공격 중 : 선거 해킹이 중기 적으로 위협하는 방법

3 월, 38 개 주에서 온 공무원들이 전쟁 경기처럼 진행된 이틀간의 선거 시뮬레이션 연습을 위해 매사추세츠 주 캠브리지에있는 컨퍼런스 홀에 포장되었습니다.

120 명 이상의 주 및 지방 선거 공무원, 커뮤니케이션 책임자, IT 관리자 및 주 장관들은 상상할 수있는 최악의 선거일에 일어날 수있는 보안 재앙을 시뮬레이션하는 훈련을 실시했습니다.

탁상 운동은 11 월 6 일 중기 선거가 시작되기 몇 달 전에 각 시뮬레이션이 시작되어 유권자가 여론 조사에 참여할 때 각 주가 실시간으로 공격에 대응할 때까지 타임 라인을 가속화했습니다. 사이버 및 정보 공격으로부터 민주주의 프로세스를 보호하기위한 양당의 노력 인 하버드의 D3P (Defending Digital Democracy) 프로젝트에 의해 조직 된이 훈련을 통해 참가자들은 기계 및 유권자 데이터베이스 해킹, 분산 된 서비스 거부 거부로 인해 악몽 시나리오에 차례로 대응해야했습니다. (DDoS) 공격은 웹 사이트를 무너 뜨리고, 후보자에 대한 잘못된 정보 유출, 투표를 금지하기 위해 유포 된 가짜 폴링 정보 및 불신을 뿌리기 위해 국가 공격자가 조정 한 소셜 미디어 캠페인입니다.

전 세계의 최근 선거에서 보았 듯이 여러 번의 공격이 동시에 발생합니다.

애쉬튼 카터 미 국방 장관 에릭 로젠 바흐 (Eric Rosenbach)는 2015 년부터 2017 년까지 D3P 디렉터이자 CEO 인 에릭 로젠 바흐 (Eric Rosenbach)는“서비스 거부 공격과 정상적인 피싱 및 악성 코드 유형 전술이 선거 기간 동안 사용될 것이라고 생각한다.

"내가 DDoS와 관련하여 가장 우려하는 부분은 웹 페이지에 대한 결과가 하이 엔드와 결합 된 것에 대한 공격입니다. 2014 년 우크라이나에서 일어난 일을보십시오. 러시아는 DDoSed 웹 페이지에서 우크라이나가 선거 결과를 발표하기 위해 사용했습니다 그 후 모든 사람들을 오늘 러시아로 데려 가서 가짜 결과를 내놓았습니다. 우크라이나 인들은 실제로 대통령으로 선출 된 사람에 대해 혼란스러워했습니다."

현대의 선거 안보를 이해한다는 것은 어려운 현실을 겪는다는 것을 의미합니다. 특히 미국의 경우 인프라가 너무 세분화되고 구식이며 완벽하게 보호 되기에는 취약합니다. 위협 환경 전체에 걸쳐 너무 많은 유형의 공격이 발생하여 모든 위협을 차단할 수 있습니다.

PCMag는 2018 년 공무원, 정치 요원, 학자, 기술 회사 및 보안 연구원들에게 선거 안보의 뚜렷한 현실에 대해 이야기했습니다. 정치 통로의 양쪽, 모든 정부 수준, 기술 산업의 미국 선거에 대한 근본적인 사이버 보안 위협에 시달리고 있습니다. 우리는 또한이 중대한 중기 선거와 2020 년 총선에서 상황이 잘못 될 때 대응하는 방법을 계획하고 있습니다.

'공격 표면'보호

사이버 보안에서는 공격 할 수있는 노출 된 모든 시스템과 장치를 "공격 영역"이라고합니다. 미국 선거의 공격 영역은 엄청 나며 세 가지 주요 수준으로 나눌 수 있습니다.

첫 번째는 투표 인프라입니다. 투표 기계, 유권자 등록 데이터베이스, 사람들에게 투표 방법과 장소를 알려주는 모든 주 및 지방 정부 웹 사이트를 생각하십시오.

그런 다음 캠페인 보안 수준이 있습니다. 2016 년에 알 수 있듯이 캠페인은 해커에게 쉬운 대상입니다. 도난당한 캠페인 데이터는 세 번째로 더 강력한 공격 수준 인 무기화 된 잘못된 정보 및 사회적 영향 캠페인의 강력한 무기로 사용될 수 있습니다. 이러한 측면에서, 국가-국가 행위자들의 트롤 군대는 웹을 통해 계속 작동하고 소셜 미디어 플랫폼에 침입하여 유권자 지각의 양극화가되고 있습니다.

이러한 각 수준을 괴롭히는 수많은 체계적인 문제를 해결하려고하면 종종 답변보다 더 많은 질문이 생깁니다. 대신에 선거 안보 위험을 완화하기위한 많은 전략들이 상식으로 나옵니다: 종이 투표 및 투표 감사; 주 및 지방 정부에 더 많은 자원을 제공; 캠페인 및 선거 공무원을위한 도구 및 보안 교육을 제공합니다.

선거 관리자, 선거 운동 종사자 및 유권자들을위한 몇 가지 더 복잡하고 분열적인 질문들: 온라인 정보가 부족한 소셜 미디어 시대의 선거 과정에 어떻게 접근하십니까? 그리고 화면을 가로 지르는 모든 디지털 정보에 대해 의문을 품고 있다면 무엇을 믿어야합니까?

우리가 2016 년에서 배운 것

2018 년 중기 이후 미국 선거 안보에 관한 대화는 결국 2016 년 대통령 선거로 돌아갑니다. 경쟁이 시작되기 전에는 2000 년대 중반 이후로 캠페인과 선거에서 사이버 공격이 발생했지만 그 정도는 전례가 없었습니다.

로젠 바흐 총리는 "당시, 아무도 이런 식으로 본 적이 없다. 러시아가 우리의 민주주의를 방해하고 특정 후보에 찬성하여 영향을 미칠 정도로 뻔할 것"이라고 충격을 받았다고 말했다. 2016 년 선거에서 러시아의 간섭에 대해 3 월에 "나는 지금 20 년 동안 국가 안보에서 일해 왔으며, 이것은 내가 처리했던 가장 복잡하고 어려운 문제였습니다."

