DEFCON希望投票机黑客可以保护系统-IDC帮帮忙

一份新报告根据在DEFCON 25上对投票机黑客进行的研究推动了建议,包括基本的网络安全指南,与当地官员的合作以及免费投票机渗透测试。

在7月份的DEFCON会议上,黑客入侵第一台投票机只花了不到一个小时的时间。本周,DEFCON组织者发布了一份新报告,详细介绍了投票村的结果以及确保未来选举安全所需的步骤。

前美国驻北约大使,退休美国陆军中将道格拉斯鲁特在报告中写道,“ 去年对美国投票过程的攻击对我们的民主构成严重威胁,就像我过去40多年来所见过的那样 -可能比对我们国家的任何物理攻击更严重。“

“生命损失和财产损失是悲剧性的,但我们具有弹性,可以恢复。对我们投票过程的安全性失去信心 - 美国人民与政府之间的根本联系 - 可能会更具破坏性,”鲁特中写道。“简而言之,这是一个严重的国家安全问题,打击了我们民主的核心。”

为了降低投票机黑客的风险,DEFCON本身将更多地关注选举系统。DEFCON的创始人杰夫·莫斯(Jeff Moss)在报道的新闻发布会上表示,访问投票机仍然是一个主要障碍。

“真正难以掌握的部分是将投票机连接在一起的后端软件 - 制表,累积投票,提供投票,进行选举,找出胜利者 - 而且我们真的希望有一个完整的投票系统来攻击,所以人们可以攻击网络,他们可以攻击物理机器,他们可以追踪数据库“莫斯说。“这是令人难以置信的部分:正如这是第一次真正做到这一点 - 没有NDAs - 从来没有对整个系统进行过测试。我们需要一个完整的端到端系统,所以它是一个人们可以争论的事情少了。我们可以说,'看?我们也在这里做过。'“

DEFCON获得了在2017年会议上测试的投票机,这些机器来自二手市场,如eBay,但希望得到选举官员和制作投票设备的公司的更多合作。Moss表示目前尚不清楚DEFCON在2018年将被允许做什么,因为目前需要更新允许投票机黑客的DMCA豁免。

立即投票机安全
DEFCON官员指出,在2018年的DEFCON会议之前,选举安全需要得到改善,因此地方官员可以为2018年的中期选举做准备。

互联网安全中心(CIS)董事会主席兼临时首席执行官约翰吉利根表示,他的组织正在“选举生态系统并制定围绕选举安全的最佳实践手册” 。独联体邀请了国土安全部,NIST,选举援助委员会,全国国务卿协会和其他选举官员就此进程进行合作。

“我们目前有400或500人与我们合作,但我们将扩大这一范围,因为有些人在选举系统方面具有特定的专业知识。观点是:让我们快速聚会 - 通过Gilligan周二在新闻发布会上说,这个日历年结束 - 制定了一套将给予州和地方政府的最佳实践。“我们的努力将补充选举援助委员会目前正与NIST共同开发的内容。”

芝加哥大学网络安全讲师兼总部位于华盛顿特区的私募股权公司Cambridge Global Advisors首席执行官杰克布劳恩表示,DEFCON团队将向任何希望获得帮助的选举官员提供免费投票机笔测试。
“如果你是选举官员,你可以做的就是联系DEFCON并提供你的计划,你的数据库,提供你想要测试的任何其他东西。这基本上是免费的测试和培训你的员工,这通常会花费你数百万美元自己购买。“

莫斯表示业界对黑客的恐惧是常见的,但敦促该团队只想提供帮助。

“这是制造商第一次接受审查,他们不知道该怎么做。这是一个非常常规的反应。我们从医疗设备世界,汽车世界,门禁控制,ATM 看到了这一点。”莫斯说。“当这些行业首先接触到黑客和那些对他们的技术给予诚实意见的人时,他们会退缩并隐藏一段时间。如果你做得很好,我们会告诉你,'嘿,那是真棒“。而且,如果你的工作很糟糕,我们会说,“你能解决这个问题吗?” 但最好的部分是它是免费的。你得到一些世界上最好的黑客做无偿工作,免费赠送报告 - 通常这些人每天赚几千美元 - 而且他们'

DEFCON投票机黑客报告指出了围绕选举安全的一些误解,但北欧创新实验室的创始合伙人哈里赫斯蒂说,其中一个最大的问题就是“从未有过记录在案的事件在真正的选举中改变了。“

“这些机器没有能力为你提供法医证据。他们不能证明他们是诚实的;他们不能证明他们没有被黑客入侵。他们根本没有为你提供数据的基本能力, “赫斯蒂在新闻发布会上说。“你可以看到机器是否被黑客攻击的唯一方法是攻击者是否想要被发现。这是一个可悲的事实。它可以在不留痕迹的情况下完成。”