做好云底座,赋能行业转型
|
地方和联邦政府依赖供应商来执行和支持选举,包括电子邮件通信、收集选票的机器和选举网站。有些供应商扮演着比其他供应商更重要的角色,例如,某供应商提供了一个超过60%的美国人使用的投票系统。 对这些供应商或其中一个供应商的攻击就可能会妨碍选举过程或导致敏感信息泄露/丢失。 FBI的一份报告发现,某国黑客在2016年侵入了一家美国大选软件提供商。这些黑客冒充同一供应商,向佛罗里达州几个县的选举管理人员发送了100多封鱼叉式钓鱼邮件。 选举管理供应商通常面临利润率低、联邦监管有限、门槛高,因此抱怨网络安全投资严重不足。例如,2017年,由加州发起的选举系统和软件安全审计(ES&S)被发现存在多个漏洞,黑客可以操纵系统配置,甚至可以删除选票。 供应商支持选举过程的关键部分,并且经常能够访问可识别的个人信息,这使他们成为问题点。在一个高度集中的市场里,只有3家公司(包括ES&S),却拥有超过90%的美国投票设备,对这三家供应商的攻击可能会造成严重后果。 防护策略:漏洞披露和测试 2020年,ES&S宣布了漏洞披露计划。在此之前的很长一段时期里,选举设备和软件供应商一直回避漏洞测试和披露活动。 众测漏洞平台Synack将对此提供支持。该项目是在Synack推进选举安全项目之后推出,项目始于2018年,称为“选举安全”(Secure the election)。该公司主动联系各州的国务卿,无偿为他们的选举系统提供安全众测服务。
众测漏洞平台,如Synack、HackerOne和Bugcrowd平台,可以在恶意参与者有机会利用这些漏洞之前识别出漏洞。 11月的投票预计将有很大一部分通过邮件(邮递)进行,但投票机仍将收集相当一部分选票。这些投票机向选民提供候选人名单,记录他们的选择,并进行计票。 许多投票机是数字的,因此很容易被操纵。虽然各州政府正在努力替换易受攻击的设备,但由于时间问题,其中多数仍将在2020年11月投入使用。 在2019年世界黑客大会(DefCon)上,黑客测试并成功突破了至少一个美国司法管辖区认证使用的100个不同投票机的安全防护。 投票系统的分散化也使得投票机免受大规模攻击。尽管如此,即使少数几个选区遭受攻击都可能会对选举结果产生巨大影响,因此确保这些选区的投票机安全尤为重要。 此外,如果在网上公布成功篡改投票机的证据,即使是一台投票机,也会使公众对选举结果产生质疑。 防护策略:更新设备并验证选票 许多州正在更换老式投票机,这些无纸化机器无法进行纸质审计。据Brennan Center估计,到2020年,只有12%的选票将通过无纸化机器进行投票,比2016年的20%有所下降。此外,2020年初,微软在威斯康辛州的地方选举中试用了其开源的ElectionGuard产品。该产品并没有解决与投票机相关的各种挑战,而是为选民提供了一种验证其投票的方法。通过打印两份选票副本,一份给投票箱,一份给投票人,选民就可以识别机器是否被操纵和篡改。 ElectionGuard利用同态加密技术(对经过同态加密的数据进行处理得到一个输出,将该输出进行解密,其结果与用同一方法处理未加密的原始数据得到的输出结果是一样的)来确保安全性和匿名性,尽管它不会在2020年的选举中被广泛应用。但是对这一挑战的尝试,突出了拥有一个可核查投票记录的重要性。 5. 候选人账户(风险等级:中 影响:中) 如果竞选政治职位是一种生意,那么候选人就是产品。对于候选人来说,这可能会模糊个人生活和公共活动以及支持两者的技术之间的界限。候选人通常会优先考虑工作邮件和应用安全,而忽视个人邮件和社交媒体账户。没有安全保障的个人帐户也将对选举构成威胁。黑客可能会捕获并发布候选人个人账户敏感信息,并通过社交媒体或其他方式冒充候选人。 2020年7月,Twitter遭到黑客攻击,导致几位知名人物的账号被盗,其中包括民主党总统候选人乔·拜登、前总统巴拉克·奥巴马和商人埃隆·马斯克。这些攻击接管了帐户并将其用于恶意目的。 自2016年以来,针对政治候选人的几起钓鱼攻击已经浮出水面。这些攻击通常通过电子邮件发送恶意软件或索取信息。微软客户安全和信任副总裁Tom Burt强调,他的团队发现了针对2018年竞选总统候选人的3起网络钓鱼攻击。 黑入候选人账户是一种多方威胁:它允许黑客收集和公开信息或向竞争对手披露信息、利用资料进入其他敏感系统、或者冒充候选人。在这些情况下,可能会损害候选人在公众心目中的形象,对公平选举造成威胁。 防护策略:邮件安全与深度认证 为了支持高风险个人(账户),谷歌推出了高级保护计划,作为其电子邮件服务的扩展。该方案通过限制第三方访问电子邮件并要求使用物理安全密钥进行身份验证,为个人电子邮件帐户增加了安全性。 多因素认证——需要另一种身份来源(如通过电话或电子邮件发送的验证码)才能访问应用或账户——极大地降低了个人账户被黑客入侵的风险。 但黑客可以拦截这些身份验证消息。Yubico提供的物理密钥(如USB、智能卡等)消除了这种拦截身份验证消息的机会。LastPass等公司还使用加密密码管理器为个人提供保护,这些管理器支持高级双因素身份验证(例如指纹和面部ID)。Yubico和LastPass都是通过Defending Digital Campaigns来提供服务。
6. 选举系统供应商(风险等级:中 影响:中) (编辑:伊春站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