이 시점에서 사실은 분명합니다. 러시아 군 정보국 인 GRU를 위해 일하고있는 12 명의 러시아인이 민주당 국가위원회 (DNC)를 해킹하고 WikiLeaks를 포함한 조직에 문서를 유출하여 20, 000 건이 넘는 이메일을 공개 한 것으로 밝혀졌다.

Guccifer 2.0, Fancy Bear 및 DCLeaks를 포함한 온라인 개인으로 운영되는이 해커는 2016 년 8 월 일리노이와 애리조나에서 유권자 등록 데이터베이스를 위반했으며 500, 000 명 이상의 유권자에 대한 정보를 훔쳤습니다. 이후의 FBI와 NSA 보고서에 따르면 해커들이 2016 년 대선 기간 동안 39 개 주에서 투표 소프트웨어를 손상 시켰습니다. 로드 로젠 슈타인 미 법무 장관은 러시아 해커의 기소에서“음모의 목표는 선거에 영향을 미치기위한 것이었다”고 밝혔다.

이는 처음 두 수준의 선거 기반 시설에 타격을 가한 공격이었습니다. 소셜 미디어에서 러시아, 이란 및 기타 사람들은 가짜 뉴스를 퍼 뜨리고 유권자 의견에 영향을 미치기 위해 페이스 북과 트위터에 수천 개의 정치 광고를 구매 한 봇과 트롤 공장을 공개했습니다. Facebook의 Cambridge Analytica 스캔들은 2016 년 선거에 소셜 미디어 플랫폼이 어떻게 영향을 미치는지에 대한 역할을 수행했습니다.

로젠 바흐는“우리는 신속하거나 강하게 반응하지 않았다”고 말했다. 국방부에서 근무하는 동안 Rosenbach는 2011 년부터 2014 년까지 사이버 국방부 차관보와 사이버 보안을 감독하는 글로벌 보안 국방부 차관보를 지 냈습니다.

현재 하버드 케네디 학교의 벨퍼 센터 공동 책임자이자 D3P 이사입니다. 그는 작년에 2012 년 선거에서 Mitt Romney의 캠페인 관리자 인 Matt Rhoades와 2016 년 Hillary Clinton의 캠페인 관리자 인 Robby Mook과 함께 설립했습니다.

"보안 관점에서 이해해야 할 중요한 점은 캠페인 자체가 해킹되지 않았다는 것입니다."라고 Mook은 PCMag에 말했습니다. "개인 이메일 계정은 해킹 당했고 DNC는 해킹 당했지만 우리 모두가 생태계 전체를 보호해야한다는 사실은 모두에게 중요한 경고라고 생각합니다. 공격자는 다른 후보자들에 대한 정보를 무기화하기 위해 어디든 갈 수 있습니다."

2016 년 DNC 회장 John Podesta의 개인 Gmail 계정을 성공적으로 해킹 한 피싱 공격으로 인해 Mook은 이러한 규모의 공격에 대응할 수있는 메커니즘이 없다는 것을 깨달았습니다. 2017 년 그는 롬니 대통령 직전에 중국 사이버 부대의 지속적인 해킹 시도를 처리 한로 데스와 연결했다. 기본적인 아이디어는 향후 캠페인에서 이와 같은 악용을 방지하고 해킹 당했을 때 캠페인이 진행될 수있는 장소를 제공하기 위해 수행 할 점검 목록을 작성하는 것이 었습니다.

두 사람은 Rosenbach와 연계하여 D3P 사이버 보안 캠페인 플레이 북을 출판했습니다. 그들은 이후 두 개의 다른 플레이 북 (주 및 지방 선거 관리자를위한 것)과 온라인 오보에 대처하는 방법에 대해 커뮤니케이션 담당자를 총괄하는 다른 플레이 북에 대해 공동 작업했습니다. 또한 주간 탁상 시뮬레이션을 구성하고 실행하는 데 도움이되었습니다.

Mook은 2016 년에 대해 너무 많은 시간을 보내고 싶지 않았습니다. 그는 다음 전투를 준비 할 때 마지막 전투를 계속하지 않는 것이 중요하다고 그는 말했다.

"사실은, 왜 또는 어떻게 누군가가 들어 오려고하는지 모르는 것입니다. 누군가가 그럴 것이라고 알고 있습니다." "가장 중요한 것은 다음에 일어날 수있는 일에 대해 생각하는 것입니다. 아직 고려하지 않았거나 보지 않은 위협은 무엇입니까? 나는 중기 적으로 새로운 취약점이 드러날 것으로 생각하지만, 시스템을 누군가가 들어갈 수있는 모든 가능한 방법을 알아 내야합니다."



변화하는 위협 환경

우리가 2018 년 중기에 다 다르고 2020 년 미국 대통령 선거에 대한 긴 슬로건에 직면함에 따라 위협 환경에 초점이 맞춰지고 있습니다.

트럼프 대통령이 러시아의 간섭 정도를 경시했지만 미국은 3 월 새로운 제재로 러시아를 강타했습니다. 댄 코트 (National Intelligence) 국무 장관은 8 월 브리핑에서 "우리는 미국의 약화와 분열을 시도하는 러시아의 광범위한 메시징 캠페인을 계속보고있다"고 말했다.

7 월 마이크로 소프트가 재선을 위해 출마하는 3 명의 후보를 목표로하는 가짜 도메인과 관련된 해킹 시도를 막고 난 뒤였다. 이 이야기가 출판되기 몇 주 전에 러시아 국민은 중간 고장을 방해하기 위해 페이스 북과 트위터를 통해 유권자를 조작하려는 노력을 감독 할 책임이있었습니다. 기소 된 러시아 시민 인 엘레나 쿠시 아예 노바 (Elena Khusyaynova)는 IRA와 제휴 한 재무 및 사회 운영을 관리했으며 러시아의 oligarch와 푸틴 동맹국 인 예브게니 프리고진 (Yevgeny Prigozhin)이 3 천 5 백만 달러 이상의 자금을 사용했다.

