiezingsdag fysiek toegang heeft tot de stemmachines?

Een aantoonbaar belangrijker bijproduct van de tafeloefening was de oprichting van een netwerk van verkiezingsfunctionarissen in het hele land om informatie uit te wisselen en beste praktijken uit te wisselen. Rosenbach noemde het een soort "informele ISAC" die zeer actief is gebleven in de aanloop naar de tussentijd voor staten om de soorten aanvallen en kwetsbaarheden die ze zien te delen.

Staten volgen dit soort training ook alleen. New York startte in mei een reeks regionale tafelbladoefeningen in samenwerking met het Department of Homeland Security gericht op cyberbeveiliging en respons op bedreigingen.

NYS CISO Snyder zei dat de State Board of Elections verkiezingsspecifieke training gaf aan County Boards of Elections. Bovendien werd de gratis cyberbewustzijnstraining voor alle 140.000 staatswerkers ook beschikbaar gesteld aan lokale gemeenten, waardoor ze zowel verkiezingsspecifieke training als algemene bewustwordingstraining over cybersecurity kregen. Snyder zei ook dat ze contact heeft opgenomen met andere staten die datalekken hebben gehad om te achterhalen wat er is gebeurd en waarom.

"Partnerschappen zorgen ervoor dat cybersecurity werkt. Gebrek aan informatie-uitwisseling is waarom het faalt", zei Snyder. "Staten realiseren zich dat cyber niet in silo's kan worden gedaan, en het voordeel van dat gedeelde situationele bewustzijn weegt zwaarder dan de schaamte om het verhaal te vertellen over hoe je bent gehackt."

De D3P stuurt teams in de tussentijd door het hele land om de verkiezingen in tientallen staten te observeren en verslag uit te brengen om de playbooks en trainingen van het project voor 2020 te verbeteren. Een gevoel dat een aantal bronnen gedeeld is, is dat cyber tegenstanders de VS misschien niet zo hard raken in de tussentijd. Amerika was volledig overrompeld tijdens de verkiezingen van 2016 en 2018 zal nationale hackers laten zien wat we sindsdien hebben en niet hebben geleerd.

Cyberoorlogvoering gaat niet alleen over frontale aanvallen. Hack- en desinformatiecampagnes zijn meer verborgen en ze vertrouwen erop dat ze je raken met precies wat je niet verwacht. Wat Rusland, Iran, China, Noord-Korea en anderen betreft, vrezen veel deskundigen op het gebied van veiligheid en buitenlands beleid dat er veel meer verwoestende aanvallen op Amerikaanse verkiezingen zullen plaatsvinden in de cyclus van de presidentiële campagnes in 2020.

"De Russen zijn nog steeds actief, maar het zou me verbazen als de Noord-Koreanen, Chinezen en Iraniërs niet heel nauwlettend in de gaten hielden om te zien wat we in de tussentijd doen en clandestiene grondwerken leggen, net als elke andere cyberoperatie, " zei Rosenbach.

De cyberaanvallen die we tijdens de midterms en in 2020 zien, kunnen heel goed komen van volledig nieuwe vectoren die niet in een van de simulaties zaten; een nieuwe generatie van exploits en technieken die niemand verwacht of bereid is te worden geconfronteerd. Maar we weten tenminste dat ze eraan komen.