국가 정보국, 국토 안보부, FBI는 기소와 함께 공동 발언을 발표했다. 또한 중기에는 투표 인프라가 손상되었다는 증거는 없지만 유권자 등록 데이터베이스를 포함하여 일부 주 및 지방 정부는 네트워크 액세스 시도가 완화 된 것으로보고했습니다.

중간 선거 전 마지막 몇 주 동안, 미국 사이버 사령부는 트롤 계좌를 통제하는 러시아 요원을 식별하고 심지어 미국이 선거 방해를 막기위한 활동을 알고 있음을 알리는 것으로 알려졌다.

"우리는 민주당 기관에 대한 신뢰를 훼손하고 공공 정서 및 정부 정책에 영향을 미치기 위해 러시아, 중국 및이란을 포함한 다른 외국 행위자들의 지속적인 캠페인에 대해 우려하고있다"고 밝혔다. "이러한 활동은 2018 년과 2020 년 미국 선거에서 유권자의 인식과 의사 결정에 영향을 미치기 위해 노력할 수도 있습니다."

패턴 찾기

외국의 적들과 다른 잠재적 사이버 적의 활동을 모니터링 할 때 전문가들은 패턴을 찾습니다. 토니 지드 와니 (Toni Gidwani)는 다른 모든 악성 개체들의 레이더 배열을 연구하는 것과 같다고 말했다. 조기 경보 지표를 검색하여 위험을 완화하고 방어에서 가장 약한 링크를 확보합니다.

Gidwani는 사이버 보안 회사 인 ThreatConnect의 연구 운영 책임자입니다. 그녀는 지난 3 년간 2016 년 미국 대통령 선거에서 DNC 핵 및 러시아 영향 작전에 대한 ThreatConnect의 연구를 주도했습니다. 그녀의 팀은 Guccifer 2.0을 Fancy Bear와 연결했습니다. Gidwani는 DoD에서 경력 10 년을 보냈으며 국방 정보국에서 분석 팀을 구축하고 이끌었습니다.

Gidwani는“줄을 여러 가지 전선으로 당겨야합니다. "Fancy Bear는 DNC 데이터를 퍼블릭 도메인으로 가져 오기 위해 다양한 채널을 운영하고있었습니다. Guccifer는 이러한 전선 중 하나였으며 DCLeaks는 하나였으며 WikiLeaks는 가장 큰 영향을받은 전선이었습니다."

지드 와니는 다단계 간섭 캠페인을 구성하는 몇 가지 뚜렷한 활동으로 우리가 본 국가 국가의 공격을 무산시켰다. 캠페인 중심의 데이터 유출로 인해 선거주기에서 중요한 순간에 전략적 데이터 유출이 발생했습니다.

"스피어 피싱 및 MITM (Man-in-the-Middle) 공격에 대한 우려가 확실합니다. 이러한 정보는 퍼블릭 도메인에 도착할 때 매우 영향력이있어 정교한 멀웨어가 필요하지 않을 수 있습니다. 목표로 자원 봉사자의 유입 "고 설명했다. "스피어 피싱이 작동하는 경우 제로 데이 취약점이 필요하지 않습니다."

주 선거 관리위원회에 대한 침투 공격은 투표 시스템 공급망을 방해하고 선거 결과의 유효성에 대한 자신감을 약화시키는 또 다른 방법입니다. Gidwani는 투표 인프라의 구식 및 단편화 특성이 SQL 주입과 같은 공격을 일으켰으며 이는 "더 이상 공격 플레이 북의 일부가되어서는 안 될 것"이라고 말했다.

이러한 운영은 IRA 및 중국, 이란 및 북한을 포함한 다른 국가 국가 행위자들에 의해 만들어진 Facebook 그룹 및 Twitter 트롤 계정과 크게 다릅니다. 궁극적으로 이러한 캠페인은 정치적 스펙트럼 전반에 걸쳐 감정을 자극하고 유권자를 흔들어 정치 경사와 함께 조율 된 데이터 유출을 증폭시키는 것입니다. 잘못된 정보에 관해서는, 우리는 빙산의 일각을 발견했습니다.

Gidwani는“선거를 어렵게 만드는 것 중 하나는 단일 이해 당사자가없는 많은 다른 부분으로 구성되어 있다는 점이다. "우리가 겪고있는 큰 도전은 근본적인 기술적 문제가 아니라 정치적 문제입니다. 플랫폼은 후보자를 확인하여 합법적 인 컨텐츠를보다 쉽게 ​​식별 할 수 있도록 노력하고 있습니다. 그러나 이러한 유형의 컨텐츠가 얼마나 널리 퍼질 수 있는지에 따라 "정보 보안의 세계 밖에서 우리."



오래된 기계에 새로운 구멍 꽂기

가장 근본적인 수준에서, 미국 선거 인프라는 패치 워크입니다. 구식이자 안전하지 않은 투표 시스템, 취약한 유권자 데이터베이스, 때로는 가장 기본적인 암호화 및 보안이 부족한 주 및 지역 웹 사이트의 혼란입니다.

거꾸로, 전국 투표 인프라의 단편화 된 특성은보다 광범위한 영향을받는 익스플로잇보다 덜 매력적인 대상이 될 수 있습니다. 오래되고 때로는 투표 시스템의 아날로그 기술과 각 주가 다음 주와 얼마나 다른지 때문에 해커는 각 지역화 된 모든 시스템을 손상시키기 위해 각 경우마다 상당한 노력을 기울여야합니다. 주요 스윙 지구의 해킹 상태 또는 지역 투표 인프라가 선거 결과에 절대적으로 영향을 줄 수 있기 때문에 이는 어느 정도 오해입니다.

두 번의 선거주기 이전에 Jeff Williams는 미국의 주요 투표 기계 공급 업체와 상담을했지만 확인을 거부했습니다. 그의 회사는 투표 기계, 선거 관리 기술 및 투표 계산 시스템에 대한 수동 코드 검토 및 보안 테스트를 수행하여 많은 취약점을 발견했습니다.

Williams는 Contrast Security의 CTO이자 공동 설립자이며 OWASP (Open Web Application Security Project)의 창립자 중 하나입니다. 그는 종종 보안보다 예산을 기반으로 구매 결정을 내리는 지방 관할 구역에 의해 관리되는 선거 소프트웨어의 고유 한 특성 때문에 기술이 크게 변하지 않았다고 말했다.

윌리엄스 대변인은“이것은 투표 기계에만 국한된 것이 아닙니다. 선거를 설정하고, 관리하고, 결과를 수집하는 데 사용하는 모든 소프트웨어입니다. "기계는 비싸기 때문에 수명이 꽤 길다. 우리는 구현하기가 복잡하고 문서화가 잘되지 않은 보안으로 수백만 줄의 코드와이를 검토하려는 수년의 작업에 대해 이야기하고있다. 훨씬 더 큰 문제의 증상 - 아무도 그들이 사용하는 소프트웨어에서 무슨 일이 일어나고 있는지 전혀 알 수 없습니다."

윌리엄스는 테스트 및 인증 프로세스에 대한 믿음이별로 없다고 말했다. 대부분의 주 및 지방 정부는 블랙 햇에서 헤드 라인을 만드는 것과 동일한 종류의 테스트 인 침투 테스트를 수행하는 소규모 팀을 구성했습니다. Williams는 철저한 소프트웨어 품질 보증 테스트와 비교할 때 이것이 잘못된 접근법이라고 생각합니다. DefCon의 Voting Village와 같은 해킹 컨테스트는 취약점을 발견하지만 찾지 못한 잠재적 인 악용에 대해 모든 것을 알려주지는 않습니다.

전국적으로보다 체계적인 문제는 투표 시스템과 선거 관리 소프트웨어가 주마다 크게 다르다는 것입니다. 투표 시스템과 인증 된 투표 시스템을 제공하도록 등록 된 소수의 주요 공급 업체가 있습니다.이 투표 시스템은 종이 투표 시스템, 전자 투표 시스템 또는이 둘의 조합 일 수 있습니다.

비영리 단체 인 검증 된 투표에 따르면 미국 투표의 99 %는 다양한 유형의 종이 투표지를 스캔하거나 직접 전자 입장을 통해 어떤 형태로 컴퓨터에 의해 집계됩니다. Verified Voting의 2018 보고서에 따르면 36 개 주에서는 여전히 안전하지 않은 것으로 입증 된 투표 장비를 사용하고 있으며 31 개 주에서는 유권자의 적어도 일부에게 직접 녹음 전자 투표기를 사용합니다.

가장 놀랍게도, 델라웨어, 조지아, 루이지애나, 뉴저지, 사우스 캐롤라이나 등 5 개 주에서는 현재 유권자 검증 종이 감사 추적이없는 직접 기록 전자 투표기를 사용합니다. 따라서 물리적 또는 원격 해킹을 통해 전자 시스템에서 투표 수를 변경하는 경우, 주에서는 전체 재 계산이 아니라 통계적으로 투표가 필요한 경우에만 감사 과정에서 유효한 결과를 확인할 방법이 없을 수 있습니다..

암호화 된 메시징 앱 Wickr의 CEO 인 Joel Wallenstrom은“우리가 계산할 수있는 차드 박스는 없습니다. "중반기에 러시아가 무언가를했기 때문에 결과가 현실적이지 않다는 주장이 있다면, 우리는 그 잘못된 정보 문제를 어떻게 처리 할 것인가? 사람들은 폭탄 헤드 라인을 읽으며 시스템에 대한 그들의 신뢰는 더욱 침식된다."

현대 기술과 보안으로 주별 투표 인프라를 업그레이드하는 것은 2020 년 이전에는 일어나지 않을 것입니다. 웨스트 버지니아를 포함한 주에서는 전자 투표 기록 및 감사를위한 블록 체인과 같은 새로운 기술을 테스트하고 있지만, 대부분의 연구원 및 보안 전문가 더 나은 시스템 대신에, 투표를 확인하는 가장 안전한 방법은 종이 흔적이라고 말합니다.

윌리엄스는“종이 감사 추적은 오랫동안 보안 공동체에 대한 집결의 울부 짖음이었으며, 중기 및 아마도 대통령 선거에서 그들은 그것을 갖지 않는 수많은 기계를 사용할 것입니다. "이것이 민주주의에 실질적인 위협이라고 말하는 것은 과장이 아닙니다."

종이 감사 추적이있는 주 중 하나는 뉴욕입니다. 뉴욕주의 최고 정보 보안 책임자 인 데보라 스나이더 (Deborah Snyder)는 최근 NCSA (National Cyber ​​Security Alliance) 서밋에서 PCMag에 뉴욕이 다크 웹에서 3, 500 만 명의 유권자 기록을 판매 할 것으로 추정되는 19 개 주에 속하지 않았다고 말했다. 그러나 공개적으로 이용 가능한 뉴욕 주 유권자 기록은 다른 포럼에서 무료로 구할 수 있습니다.

주정부는 투표 기계 및 인프라에 대한 정기적 인 위험 평가를 수행합니다. 뉴욕은 또한 2017 년부터 지역 침입 탐지에 수백만 달러를 투자하여 주 내에서 그리고 다른 주 및 민간 부문과 협력하는 정보 공유 및 분석 센터 (ISAC)와의 협력을 통해 사건 모니터링 및 대응을 개선했습니다.

스나이더 대변인은“우리는 선거를 앞두고 선거를 통해 인지도를 높이고있다. "저는 선거일 전날 오전 6 시부 터 자정까지 팀을 운영하고 있습니다. 우리는 모두 뉴욕 주 정보 센터 (New York State Intelligence Center)에서 ISAC, 지방 및 주 선거 관리위원회 및 내 사무실 인 ITS 및 "국토 안보 및 응급 서비스 부서."



지방 선거 웹 사이트는 앉는 오리입니다

주 및 지방 선거 안보의 마지막으로 가장 간과되는 부분은 시민들에게 투표 장소와 방법을 알려주는 정부 웹 사이트입니다. 일부 주에서는 공식 사이트 사이에 일관성이 거의 없으며, 대부분은 가장 기본적인 HTTPS 보안 인증서조차 부족하여 웹 페이지가 SSL 암호화로 보호되는지 확인합니다.

사이버 보안 회사 McAfee는 최근 20 개 주에서 카운티 선거위원회 웹 사이트의 보안을 조사한 결과 유권자가 기본적으로 웹 사이트와 공유하는 정보를 암호화하기 위해 사이트의 30.7 %만이 SSL을 보유하고 있음을 발견했습니다. Montana, Texas 및 West Virginia를 포함한 주에서는 10 % 이하의 사이트가 SSL 암호화되어 있습니다. McAfee의 연구에 따르면 텍사스에서만 236 개 카운티 선거 웹 사이트 중 217 개가 SSL을 사용하지 않는 것으로 나타났습니다.

웹 사이트 URL에서 HTTPS를 찾아 SSL 암호화 사이트에 알릴 수 있습니다. 브라우저에 잠금 또는 키 아이콘이 표시 될 수도 있습니다. 이는 사용자가 말한 사이트와 안전하게 통신하고 있음을 의미합니다. 6 월 Google 크롬은 암호화되지 않은 모든 HTTP 사이트를 "보안되지 않음"으로 표시하기 시작했습니다.

McAfee CTO 인 스티브 그 로브 만 (Steve Grobman)은“중기 준비를 위해 2018 년에 SSL을 갖추지 않았다면이 카운티 웹 사이트가 MiTM 공격 및 데이터 변조에 훨씬 더 취약하다는 것을 의미합니다. "이 사이트는 보안되지 않은 오래된 HTTP 변형으로 종종 사이트를 보안으로 리디렉션하지 않으며 대부분의 경우 사이트가 인증서를 공유합니다. 상태의 경우 사이트의 약 11 % 만 암호화되지 않은 상태가 더 좋아 보입니다. 지역 카운티 사이트는 완전히 안전하지 않습니다."

McAfee의 연구에 포함 된 주 중에서 Maine만이 기본 암호화를 사용하여 카운티 선거 웹 사이트의 50 % 이상을 차지했습니다. 뉴욕은 26.7 %에 불과한 반면 캘리포니아와 플로리다는 약 37 %였습니다. 그러나 기본적인 보안 부족은 이야기의 절반에 지나지 않습니다. McAfee의 연구는 또한 카운티 선거 웹 사이트 영역에서 일관성이 거의 없음을 발견했습니다.

놀랍도록 적은 비율의 주 선거 사이트는 정부가 인증 한.gov 도메인을 사용하는 대신.com,.us,.org 또는.net과 같은 일반적인 최상위 도메인 (TLD)을 선택합니다. 미네소타에서는 선거 지역의 95.4 %가 비정부 도메인을 사용하고 있으며 그 다음으로 텍사스는 95 %, 미시간은 91.2 %입니다. 이러한 불일치로 인해 일반 유권자가 합법적 인 선거 장소를 식별하는 것이 거의 불가능합니다.

텍사스의 경우 유권자 등록 웹 사이트의 74.9 %가.us 도메인을 사용하고, 7.7 %는.com을 사용하고, 11.1 %는.org를 사용하고, 1.7 %는.net을 사용합니다. 사이트의 4.7 %만이.gov 도메인을 사용합니다. 예를 들어, 텍사스주의 Denton 카운티 카운티 선거 웹 사이트는 https://www.votedenton.com/이지만 McAfee는 www.vote-denton.com과 같은 관련 웹 사이트를 구매할 수 있음을 발견했습니다.

이와 같은 시나리오에서 공격자는 로컬 웹 사이트를 해킹 할 필요조차 없습니다. 이들은 유사한 도메인을 구매하고 피싱 이메일을 보내 사람들이 사기 사이트를 통해 투표하도록 등록하도록 지시 할 수 있습니다. 또한 잘못된 투표 정보 나 잘못된 투표소 위치를 제공 할 수도 있습니다.

그 로브 만은“일반적으로 사이버 보안에서 볼 수있는 것은 공격자가 목표를 달성하는 데 효과적인 가장 간단한 메커니즘을 사용한다는 것입니다. "투표 기계 자체를 해킹하는 것이 가능할 수는 있지만 실질적인 도전이 많이 있습니다. 유권자 등록 시스템 및 데이터베이스를 방문하거나 웹 사이트를 구입하는 것이 훨씬 쉽습니다. 일부 경우 유사한 도메인이 있음을 발견했습니다 GoDaddy 판매 페이지를 찾는 것만 큼 쉽습니다."



캠페인: 움직이는 조각과 쉬운 목표

일반적으로 해커가 수천 명의 임시 직원이 매력적인 표시를하는 캠페인과 같이 거추장스러운 결실을 맺는 것보다 각 카운티 또는 주 시스템에 침투하는 데 더 많은 노력이 필요합니다. 2016 년에 본 바와 같이 캠페인 데이터 유출 및 정보 유출의 영향은 치명적일 수 있습니다.

공격자는 여러 가지 방법으로 캠페인에 침투 할 수 있지만 가장 강력한 방어책은 기본 사항이 잠겨 있는지 확인하는 것입니다. D3P의 Campaign Cybersecurity Playbook에는 혁신적인 보안 전술이 없습니다. 기본적으로 모든 캠페인 직원 또는 자원 봉사자를 확인하기 위해 사용할 수있는 점검 목록이며, 캠페인 데이터를 사용하는 사람은 2 단계 인증 (2FA)과 같은 보호 메커니즘과 Signal 또는 Wickr와 같은 암호화 된 메시징 서비스를 사용합니다. 또한 피싱 체계를 파악하는 방법에 대한 인식으로 상식 정보 위생 교육을 받아야합니다.

Robby Mook은 간단한 습관에 대해 이야기했습니다. 예를 들어 필요하지 않은 전자 메일을 자동으로 삭제하면 데이터가 주위에 있으면 누수 될 가능성이 항상 있기 때문에 필요하지 않습니다.

Mook은 "캠페인 계정과 도메인 내 데이터 및 정보 유지에 관한 비즈니스 규칙에 두 번째 요소가 있었기 때문에이 캠페인은 흥미로운 예입니다."라고 설명했습니다. "우리가 후손으로 배운 나쁜 놈들은 피싱 링크를 클릭 할 직원이 많았지 만, 우리는 보호 장치가 있었기 때문에 그 시도는 성공하지 못했습니다. 그들은 그렇게 할 수 없었습니다. 사람들의 개인 계정."

캠페인 보안은 까다 롭습니다. 수천 개의 움직이는 부품이 있으며 최첨단 정보 보안 보호를 처음부터 구축 할 예산이나 전문 지식이없는 경우가 많습니다. 기술 산업은 이러한 선제 적으로 발전하여 중간에 이르는 캠페인을위한 여러 가지 무료 도구를 집합 적으로 제공합니다.

Alphabet 's Jigsaw는 Project Shield를 통해 캠페인 DDoS 보호를 제공하고 있으며 Google은 정치 캠페인을 보호하기 위해 고급 계정 보안 프로그램을 확장했습니다. Microsoft는 Office 365에서 정당에게 무료 AccountGuard 위협 탐지 기능을 제공하고 있으며 이번 여름에는 DNC 및 RNC와 함께 사이버 보안 워크샵을 개최했습니다. McAfee는 50 개 주에있는 선거 사무소에 1 년 동안 McAfee Cloud for Secured Elections를 무료로 제공하고 있습니다.

Symantec, Cloudflare, Centrify 및 Akamai를 비롯한 다른 클라우드 기술 및 보안 회사는 비슷한 무료 또는 할인 된 도구를 제공하고 있습니다. 그것은 테크 산업의 집단 홍보 캠페인의 일환으로 과거 실리콘 밸리보다 선거 안보를 개선하기 위해 더욱 협력적인 노력을 기울이고 있습니다.

암호화 된 앱에서 캠페인 가져 오기

예를 들어 Wickr는 캠페인에 무료로 서비스를 제공하고 캠페인 및 DNC와 직접 협력하여 캠페인 직원을 교육하고 보안 통신 네트워크를 구축합니다.

Wickr를 사용하는 캠페인의 수는 4 월부터 3 배가되었으며 상원 캠페인의 절반 이상과 70 개가 넘는 정치 컨설팅 팀이 올 여름에이 플랫폼을 사용하고 있다고 회사는 밝혔다. Wickr의 정치 및 정부 책임자 인 Audra Grassia는 지난 해 워싱턴 DC의 정치위원회 및 캠페인을 통해 노력하고 있습니다.

Grassia는“정치 외의 사람들은 모든 수준에서 여러 캠페인에 솔루션을 배포하는 것이 얼마나 어려운지 이해하기 어렵다고 생각합니다. "모든 캠페인은 직원이 2 년마다 교대로 돌아가는 자체 소기업입니다."

개별 캠페인에는 종종 사이버 보안에 대한 자금이 없지만 큰 정치위원회가 있습니다. 2016 년 이후 DNC는 특히 사이버 밸리와 실리콘 밸리와의 관계 구축에 많은 투자를 해왔습니다. 이위원회에는 이제 Twitter와 Uber의 새로운 CTO Raffi Krikorian이 이끄는 35 명의 기술 팀이 있습니다. DNC의 새로운 최고 보안 책임자 인 Bob Lord는 예전에는 Yahoo의 보안 담당자였으며 재앙적인 해킹에 대해 잘 알고 있습니다.

Grassia 팀은 DNC와 직접 협력하여 Wickr의 기술을 배포하고 다양한 수준의 교육 캠페인을 제공했습니다. Wickr는 후보자를위한 DNC의 기술 시장에 소개 된 기술 제공 업체 중 하나입니다. Wickr의 CEO Joel Wallenstrom은“캠페인 내에서 움직이는 부분은 정말 놀랍습니다.

그는 캠페인에는 엔터프라이즈 급 정보 보안에 투자하거나 재능에 대한 실리콘 밸리 가격을 지불 할 기술 지식이나 리소스가 없다고 설명했습니다. 암호화 된 앱은 기본적으로 내장 인프라를 제공하여 고가의 컨설팅 팀을 고용하지 않고도 모든 캠페인 데이터 및 내부 커뮤니케이션을 안전한 환경으로 옮길 수 있습니다. 포괄적 인 솔루션은 아니지만 최소한 암호화 된 앱은 캠페인의 필수 요소를 비교적 빠르게 잠글 수 있습니다.

Robby Mook은 중기 및 향후 선거에서 가장 우려되는 캠페인 공격 경로가 몇 가지 있다고 말했다. 하나는 컨벤션 연설 또는 후보자가 온라인 기부금을 뱅킹 할 때의 주요 컨테스트 등 중요한 순간에 캠페인 웹 사이트에 대한 DDoS 공격입니다. 그는 또한 돈을 훔치기위한 1-2 펀치로 가짜 사이트에 대해 걱정하고 있습니다.

"우리는 이것을 조금 보았지만, 지켜봐야 할 한 가지는 기증 과정에서 혼란과 의심을 일으킬 수있는 가짜 모금 사이트라고 생각합니다." "사회 공학이 캠페인 직원을 속여 돈을 배선하거나 도둑에게 기부금을 재 지정하려고하면 훨씬 더 나빠질 수 있다고 생각합니다.이 위험은 특히 적에게도 수익성이 높을뿐 아니라 실제 캠페인을 방해하기 때문에 위험이 높습니다. 문제를 제기하고 음모에 집중하도록합니다."



유권자의 마음을위한 정보 전쟁

현대 선거 안보의 가장 어려운 측면은 보호하는 것은 물론 잘못된 정보와 사회적 영향 캠페인입니다. 수수께끼를 위협하는 민주주의의 중심에있는 온라인, 의회 및 소셜 플랫폼에서 가장 공개적으로 제기 된 문제입니다.

유권자들에게 영향을 미치기 위해 모인 가짜 뉴스와 잘못된 정보는 여러 가지 형태로 나올 수 있습니다. 2016 년에는 소셜 미디어의 미시 타겟 정치 광고, 후보자에 대한 허위 정보를 유포하는 가짜 계정 및 정보 전쟁을 위해 전략적으로 유포 된 유출 된 캠페인 데이터에서 비롯되었습니다.

마크 주커 버그 (Mark Zuckerberg)는 선거 후 며칠 동안, 페이스 북의 선거에 영향을주는 가짜 뉴스는 "정말 미친 아이디어"라고 말했다. 정치적 스팸 계정의 대량 제거, 정치 광고 확인 및 선거와의 전쟁을위한 종합 전략의 일환으로 중간 선거 "전쟁 실"설정 등 페이스 북의 엄청난 데이터 스캔들과 수익 히트 혼잡.

트위터는 정치 후보를 확인하고 봇과 트롤을 단속하는 비슷한 조치를 취했지만 잘못된 정보는 계속됩니다. 회사는 가짜 계정을 찾아 삭제하고 가짜 뉴스를 만들기 위해 사이버 적들과 경쟁하고 있다는 사실에 정직했습니다. 페이스 북은 지난 주 82 페이지, 그룹, 계정으로 구성된이란 관련 선전 캠페인을 중단했다.

그러나 기계 학습 알고리즘과 인간 중재자는 지금까지만 갈 수 있습니다. 브라질 대통령 선거에서 WhatsApp을 통한 잘못된 정보의 확산은 소셜 미디어 회사가 얼마나 많은 일을해야 하는지를 보여주는 한 예일뿐입니다.

페이스 북, 트위터, 애플과 같은 거대 기업들은 선거에서 플랫폼이 담당하는 역할을 책임감있게 인정하고 그들이 생성하는 데 도움이되는 매우 복잡한 문제를 해결하려는 시도를 암묵적으로 인정하지 않았다. 그러나 충분합니까?

카네기 멜론 (Carnegie Mellon) 컴퓨터 과학 부교수 인 트래비스 브라우 (Travis Breaux)는“선거에 미치는 영향은 항상 있었지만 우리가보고있는 것은 새로운 수준의 정교함”이라고 말했다.

Breaux는 러시아, 이란 및 기타 국가 국가 행위자들이보고있는 잘못된 정보 캠페인 유형이 플레이 북 스파이 요원과 수십 년 동안 사용한 것이 아니라고 말했다. 그는 1983 년 전직 비서관 이 쓴 KGB와 소비에트 정보부 ( Sustraple Disinformation) 라는 책을 지적했다. 러시아의 해커와 트롤 농장은 오늘날 같은 일을하고 있으며, 디지털 툴의 힘과 그들이 제공하는 범위에 의해 그들의 노력 만이 기하 급수적으로 확대됩니다. 트위터는 전 세계에 즉시 메시지를 보낼 수 있습니다.

Breaux는 "가짜 계정과 같은 기존 기술의 조합이 현재 운영되고있는 것"이라고 말했다. "정확하고 신뢰할 수있는 정보가 어떤 것인지 신속하게 파악하고 이해해야합니다."

McAfee CTO Steve Grobman은 정부가 공공 정보 캠페인을 운영하여 허위 또는 조작 된 정보에 대한 인식을 제고해야한다고 생각합니다. 그는 2016 년 가장 큰 문제 중 하나는 침해 된 데이터에 무결성이 있다는 명백한 가정이라고 말했다.

선거주기 후반에 정보의 유효성을 독립적으로 확인할 시간이없는 경우 정보 전쟁은 특히 강력 할 수 있습니다.

Grobman은 "John Podesta의 이메일이 WikiLeaks에 게시되었을 때 언론은 모두 Podesta의 이메일이라고 가정하고있었습니다."라고 말했습니다. PCMag는 유출 된 이메일의 진위 여부에 대한 직접적인 조사를 실시하지 않았지만, 올 가을까지 거짓으로 확인 된 일부 Podesta 이메일이 여전히 최근에 계속 순환하고 있다고 University의 Annenberg Public Policy Center에서 실행 된 FactCheck.org에 따르면 펜실베니아

"우리가 대중에게 교육해야 할 것 중 하나는 위반에서 나오는 정보에는 적법한 데이터와 얽힌 조작 된 데이터를 포함하여 내레이션 적 대변인이 당신을 이끌고있는 모든 것을 공급할 수 있다는 것입니다. 사람들은 자신의 투표에 영향을 미치는 조작 된 무언가를 믿을 수 있습니다."

이것은 온라인 및 소셜 미디어에서 보는 것뿐만 아니라 해당 지역의 투표에 대한 물류 세부 사항까지 확장 될 수 있습니다. 한 지방 자치 단체에서 다음 지방 자치 단체에 이르기까지 웹 사이트 도메인과 같은 기본 요소가 일치하지 않기 때문에 유권자들은 실제 상황을 식별하는 공식적인 수단이 필요합니다.

그 로브 만 대변인은“해커가 특정 농촌이나 도시 지역의 후보를 향해 선거를하려한다고 상상해보십시오. "당신은 날씨로 인해 선거가 24 시간 동안 연기되었거나 틀린 업데이트 된 투표소 위치를 제공한다고 말하는 모든 유권자에게 피싱 이메일을 보냅니다."

궁극적으로, 잘못된 정보를 걸러내는 것은 유권자에게 달려 있습니다. 뉴욕 주 정보 보안 책임자 Deborah Snyder는 "Facebook에서 뉴스를받지 말고 사고 방식에 투표하지 마십시오."사실이 검증 된 출처에서 나오는지 확인하십시오. Wickr의 Joel Wallenstrom은 유권자들이 많은 FUD (공포, 불확실성 및 의심)가있을 것이라는 사실에 유념해야한다고 생각합니다. 그는 또한 트위터를 꺼야한다고 생각합니다.

로비 무크는 사이버 범죄 또는 데이터 전쟁 운영에 관계없이보고있는 정보는 특정 방식으로 생각하고 행동하도록 설계되었다는 점을 기억하는 것이 중요하다고 말했습니다. 하지마

Mook은 "투표자들은 물러서서 그들에게 무슨 말을하는지가 아니라 그들에게 중요한 것이 무엇인지 스스로에게 물어야한다"고 말했다. "후보자의 본질, 공무원이 내릴 결정, 그리고 그 결정이 그들의 삶에 어떤 영향을 미치는지에 중점을 둡니다."



우리가 'Em. 다시 실행

Defending Digital Democracy 프로젝트의 선거 보안 시뮬레이션 훈련은 매사추세츠 캠브리지에서 오전 8시에 시작되었으며, 선거일 6 ~ 8 개월 전에 허구의 주에서 일하는 참가자들과 함께 운동의 10 분 동안 20 일을 기록했습니다. 결국 모든 사람들이 폴링 시간으로 카운트 다운 할 때마다 1 분마다 실시간으로 진행되었습니다.

Rosenbach 씨는 Mook과 Rhoades는 선거 보안 재앙이 어떻게 진행될 것인지를 스크립팅하는 70 페이지의 시나리오를 가지고 있었고, 공무원들에게 그들이 어떻게 대응하는지 알아보기 위해 차례로 던질 것이라고 말했습니다.

로젠 바흐 총재는“우리는 상황이 여기에있다. 우리는 트위터 봇을 통해 러시아 정보 운영에 관한 뉴스 보도를 받았다”고 말했다. "또한이 투표소에서 결과는 비공개로 표시되었지만 아프리카 계 유권자에게만 표시되고 있습니다. 그런 다음 그 결과에 반응해야합니다. 동시에 10 개의 다른 일이 진행되고 있습니다. 등록 데이터가 해킹되었습니다. "투표 인프라가 손상되었고, 유출 된 문제가 발생했습니다."

Defending Digital Democracy Project는 28 개 주에서 인구 통계 및 다양한 유형의 폴링 장비에 대해 시뮬레이션에 대한 조사를 수행했으며 모든 사람에게 역할이 할당되었습니다. 저급 선거 관리자들은 허구의 최고 공무원을 역임했고 그 반대도 마찬가지였습니다. Rosenbach는 웨스트 버지니아 주 맥 워너 국무 장관이 여론 조사원을 원한다고 말했다.

목표는 38 개 주에서 온 공무원이 시뮬레이션을 마음에두고 시뮬레이션을 떠나고 그것이 중요한시기에 올바른 질문을하는 것이 었습니다. 이 링크를 암호화 했습니까? 유권자 데이터베이스는 안전합니까? 선거일 전에 투표소에 물리적으로 접근 할 수있는 사람을 잠갔습니까?

탁상 운동의 중요한 부산물은 정보를 공유하고 모범 사례를 교환하기 위해 전국 선거 관리 네트워크를 구축하는 것이 었습니다. 로젠 바흐 (Rosenbach)는 일종의 "비공식 ISAC"라고 불렀는데, 이는 매우 활발한 상태로 남아 있으며, 국가가보고있는 공격과 취약점의 유형을 공유하기위한 중간기까지 이어지고있다.

국가는 또한 이런 종류의 훈련을 스스로 수행하고 있습니다. 뉴욕은 5 월에 국토 안보부와 협력하여 사이버 보안 준비 및 위협 대응에 중점을 둔 일련의 지역 탁상 훈련을 시작했습니다.

NYS CISO Snyder는 주 선거 관리위원회가 카운티 선거 관리위원회에 선거 관련 교육을 제공했다고 말했습니다. 또한, 14 만 명의 주 공무원들에게 제공되는 무료 사이버 인식 교육이 지방 자치 단체에 제공되어 선거 관련 교육과 일반 사이버 보안 인식 교육을 모두 제공했습니다. 스나이더는 또한 유권자 데이터 유출 사고를 겪은 다른 주들에게 어떤 일이 일어 났는지, 왜 그런지 알아 내기 위해 연락했다고 말했습니다.

스나이더는 "파트너십은 사이버 보안을 만드는 요소이다. 정보 공유 부족으로 실패한다"고 말했다. "국가들은 사일로에서 사이버을 할 수 없다는 것을 깨닫고 있으며, 공유 된 상황 인식의 이점은 어떻게 해킹 당했는지에 대한 이야기를 전하는 당황보다 훨씬 중요합니다."

D3P는 중간 기간 동안 전국에 팀을 파견하여 수십 개 주에서의 선거를 관찰하고 2020 년 이전에 프로젝트의 플레이 북과 훈련을 개선하기 위해 다시보고합니다. 여러 출처가 공유하는 한 가지 감정은 사이버 적들이 미국을 강타 할 수 없다는 것입니다. 중간에. 2016 년 선거에서 미국은 전적으로 경계를 잃었으며 2018 년은 국가 국가 해커들에게 그 이후로 우리가 알고 배운 것을 보여줄 것입니다.

사이버 전쟁은 전면 공격에만 국한되지 않습니다. 해킹 및 잘못된 정보 캠페인은 더욱 비밀이 유지되며 예상치 못한 결과를 정확하게 전달할 수 있습니다. 러시아, 이란, 중국, 북한 등 많은 안보 및 외교 정책 전문가들은 2020 년 대통령 선거주기에 미국 선거에 대한 훨씬 더 치명적인 공격이 올 것이라고 우려하고 있습니다.

"러시아인들은 여전히 ​​활동적이지만, 북한, 중국, 이란 인들이 인텔 사이버 운영과 마찬가지로 중간기에 우리가 무엇을하는지 비밀리에 지켜 보지 않았다면 놀라 울 것이다." 로젠 바흐.

중기 및 2020 년에 우리가 본 사이버 공격은 시뮬레이션에 포함되지 않은 완전히 새로운 벡터에서 나올 수 있습니다. 아무도 기대하거나 직면 할 준비가되어 있지 않은 차세대 공격 및 기술. 그러나 적어도 그들이오고 있다는 것을 알게 될 것입니다.